Les amendes RGPD continuent d'augmenter -- et les autorités de contrôle se concentrent sur de nouvelles priorités. Découvrez quelles violations ont été le plus fréquemment sanctionnées en 2025/2026, comment l'art. 83 RGPD est appliqué en pratique et quelles mesures peuvent protéger votre entreprise contre des sanctions sévères.
Amendes RGPD en 2026 : évolutions récentes et enseignements tirés
Depuis l'entrée en vigueur du Règlement général sur la protection des données (RGPD) le 25 mai 2018, les autorités européennes de protection des données ont prononcé des amendes se chiffrant en milliards d'euros. La tendance est nette : les sanctions augmentent, les autorités de contrôle se professionnalisent et la mise en application se fait plus rigoureuse. Pour les entreprises de toute taille, il est donc essentiel de connaître les tendances actuelles en matière d'application et de vérifier en permanence leur conformité au RGPD. Cet article analyse les principales évolutions de 2025 et 2026 et identifie les enseignements concrets que les entreprises devraient en tirer.
Tendances de mise en application
Des montants d'amendes en hausse
Les amendes cumulées au titre du RGPD en Europe ont dépassé les six milliards d'euros en 2025. Il est particulièrement frappant de constater que les géants technologiques ne sont plus les seuls visés : les PME, les collectivités locales et les établissements de santé sont de plus en plus dans le collimateur des autorités. Le montant moyen des amendes a augmenté d'environ 40 pour cent au cours des deux dernières années.
Priorités des autorités de contrôle
Les autorités européennes de protection des données ont sensiblement modifié leurs priorités de contrôle :
- Cookies et traçage : le recueil illicite du consentement, notamment par des bannières cookies manipulatrices (dark patterns), constitue l'un des motifs de sanction les plus fréquents
- Transferts internationaux de données : les transferts vers des pays tiers sans décision d'adéquation (Chine, Inde, etc.) restent un sujet à haut risque
- IA et décisions automatisées : avec la diffusion des systèmes d'IA, les obligations de transparence des articles 13, 14 et 22 du RGPD occupent le devant de la scène
- Sécurité des données et obligations de notification : les notifications tardives ou incomplètes de violations de données sont systématiquement sanctionnées
- Protection des données des salariés : la surveillance des employés par des systèmes de pointage, le suivi GPS et la vidéosurveillance entraîne un nombre croissant d'amendes
Harmonisation par le CEPD
Le Comité européen de la protection des données (CEPD) a établi un cadre unifié avec ses Lignes directrices sur le calcul des amendes (Guidelines 04/2022), appliqué de manière croissante par les autorités nationales. Ces lignes directrices définissent un modèle en cinq étapes :
- Étape 1 : catégorisation de l'infraction (légère, moyenne, grave)
- Étape 2 : prise en compte du chiffre d'affaires de l'entreprise
- Étape 3 : examen des circonstances aggravantes et atténuantes
- Étape 4 : détermination du plafond légal
- Étape 5 : vérification de la proportionnalité, de l'effet dissuasif et de l'effectivité
Les infractions les plus fréquentes
Base juridique insuffisante (art. 6 RGPD)
Le motif d'amende de loin le plus fréquent est le traitement de données à caractère personnel sans base juridique valable :
- Consentement : le consentement ne répond pas aux exigences de l'article 7 du RGPD ou est obtenu par des dark patterns
- Intérêt légitime : la mise en balance des intérêts requise n'est pas réalisée ou insuffisamment documentée
- Exécution du contrat : des traitements sont abusivement fondés sur l'exécution contractuelle alors qu'ils n'y sont pas nécessaires
Manque de transparence (art. 12-14 RGPD)
Les politiques de confidentialité sont souvent incomplètes, obsolètes ou incompréhensibles : absence de durées de conservation précises, information insuffisante sur les destinataires, absence d'identification de la base juridique par finalité.
Mesures techniques et organisationnelles insuffisantes (art. 32 RGPD)
Les violations de données révèlent régulièrement des déficiences significatives :
- Absence de chiffrement des données en transit et au repos
- Gestion des correctifs défaillante
- Contrôles d'accès insuffisants
- Absence de pseudonymisation dans les environnements d'analyse et de test
Atteinte aux droits des personnes concernées (art. 15-22 RGPD)
Le non-respect des délais ou le caractère incomplet des réponses aux demandes d'accès et aux demandes d'effacement figure parmi les infractions les plus fréquemment sanctionnées.
Art. 83 RGPD : le cadre des amendes en pratique
Deux niveaux d'amendes
L'article 83 du RGPD distingue deux niveaux :
Art. 83 § 4 (jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel) :
- Manquements aux obligations du responsable du traitement ou du sous-traitant
Art. 83 § 5 (jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel) :
- Manquements aux principes fondamentaux du traitement (art. 5, 6, 9 RGPD)
- Atteintes aux droits des personnes concernées (art. 12-22 RGPD)
- Manquements aux dispositions relatives aux transferts internationaux (art. 44-49 RGPD)
Jurisprudence récente de la CJUE
- CJUE C-807/21 (Deutsche Wohnen) : les amendes peuvent être imposées directement aux personnes morales
- CJUE C-683/21 (Nacionalinis) : le chiffre d'affaires de l'ensemble du groupe est déterminant
- CJUE C-768/21 (Land Hessen) : l'autorité doit constater un comportement fautif avant d'infliger une amende
Enseignements : ce que les entreprises doivent faire
Mettre en place un système de gestion de la protection des données
Un système de gestion de la protection des données comprenant registre des traitements, analyses d'impact, concept de suppression et plan de réponse aux incidents est indispensable.
Renforcer le rôle du délégué à la protection des données
Le DPO doit disposer de ressources suffisantes, être impliqué en amont dans toutes les décisions pertinentes et pouvoir agir en toute indépendance.
Prioriser les mesures techniques
Les autorités attendent un état de la technique approprié au risque : chiffrement, authentification multifacteur, tests de pénétration réguliers, architecture zero-trust et détection automatisée des incidents.
Contrôler la sous-traitance
Les contrats de sous-traitance doivent être complets et actuels, les sous-traitants régulièrement audités et les transferts internationaux encadrés par des garanties appropriées.
La documentation comme bouclier
Le principe de responsabilité (accountability) de l'article 5 § 2 du RGPD exige que les entreprises puissent démontrer le respect de tous les principes de protection des données par une documentation complète.
Perspectives
Interaction avec le règlement sur l'IA
Le règlement sur l'intelligence artificielle (AI Act) ajoutera une dimension supplémentaire à la conformité en matière de protection des données. Les entreprises déployant des systèmes d'IA traitant des données personnelles devront respecter à la fois le RGPD et l'AI Act.
Renforcement de la protection des données des salariés
Les autorités de contrôle intensifient d'ores et déjà leurs contrôles en matière de vidéosurveillance sur le lieu de travail, de géolocalisation des véhicules de service et d'analyse de l'utilisation des messageries et d'internet.
Conclusion
Les amendes RGPD de 2026 montrent clairement que la protection des données n'est pas un tigre de papier mais un domaine porteur de risques financiers et réputationnels considérables. L'équipe de compleneo vous accompagne dans la mise en place et l'optimisation de votre système de gestion de la protection des données, la réalisation d'audits et la représentation devant les autorités de contrôle -- pour que vous soyez en sécurité en matière de protection des données.
