Amendes DSGVO 2026 : Les autorités de contrôle ciblent désormais aussi les PME
9 Min. de lecture
Plus de 4,5 milliards d’Euro d’amendes DSGVO cumulées depuis 2018 – et la tendance 2026 montre clairement un déplacement des géants technologiques connus vers les PME. Les autorités de contrôle de Berlin et de Hambourg ont, au cours des 24 derniers mois, pour la première fois ciblé systématiquement des entreprises ayant un chiffre d’affaires annuel inférieur à 500 millions d’Euro. L’obligation de déclaration sous 72 heures en cas de fuite de données est le déclencheur le plus fréquent – parce que de nombreuses PME ne savent pas que le délai commence dès que l’incident est connu, et non lors de l’escalade interne.
Les points clés en bref
- 4,5+ Mrd. EUR cumulés, tendance vers les PME. Depuis 2018, les autorités de contrôle européennes ont imposé plus de 4,5 milliards d’Euro d’amendes DSGVO. En 2025/2026, l’accent se déplace : les autorités de protection des données signalent beaucoup plus de procédures contre des entreprises de moins de 1 000 employés.
- Délai de 72 heures commence plus tôt que prévu. Art. 33 DSGVO : déclaration à l’autorité de contrôle dès qu’un responsable a connaissance d’une violation de données. Ceux qui font d’abord escalader l’incident en interne avant d’informer l’autorité risquent de dépasser le délai.
- Deutsche Wohnen SE comme référence DACH. L’entreprise berlinoise a reçu une amende de 14,5 Mio. EUR pour stockage systématique de données sans concept de suppression – pas un géant technologique, mais une entreprise immobilière. Le schéma se répète en 2026 dans d’autres branches.
- Trois mesures immédiates pour les équipes de sécurité. Un plan de réponse aux incidents avec un préavis interne de 48 heures, un système de déclaration automatique pour les articles 33/34 et un audit trimestriel des flux de données réduisent structurellement le risque d’amende.
Quelle est l’obligation de déclaration DSGVO selon l’article 33 ? L’article 33 du Règlement Général sur la Protection des Données oblige les responsables à déclarer une violation de données à l’autorité de contrôle compétente dans les 72 heures suivant sa découverte. Le délai ne commence pas avec la fin de l’enquête interne, mais dès qu’il existe une connaissance suffisante de la survenance et du type de violation. Si la déclaration ne peut pas être faite dans les 72 heures, une justification pour le retard doit être jointe.
Pourquoi 2026 est une année charnière pour les PME
Les premières années de l’application du RGPD se sont concentrées sur des cibles visibles : Google, Meta, Amazon, WhatsApp. Les amendes de plusieurs millions imposées aux géants du numérique ont façonné la perception du public et ont conduit de nombreux dirigeants de PME à conclure à tort que leur taille était une protection naturelle.
Les autorités de contrôle en Allemagne et en Autriche ont systématiquement corrigé cette perception au cours des 24 derniers mois. Le délégué à la protection des données de la Hesse a signalé en 2025 une multiplication par deux des procédures contre des entreprises de moins de 250 salariés. La déléguée à la protection des données de Berlin, Meike Kamp, a souligné dans plusieurs déclarations publiques que l’autorité procédait à des audits approfondis par secteur plutôt que de se concentrer sur des cas isolés.
Le fondement juridique n’est pas nouveau : l’article 83 du RGPD prévoit des amendes pouvant aller jusqu’à 20 millions d’Euro ou 4 % du chiffre d’affaires mondial. Pour une entreprise réalisant un chiffre d’affaires de 50 millions d’Euro, cela représenterait 2 millions d’Euro. Pas un risque existentiel en valeur absolue, mais un préjudice opérationnel considérable – y compris les coûts d’audit, la distraction interne et l’impact sur la réputation auprès des clients et des partenaires commerciaux.
4,5+ Mrd.
EUR d’amendes RGPD cumulées depuis 2018
72h
Délai de notification à compter de la prise de connaissance de la violation de données
14,5 Mio.
