Violation du RGPD par une filiale : comment se calcule l’amende administrative ?

✅ Ce qu’il faut retenir sur le calcul de l’amende RGPD en cas de violation par une filiale

L’arrêt de la CJUE du 13 février 2025 (C-383/23) précise que, dans le cadre du RGPD, le montant de l’amende peut être calculé sur la base du chiffre d’affaires global du groupe, même si la filiale seule est poursuivie. Cette décision renforce la portée dissuasive des sanctions prévues par le règlement.

À retenir :

• Le terme « entreprise » dans le RGPD doit être interprété au sens du droit de la concurrence.
• L’amende maximale peut être calculée sur la base du chiffre d’affaires mondial du groupe.
• Le montant effectif de l’amende reste soumis aux critères de proportionnalité de l’article 83 du RGPD.

‍

La question du calcul du montant des amendes administratives infligées au titre du Règlement général sur la protection des données (RGPD) suscite régulièrement des interrogations, notamment lorsqu’elle concerne des groupes de sociétés. Dans un arrêt du 13 février 2025 (aff. C-383/23), la Cour de justice de l’Union européenne (CJUE) est venue préciser que, lorsqu’une filiale est poursuivie pour une violation du RGPD, l’amende peut être calculée en fonction du chiffre d’affaires du groupe auquel elle appartient.

La notion d’« entreprise » au sens du RGPD : une interprétation issue du droit de la concurrence

Une définition autonome, alignée sur les articles 101 et 102 du TFUE

L’article 83 du RGPD prévoit que les violations les plus graves peuvent entraîner des amendes allant jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent ou 20 millions d’euros, le montant le plus élevé étant retenu.

Mais quel chiffre d’affaires retenir lorsqu’une société est intégrée dans un groupe ? La notion d’« entreprise » figurant à l’article 83 du RGPD doit être comprise au sens du droit européen de la concurrence, et non au sens purement juridique du terme.

Conformément au considérant 150 du RGPD, cette interprétation renvoie aux articles 101 et 102 du Traité sur le fonctionnement de l’Union européenne (TFUE), qui définissent l’entreprise comme « toute entité exerçant une activité économique, indépendamment de son statut juridique et de son mode de financement ». En d'autres termes, une unité économique unique peut regrouper plusieurs entités juridiques, y compris une société mère et ses filiales.

Quand une filiale peut-elle se voir infliger une amende calculée sur le chiffre d’affaires de son groupe ?

Une unité économique, même en présence de personnalités juridiques distinctes

Dans son arrêt du 13 février 2025, la CJUE confirme que, lorsqu’une filiale fait partie d’une entreprise au sens du droit de la concurrence, le chiffre d’affaires du groupe peut être pris en compte pour déterminer le plafond maximal de l’amende prévue à l’article 83, § 4 à 6 du RGPD.

Autrement dit, le chiffre d’affaires annuel mondial de l’ensemble du groupe est celui qui peut être retenu comme base de calcul du montant maximal de l’amende, et non celui de la seule filiale poursuivie.

‍

‍

Cette solution suppose toutefois la réunion des conditions suivantes :

• La filiale et la société mère forment une unité économique au sens des articles 101 et 102 TFUE ;
• Il est démontré que la filiale ne dispose pas d’une autonomie décisionnelle totale, ou qu’elle agit dans le cadre d’une politique commerciale commune à l’ensemble du groupe ;
• Le recours au chiffre d’affaires du groupe respecte le principe de proportionnalité de la sanction.

La distinction entre plafond légal et montant effectif de l’amende RGPD

Un plafond maximal distinct du calcul réel de l’amende

Il convient toutefois de distinguer deux étapes dans l’évaluation de l’amende RGPD :

• Le plafond légal, qui correspond à un pourcentage du chiffre d’affaires annuel mondial de l’entreprise au sens large, c’est-à-dire potentiellement le groupe tout entier ;
• Le montant effectif de l’amende, qui doit être individualisé selon la gravité de l’infraction, la durée, le nombre de personnes concernées, la négligence ou intentionnalité, ainsi que les mesures correctives prises (RGPD, art. 83, § 2).

Le chiffre d’affaires comme indicateur de capacité économique

Même si le chiffre d’affaires du groupe n’est pas un critère en soi de fixation de l’amende, il reste pertinent pour évaluer la capacité financière de la société poursuivie et garantir que la sanction reste effective, proportionnée et dissuasive (RGPD, art. 83, § 1).

La CJUE confirme donc une logique économique : une filiale au sein d’un grand groupe ne peut pas se réfugier derrière sa personnalité juridique propre pour obtenir une amende dérisoire, si elle bénéficie structurellement du soutien, de la puissance ou de la politique de ce groupe.

Exemple d’application : le cas ILVA c/ Danemark

Dans l’affaire jugée par la CJUE le 13 février 2025, ILVA A/S, une société danoise exploitant une chaîne de magasins de meubles, était poursuivie pour violation des obligations du RGPD en matière de conservation des données personnelles de ses anciens clients.

L’autorité de poursuite danoise souhaitait que l’amende infligée à ILVA soit calculée sur la base du chiffre d’affaires du groupe Lars Larsen, soit environ 881 millions d’euros, et non sur le seul chiffre d’affaires d’ILVA, estimé à 241 millions d’euros.

La CJUE valide cette approche sous réserve que les conditions de l’unité économique soient remplies, renvoyant à la juridiction nationale le soin de vérifier si ILVA et la société mère du groupe formaient bien une entreprise unique au sens du droit de la concurrence.

Les conséquences pratiques pour les entreprises concernées

Une vigilance renforcée pour les groupes internationaux

Cet arrêt de la CJUE impose une vigilance accrue aux groupes de sociétés opérant dans l’Union européenne, même si la structure juridique est éclatée entre filiales autonomes :

• Le risque financier peut être multiplié par l’intégration du chiffre d’affaires global dans le calcul de l’amende maximale ;
• Les responsabilités du groupe peuvent être engagées indirectement, même si seules les filiales sont juridiquement poursuivies.

Ce qu’il faut retenir

• Une filiale peut voir son amende RGPD calculée sur le chiffre d’affaires du groupe si elle fait partie d’une même unité économique.
• Le montant maximal de l’amende est déterminé sur cette base, mais son montant effectif reste individualisé selon les critères de l’article 83.
• Les groupes doivent auditer la conformité RGPD de toutes leurs entités, sans cloisonnement juridique.

Une mise en conformité RGPD qui ne tolère plus l’approximation

Les entreprises doivent intégrer cette jurisprudence dans leur politique de conformité interne, en tenant compte de leur structure économique réelle, au-delà de la forme juridique.

Pour anticiper un contentieux ou limiter le risque de sanctions disproportionnées, il est indispensable de :

• Centraliser le pilotage de la conformité RGPD au niveau du groupe ;
• Démontrer l’autonomie réelle des filiales, si applicable ;
• Mettre en place des mesures correctives documentées en cas de manquement constaté.

Conclusion : une extension logique de la responsabilité économique dans le RGPD

Par cet arrêt, la CJUE renforce l’idée selon laquelle la structure juridique des entreprises ne saurait faire obstacle à une application effective et cohérente du RGPD. Elle confirme que le droit de la protection des données personnelles s’inscrit dans une logique économique, héritée du droit de la concurrence.

En substance, ce n’est pas tant la personnalité morale que l’organisation économique réelle qui importe dans le calcul des amendes. Un signal fort adressé aux entreprises multinationales, invitées à intégrer le RGPD dans l’ensemble de leur gouvernance.

‍