Guides & Ressources pratiques
CDD temps partiel : règles, mentions obligatoires et pièges à éviter
Amende RGPD : montants, barème CNIL et stratégies pour l'éviter
Points clés de l'article
- L'amende RGPD peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
- La CNIL a cumulé 486 millions d'euros de sanctions en 2025 à travers 83 procédures, avec une accélération nette depuis 2024.
- La formation restreinte module chaque sanction selon 11 critères définis à l'article 83 du RGPD : gravité, durée, nombre de personnes concernées, degré de coopération.
- Les manquements les plus sanctionnés concernent la sécurité des données, le défaut de base légale et l'information insuffisante des personnes.
- Plusieurs leviers de défense existent : coopération active avec le régulateur, mesures correctives immédiates, contestation devant le Conseil d'État.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
Qu'est-ce qu'une amende RGPD et qui peut la prononcer en France ?
Barème des sanctions CNIL : plafonds fixes et plafond proportionnel au CA
Procédure simplifiée vs procédure ordinaire : différences et enjeux
Les critères de modulation retenus par la formation restreinte
Panorama des amendes record en France sur la période 2024-2026
Les manquements les plus fréquemment sanctionnés par la CNIL
Comment limiter son exposition au risque d'amende RGPD
Voies de recours et stratégies de défense face à une sanction
Qu'est-ce qu'une amende RGPD et qui peut la prononcer en France ?
Une amende RGPD est une sanction pécuniaire infligée à un organisme — entreprise, association, collectivité — qui ne respecte pas les obligations du règlement général sur la protection des données (UE 2016/679). En France, l'autorité compétente pour la prononcer est la CNIL (Commission nationale de l'informatique et des libertés), autorité administrative indépendante créée en 1978.
Concrètement, la CNIL agit à deux niveaux. Elle contrôle d'abord la conformité des traitements de données personnelles, sur place, en ligne ou sur pièces. Elle sanctionne ensuite les manquements constatés par l'intermédiaire de sa formation restreinte, un collège de 5 membres distinct de celui qui mène l'instruction. Cette séparation fonctionnelle garantit l'impartialité de la décision.
Le champ d'application est large. Toute entité qui traite des données personnelles de résidents européens est concernée, y compris les sous-traitants. En 2025, la CNIL a mené 83 procédures de sanction, un volume en hausse de 40 % par rapport à 2023. Les PME et ETI représentent une part croissante des organismes contrôlés, notamment via la procédure simplifiée mise en place en 2022.
Barème des sanctions CNIL : plafonds fixes et plafond proportionnel au CA
Le RGPD distingue deux paliers de sanctions, selon la nature du manquement.
| Palier | Manquements visés | Plafond fixe | Plafond proportionnel |
|---|---|---|---|
| Palier 1 (art. 83§4) | Obligations du responsable de traitement, du sous-traitant, de l'organisme de certification | 10 M€ | 2 % du CA annuel mondial |
| Palier 2 (art. 83§5) | Principes de base, droits des personnes, transferts hors UE | 20 M€ | 4 % du CA annuel mondial |
Le montant retenu est toujours le plus élevé entre le plafond fixe et le plafond proportionnel. Pour une ETI réalisant 80 millions d'euros de chiffre d'affaires, le plafond théorique au palier 2 atteint donc 3,2 millions d'euros. Pour un groupe du CAC 40, il peut dépasser le milliard.
En pratique, la CNIL prononce des amendes très inférieures aux plafonds. Le montant médian des sanctions en 2024 se situe autour de 150 000 euros. Toutefois, les sanctions à plusieurs millions se multiplient, ce qui rend le risque financier difficilement prévisible sans analyse préalable des traitements exposés.
Évaluer précisément son exposition suppose un audit des traitements de données et de leur conformité au RGPD.
