Statistiques sur l'application du RGPD 2018-2025 : Analyse complète des données

Depuis l'entrée en vigueur du Règlement Général sur la Protection des Données (RGPD) le 25 mai 2018, les autorités européennes de protection des données ont imposé 5,8 milliards d'euros d'amendes à travers plus de 2 245 actions d'application, redéfinissant ainsi la manière dont les entreprises gèrent les données personnelles dans le monde entier.

Cependant, les chiffres globaux ne racontent qu'une partie de l'histoire. 69,5 % de toutes les amendes ont été concentrées dans un seul pays (Irlande), tandis que 42 % des actions d'application ont abouti à des pénalités inférieures à 100 000 euros. Les grandes entreprises technologiques font face à des amendes moyennes 93 fois plus élevées que celles des petites entreprises, tandis que les coûts de conformité pèsent de manière disproportionnée sur les PME.

Cette analyse complète compile 7,5 années de données sur l'application du RGPD provenant de 16 sources officielles, y compris 10 autorités nationales de protection des données, le Comité Européen de la Protection des Données, le Contrôleur Européen de la Protection des Données, et des recherches indépendantes de CMS Law, DLA Piper, IAPP et d'institutions académiques. Nous avons organisé 87 points de données individuels en un ensemble de données structuré, analysé les tendances à travers les pays et les secteurs, et identifié les schémas d'application qui façonneront la stratégie de protection des données jusqu'en 2026.

Que vous soyez un professionnel de la vie privée, un journaliste, un chercheur ou un leader d'entreprise, ces données offrent la vue la plus complète de l'application du RGPD à ce jour. Pour un contexte sur le cadre réglementaire qui sous-tend ces chiffres, consultez notre guide sur la souveraineté numérique en Europe.

Points Clés

Chiffres Principaux

• 5,8 milliards d'euros d'amendes totales imposées au titre du RGPD (mai 2018 - décembre 2025)
• Plus de 2 245 actions d'application dans les pays de l'UE27 + EEE
• 69,5 % de toutes les amendes émises par un seul pays (Irlande)
• 26,6 millions d'euros d'amende moyenne en Irlande contre 2,5 millions d'euros de moyenne dans l'UE (écart de 10,6x)

Tendances d'Application

• +634 % d'augmentation des amendes de 2018 à 2019 (première vague d'application)
• Année de pic 2022 : 2,92 milliards d'euros d'amendes (50 % du total historique)
• Les grandes entreprises technologiques dominent : Les 5 plus grandes amendes sont toutes contre des entreprises technologiques américaines
• Majorité de violations mineures : 67 % des actions ont abouti à des amendes inférieures à 500 000 euros

Comparaisons par Pays

• Irlande : 4,04 milliards d'euros d'amendes totales (69,5 % du total de l'UE), 152 actions
• Espagne : 932 actions (la plus grande activité d'application), 171 millions d'euros au total
• Luxembourg : 18,4 millions d'euros d'amende moyenne (deuxième plus élevée par action)
• Europe de l'Est : La Pologne, la République tchèque et la Roumanie combinées représentent 124 millions d'euros (2,1 % du total)

Tendances des Violations de Données

• 161 695 notifications de violation en 2024 seulement (443 par jour)
• +22 % d'augmentation des notifications de violation (2023 à 2024)
• Les Pays-Bas en tête : 37 839 notifications en 2024 (23 % du total de l'UE)
• France : +20 % d'augmentation des violations d'une année sur l'autre

Impact sur l'Industrie

• Secteur technologique : 78 % des amendes supérieures à 10 millions d'euros
• Télécommunications : 12 % de toutes les actions d'application
• Santé : 182 millions d'euros d'amendes (concentration sur les données sensibles)
• Services financiers : Diminution de l'application (8 % contre 15 % en 2018-2020)

Catégories de Violations

• Base légale insuffisante : Violation la plus courante (32 % des amendes par valeur)
• Violations de transfert de données : Amende moyenne la plus élevée (847 millions d'euros en moyenne)
• Défaillances de transparence : Violation la plus fréquente (41 % des actions)
• Violations de sécurité : 18 % de toutes les actions d'application

Perspectives

• 1,2 milliard d'euros d'amendes actuellement en appel
• Application de l'IA émergente : Toutes les principales APD ont établi des groupes de travail sur l'IA en 2024-2025
• Temps moyen de résolution : 24 mois (contre 12 mois en 2020)
• Coopération transfrontalière : 145 cas conclus via le mécanisme de l'Article 60 en 2024

Table des Matières

1. Aperçu & Totaux Cumulés
2. Tendances Année après Année
3. Répartition par Pays
4. Plus Grandes Amendes Individuelles
5. Types & Catégories de Violations
6. Notifications de Violations de Données
7. Application par Industrie
8. Perspectives Futures & Cas en Cours
9. Méthodologie
10. Comment Citer Ces Données
11. Télécharger les Données Brutes
12. Sources

---

Aperçu & Totaux Cumulés

Du 25 mai 2018 (date d'entrée en vigueur du RGPD) au 31 décembre 2025, les autorités européennes de protection des données ont redéfini la protection des données mondiale grâce à une application cohérente et de plus en plus substantielle.

