Les sanctions RGPD ne sont plus théoriques. La CNIL en France a prononcé des dizaines de millions d'euros d'amendes ces dernières années. Les autorités de protection des données allemandes ont émis des centaines de Bußgelder. Et le système privé d'Abmahnung en Allemagne génère des milliers d'actions coercitives chaque année contre des entreprises de toutes tailles.
Voici 13 cas documentés — amendes, sanctions et décisions coercitives que vous pouvez vérifier. Il ne s'agit pas d'hypothèses. Ce sont les cas que les équipes de conformité de vos concurrents sont en train de lire.
⚠️ Avertissement : Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Les montants des amendes et les décisions coercitives sont basés sur des informations accessibles au public. Consultez un avocat qualifié pour obtenir des conseils adaptés à votre situation.
| Entreprise | Amende | Année | Infraction principale |
|---|---|---|---|
| Criteo | €40 000 000 | 2023 | Consentement aux cookies ; consentement invalide pour le suivi publicitaire |
| Doctissimo | €380 000 | 2023 | Conservation excessive des données ; consentement insuffisant pour données de santé ; sécurité insuffisante ; cookies avant consentement |
| NS Cards France | €105 000 | 2023 | Conservation excessive des données ; sécurité insuffisante ; cookies avant consentement |
| SAF Logistics | €200 000 | 2023 | Collecte excessive de données ; violations de conservation ; lacunes dans la politique de confidentialité |
| Dedalus Biologie | €1 500 000 | 2022 | Violation de données ; sécurité insuffisante ; violations de conservation |
| Clearview AI | €20 000 000 | 2022 | Reconnaissance faciale illicite ; absence de base légale |
| Free Mobile | €300 000 | 2022 | Non-respect des droits des personnes concernées ; sécurité des données insuffisante (mots de passe faibles ou en clair) |
| Infogreffe | €250 000 | 2022 | Conservation excessive ; sécurité insuffisante ; absence d'enregistrement du DPO |
Tendance : Le consentement aux cookies, la conservation excessive des données et la sécurité insuffisante sont les trois catégories d'infractions les plus citées dans les décisions de la CNIL.
| Entité | Amende | Année | Autorité | Infraction principale |
|---|---|---|---|---|
| Deutsche Wohnen | 900 000 € (ramenée de 14,5 M€) | 2019 | Autorité berlinoise de protection des données (BlnBDI) | Conservation excessive des données des locataires — amende prononcée le 30 octobre 2019, annulée par le tribunal régional de Berlin en 2021 ; après l'arrêt de la CJUE C-807/21 (2023), fixée à 900 000 € en 2026 (communiqué du tribunal) |
| Sites avec Google Fonts | 100 € de dommages-intérêts (un plaignant) | 2022 | LG München | Transfert d'adresse IP sans consentement (CDN Google) |
| Knuddels | €20 000 | 2018 | LfDI Baden-Württemberg | Mots de passe stockés en clair (art. 32 RGPD) — première amende RGPD prononcée en Allemagne |
| Plusieurs PME | €1 000–€5 000 chacune | 2023–2024 | Abmahnung | Violations d'Impressum ; erreurs de Widerrufsbelehrung |
Infraction : Criteo a traité les données des visiteurs de sites partenaires sans consentement valide. Les mécanismes de consentement aux cookies sur les sites partenaires ne respectaient pas les exigences du RGPD ; Criteo a traité un consentement insuffisant comme un consentement valide.
Ce qui a mal tourné : Collecte de consentement invalide ; défaut de vérification du consentement des partenaires ; information insuffisante des personnes concernées ; non-respect des demandes de retrait du consentement.
Leçon : Si des partenaires de publicité numérique ou d'analyse collectent des données via votre site, vous partagez la responsabilité de la façon dont ce consentement est recueilli. « Nous utilisons un outil tiers » n'est pas une défense.
→ Pour votre site : Vérifiez chaque script de réseau publicitaire ou d'analyse qui tourne sur votre site. Si certains se déclenchent avant le consentement, vous êtes dans la même situation que les sites partenaires de Criteo.
