Sanctions RGPD : Amendes, Exemples et Comment les Eviter

La grande nouveauté du RGPD a été la mise en place de sanctions réellement dissuasives (4% du chiffre d’affaires global pour les grandes entreprises ou 20 millions pour les TPE/PME). De la sorte, le législateur a donné les moyens aux autorités européennes de protection des données de faire plier les organisations qui ne respecteraient pas le RGPD. Et l’objectif est clairement atteint : depuis l’entrée en vigueur du RGPD, plus de 6 milliards d’euros d’amendes ont été prononcés en Europe. Les montants ne cessent de croître — 1,2 milliard d’euros pour Meta en 2023, 345 millions pour TikTok, 290 millions pour Uber — et les autorités ciblent désormais tous les secteurs et toutes les tailles d’organisations.

En France, la CNIL prononce chaque année des dizaines de sanctions, avec une tendance nette à l’augmentation des montants. En plus des amendes, la publicité négative associée à une condamnation constitue un risque réputationnel considérable.

On fera donc un récapitulatif des sanctions les plus marquantes, en commençant par les sanctions récentes majeures (2023-2025), puis par type de structure : grandes entreprises (I), ETI et PME (II), enfin les TPE et les individuels (III), en rappelant à chaque fois les actions à mettre en oeuvre pour les éviter.

Les sanctions majeures 2023-2025 : une accélération sans précédent

Les années 2023-2025 marquent un tournant dans l’enforcement du RGPD, avec des sanctions d’une ampleur inédite :

Meta Ireland : 1,2 milliard d’euros — transferts de données vers les États-Unis

En mai 2023, l’autorité irlandaise (DPC) a infligé la plus lourde sanction jamais prononcée au titre du RGPD : 1,2 milliard d’euros à Meta Platforms Ireland pour avoir transféré les données de ses utilisateurs européens vers les États-Unis sans garanties adéquates, en violation des articles 46(1) et 46(2)© du RGPD. La DPC a également ordonné la suspension des transferts. Cette décision fait suite à l’invalidation du Privacy Shield par la CJUE dans l’arrêt Schrems II (2020). Elle démontre que les transferts internationaux constituent un risque financier majeur pour les organisations qui n’ont pas mis en place de mécanismes de transfert conformes.

TikTok : 345 millions d’euros — données des mineurs

En septembre 2023, la DPC a sanctionné TikTok à 345 millions d’euros pour des manquements relatifs au traitement des données de mineurs : paramètres de confidentialité des comptes d’enfants en mode public par défaut, dark patterns dans l’interface, et manque de transparence. Cette décision rappelle que le traitement de données de mineurs fait l’objet d’une vigilance renforcée.

Uber : 290 millions d’euros — transferts sans garanties

En août 2024, l’autorité néerlandaise (AP) a sanctionné Uber à 290 millions d’euros pour avoir transféré les données de chauffeurs européens vers les États-Unis sans instrument de transfert valide pendant plus de deux ans après l’arrêt Schrems II.

LinkedIn : 310 millions d’euros — publicité ciblée sans base légale

En octobre 2024, la DPC a infligé 310 millions d’euros à LinkedIn pour avoir traité les données de ses utilisateurs à des fins de publicité ciblée et d’analyse comportementale sans base légale valide et sans transparence suffisante.

Criteo : 40 millions d’euros — cookies et consentement

En juin 2023, la CNIL a sanctionné Criteo à 40 millions d’euros pour avoir traité des données de navigation d’internautes à des fins de ciblage publicitaire sans être en mesure de démontrer que le consentement avait été valablement recueilli.

Amazon France Logistique : 32 millions d’euros — surveillance des salariés

En décembre 2024, la CNIL a sanctionné Amazon France Logistique à 32 millions d’euros pour un système de surveillance disproportionné des préparateurs de commandes, avec un suivi en temps réel de l’activité seconde par seconde. Un rappel que le principe de proportionnalité s’applique pleinement au monde du travail.

