Amendes et sanctions RGPD : guide complet (2026)

Le RGPD fixe à l'article 83 deux niveaux de sanction : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les violations organisationnelles, et jusqu'à 20 millions d'euros ou 4 % pour les violations des principes fondamentaux du traitement, des droits des personnes concernées ou des règles de transfert, le montant le plus élevé étant retenu.
Le RGPD confère aux autorités européennes de protection des données le pouvoir d'imposer des amendes administratives substantielles aux organisations qui enfreignent ses dispositions. Depuis l'entrée en vigueur du règlement le 25 mai 2018, les autorités de contrôle de l'UE ont prononcé plus de 2 800 amendes totalisant plus de 7,1 milliards d'euros.
Ce guide explique en détail la structure des sanctions, présente la méthode de l'EDPB pour calculer les amendes, analyse l'arrêt de référence Deutsche Wohnen sur la responsabilité des entreprises, dresse la liste des amendes les plus importantes et de leur statut actuel, et aborde les conséquences au-delà des amendes, y compris les demandes d'indemnisation civile au titre de l'article 82. Pour une vue d'ensemble du règlement lui-même, consultez notre guide Qu'est-ce que le RGPD.
Cet article est fourni à titre d'information uniquement et ne constitue pas un avis juridique. Consultez un avocat spécialisé en protection des données ou un professionnel de la confidentialité pour un conseil adapté à votre situation.
Réponse rapide : quelles sont les sanctions RGPD ?
Les sanctions RGPD se répartissent en deux niveaux au titre de l'article 83.
Pour les violations les plus graves (atteintes aux principes fondamentaux du traitement, aux droits des personnes concernées, aux règles de consentement et aux exigences de transfert international), le maximum est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'organisation, le montant le plus élevé étant retenu.
Pour les violations organisationnelles et procédurales (absence de tenue de registres, défaut de désignation d'un DPO lorsque cela est requis, notification de violation insuffisante), le maximum est de 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Pour les grandes multinationales, le plafond en pourcentage dépasse largement le montant fixe en euros. Une entreprise réalisant 30 milliards d'euros de chiffre d'affaires annuel s'expose à un plafond potentiel de 1,2 milliard d'euros au niveau de 4 %, soit précisément le montant imposé à Meta en 2023.
Au-delà des amendes, les autorités peuvent interdire le traitement, ordonner l'effacement des données, imposer des mesures correctives de mise en conformité et suspendre les transferts internationaux de données. Les particuliers peuvent également réclamer une indemnisation directement aux responsables du traitement et aux sous-traitants pour préjudice matériel et moral au titre de l'article 82.

La structure des amendes à deux niveaux de l'article 83
L'article 83 du RGPD établit le cadre des amendes maximales à deux niveaux. Le niveau applicable dépend entièrement de la disposition qui a été enfreinte.
Niveau inférieur : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial
Le niveau inférieur s'applique aux violations des obligations du responsable du traitement et du sous-traitant énoncées aux articles 8, 11, 25 à 39, 42 et 43. Il s'agit principalement d'exigences organisationnelles et procédurales :
- Absence de tenue d'un registre des activités de traitement (article 30)
- Absence de réalisation d'une analyse d'impact relative à la protection des données requise (article 35)
- Défaut de désignation d'un DPO lorsque cela est requis (article 37)
- Procédures de notification de violation déficientes (article 33)
- Manquements des organismes de certification et des organismes de suivi
Ces violations sont sérieuses, mais elles sont traitées comme moins graves que les atteintes aux principes fondamentaux régissant l'utilisation des données à caractère personnel.
Niveau supérieur : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial
Le niveau supérieur s'applique aux violations des dispositions qui se trouvent au cœur du dispositif de protection des données du RGPD :
- Les principes de base relatifs au traitement et les conditions de licéité du traitement (articles 5, 6, 7, 9)
- Les droits des personnes concernées : accès, rectification, effacement, limitation, portabilité et opposition (articles 12 à 22)
- Les règles de transfert international de données (articles 44 à 49)
- Les dispositions de droit national adoptées en vertu du chapitre IX
- Le non-respect d'une injonction contraignante d'une autorité de contrôle
L'amende retient toujours le montant le plus élevé au sein du niveau concerné. Pour une entreprise réalisant 10 milliards d'euros de chiffre d'affaires annuel mondial, 4 % produit un plafond de 400 millions d'euros, soit vingt fois le maximum fixe de 20 millions d'euros.
