Les amendes liées au Règlement général sur la protection des données (RGPD) continuent d'augmenter, les autorités européennes renforçant leur réponse aux incidents de sécurité des données. Selon le GDPR Enforcement Tracker, les entreprises ont écopé de plus de 330 amendes en 2025. Le cabinet d'avocats DLA Piper estime leur montant total à 1.2 milliard d'euros.
L'entreprise de réseaux sociaux TikTok a écopé de la plus forte amende infligée en 2025 au titre du RGPD. Prononcée en Irlande, cette amende de 530 millions d'euros concernait le partage de données d'utilisateurs européens avec du personnel basé en Chine. L'année dernière, l'autorité de contrôle luxembourgeoise a également confirmé l'amende de 746 millions d'euros infligée à Amazon en 2021 pour avoir collecté des données d'utilisateurs à des fins publicitaires sans leur consentement. Le recours d'Amazon a été rejeté, ce qui montre que les autorités européennes de protection des données prennent au sérieux l'application du RGPD.
La fréquence persistante des amendes liées au RGPD s'explique par une augmentation record des notifications de violation de données, que les entreprises sont tenues d'émettre dans les 72 heures suivant un incident. DLA Piper a constaté qu'en 2025, ces notifications ont atteint 400 par jour pour la première fois depuis l'entrée en vigueur du RGPD en 2018. Entre janvier 2024 et janvier 2026, elles ont dépassé 443, soit une hausse de 22 % par rapport aux 363 notifications enregistrées précédemment. DLA Piper attribue cette augmentation au piratage informatique favorisé par l'instabilité géopolitique mondiale, à la couverture médiatique accrue de la cybercriminalité et à l'émergence de lois et de réglementations relatives aux violations de données qui imposent la notification des incidents.
Il est clair que les autorités de protection des données ne sont plus disposées à ignorer les violations du RGPD, huit ans après son entrée en vigueur. Or, les données étant essentielles aux organisations modernes et les amendes RGPD représentant non seulement un risque financier, mais aussi un préjudice plus large pour les entreprises, comment peuvent-elles se conformer à la réglementation ?
Les autorités de réglementation durcissent le ton
L'une des principales raisons de la récente vague d'amendes liées au RGPD est que les autorités de régulation estiment que les entreprises ont eu largement assez de temps pour comprendre la loi et la mettre en pratique, selon Lucas von Stockhausen, directeur exécutif de l'ingénierie de sécurité chez Black Duck, une entreprise spécialisée dans la sécurité des applications.
Il explique à IO que les autorités de protection des données en ont assez des excuses invoquées par les entreprises non conformes et s'attachent désormais à les tenir responsables. Ignorer ces règles pourrait entraîner des sanctions importantes pour les entreprises, les autorités de régulation étant habilitées à infliger des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les infractions les plus graves.
Malgré la répression croissante des autorités de régulation contre les violations du RGPD, notamment par l'inflige des amendes, de nombreuses entreprises restent indifférentes à cette réglementation. Jake Moore, conseiller mondial en cybersécurité chez ESET, éditeur de logiciels antivirus, affirme que la protection des données se résume souvent à une simple formalité pour beaucoup d'organisations, alors qu'elle devrait être intégrée à tous les niveaux d'une entreprise moderne.
Il explique que cela engendre des « contrôles d'accès insuffisants » et des oublis quant à l'emplacement des données sensibles. Par conséquent, les données peuvent facilement tomber entre de mauvaises mains, et si les entreprises ne savent plus où elles ont stocké certaines données, elles auront du mal à répondre aux demandes de suppression. Ces problèmes exposent les entreprises à des amendes au titre du RGPD.
Mais la non-conformité au RGPD n'expose pas seulement les entreprises à des amendes coûteuses ; elle peut nuire à tous les aspects de leur fonctionnement. Jo Brianti, spécialiste de la protection des données, explique que les efforts de mise en conformité peuvent engendrer des perturbations opérationnelles lorsque les dirigeants doivent y consacrer une partie de leur temps déjà chargé. Ils pourraient même être tenus responsables financièrement s'ils avaient connaissance des manquements au RGPD et n'ont pas agi, ajoute-t-elle.
Elle affirme que négliger le RGPD peut également nuire à la réputation des entreprises, les exposer à des poursuites coûteuses intentées par des clients lésés, rendre plus difficile pour les entreprises d'opérer sur différents marchés en perturbant les « obligations des plateformes et les flux de données transfrontaliers » et apparaître dans les rapports de diligence raisonnable, entraînant une perte de ventes et d'autres opportunités commerciales.
L'IA change la donne
L'adoption croissante de l'intelligence artificielle par les entreprises contribue également à l'augmentation des amendes liées au RGPD. L'IA étant entraînée sur de vastes ensembles de données pour fonctionner et s'améliorer au fil du temps, le risque de fuites de données et de sanctions réglementaires est important.
