Les autorités de protection des données traquent les PME
9 Min. Temps de lecture
Plus de 4,5 milliards d’euros de sanctions cumulées liées au RGPD depuis 2018 – et la tendance en 2026 montre clairement une évolution loin des grands groupes technologiques vers les entreprises de taille moyenne. Les autorités de contrôle de Berlin et de Hambourg ont, au cours des 24 derniers mois, ciblé systématiquement pour la première fois des entreprises réalisant moins de 500 millions d’euros de chiffre d’affaires annuel. L’obligation de déclaration dans les 72 heures en cas de violation de données est devenue le déclencheur le plus fréquent – parce que de nombreuses PME ne savent pas que le délai commence à compter de la date de connaissance de l’incident et non de l’escalade interne.
Les points clés en bref
- 4,5+ milliards d’euros cumulés, la tendance se tourne vers les PME. Depuis 2018, les autorités de contrôle européennes ont infligé plus de 4,5 milliards d’euros de sanctions liées au RGPD. En 2025/2026, l’accent est mis sur : les autorités de protection des données signalent significativement plus de procédures contre des entreprises de moins de 1 000 employés.
- Le délai de 72 heures commence plus tôt que prévu. Art. 33 RGPD : déclaration auprès de l’autorité de contrôle dès qu’un responsable a connaissance d’une violation de données. Celui qui ne déclare l’incident qu’après l’avoir escaladé en interne risque de dépasser le délai.
- Deutsche Wohnen SE comme référence DACH. L’entreprise berlinoise a reçu une amende de 14,5 millions d’euros pour stockage systématique de données sans concept de suppression – ce n’est pas un groupe technologique, mais une entreprise immobilière. Le modèle se répète en 2026 dans d’autres secteurs.
- Trois mesures immédiates pour les équipes de sécurité. Plan de réponse aux incidents avec un délai interne de 48 heures, système de déclaration automatique pour les articles 33/34 et audit trimestriel des flux de données réduisent structurellement le risque d’amende.
Qu’est-ce que l’obligation de déclaration RGPD selon l’article 33 ? L’article 33 du règlement général sur la protection des données oblige les responsables à déclarer une violation de données personnelles dans un délai de 72 heures à compter de la date de connaissance de celle-ci à l’autorité de contrôle compétente. Le délai ne commence pas à compter de la fin de l’enquête interne, mais dès qu’il existe une connaissance suffisante de l’entrée et de la nature de la violation. Si la déclaration ne peut pas être faite dans un délai de 72 heures, une justification de la retard doit être jointe.
Pourquoi 2026 sera une année charnière pour les PME
Les premières années de mise en œuvre du RGPD se sont concentrées sur des objectifs visibles : Google, Meta, Amazon, WhatsApp. Les amendes de plusieurs millions d’euros infligées aux géants de la technologie ont façonné la perception du public et ont conduit de nombreuses PME à croire à tort que leur taille était un protection naturelle.
Les autorités de contrôle en Allemagne et en Autriche ont systématiquement corrigé cette perception au cours des 24 derniers mois. Le délégué à la protection des données de Hesse a rapporté en 2025 un doublement des procédures contre les entreprises de moins de 250 employés. La déléguée à la protection des données de Berlin, Meike Kamp, a souligné dans plusieurs déclarations publiques que l’autorité effectuait des audits approfondis par secteur au lieu de traiter des cas individuels.
Le fondement juridique n’est pas nouveau : l’article 83 du RGPD prévoit des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. Pour une entreprise avec un chiffre d’affaires de 50 millions d’euros, cela représenterait 2 millions d’euros. Ce n’est pas un risque existentiel en chiffres absolus, mais un préjudice opérationnel important – y compris les coûts d’audit, la distraction interne et l’impact sur la réputation auprès des clients et des partenaires commerciaux.
4,5+ Mrd.
EUR d’amendes RGPD cumulées depuis 2018
72h
Délai de notification à compter de la connaissance de la violation de données
14,5 Mio.
