Skip to Content

Chapitre 2.4 — Les sanctions (art. 83)

⏱️ TL;DR — L’article 83 fixe les amendes administratives, sur deux paliers : jusqu’à 10 M€ ou 2 % du CA annuel mondial pour les manquements « techniques » (registre, sécurité, sous-traitance), et jusqu’à 20 M€ ou 4 % pour les atteintes aux principes, bases légales, droits et transferts. On retient le plus élevé des deux. Mais ce sont des plafonds : le montant réel est modulé selon la gravité, l’intention, la coopération… Et l’amende n’est qu’une des mesures : la CNIL peut aussi enjoindre, limiter, rendre public. En 2025, année record, la CNIL a frappé fort (Google 325 M€, Shein 150 M€) — mais la majorité de ses décisions visent des acteurs bien plus modestes.

🎯 Objectifs

  • Distinguer les deux paliers de l’article 83 et savoir lequel s’applique à un manquement donné.
  • Appliquer la règle du montant le plus élevé (valeur absolue ou pourcentage).
  • Citer les critères de modulation qui font monter ou baisser l’amende.
  • Ne pas réduire la sanction à l’amende : connaître les mesures correctrices.

Deux paliers, selon la gravité du manquement

L’article 83 organise les amendes en deux niveaux, selon ce qui est violé :

PalierPlafondType de manquementExemples
Palier 1 — « technique »10 M€ ou 2 % du CA annuel mondialObligations d’organisation et de sécuritéPas de registre (art. 30), sécurité insuffisante (art. 32), sous-traitance non encadrée (art. 28), violation non notifiée (art. 33)
Palier 2 — « principes & droits »20 M€ ou 4 % du CA annuel mondialLe cœur des droits et des principesTraitement sans base légale (art. 6), non-respect des principes (art. 5) ou des droits (art. 12-22), transferts illicites (chap. V)

Intuition simple : plus on touche au fond (les droits des personnes, la licéité, les transferts), plus le plafond est haut. Les manquements d’organisation (registre, sécurité, contrats) relèvent du palier « technique » — ce qui ne veut pas dire anodin : 10 M€ reste énorme pour une PME.

📚 Le texte — L’article 83 du RGPD pose ces deux paliers et la règle du montant le plus élevé, et liste les critères que l’autorité doit peser pour fixer l’amende (paragraphe sur les circonstances : gravité, intention, coopération, catégories de données, mesures prises…). Les mesures correctrices autres que l’amende (avertir, enjoindre, limiter, suspendre) relèvent des pouvoirs de l’autorité de contrôle prévus par le RGPD, déclinés en France par la loi I&L.

La règle du « montant le plus élevé »

Pour chaque palier, on compare la valeur absolue (10 ou 20 M€) et le pourcentage du chiffre d’affaires annuel mondial — et c’est le plus élevé qui fait plafond.

plafond = max(valeur_absolue, pourcentage_du_CA_mondial) Palier 2 (4 %) : PME, CA mondial 2 M€ -> max(20 M€, 4 % x 2 M€ = 0,08 M€) = 20 M€ Geant, CA mondial 80 Md€ -> max(20 M€, 4 % x 80 Md€ = 3,2 Md€) = 3,2 Md€

Deux enseignements :

  • Pour une PME, c’est presque toujours la valeur absolue qui domine (le pourcentage est trop petit). Le plafond « rassurant » de 4 % ne l’est pas : 20 M€ reste le vrai chiffre.
  • Pour un géant, c’est le pourcentage qui mord — d’où des plafonds théoriques en milliards.

Mais attention : ce sont des plafonds, pas le tarif. Le montant réellement prononcé est modulé et reste, en général, très en dessous du plafond. L’amende de 325 M€ infligée à Google en 2025 est ainsi loin des 4 % de son CA mondial : elle résulte de la modulation, pas du plafond.