Principales Conclusions

1. Concentration massive de la valeur d'application

   • Les 10 plus grandes amendes représentent 5,1 milliards d'euros (88 % de la valeur totale) [Sources 2, 11, 13]
   • L'Irlande à elle seule représente 4,04 milliards d'euros (69,5 % du total) [Source 13]
   • Cinq pays (Irlande, Luxembourg, France, Allemagne, Italie) représentent 87 % des amendes totales

2. Volume élevé de petites actions d'application

   • 67 % des actions d'application aboutissent à des amendes inférieures à 500 000 euros [Source 11]
   • L'Espagne a émis 932 amendes (le plus d'actions) mais seulement 171 millions d'euros au total (en moyenne 183 000 euros par amende) [Sources 5, 11]
   • Cela indique que les APD appliquent activement la loi contre les PME, et pas seulement contre les grandes entreprises technologiques

3. Le mécanisme "one-stop-shop" crée une concentration géographique

   • L'Article 56 du RGPD exige que les entreprises travaillent avec l'APD de leur principal établissement dans l'UE
   • Toutes les grandes entreprises technologiques américaines ont leur siège en Irlande (avantages fiscaux)
   • Résultat : L'Irlande gère la plupart des cas d'application de grande valeur contre les grandes entreprises technologiques

---

Tendances Année après Année

L'application du RGPD a évolué de manière significative depuis 2018, avec des phases distinctes : montée initiale (2018-2019), perturbation COVID (2020), ère des méga-amendes (2021-2022), et normalisation (2023-2025).

*Les données de 2018 couvrent uniquement la période du 25 mai au 31 décembre (année partielle). Sources : [11, 12, 13]

Principales Conclusions

1. 2022 a été l'année de pic d'application

   • 2,92 milliards d'euros d'amendes (50,2 % du total historique)
   • Propulsé par plusieurs méga-amendes : 405 millions d'euros pour Meta (Instagram), 90 millions d'euros pour Google, autres
   • 542 actions au total (nombre annuel le plus élevé)

2. L'application se stabilise à environ 1,2 milliard d'euros par an (2024-2025)

   • Après le pic de 2022, les amendes se sont normalisées à un niveau durable de 1,2 milliard d'euros par an
   • Le nombre d'actions diminue légèrement (542 en 2022 → ~450 en 2025)
   • Cela suggère une maturation : moins de violations nouvelles, plus d'application routinière

3. COVID-19 a causé une baisse temporaire en 2020

   • Les amendes ont chuté de 61 % d'une année sur l'autre en 2020
   • Le nombre d'actions a en fait augmenté (281 → 345), mais la gravité a diminué
   • Les APD ont montré de la clémence pendant l'incertitude pandémique

4. La montée initiale a été rapide (2018-2019)

   • +634 % d'augmentation des amendes de 2018 à 2019
   • De nombreuses organisations n'étaient pas préparées malgré une période de transition de 2 ans
   • Les premières amendes ont envoyé un signal fort sur l'intention sérieuse d'application

---

Répartition par Pays

L'application du RGPD varie considérablement d'un État membre de l'UE à l'autre, en raison des différences dans les ressources des APD, la culture d'application et le mécanisme "one-stop-shop" qui concentre la supervision des grandes entreprises technologiques en Irlande et au Luxembourg.

Top 10 des Pays par Volume d'Amende

Sources : [2, 3, 4, 5, 6, 7, 8, 9, 11, 13]. Calculs par habitant basés sur les estimations de population de 2025.

Principales Conclusions

1. Domination de l'Irlande par le mécanisme "one-stop-shop"

   • 4,04 milliards d'euros d'amendes (69,5 % du total de l'UE) provenant de seulement 152 actions (6,8 % du total des actions)
   • Amende moyenne de 26,6 millions d'euros, soit 10,3 fois la moyenne de l'UE
   • Toutes les grandes entreprises technologiques américaines (Meta, Google, Apple, X/Twitter, Microsoft, Amazon) ont leur siège social dans l'UE en Irlande
   • La DPC irlandaise a reçu 652 millions d'euros d'amendes en 2024 seulement, plus que la plupart des pays n'ont reçu en 7 ans [Source 2]

2. Anomalie par habitant du Luxembourg

   • 2 813 euros par résident (217 fois la moyenne de l'UE de 13 euros par habitant)
   • Propulsé par l'amende de 746 millions d'euros d'Amazon en 2021 (41 % du total du Luxembourg)
   • Une population de 640 000 crée un effet extrême par habitant
   • Comme l'Irlande, le Luxembourg attire les sièges sociaux en raison d'un régime fiscal favorable

3. L'Espagne en tête de l'activité d'application, pas des montants d'amende

   • 932 actions (41,5 % du total de l'UE) = APD la plus active par volume
   • Mais seulement 171 millions d'euros d'amendes (2,9 % du total) = moyenne de 183 000 euros par action
   • Cela reflète une culture d'application proactive : détection précoce des violations mineures
   • Concentration sur les PME et les problèmes de conformité routinière plutôt que sur les méga-cas

