Vous vous demandez ce que vous risquez vraiment en cas de manquement au RGPD ? La réponse n'est pas un chiffre unique, mais une grille qui dépend du type de manquement. Voici cette grille, article par article, avec en face de vraies sanctions prononcées par la CNIL.
Le RGPD prévoit des amendes qui font les gros titres, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Mais ces montants maximaux racontent une partie seulement de l'histoire. Dans la pratique, la CNIL module ses sanctions selon la gravité, la taille de l'organisme et sa coopération, et elle dispose d'outils bien plus variés que la seule amende.
L'objectif de cet article est de vous donner un tableau de référence clair et sourcé : pour chaque grande catégorie de manquement, l'article du RGPD concerné, le plafond applicable, et un exemple réel de sanction. De quoi mesurer concrètement le risque, plutôt que de vous fier à des chiffres brandis hors contexte.
Les deux plafonds de l'article 83
Tout part de l'article 83 du RGPD, qui organise les sanctions en deux niveaux. Comprendre cette distinction est la clé pour interpréter n'importe quel montant.
10 M€ ou 2 % du CA
- Obligations du responsable et du sous-traitant
- Sécurité des traitements (art. 32)
- Notification des violations (art. 33 et 34)
- Tenue du registre, analyse d'impact
20 M€ ou 4 % du CA
- Principes de base du traitement (art. 5, 6, 9)
- Droits des personnes concernées (art. 12 à 22)
- Transferts hors Union européenne (art. 44 à 49)
- Non-respect d'une injonction de la CNIL
Dans les deux cas, c'est le montant le plus élevé qui s'applique, entre la valeur absolue et le pourcentage. Pour une multinationale, le pourcentage du chiffre d'affaires mondial dépasse vite les plafonds en euros, ce qui explique les sanctions à plusieurs dizaines de millions. Pour une PME, c'est généralement le plafond en valeur absolue qui sert de référence théorique, mais la sanction réelle reste presque toujours très en dessous.
Bon à savoir : depuis 2022, une procédure simplifiée permet à la CNIL de traiter rapidement les dossiers les moins complexes, avec une amende plafonnée à 20 000 €. En 2025, cette voie a représenté la majorité des sanctions. C'est elle qui concerne le plus probablement une petite structure.
Le tableau de référence par type de manquement
Voici le cœur de cet article. Chaque ligne associe un type de manquement, l'article du RGPD concerné, le plafond théorique applicable et un exemple de sanction réelle prononcée par la CNIL. Les montants des exemples correspondent aux décisions publiées et peuvent faire l'objet de recours.
| Type de manquement | Article RGPD | Plafond maximal | Exemple de sanction CNIL |
|---|---|---|---|
| Défaut de sécurité des données | Art. 32 | 10 M€ ou 2 % du CA | Free et Free Mobile, 42 M€ (janvier 2026), manquements cumulés dont la sécurité |
| Défaut de sécurité (secteur public) | Art. 32 | 10 M€ ou 2 % du CA | France Travail, 5 M€ (janvier 2026), sécurité des données des demandeurs d'emploi |
| Cookies et traceurs sans consentement valide | Art. 82 loi Informatique et Libertés | Jusqu'à 2 % du CA (régime cookies) | Plusieurs dizaines de sanctions cookies en 2025, dont la sanction Google de 150 M€ en 2021 |
| Ciblage publicitaire non conforme | Art. 6 (base légale) | 20 M€ ou 4 % du CA | Criteo, 40 M€ (2025) |
| Surveillance excessive des salariés | Art. 5 (minimisation) | 20 M€ ou 4 % du CA | Amazon France Logistique, 32 M€ (réduite à 15 M€ par le Conseil d'État en décembre 2025) |
| Non-respect des garanties sur les données sensibles | Art. 9 et 5 | 20 M€ ou 4 % du CA | IQVIA Operations France, 5 M€ (mai 2026) |
| Non-respect d'une injonction de la CNIL | Art. 58 et 83 | 20 M€ ou 4 % du CA | Clearview AI, 5,2 M€ (liquidation d'astreinte, 2025) |
| Prospection commerciale sans base légale | Art. 6 | 20 M€ ou 4 % du CA | Manquement récurrent en procédure simplifiée et ordinaire en 2025 |
| Durée de conservation excessive | Art. 5.1.e | 20 M€ ou 4 % du CA | Motif fréquent de sanction, souvent combiné à d'autres manquements |
Source des décisions : délibérations de la formation restreinte de la CNIL et bilan annuel 2025. Plusieurs de ces sanctions cumulent en réalité plusieurs manquements, ce qui explique des montants élevés rattachés à un motif principal. Le détail figure dans chaque délibération publiée sur le site de la CNIL.
Sur quelle ligne du tableau êtes-vous exposé ?
La plupart des manquements sanctionnés sont évitables. Vérifiez en quelques minutes où votre site présente un risque, avant que la CNIL ne le fasse.
Les trois manquements que la CNIL traque le plus
Le tableau donne le cadre légal, mais en pratique l'action de la CNIL se concentre sur quelques fronts. En 2025, trois sujets ont dominé les sanctions, et ils dessinent assez bien là où se situe votre risque réel.
Le cas de la sécurité mérite une attention particulière. Avec les décisions Free et France Travail début 2026, la CNIL a clairement signifié que certaines mesures ne sont plus optionnelles. L'authentification multifacteur, la segmentation des droits d'accès et la journalisation des événements de sécurité sont attendues comme un socle minimal. Ne pas les avoir, c'est s'exposer directement, même sans fuite avérée.