L'exigence de faute : l'arrêt Deutsche Wohnen
Une question importante dans les premières phases d'application du RGPD était de savoir si les amendes pouvaient être imposées aux entreprises selon une norme de responsabilité objective, ou uniquement lorsque l'infraction était intentionnelle ou résultait d'une négligence.
La CJUE a tranché cette question dans son arrêt du 5 décembre 2023 dans l'affaire C-807/21 (Deutsche Wohnen). L'affaire découlait d'une amende de 14,5 millions d'euros imposée par l'autorité berlinoise de protection des données à une société immobilière pour avoir conservé des données de locataires après qu'elles ne soient plus nécessaires.
La CJUE a rendu trois décisions importantes.
Premièrement, une exigence de faute s'applique : les amendes administratives du RGPD ne peuvent être imposées que lorsque l'infraction a été commise intentionnellement ou par négligence. La responsabilité objective est incompatible avec l'article 83. Cela a mis fin à l'argument selon lequel les entreprises pouvaient être sanctionnées pour des violations qu'elles n'avaient aucun moyen raisonnable de détecter ou de prévenir.
Deuxièmement, aucune personne physique identifiée n'est nécessaire : les autorités n'ont pas besoin d'attribuer l'infraction à une personne identifiée précise au sein de l'organisation avant d'imposer une amende à la personne morale. Une entreprise peut être sanctionnée directement sur la base de la conduite de ses organes, employés ou agents, sans qu'une constatation distincte soit établie contre une personne nommément désignée.
Troisièmement, les entreprises sont sanctionnées en tant qu'entités économiques : pour le calcul des plafonds d'amende, un responsable du traitement est traité comme une « entreprise » au sens du droit de la concurrence. Cela signifie que le plafond est calculé sur le chiffre d'affaires mondial de l'ensemble de l'unité économique, et non uniquement de la filiale ou de l'entité qui était le responsable direct du traitement. Les revenus de la société mère sont inclus.
Cet arrêt a une portée pratique importante car il façonne à la fois la manière dont les autorités mènent leurs enquêtes et la manière dont les entreprises peuvent se défendre. Démontrer qu'une violation n'était pas due à une négligence (au moyen d'efforts de conformité raisonnables documentés) constitue désormais un moyen de défense viable.

Comment les amendes RGPD sont calculées : les lignes directrices 04/2022 de l'EDPB
Les lignes directrices 04/2022 de l'EDPB sur le calcul des amendes administratives établissent une méthode en cinq étapes suivie par les autorités de contrôle de tous les États membres de l'UE. Ces lignes directrices ont été finalisées en juin 2023 à la suite d'une consultation publique.
Cette méthode n'est pas une formule automatique. Les amendes relèvent toujours du pouvoir d'appréciation de l'autorité de contrôle dans le cadre de ces étapes, mais ce cadre assure une cohérence entre les juridictions.
Étape 1 : identifier les opérations de traitement et les dispositions applicables
L'autorité identifie quelles opérations de traitement sont en cause et quelles dispositions du RGPD ont été enfreintes. Lorsque plusieurs infractions découlent du même ensemble d'opérations de traitement, l'article 83(3) s'applique : une seule amende est imposée pour la violation la plus grave plutôt que des amendes distinctes pour chaque manquement. Cela évite la multiplication artificielle des sanctions pour ce qui constitue fonctionnellement une seule ligne de conduite.
Étape 2 : déterminer le montant de départ
Le montant de départ reflète trois variables.
Nature de l'infraction : quel niveau de l'article 83 s'applique ? La disposition enfreinte est-elle centrale aux droits fondamentaux des personnes concernées, ou s'agit-il d'une procédure organisationnelle ?
Gravité : quelle est la sévérité concrète de l'infraction, le nombre de personnes concernées affectées, la sensibilité des données en cause (les données de catégories particulières telles que les données de santé ou biométriques sont traitées plus sérieusement), le préjudice financier ou autre subi et la portée géographique.
Durée : combien de temps l'infraction s'est-elle poursuivie ? Une violation détectée et corrigée en quelques jours est traitée différemment de celle qui a persisté pendant des années.
Le montant de départ est également calibré en fonction du chiffre d'affaires de l'entreprise. Une amende dissuasive pour une PME serait négligeable pour une multinationale, de sorte que le chiffre absolu est proportionné à la taille de l'organisation.