Ce que ces sanctions récentes nous enseignent :

• Les transferts internationaux sont devenus le risque financier n°1 (Meta 1,2 Md€, Uber 290 M€)
• La publicité ciblée sans consentement valide reste un terrain de sanctions massives
• La surveillance des salariés est un sujet de contrôle croissant, y compris en France
• Les données des mineurs font l’objet d’une attention renforcée des autorités

Les sanctions 2026 : la pression ne faiblit pas

Après une année 2025 record (487 millions d’euros d’amendes CNIL, portés notamment par Google à 325 M€ et Shein à 150 M€ pour non-conformité cookies), le début 2026 confirme l’intensification de l’enforcement.

Free et Free Mobile : 42 millions d’euros — violation de sécurité (CNIL, janvier 2026)

Le 13 janvier 2026, la CNIL a infligé 27 millions d’euros à Free Mobile et 15 millions à Free, soit 42 millions au total. Les faits remontent à octobre 2024, lorsqu’un pirate a accédé aux données de 24 millions de contrats d’abonnés, y compris les IBAN. Deux failles ont été retenues : l’absence d’authentification multifacteur (MFA) sur les accès VPN des employés, et l’inefficacité des systèmes de détection d’exfiltration de données. Un signal clair : la CNIL considère désormais le MFA comme un prérequis non négociable pour les grandes bases de données.

France Travail : 5 millions d’euros — failles de sécurité (CNIL, janvier 2026)

Le 22 janvier 2026, France Travail a été sanctionné de 5 millions d’euros suite à la cyberattaque du premier trimestre 2024. Les données exposées comprenaient numéros de sécurité sociale, adresses email, adresses postales et numéros de téléphone des demandeurs d’emploi. Trois défaillances identifiées : mécanismes d’authentification insuffisants, journalisation et détection d’anomalies lacunaires, et droits d’accès utilisateurs trop larges.

TikTok : 530 millions d’euros — transferts de données vers la Chine (DPC Irlande, mai 2025)

La DPC irlandaise a infligé 530 millions d’euros à TikTok pour avoir transféré les données d’utilisateurs européens vers la Chine sans garanties adéquates, en violation de l’article 46(1) du RGPD. Aggravation notable : en cours d’enquête, TikTok a informé la DPC que des données européennes avaient en réalité été stockées sur des serveurs chinois, contrairement à ce que l’entreprise avait déclaré. TikTok fait appel devant la High Court d’Irlande, qui a suspendu la décision en novembre 2025 en attendant le jugement.

Reddit : 14,5 millions de livres — données des mineurs (ICO Royaume-Uni, février 2026)

Le 24 février 2026, l’ICO britannique a sanctionné Reddit à 14,5 millions de livres sterling (environ 17 millions d’euros) pour avoir traité les données personnelles d’enfants de moins de 13 ans sans base légale valide. Reddit interdisait les mineurs de 13 ans dans ses conditions d’utilisation, mais n’avait mis en place aucun mécanisme effectif de vérification d’âge. L’ICO a également relevé l’absence d’analyse d’impact préalable pour évaluer les risques pour les mineurs. Reddit a annoncé faire appel.

I - Les sanctions RGPD à l’encontre des grandes entreprises

Les sanctions prononcées pour les grandes entreprises sont sans doute les plus marquantes en raison des montants financiers qui sont de l’ordre de plusieurs millions d’euros à plusieurs centaines de millions d’euros. Voici quelques exemples marquants :

A - Carrefour : 3 millions € pour ne pas avoir informé les personnes de leurs droits

Carrefour et Carrefour Banque ont été sanctionnées pour ne pas avoir correctement géré le traitement des données personnelles de leurs clients et en particulier :

• avoir délivré une information confuse sur les traitements effectués sur les sites web carrefour.fr et carrefour-banque.fr (art. 13)
• avoir demandé la pièce d’identité des personnes pour faire valoir leurs droits (ce qui est non conforme à l’article 12 du RGPD), alors que cela n’est pas nécessaire et que le RGPD impose au responsable de traitement de faciliter “l’exercice des droits” des personnes (art. 12)
• ne pas avoir donné suite aux demandes de droit d’accès ou aux droits d’opposition des personnes qui avaient été exprimés (opposition sms ou email)
• avoir collecté des informations de manière déloyale auprès de ses clients (art. 5)

La décision est intéressante, car c’est la première qui mentionne également une violation aux cookies (bien que ne faisant pas partie du RGPD à proprement parler - mais de la directive 2002/58).

