Application du GDPR en 2025 : Quelles sont les violations les plus coûteuses - et comment les éviter ?

L'application du GDPR a continué à s'intensifier tout au long de l'année 2025, les autorités de contrôle de l'EEE ayant rendu plus de 2 100 décisions d'application et le montant total des amendes ayant dépassé 2,1 milliards d'euros pour l'année civile. La tendance est claire : les régulateurs ne ralentissent pas. Pour les PME, il est essentiel de comprendre quelles sont les violations qui entraînent les sanctions les plus lourdes afin de hiérarchiser les investissements en matière de conformité.

2025 L'application de la loi en bref

Plusieurs statistiques clés ont façonné le paysage de l'application de la loi en 2025 :

• Total des amendes infligées : Environ 2,1 milliards d'euros pour l'ensemble des autorités de protection des données de l'EEE
• Nombre de décisions d'exécution : Plus de 2 100, soit une augmentation d'environ 18 % par rapport à 2024
• L'amende la plus importante : 1,2 milliard d'euros imposés par la Commission irlandaise de protection des données (DPC)
• Les autorités de protection des données les plus actives en termes de volume de décisions : AEPD espagnole, Garante italienne, ANSPDCP roumaine et NAIH hongroise.
• Les autorités de protection des données les plus actives en termes d'amendes : DPC irlandaise, CNIL française, Garante italienne et CNPD luxembourgeoise.

L'année 2025 a été marquée par l'augmentation de l'activité des petites autorités de protection des données. Les autorités autrichiennes (DSB), finlandaises (Tietosuojavaltuutettu) et croates (AZOP) ont infligé leurs plus lourdes amendes, signe d'une maturation des capacités d'application dans l'UE.

Les 3 principales catégories d'infractions

1. Insuffisance de la base juridique du traitement (article 6)

Le traitement de données à caractère personnel sans base juridique valable est resté l'infraction la plus fréquemment citée et la plus lourdement sanctionnée en 2025. Cette catégorie comprend les organisations qui se sont appuyées sur un consentement ne répondant pas à la norme de l'article 7, qui ont invoqué des intérêts légitimes sans procéder à un test d'équilibre approprié ou qui ont traité des données à des fins incompatibles avec la finalité initiale de la collecte (violation du principe de limitation de la finalité en vertu de l'article 5, paragraphe 1, point b)).

La CNIL a infligé plusieurs amendes importantes dans cette catégorie, y compris des sanctions à l'encontre d'organisations qui suivaient les utilisateurs à travers les sites web sans consentement valable. La CNIL a toujours considéré que les mécanismes de consentement aux cookies qui utilisent des motifs sombres, des options présélectionnées ou qui rendent le rejet inutilement difficile ne constituent pas un consentement valable au sens des articles 6 et 7.

Leçon pour les PME : vérifiez que chaque activité de traitement repose sur une base juridique documentée et défendable. Si vous vous appuyez sur le consentement, assurez-vous que vos mécanismes de consentement répondent à la norme du consentement libre, spécifique, éclairé et sans ambiguïté. Lorsque vous vous appuyez sur des intérêts légitimes, documentez votre test d'équilibre.

2. Mesures de sécurité techniques et organisationnelles inadéquates (article 32)

Les violations de l'article 32 ont représenté une part importante des mesures d'exécution en 2025. Les autorités de contrôle ont sanctionné des organisations pour des manquements tels que des données personnelles non cryptées, des mots de passe faibles ou par défaut, des contrôles d'accès inadéquats, l'absence d'application de correctifs de sécurité en temps utile et une surveillance et une journalisation insuffisantes.

La Garante italienne a été particulièrement active dans ce domaine, infligeant de nombreuses amendes à des prestataires de soins de santé pour des mesures de sécurité inadéquates ayant entraîné un accès non autorisé aux dossiers des patients. L'AEPD espagnole a continué à sanctionner les petites et moyennes organisations pour des failles de sécurité élémentaires, notamment dans des cas où des bases de données clients ont été exposées en raison d'une mauvaise configuration du stockage dans le nuage.

Le commissaire fédéral allemand à la protection des données (BfDI) s'est concentré sur les lacunes systémiques en matière de sécurité, soulignant que l'article 32 exige non seulement des mesures techniques appropriées, mais aussi des contrôles organisationnels, notamment des politiques de sécurité, des procédures de gestion de l'accès et des tests réguliers de l'efficacité de la sécurité.

Leçon pour les PME : l'hygiène de base en matière de sécurité n'est pas négociable. Mettez en œuvre le cryptage, appliquez une authentification forte, appliquez rapidement des correctifs et limitez l'accès en vous basant sur le principe du moindre privilège. Documentez vos mesures de sécurité et les raisons pour lesquelles vous les avez choisies.

