Amendes et statistiques d'application du RGPD en 2026 : les donnees definitives sur la protection des donnees dans l'UE
Depuis le debut de l'application en mai 2018, le Reglement General sur la Protection des Donnees a genere plus de 4 milliards d'euros d'amendes, des dizaines de milliers de decisions d'application et plus de 130 000 notifications de violations de donnees par an. Le RGPD reste la reference en matiere de reglementation de la protection des donnees dans le monde, et ses donnees d'application revelent des tendances que toute organisation traitant des donnees personnelles de l'UE devrait comprendre.
Cette page compile des statistiques verifiees sur les amendes RGPD, les actions d'application, les ventilations par pays, les notifications de violations de donnees, les couts de conformite et l'activite reglementaire. Chaque chiffre provient du Comite Europeen de la Protection des Donnees (CEPD), des autorites nationales de protection des donnees et de rapports sectoriels verifies.
Total des amendes RGPD
| Statistique | Source |
|---|---|
| Total des amendes RGPD recensees (tous temps confondus) : environ 4 milliards EUR | Privacy Affairs GDPR Fines Tracker |
| Nombre total d'amendes individuelles recensees : 1 701 | Privacy Affairs GDPR Fines Tracker |
| Total des amendes emises en 2023 uniquement (APD de l'EEE) : 1 973 832 107 EUR | Rapport annuel du CEPD 2023, pp. 36-37 |
| Nombre total d'amendes emises en 2023 : 1 763 | Rapport annuel du CEPD 2023, pp. 36-37 |
| Amendes resultant de decisions contraignantes du CEPD depuis 2018 : plus de 2,5 milliards EUR | Rapport annuel du CEPD 2023, p. 14 |
| Part des amendes issues de decisions contraignantes du CEPD dans le total : environ 55 % | Rapport annuel du CEPD 2023, p. 14 |
| Plus petite amende RGPD jamais enregistree : 28 EUR (Hongrie, novembre 2020) | Privacy Affairs GDPR Fines Tracker |
Les 20 plus grandes amendes RGPD jamais prononcees
| Rang | Entreprise | Montant (EUR) | Pays/APD | Annee | Motif |
|---|---|---|---|---|---|
| 1 | Meta Platforms (Facebook) | 1 200 000 000 | Ireland (DPC) | 2023 | Transfert illicite de donnees d'utilisateurs de l'UE vers les Etats-Unis via les clauses contractuelles types |
| 2 | Amazon Europe | 746 000 000 | Luxembourg (CNPD) | 2021 | Non-conformite au RGPD concernant la publicite ciblee sans consentement adequat |
| 3 | Meta (Instagram) | 405 000 000 | Ireland (DPC) | 2022 | Traitement de donnees personnelles d'enfants ; parametres publics par defaut pour les comptes d'enfants |
| 4 | Meta (Facebook) | 390 000 000 | Ireland (DPC) | 2023 | Utilisation du "contrat" comme base juridique pour le traitement publicitaire comportemental |
| 5 | TikTok Technology | 345 000 000 | Ireland (DPC) | 2023 | Pratiques de conception deloyales ciblant les enfants de 13 a 17 ans |
| 6 | Uber | 290 000 000 | Netherlands (AP) | 2024 | Transfert illicite de donnees personnelles de chauffeurs europeens vers les Etats-Unis |
| 7 | Meta (WhatsApp) | 225 000 000 | Ireland (DPC) | 2021 | Manque de transparence ; defaut d'information adequate aux utilisateurs et non-utilisateurs |
| 8 | France (CNIL) - Google LLC | 50 000 000 | France (CNIL) | 2019 | Base juridique insuffisante ; manque de transparence et de consentement pour la personnalisation publicitaire |
| 9 | Criteo | 40 000 000 | France (CNIL) | 2023 | Suivi des utilisateurs sans consentement valide pour la publicite ciblee |
| 10 | H&M | 35 258 708 | Germany (HmbBfDI) | 2020 | Surveillance extensive des employes ; enregistrement de details de la vie privee |
| 11 | Enel Energia | 26 500 000 | Italy (Garante) | 2021 | Telemarketing agressif sans consentement |
| 12 | British Airways | 22 046 000 | UK (ICO) | 2020 | Mesures de securite insuffisantes ; environ 500 000 clients affectes par une violation de donnees |
| 13 | Marriott International | 20 450 000 | UK (ICO) | 2020 | Securite insuffisante ; 30 millions d'enregistrements EEE exposes depuis 2014 |
| 14 | Clearview AI | 20 000 000 | France (CNIL) | 2022 | Traitement illicite de donnees biometriques ; collecte d'images faciales sans consentement |
| 15 | Clearview AI | 20 000 000 | Italy (Garante) | 2022 | Traitement biometrique illicite (memes pratiques qu'en France) |
| 16 | Clearview AI | 20 000 000 | Greece (HDPA) | 2022 | Traitement biometrique illicite (memes pratiques qu'en France et en Italie) |
| 17 | CaixaBank | 6 000 000 | Spain (AEPD) | 2021 | Traitement de donnees sans consentement valide |
| 18 | Spotify | ~5 000 000 | Sweden (IMY) | 2023 | Violation du droit d'acces des clients en vertu de l'article 15 du RGPD |
| 19 | Moderna Forsakringar | ~3 000 000 | Sweden (IMY) | 2023 | Defaut de garantie d'une securite appropriee ; 650 000 dossiers clients accessibles |
| 20 | OPENBANK | 2 500 000 | Spain (AEPD) | 2023 | Defaut de mise en place d'une communication securisee pour les donnees financieres |
Sources : Rapport annuel du CEPD 2023 ; Privacy Affairs GDPR Fines Tracker ; GDPR Enforcement Tracker (enforcementtracker.com)
Amendes RGPD par pays (2023)
Le tableau suivant presente l'activite en matiere d'amendes pour chaque autorite de protection des donnees de l'EEE en 2023, sur la base des donnees officielles communiquees au CEPD.