Comment éviter ces risques:

• Indiquez des mentions légales conformes à l’article 13 avant la collecte des données personnelles, il est possible de générer ces mentions légales automatiquement si vous ne savez pas comment faire ; vous pouvez lire notre article sur la rédaction des mentions légales RGPD si vous souhaitez le faire manuellement
• Créer et déployer des processus de conformité RGPD afin de vous assurer que la collecte des données se fait de manière loyale ;
• De même il faut gérer toutes les demandes de droit d’accès et vous assurer qu’elles soient traitées en temps et en heure, il est courant de gérer cela avec des outils logiciels, mais on peut le faire à la main sans problème, attention toutefois à bien respecter les délais (1 mois) pour la réponse.
• sensibiliser les équipes marketing aux risques RGPD - répondre aux demandes de droit d’accès en particulier

B - H&M : 35 millions d’euros pour surveillance illégale de ses employés

En 2020, l’entreprise H&M a été condamnée à 35 millions d’euros pour surveillance illégale de ses propres employés. En particulier H&M avait crée des profils de ses employés qui contenaient des informations médicales (symptômes à chaque absence pour maladie, détails de la maladie en question, détails des diagnostics, etc.), ainsi que des informations relatives aux croyances religieuses, des détails précis relatifs à leur vie privée, autant qu’à leurs problèmes personnels (voir ici pour le détail de l’affaire). Or, une telle collecte de données personnelle est interdite par le RGPD et viole le principe de minimisation. Voici une vidéo qui vous rappelle ce principe en détail :

Comment éviter ces risques:

• Le RGPD impose de collecter le minimum de données personnelles dans un traitement (principe de minimisation). Ce principe est simple à comprendre et à mettre en oeuvre, ici l’amende aurait pu être évitée en formant simplement le personnel interne de H&M au RGPD.
• d’autre part la collecte de données sensibles (santé, opinions politiques, religieuses…) est interdite, sauf exception prévue par la loi. Si votre entreprise collecte ce type de donnée, vous devez impérativement analyser la question de la légalité de cette collecte de données au regard du RGPD.

C - British Airways : 22 millions pour ne pas avoir sécurisé ses données

L’autorité britannique de protection des données a sanctionné British Airways pour ne pas avoir sécurisé un grand volume de données personnelles. L’entreprise a été par la suite victime d’une attaque informatique en raison de ses défaillances.

Comment éviter ces risques:

De manière intéressante l’ICO a remarqué dans sa décision que la sanction aurait pu être évitée :

• en limitant l’accès à l’application victime de l’attaque aux seules personnes qui en ont besoin
• en mettant en place des audits de sécurité informatique
• en mettant en place l’authentification multifacteur (voir la formation sur la sécurité des mots de passe sécurisés dans Legiscope pour plus d’informations à ce titre)

D - Marriott : 20 millions pour ne pas avoir sécurisé ses données

L’ICO a également sanctionné le groupe hôtelier Marriott à 20 millions d’euros pour violation de ses obligations en matière de sécurité informatique. En effet, plus de 339 millions de comptes clients ont été affectés par une attaque informatique et de très nombreuses données personnelles ont été volées (noms, prénoms, emails et numéros de passeport). Voir également la note de la CNIL sur le sujet.

E - Notebooksbilliger.de : 10 millions pour surveillance illégale

L’autorité allemande de protection des données personnelles a sanctionné l’entreprise éditrice du site notebooksbilliger.de pour avoir mis en place des caméras de surveillance de ses employés sans base légale. L’entreprise avait indiqué que la finalité des caméras de surveillance était de prévenir la commission de délits et assurer la surveillance des biens, toutefois, les moyens mis en oeuvre étaient disproportionnés par rapport aux objectifs.

F - Google / Amazon : 135 millions d’euros pour violation des règles en matière de cookies

Google et Amazon ont été condamnés à 135 millions d’euros (total des amendes combinées) pour non-respect des règles relatives aux cookies - bien que cela ne relève pas du RGPD à proprement parler, mais de la directive 2002/58.

II - Sanctions RGPD à l’encontre des ETI/PME

Les autorités nationales de protection des données personnelles ont également sanctionné en grand nombre les entreprises de taille intermédiaire ainsi que les PME avec des amendes tout aussi dissuasives au regard de la taille de ces entreprises.