Ce durcissement fait écho aux grandes fuites de données récentes. Nous l'avons analysé en détail à propos du piratage de l'ANTS, où la question de la sécurité des traitements publics s'est posée avec acuité. La logique est la même partout : la CNIL ne sanctionne pas seulement la fuite, elle sanctionne l'absence de mesures qui auraient dû la prévenir.
Comment la CNIL fixe le montant
Une question revient sans cesse : pourquoi telle sanction à 5 millions et telle autre à 42 ? La réponse tient à plusieurs critères que l'article 83 énumère, même si la méthode de calcul précise de la CNIL reste peu détaillée publiquement.
- La gravité du manquement : nature, portée, durée, nombre de personnes concernées.
- Le caractère intentionnel ou négligent : une faille subie n'est pas traitée comme une violation délibérée.
- Les mesures prises pour limiter le dommage : réactivité et coopération comptent en votre faveur.
- Les catégories de données concernées : les données sensibles, comme les données de santé, aggravent la sanction.
- Les antécédents : un manquement répété après une mise en demeure pèse lourd.
Attention : l'amende est rarement la première étape. La CNIL privilégie souvent la mise en demeure, qui laisse un délai pour se corriger. C'est l'absence de réaction à cette alerte qui transforme un dossier corrigeable en sanction financière. Ignorer un courrier de la CNIL est la pire stratégie.
Autrement dit, le montant maximal théorique du tableau n'est presque jamais atteint pour une structure de taille modeste qui coopère et corrige ses manquements. Le vrai risque pour une PME n'est pas l'amende à 20 millions, c'est la sanction en procédure simplifiée jusqu'à 20 000 €, assortie parfois d'une publication qui abîme la réputation.
Comment réduire concrètement votre risque
La bonne nouvelle, c'est que la quasi-totalité des manquements sanctionnés sont évitables avec des mesures de bon sens. Voici les chantiers prioritaires, dans l'ordre où ils protègent le plus.
- Mettez votre bandeau cookies en conformité : consentement libre, refus aussi simple que l'acceptation, information claire. C'est le premier poste de sanction.
- Sécurisez vos accès : authentification multifacteur, droits d'accès limités au nécessaire, mots de passe robustes.
- Documentez vos traitements : registre à jour, bases légales identifiées, durées de conservation définies.
- Publiez des mentions et une politique de confidentialité conformes : la transparence est une obligation, pas une option.
- Encadrez vos sous-traitants : un contrat conforme à l'article 28 pour chaque prestataire qui traite des données pour vous.
Sur les deux premiers chantiers, des outils existent pour aller vite. Vous pouvez par exemple générer un bandeau cookies conforme et vérifier la cohérence de l'ensemble de votre dispositif, plutôt que de corriger dans l'urgence après un contrôle. La conformité préventive coûte toujours moins cher que la sanction.
Questions fréquentes
Quel est le montant maximal d'une amende RGPD ?
L'article 83 du RGPD prévoit deux plafonds. Pour les manquements les moins graves, l'amende peut atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Pour les manquements les plus graves (principes de base, droits des personnes, transferts), elle peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. C'est le montant le plus élevé qui est retenu.
La CNIL peut-elle sanctionner une petite entreprise ?
Oui. Depuis 2022, la procédure simplifiée permet à la CNIL de traiter rapidement les manquements courants, avec une amende plafonnée à 20 000 euros. En 2025, la majorité des sanctions ont été rendues par cette voie, et elles visent souvent des TPE, des PME et des professions libérales, pas seulement les grands groupes.
Quels manquements RGPD sont les plus sanctionnés ?
En 2025, les trois principaux motifs de sanction étaient les cookies et traceurs, la surveillance excessive des salariés, et le défaut de sécurité des données. La prospection commerciale sans base légale et les durées de conservation excessives figurent également parmi les manquements fréquemment sanctionnés.
Le montant de l'amende dépend-il du chiffre d'affaires ?
En partie. Les plafonds de l'article 83 sont exprimés au choix en valeur absolue ou en pourcentage du chiffre d'affaires mondial, le plus élevé s'appliquant. La CNIL tient compte de la gravité, du caractère intentionnel, des mesures prises et de la coopération. Sa méthode de calcul précise reste toutefois peu détaillée publiquement.
Une amende RGPD est-elle la seule sanction possible ?
Non. La CNIL dispose d'une palette de mesures : rappel à l'ordre, mise en demeure, injonction sous astreinte, limitation ou suspension d'un traitement, et publication de la décision. L'amende n'est qu'un outil parmi d'autres, souvent précédé d'une mise en demeure restée sans réponse satisfaisante.
Combien la CNIL a-t-elle prononcé d'amendes en 2025 ?
La CNIL a rendu 83 sanctions en 2025, pour un cumul de 486,8 millions d'euros, soit la deuxième année la plus active de son histoire. Une grande partie de ce montant repose toutefois sur quelques décisions visant de grands acteurs, tandis que la majorité des sanctions, plus modestes, ont été prononcées en procédure simplifiée.
Recevez la checklist de conformité RGPD (12 points)
La liste complète des éléments à vérifier sur votre site, point par point, pour vous mettre en conformité. Envoi immédiat par e-mail.
Jérémy Pierre
Expert en conformité RGPD, Jérémy accompagne les sites et agences dans la mise en conformité de leurs traitements de données depuis le lancement de RGPDKit.