Infraction : L'éditeur français de contenus santé conservait les données des utilisateurs bien au-delà de ce qui était nécessaire, traitait des données de santé sans les garanties de consentement exigées par l'article 9, présentait des lacunes en matière de sécurité et de responsabilité conjointe, et déposait des cookies avant le consentement — certains continuant de fonctionner après un refus.
Leçon : La décision CNIL SAN-2023-006 a constaté des manquements en matière de conservation des données, de consentement pour données de santé, de sécurité et de dépôt de cookies — pas un simple défaut de conception de bannière. Si votre site traite des données de santé ou d'autres données sensibles, les durées de conservation et le périmètre du consentement méritent autant d'attention que votre bannière de cookies.
→ Pour votre site : Vérifiez la durée de conservation de vos données, assurez-vous que toute donnée de santé ou sensible dispose de sa propre base de consentement explicite, et vérifiez que vos cookies ne se déclenchent pas avant le consentement — ni ne restent actifs après un refus.
Infraction : NS Cards France (opérateur du service de paiement prépayé Neosurf) conservait les données des comptes utilisateurs pendant environ dix ans, appliquait des règles de mots de passe faibles avec une fonction de hachage obsolète, et déposait des cookies Google Analytics avant d'obtenir le consentement.
Leçon : Définissez et appliquez des durées de conservation des données, exigez des mots de passe forts stockés avec une fonction de hachage moderne, et ne chargez pas de cookies d'analyse avant que l'utilisateur ait consenti.
Infraction : Collecte de données personnelles excessives auprès des candidats à l'emploi via des formulaires en ligne ; conservation des données au-delà des délais nécessaires ; politique de confidentialité inadéquate.
Leçon : Les pages carrières et les formulaires de candidature sont soumis aux mêmes exigences RGPD que les pages orientées clients.
Infraction : Violation de données exposant les données de santé sensibles d'environ 500 000 patients. Causes profondes : sécurité insuffisante, absence de chiffrement, manque de minimisation des données.
Leçon : Les données de santé sont soumises à un plafond d'amende significativement plus élevé en vertu de l'article 9 du RGPD. La sécurité des données est une question de conformité, pas seulement une question informatique.
Infraction : La plateforme de messagerie Knuddels stockait les mots de passe de ses utilisateurs en clair ; une violation de données a exposé les données d'environ 330 000 utilisateurs. Le LfDI du Bade-Wurtemberg a prononcé une amende de 20 000 € au titre de l'article 32 du RGPD — la première amende RGPD prononcée en Allemagne (communiqué du LfDI, 21 novembre 2018).
Leçon : Stockez les mots de passe hachés avec un algorithme moderne, jamais en clair. L'autorité a souligné que le montant modéré reflétait la coopération exemplaire de l'entreprise et la correction rapide de ses mesures de sécurité.
Infraction : Un tribunal allemand a statué que le chargement de Google Fonts depuis le CDN de Google violait le RGPD — chaque chargement de page transmettait l'adresse IP du visiteur à Google sans consentement.
Leçon : Hébergez vos polices localement. Cela prend moins d'une heure et élimine entièrement ce risque.
Infraction : Non-respect des droits des personnes concernées (accès et effacement) et sécurité des données insuffisante — notamment des mots de passe faibles et des mots de passe stockés ou transmis en clair.
Leçon : Honorer les demandes d'accès et d'effacement dans les délais impartis, et stocker les mots de passe de manière sécurisée (règles strictes, hachage moderne), sont des obligations de conformité à part entière — indépendamment de toute violation.
Infraction : Des associations de protection des consommateurs et des concurrents ont systématiquement analysé les sites web des PME allemandes à la recherche de violations d'Impressum.
Leçon : L'action coercitive par Abmahnung en Allemagne est privée, systématique et rentable pour ceux qui la déposent. Vous n'avez pas besoin d'être visé par un régulateur.
→ Pour votre site : Vérifiez votre Impressum maintenant : raison sociale légale, adresse physique (pas de boîte postale), numéro de téléphone, e-mail, numéro d'immatriculation au registre du commerce, numéro de TVA, personne responsable.
