Sanctions RGPD & IA Act
Amendes RGPD : quels montants,
et comment les éviter.
Les montants prévus par les textes impressionnent, mais ils ne tombent pas au hasard. La CNIL tient compte de la gravité, du contexte et des efforts déjà faits pour se mettre en conformité. Voici ce qui est réellement en jeu, et comment le réduire.
Les montants prévus, en chiffres.
4% du CA
Ou 20 millions d'euros, le montant le plus élevé étant retenu — plafond RGPD (article 83) pour les manquements les plus graves.
7% du CA
Plafond prévu par l'IA Act pour les pratiques d'IA interdites — le cas le plus sévère du texte.
3% du CA
Plafond IA Act applicable à la majorité des manquements courants sur les systèmes d'IA à haut risque.
Ces pourcentages sont des plafonds, pas des montants automatiques. Dans les faits, la grande majorité des sanctions prononcées par la CNIL se situent très en dessous — et beaucoup de dossiers se règlent par une simple mise en demeure, sans amende.
Ce qui fait varier le montant d'une sanction.
Le montant final n'est pas fixé au hasard. La CNIL, comme les autres autorités européennes, tient compte d'un ensemble de critères avant de statuer :
- ✓ la gravité du manquement et sa nature (négligence isolée ou pratique structurelle) ;
- ✓ le nombre de personnes concernées et l'ampleur du traitement ;
- ✓ le caractère intentionnel ou non du manquement ;
- ✓ les mesures déjà prises pour limiter le dommage et la coopération avec l'autorité de contrôle.
Avant d'envisager une sanction financière, la CNIL peut d'abord adresser une mise en demeure, avec un délai pour corriger la situation. Un dossier bien tenu — registre des traitements à jour, contrats fournisseurs conformes, réaction rapide en cas d'incident — pèse concrètement dans l'issue du dossier.
Comment VIGIL réduit ce risque au quotidien.
Le risque de sanction se travaille avant qu'un contrôle n'arrive, pas pendant.
Registre à jour
Le registre des traitements est tenu à jour en continu, premier document demandé lors d'un contrôle.
Réactivité en cas de violation
Qualification rapide d'un incident et respect du délai de notification à la CNIL quand il s'applique.
Juriste disponible
Vous pouvez faire relire une réponse par un juriste de magistère sur un point sensible, facturé au temps passé. La transmission n'est jamais imposée, vous gardez la main.
Veille réglementaire
RGPD, IA Act, positions CNIL : les évolutions sont suivies et remontées avant qu'elles ne deviennent un problème.
Mieux vaut prévenir qu'expliquer.
15 minutes pour évaluer votre exposition et voir par où commencer. Nos formules démarrent à 99€ HT/mois — détail des offres ici.
Faire le point avec nousContenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.