⚠️ Piège — « Les amendes RGPD, c’est pour les GAFAM. » Faux, et c’est le contresens le plus tenace. Les montants records font les gros titres, mais la majorité des décisions de la CNIL visent des acteurs modestes — PME, e-commerçants, collectivités, éditeurs — pour des manquements ordinaires : mots de passe en clair, base exposée, prospection sans consentement, durées de conservation infinies, droits ignorés. Ce sont exactement les erreurs qu’un dev peut éviter par conception. Le risque n’est pas réservé aux géants ; il est à ta portée de le supprimer.

Ce qui fait monter ou baisser l’amende

L’autorité ne sort pas un chiffre au hasard : elle module en pesant une série de critères. Les plus structurants :

Fait plutôt aggravantFait plutôt atténuant
Manquement intentionnelSimple négligence, corrigée vite
Atteinte grave, à beaucoup de personnes, longtempsImpact limité, peu de personnes
Récidive, mépris d’une mise en demeurePremière fois, aucun antécédent
Obstruction, absence de coopérationCoopération active avec l’autorité
Données sensibles (santé, mineurs…)Mesures d’atténuation rapides
Avantage financier tiré du manquementNotification spontanée de sa part

Message clé pour un dev : beaucoup de ces critères sont sous ton contrôle. Documenter ses choix, coopérer, corriger vite et notifier quand il le faut, ce n’est pas cosmétique — ça pèse directement sur le montant.

💡 Réflexe — La conformité n’est pas binaire (« amende / pas amende »). En cas de problème, ta posture compte autant que le manquement : un incident notifié spontanément, documenté et corrigé vite est traité tout autrement qu’un manquement caché et découvert par un contrôle. L’accountability (art. 5.2) est aussi une stratégie de réduction du risque.

La sanction n’est pas que l’amende

Réduire l’article 83 à « l’amende » fait oublier l’arsenal complet. L’autorité dispose de mesures correctrices graduées :

  • Rappel à l’ordre / avertissement — pour un manquement mineur ou un risque.
  • Injonction de mise en conformité, éventuellement sous astreinte (une somme par jour de retard — de quoi rendre l’inaction plus chère que l’action).
  • Limitation ou suspension d’un traitement — parfois pire qu’une amende : ça peut arrêter le produit.
  • Publicité de la décision — l’atteinte à la réputation fait souvent plus mal que le chèque, surtout quand le public est sensible (des enfants, par exemple).

🔒 Côté personne concernée — L’amende ne va pas à la victime : elle est versée à l’État. Pour la personne concernée (un parent, un élève, un stagiaire), la vraie réparation passe par deux autres voies : la plainte auprès de la CNIL, qui déclenche le contrôle, et, si elle a subi un préjudice, une action en réparation devant les tribunaux, distincte de l’amende administrative. Comprendre ça évite un malentendu fréquent : la sanction CNIL punit, elle n’indemnise pas.

Les records de 2025

2025 a été une année record pour la CNIL. Dans le cadre de son plan « cookies », elle a prononcé le 3 septembre 2025 deux sanctions majeures :

  • Google — 325 M€,
  • Shein — 150 M€, cette dernière incluant en outre des transferts hors UE insuffisamment encadrés.

Sur l’ensemble de l’année, le cumul des amendes se compte en centaines de millions d’euros. Ces chiffres marquent les esprits — mais rappelle-toi le piège plus haut : ils sont l’arbre médiatique qui cache la forêt des sanctions bien plus modestes prononcées au quotidien.

🧭 Sur FormaCampus — Fais le tri par palier. Si FormaCampus oublie son registre ou laisse une base mal sécurisée, on est au palier 1 (10 M€ / 2 %). Si elle traite des données d’élèves sans base légale, ignore une demande d’accès d’un parent, ou transfère des données hors UE sans encadrement, on bascule au palier 2 (20 M€ / 4 %). Comme son CA de PME est modeste, ce sont les valeurs absolues qui feraient plafond — largement de quoi couler la société. La bonne nouvelle : chacun de ces manquements est évitable par conception, et sa coopération en cas d’incident jouerait en sa faveur dans la modulation.

