Amendes DSGVO 2026 : Les autorités de contrôle ciblent désormais aussi les PME
9 min de lecture
Plus de 4,5 milliards d’euros d’amendes cumulées pour non-respect du RGPD depuis 2018 – et la tendance en 2026 s’oriente clairement vers les PME plutôt que vers les grands groupes technologiques. Les autorités de contrôle de Berlin et de Hambourg ont, pour la première fois au cours des 24 derniers mois, ciblé systématiquement des entreprises dont le chiffre d’affaires annuel est inférieur à 500 millions d’euros. La règle des 72 heures pour déclarer une violation de données devient ainsi le motif le plus fréquent – car nombre de PME ignorent que le délai commence dès la découverte de l’incident, et non lors de son escalade interne.
Les points clés en bref
- Plus de 4,5 milliards d’euros cumulés, la tendance se dirige vers les PME. Depuis 2018, les autorités européennes de contrôle ont infligé plus de 4,5 milliards d’euros d’amendes pour non-respect du RGPD. En 2025/2026, l’accent se déplace : les autorités de protection des données signalent nettement davantage de procédures contre des entreprises de moins de 1 000 employés.
- Le délai de 72 heures commence plus tôt qu’on ne le pense. Article 33 du RGPD : notification à l’autorité de contrôle dès qu’un responsable prend connaissance d’une violation de données. Celui qui attend de voir l’incident s’aggraver en interne avant d’informer l’autorité risque de dépasser le délai.
- Deutsche Wohnen SE comme référence dans la région DACH. Cette entreprise berlinoise a écopé d’une amende de 14,5 millions d’euros pour stockage systématique des données sans plan de suppression – il ne s’agit pas d’un groupe technologique, mais d’un promoteur immobilier. Ce modèle se répète en 2026 dans d’autres secteurs.
- Trois mesures immédiates pour les équipes de sécurité. Un plan de réponse aux incidents avec un délai interne de 48 heures, un système automatisé de déclaration conformément aux articles 33 et 34, ainsi qu’un audit trimestriel des flux de données permettent de réduire structurellement le risque d’amende.
Qu’est-ce que l’obligation de déclaration prévue par l’article 33 du RGPD ? L’article 33 du Règlement général sur la protection des données oblige les responsables à notifier une violation de la protection des données à l’autorité de contrôle compétente dans un délai de 72 heures à compter de la découverte de l’incident. Ce délai ne commence pas à partir de la fin de l’enquête interne, mais dès que l’on dispose d’informations suffisantes sur l’existence et la nature de la violation. Si la déclaration ne peut être effectuée dans les 72 heures, une justification de ce retard doit être fournie.
Pourquoi 2026 est une année charnière pour les PME
Les premières années de l’application du RGPD se sont concentrées sur des cibles visibles : Google, Meta, Amazon, WhatsApp. Les amendes de plusieurs millions infligées aux géants de la technologie ont façonné la perception publique et créé chez de nombreuses PME l’illusion que leur taille constituait une protection naturelle.
Les autorités de surveillance en Allemagne et en Autriche ont systématiquement corrigé cette perception au cours des 24 derniers mois. Le délégué à la protection des données de Hesse a signalé en 2025 un doublement des procédures contre les entreprises de moins de 250 employés. La déléguée berlinoise à la protection des données, Meike Kamp, a souligné dans plusieurs déclarations publiques que l’autorité procédait à des audits sectoriels approfondis plutôt qu’à des examens de cas isolés.
La base juridique n’est pas nouvelle : l’article 83 du RGPD prévoit des amendes pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Pour une entreprise affichant 50 millions d’euros de chiffre d’affaires, cela représenterait 2 millions d’euros. Ce n’est pas un risque existentiel en chiffres absolus, mais un préjudice opérationnel considérable – incluant les coûts d’audit, la distraction interne et l’impact sur la réputation auprès des clients et partenaires commerciaux.
4,5+ Mrd.
EUR d’amendes RGPD cumulées depuis 2018
72h
Délai de notification après prise de connaissance de la violation
14,5 Mio.