4. Allemagne : Activité élevée, amendes modérées

   • 412 actions d'application (18,3 % du total de l'UE)
   • 287 millions d'euros d'amendes (4,9 % du total) = moyenne de 697 000 euros
   • Les APD des Länder (au niveau des États) créent une application distribuée
   • Une forte culture de la vie privée favorise une application proactive

5. France : Approche équilibrée

   • 398 actions, 520 millions d'euros d'amendes
   • La CNIL est connue pour des cas de haute visibilité (Google, Amazon) et une application routinière
   • Une procédure simplifiée introduite en 2022 a triplé l'efficacité de l'application [Source 3]
   • 87 pénalités en 2024 (en hausse par rapport à 42 en 2023, 21 en 2022)

6. Europe de l'Est sous-représentée

   • Pologne, République tchèque, Roumanie, Bulgarie combinées : 124 millions d'euros (2,1 % du total)
   • Des contraintes de ressources au sein des APD sont citées dans plusieurs études [Source 16]
   • Possible sous-déclaration des petites amendes (inférieures à 10 000 euros)
   • Moins attractif pour les sièges sociaux des grandes entreprises technologiques (moins de méga-cas)

---

Plus Grandes Amendes Individuelles

Les 10 plus grandes amendes individuelles au titre du RGPD représentent 5,1 milliards d'euros (88 % de la valeur totale de l'application), démontrant que bien que l'application soit répandue, l'impact financier est concentré dans des affaires contre les plus grandes entreprises technologiques du monde.

Sources : [2, 5, 7, 11, 13]. Statut des appels en mars 2026.

Principales Conclusions

1. Meta domine le top 10

   • 5 des 10 plus grandes amendes sont contre des entreprises de Meta (Facebook, Instagram, WhatsApp)
   • Total des amendes pour Meta : 2,75 milliards d'euros (47,4 % de toutes les amendes du RGPD)
   • Les violations couvrent les transferts de données, le consentement, les données d'enfants, la transparence
   • Toutes les grandes amendes de Meta ont été émises par la DPC irlandaise (mécanisme "one-stop-shop")

2. Les violations de transfert de données entraînent les plus fortes pénalités

   • #1 (1,2 milliard d'euros) et #3 (530 millions d'euros) pour des transferts de données vers les États-Unis
   • L'arrêt Schrems II (juillet 2020) a invalidé le Privacy Shield
   • Les Clauses Contractuelles Standards (CCS) sont sous un intense examen
   • Amende moyenne pour violations de transfert : 865 millions d'euros contre 2,6 millions d'euros en moyenne globale
   • Les organisations peuvent réduire le risque de transfert en passant à des outils conformes au RGPD hébergés dans l'UE

3. Les appels retardent et réduisent considérablement les amendes

   • 1,2 milliard d'euros actuellement en appel (30 % du total des 10 plus grandes amendes)
   • L'amende de WhatsApp a été réduite de 225 millions d'euros à 5,5 millions d'euros en appel (réduction de 98 %)
   • Durée moyenne des appels : 18-24 mois
   • Taux de succès en appel : ~40 % voient une réduction ou une annulation totale

4. L'Irlande émet 7 des 10 plus grandes amendes

   • La DPC irlandaise gère 70 % des plus grands cas d'application
   • Critiquée pour son traitement lent (durée moyenne de 24 mois contre 12 mois en moyenne dans l'UE)
   • Mais émet les plus grandes amendes lorsque les décisions sont finalisées
   • Coopération transfrontalière requise via l'Article 60 (autres APD doivent donner leur accord)

5. Les entreprises non technologiques de plus en plus ciblées

   • Enel Energia (79,1 millions d'euros, #9) montre la vulnérabilité du secteur des services publics
   • Concentration sur les abus de télémarketing et les défaillances de sécurité
   • Indique que l'application s'élargit au-delà des grandes entreprises technologiques

---

Types & Catégories de Violations

Les violations du RGPD se répartissent en catégories distinctes, chacune ayant des montants d'amende caractéristiques et des schémas d'application. Comprendre quelles violations attirent les plus fortes pénalités informe les priorités de conformité.

Amendes par Catégorie de Violation

Sources : [11, 15]. Catégories basées sur la violation principale citée dans la décision d'application.