Étape 3 : évaluer les circonstances aggravantes et atténuantes
L'article 83(2) énumère des facteurs spécifiques que les autorités doivent pondérer. Ceux-ci font varier le montant calculé à la hausse ou à la baisse :
| Facteur | Aggravant | Atténuant |
|---|---|---|
| Intention | Violation délibérée | Négligence involontaire |
| Mesures correctives | Aucune mesure prise | Correction rapide et efficace |
| Antécédents | Violations antérieures du RGPD | Historique irréprochable |
| Coopération | Enquête entravée | Coopération pleine et proactive |
| Catégories de données | Données de catégorie particulière ou de mineurs | Données générales non sensibles |
| Signalement | Découverte par l'autorité | Auto-signalement par l'organisation |
| Certifications | Aucun code de conduite en place | Codes approuvés ou certifications suivis |
| Préjudice | Dommage important pour les personnes concernées | Dommage minime ou inexistant |
La coopération est l'un des facteurs les plus déterminants en pratique. Les organisations qui font preuve de transparence, mettent en œuvre rapidement des mesures correctives et répondent pleinement aux demandes d'information reçoivent systématiquement des amendes plus faibles que celles qui retardent ou entravent le processus.
Étape 4 : appliquer le plafond légal
Le montant calculé est comparé au plafond applicable pour le niveau concerné. L'amende ne peut pas dépasser le maximum, quelle que soit la gravité des circonstances.
Étape 5 : évaluer l'effectivité, la proportionnalité et le caractère dissuasif
Le montant final doit satisfaire trois exigences au titre de l'article 83(1) : effectif (capable d'assurer la conformité), proportionné (non excessif au regard de la violation et de la situation de l'organisation) et dissuasif (capable de décourager de futures violations). L'autorité peut ajuster le montant s'il ne satisfait pas à ces trois exigences.
L'annulation de l'amende Amazon en mars 2026 illustre l'importance de cette étape : la juridiction luxembourgeoise a constaté que la CNPD avait omis l'analyse de proportionnalité, ce qui a suffi à annuler entièrement l'amende.
Article 83(2) : la liste complète des facteurs
L'article 83(2) précise onze facteurs que les autorités de contrôle doivent prendre en compte. Ceux-ci correspondent directement à ce que les organisations peuvent documenter :
- Nature, gravité et durée de l'infraction
- Caractère intentionnel ou négligent de l'infraction
- Mesures prises pour atténuer le dommage
- Degré de responsabilité, compte tenu des mesures techniques et organisationnelles prévues aux articles 25 et 32
- Violations antérieures pertinentes commises par le responsable du traitement ou le sous-traitant
- Degré de coopération avec l'autorité de contrôle
- Catégories de données à caractère personnel concernées
- Manière dont l'autorité a eu connaissance de l'infraction (auto-signalement ou découverte via une plainte)
- Respect antérieur de mesures ordonnées en vertu de l'article 58(2) contre le même responsable du traitement
- Adhésion à des codes de conduite approuvés (article 40) ou à des mécanismes de certification (article 42)
- Tout autre facteur aggravant ou atténuant applicable

Les amendes RGPD les plus élevées et leur statut actuel
Le tableau suivant présente les dix amendes RGPD les plus importantes prononcées à ce jour. Le statut des appels est vérifié à mai 2026.
| Rang | Entreprise | Amende | APD | Année | Violation | Statut |
|---|---|---|---|---|---|---|
| 1 | Meta (Facebook) | 1,2 milliard d'euros | DPC irlandaise | 2023 | Transferts de données UE-États-Unis sans garanties adéquates | Amende maintenue ; appel en cours devant le Tribunal de l'UE |
| 2 | Amazon | 746 millions d'euros | CNPD luxembourgeoise | 2021 | Base juridique invalide pour la publicité comportementale | Annulée en mars 2026 ; affaire renvoyée devant la CNPD |
| 3 | TikTok | 530 millions d'euros | DPC irlandaise | 2025 | Transferts de données d'utilisateurs de l'EEE vers la Chine | Amende prononcée ; appel devant la Haute Cour irlandaise ; suspension du transfert reportée |
| 4 | Meta (Instagram) | 405 millions d'euros | DPC irlandaise | 2022 | Traitement de données d'enfants sans protections adéquates | Définitive |
| 5 | Meta (Facebook/Instagram) | 390 millions d'euros | DPC irlandaise | 2023 | Absence de base juridique valide pour la publicité comportementale | Définitive |
| 6 | TikTok | 345 millions d'euros | DPC irlandaise | 2023 | Données d'enfants et paramètres de confidentialité par défaut | Définitive |
| 7 | 310 millions d'euros | DPC irlandaise | 2024 | Consentement et bases juridiques invalides pour la publicité comportementale | Appel déposé devant la Haute Cour irlandaise | |
| 8 | Uber | 290 millions d'euros | AP néerlandaise | 2024 | Transfert de données de chauffeurs de l'UE vers les États-Unis sans garanties | Appel déposé ; la procédure peut durer jusqu'à quatre ans |
| 9 | Meta (Facebook) | 265 millions d'euros | DPC irlandaise | 2022 | Failles de sécurité ayant permis le scraping de 533 millions d'enregistrements | Définitive |
| 10 | Meta (Facebook) | 251 millions d'euros | DPC irlandaise | 2024 | Faille de sécurité affectant 29 millions de comptes dans le monde | Définitive |
Notes sur les affaires clés
Meta, 1,2 milliard d'euros (mai 2023). La DPC irlandaise a imposé cette amende record à la suite d'une décision contraignante de l'EDPB. Meta transférait les données des utilisateurs européens de Facebook vers les États-Unis au moyen de clauses contractuelles types, mais l'EDPB a estimé que ces clauses ne pouvaient pas protéger adéquatement les données de l'UE compte tenu des lois de surveillance américaines. Meta a fait appel devant le Tribunal de l'UE ; l'appel a été formellement débloqué à la suite d'une décision procédurale de la CJUE début 2026 et reste pendant. Meta a adopté le cadre de protection des données UE-États-Unis comme mécanisme de transfert à l'avenir, mais cela ne régularise pas rétroactivement la violation historique.
