L’affaire opposait une société danoise, exploitante d’une chaîne de magasins et appartenant à un groupe de sociétés, à l’autorité de protection des données danoise. Cette dernière reprochait à la société un manquement au RGPD relativement à la conservation des données personnelles de ses clients. En conséquence, l’autorité a prononcé contre la société une amende administrative d’un montant équivalent à environ à 200 000 euros, montant calculé non seulement au regard du chiffre d’affaires réalisé par la société (équivalent à environ 280 000 euros), mais aussi à celui réalisé par le groupe auquel elle appartient (880 000 euros). Contestant une telle règle de calcul, la société a formé un recours. La juridiction de première instance a réduit le montant de l’amende à 10 000 euros en considérant notamment qu’il n’y avait pas lieu de tenir compte du chiffre d’affaires annuel du groupe. L’autorité de protection des données a remis en cause une telle position et a fait appel de cette décision. C’est dans ce cadre que la CJUE a été saisie de la problématique.

Pour mémoire, le RGPD prévoit à son article 83 (§ 1 et § 2) que l’autorité de protection des données compétente doit veiller à ce que l’amende soit effective, proportionnée et dissuasive. A cette fin, l’autorité doit tenir compte de plusieurs éléments tels que la nature, la gravité et la durée de la violation, le nombre de personnes concernées affectées, le fait que la violation a été commise délibérément ou par négligence. A cela...