Principales Conclusions

1. Les violations de base légale représentent 32 % de la valeur des amendes

   • Exigence la plus fondamentale du RGPD : but légitime pour le traitement
   • L'Article 6 spécifie 6 bases légales (consentement, contrat, obligation légale, intérêts vitaux, tâche publique, intérêts légitimes)
   • Les entreprises revendiquent souvent "les intérêts légitimes" de manière inappropriée
   • Amende moyenne de 77,3 millions d'euros (propulsée par les cas de Meta revendiquant "nécessité contractuelle")

2. Les violations de transfert de données ont les amendes moyennes les plus élevées

   • Seulement 2 cas majeurs, mais 1,73 milliard d'euros au total (865 millions d'euros en moyenne)
   • L'arrêt Schrems II a créé une incertitude juridique
   • Les lois de surveillance américaines (FISA 702, EO 12333) incompatibles avec le RGPD
   • Les Clauses Contractuelles Standards à elles seules ne suffisent pas sans garanties supplémentaires

3. La transparence est la violation la plus fréquemment constatée

   • 920 actions (41 % du total), mais seulement 982 millions d'euros (17 % de la valeur des amendes)
   • Amende moyenne de seulement 1,1 million d'euros (faible gravité)
   • Problèmes courants : politiques de confidentialité peu claires, informations manquantes, avis de cookies inadéquats
   • Facile à violer, mais généralement pas traité comme sévère sauf s'il est combiné avec d'autres violations

4. Les violations de sécurité attirent des amendes modérées

   • L'Article 32 exige des "mesures techniques et organisationnelles appropriées"
   • 405 actions d'application, 445 millions d'euros au total (1,1 million d'euros en moyenne)
   • Les violations de données réelles entraînent souvent des amendes dans cette catégorie
   • Les sanctions augmentent considérablement si la violation affecte des données sensibles (santé, enfants)

5. Les violations des données d'enfants ont la deuxième moyenne la plus élevée

   • L'Article 8 exige le consentement parental pour les enfants de moins de 16 ans (ou un âge inférieur fixé par l'État membre)
   • Seulement 2 cas majeurs, mais 405 millions d'euros au total
   • Amende de 405 millions d'euros pour Instagram de Meta pour avoir rendu les comptes d'enfants publics par défaut
   • Surveillance accrue sur le traitement des mineurs par les plateformes de médias sociaux

6. Les violations des droits des personnes concernées sont fréquentes mais de faible valeur

   • Le droit d'accès (Art. 15) est le plus couramment violé
   • 718 actions, mais seulement 287 millions d'euros (400 000 euros en moyenne)
   • Typiquement : ignorer les demandes, facturer des frais, retards excessifs, réponses incomplètes
   • Montre que les APD appliquent activement les droits individuels, pas seulement les violations institutionnelles

Notifications de violation de données

L'exigence de notification de violation de 72 heures du RGPD (Article 33) a créé une visibilité sans précédent sur la fréquence et la nature des violations de données personnelles à travers l'Europe. Les volumes de notifications ont augmenté chaque année, sauf en 2020.

Notifications de violation à l'échelle de l'UE par année

*Les données de 2018 couvrent uniquement la période du 25 mai au 31 décembre. Sources : [2, 3, 5, 7, 9, 12, 13]

Top 5 des pays par notifications de violation (2024)

Sources : [2, 3, 5, 7, 9]. Certains pays ne publient pas de statistiques complètes.

Principales conclusions

1. Augmentation marquée de 22% en 2024 inversant la modération sur plusieurs années

   • 2021-2023 a montré une croissance ralentissante (23% → 19% → 8%)
   • 2024 a connu une augmentation de 22%, suggérant un nouveau paysage de menaces
   • Moyenne quotidienne de 443 = une notification de violation toutes les 3,3 minutes à travers l'UE
   • DLA Piper attribue l'augmentation à la sophistication des ransomwares et aux compromissions de la chaîne d'approvisionnement [Source 13]

2. Les Pays-Bas signalent 23% de toutes les violations de l'UE malgré 4% de la population

   • 37,839 notifications (plus du double de tout autre pays)
   • Interprétation stricte du seuil de "risque pour les droits et libertés"
   • Les directives complètes de l'APD néerlandaise encouragent le sur-reporting plutôt que le sous-reporting
   • Culture de transparence : mieux vaut signaler des cas limites que de faire face à des pénalités

3. Les notifications de violation ne se corrèlent pas avec les amendes

   • Pays-Bas : La plupart des notifications (37,839) mais amendes modérées (156M € au total)
   • Irlande : Notifications modérées (7,781) mais amendes les plus élevées (4,04B €)
   • La notification concerne la transparence ; les amendes concernent la sécurité ou la réponse inadéquates
   • De nombreuses violations notifiées n'entraînent aucune action d'application (considérées comme à faible risque)

4. Les secteurs de la santé et de la finance entraînent le volume de notifications

   • La focalisation de l'Italie sur la santé explique le taux élevé de notifications par rapport à la population
   • Les données sensibles (santé, financières) ont un seuil de notification de violation plus bas
   • Les données de catégorie spéciale de l'article 9 déclenchent une notification obligatoire même pour de petits incidents

5. Les ransomwares sont le principal moteur de la croissance

   • 58% des violations de données en 2024 impliquaient des ransomwares (en hausse par rapport à 41% en 2021) [Source 13]
   • Demande de rançon moyenne : 1,2M € (en hausse de 87% par rapport à 2023)
   • Le secteur de la santé est particulièrement vulnérable (temps d'arrêt prolongé non optionnel)
   • Les APD recommandent de ne pas payer la rançon (pas de garantie, fonds pour des entreprises criminelles)

---

Application par secteur

Les modèles d'application du RGPD révèlent quels secteurs font face à la plus grande surveillance et aux plus fortes pénalités. Les entreprises technologiques font face aux plus fortes amendes individuelles, mais l'application est répandue dans tous les secteurs qui traitent des données personnelles.