Amazon, 746 millions d'euros (2021, annulée en mars 2026). La CNPD luxembourgeoise a imposé cette amende pour l'utilisation par Amazon de l'« intérêt légitime » comme base juridique pour la publicité comportementale. Le 12 mars 2026, la Cour administrative du Luxembourg a annulé l'amende. La Cour a estimé que la CNPD n'avait pas procédé à l'analyse de faute requise par l'arrêt Deutsche Wohnen et n'avait pas correctement évalué la proportionnalité, en particulier la question de savoir si une mesure moins sévère aurait été appropriée. La Cour a confirmé le constat de fond selon lequel la base juridique d'Amazon était invalide. L'affaire a été renvoyée devant la CNPD. Amazon pourrait encore faire l'objet d'une nouvelle amende à l'issue d'un réexamen conforme.
TikTok, 530 millions d'euros (2 mai 2025). La DPC irlandaise a infligé à TikTok 45 millions d'euros pour ne pas avoir informé les utilisateurs de l'EEE de la possibilité d'accès à leurs données depuis la Chine (violation de l'article 13) et 485 millions d'euros pour avoir transféré les données d'utilisateurs de l'EEE vers la Chine sans garanties effectives au titre de l'article 46. La DPC a également ordonné à TikTok de suspendre ces transferts dans un délai de six mois. TikTok a fait appel devant la Haute Cour irlandaise en mai 2025. En novembre 2025, la Cour a suspendu l'ordre de suspension du transfert de données en attendant l'appel, ce qui signifie que TikTok n'a pas à interrompre les transferts vers la Chine pendant la procédure. L'amende de 530 millions d'euros elle-même n'a pas été suspendue.
LinkedIn, 310 millions d'euros (octobre 2024). La DPC irlandaise a constaté que LinkedIn s'appuyait sur un consentement invalide, des intérêts illégitimes et une nécessité contractuelle illégitime comme bases juridiques pour l'analyse comportementale et la publicité. LinkedIn a déposé un appel devant la Haute Cour faisant valoir que l'amende était disproportionnée. L'appel est pendant.
Uber, 290 millions d'euros (août 2024). L'AP néerlandaise a infligé à Uber une amende pour avoir transféré des données de chauffeurs de l'UE (y compris des antécédents judiciaires, des données médicales et de localisation) vers le siège américain d'Uber sans aucun mécanisme de transfert pendant plus de deux ans. Uber a fait appel ; la procédure pourrait durer jusqu'à quatre ans.
Pourquoi l'Irlande domine les amendes les plus élevées
Six des dix amendes les plus importantes ont été prononcées par la Data Protection Commission (DPC) irlandaise. Le mécanisme de guichet unique du RGPD attribue l'autorité de contrôle principale à l'APD de l'État membre où une entreprise a son principal établissement dans l'UE. Meta, Google, Apple, TikTok, LinkedIn et Microsoft ont tous choisi Dublin, faisant de la DPC irlandaise leur autorité chef de file. Le rythme d'application de la DPC s'est accéléré après 2022, sous la pression soutenue de l'EDPB et d'autres autorités de l'UE qui reprochaient à cette dernière un défaut d'application à l'égard des grandes plateformes technologiques.