Infraction : Information de rétractation/annulation (Widerrufsbelehrung) incorrecte ou manquante sur des sites e-commerce allemands.
Leçon : La Widerrufsbelehrung doit utiliser le modèle officiel. Une erreur courante : mettre à jour les CGV mais oublier l'avis de rétractation distinct requis.
Infraction : Durées de conservation des données excessives ; sécurité insuffisante ; défaut d'enregistrement du DPO auprès de la CNIL lorsque requis.
Leçon : L'enregistrement du DPO est une étape de conformité que de nombreuses organisations manquent.
Les priorités d'action de la CNIL pour 2025–2026 ciblent trois domaines :
| Type d'infraction | Présent dans | Remarques |
|---|---|---|
| Défaillances du consentement aux cookies | Cas 1, 2, 6 | Infraction la plus détectable automatiquement |
| Conservation excessive des données | Cas 3, 4, 8, 13 | Accompagne souvent d'autres infractions |
| Sécurité insuffisante | Cas 5, 8 | Amendes plus élevées ; multiplicateur pour les données de santé |
| Scripts de suivi avant consentement | Cas 2, 6 | Vérifiable techniquement ; principal motif de sanction |
| Politique de confidentialité incomplète | Cas 2, 4, 6 | Presque toujours une infraction secondaire |
| Abmahnung privée (Allemagne) | Cas 9–12 | Aucun régulateur nécessaire ; rapide et rentable pour les plaignants |
Chaque infraction dans ces 13 cas était détectable avant toute action coercitive. La tendance est constante : l'organisation ne savait pas qu'elle avait un problème jusqu'à ce que quelqu'un d'autre le découvre.
Pour les détails sur la réponse à un Abmahnung : Vous avez reçu un Abmahnung ? Voici ce que faire dans les 14 prochains jours. Pour comprendre pourquoi les PME allemandes sont ciblées de manière disproportionnée : Pourquoi les petites entreprises sont la cible principale des Abmahnungen.
Les amendes CNIL augmentent-elles d'année en année ?
Oui. Le volume total des amendes CNIL est en hausse depuis 2021, tant en nombre de décisions qu'en montants cumulés. Le mécanisme de sanction est aujourd'hui plus automatisé qu'il y a trois ans.
Quelle est la différence entre une amende CNIL et un Bußgeld allemand ?
Une amende CNIL est prononcée par l'autorité française de protection des données à l'issue d'une enquête formelle. Un Bußgeld est émis par une autorité allemande de protection des données. Un Abmahnung allemand est une action coercitive privée — aucun régulateur n'est impliqué ; un concurrent ou une association de consommateurs l'envoie directement.
Une petite entreprise peut-elle vraiment être sanctionnée par la CNIL ?
Oui. La CNIL accepte les plaintes des particuliers et y donne suite quelle que soit la taille de l'entreprise. Le système d'Abmahnung en Allemagne est particulièrement efficace contre les petites entreprises car le coût de la contestation dépasse souvent le coût du règlement amiable.
Google Fonts représente-t-il vraiment un risque de conformité ?
En Allemagne, si vous chargez Google Fonts depuis le CDN de Google, oui. Le LG München a jugé en 2022 que cela violait le RGPD. La solution est l'hébergement local — cela prend moins d'une heure.
Que coûte réellement une enquête CNIL au-delà de l'amende ?
Les frais juridiques pour répondre à une enquête formelle de la CNIL débutent généralement à €5 000–€15 000. Ajoutez à cela la perturbation opérationnelle, le temps de la direction et les travaux de remédiation éventuels.
À lire également :
Sources : Décisions de la CNIL (cnil.fr) · Décisions de l'autorité berlinoise de protection des données (BlnBDI) · LG München I Az. 3 O 17493/20 (Google Fonts) · Communiqués de presse DSK · Articles 33 et 83 du RGPD · Article 5(3) de la directive ePrivacy
🩸 — Sitetals Editorial