Le RGPD a instauré un régime de sanctions parmi les plus dissuasifs au monde. Amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial, injonctions, publication des décisions… Aucune organisation n'est à l'abri.
L'article 83 du RGPD prévoit deux paliers d'amendes administratives, proportionnés à la gravité des manquements constatés. Le montant retenu est toujours le plus élevé entre le plafond fixe et le pourcentage du chiffre d'affaires.
Ce premier palier concerne les manquements techniques et organisationnels : absence de registre des traitements (article 30), défaut de notification d'une violation de données dans les 72 heures (article 33), absence d'analyse d'impact pour les traitements à risque (article 35), défaut de désignation d'un DPO quand il est obligatoire (article 37), ou non-respect des obligations de sécurité des données (article 32).
Le second palier s'applique aux violations les plus graves : non-respect des droits fondamentaux des personnes (accès, effacement, portabilité), traitement sans base légale valide ou sans consentement valable, non-respect des conditions de transfert de données vers des pays tiers, ou refus de coopérer avec l'autorité de contrôle.
Critères de calcul (article 83§2) — Le montant final de l'amende dépend de 11 critères : la nature et la gravité de la violation, le nombre de personnes concernées, les mesures prises pour atténuer le dommage, le degré de coopération avec l'autorité, les antécédents, le caractère intentionnel ou négligent, les catégories de données concernées et la manière dont la violation a été portée à la connaissance de l'autorité.
Depuis l'entrée en vigueur du RGPD en 2018, les autorités de protection des données ont prononcé des amendes record. Voici les décisions les plus marquantes.
Amende record prononcée par l'autorité irlandaise (DPC) pour le transfert illégal de données d'utilisateurs européens vers les États-Unis via Facebook, en violation du chapitre V du RGPD. C'est la plus lourde sanction RGPD jamais prononcée à ce jour.
L'autorité luxembourgeoise (CNPD) a sanctionné Amazon pour des pratiques de ciblage publicitaire non conformes au RGPD, notamment l'absence de consentement valide pour le traitement des données personnelles à des fins de publicité ciblée.
La CNIL a sanctionné le spécialiste français du reciblage publicitaire pour défaut de consentement valide des internautes, absence de preuve du consentement collecté par ses partenaires et manquement au droit d'accès et de retrait du consentement.
La CNIL a sanctionné Free Mobile pour non-respect du droit d'accès (réponses incomplètes ou absentes aux demandes des abonnés) et manquement à la sécurité des données (mots de passe transmis en clair par email lors de la souscription).
La CNIL a infligé l'amende maximale à Clearview AI pour collecte et utilisation de données biométriques (reconnaissance faciale) sans base légale, sans consentement et sans information des personnes concernées. La société aspirait des photos depuis Internet à l'insu des individus.
Google : 150 M€ (2022) pour les cookies sur youtube.fr. Microsoft : 60 M€ (2022) pour les cookies sur bing.com. Accor : 600 K€ (2022) pour prospection sans consentement. Dedalus Biologie : 1,5 M€ (2022) pour fuite de données de santé.
Les sanctions pécuniaires ne sont que la partie visible de l'iceberg. Les conséquences d'un manquement au RGPD dépassent largement le montant de l'amende.
Atteinte à la réputation — La CNIL publie systématiquement ses décisions de sanction sur son site web (pratique du name and shame). La couverture médiatique qui s'ensuit peut durablement ternir l'image d'une entreprise auprès de ses clients, partenaires et investisseurs. Pour une PME, l'impact réputationnel peut être plus dommagéable que l'amende elle-même.
Perte de clients et de partenaires — Une sanction RGPD signalée publiquement érode la confiance. Les clients soucieux de leurs données peuvent se tourner vers un concurrent. Les appels d'offres exigent de plus en plus une conformité RGPD démontrée : une sanction passée devient un handicap concurrentiel majeur.
Poursuites judiciaires individuelles — Au-delà de l'action de la CNIL, les personnes dont les données ont été violées peuvent engager des actions civiles pour obtenir réparation du préjudice subi (article 82 du RGPD). Des actions collectives (class actions) se multiplient en Europe, augmentant considérablement le risque financier.
Injonctions et limitations de traitement — La CNIL peut ordonner la suspension ou la limitation d'un traitement de données, voire interdire un flux de données. Pour une entreprise dont l'activité repose sur le traitement de données (marketing, e-commerce, santé), cette mesure peut être véritablement paralysante.