Les conséquences au-delà des amendes
Les amendes administratives sont l'outil d'application du RGPD le plus visible, mais les autorités de contrôle disposent d'un large éventail de pouvoirs correctifs au titre de l'article 58(2), et les particuliers disposent de droits d'indemnisation civile indépendants au titre de l'article 82.
Les pouvoirs correctifs au titre de l'article 58(2)
Les autorités de contrôle peuvent prononcer l'une des mesures suivantes, séparément ou en plus d'une amende :
- Avertissements et rappels à l'ordre : utilisés pour les violations moins graves ou les contrevenants primaires
- Mises en demeure de se conformer : exigeant que le responsable du traitement ou le sous-traitant mette le traitement en conformité dans un délai précis
- Interdictions temporaires ou définitives de traitement : interdisant des activités de traitement spécifiques
- Ordres d'effacement des données : exigeant la suppression des données à caractère personnel collectées en violation du RGPD
- Suspension des transferts de données : interdisant les transferts de données à caractère personnel vers un pays tiers
- Ordres de notification des personnes concernées : exigeant la notification des personnes lorsque le responsable du traitement a omis de le faire
Les interdictions de traitement et les suspensions de transfert peuvent mettre en péril l'existence même des entreprises dont l'activité dépend des opérations concernées. TikTok a obtenu la suspension judiciaire de l'ordre de suspension de transfert de la DPC irlandaise précisément parce que l'arrêt des transferts vers la Chine était jugé plus dommageable sur le plan opérationnel que l'amende de 530 millions d'euros. Cet ordre n'impliquait aucune somme d'argent ; c'est la conséquence opérationnelle qui a motivé le contentieux.
L'indemnisation civile au titre de l'article 82
L'article 82 donne à toute personne ayant subi un dommage matériel ou moral du fait d'une violation du RGPD le droit de demander réparation au responsable du traitement ou au sous-traitant responsable. Le responsable du traitement et tout sous-traitant impliqué sont conjointement responsables ; un sous-traitant ne peut échapper à sa responsabilité qu'en démontrant qu'il n'est en rien fautif.
La CJUE a précisé la portée de l'article 82 dans son arrêt de mai 2023 dans l'affaire C-300/21 (Österreichische Post). Trois principes en sont ressortis.
Trois conditions doivent toutes être réunies : une violation du RGPD, un préjudice réel subi et un lien de causalité entre la violation et le préjudice. Une violation sans préjudice prouvé ne donne pas droit à indemnisation au plaignant.
Aucun seuil de gravité minimal pour le préjudice moral : l'article 82 n'exige pas que la détresse ou l'anxiété atteigne une gravité particulière pour ouvrir droit à indemnisation. Les États membres ne peuvent pas imposer leur propre seuil de gravité.
Les montants d'indemnisation sont déterminés par le droit national, sous réserve des principes d'équivalence et d'effectivité du droit de l'UE. Les montants accordés varient considérablement d'un État membre à l'autre.
En pratique, les demandes fondées sur l'article 82 sont introduites parallèlement à l'action réglementaire, dans le cadre de procédures représentatives, ou dans le cadre d'un contentieux civil autonome. Les amendes réglementaires et les demandes d'indemnisation civile peuvent être poursuivies simultanément, créant une double responsabilité pour la même violation du RGPD.
Tendances en matière d'application : 2024 à 2026
Statistiques 2025 et rapport annuel de l'EDPB
L'EDPB a publié son rapport annuel 2025 en avril 2026. Les autorités nationales de protection des données ont infligé un total combiné de 1,15 milliard d'euros d'amendes en 2025, largement porté par la décision de la DPC irlandaise concernant TikTok. Le total cumulé depuis mai 2018 a dépassé 7,1 milliards d'euros pour plus de 2 800 sanctions.
L'action de coordination des mesures d'application (CEF) 2025 de l'EDPB s'est concentrée sur le droit à l'effacement au titre de l'article 17. Trente-deux APD y ont participé, examinant 764 responsables de traitement à travers l'Europe, allant des PME aux grandes entreprises et organismes publics.
L'action CEF 2026 cible les obligations de transparence et d'information au titre des articles 13 et 14, examinant si les organisations fournissent aux personnes concernées des informations claires, complètes et accessibles sur la confidentialité. Les organisations dotées de politiques de confidentialité génériques ou incomplètes font l'objet d'un contrôle accru en 2026.
Où se concentre l'application
Plusieurs tendances caractérisent l'application entre 2024 et 2026.