EUR : amende infligée à Deutsche Wohnen SE (cas de référence DACH)
Le piège des 72 heures : où les PME échouent systématiquement
Le déclencheur d’amende le plus fréquent pour les PME n’est pas une violation de données grave, mais la notification tardive ou omise d’une violation relativement mineure. La mécanique est identique dans de nombreuses entreprises : un employé constate qu’un fichier a été envoyé par erreur à des destinataires externes. L’incident est signalé en interne. L’informatique et le département juridique débattent de l’obligation de notification. Trois jours plus tard, le délai de 72 heures expire – sans qu’une notification ait été déposée auprès de l’autorité.
L’article 33 du RGPD est précis : le délai commence dès que le responsable a une connaissance suffisante. Cela ne signifie pas la fin de l’analyse des causes. Une notification précoce avec la mention « Enquête en cours, plus de détails à suivre » est expressément possible et est mieux évaluée par les autorités de protection des données qu’une notification de complétude tardive.
Les CISOs rapportent que le plus grand problème interne n’est pas le manque de volonté de conformité, mais le manque de processus. Qui, dans la précipitation d’un incident de sécurité, doit simultanément limiter la cause, limiter les dommages et formuler une notification à l’autorité, échoue à la charge de travail parallèle. C’est un problème structurel, pas un problème de compétence.
Trois mesures pour réduire structurellement le risque d’amende
Délai interne de 48 heures comme escalade obligatoire
Le plan interne de gestion des incidents doit définir un seuil explicite : dès qu’une potentielle fuite de données est connue, un délai interne de 48 heures est automatiquement déclenché. Le responsable de la sécurité informe simultanément les équipes juridiques et de protection des données personnelles (DPO), et non de manière séquentielle. Cela crée un tampon de 24 heures pour déterminer si une obligation de notification au titre de l’article 33 est nécessaire et empêche les retards dus à la communication interne.
Modèle de notification préparé pour les articles 33/34
Un modèle de notification préparé à l’avance pour l’autorité de contrôle compétente réduit le temps de formulation sous pression à moins de 30 minutes. Le modèle contient les champs obligatoires conformément à l’article 33, paragraphe 3 : type de violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises. Les informations incomplètes avec la mention « complément à suivre » sont acceptées par les autorités et sont préférables au silence.
Audit trimestriel des flux de données avec preuve de suppression
L’affaire Deutsche Wohnen montre que les autorités considèrent l’absence de concepts de suppression comme un délit autonome passible d’amende, indépendamment d’une fuite de données concrète. Un audit trimestriel des flux de données, qui documente quelles données sont stockées où et quand elles ont été supprimées, est l’assurance la moins chère contre ce délit. Pour les entreprises sans équipe DPO propre, des prestataires de services externes suffisent pour un audit semestriel.
Compliance réactive ou proactive : ce que les autorités de contrôle apprécient réellement
Les autorités de protection des données disposent d’un système de sanctions graduées. Les amendes sont le dernier instrument, pas le premier. Quiconque prouve, lors d’un contrôle ou après une notification, qu’un système de gestion de la protection des données fonctionne, reçoit généralement une avertissement avec un délai de correction. Le délégué hambourgeois à la protection des données et à la liberté d’information l’a explicitement communiqué dans son rapport annuel 2024.