✏️ Exercices

Exercice 1 — Quel palier ? Classe chaque manquement au palier 1 (10 M€ / 2 %) ou 2 (20 M€ / 4 %) : (a) aucun registre des traitements ; (b) prospection sans base légale valable ; (c) mots de passe stockés en clair ; (d) transfert de données vers un prestataire américain sans garantie ; (e) refus de répondre à une demande d’effacement.

✅ Solution

(a) Palier 1 — le registre (art. 30) est une obligation d’organisation. (b) Palier 2 — absence de base légale (art. 6), on touche à la licéité. (c) Palier 1 — défaut de sécurité (art. 32). (d) Palier 2 — transfert illicite (chapitre V). (e) Palier 2 — non-respect d’un droit (art. 12-22). Règle mémo : organisation/sécurité → palier 1 ; principes/bases/droits/transferts → palier 2.

Exercice 2 — Calcule le plafond. Une PME réalise 3 M€ de CA mondial et a traité des données sans base légale. Quel palier, et quel plafond en pratique ?

✅ Solution

Absence de base légale = palier 2 : 20 M€ ou 4 % du CA mondial, le plus élevé. 4 % de 3 M€ = 0,12 M€, très inférieur à 20 M€ : le plafond applicable est donc 20 M€. Pour une PME, c’est quasi toujours la valeur absolue qui l’emporte — le « seulement 4 % » n’a rien de rassurant. (Rappel : ce plafond est un maximum ; le montant réellement prononcé serait modulé, souvent bien en dessous.)

Exercice 3 — Réduire le risque. Deux entreprises subissent la même fuite de données. L’une la notifie spontanément, la documente et corrige en 48 h ; l’autre la cache et se fait rattraper par un contrôle. À manquement égal, pourquoi la sanction diffère-t-elle ?

✅ Solution

À cause des critères de modulation de l’article 83. La première coche les atténuants : coopération, notification spontanée, mesures d’atténuation rapides, bonne foi. La seconde coche les aggravants : dissimulation, absence de coopération, découverte par l’autorité. Le manquement initial est le même, mais la posture change tout : documenter, notifier et corriger vite fait baisser l’amende — l’accountability est une stratégie de réduction du risque.

🧠 Quiz de révision

1. Quels sont les deux paliers de l’article 83 ?

10 M€ ou 2 % du CA annuel mondial pour les manquements « techniques » (registre, sécurité, sous-traitance, notification), et 20 M€ ou 4 % pour les atteintes aux principes, bases légales, droits et transferts. On retient le montant le plus élevé des deux.

2. Comment applique-t-on la règle du montant le plus élevé pour une PME ?

On compare la valeur absolue (10 ou 20 M€) et le pourcentage du CA mondial, et on garde le plus grand. Pour une PME, le pourcentage est petit, donc c’est presque toujours la valeur absolue qui fait plafond. Le « seulement 2 % / 4 % » n’est pas rassurant.

3. Cite trois critères qui font varier le montant de l’amende.

Par exemple : le caractère intentionnel ou négligent, la gravité et la durée, le degré de coopération avec l’autorité, la récidive, les catégories de données (sensibles), les mesures d’atténuation prises, l’avantage financier tiré. Beaucoup sont sous le contrôle du responsable.

4. La sanction se limite-t-elle à l’amende ?

Non. L’autorité dispose de mesures correctrices : rappel à l’ordre, injonction de mise en conformité (éventuellement sous astreinte), limitation ou suspension d’un traitement, et publicité de la décision. Suspendre un traitement ou rendre la décision publique peut faire plus mal qu’une amende.

5. Quelles sanctions records la CNIL a-t-elle prononcées en 2025 ?

Le 3 septembre 2025, dans son plan « cookies » : Google 325 M€ et Shein 150 M€ (cette dernière incluant des transferts hors UE insuffisamment encadrés). Année record, avec un cumul en centaines de millions — mais la majorité des décisions visent des acteurs bien plus modestes.


Chapitre suivant : Jurisprudence & évolutions — les arrêts qui ont façonné le droit (Schrems, Planet49) et le paysage 2026 qui bouge (Data Privacy Framework, Digital Omnibus, AI Act).

Last updated on