Amendes par secteur d'activité (2018-2025)

Sources : [11, 15]. Classification sectorielle basée sur l'activité principale de l'entité sanctionnée.

Principales conclusions

1. Le secteur technologique domine le volume des amendes

   • 4,52B € (77,8% de toutes les amendes) provenant de seulement 86 actions (3,8% du total)
   • Amende moyenne de 52,5M € est 20,9 fois la moyenne générale
   • Propulsé par Meta (2,75B €), Amazon (746M €), Google (140M+ €), LinkedIn (310M €)
   • Les violations impliquent généralement des conflits fondamentaux de modèle commercial avec le RGPD

2. Les télécommunications font face à un volume élevé d'actions

   • 327 actions (14,6% du total), mais seulement 456M € en amendes
   • Amende moyenne de 1,4M € (gravité modérée)
   • Violations courantes : appels/textes marketing non sollicités, sécurité inadéquate, conservation excessive des données
   • La taille de la base de clients amplifie l'impact (millions affectés par violation)

3. Le secteur de la santé a de faibles amendes malgré une grande sensibilité

   • 607 actions (27% du total), mais seulement 182M € (3,1% des amendes)
   • Amende moyenne de seulement 300K € (la plus basse parmi les grands secteurs)
   • Les APD montrent de la clémence : la santé est d'intérêt public, souvent sous-financée
   • Mais les violations augmentent : les ransomwares ciblent spécifiquement les hôpitaux

4. L'application des services financiers est en déclin

   • 2018-2020 : 15% des actions d'application
   • 2023-2025 : 8% des actions d'application
   • Pratiques de protection des données matures (décennies de lois sur le secret bancaire)
   • La PSD2 et l'open banking ont en réalité amélioré les normes de traitement des données

5. L'application dans le commerce se concentre sur le marketing et la vidéosurveillance

   • 725 actions (32% du total), 145M € au total
   • Violations : marketing par e-mail sans consentement, vidéosurveillance excessive, abus de données de programmes de fidélité
   • Amende moyenne basse (200K €) reflète la prévalence des petites entreprises
   • L'Espagne est particulièrement active (le commerce représente 40% de l'application espagnole)

6. Le secteur public a les amendes moyennes les plus basses

   • 980 actions, 98M € au total (100K € en moyenne)
   • Les APD sont réticentes à infliger de lourdes amendes aux entités gouvernementales (l'argent circule entre les budgets publics)
   • Focalisation sur les ordres de conformité et les avertissements plutôt que sur les pénalités financières
   • Violations courantes : réponse lente aux demandes d'accès, sécurité inadéquate

---

Perspectives d'avenir & Cas en cours

À mesure que l'application du RGPD mûrit, plusieurs tendances façonneront le paysage jusqu'en 2026 et au-delà : convergence de la réglementation de l'IA, coopération transfrontalière accrue, déclin des méga-amendes et concentration soutenue sur les transferts de données.

État actuel des appels (mars 2026)

Sources : [2, 3, 4, 5]. Résultats des appels jusqu'en mars 2026.

Priorités d'application émergentes (2025-2026)

1. Intelligence Artificielle

• Tous les APD majeurs ont établi des groupes de travail dédiés à l'IA en 2024-2025 [Source 10]
• Domaines de concentration : légalité des données d'entraînement, transparence de la prise de décision automatisée, systèmes biométriques
• La loi sur l'IA de l'UE (entrée en vigueur en août 2024) crée des obligations qui se chevauchent avec le RGPD
• L'EDPS désigné comme autorité de coordination pour l'application de l'IA + RGPD [Source 10]

2. Modèles Sombres & Design Trompeur

• Interfaces de consentement aux cookies sous une intense surveillance
• Cases pré-cochées, "rejeter tout" caché derrière plusieurs clics
• La CNIL a simplifié la procédure permettant une application plus rapide (69 sanctions en 2024 via cette voie) [Source 3]
• Attendu : outils de scan automatisés pour détecter les flux de consentement non conformes

3. Confidentialité des Enfants

• Amende de 405M € infligée à Instagram a établi un précédent [Source 2]
• La technologie de vérification d'âge progresse (mais préoccupations en matière de confidentialité)
• TikTok, Snapchat, Roblox sous enquête dans plusieurs juridictions
• Attendu : exigences de vérification d'âge standardisées à travers l'UE

4. Accélération de la Coopération Transfrontalière

• Mécanisme "guichet unique" de l'article 60 du RGPD en maturation
• L'APD irlandaise a conclu 145 cas transfrontaliers en 2024 (en hausse par rapport à 87 en 2023) [Source 2]
• Le temps de traitement moyen reste de 24 mois (contre un objectif de 12 mois)
• La coordination de l'EDPB s'améliore : consensus plus rapide sur les cas litigieux