Les transferts internationaux de données restent le domaine le plus à risque. Les trois amendes les plus élevées concernent toutes des transferts de données personnelles de l'UE vers des pays sans décision d'adéquation. Le cadre de protection des données UE-États-Unis, adopté en juillet 2023, offre un mécanisme légal pour les entreprises certifiées, mais sa validité reste contestée devant les juridictions de l'UE. Pour les transferts vers la Chine et d'autres pays, aucune décision d'adéquation n'existe et le contrôle est intense.
Publicité comportementale et bases juridiques invalides. Le constat selon lequel « l'intérêt légitime » et la « nécessité contractuelle » ne peuvent pas justifier le profilage comportemental et la publicité ciblée a désormais généré des amendes importantes contre Meta, Amazon, LinkedIn et d'autres. Les entreprises dont le modèle économique repose sur la publicité comportementale restent exposées tant qu'elles n'obtiennent pas un consentement spécifique et valide.
IA et traitement des données. L'avis d'avril 2025 de l'EDPB a précisé que les grands modèles de langage atteignent rarement une anonymisation conforme au RGPD. Les responsables du traitement qui déploient des outils d'IA tiers traitant des données personnelles doivent évaluer leur base juridique et documenter une analyse d'intérêt légitime le cas échéant.
Défaillances de gouvernance, pas seulement les conséquences d'incidents. L'application s'est déplacée vers la sanction des carences structurelles (absence de chiffrement, gestion insuffisante des fournisseurs, contrôles d'accès inadéquats), qu'une violation se soit effectivement produite ou non.
GDPR Omnibus IV : réformes proposées
En novembre 2025, la Commission européenne a publié le paquet Omnibus IV, qui propose des modifications ciblées visant à réduire la charge administrative. Les propositions clés incluent l'extension des exemptions de tenue de registres au titre de l'article 30 aux organisations de moins de 750 employés (actuellement 250), et l'extension de dispositions spécifiques aux PME aux « petites entreprises de taille intermédiaire ».
L'EDPB et le CEPD ont salué certains aspects tout en demandant des clarifications. L'adoption formelle du paquet n'est pas attendue avant fin 2026 au plus tôt. La structure des amendes prévue à l'article 83 n'est pas affectée par les propositions actuelles.
Comment réduire votre risque d'amendes RGPD
Les autorités de contrôle tiennent compte de la posture de conformité, de la coopération et des mesures correctives dans le calcul des amendes. Les étapes suivantes permettent à la fois de prévenir les violations et de réduire les sanctions en cas de violation.
Documenter chaque action
Le principe de responsabilité du RGPD (article 5(2)) exige que les organisations démontrent leur conformité, et non se contentent de s'y conformer. Conservez des registres des activités de traitement, des analyses d'impact réalisées, des évaluations de base juridique, des journaux de formation du personnel, des contrats avec les fournisseurs comportant les clauses de l'article 28 et des politiques de confidentialité à jour. La documentation constitue une preuve de bonne foi et sert directement de facteur atténuant.
Réagir immédiatement aux incidents
Lorsqu'une violation ou un manquement à la conformité survient, la rapidité compte. Le délai de notification de 72 heures constitue une obligation légale, mais une réaction rapide est également un facteur atténuant. La correction immédiate, la notification rapide à l'autorité de contrôle et une communication transparente jouent toutes en faveur de l'organisation. Consultez notre guide sur la règle des 72 heures de notification des violations RGPD pour la procédure complète de signalement.
Coopérer avec les enquêtes des autorités de contrôle
Les organisations qui répondent rapidement aux demandes d'information, accordent l'accès pour les inspections et mettent en œuvre les changements recommandés reçoivent systématiquement des amendes plus faibles que celles qui temporisent ou contestent chaque étape. La coopération pleine et entière est explicitement citée comme facteur atténuant à l'article 83(2)(f).
Auditer les transferts internationaux de données
Étant donné que les trois amendes RGPD les plus élevées concernent toutes des transferts transfrontaliers, cartographier chaque flux de données sortant et vérifier l'existence de mécanismes de transfert valides constitue une tâche de conformité hautement prioritaire. Les clauses contractuelles types doivent être accompagnées d'une analyse d'impact du transfert pour les transferts vers des pays sans décision d'adéquation.
Valider les bases juridiques pour la publicité et l'analyse
La vague d'amendes contre Meta, Amazon, LinkedIn et d'autres pour bases juridiques invalides en matière de publicité comportementale démontre que l'intérêt légitime ne constitue pas un refuge sûr pour le profilage et la publicité ciblée. Les organisations qui s'appuient sur cette base pour l'analyse ou la publicité devraient faire réviser leurs évaluations par un conseil juridique expérimenté en matière d'application du RGPD.
