24. mars 2026 | Imprimer l'article |

Éviter les mises en demeure RGPD en 2026 : arrêts de la Cour fédérale de justice, pièges financiers et checklist pratique

4:32 min de lecture

Depuis mars 2025, les concurrents peuvent désormais contester les violations du RGPD via le droit de la concurrence déloyale (UWG) – la Cour fédérale de justice (BGH) a ouvert la porte. Par ailleurs, un second arrêt de la BGH confirme : la simple perte de contrôle sur des données à caractère personnel ouvre droit à une indemnisation – barème indicatif : 100 euros par personne concernée. Pour les entreprises, cela signifie que des bannières cookies défectueuses, des mentions légales obsolètes ou l’utilisation de Google Fonts sans hébergement local ne représentent plus seulement un risque d’amende, mais une invitation lancée à la concurrence.

L’essentiel

  • Arrêt de la BGH du 27 mars 2025 (I ZR 186/17) : les violations du RGPD sont désormais contestables via le droit de la concurrence (UWG). Concurrents et associations de consommateurs peuvent agir – sans mandat individuel d’une personne concernée (BGH).
  • Arrêt de la BGH du 18 novembre 2024 (VI ZR 10/24) : la perte de contrôle sur des données = préjudice immatériel. Pas de seuil minimal, barème indicatif d’environ 100 euros par personne concernée (BGH).
  • 266 amendes RGPD en Allemagne en 2024, montant total : 2,5 millions d’euros. Amende individuelle la plus élevée : 900 000 euros pour des durées de conservation excessives (dsgvo-portal.de).
  • Vague de mises en demeure liée à Google Fonts en 2022/2023 : des milliers d’exploitants de sites concernés. Le tribunal régional de Munich (LG München) a arrêté cette vague en la jugeant abusive (LG München I, 2023).
  • Obligation de labellisation prévue par l’AI Act à partir d’août 2026 : les violations liées à des contenus générés par l’IA pourraient devenir contestables selon la logique de l’UWG. Amendes pouvant aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel.

BGH, mars 2025 : le tournant pour les mises en demeure RGPD

Jusqu’au 27 mars 2025, il était contesté de savoir si les violations du RGPD pouvaient être contestées par le droit de la concurrence. La Cour fédérale de justice (BGH) a tranché définitivement par l’affirmative (I ZR 186/17, I ZR 222/19, I ZR 223/19) : les atteintes au RGPD constituent des infractions aux règles de comportement sur le marché au sens de l’article 3a du UWG.

La justification : les données à caractère personnel ont une valeur économique. Toute personne qui les traite illégalement s’octroie un avantage concurrentiel déloyal. Désormais, concurrents et associations de défense des consommateurs peuvent agir en justice sur le fondement du droit civil – sans mandat individuel d’une personne concernée.

Pour les entreprises, cela signifie : en plus des amendes prononcées par les autorités de protection des données, une seconde menace apparaît. Un concurrent respectant mieux le RGPD peut désormais mettre en demeure son concurrent – et lui faire prendre en charge les coûts.

266
Amendes RGPD en Allemagne en 2024 – montant total : 2,5 millions d’euros
Source : dsgvo-portal.de, bilan annuel 2024

Perte de contrôle = préjudice : le second arrêt de la BGH

Le 18 novembre 2024, la BGH (VI ZR 10/24) a statué dans le cadre de la fuite de données liée au scraping Facebook : la simple perte de contrôle sur des données à caractère personnel ouvre droit à une demande d’indemnisation pour préjudice immatériel au titre de l’article 82 du RGPD. Il n’est pas nécessaire de prouver que les données ont effectivement été utilisées à mauvais escient.

Important : une simple violation du RGPD ne suffit pas. Un préjudice concret doit être survenu et prouvé. Toutefois, le seuil est bas – un transfert de données incontrôlé suffit. Le barème indicatif de la BGH : environ 100 euros par personne concernée. En cas de fuite de données touchant 10 000 personnes, cela représente un risque d’indemnisation d’un million d’euros.

« Les violations du RGPD sont considérées comme des infractions aux règles de comportement sur le marché, car les données à caractère personnel ont une valeur économique et les manquements aux obligations d’information entravent les décisions éclairées des consommateurs. »
– BGH, arrêt du 27 mars 2025 (I ZR 186/17)

Les cinq motifs de mise en demeure les plus fréquents en 2025/2026

1. Mentions légales incorrectes ou absentes : le motif le plus courant. La déclaration doit être complète, lister tous les outils et prestataires utilisés, et être facilement accessible (lien dans le pied de page sur chaque page). L’absence d’informations sur l’hébergement, le suivi ou les services intégrés suffit à justifier une mise en demeure.