A - Spartoo (vente en ligne de chaussures) : 250.000€ pour collecte illégale de données

La société SPARTOO, spécialisée dans la vente en ligne de chaussures en ligne a écopé d’une sanction de 250.000€ en raison de leur mauvaise gestion des données personnelles de leurs clients, prospects et salariés.

Dans cette affaire, la CNIL avait relevé trois griefs principaux :

• une collecte excessive de données personnelles - non conforme au principe de minimisation (décidément essentiel à respecter) ; en l’occurrence l’ensemble des appels téléphoniques reçus faisaient l’objet d’un enregistrement
• des délais de conservation trop long de données personnelles, en particulier pour leurs anciens clients - la CNIL avait relevé que plus de 3 millions d’anciens clients ne s’étaient pas connectés à leur compte depuis plus de 5 ans (voir notre article pour vous aider à déterminer le bon délai de conservation des données)
• une information défaillante des personnes dont les données étaient collectées (mentions art. 13 - voir comment les mettre en place ici)
• une politique de mots de passe défaillante et non conforme aux prescriptions de la CNIL (à ce titre, suivez-la formation courte relative aux mots de passe sur Legiscope, elle détaille l’ensemble des règles à respecter)

B - Futura Internationale 500.000 euros pour démarchage téléphonique illégal

Futura Internationale avait décidé de faire de la prospection commerciale par téléphone afin de vendre ses services (d’isolation de bâtiments). Et pour ce faire, elle fait appel à des centres d’appels basés en Afrique du Nord. Les sous-traitants appelaient des prospects en masse sans noter leur opposition au démarchage téléphonique ce qui a déclenché de nombreuses plaintes - voir le détail de l’affaire ici.

La CNIL a sanctionné l’entreprise à 500.000€ d’amende sur trois fondements:

• absence de prise en compte du droit d’opposition des personnes (aucune procédure ne permettait de s’assurer efficacement que les personnes s’étant opposées au démarchage téléphonique ne soient plus appelées) ;
• présence de données non pertinentes (commentaires injurieux ou en lien avec la santé des personnes) dans le fichier client de la société ; pour comprendre ces risques et les éviter, suivez la formation “les risques liés aux champs libres” sur legiscope.
• information insuffisante des personnes démarchées sur le traitement de leurs données personnelles et les droits dont elles bénéficient ;
• défaut de coopération avec la CNIL ;
• encadrement insuffisant des transferts de données personnelles vers des prestataires situés hors de l’Union européenne.

C - SERGIC 400.000€ pour défaut de sécurité du traitement et conservation illicite de données personnelles

L’entreprise Sergic a été condamnée à 400.000€ d’amende par la CNIL en raison d’une faille de sécurité ayant rendu public les données personnelles de leur client qui étaient accessibles sans aucune protection. L’entreprise avait eu connaissance de la faille de sécurité, mais n’a rien fait pour arrêter la fuite avant de nombreux mois.

Au cours de son contrôle, la CNIL a également relevé le fait que l’entreprise conservait les données personnelles de leurs clients sans limitation de durée, ce qui est contraire encore une fois au principe de minimisation.

III - Sanctions RGPD à l’encontre des des PME / TPE / individuels

Ce que les sanctions révèlent c’est que les petites entreprises tendent souvent à faire des erreurs importantes dans leurs processus marketing. Que ce soit l’envoi d’email intempestif ou l’ajout de personnes dans des bases de données sans leur consentement.

A - Une App mobile sanctionnée à 20.000€ pour envoi d’email intempestifs

La CNIL a sanctionné la société NESTOR pour avoir adressé des courriels de prospection sans le consentement des personnes concernées et pour ne pas avoir correctement informé les personnes de leurs droits.

Attention à:

• bien vous assurer de recueillir le consentement des personnes avant de leur envoyer des emails

B - 112.000€ de sanctions pour un hôpital n’ayant pas protégé les données de patients

L’agence norvégienne de protection des données personnelles a prononcé une sanction de 112.000€ pour un hôpital, responsable de traitement, qui a conservé les données de ses patients sur un réseau interne sans restrictions d’accès aux employés, entraînant une violation de leurs obligations de sécurité.

Attention à:

• Pour le traitement de données article 9, il est essentiel de prévoir des audits de sécurité informatique. Ici la faille de sécurité était vraiment classique.