EUR : amende Deutsche Wohnen SE (cas de référence DACH)
Le piège des 72 heures : où les PME échouent systématiquement
Le déclencheur le plus fréquent des amendes pour les PME n’est pas une violation de données grave, mais la notification tardive ou omise d’une infraction relativement mineure. La mécanique est identique dans de nombreuses entreprises : un employé remarque qu’un fichier a été envoyé par erreur à des destinataires externes. L’incident est signalé en interne. L’informatique et le service juridique débattent de l’obligation de notification. Trois jours plus tard, le délai de 72 heures expire – sans qu’aucune notification n’ait été transmise à l’autorité.
L’article 33 du RGPD est précis à cet égard : le délai commence dès que le responsable du traitement en a suffisamment connaissance. Cela ne signifie pas attendre la fin de l’analyse des causes. Une notification précoce avec la mention « enquête en cours, détails supplémentaires à suivre » est expressément possible et bien mieux évaluée par les autorités de protection des données qu’une notification complète mais tardive.
Les CISO rapportent que le principal problème interne n’est pas le manque de volonté de conformité, mais l’absence de processus. Celui qui doit simultanément contenir la cause, limiter les dommages et rédiger une notification officielle dans l’agitation d’un incident de sécurité échoue face à cette charge parallèle. Il s’agit d’un problème structurel, non d’un problème de compétence.
Trois mesures qui réduisent structurellement le risque d’amende
Le délai interne de 48 heures comme étape obligatoire d’escalade
Le plan interne de réponse aux incidents doit définir un seuil explicite : dès qu’une violation potentielle des données est connue, un délai interne de 48 heures se déclenche automatiquement. Le responsable de la sécurité informe le service juridique et le DPO simultanément, et non séquentiellement. Cela crée une marge de manœuvre de 24 heures pour clarifier s’il existe une obligation de déclaration au titre de l’article 33 et empêche les dépassements de délais dus à la communication en chaîne au sein de l’entreprise.
Modèle de déclaration préparé à l’avance pour les articles 33/34
Un modèle de déclaration créé à l’avance destiné à l’autorité de contrôle compétente réduit le temps de formulation sous pression à moins de 30 minutes. Le modèle contient les champs obligatoires selon l’article 33 paragraphe 3 : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises. Des informations incomplètes avec la mention « suite à venir » sont acceptées par les autorités et préférables au silence.
Audit trimestriel des flux de données avec preuve de suppression
L’affaire Deutsche Wohnen démontre que les autorités considèrent l’absence de concepts de suppression comme un fait générateur d’amende autonome, indépendamment d’une violation concrète des données. Un audit trimestriel des flux de données, qui documente quelles données sont stockées où et quand elles ont été supprimées, est l’assurance la plus économique contre ce chef d’inculpation. Pour les entreprises sans équipe DPO dédiée, des prestataires externes suffisent pour un audit semestriel.
Conformité réactive vs proactive : ce que les autorités de contrôle récompensent réellement
Les autorités de protection des données disposent d’un système de sanctions gradué. Les amendes constituent l’instrument ultime, et non le premier. Si, lors d’un contrôle ou après une déclaration, il est démontré qu’un système de gestion de la protection des données fonctionnel existe, une mise en garde avec un délai de mise en conformité est généralement prononcée en premier lieu. Le commissaire à la protection des données et à la liberté de l’information de Hambourg l’a explicitement communiqué dans son rapport annuel 2024.