EUR : amende infligée à Deutsche Wohnen SE (cas de référence DACH)
Le piège des 72 heures : où les PME échouent systématiquement
Le déclencheur d’amende le plus fréquent pour les PME n’est pas une violation grave des données, mais une notification tardive ou omise d’une violation relativement mineure. Le mécanisme est identique dans de nombreuses entreprises : un employé remarque qu’un fichier a été envoyé par erreur à des destinataires externes. L’incident est signalé en interne. Les départements informatique et juridique débattent pour savoir s’il existe une obligation de notification. Trois jours plus tard, le délai de 72 heures expire – sans que la notification n’ait été envoyée à l’autorité.
L’article 33 du RGPD est précis : le délai commence dès que le responsable a une connaissance suffisante. Cela ne signifie pas que l’analyse des causes est terminée. Une notification précoce avec la mention « l’enquête est en cours, des détails ultérieurs suivront » est expressément possible et est nettement mieux évaluée par les autorités de protection des données qu’une notification tardive et complète.
Les responsables de la sécurité informatique (CISO) signalent que le plus grand problème interne n’est pas le manque de volonté de se conformer, mais l’absence de processus. Lorsqu’il faut à la fois contenir la cause, limiter les dégâts et formuler une notification à l’autorité lors d’un incident de sécurité, l’entreprise échoue en raison de la charge parallèle. C’est un problème structurel, pas un problème de compétence.
Trois mesures pour réduire structurellement le risque d’amende
Escalade interne obligatoire dans les 48 heures
Le plan de réponse interne aux incidents doit définir un seuil explicite : dès qu’une potentielle violation de données est connue, une procédure interne de 48 heures est automatiquement déclenchée. Le responsable de la sécurité informe simultanément le service juridique et le DPO, et non de manière séquentielle. Cela crée un tampon de 24 heures pour déterminer si une déclaration est requise conformément à l’article 33 et évite les dépassements de délai dus à la communication interne en chaîne.
Modèle de déclaration prêt pour les articles 33/34
Un modèle de déclaration préparé à l’avance pour l’autorité de contrôle compétente réduit le temps de formulation sous pression à moins de 30 minutes. Le modèle contient les champs obligatoires conformément à l’article 33, paragraphe 3 : type de violation, catégories et nombre de personnes concernées, conséquences prévisibles, mesures prises. Des informations incomplètes avec la mention « complément à suivre » sont acceptées par les autorités et préférables au silence.
Audit trimestriel du flux de données avec preuve de suppression
L’affaire Deutsche Wohnen le démontre : les autorités considèrent l’absence de concept de suppression comme un motif d’amende autonome, indépendamment d’une violation de données concrète. Un audit trimestriel du flux de données, qui documente quelles données sont stockées où et quand elles sont supprimées, est la meilleure assurance contre ce motif. Pour les entreprises sans équipe DPO interne, des prestataires externes peuvent suffire pour un audit semestriel.
Conformité réactive vs proactive : ce que les autorités de contrôle récompensent réellement
Les autorités de protection des données disposent d’un système de sanctions gradué. Les amendes sont le dernier instrument, et non le premier. Quiconque démontre lors d’un contrôle ou après une déclaration qu’un système de gestion de la protection des données fonctionnel existe, reçoit en général d’abord un avertissement avec un délai pour se mettre en conformité. Le délégué à la protection des données et à la liberté d’information de Hambourg l’a explicitement indiqué dans son rapport annuel 2024.