Approche proactive
- Un système de gestion de la protection des données documenté comme tampon contre les amendes
- Une notification précoce au titre de l’article 33 réduit notablement le niveau des sanctions
- Les autorités donnent la priorité aux entreprises sans système de gestion pour les contrôles approfondis
- Les concepts de suppression empêchent les délits autonomes passibles d’amende
Approche réactive
- Le dépassement du délai pour la notification au titre de l’article 33 augmente significativement le montant de l’amende
- L’absence de documentation est considérée comme un facteur aggravant
- Les investissements de conformité postérieurs coûtent 3 à 5 fois plus que les investissements préventifs
- Dommage à la réputation dû aux registres publics d’amendes (dans plusieurs pays de l’UE)
Ce que les équipes de sécurité peuvent concrètement faire
La bonne nouvelle pour les PME : la conformité au RGPD ne nécessite pas d’équipe dédiée à la protection des données. Elle nécessite une structure documentée. Les autorités de contrôle vérifient principalement si un responsable connaît ses obligations et les assume de manière démontrable. Trois éléments sont décisifs : un délégué à la protection des données désigné (obligatoire pour les entreprises de plus de 20 employés avec un traitement régulier de données), un registre des activités de traitement conformément à l’art. 30 et une évaluation des risques documentée pour les processus critiques.
Le rapport entre l’investissement et la réduction des risques est clair. Un délégué externe à la protection des données coûte entre 3 000 et 8 000 euros par an pour les PME. Une amende RGPD pour une entreprise avec un chiffre d’affaires de 50 millions d’euros peut atteindre jusqu’à 2 millions d’euros. Les équipes de sécurité qui ne peuvent pas expliquer cela à leur directeur financier ont choisi le mauvais angle.
Foire aux questions
Quelle est la différence entre l’art. 33 et l’art. 34 du RGPD ?
L’art. 33 réglemente l’obligation de notification à l’autorité de contrôle (72 heures à compter de la connaissance). L’art. 34 réglemente l’obligation d’informer les personnes concernées et ne s’applique que si la violation risque de présenter un risque élevé pour les droits et libertés des personnes physiques. Toutes les défaillances ne déclenchent pas l’art. 34, mais presque toutes les défaillances qui déclenchent l’art. 34 déclenchent également l’art. 33.
Quand une fuite de données est-elle soumise à notification ?
Une obligation de notification conformément à l’art. 33 existe si la violation risque de conduire à un risque pour les droits et libertés des personnes physiques. Un document interne envoyé par erreur sans données personnelles n’est généralement pas soumis à notification. Une fuite de données clients, de données de santé ou de données financières l’est presque toujours. En cas de doute, il vaut mieux signaler et être considéré par l’autorité comme non soumis à notification que de ne pas signaler et d’être considéré comme ayant manqué la deadline.
Quel est le montant typique de l’amende RGPD pour les PME en Allemagne ?
Pour les entreprises de moins de 500 employés, la plupart des amendes allemandes se situent entre 5 000 et 100 000 euros, si un système de gestion de la protection des données est en place et que la violation a été signalée. Sans système de gestion et en cas de manquement à la deadline, les amendes peuvent également atteindre des montants à six chiffres pour les petites entreprises.
Quelles branches sont particulièrement sous le contrôle des autorités de contrôle en 2026 ?
Les secteurs de la santé, de l’immobilier, des services financiers et des services de personnel sont vérifiés de manière renforcée par les autorités allemandes de protection des données – parce qu’ils traitent régulièrement des catégories de données particulièrement sensibles et présentent un nombre relativement élevé de notifications de fuites de données. Les vérifications approfondies par branche sont plus efficaces que les vérifications au cas par cas et fournissent aux autorités plus de renseignements par capacité de vérification utilisée.
Quel est le moyen le plus rapide pour se conformer à l’art. 30 du RGPD ?
Un registre des activités de traitement conformément à l’art. 30 doit documenter pour chaque processus de traitement l’objectif, la base juridique, les catégories de données, les destinataires et la durée de stockage. Pour une entreprise de jusqu’à 100 employés, 15 à 25 entrées suffisent généralement (ressources humaines, comptabilité, CRM, marketing, support informatique). Les outils de modèle proposés par les autorités allemandes de protection des données sont utilisables gratuitement et fournissent une base conforme à la structure en moins d’une semaine.
Conseils de lecture de la rédaction
Plus d’informations sur le réseau MBF Media
Photo : Pexels / Sora Shimazaki (px:5668858)