Par montant total des amendes (2023)
| Rang | Pays | Nombre d'amendes | Montant total des amendes (2023) |
|---|---|---|---|
| 1 | Ireland | 6 | EUR 1 551 782 500 |
| 2 | Netherlands | 8 | EUR 243 160 000 |
| 3 | France | 37 | EUR 79 164 500 |
| 4 | Spain | 367 | EUR 29 817 410 |
| 5 | Italy | 146 | EUR 25 200 000 |
| 6 | Sweden | 11 | EUR 10 780 000 |
| 7 | Germany (all Lander) | 469 | EUR 9 743 930 |
| 8 | Norway | 7 | EUR 8 500 000 |
| 9 | Croatia | 28 | EUR 8 266 350 |
| 10 | Denmark | 5 | EUR 2 100 000 |
| 11 | Hungary | 95 | EUR 1 380 334 |
| 12 | Greece | 12 | EUR 636 000 |
| 13 | Iceland | 12 | EUR 537 000 |
| 14 | Finland | 3 | EUR 464 600 |
| 15 | Romania | 68 | EUR 444 622 |
| 16 | Portugal | 48 | EUR 367 450 |
| 17 | Austria | 55 | EUR 254 075 |
| 18 | Poland | 24 | EUR 213 820 |
| 19 | Estonia | 12 | EUR 213 300 |
| 20 | Bulgaria | 93 | EUR 159 931 |
| 21 | Czech Republic | 23 | EUR 140 000 |
| 22 | Slovakia | 47 | EUR 122 665 |
| 23 | Cyprus | 11 | EUR 120 250 |
| 24 | Belgium | 3 | EUR 80 000 |
| 25 | Lithuania | 13 | EUR 64 060 |
| 26 | Slovenia | 77 | EUR 56 910 |
| 27 | Malta | 3 | EUR 32 500 |
| 28 | Latvia | 3 | EUR 22 900 |
| 29 | Luxembourg | 3 | EUR 6 500 |
| 30 | Liechtenstein | 1 | EUR 500 |
| TOTAL | 1 763 | EUR 1 973 832 107 |
Source : Rapport annuel du CEPD 2023, pp. 36-37
Classement tous temps confondus par montant total des amendes
| Rang | Pays | Total des amendes (tous temps confondus) |
|---|---|---|
| 1 | Ireland | EUR 2 510 165 800 |
| 2 | Luxembourg | EUR 746 312 300 |
| 3 | France | EUR 293 594 300 |
| 4 | Italy | EUR 144 195 096 |
| 5 | United Kingdom | EUR 75 452 800 |
Source : Privacy Affairs GDPR Fines Tracker
Classement tous temps confondus par nombre d'amendes
| Rang | Pays | Nombre total d'amendes |
|---|---|---|
| 1 | Spain | 594 |
| 2 | Italy | 244 |
| 3 | Romania | 126 |
| 4 | Germany | 122 |
| 5 | Hungary | 66 |
Source : Privacy Affairs GDPR Fines Tracker
Articles du RGPD les plus violes
Les donnees d'application revelent des tendances constantes quant aux articles du RGPD les plus frequemment cites dans les amendes.