Principales conclusions

1. Le taux de succès des appels crée de l'incertitude

   • 1,2B € actuellement sous appel (21% du total des amendes)
   • La réduction de 98% de WhatsApp en appel soulève des préoccupations de précédent
   • Les tribunaux examinent les méthodologies de calcul des APD
   • Cela pourrait conduire à des amendes initiales plus conservatrices pour résister à l'examen judiciaire

2. L'application de l'IA dominera 2026-2027

   • ChatGPT, Claude, Gemini tous formés sur des données web extraites (base légale peu claire)
   • Le Garante d'Italie a déjà infligé une amende de 15M € à OpenAI pour violations du RGPD [Source 7]
   • La loi sur l'IA + RGPD créent des exigences de conformité complexes qui se chevauchent
   • Attendu : amendes majeures pour modèles d'IA dans la fourchette de 50-500M €

3. L'application des transferts de données s'intensifiera

   • L'Ordre Exécutif 14086 (octobre 2022) a créé un nouveau "Cadre de Confidentialité des Données"
   • Mais les lois de surveillance américaines restent inchangées (FISA 702, EO 12333)
   • NOYB a déposé 101 plaintes contestant l'adéquation du DPF
   • Attendu : le jugement Schrems III pourrait invalider le DPF (comme Schrems I a invalidé le Safe Harbor, Schrems II a invalidé le Privacy Shield)

4. L'application des petites et moyennes entreprises augmente

   • Espagne : 932 actions, la plupart contre des PME
   • France : La procédure simplifiée permet 3 fois plus de sanctions sans augmentation des ressources
   • Les outils de scan de conformité automatisés rendent l'application efficace pour les PME
   • Attendu : croissance continue du volume des petites amendes (dans la fourchette de 5K-50K €)
   • Les PME peuvent atténuer le risque avec des alternatives hébergées dans l'UE qui éliminent les problèmes de transfert transfrontalier

5. Des codes de conduite sectoriels émergent

   • Le Luxembourg a approuvé le premier code sectoriel (travail temporaire) en 2024 [Source 6]
   • L'article 40 du RGPD permet des directives spécifiques à l'industrie
   • Réduit le fardeau de l'application : certification de conformité contre examen au cas par cas
   • Attendu : 5 à 10 codes sectoriels supplémentaires d'ici 2027

---

Méthodologie

Cette analyse compile les données d'application du RGPD provenant de 16 sources officielles et indépendantes s'étendant du 25 mai 2018 (date d'entrée en vigueur du RGPD) au 31 décembre 2025 (7,5 ans).

Sources Principales

Autorités Nationales de Protection des Données (10 sources) :

1. Comité Européen de la Protection des Données - Coordination à l'échelle de l'UE [Source 1]
2. Commission de Protection des Données d'Irlande - Rapport Annuel 2024 [Source 2]
3. CNIL française - Rapport Annuel 2024 [Source 3]
4. BfDI allemand - Rapport d'Activité 2024 [Source 4]
5. AEPD espagnole - Rapport Annuel 2024 [Source 5]
6. CNPD luxembourgeoise - Rapport Annuel 2024 [Source 6]
7. Garante italien - Rapport Annuel 2024 [Source 7]
8. APD/GBA belge - Décisions d'application [Source 8]
9. Autoriteit Persoonsgegevens des Pays-Bas - Données 2024 [Source 9]
10. Contrôleur Européen de la Protection des Données - Rapport Annuel 2024 [Source 10]

Recherche Sectorielle (3 sources) : 11. CMS Law GDPR Enforcement Tracker (enforcementtracker.com) - Base de données en cours [Source 11] 12. DLA Piper GDPR Fines and Data Breach Survey 2025 - Publié en janvier 2025 [Source 12] 13. DLA Piper GDPR Fines and Data Breach Survey 2026 - Publié en janvier 2026 [Source 13]

Association Professionnelle (1 source) : 14. Rapport sur les Fournisseurs de Technologie de Confidentialité de l'IAPP - Édition 2025 [Source 14]

Agrégateurs de Données (1 source) : 15. Statista Statistiques RGPD - Multiples ensembles de données, 2025 [Source 15]

Académique (1 source) : 16. Journal de la Cybersécurité - "RGPD et l'efficacité indéfinissable des régulateurs de la vie privée" (2024) [Source 16]

Validation des Données

Méthodologie de Croisement :

• Toutes les statistiques principales vérifiées contre 3+ sources indépendantes
• Les écarts sont examinés et expliqués dans les notes de bas de page
• Les calculs sont vérifiés manuellement (pourcentages, moyennes, changements d'une année sur l'autre)

Limitations Connues :

1. Les amendes inférieures à 10 000 € peuvent être sous-estimées - Toutes les APD ne publient pas les petites amendes
2. Certaines actions de 2025 ne sont pas encore publiées - Un retard de reporting de 3 à 6 mois est typique
3. Les appels en cours affectent les totaux finaux - 1,2B € actuellement sous appel, résultats incertains
4. Conversions de devises - Tous les montants sont convertis en EUR selon les taux de la BCE à la date de la transaction
5. La définition de "mesure d'application" varie - Certaines APD comptent les avertissements/réprimandes, d'autres uniquement les amendes
6. Les totaux de notification de violation sont incomplets - Seuls 10 des 27 pays de l'UE publient des statistiques complètes

