Points clés — Sanctions et amendes RGPD
Depuis l'entrée en vigueur du RGPD en mai 2018, les autorités européennes de protection des données ont prononcé plus de 4,5 milliards d'euros d'amendes, l'application des règles s'accélérant d'année en année. Les amendes sont structurées en deux niveaux : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les violations procédurales (article 83(4)), et jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les violations substantielles (article 83(5)). Les organisations qui maintiennent des programmes de conformité documentés — y compris des registres des traitements à jour, des AIPD réalisées et un risque fournisseur maîtrisé — bénéficient de facteurs atténuants au titre de l'article 83(2) du RGPD. Des plateformes hébergées en Suisse comme Priverion aident les organisations multi-entités à centraliser ces obligations et à démontrer leur responsabilité aux autorités de contrôle.
Définitions
Qu'est-ce qu'une amende RGPD ?
Une amende RGPD est une sanction administrative imposée par une autorité de contrôle au titre des articles 83 et 84 du Règlement général sur la protection des données (RGPD) en cas de non-respect des obligations en matière de protection des données. Les amendes sont calculées selon des critères incluant la nature, la gravité et la durée de l'infraction ; le nombre de personnes concernées ; et le degré de coopération avec l'autorité. Source : article 83 du RGPD
Qu'est-ce qu'un registre des activités de traitement ?
Un registre des activités de traitement est un registre obligatoire requis au titre de l'article 30 du RGPD qui documente toutes les opérations de traitement de données à caractère personnel effectuées par un responsable du traitement ou un sous-traitant. Chaque entité juridique au sein d'un groupe doit tenir son propre registre des traitements.
Qu'est-ce qu'une analyse d'impact relative à la protection des données (AIPD) ?
Une analyse d'impact relative à la protection des données (AIPD) est une évaluation des risques requise au titre de l'article 35 du RGPD avant un traitement susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. Les lignes directrices du CEPD sur la protection des données dès la conception apportent un éclairage supplémentaire sur les cas où une AIPD est requise.
Qu'est-ce que les clauses contractuelles types (CCT) ?
Les clauses contractuelles types (CCT) sont des clauses contractuelles préapprouvées adoptées par la Commission européenne au titre de la décision d'exécution (UE) 2021/914 de la Commission qui offrent des garanties appropriées pour les transferts internationaux de données au titre de l'article 46(2)(c) du RGPD.
Foire aux questions
Comment les amendes RGPD sont-elles calculées ?
Les amendes RGPD sont calculées par les autorités de contrôle selon les critères énoncés à l'article 83(2) du RGPD, qui énumère 11 facteurs, dont : la nature, la gravité et la durée de l'infraction ; le caractère intentionnel ou négligent de la violation ; les mesures prises pour atténuer le préjudice ; le degré de coopération avec l'autorité ; et toute infraction antérieure. En juin 2023, le CEPD a adopté les lignes directrices 04/2022 établissant une méthodologie en cinq étapes pour un calcul harmonisé des amendes dans les États membres de l'UE.
Quel est le montant maximal d'une amende RGPD ?
Le montant maximal d'une amende RGPD dépend du niveau de la violation. Les violations de niveau 1 (p. ex. absence de tenue d'un registre des traitements, AIPD insuffisantes) sont passibles d'amendes allant jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Les violations de niveau 2 (p. ex. traitement illicite, atteinte aux droits des personnes concernées, transferts internationaux illégaux) sont passibles d'amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Ces seuils sont définis aux articles 83(4) et 83(5) du RGPD.
Quelle a été la plus importante amende RGPD jamais prononcée ?
La plus importante amende RGPD à ce jour a été la sanction de 1,2 milliard d'euros infligée à Meta Platforms Ireland Ltd par la Commission irlandaise de protection des données en mai 2023 pour des transferts illicites de données à caractère personnel de l'UE vers les États-Unis, en violation de l'article 46 du RGPD. La décision a été prise à la suite d'une décision contraignante du Comité européen de la protection des données.
Les petites et moyennes entreprises peuvent-elles recevoir des amendes RGPD ?