Investir dans la formation du personnel et la protection des données dès la conception
De nombreuses violations résultent d'erreurs des employés ou de produits conçus sans principes de minimisation des données. Une formation régulière et documentée ainsi qu'une revue de la protection des données dès la conception pour les nouveaux produits et fonctionnalités réduisent à la fois la probabilité de violations et le constat de négligence qui aggraverait une amende au titre de l'arrêt Deutsche Wohnen.
Utiliser la liste de contrôle de conformité RGPD
Notre liste de contrôle de conformité RGPD couvre toutes les obligations clés dans un format structuré. Les organisations dotées de programmes de conformité documentés sont mieux placées pour démontrer la responsabilité exigée par les autorités de contrôle.
Autres guides RGPD
- Qu'est-ce que le RGPD pour une vue d'ensemble complète du règlement et de son champ d'application
- Liste de contrôle de conformité RGPD pour un guide de conformité étape par étape destiné aux organisations
- Droits des personnes concernées au titre du RGPD pour les huit droits individuels et comment y répondre
- Exigences de consentement RGPD pour ce qui constitue un consentement valide au titre de l'article 7
- Règle des 72 heures de notification des violations RGPD pour les obligations et délais de signalement des violations
- RGPD pour les petites entreprises pour des conseils de conformité spécifiques aux PME
- Lois européennes sur la protection des données pour une vue d'ensemble complète du cadre européen de protection des données
Frequently Asked Questions
Quelle est l'amende RGPD maximale ?
L'amende RGPD maximale est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'organisation pour l'exercice financier précédent, le montant le plus élevé étant retenu. Cette sanction de niveau supérieur s'applique aux violations des principes fondamentaux du traitement, des droits des personnes concernées, des règles de consentement et des exigences de transfert international au titre de l'article 83(5). Pour les violations de niveau inférieur, telles que les manquements à la tenue de registres et à la désignation d'un DPO, le maximum est de 10 millions d'euros ou 2 % du chiffre d'affaires mondial.
Quelle est la plus grosse amende RGPD jamais infligée ?
La plus grosse amende RGPD confirmée est de 1,2 milliard d'euros, imposée à Meta Platforms Ireland Limited par la Data Protection Commission irlandaise en mai 2023 pour avoir transféré les données d'utilisateurs européens de Facebook vers les États-Unis sans garanties adéquates. Cette amende résulte d'une décision contraignante de l'EDPB. Meta a fait appel devant le Tribunal de l'UE ; l'appel reste pendant en 2026. L'amende de 746 millions d'euros infligée à Amazon, précédemment la deuxième plus élevée, a été annulée par une juridiction luxembourgeoise en mars 2026 et renvoyée devant le régulateur pour réexamen. Amazon pourrait encore faire l'objet d'une nouvelle amende.
Une entreprise peut-elle être sanctionnée au titre du RGPD sans intention d'enfreindre les règles ?
Non. La CJUE a confirmé dans son arrêt Deutsche Wohnen de décembre 2023 (affaire C-807/21) que les amendes RGPD exigent que l'infraction ait été commise intentionnellement ou par négligence. La responsabilité objective est incompatible avec l'article 83. Toutefois, le seuil de négligence est bas : ne pas avoir pris de mesures de conformité raisonnables suffira généralement à le satisfaire. Une organisation qui fait un effort réel et documenté de conformité mais commet néanmoins une erreur dispose d'un argument valable pour obtenir une amende réduite.
Comment les amendes RGPD sont-elles calculées ?
Les autorités de contrôle suivent les lignes directrices 04/2022 de l'EDPB, qui établissent un processus en cinq étapes : identifier les infractions et évaluer l'article 83(3) en cas de violations multiples ; déterminer un montant de départ fondé sur la nature, la gravité et la durée ainsi que le chiffre d'affaires de l'organisation ; évaluer les facteurs aggravants et atténuants, notamment l'intention, la coopération, les violations antérieures, les catégories de données et les mesures correctives ; appliquer le plafond légal du niveau concerné ; et évaluer si le montant final est effectif, proportionné et dissuasif.
Les amendes RGPD peuvent-elles s'appliquer à des entreprises situées hors de l'UE ?
Oui. Le RGPD s'applique à toute organisation dans le monde qui traite des données à caractère personnel de personnes situées dans l'UE, et les amendes s'appliquent également aux entreprises non européennes. TikTok (propriété chinoise, 530 millions d'euros via la DPC irlandaise), Amazon (basée aux États-Unis, 746 millions d'euros via la CNPD luxembourgeoise, désormais annulée en appel) et Uber (basée aux États-Unis, 290 millions d'euros via l'AP néerlandaise) ont toutes reçu des amendes majeures bien qu'ayant leur siège en dehors de l'UE.