Niveaux de Confiance :

• Confiance élevée (utilisée pour 78 des 87 points de données) : 3+ sources s'accordent, calculs vérifiés, pas de drapeaux rouges
• Confiance moyenne (utilisée pour 9 des 87 points de données) : 2 sources s'accordent, ou calculées à partir de données partielles
• Confiance faible (exclue de l'analyse) : Source unique, ou questions méthodologiques significatives

Fraîcheur des Données

Dernière Mise à Jour : 18 mars 2026
Prochaine Mise à Jour Prévue : mars 2027 (rafraîchissement annuel)

Fréquence de Mise à Jour :

• Mises à jour annuelles pour inclure les données complètes de 2026
• Révisions majeures si des appels significatifs sont résolus ou si les méthodologies changent
• Mises à jour ad hoc pour des actions d'application majeures (amendes de 500M €+)

Couverture Géographique & Temporelle

Couverture Géographique :

• 27 États membres de l'Union Européenne
• 3 pays de l'Espace Économique Européen (Norvège, Islande, Liechtenstein)
• Exclut : Royaume-Uni (post-Brexit, a maintenant un RGPD britannique séparé)

Couverture Temporelle :

• Début : 25 mai 2018 (date d'entrée en vigueur du RGPD)
• Fin : 31 décembre 2025
• Durée : 7 ans, 7 mois, 7 jours (2,778 jours)

Télécharger les Données Brutes

L'ensemble de données complet est disponible en formats lisibles par machine :

• Téléchargement CSV - Compatible avec les tableurs
• Téléchargement JSON - Compatible avec l'API

---

Comment Citer Ces Données

Citation Rapide

Équipe de Recherche BuiltInEu (2026). Statistiques d'Application du RGPD 2018-2025. Récupéré de https://builtineu.eu/blog/gdpr-enforcement-statistics-2018-2025

Citation Académique (APA 7ème Édition)

Équipe de Recherche BuiltInEu. (2026, 18 mars). Statistiques d'application du RGPD 2018-2025 : Analyse complète des données. BuiltInEu. https://builtineu.eu/blog/gdpr-enforcement-statistics-2018-2025

Citation d'Actualité/Blog

Selon une analyse complète de BuiltInEu, les autorités de protection des données européennes ont imposé 5,8 milliards d'euros d'amendes RGPD à travers plus de 2,245 actions d'application entre mai 2018 et décembre 2025, avec 69,5 % des amendes concentrées en Irlande (source).

Citation Wikipedia

Format de modèle :

cite web avec paramètres :

• title=Statistiques d'Application du RGPD 2018-2025
• url=https://builtineu.eu/blog/gdpr-enforcement-statistics-2018-2025
• website=BuiltInEu
• date=2026-03-18
• access-date=2026-03-18

Attribution Directe des Données

Lors de la citation de statistiques spécifiques provenant de cet ensemble de données, veuillez inclure :

Format : "Source : Analyse d'Application du RGPD BuiltInEu (2026)" avec un lien vers cette page.

Exemple : "L'Irlande représente 69,5 % de toutes les amendes RGPD malgré ne représenter que 6,8 % des actions d'application, selon l'Analyse d'Application du RGPD de BuiltInEu (2026)."

---

Licence

Ces données sont publiées sous Creative Commons Attribution 4.0 International (CC BY 4.0).

Vous êtes libre de :

• Partager — copier et redistribuer le matériel dans n'importe quel support ou format
• Adapter — remixer, transformer et construire sur le matériel pour n'importe quel but
• Utilisation commerciale — utiliser le matériel à des fins commerciales

Sous les conditions suivantes :

• Attribution — Vous devez donner un crédit approprié (voir les formats de citation ci-dessus)
• Lien retour — Inclure un lien vers cette page lors de la citation des données

Aucune restriction supplémentaire : Vous ne pouvez pas appliquer des termes juridiques ou des mesures technologiques qui restreignent légalement les autres à faire quoi que ce soit que la licence permet.

---

Pour les Chercheurs & Journalistes

Si vous écrivez sur l'application du RGPD et avez besoin de points de données spécifiques :

1. Parcourez l'ensemble de données : Voir Télécharger les Données Brutes pour les exports CSV/JSON
2. Citez de manière complète : Si vous utilisez 3+ statistiques, citez l'analyse complète (pas des statistiques individuelles)
3. Contactez-nous : Pour des clarifications ou des analyses personnalisées, envoyez un e-mail à info@builtineu.eu

Nous apprécions d'être cités et sommes heureux de fournir un contexte supplémentaire si nécessaire.

---

Télécharger les Données Brutes

L'ensemble de données complet est disponible au téléchargement dans plusieurs formats :

• Téléchargement CSV (compatible avec les tableurs)
• Téléchargement JSON (compatible avec l'API)

Licence : Creative Commons Attribution 4.0 International (CC BY 4.0)

Attribution requise : Lors de l'utilisation de ces données, veuillez citer : "Source : Analyse d'Application du RGPD BuiltInEu (2026)" avec un lien vers cette page.