Astreintes journalières — En cas de non-exécution d'une mise en demeure dans le délai imparti, la CNIL peut prononcer des astreintes pouvant atteindre 100 000 € par jour de retard. Ce mécanisme garantit que les organisations se mettent réellement en conformité.
La meilleure protection contre les sanctions reste la mise en conformité proactive. Voici les mesures concrètes à mettre en place dans votre organisation.
Le registre des traitements (article 30) est le document central de votre conformité. Il recense l'ensemble des activités de traitement de données personnelles de votre organisation : finalités, catégories de données, destinataires, durées de conservation et mesures de sécurité. Mettez-le à jour régulièrement et lors de tout nouveau traitement.
La désignation d'un Délégué à la Protection des Données est obligatoire pour les organismes publics, les entreprises dont l'activité principale implique un suivi régulier à grande échelle ou le traitement de données sensibles à grande échelle. Même si ce n'est pas obligatoire pour votre structure, un DPO (interne ou externalisé) est un atout précieux.
L'analyse d'impact relative à la protection des données (AIPD, article 35) est obligatoire lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes : vidéosurveillance, profilage, traitement de données de santé, scoring. Documentez votre analyse et les mesures d'atténuation adoptées.
Les personnes disposent de 8 droits fondamentaux (accès, rectification, effacement, portabilité, opposition, limitation, information, décision automatisée). Vous devez répondre à toute demande dans un délai d'un mois. Mettez en place un processus clair et tracé pour gérer ces demandes.
En cas de violation de données (fuite, accès non autorisé, perte), vous devez notifier la CNIL dans les 72 heures suivant la découverte de l'incident (article 33). Si le risque est élevé pour les personnes concernées, elles doivent également être informées. Préparez un plan de réponse aux incidents pour ne pas être pris au dépourvu.
Le principe d'accountability (article 5§2) exige que vous puissiez démontrer votre conformité à tout moment. Documentez chaque décision, chaque mesure prise, chaque formation réalisée. En cas de contrôle, cette documentation sera votre meilleure défense. Un logiciel RGPD centralise cette traçabilité automatiquement.
Le montant maximum est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu. Ce plafond s'applique aux violations les plus graves : non-respect des droits fondamentaux, traitement sans base légale, transferts internationaux illégaux. Pour les manquements techniques, le plafond est de 10 M€ ou 2 % du CA.
Oui. La CNIL sanctionne toute organisation, quelle que soit sa taille. Des PME, des médecins libéraux et des associations ont déjà reçu des mises en demeure ou des amendes. Cependant, le montant est toujours proportionné à la taille, aux moyens et à la gravité du manquement. La CNIL privilégie souvent l'accompagnement pour les petites structures, mais n'hésite pas à sanctionner en cas de manquements répétés ou de mauvaise foi. Découvrez les obligations spécifiques des entreprises.
L'article 83 du RGPD liste 11 critères : la nature, la gravité et la durée de la violation ; le nombre de personnes touchées ; les mesures prises pour atténuer le dommage ; le degré de coopération avec l'autorité ; les antécédents ; le caractère intentionnel ou négligent ; les catégories de données concernées ; la manière dont la violation a été portée à la connaissance de l'autorité ; le respect de mesures précédemment ordonnées ; l'adhésion à des codes de conduite ; et tout autre facteur aggravant ou atténuant.
Au-delà des amendes, la CNIL dispose d'un arsenal varié : rappels à l'ordre, mises en demeure avec délai de mise en conformité, injonctions de cesser un traitement, limitations temporaires ou définitives du traitement, et publication de la décision. Cette dernière mesure (le name and shame) est souvent la plus redoutée par les entreprises soucieuses de leur image.
Un logiciel RGPD comme Dativo centralise votre registre des traitements, automatise le suivi des demandes de droits, gère les délais, documente vos actions de conformité et vous alerte en cas de dépassement. En cas de contrôle CNIL, vous disposez immédiatement de toute la documentation nécessaire pour démontrer votre bonne foi et votre conformité. C'est la différence entre une mise en conformité théorique et une conformité démontrable.
Anticiper vaut mieux que subir. Dativo vous aide à mettre votre organisation en conformité et à documenter chaque action pour faire face sereinement à tout contrôle.
Essayer Dativo gratuitement