17 décembre 2018

RGPD : connaissez-vous vraiment le montant des sanctions pécuniaires ?

Chaque Etat membre de l’Union européenne dispose d’une autorité de contrôle en matière de protection des données personnelles (en France, il s’agit de la Commission Nationale de l’Informatique et des Libertés ou Cnil). Ce régulateur accompagne les organismes dans leur mise en conformité et protège les particuliers afin de les aider à mieux maîtriser […]

CNILGDPRRGPD
Logo

 

Chaque Etat membre de l’Union européenne dispose d’une autorité de contrôle en matière de protection des données personnelles (en France, il s’agit de la Commission Nationale de l’Informatique et des Libertés ou Cnil). Ce régulateur accompagne les organismes dans leur mise en conformité et protège les particuliers afin de les aider à mieux maîtriser leurs données personnelles.

Suite à un contrôle ou une plainte, et en cas de méconnaissance des dispositions du Règlement général sur la protection des données (RGPD), l’autorité peut décider de mettre en demeure les organismes de se conformer au règlement dans un délai imparti, ou de les sanctionner.

En vertu de l’article 58 du RGPD, chaque autorité de contrôle peut, entre autres, ordonner à un responsable de traitement ou un sous-traitant de mettre un traitement en conformité ou de satisfaire aux demandes d’exercice des droits des personnes, limiter temporairement ou définitivement un traitement, ou encore imposer une amende administrative.

A chaque manquement son plafond

Depuis l’arrivée du RGPD, le montant des sanctions pécuniaires est plus élevé et gradué selon le type de violation constatée.

Ainsi, le règlement prévoit jusqu’à 10 millions d’euros d’amende ou, dans le cas d’une entreprise, jusqu’à 2% du chiffre d’affaires annuel mondial total pour des manquements liés notamment aux obligations du responsable du traitement et du sous-traitant concernant, entre autres, les principes de protection des données dès la conception et par défaut (« privacy by design / privacy by default »), le registre des activités de traitement, la sécurité des données, la notification des violations de données, la réalisation d’analyses d’impact, etc.

Par ailleurs, il est prévu jusqu’à 20 millions d’euros d’amende ou 4% du chiffre d’affaires mondial total pour des manquements liés aux principes fondamentaux applicables au traitement des données personnelles, aux droits dont bénéficient les personnes concernées, aux transferts de données personnelles en dehors de l’Union européenne ou aux obligations prévues par le droit national de l’Etat membre.

Pour information, le plafond des amendes administratives prévu par la loi Informatique et Libertés du 6 janvier 1978 n’excédait pas 150 000 euros (et, en cas de récidive dans les cinq ans, 300 000 euros). Ce plafond avait été augmenté par la loi pour une République Numérique du 7 octobre 2016 à 3 millions d’euros.

Quelle conséquence sur les montants des amendes prononcées ?

C’est un centre hospitalier portugais qui a écopé de la première sanction RGPD, avec une amende de 400 000 euros. L’autorité de contrôle en charge de la protection des données personnelles au Portugal a ainsi relevé un problème concernant la politique d’accès du personnel de l’hôpital aux données des patients.

Dans les mêmes temps, le réseau social allemand Knuddels s’est vu imposer la deuxième sanction pécuniaire sur la base du RGPD, d’un montant de 20 000 euros, pour le stockage de mots de passe non chiffrés.

Les montants de ces sanctions correspondent aux sanctions que la Cnil, par exemple, a pu prononcer en France sur l’année 2018 : 30 000 euros pour l’association Alliance Française Paris Ile de France ou encore pour l’OPH de Rennes, 10 000 euros pour une société spécialisée dans la télésurveillance d’ascenseurs et de parkings, 50 000 euros pour la société Dailymotion, 75 000 euros pour une association de mise à dispositions de logements, 100 000 euros pour Darty, …

Les montants de l’ensemble de ces sanctions restent ainsi peu élevés au regard du maximum déjà prévu par la loi Informatique et Libertés depuis 2016 (3 millions d’euros).

Les nouvelles dispositions du RGPD ne semblent donc pas plus inciter les autorités de contrôle européennes à sanctionner plus fortement les organismes sur le plan financier, qui continuent à privilégier l’accompagnement des organismes dans leur mise en conformité. C’est ce qu’illustre notamment la décision relativement clémente rendue par l’autorité allemande de protection des données concernant le réseau social Knuddels, qui met en avant la prise en compte de la transparence, la collaboration et la rapidité à réagir du réseau social.

Pour aller plus loin :
Informations sensibles : protéger vos analyses d’impact RGPD !
GDPR/RGPD : Focus sur le registre des activités de traitement

Crédits photo : Stockvault – Law gavel

Blog

Nos actualités cybersécurité

Cybersécurité

Panorama de la cybermenace 2025 : ce que révèle le rapport de l’ANSSI sur l’état de la menace en France

L’ANSSI a publié le 11 mars 2026 son Panorama de la cybermenace 2025. Comme chaque année, ce rapport constitue la référence pour comprendre l’évolution des menaces qui pèsent sur les organisations françaises. Et cette édition ne rassure pas.

23 mars 2026

Cybersécurité

Cybersécurité du mainframe : pourquoi et comment sécuriser le cœur de vos systèmes d’information

Souvent perçu comme une relique technologique, le mainframe reste pourtant l’épine dorsale des organisations les plus critiques au monde. Banques, assurances, industries, administrations : ces systèmes traitent chaque jour des milliards de transactions et concentrent les données les plus sensibles. Pourtant, leur sécurité est rarement auditée avec la rigueur qu’ils méritent. Décryptage d’un angle mort majeur de la cybersécurité.

20 mars 2026

Cybersécurité

Cybersécurité des ETI : comment passer du réflexe défensif à une stratégie structurée

En 2025, 34 % des ETI ont subi au moins une cyberattaque significative. Le chiffre peut sembler modéré en comparaison des grandes entreprises (50 %), mais il masque une réalité plus brutale : parmi les organisations touchées, 81 % ont constaté un impact direct sur leur activité – perturbation de la production, perte d’image, compromission de données stratégiques ou perte de chiffre d’affaires (sondage OpinionWay pour CESIN, janvier 2026).

10 mars 2026
Découvrez tous les articles

informations

Contactez-nous

Une question ou un projet en tête ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

    *Informations obligatoires

    Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

    Ce site est protégé par reCAPTCHA. La politique de confidentialité et les conditions d'utilisation de Google s'appliquent.

    Index