3. Non-respect des droits de la personne concernée (articles 15 à 22)

Le fait de ne pas répondre aux demandes des personnes concernées dans le délai légal d'un mois, ou de fournir des réponses incomplètes, a généré un nombre important de mesures d'exécution en 2025. Les violations les plus courantes concernaient

• Absence de réponse aux demandes d'accès (article 15) dans un délai d'un mois
• Refus d'effacer les données lorsque la demande en est faite au titre de l'article 17 sans motifs valables pour la poursuite du traitement
• Exigences excessives en matière de vérification de l'identité qui ont effectivement entravé l'exercice des droits
• Défaut de fournir des données dans un format portable lorsque cela est demandé en vertu de l'article 20

La Garante italienne a infligé de nombreuses amendes pour des réponses tardives ou inadéquates aux demandes d'accès des personnes concernées, y compris dans des cas où les organisations ont mis plusieurs mois à répondre sans justification. L'autorité polonaise de protection des données (UODO) a également rendu des décisions notables dans ce domaine, notamment en ce qui concerne le droit à l'effacement.

Leçon pour les PME : mettez en place un système de suivi des demandes des personnes concernées avec des alertes automatisées sur les délais. Formez le personnel en contact avec la clientèle à reconnaître les demandes des personnes concernées, même si elles ne sont pas explicitement formulées dans le langage du GDPR. Un client qui demande la suppression de son compte exerce son droit au titre de l'article 17.

Mesures d'application notables

DPC irlandais : Exécution des transferts transfrontaliers

La DPC irlandaise a continué à tirer parti de son rôle d'autorité de contrôle principale pour de nombreuses grandes entreprises technologiques. Ses décisions d'exécution en 2025 se sont concentrées sur les transferts transfrontaliers de données (chapitre V) et sur l'adéquation des garanties pour les transferts vers des pays tiers. L'amende record de 1,2 milliard d'euros a souligné que les mécanismes de transfert nécessitent des garanties réelles et évaluées, et pas seulement des formalités contractuelles.

CNIL : Application de la législation sur les cookies et le pistage

La CNIL a continué à mettre l'accent sur le suivi et le consentement en ligne. En 2025, elle a étendu l'application de la loi au-delà des grandes plateformes, aux entreprises de commerce électronique et de médias de taille moyenne. La CNIL a mis l'accent sur les mécanismes de retrait du consentement : il est plus difficile de retirer le consentement que de le donner, ce qui va à l'encontre de l'exigence de l'article 7, paragraphe 3, qui prévoit un retrait tout aussi facile.

BfDI : Traitement des données des employés

Le BfDI allemand a renforcé la surveillance du traitement des données des employés, notamment en ce qui concerne la surveillance du lieu de travail, les logiciels de contrôle des employés et l'utilisation de données biométriques pour le contrôle d'accès. Plusieurs amendes ont été infligées pour le traitement des données des employés sans base juridique adéquate ou sans transparence (articles 13 et 14).

Garante : Soins de santé et secteur public

La Garante italienne a continué à appliquer activement la législation dans le secteur des soins de santé, en sanctionnant des hôpitaux et des autorités sanitaires pour des violations de la sécurité, l'accès non autorisé aux dossiers des patients et l'absence de DPIA pour les traitements à haut risque. Elle a également pris des décisions concernant l'utilisation par le secteur public de la reconnaissance faciale et de la prise de décision basée sur l'IA.

Ce que cela signifie pour les PME

Les données relatives à l'application de la loi en 2025 confirment plusieurs tendances sur lesquelles les PME doivent agir :

1. La conformité de base n'est pas négociable. Les amendes les plus fréquentes concernent des manquements fondamentaux : absence de base juridique, absence de mesures de sécurité, absence de réponse aux demandes des personnes concernées. Il ne s'agit pas de défis réglementaires complexes, mais d'obligations fondamentales.
2. La taille n'est pas un gage d'immunité. L'AEPD espagnole et d'autres autorités de protection des données infligent régulièrement des amendes aux petites organisations. Une amende de 50 000 euros peut être faible dans le contexte de l'application totale du GDPR, mais elle est importante pour une PME.
3. La documentation est votre défense. Les autorités de surveillance évaluent la conformité sur la base de ce que vous pouvez démontrer. Une conformité non documentée est, d'un point de vue réglementaire, une non-conformité.
4. La conformité proactive est moins coûteuse que l'application réactive. Le coût de la mise en œuvre d'une documentation appropriée sur la base juridique, de mesures de sécurité et de procédures relatives aux droits des personnes concernées ne représente qu'une fraction du coût d'une amende, des frais de justice associés et des atteintes à la réputation.

La trajectoire d'application du GDPR ne montre aucun signe d'inversion. Les organisations qui investissent aujourd'hui dans la mise en conformité sont celles qui éviteront les gros titres de 2026.