Qu'est-il arrivé à l'amende de 746 millions d'euros infligée à Amazon ?
L'amende de 746 millions d'euros infligée à Amazon, imposée par la CNPD luxembourgeoise en 2021 pour l'utilisation d'une base juridique invalide en matière de publicité comportementale, a été annulée par la Cour administrative du Luxembourg le 12 mars 2026. La Cour a estimé que la CNPD n'avait pas analysé si Amazon avait agi intentionnellement ou par négligence (l'exigence de faute établie par la CJUE dans l'arrêt Deutsche Wohnen), et n'avait pas examiné si une mesure moins sévère aurait été appropriée. Le constat de fond selon lequel la base juridique d'Amazon était invalide a été confirmé. L'affaire a été renvoyée devant la CNPD pour qu'elle refasse son analyse ; Amazon pourrait encore faire l'objet d'une nouvelle amende.
Les particuliers peuvent-ils poursuivre en justice pour des violations du RGPD ?
Oui. L'article 82 donne aux particuliers le droit de demander réparation aux responsables du traitement ou aux sous-traitants pour tout préjudice matériel et moral causé par une violation du RGPD. La CJUE a confirmé dans l'affaire Österreichische Post (C-300/21, mai 2023) qu'il n'existe aucun seuil de gravité minimal : toute détresse prouvée peut donner droit à indemnisation. Toutefois, les plaignants doivent prouver une violation réelle, un préjudice réel et un lien de causalité. L'action réglementaire et les demandes civiles peuvent être poursuivies simultanément.
Quel pays de l'UE prononce le plus d'amendes RGPD ?
L'Agencia Española de Protección de Datos (AEPD) espagnole prononce le plus grand nombre d'amendes individuelles, plus de 1 000 depuis 2018, principalement des sanctions plus modestes visant des entreprises nationales. La Data Protection Commission irlandaise arrive en tête en valeur totale d'amendes, avec plus de 4 milliards d'euros cumulés, car les grandes entreprises technologiques, dont Meta, TikTok, LinkedIn, Google et Apple, ont leur siège européen à Dublin, ce qui fait de la DPC irlandaise leur autorité de contrôle chef de file en vertu du mécanisme de guichet unique.
Quelles sont les violations RGPD les plus courantes conduisant à des amendes ?
Les violations les plus courantes générant des amendes sont : le traitement de données sans base juridique valide au titre de l'article 6 ; des mesures de sécurité techniques inadéquates entraînant des violations de données ; des transferts internationaux de données illicites sans garanties adéquates ; le défaut de réponse aux demandes d'exercice des droits des personnes concernées dans les délais légaux ; et une transparence insuffisante dans les avis de confidentialité. Les amendes les plus élevées se sont concentrées sur les transferts internationaux et les bases juridiques invalides en matière de publicité comportementale.
Sources and References
- RGPD, texte intégral — Articles 83 et 82(eur-lex.europa.eu).gov
- Lignes directrices 04/2022 de l'EDPB sur le calcul des amendes administratives (version finale, juin 2023)(edpb.europa.eu).gov
- EDPB — Amende de 1,2 milliard d'euros contre Facebook (décision contraignante, mai 2023)(edpb.europa.eu).gov
- EDPB — L'autorité irlandaise sanctionne TikTok de 530 millions d'euros (mai 2025)(edpb.europa.eu).gov
- DPC irlandaise — Décision TikTok, 530 millions d'euros (mai 2025)(dataprotection.ie).gov
- AP néerlandaise — Amende de 290 millions d'euros contre Uber (août 2024)(autoriteitpersoonsgegevens.nl).gov
- DPC irlandaise — Amende de 310 millions d'euros contre LinkedIn (octobre 2024)(dataprotection.ie).gov
- CJUE — Arrêt C-807/21 Deutsche Wohnen (décembre 2023)(curia.europa.eu).gov
- CJUE — Arrêt C-300/21 Österreichische Post (mai 2023)(curia.europa.eu).gov
- EDPB CEF 2026 — Action coordonnée sur la transparence(edpb.europa.eu).gov
- Commission européenne — Explications sur l'application et les sanctions(commission.europa.eu).gov
- Avis de l'EDPB et du CEPD sur les propositions de simplification GDPR Omnibus IV (2025)(edpb.europa.eu).gov
- GDPR Enforcement Tracker — Base de données des amendes en temps réel(enforcementtracker.com)
- Enquête DLA Piper sur les amendes RGPD et les violations de données, janvier 2026(dlapiper.com)