Oui. Bien que les amendes les plus médiatisées concernent souvent de grandes entreprises technologiques, les autorités de contrôle sanctionnent régulièrement les petites et moyennes entreprises. Selon l'IAPP, des centaines d'amendes inférieures à 100 000 euros sont prononcées chaque année dans les États membres de l'UE pour des violations telles que des registres des traitements incomplets, l'absence de mécanismes de consentement aux cookies et le non-respect du délai de réponse de 30 jours aux demandes des personnes concernées fixé par l'article 12(3) du RGPD.
Quels facteurs atténuants réduisent les amendes RGPD ?
L'article 83(2) du RGPD énumère explicitement les facteurs atténuants que les autorités de contrôle doivent prendre en compte, notamment : le degré de responsabilité compte tenu des mesures techniques et organisationnelles mises en œuvre au titre des articles 25 et 32 ; toute mesure prise pour atténuer le préjudice subi par les personnes concernées ; le degré de coopération avec l'autorité de contrôle ; et l'adhésion à des codes de conduite ou des mécanismes de certification approuvés. Maintenir un programme de conformité documenté et proactif — avec des registres des traitements à jour, des AIPD réalisées et des évaluations systématiques du risque fournisseur — est régulièrement cité comme facteur atténuant dans les décisions d'application.
Comment l'hébergement des données en Suisse affecte-t-il la conformité au RGPD ?
La Suisse bénéficie d'une décision d'adéquation de l'UE au titre de l'article 45 du RGPD, ce qui signifie que les données à caractère personnel peuvent circuler de l'UE/EEE vers la Suisse sans garanties supplémentaires telles que des CCT. Héberger les données dans une infrastructure suisse évite les risques juridictionnels associés aux fournisseurs de cloud dont le siège est aux États-Unis, qui restent soumis aux demandes d'accès aux données du gouvernement américain — une préoccupation soulignée par la Cour de justice de l'UE dans l'arrêt Schrems II (affaire C-311/18).
Quel est le rôle du CEPD dans l'application du RGPD ?
Le Comité européen de la protection des données (CEPD) est un organe indépendant de l'UE institué au titre de l'article 68 du RGPD qui garantit une application cohérente du règlement dans tous les États membres. Le CEPD rend des décisions contraignantes dans les affaires transfrontalières, publie des lignes directrices sur le calcul des amendes et les priorités d'application, et coordonne les autorités de contrôle nationales. Ses lignes directrices 04/2022 sur le calcul des amendes constituent la référence faisant autorité quant à la manière dont les sanctions sont déterminées.
Statistiques d'application du RGPD
Selon les données compilées par le GDPR Enforcement Tracker de CMS Law, plus de 4,5 milliards d'euros d'amendes cumulées ont été prononcés depuis mai 2018. Les rapports annuels du CEPD confirment que les affaires d'application transfrontalières ont augmenté de manière significative, le mécanisme du guichet unique produisant chaque année davantage de décisions contraignantes. Le rapport IAPP-EY sur la gouvernance de la confidentialité (2023) a constaté que l'organisation moyenne dépense environ 2,7 millions de dollars par an pour le fonctionnement de son programme de confidentialité, ce qui reflète le coût croissant de la conformité — mais aussi sa rentabilité par rapport aux amendes potentielles. Selon l'ENISA, les organisations dotées de programmes de protection des données matures connaissent 40 % d'incidents de violation de données en moins, ce qui réduit encore l'exposition aux sanctions.
Comparaison des niveaux d'amende RGPD
| Critère | Niveau 1 (article 83(4)) | Niveau 2 (article 83(5)) |
|---|
| Amende maximale | 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial | 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial |
| S'applique à | Obligations procédurales/organisationnelles | Principes fondamentaux de traitement des données et droits des personnes concernées |
| Exemples de violations | Registre des traitements incomplet, AIPD manquante, mesures de sécurité insuffisantes | Traitement illicite, violation des règles de consentement, transferts internationaux illégaux |
| Articles clés du RGPD | Articles 8, 11, 25 à 39, 42, 43 | Articles 5 à 7, 9, 12 à 22, 44 à 49 |
| Exemple de cas marquant | Diverses amendes pour PME (de 5 000 à 500 000 €) | Meta — 1,2 milliard d'euros (2023, transferts internationaux) |