De nombreuses entreprises utilisent des systèmes d'IA développés par des fournisseurs de technologies tiers et n'ont donc pas toujours la maîtrise du stockage et de la protection des données qu'elles saisissent dans ces applications. Selon von Stockhausen de Black Duck, cela engendre un risque réel de divulgation accidentelle de données et de non-respect du RGPD.
Il déclare à IO : « Les gains d'efficacité peuvent être considérables, mais du point de vue du RGPD, le principal risque est clair : les organisations doivent pouvoir garantir que les résultats de l'IA ne révèlent pas de données personnelles. »
En matière de sécurité des systèmes d'IA et des données qui les sous-tendent, les entreprises ne sont pas seulement tenues de respecter le RGPD. Un cadre législatif spécifique à l'IA se développe également. Il est tentant pour les entreprises de traiter la conformité au RGPD et la conformité à l'IA comme deux choses distinctes, mais cette approche peut s'avérer contre-productive.
Selon Moore d'ESET, la protection des données et la gouvernance de l'IA utilisant des ensembles de données identiques, les entreprises ont tout intérêt à les considérer comme une discipline intégrée, avec une responsabilité clairement définie. Cette approche permet de simplifier les tâches et d'éviter les doublons, réduisant ainsi le risque de négligence des données par les employés. Moore ajoute que cela peut également se traduire par une diminution des amendes pour les entreprises.
Brianti est une fervente partisane d'une approche intégrée de la gouvernance des données et des technologies de l'information, expliquant que les autorités de régulation « intègrent désormais le RGPD à un ensemble de mesures numériques plus vaste ». Elle cite en exemple la directive européenne sur les services numériques, la directive sur les marchés numériques et les mises à jour des lois existantes relatives aux données et à l'intelligence artificielle.
Selon Brianti, le non-respect de l'une de ces lois peut entraîner des répercussions en cascade sur de multiples cadres réglementaires. Elle explique à IO : « Le RGPD passe ainsi d'un domaine juridique cloisonné à un risque stratégique qui affecte la gouvernance d'entreprise, le profil de risque des investisseurs, les audits préalables à l'acquisition et la gestion de la réputation. »
Assurer la conformité
Alors que les autorités réglementaires continuent d'appliquer le RGPD, von Stockhausen de Black Duck explique que leur principale attente est que les entreprises aient mis en œuvre une stratégie de confidentialité des données « claire » qui explique les raisons de la collecte de données personnelles, si les données sont réellement nécessaires, ainsi que leurs méthodes de stockage et de protection des données.
« Les autorités de réglementation recherchent des entreprises qui traitent les renseignements personnels de façon délibérée, responsable et en ayant une compréhension claire des risques », explique-t-il. « Celles qui ne le font pas se retrouvent de plus en plus sous surveillance. »
Il affirme cependant que le meilleur moyen de se conformer au RGPD est de rester constamment vigilant face aux risques liés à la confidentialité et à la sécurité des données. Pour ce faire, les entreprises doivent mettre en œuvre des mesures de protection concrètes, surveiller en permanence les menaces posées par les nouvelles technologies et adapter leurs stratégies de protection des données en conséquence.
Pour les entreprises qui ne savent pas par où commencer, Brianti recommande d'intégrer les bonnes pratiques définies dans les normes et référentiels professionnels à leurs processus quotidiens afin de se conformer aux exigences réglementaires telles que le RGPD. Elle précise que la norme ISO 27001 est idéale pour gérer les problématiques liées à la sécurité de l'information et la norme ISO 27701 pour la protection de la vie privée. Cyber Essentials et NIST 800-53 figurent également parmi ses recommandations principales.
Parmi les autres recommandations de Brianti pour garantir la conformité au RGPD, on peut citer : la consignation dans un inventaire de l’emplacement des données personnelles et de leur mode de traitement ; l’adoption de principes de protection des données dès la conception afin que les produits soient toujours sécurisés ; la définition des rôles et des responsabilités liés à la protection des données ; la sensibilisation du personnel à l’importance de la protection des données ; la documentation de toutes les décisions prises en matière de protection des données ; la détermination des risques liés aux données par le biais d’analyses d’impact ; la centralisation de ces analyses et de tous les éléments relatifs aux données dans un environnement unique ; et la garantie de la cohérence de toutes les activités de réponse aux incidents.
Il est tentant de penser que la non-conformité au RGPD se résume à payer une amende et à passer à autre chose. Mais c'est une illusion. L'application du RGPD peut porter un coup dur aux opérations et à la croissance des entreprises. C'est pourquoi elle doit être considérée comme une priorité stratégique, et non comme une simple formalité administrative. En intégrant la conformité au RGPD à leurs autres activités de gouvernance informatique, les entreprises peuvent avoir la certitude de satisfaire aux exigences des autorités de contrôle et de se protéger face à l'évolution rapide des cybermenaces.