Approche proactive
- Système de gestion de la protection des données documenté comme tampon contre les amendes
- Déclaration précoce conformément à l’article 33 réduit de manière démontrable la hauteur des sanctions
- Les autorités donnent la priorité aux entreprises sans système de gestion pour des contrôles approfondis
- Les concepts de suppression empêchent un motif d’amende autonome
Approche réactive
- Dépassement de délai pour l’article 33 augmente significativement la hauteur de l’amende
- L’absence de documentation est considérée comme un facteur aggravant
- Les investissements de conformité a posteriori coûtent 3 à 5 fois plus cher que les mesures préventives
- Préjudice pour la réputation dû aux registres publics d’amendes (plusieurs pays de l’UE)
Ce que les équipes de sécurité peuvent concrètement faire
La bonne nouvelle pour les PME : la conformité au RGPD ne nécessite pas d’équipe dédiée à la protection des données. Elle nécessite une structure documentée. Les autorités de contrôle vérifient principalement si un responsable connaît ses obligations et les assume de manière démontrable. Trois éléments sont décisifs : un délégué à la protection des données désigné (obligatoire à partir de 20 salariés avec traitement régulier de données), un registre des activités de traitement conformément à l’article 30 et une évaluation documentée des risques pour les processus critiques.
Le rapport entre l’investissement et la réduction des risques est clair. Un délégué externe à la protection des données coûte en moyenne entre 3 000 et 8 000 euros par an pour les PME. Une amende RGPD pour une entreprise avec un chiffre d’affaires de 50 millions d’euros peut atteindre jusqu’à 2 millions d’euros. Les équipes de sécurité qui ne peuvent pas l’expliquer à leur directeur financier n’ont pas choisi le bon angle d’approche.
Foire aux questions
Quelle est la différence entre l’article 33 et l’article 34 du RGPD ?
L’article 33 réglemente l’obligation de déclaration à l’autorité de contrôle (dans les 72 heures à compter de la prise de connaissance). L’article 34 réglemente l’obligation de notification aux personnes concernées et ne s’applique que si la violation risque de présenter un risque élevé pour les droits et libertés des personnes physiques. Tous les incidents ne déclenchent pas l’article 34, mais presque tous ceux qui déclenchent l’article 34 déclenchent également l’article 33.
Quand une faille de données est-elle obligatoire à déclarer ?
Une obligation de déclaration conformément à l’article 33 existe si la violation risque de présenter un risque pour les droits et libertés des personnes physiques. Un document interne envoyé par erreur sans données personnelles n’est généralement pas obligatoire à déclarer. Une fuite de données clients, de données de santé ou de données financières l’est presque toujours. En cas de doute, il vaut mieux déclarer et être classé comme non obligatoire par l’autorité que de ne pas déclarer et être considéré comme ayant manqué au délai.
Quel est le montant typique de l’amende RGPD pour les PME en Allemagne ?
Pour les entreprises de moins de 500 salariés, la plupart des amendes allemandes se situent entre 5 000 et 100 000 euros, si un système de gestion de la protection des données fonctionne et que la violation a été déclarée. Sans système de gestion et en cas de non-respect des délais, les amendes peuvent également atteindre des montants à six chiffres pour les petites entreprises.
Quels secteurs seront particulièrement surveillés par les autorités de contrôle en 2026 ?
Les secteurs de la santé, de l’immobilier, des services financiers et des services de personnel seront renforcés par les autorités de protection des données allemandes – parce qu’ils traitent régulièrement des catégories de données particulièrement sensibles et soumettent un nombre relativement élevé de déclarations de failles de données. Les audits sectoriels approfondis sont plus efficaces que les audits de cas individuels et fournissent aux autorités plus de connaissances par capacité d’audit déployée.
Quel est le moyen le plus rapide pour atteindre la conformité à l’article 30 du RGPD ?
Un registre des activités de traitement conformément à l’article 30 doit documenter l’objet, la base juridique, les catégories de données, les destinataires et la durée de conservation pour chaque processus de traitement. Pour une entreprise comptant jusqu’à 100 salariés, 15 à 25 entrées suffisent généralement (RH, comptabilité, CRM, marketing, support informatique). Les outils de modèle des autorités de protection des données allemandes sont gratuits et fournissent une base conforme à la structure en moins d’une semaine.
Réseau
Alec Chizhik écrit pour SecurityToday sur les analyses de vulnérabilités, la télémétrie d’exploitation et les décisions opérationnelles de sécurité pour les équipes informatiques DACH
Photo : Pexels / Sora Shimazaki (px:5668858)
Source de l’image de titre : Wikimedia Commons / Unknown/Pressestelle HSG (CC BY-SA 4.0)