| Article | Description | Tendance d'application | Source |
|---|---|---|---|
| Art. 5 | Principes relatifs au traitement (licite, loyaute, transparence, limitation des finalites, minimisation des donnees) | Article le plus frequemment cite dans les amendes | Privacy Affairs Tracker ; Rapport annuel du CEPD 2023 |
| Art. 6 | Licite du traitement (base juridique) | Deuxieme plus frequent - a l'origine de nombreuses amendes elevees | Privacy Affairs Tracker ; enforcementtracker.com |
| Art. 32 | Securite du traitement | Troisieme plus frequent - frequemment cite dans les amendes liees aux violations | Rapport annuel du CEPD 2023, resume des cas, p. 34 |
| Art. 13/14 | Obligations d'information (transparence) | Tres courant dans toutes les APD | Privacy Affairs Tracker |
| Art. 15 | Droit d'acces | Courant - alimente par les plaintes des consommateurs (ex. Spotify 5 M EUR) | Rapport annuel du CEPD 2023, p. 56 |
| Art. 33/34 | Obligations de notification des violations | Courant dans les cas lies aux violations | Rapport annuel du CEPD 2023, resume des cas, p. 34 |
| Art. 25 | Protection des donnees des la conception et par defaut | En augmentation - cite dans les affaires TikTok et similaires | Rapport annuel du CEPD 2023, pp. 17-18 |
| Art. 44-49 | Transferts internationaux (Chapitre V) | A l'origine des amendes les plus elevees (Meta 1,2 Md EUR) | Rapport annuel du CEPD 2023, p. 16 |
Remarque : les APD appliquent souvent les articles 32, 33 et 34 conjointement dans les decisions liees aux violations. Le resume des cas du CEPD pour 2023 a analyse 90 decisions du mecanisme de guichet unique portant specifiquement sur la securite du traitement et la notification des violations de donnees.
Source : Rapport annuel du CEPD 2023 ; Privacy Affairs Tracker
Actions d'application et plaintes RGPD
Activite des APD nationales (2023)
| Pays | Plaintes recues | Enquetes | Sanctions |
|---|---|---|---|
| Spain | 18 879 | 291 | 367 amendes + 266 ordres de mise en conformite |
| Sweden | 3 553 | 210 | 11 amendes |
| Austria | 1 732 | 536 | 55 sanctions |
| Bulgaria | 1 497 | 890 | 93 sanctions |
| Cyprus | 437 | 14 (+11 sur site) | 54 decisions (11 amendes) |
| Croatia | 279 | 447 | 28 sanctions |
Source : Rapport annuel du CEPD 2023, Section 3.4, pp. 38-56
Cooperation transfrontaliere (2023)
| Indicateur | Valeur |
|---|---|
| Cas transfrontaliers crees en 2023 | 366 |
| Total des procedures de guichet unique (tous temps confondus jusqu'en 2023) | 1 023 |
| Decisions finales du guichet unique (tous temps confondus jusqu'en 2023) | 442 |
| Pourcentage de decisions du guichet unique soumises au reglement des litiges par le CEPD | ~1 % |
| Total des decisions contraignantes du CEPD emises (tous temps confondus) | 11 (dont 2 decisions urgentes au titre de l'article 66) |
| Decisions contraignantes adoptees en 2023 | 3 |
| Total des avis de coherence adoptes (tous temps confondus jusqu'en 2023) | 182 |
| Procedures facilitees par le systeme IMI en 2023 | 4 580+ |
Source : Rapport annuel du CEPD 2023, pp. 14, 16, 19-20, 33
Notifications de violations de donnees
| Statistique | Source |
|---|---|
| Plus de 130 000 notifications de violations de donnees en 2023 | DLA Piper GDPR Fines and Data Breach Survey (janvier 2024), largement cite |
| Environ 120 000 notifications de violations en 2022 | DLA Piper (janvier 2023) |
| Le nombre de notifications de violations a augmente chaque annee depuis le debut de l'application du RGPD en mai 2018 | Enquetes annuelles de DLA Piper |
Remarque : les totaux agreges des notifications de violations de donnees a l'echelle de l'UE ne sont pas publies par le CEPD. L'enquete annuelle de DLA Piper est la source principale pour les donnees de notification de violations inter-APD.
Couts des violations de donnees
Rapport IBM sur le cout d'une violation de donnees 2025
| Statistique | Source |
|---|---|
| Cout moyen mondial d'une violation de donnees : 4,4 millions USD | IBM Cost of a Data Breach Report 2025 |
| Variation annuelle : baisse de 9 % (due a une identification et un confinement plus rapides) | IBM 2025 |
| Economies realisees grace aux outils de securite IA : 1,9 million USD par violation par rapport aux organisations sans IA | IBM 2025 |
| Organisations ayant subi des incidents de securite lies a l'IA mais ne disposant pas de controles d'acces IA : 97 % | IBM 2025 |
| Organisations ne disposant pas de politiques de gouvernance de l'IA : 63 % | IBM 2025 |
Rapport IBM sur le cout d'une violation de donnees 2024
| Statistique | Source |
|---|---|
| Cout moyen mondial d'une violation de donnees : 4,88 millions USD | IBM Cost of a Data Breach Report 2024 |
| Delai moyen pour identifier une violation : 194 jours | IBM 2024 |
| Cycle de vie moyen d'une violation (identification + confinement) : 292 jours | IBM 2024 |
Amendes RGPD par secteur
Les tendances d'application montrent que les entreprises technologiques representent l'ecrasante majorite du montant total des amendes, tandis que certaines APD nationales se concentrent sur des secteurs specifiques.
| Secteur | Amendes notables | Problematiques cles |
|---|---|---|
| Technologie/Big Tech | Meta (1,2 Md EUR + 405 M EUR + 390 M EUR + 225 M EUR), TikTok (345 M EUR), Google (50 M EUR), Amazon (746 M EUR), Uber (290 M EUR), Criteo (40 M EUR) | Transferts de donnees, consentement, transparence, donnees des enfants, publicite comportementale |
| Telecommunications | Multiples amendes en Spain, Italy | Marketing non sollicite, violations de donnees |
| Services financiers | CaixaBank (6 M EUR), OPENBANK (2,5 M EUR) | Violations du consentement, defaillances de securite |
| Commerce de detail | H&M (35,3 M EUR) | Surveillance des employes |
| Energie | Enel Energia (26,5 M EUR) | Telemarketing agressif |
| Secteur public | Diverses municipalites et entites gouvernementales | Videosurveillance, conservation des donnees, transparence |
| Sante | Divers hopitaux (Netherlands, Portugal) | Acces aux dossiers des patients, securite |
Meta represente a elle seule plus de 2,2 milliards EUR d'amendes RGPD cumulees - soit plus de la moitie du total jamais emis.
L'AEPD espagnole, l'APD la plus active en volume (367 amendes en 2023), cible principalement les telecommunications, les services financiers et les petites entreprises pour des violations liees au marketing direct.
Ressources et budgets des APD
L'enquete 2023 du CEPD aupres des autorites de protection des donnees revele un ecart significatif entre l'ambition reglementaire et les ressources d'application.
| Statistique | Source |
|---|---|
| APD declarant que leur budget n'est PAS suffisant : 75 % (21 sur 28 APD) | Rapport annuel du CEPD 2023, p. 57 |
| APD declarant que leurs effectifs ne sont PAS suffisants : 89 % (25 sur 28 APD) | Rapport annuel du CEPD 2023, p. 57 |
| APD avec les memes effectifs qu'en 2022 malgre une charge de travail croissante : 7 APD | Rapport annuel du CEPD 2023, p. 57 |
| Budget du CEPD (2023) : 7,67 millions EUR | Rapport annuel du CEPD 2023, p. 10 |
| Personnel du Secretariat du CEPD : 46 | Rapport annuel du CEPD 2023, p. 9 |
| Pool d'experts de soutien du CEPD : environ 500 sur la liste de reserve | Rapport annuel du CEPD 2023, p. 31 |
Activite des DPD (Delegues a la Protection des Donnees)
L'action d'application coordonnee du CEPD en 2023 s'est concentree specifiquement sur les delegues a la protection des donnees, produisant la plus grande enquete inter-UE sur les DPD a ce jour.
| Statistique | Source |
|---|---|
| APD participant a l'action d'application sur les DPD : 25 dans l'EEE | Rapport annuel du CEPD 2023, p. 30 |
| Reponses recues de DPD et d'organisations : plus de 17 000 | Rapport annuel du CEPD 2023, p. 30 |
| Base d'utilisateurs du HUB du CEPD : plus de 1 400 membres | Rapport annuel du CEPD 2023, p. 11 |
Cadre des sanctions RGPD
| Niveau | Amende maximale | S'applique a |
|---|---|---|
| Niveau superieur | 20 000 000 EUR ou 4 % du chiffre d'affaires annuel mondial (le montant le plus eleve etant retenu) | Violations des principes de traitement des donnees, des conditions de consentement, des droits des personnes concernees, des transferts internationaux |
| Niveau inferieur | 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial (le montant le plus eleve etant retenu) | Violations des obligations des responsables de traitement/sous-traitants, des obligations des organismes de certification, des obligations des organismes de controle |
Source : RGPD Articles 83(4) et 83(5)
Dates cles et chronologie du RGPD
| Date | Evenement |
|---|---|
| 14 avril 2016 | Le Parlement europeen a adopte le RGPD |
| 4 mai 2016 | Le RGPD a ete publie au Journal officiel |
| 25 mai 2018 | Le RGPD est devenu applicable (debut de l'application) |
| Janvier 2020 | Premiere vague d'amendes majeures (Google 50 M EUR en 2019, H&M 35 M EUR en 2020) |
| Juillet 2021 | Amende de 746 M EUR pour Amazon (la plus elevee jusqu'a Meta en 2023) |
| Mai 2023 | Amende de 1,2 Md EUR pour Meta (plus grande amende RGPD de tous les temps) |
| Juillet 2023 | Adoption de la decision d'adequation du cadre de protection des donnees UE-Etats-Unis |
| 2023 | Annee record : 1,97 milliard EUR d'amendes, 1 763 amendes individuelles |
Questions frequentes
Q : Combien d'argent a ete percu au titre des amendes RGPD ?
R : Debut 2026, environ 4 milliards EUR d'amendes RGPD ont ete prononces depuis le debut de l'application en mai 2018. En 2023 uniquement, les autorites de protection des donnees de l'EEE ont emis 1,97 milliard EUR d'amendes reparties sur 1 763 decisions individuelles. Il est toutefois important de noter que "prononce" ne signifie pas toujours "percu" - de nombreuses amendes elevees font l'objet de recours juridiques en cours.
Q : Quelle est la plus grande amende RGPD jamais prononcee ?
R : La plus grande amende RGPD est de 1,2 milliard EUR, infligee a Meta Platforms (Facebook) par la Data Protection Commission irlandaise en mai 2023 pour transfert illicite de donnees d'utilisateurs de l'UE vers les Etats-Unis. Cette amende a depasse le precedent record de 746 millions EUR inflige a Amazon par le Luxembourg en 2021.
Q : Quel pays prononce le plus d'amendes RGPD ?
R : En nombre d'amendes, l'Espagne est le pays le plus actif avec 594 amendes au total (367 en 2023 uniquement), suivie de l'Italie (244), la Roumanie (126), l'Allemagne (122) et la Hongrie (66). Cependant, en termes de montant total des amendes, l'Irlande est en tete avec 2,51 milliards EUR en raison des amendes elevees contre les grandes entreprises technologiques qui y ont leur siege, suivie du Luxembourg (746 M EUR) et de la France (294 M EUR).
Q : Combien de notifications de violations de donnees sont deposees par an ?
R : Selon l'enquete annuelle de DLA Piper, plus de 130 000 notifications de violations de donnees ont ete deposees dans l'UE/EEE en 2023, contre environ 120 000 en 2022. Ce nombre a augmente chaque annee depuis le debut de l'application du RGPD.
Q : Combien coute en moyenne une violation de donnees ?
R : Selon le rapport IBM 2025 sur le cout d'une violation de donnees, le cout moyen mondial d'une violation de donnees est de 4,4 millions USD. Les organisations utilisant des outils de securite bases sur l'IA economisent environ 1,9 million USD par violation par rapport a celles qui n'en disposent pas. Le delai moyen pour identifier une violation est de 194 jours, avec un cycle de vie total de 292 jours.
Q : Quels articles du RGPD sont les plus souvent violes ?
R : L'article 5 (principes de traitement) est l'article le plus frequemment cite dans les amendes RGPD, suivi de l'article 6 (licite du traitement) et de l'article 32 (securite du traitement). Les amendes les plus elevees tendent a impliquer des violations des articles 44-49 relatives aux transferts internationaux de donnees.
Q : Les budgets des APD sont-ils suffisants pour l'application ?
R : Non. Selon l'enquete 2023 du CEPD, 75 % des autorites de protection des donnees declarent que leur budget est insuffisant et 89 % que leurs effectifs sont insuffisants. Sept APD avaient les memes effectifs que l'annee precedente malgre des charges de travail croissantes.
Toutes les statistiques de cette page proviennent d'organismes officiels de protection des donnees de l'UE et de rapports sectoriels verifies. Les sources principales comprennent le Rapport annuel du CEPD 2023, le Privacy Affairs GDPR Fines Tracker, le GDPR Enforcement Tracker (enforcementtracker.com), les rapports IBM sur le cout d'une violation de donnees (2024, 2025), les enquetes DLA Piper sur les amendes et violations de donnees RGPD et les rapports annuels des APD nationales. Cette page est mise a jour regulierement a mesure que de nouvelles donnees d'application deviennent disponibles.
Derniere mise a jour : mars 2026