2. Bannières cookies sans opt-in réel : l’article 25 du TDDDG (en vigueur depuis mai 2024, précédemment TTDSG) exige un opt-in actif pour les cookies non essentiels. Les cases pré-cochées sont illégales depuis l’arrêt Planet49 (Cour de justice de l’UE 2019, BGH 2020). « Continuer à naviguer = consentement » est contraire à la loi. Les erreurs techniques – cookies déposés malgré le refus – sont particulièrement risquées.

3. Google Fonts sans hébergement local : le tribunal régional de Munich (2022) a jugé que l’intégration dynamique de Google Fonts transmet sans consentement l’adresse IP de l’utilisateur aux serveurs de Google. La vague de mises en demeure qui a suivi a été jugée abusive, mais l’interprétation juridique sous-jacente reste valable. Solution : héberger Google Fonts localement.

4. Newsletter sans double opt-in : l’envoi d’e-mails publicitaires non autorisés sans preuve de consentement est contestable à la fois au titre de l’article 7 alinéa 2 du UWG et du RGPD. La charge de la preuve du consentement incombe à l’entreprise.

5. Suivi sans consentement : Google Analytics, Meta Pixel et outils similaires exigent un consentement informé et actif avant tout transfert de données. Si un outil de suivi n’est pas correctement mentionné dans la déclaration de confidentialité, cela constitue une infraction autonome.

Google Fonts : la vague de mises en demeure et ses enseignements

En août 2022 a débuté une vague de mises en demeure de masse : un avocat berlinois a envoyé, au nom de Martin Ismail et de l’« IG Datenschutz », des milliers de lettres de mise en demeure à des exploitants de sites web – montants faibles à trois chiffres, délais courts. Fondement juridique : l’arrêt du tribunal régional de Munich de janvier 2022 (référence : 3 O 17493/20), qui avait accordé 100 euros d’indemnisation pour la transmission non autorisée de l’adresse IP à Google.

Le même tribunal a mis fin à cette vague en mars 2023 (référence : 4 O 13063/22) : les mises en demeure de masse ont été jugées abusives, car l’auteur utilisait un robot d’analyse automatisé. Toutefois, le droit à indemnisation en cas d’intégration non autorisée de Google Fonts demeure – seul l’usage systématique abusif a été interdit.

Combien coûte une mise en demeure ?

Position de coût Montant Fondement
Honoraires d’avocat (valeur litigieuse : 5 000 euros) environ 808 euros 1,3 émoluments professionnels RVG + forfait + TVA
Indemnisation (perte de contrôle) environ 100 euros/personne BGH VI ZR 10/24 (barème indicatif)
Amende de l’autorité de protection des données jusqu’à 20 millions d’euros / 4 % du chiffre d’affaires Art. 83 RGPD

Privilège tarifaire pour les PME : en cas de mise en demeure fondée sur le droit de la concurrence par un concurrent, les demandes de remboursement des frais sont exclues selon l’article 13 alinéa 4 du UWG pour les entreprises de moins de 250 employés. Pour celles comptant moins de 100 employés, aucune déclaration d’engagement sous astreinte ne peut être exigée en cas de première infraction.

AI Act : le prochain terrain de mises en demeure à partir d’août 2026

L’AI Act de l’UE (article 50) impose à partir d’août 2026 la labellisation des contenus générés par l’intelligence artificielle. Les deepfakes – contenus générés ou manipulés par l’IA (images, sons ou vidéos réalistes) – doivent être clairement identifiés comme tels. La définition est volontairement large : elle couvre non seulement les personnes, mais aussi les produits, lieux et situations.

Le risque de mise en demeure : selon la logique de l’arrêt de la BGH de mars 2025, les violations de l’AI Act pourraient également être contestées comme des infractions aux règles de comportement sur le marché via l’UWG. Les amendes prévues par l’AI Act sont drastiques : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel. Il n’existe encore aucune jurisprudence à ce sujet – mais l’analyse juridique est claire.