C - 7.500€ de sanctions pour une TPE ayant spammé ses utilisateurs

La société Performclick (2 employés) a fait l’objet d’une sanction de 7.500€ de la part de la CNIL française en raison de nombreux SPAMS qu’elle avait envoyés ; les manquements au RGPD suivant avaient été relevés par la CNIL :

• la société n’a pas été en mesure de prouver que le consentement des personnes avait été acquis pour l’envoi des emails ;
• des données excessives étaient collectées par l’entreprise sans que la durée de conservation soit adéquate
• les personnes dont les données étaient collectées n’étaient pas informées clairement de la collecte
• le droit d’opposition n’était pas respecté
• les données étaient transférées hors de l’UE

Utiliser un processus standard d’acquisition du consentement est essentiel pour s’assurer de la conformité de l’acquisition des données personnelles:

D - Deux médecins sanctionnés à 9.000€ pour ne pas avoir protégé des données médicales

La CNIL a constaté lors d’un contrôle en ligne que des milliers d’images médicales hébergées sur un serveur appartenant à deux médecins étaient librement accessibles sur Internet.

Deux obligations avaient été violées ici :

• un manquement à la sécurité informatique et à la confidentialité des données
• et l’absence de notification lors d’une violation de données personnelles. Le RGPD impose en effet de gérer les violations de données personnelles selon une procédure spécifique, et de tenir un registre des violations à jour.

E - Un avocat sanctionné pour avoir envoyé des pièces clients à un tiers

L’agence espagnole de protection des données personnelles a prononcé 2000€ de sanction à l’encontre d’un avocat qui, dans le cadre d’une procédure judiciaire, a transmis des documents d’autres parties au procès, qui contenaient des données personnelles

Comment éviter ces risques:

• Une erreur d’inattention est toujours possible, cependant la mise en place d’une checklist ou d’un process aurait probablement aidé
• Mener un audit de conformité RGPD

Ce qu’il faut retenir

• Les sanctions RGPD atteignent désormais des montants considérables : 1,2 milliard d’euros pour Meta, 345 millions pour TikTok, 290 millions pour Uber — aucun secteur n’est épargné
• Les trois motifs de sanction les plus fréquents sont : le défaut de sécurité, le non-respect du principe de minimisation, et l’absence de base légale valide pour le traitement
• Les transferts internationaux de données sont devenus le risque financier n°1 depuis l’arrêt Schrems II
• Les PME et TPE sont également ciblées : des amendes de 7 500 € à 500 000 € sont prononcées régulièrement pour des manquements classiques (spam, défaut d’information, conservation excessive)
• La mise en conformité passe par des actions concrètes : audit RGPD, formation des équipes, mise en place de processus documentés, et registre des traitements à jour
• Voir également les sanctions prévues par l’AI Act pour les systèmes d’intelligence artificielle, qui complètent le dispositif de sanctions RGPD

FAQ

Quel est le montant maximum d’une sanction RGPD ?

Le RGPD prévoit deux plafonds selon la nature du manquement. Pour les violations les plus graves (principes fondamentaux, droits des personnes, transferts internationaux) : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu (Art. 83(5)). Pour les manquements aux obligations techniques et organisationnelles : jusqu’à 10 millions d’euros ou 2 % du CA mondial (Art. 83(4)). Le record actuel est de 1,2 milliard d’euros (Meta, 2023).

Les petites entreprises risquent-elles vraiment une sanction RGPD ?

Oui. La CNIL sanctionne des entreprises de toutes tailles, y compris des TPE de 2 salariés (Performclick, 7 500 €) et des professions libérales (médecins, avocats). Les montants sont proportionnés à la taille de l’entreprise, mais les sanctions existent. Les manquements les plus fréquents chez les petites structures : prospection commerciale sans consentement, absence de mentions d’information, et défaut de sécurité.

Comment réduire le risque de sanction RGPD ?

Les actions prioritaires sont : réaliser un audit de conformité pour identifier les écarts, mettre en place un registre des traitements, définir des durées de conservation et des processus de purge, sécuriser les données (chiffrement, contrôle d’accès, mots de passe robustes), et former les équipes aux bonnes pratiques. Un DPO — interne ou externe — permet de piloter cette conformité dans la durée.