En bref
L'amende administrative RGPD peut atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. La CNIL, via sa formation restreinte, détermine le montant selon dix critères légaux. Un recours de pleine juridiction devant le Conseil d'État est ouvert.
Les deux paliers d'amendes prévus par l'article 83 du RGPD
Art. 83§5 RGPD — Règlement (UE) 2016/679
« Les violations des principes fondamentaux du traitement, des droits des personnes concernées et des règles encadrant les transferts internationaux sont passibles d'amendes pouvant atteindre vingt millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. »
Source : RGPD — Règlement (UE) 2016/679
Les dix critères de modulation du montant de l'amende
Art. 83§2 RGPD — Règlement (UE) 2016/679
« Chaque autorité de contrôle veille à ce que les amendes administratives soient, dans chaque cas, effectives, proportionnées et dissuasives, en tenant compte de dix critères d'appréciation incluant la nature et la gravité de la violation, son caractère intentionnel et le degré de coopération du responsable de traitement. »
Source : RGPD — Règlement (UE) 2016/679
La récidive : un facteur d'aggravation majeur
Tout manquement antérieurement sanctionné par la CNIL ou par une autre autorité de contrôle européenne est pris en compte comme circonstance aggravante. L'absence de registre des traitements ou de délégué à la protection des données peut constituer un indice de négligence systémique.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
La procédure de sanction devant la formation restreinte de la CNIL
Art. 20 Loi n° 78-17 du 6 janvier 1978 modifiée
« Le président de la CNIL peut prononcer une mise en demeure de se conformer aux obligations résultant du RGPD ou de la loi. La formation restreinte peut prononcer des sanctions graduées allant du rappel à l'ordre à l'amende administrative, après instruction contradictoire par un rapporteur indépendant. »
Documenter sa mise en conformité dès le contrôle
Constituer un dossier probant (registre des traitements à jour, analyses d'impact, procédures de notification, preuves de formation du personnel) dès la phase de contrôle permet de démontrer sa bonne foi et d'atténuer significativement le montant de la sanction.
L'éclairage de la jurisprudence de la Cour de justice de l'Union européenne
CJUE, 5 décembre 2023, aff. C-807/21, Deutsche Wohnen SE
« La Cour a posé l'exigence d'une faute — intentionnelle ou par négligence — comme condition préalable à toute amende RGPD infligée à une personne morale. Le chiffre d'affaires de référence pour le calcul du plafond doit inclure celui du groupe au sens du droit de la concurrence. »
Source : CJUE — InfoCuria
Interactions avec le droit pénal et la question de l'assurabilité
Non-assurabilité de l'amende RGPD
Contrairement à une idée répandue, l'amende administrative prononcée par la CNIL n'est pas couvrée par les polices de cyber-assurance. L'organisme sanctionné supporte seul le coût de la sanction. Seuls les frais d'avocat et de mise en conformité peuvent faire l'objet d'une prise en charge.
Les voies de recours contre une décision de sanction de la CNIL
Agir vite en cas de sanction : le référé-suspension
Dès la notification de la décision, évaluez l'opportunité d'un référé-suspension devant le Conseil d'État, notamment si le montant de l'amende menace la trésorerie ou la continuité d'exploitation. Le délai de recours de deux mois est impératif et non prorogeable.
Questions fréquentes
Quel est le montant maximal d'une amende administrative RGPD en France ?
Le plafond est de vingt millions d'euros ou 4 % du chiffre d'affaires annuel mondial total de l'entreprise, le montant le plus élevé étant retenu. Ce palier maximal s'applique aux violations des principes fondamentaux du traitement, des droits des personnes concernées et des règles de transfert international.
La CNIL peut-elle infliger une amende à une association ou une collectivité ?
Oui. Le RGPD s'applique à tout responsable de traitement, indépendamment de sa forme juridique. La CNIL peut sanctionner une entreprise, une association, un établissement public ou une collectivité territoriale dès lors qu'un manquement aux règles de protection des données est caractérisé.
Comment contester une amende RGPD prononcée par la CNIL ?
L'organisme sanctionné peut former un recours de pleine juridiction devant le Conseil d'État dans un délai de deux mois à compter de la notification. Le juge administratif peut annuler la décision ou réformer le montant de l'amende. Un référé-suspension est envisageable en cas d'urgence.
L'amende RGPD est-elle déductible de l'impôt sur les sociétés ?
Non. Les amendes et sanctions pécuniaires administratives ne sont pas déductibles du résultat imposable, en application de l'article 39, 2 du Code général des impôts. L'organisme sanctionné supporte l'intégralité du coût, auquel s'ajoutent les frais de mise en conformité et de défense juridique.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Sartrouville
- Procédure à Saint Malo
- Procédure à Laval
- Procédure à Belfort
- Procédure à Cherbourg En Cotentin
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours