Abstract_Lights_P_0152

11 février 2026

DLA Piper publie l'édition 2026 de son enquête « GDPR FINES AND DATA BREACH SURVEY »

Download the report

DLA Piper publie la huitième édition de son rapport GDPR Fines and Data Breach Survey dévoilant un niveau toujours élevé d’activité répressive en matière de protection des données en Europe cette année. Les autorités de contrôle européennes ont infligé en 2025 des amendes totalisant environ 1,2 milliard d’euros (1,42 milliard USD / 1,06 milliard GBP), un montant qui s’aligne étroitement sur le total des amendes prononcées en 2024.

 

Tendances et enseignements

Bien que le montant total des sanctions ne soit pas en hausse par rapport à l’année précédente, il marque néanmoins une rupture avec la tendance baissière observée l’an dernier et confirme que les autorités continuent d’imposer des pénalités financières significatives.

L’analyse des données issue des autorités européennes de protection des données couvrant la période du 28 janvier 2025 au 27 janvier 2026, fait ressortir une hausse journalière de 22 % des violations de données personnelles notifiées, passant de 363 à une moyenne de 443 notifications par jour. C’est ainsi la première fois depuis le 25 mai 2018 que la moyenne quotidienne dépasse 400 notifications, rompant ainsi la tendance à la stagnation observée ces dernière années.

Bien que les raisons précises de cette hausse ne soient pas explicitement identifiées, plusieurs facteurs semblent y contribuer :

  • Le contexte géopolitique à l’origine d’une augmentation des cyberattaques ;
  •  L’attention accrue portée aux incidents cyber dans les médias ;
  •  L’adoption de nouvelles lois imposant des obligations de notification (par exemple la directive NIS2 et le règlement DORA), pourrait inciter les organisations à notifier davantage les violations.

Au total, les amendes prononcées depuis l’entrée en application du RGPD le 25 mai 2018 jusqu’au 10 janvier 2026 atteignent désormais 7,1 milliards d’euros (8,4 milliards USD / 6,2 milliards GBP) avec un maintien des grandes entreprises technologiques dans la ligne de mire des autorités européennes de protection des données, sans qu’un apaisement ne semble se profiler à court terme.

 

Les autorités les plus sévères

L’Irlande conserve sa position de leader européen en matière de sanctions, avec un cumul de 4,04 milliards d’euros (4,77 milliards USD / 3,56 milliards GBP) d’amendes infligées depuis mai 2018. L’autorité irlandaise a ainsi prononcé en 2023 une amende record de 1,2 milliard d’euros à l'encontre de Meta Platforms Ireland Limited et a aussi prononcé, l’amende la plus élevée en 2025, soit 530 millions d’euros (625 millions USD / 466 millions GBP) contre un réseau social pour violation des exigences RGPD en matière de transferts internationaux de données.

La France occupe désormais la deuxième place avec 1,1 milliard d’euros (1,3 milliard USD / 968 millions GBP). Ce montant peut néanmoins être légèrement surestimé car il n’est pas toujours possible de distinguer, en France, les amendes prononcées au titre du RGPD de celles imposées en vertu d’autres régimes, tels que la règlementation e‑privacy.

Le Luxembourg arrive cette année en troisième position, avec un total de 746,56 millions d’euros (880,94 millions USD / 656,97 millions GBP), principalement en raison de l’amende de 746 millions d’euros (880 millions USD / 656 millions GBP) infligée à une plateforme américaine de commerce en ligne en 2021. Le 18 mars 2025, le Tribunal administratif de Luxembourg a rejeté le recours formé par cette plateforme contre la décision de la CNPD et a confirmé l’amende initiale. La plateforme américaine envisagerait un nouveau recours.

 

Prédictions pour l’année à venir

La sécurité du traitement des données personnelles

Sans surprise, au regard de l’augmentation marquée des violations de données et des nombreux incidents médiatisés, il y a fort à parier que les autorités porteront une attention croissante à la sécurité et à la conformité de la chaîne d'approvisionnement et seront plus actives dans le contrôle du respect des mesures de sécurité en place. Cette tendance sera favorisée par l’intensification des tensions géopolitiques et par des cyberattaques dommageables qui constituent une menace réelle pour la résilience des services financiers, des services publics et d’autres services essentiels qui soutiennent nos sociétés. Elle sera également soutenue par un renforcement législatif portant sur l’importance cruciale de la sécurité et de la résilience de la chaîne d’approvisionnement à travers les nombreux textes du paquet « Décennie numérique » de l’UE — tels que NIS2, DORA et le CRA — lesquels imposent des mesures obligatoires en matière de sécurité et de résilience de la chaîne d’approvisionnement.

Gouvernance et responsabilité

Après le constat en 2025, de l’insuffisance de la gouvernance et des analyses d’impact sur la protection des données (AIPD) en place, les autorités de protection des données risquent de renforcer leur contrôle du respect du principe de responsabilité et, en particulier, l’efficacité des AIPD, en veillant à ce qu’elles fassent l’objet d’un examen régulier et continu. L’absence de préparation ou de supervision des AIPD pour les activités de traitement à haut risque peut devenir un facteur d’aggravation de la sanction.

Actions en réparation fondées sur le RGPD

On note que en 2025, plusieurs décisions importantes ont été rendues au sein de l’UE [1]et au Royaume‑Uni[2] sur des demandes d’indemnisation. Certaines étaient favorables aux demandeurs, d’autres vont plutôt dans le sens des défendeurs, et certaines offrent un bilan plus contrasté. Bien que le droit applicable à l’indemnisation des dommages immatériels diverge entre les juridictions des États membres, certaines des décisions ont permis de clarifier les preuves nécessaires à l’établissement de dommages immatériels. Plus la jurisprudence réduira ces incertitudes, plus les demandeurs — ainsi que leurs conseils — seront probablement encouragés à engager des actions, y compris collectives. Les entreprises devront donc intégrer ce risque d’actions indemnitaires pour violation du RGPD dans leur analyse et leur gestion de la conformité.

Tendances persistantes en matière de sanction

Certaines des tendances que nous avions identifiées dans nos prévisions de l’année dernière resteront des priorités réglementaires pour l’année à venir. Ainsi le modèle « consent or pay », l’équilibre entre l’innovation en matière d’IA et le respect des obligations en matière de protection des données, les transferts internationaux de données et le caractère fondamental du respect des principes de licéité, loyauté et transparence, resteront des priorités pour l’application des sanctions.

Ross McKean, responsable de la pratique Data, Privacy and Cybersecurity de DLA Piper UK déclare :

« Ce qui ressort le plus clairement du rapport de cette année, c’est la confirmation que le paysage des menaces cyber a atteint un niveau sans précédent. »

« Dans un contexte de fortes tensions géopolitiques et de cyberattaques majeures ayant fait la une de l'actualité internationale, la hausse de 22 % des notifications de violation de données personnelles montre les conséquences sérieuses et immédiates de cette période d’incertitude pour les organisations. Voir noir sur blanc une augmentation d’une telle ampleur constitue à mes yeux un signal d’alerte majeur. Associé à la multiplication des nouvelles réglementations en cybersécurité — dont certaines introduisent une responsabilité personnelle des dirigeants — notre rapport souligne l’urgence pour les organisations de renforcer leurs défenses et leur résilience opérationnelle. »

« Par ailleurs, le fait que le montant total des amendes RGPD se maintienne à 1,2 milliard d’euros démontre que les régulateurs restent très actifs, notamment sur les sujets liés à la sécurité de l’information, aux transferts internationaux de données, à la transparence et à l’interaction complexe entre l’innovation en IA et les cadres de protection des données. »

Denise Lebeau Marianna, responsable de la pratique Data, Privacy and Cybersecurity et du département IPT au sein de DLA Piper France, ajoute :

« Avec 1,1 milliard d’euros d’amendes depuis 2018, la France s’impose comme le deuxième pays où le montant des sanctions est le plus élevé en Europe

Au‑delà de ce constat statistique, les tendances observées confirment que la CNIL maintient une attention soutenue sur les enjeux de sécurité des données et de gestion des violations. Les décisions récentes mettent particulièrement en lumière l’importance accordée aux mesures de sécurité, à la détection rapide des incidents et à la qualité des notifications effectuées.

Cette tendance combinée à l’entrée en vigueur progressive des textes européens consacrés à la cybersécurité — tels que NIS2, DORA ou encore le Cyber Resilience Act — confirment un mouvement structurel vers un renforcement des exigences en matière de sécurité des données et de maîtrise des risques cyber.

Dans ce contexte réglementaire et opérationnel en pleine intensification, les entreprises doivent plus que jamais renforcer leurs programmes de cybersécurité et leur résilience opérationnelle. Il leur revient d’anticiper les évolutions réglementaires et de prendre les mesures nécessaires pour répondre aux tendances mises en évidence dans ce rapport. »

Vos contacts en France

Denise_Lebeau-Marianna
Denise Lebeau-Marianna
Partner
fadsf
Yaël Hirsch
Counsel
Tess Muckensturm
Tess Muckensturm
Collaborateur

Related insights

Abstract_Lights_P_0065-horz-content-gallery
Navigating the EU Digital Decade
Abstract_Lights_P_0152
DLA Piper GDPR Fines and Data Breach Survey 2026 - Webinar
Abstract_Lights_P_0152
DLA Piper GDPR Fines and Data Breach Survey: January 2025
Abstract_lights_P_1168
Transfer - global data transfer methodology
Blurred-colorful-lights
Data Protection Laws of the World
Abstract_Building_S_0236crop
#PracticalGlobalPrivacy: Navigating data complexities

Compétences connexes

Data, Privacy and CybersecurityCybersecurityData Protection