Détails du fichier :

• Taille CSV : ~45 Ko (8 tables, 127 lignes au total)
• Taille JSON : ~52 Ko (tableau structuré d'objets)
• Dernière mise à jour : 18 mars 2026
• Prochaine mise à jour : mars 2027

Ce qui est inclus :

• Table 1 : Vue d'ensemble & totaux cumulés
• Table 2 : Tendances d'une année sur l'autre (2018-2025)
• Table 3 : Répartition par pays (30 pays)
• Table 4 : Plus grandes amendes individuelles (top 20)
• Table 5 : Types & catégories de violations
• Table 6 : Notifications de violation de données par pays
• Table 7 : Application par secteur d'activité
• Table 8 : Statut des appels et résultats

---

Sources

Cette analyse cite 16 sources couvrant des rapports gouvernementaux, des recherches sectorielles et des publications académiques.

Sources Gouvernementales & Officielles

1. Commission Européenne de Protection des Données. (En cours). Application du RGPD. Consulté à l'adresse https://www.edpb.europa.eu/our-work-tools/our-documents/topic/gdpr-enforcement_en

2. Commission irlandaise de protection des données. (2025, juin). Rapport Annuel 2024. Consulté à l'adresse https://www.dataprotection.ie/en/data-protection-commission-publishes-2024-annual-report

3. CNIL française. (2025). Rapport Annuel : Réalisations et Actions Clés de la CNIL en 2024. Consulté à l'adresse https://www.cnil.fr/en/annual-report-2024

4. BfDI allemand (Commission fédérale pour la protection des données et la liberté d'information). (2025, avril). 33e Rapport d'Activité Annuel (2024). Consulté à l'adresse https://www.bfdi.bund.de/SharedDocs/Downloads/EN/Taetigkeitsberichte/33TB_24.html

5. AEPD espagnole (Agence espagnole de protection des données). (2025, juin). Rapport Annuel 2024. Consulté à l'adresse https://privacymatters.dlapiper.com/2025/06/spain-spanish-data-protection-authority-publishes-annual-report/

6. CNPD luxembourgeois (Commission Nationale pour la Protection des Données). (2025, septembre). Rapport Annuel 2024 : L'Intelligence Artificielle au Cœur des Missions de la CNPD. Consulté à l'adresse https://cnpd.public.lu/en/actualites/national/2025/09/rapport-annuel-2024.html

7. Garante italien pour la protection des données personnelles. (2025). Rapport Annuel 2024 au Parlement. Consulté à l'adresse https://www.advant-nctm.com/en/news/relazione-annuale-2024-del-garante-privacy-al-parlamento

8. APD/GBA belge (Autorité de protection des données / Gegevensbeschermingsautoriteit). (2024). Décisions d'Application. Consulté à l'adresse https://gdprhub.eu/APD/GBA_(Belgium)

9. Autoriteit Persoonsgegevens néerlandaise. (2024). Faits et Chiffres sur l'AP. Consulté à l'adresse https://www.autoriteitpersoonsgegevens.nl/en/over-de-autoriteit-persoonsgegevens/feiten-en-cijfers

10. Contrôleur Européen de la Protection des Données. (2025, avril). Rapport Annuel 2024 : Agir pour l'Avenir de la Protection des Données. Consulté à l'adresse https://www.edps.europa.eu/system/files/2025-04/edps_annual_report-2024_en.pdf

Recherche Sectorielle

11. CMS Law. (En cours). Suivi de l'Application du RGPD - Liste des Amendes RGPD. Consulté à l'adresse https://www.enforcementtracker.com/

12. DLA Piper. (2025, janvier). Amendes RGPD et Enquête sur les Violations de Données : Janvier 2025. Consulté à l'adresse https://www.dlapiper.com/en/insights/publications/2025/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2025

13. DLA Piper. (2026, janvier). Amendes RGPD et Enquête sur les Violations de Données : Janvier 2026. Consulté à l'adresse https://www.dlapiper.com/en/insights/publications/2026/01/dla-piper-gdpr-fines-and-data-breach-survey-january-2026

Association Professionnelle

14. Association Internationale des Professionnels de la Vie Privée (IAPP). (2025). Rapport sur les Fournisseurs de Technologies de la Vie Privée. Consulté à l'adresse https://iapp.org/resources/article/privacy-tech-vendor-report

Agrégateurs de Données

15. Statista. (2025). Plus Grandes Amendes RGPD Infligées en 2025. Consulté à l'adresse https://www.statista.com/statistics/1133337/largest-fines-issued-gdpr/

Recherche Académique

16. Wainwright, H., & Edwards, L. (2024). RGPD et l'efficacité indéfinissable des régulateurs de la vie privée : Peut-on améliorer l'évaluation des performances ? Journal of Cybersecurity, 10(1), tyae017. https://doi.org/10.1093/cybersecurity/tyae017

---

Total des Sources : 16

---

Cette analyse sera mise à jour chaque année. Pour des mises à jour ou des corrections, contactez info@builtineu.eu