Consulter un avocat spécialisé en protection des données
Procédure simplifiée vs procédure ordinaire : différences et enjeux
Depuis avril 2022, la CNIL dispose de deux circuits de sanction. Le choix entre l'un et l'autre dépend de la complexité du dossier et du montant envisagé.
| Critère | Procédure simplifiée | Procédure ordinaire |
|---|---|---|
| Décision prise par | Président de la formation restreinte (seul) | Formation restreinte collégiale (5 membres) |
| Plafond d'amende | 20 000 € | Plafonds RGPD (20 M€ / 4 % CA) |
| Audience publique | Non | Oui, sauf exception |
| Délai moyen | 2 à 4 mois | 6 à 18 mois |
| Publication | Facultative | Fréquente |
La procédure simplifiée vise les manquements peu complexes ou de faible gravité. Elle a permis à la CNIL de traiter un volume élevé de dossiers : plus de 40 sanctions simplifiées ont été prononcées en 2024. Pour une PME, recevoir une notification de procédure simplifiée peut sembler rassurant en raison du plafond de 20 000 euros. En réalité, cette procédure signale un manquement avéré et peut déclencher un contrôle approfondi ultérieur.
La procédure ordinaire, elle, s'applique aux dossiers à fort enjeu. C'est dans ce cadre que la CNIL a prononcé l'amende de 27 millions d'euros contre Free Mobile début 2026 et celle de 5 millions d'euros contre France Travail.
Les critères de modulation retenus par la formation restreinte
L'article 83§2 du RGPD liste 11 critères que la formation restreinte doit prendre en compte pour fixer le montant de chaque amende RGPD. Ces critères fonctionnent à la hausse comme à la baisse.
Les principaux facteurs aggravants sont :
- La gravité et la durée du manquement : un défaut de sécurité exploité pendant 18 mois pèse plus qu'une faille corrigée en 48 heures.
- Le nombre de personnes concernées : la sanction de France Travail portait sur les données de 43 millions d'inscrits.
- Le caractère intentionnel ou négligent : une politique délibérée de collecte excessive aggrave la sanction.
- L'absence de coopération avec la CNIL pendant l'instruction.
Les facteurs atténuants reconnus par la formation restreinte incluent :
- La mise en conformité rapide après notification du manquement.
- La coopération active avec les services d'instruction (transmission spontanée de documents, audits internes partagés).
- L'absence d'antécédents : un premier manquement est traité avec plus de mesure.
- Les mesures techniques et organisationnelles déjà en place au moment du contrôle.
En pratique, la coopération avec le régulateur constitue le levier de modulation le plus fréquemment retenu à la baisse dans les décisions publiées entre 2023 et 2025.
Structurer sa réponse à un contrôle CNIL nécessite une expertise en droit des données personnelles.
Trouver un avocat en protection des données
Panorama des amendes record en France sur la période 2024-2026
Les sanctions les plus élevées prononcées par la CNIL depuis 2024 illustrent la diversité des secteurs et des manquements visés.
| Date | Organisme | Montant | Manquement principal |
|---|---|---|---|
| Janv. 2026 | Free Mobile | 27 M€ | Défaut de sécurité des données clients |
| Janv. 2026 | France Travail | 5 M€ | Sécurité insuffisante (43 M de personnes) |
| 2025 | Clearview AI | 20 M€ | Collecte biométrique sans base légale |
| 2024 | Criteo | 40 M€ | Défaut de consentement (cookies) |
| 2024 | Amazon France Logistique | 32 M€ | Surveillance disproportionnée des salariés |
Le cumul des sanctions CNIL atteint 486 millions d'euros en 2025. Ce chiffre inclut les amendes prononcées dans le cadre de la coopération européenne, où la CNIL agit comme autorité chef de file pour les organismes dont l'établissement principal est en France.
Les manquements les plus fréquemment sanctionnés par la CNIL
L'analyse des 83 procédures de 2025 fait ressortir 4 catégories de manquements récurrents :
- Défaut de sécurité (article 32 du RGPD) : mots de passe stockés en clair, absence de chiffrement, accès non restreints. Ce manquement figure dans plus de la moitié des sanctions.
- Absence de base légale (article 6) : traitement fondé sur un consentement non valide ou sur un intérêt légitime non documenté.
- Information insuffisante des personnes (articles 13 et 14) : politique de confidentialité incomplète, absence de mention lors de la collecte.
- Non-respect des droits des personnes (articles 15 à 22) : délais de réponse aux demandes d'accès ou de suppression dépassés.
Les contrôles CNIL ciblent de plus en plus les sous-traitants, notamment les prestataires cloud et les éditeurs de logiciels SaaS, qui traitent des volumes de données pour le compte de centaines de clients.
Comment limiter son exposition au risque d'amende RGPD
Réduire le risque suppose d'agir sur 3 axes complémentaires.