Approche proactive
- Système de gestion de la protection des données documenté comme tampon contre les amendes
- La déclaration précoce au titre de l’article 33 réduit de manière prouvée le montant de la sanction
- Les autorités priorisent les entreprises sans système de gestion pour des vérifications approfondies
- Les concepts de suppression empêchent un fait générateur d’amende autonome
Approche réactive
- Le dépassement du délai pour l’article 33 augmente significativement le montant de l’amende
- L’absence de documentation est considérée comme un facteur aggravant
- Les investissements ultérieurs en conformité coûtent 3 à 5 fois plus cher que les mesures préventives
- Dommages à la réputation dus aux registres publics des amendes (plusieurs pays de l’UE)
Ce que les équipes de sécurité peuvent concrètement faire
Bonne nouvelle pour les PME : la conformité RGPD ne nécessite pas d’équipe dédiée à la protection des données. Elle exige une structure documentée. Les autorités de contrôle vérifient principalement si le responsable du traitement connaît ses obligations et peut prouver qu’il les accomplit. Trois éléments sont déterminants : un délégué à la protection des données nommé (obligatoire dès 20 employés avec traitement régulier de données), un registre des activités de traitement conformément à l’art. 30 et une évaluation documentée des risques pour les processus critiques.
Le rapport entre investissement et réduction des risques est ici clair. Un délégué à la protection des données externe coûte en moyenne entre 3 000 et 8 000 euros par an dans les entreprises de taille intermédiaire. Une amende RGPD pour une entreprise dont le chiffre d’affaires s’élève à 50 millions d’euros peut atteindre jusqu’à 2 millions d’euros. Les équipes de sécurité qui ne parviennent pas à l’expliquer à leur directeur financier ont choisi le mauvais angle d’approche.
Foire aux questions
Quelle est la différence entre l’art. 33 et l’art. 34 du RGPD ?
L’art. 33 régit l’obligation de notification auprès de l’autorité de contrôle (72 heures après prise de connaissance). L’art. 34 régit l’obligation d’informer les personnes concernées et ne s’applique que si la violation présente vraisemblablement un risque élevé pour les droits et libertés des personnes physiques. Toute panne ne déclenche pas l’art. 34, mais presque toute panne qui déclenche l’art. 34 déclenche également l’art. 33.
Quand une violation de données doit-elle être notifiée ?
Une obligation de notification au titre de l’art. 33 existe lorsque la violation est susceptible d’entraîner un risque pour les droits et libertés des personnes physiques. L’envoi accidentel d’un document interne sans données personnelles n’est généralement pas soumis à notification. Une fuite de données clients, de données de santé ou de données financières l’est presque toujours. En cas de doute, il vaut mieux notifier et se voir qualifier de non-soumis à notification par l’autorité plutôt que de ne pas notifier et être considéré comme ayant manqué aux délais.
Quel est le montant typique des amendes RGPD pour les PME en Allemagne ?
Pour les entreprises de moins de 500 employés, la plupart des amendes allemandes se situent entre 5 000 et 100 000 euros, lorsqu’un système de gestion de la protection des données fonctionnel est en place et que la violation a été signalée. Sans système de gestion et en cas de manquement aux délais, les amendes peuvent également atteindre le sixième chiffre pour les petites entreprises.
Quels secteurs sont particulièrement ciblés par les autorités de contrôle en 2026 ?
Les secteurs de la santé, de l’immobilier, des services financiers et des services de main-d’œuvre font l’objet de contrôles renforcés par les autorités allemandes de protection des données, car ils traitent régulièrement des catégories de données particulièrement sensibles et soumettent un nombre relativement élevé de notifications de violations de données. Les audits sectoriels approfondis sont plus efficaces que les audits individuels et fournissent aux autorités plus d’informations par capacité d’audit utilisée.
Quel est le moyen le plus rapide d’atteindre la conformité à l’art. 30 du RGPD ?
Un registre des activités de traitement conformément à l’art. 30 doit documenter pour chaque processus de traitement l’objectif, la base juridique, les catégories de données, les destinataires et la durée de conservation. Pour une entreprise comptant jusqu’à 100 employés, 15 à 25 entrées suffisent généralement (RH, comptabilité, CRM, marketing, support IT). Les outils modèles proposés par les autorités allemandes de protection des données sont gratuits et permettent d’obtenir une base conforme à la structure en moins d’une semaine.
Conseils de lecture de la rédaction
Plus du réseau média MBF
Photo : Pexels / Sora Shimazaki (px:5668858)
Source image de titre : Wikimedia Commons / Unknown/Pressestelle HSG (CC BY-SA 4.0)
