CJUE – ILVA A/S – C-383/23

ILVA exploite une chaîne de magasins de meubles et fait partie du groupe Lars Larsen Group. ILVA est poursuivie devant les juridictions danoises pour avoir manqué, pendant la période allant du mois de mai 2018 au mois de janvier 2019, aux obligations lui incombant en vertu du RGPD en sa qualité de responsable du traitement des données à caractère personnel dans le cadre de la conservation des données d’au moins 350 000 anciens clients.

Sur recommandation du Datatilsynet (Autorité chargée de la protection des données, Danemark), le ministère public a requis l’imposition d’une amende de 1,5 million DKK (environ 201 000 euros) à ILVA. Le calcul de ce montant était fondé non seulement sur le chiffre d’affaires d’ILVA, mais également sur le chiffre d’affaires global du groupe Lars Larsen Group.

Le tribunal municipal d’Aarhus, Danemark a reconnu ILVA coupable des faits qui lui étaient reprochés mais a estimé qu'il n’y avait pas lieu de prendre en compte le chiffre d’affaires du groupe Lars Larsen Group pour déterminer le montant de l’amende. Par ailleurs, elle a relevé qu’ILVA exerçait une activité de vente au détail indépendante et qu’elle n’avait pas été créée par la société mère de ce groupe dans le seul but d’assurer le traitement des données du groupe. Le ministère public a interjeté appel auprès de la juridiction qui a finalement renvoyé l'affaire devant la CJUE.