Cartographier les traitements exposés. Le registre des traitements (article 30 du RGPD) constitue le socle. Il doit être à jour, exhaustif et inclure les traitements confiés aux sous-traitants. Sans registre fiable, la direction juridique ne peut pas hiérarchiser les risques.
Renforcer la sécurité technique. Les mesures attendues par la CNIL sont documentées dans ses guides publiés en 2024 : chiffrement des données en transit et au repos, authentification multifacteur, journalisation des accès, tests d'intrusion annuels. Le coût de ces mesures est généralement inférieur de plusieurs ordres de grandeur au montant d'une sanction.
Documenter la conformité. La formation restreinte examine systématiquement les preuves de conformité produites par l'organisme : analyses d'impact (DPIA), procédures de gestion des violations, preuves de formation des collaborateurs. Une conformité documentée réduit à la fois la probabilité de sanction et son montant.
Anticiper un contrôle CNIL passe par un accompagnement juridique adapté à la taille et au secteur de l'entreprise.
Être accompagné par un avocat en protection des données
Voies de recours et stratégies de défense face à une sanction
Une amende RGPD prononcée par la CNIL n'est pas définitive. Plusieurs leviers de défense peuvent être mobilisés à chaque étape de la procédure.
Pendant l'instruction, l'organisme peut présenter des observations écrites et orales devant la formation restreinte. C'est à ce stade que la coopération active produit le plus d'effet sur la modulation du montant. Transmettre un plan de remédiation détaillé, assorti d'un calendrier de mise en œuvre, constitue un argument régulièrement pris en compte.
Après la décision, le recours s'exerce devant le Conseil d'État dans un délai de 2 mois. Le juge administratif contrôle la proportionnalité de la sanction, la régularité de la procédure et la qualification juridique des faits. En 2023, le Conseil d'État a réduit de 50 % l'amende infligée à la société Dedalus Biologie, la ramenant de 1,5 million à 750 000 euros, en retenant un défaut de proportionnalité.
La publicité de la sanction peut également être contestée. La CNIL décide au cas par cas de publier ou non la décision sur son site. Lorsque la publication est ordonnée, elle peut être limitée dans le temps. Contester la publication est un enjeu réputationnel distinct du montant financier, car la visibilité médiatique d'une sanction CNIL génère souvent un préjudice d'image supérieur à l'amende elle-même.
FAQ
Une PME peut-elle recevoir une amende RGPD de plusieurs millions d'euros ?
En théorie, oui : le plafond de 20 millions d'euros s'applique quelle que soit la taille de l'organisme. En pratique, la CNIL tient compte du chiffre d'affaires et de la capacité financière. Les amendes prononcées contre des PME via la procédure simplifiée restent plafonnées à 20 000 euros, mais la procédure ordinaire ne connaît pas cette limite.
Quelle est la différence entre une mise en demeure et une amende CNIL ?
La mise en demeure est une injonction de se conformer dans un délai fixé, sans sanction financière immédiate. L'amende intervient lorsque le manquement est caractérisé et que la formation restreinte décide d'une sanction pécuniaire. Une mise en demeure non respectée peut déboucher sur une amende aggravée.
La CNIL peut-elle sanctionner un sous-traitant directement ?
Oui. Depuis l'entrée en application du RGPD en 2018, le sous-traitant est directement responsable du respect de ses obligations propres (sécurité, registre, notification des violations). La CNIL a sanctionné plusieurs sous-traitants, notamment des hébergeurs et des prestataires informatiques.
Comment est calculé le chiffre d'affaires de référence pour le plafond proportionnel ?
La CNIL retient le chiffre d'affaires annuel mondial consolidé du groupe auquel appartient l'organisme sanctionné, sur le dernier exercice clos. Pour une filiale française d'un groupe international, c'est donc le CA mondial du groupe qui sert de base.
Un recours devant le Conseil d'État suspend-il le paiement de l'amende ?
Non. Le recours devant le Conseil d'État n'est pas suspensif. L'organisme doit payer l'amende dans le délai imparti, sauf à obtenir un sursis à exécution par une procédure de référé, ce qui reste rare en pratique.
Pour aller plus loin
Quelles sanctions peuvent être prononcées par la CNIL - CNIL
Sanctions et mesures correctrices : bilan 2025 - CNIL
Loi n° 78-17 du 6 janvier 1978 - Section sanctions - Légifrance
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