Checklist pratique : éviter les mises en demeure RGPD

  1. Vérifier la déclaration de confidentialité : tous les outils utilisés, prestataires d’hébergement et services tiers sont-ils nommés ? Date à jour ? Facilement accessible (lien dans le pied de page) ? Contrats de traitement de données signés avec tous les prestataires ?
  2. Tester la bannière cookies : les cookies ne sont-ils déposés qu’après un opt-in actif ? Le bouton « Refuser » est-il aussi visible que « Accepter » ? Pas de cases pré-cochées ? Vérification technique – ne pas se contenter de l’interface.
  3. Héberger Google Fonts localement : télécharger les polices et les servir depuis son propre serveur. Pas de chargement dynamique depuis fonts.googleapis.com. Vérifier également les intégrations Google Maps et YouTube.
  4. Documenter les consentements aux newsletters : conserver les preuves de double opt-in. Chaque e-mail doit contenir un lien de désabonnement fonctionnel. En cas de doute : faire vérifier par un avocat.
  5. Vérifier les consentements au suivi : charger Google Analytics, Meta Pixel et outils similaires uniquement après consentement actif. Les mentionner correctement dans la déclaration de confidentialité. Activer l’anonymisation des adresses IP.
  6. Identifier les contenus générés par l’IA : obligation prévue par l’AI Act à partir d’août 2026. Déjà bonne pratique aujourd’hui : indiquer clairement les textes, images ou vidéos générés par l’IA.
  7. Vérifications régulières : analyser son site trimestriellement avec un scanner RGPD (Cookiebot, OneTrust ou équivalent). Mettre à jour intégralement la déclaration de confidentialité une fois par an.

Fazit: Compliance ist keine Option mehr, sondern Wettbewerbsschutz

L’arrêt de la BGH de mars 2025 a changé les règles du jeu. La conformité au RGPD n’est plus seulement une affaire entre entreprise et autorité de protection des données – c’est devenu un facteur concurrentiel. Celui qui ne maîtrise pas son site web offre un outil gratuit à ses concurrents.

La première étape ne coûte pas cher : héberger Google Fonts localement (une heure de travail), tester techniquement la bannière cookies (un après-midi) et faire mettre à jour la déclaration de confidentialité (un rendez-vous avec un avocat). Ces trois mesures éliminent les points d’attaque les plus fréquents – avant que la concurrence ne les repère.

Questions fréquentes

Les concurrents peuvent-ils me mettre en demeure pour des violations du RGPD ?

Oui, depuis l’arrêt de la BGH du 27 mars 2025 (I ZR 186/17). La Cour a qualifié les violations du RGPD d’infractions aux règles de comportement sur le marché au sens de l’article 3a du UWG. Concurrents et associations de consommateurs peuvent agir sans mandat individuel d’une personne concernée.

Quel montant d’indemnisation risque-t-on en cas de violation du RGPD ?

La BGH a fixé en novembre 2024 un barème indicatif d’environ 100 euros par personne concernée pour la perte de contrôle sur des données à caractère personnel. Il n’existe aucune limite de bagatelle. En cas de fuite touchant de nombreuses personnes, le montant s’élève rapidement. Certains tribunaux ont accordé jusqu’à 5 000 euros par personne.

Dois-je héberger Google Fonts localement ?

Si vous ne disposez pas d’un consentement valable pour le transfert de données à Google : oui. Le tribunal régional de Munich a jugé en 2022 que l’intégration dynamique sans consentement constitue une violation du RGPD. La solution la plus simple : télécharger les polices et les servir depuis votre propre serveur. Cela s’applique également à Google Maps Embeds et autres ressources externes intégrées.

Combien coûte une mise en demeure RGPD ?

Les honoraires d’avocat s’élèvent à environ 808 euros pour une valeur litigieuse de 5 000 euros. S’ajoute un éventuel montant d’indemnisation (environ 100 euros par personne concernée). Pour les PME de moins de 250 employés, un privilège tarifaire s’applique (article 13 alinéa 4 UWG) : le remboursement des frais est exclu en cas de mise en demeure fondée sur le droit de la concurrence. Pour celles de moins de 100 employés, aucune déclaration d’engagement sous astreinte ne peut être exigée en cas de première infraction.

Quel rôle joue l’AI Act dans les mises en demeure ?

À partir d’août 2026, les contenus générés par l’IA devront être identifiés (article 50 AI Act). Selon la logique de la BGH, les violations de l’AI Act pourraient être contestées comme des infractions aux règles de comportement sur le marché via l’UWG. Les amendes sont élevées : jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel. Il n’existe encore aucune jurisprudence, mais le risque est réel.

Lectures recommandées par la rédaction

Plus d’informations sur le réseau MBF Media

Source de l’image : Pexels / Sora Shimazaki (px:5668473)

Imprimer l'article
Tobias Massow

À propos de l'auteur: Tobias Massow

Plus d'articles de

Un magazine de Evernine Media GmbH