Amendes RGPD PME : cas réels et montants en Belgique

Quand on parle d'amendes RGPD, ce sont les gros chiffres qui font la une. 1,2 milliard d'euros pour Meta. 746 millions pour Amazon. Ces titres créent deux problèmes. Ils donnent l'impression que le RGPD est un sujet de grandes entreprises. Et ils font paraître les amendes réelles infligées aux petites entreprises dérisoires en comparaison.

Elles n'ont rien de dérisoire quand c'est vous qui les payez.

Les amendes RGPD pour les PME se situent généralement entre 1 000 et 50 000 euros. Ce ne sont pas des millions, mais pour un salon de coiffure, un restaurant ou un cabinet dentaire local, une amende de 5 000 euros fait mal. Et l'amende s'accompagne souvent d'un ordre correctif dont la mise en œuvre coûte encore plus cher. Un scan RGPD gratuit vous montre où vous en êtes en 60 secondes.

Voici des cas réels avec des montants réels.

Amendes RGPD réelles pour petites entreprises

Coiffeur roumain : 2 500 € pour vidéosurveillance sans information (2019)

Un salon de coiffure en Roumanie avait installé des caméras de vidéosurveillance couvrant la salle et l'entrée. Les caméras filmaient les clients et le personnel sans aucun affichage visible ni politique de confidentialité expliquant l'enregistrement. L'autorité roumaine de protection des données, l'ANSPDCP, a infligé au salon une amende de 2 500 euros.

Le problème n'était pas les caméras elles-mêmes. Le problème était que personne n'était informé d'être filmé. Un simple panneau expliquant ce qui était enregistré, pourquoi et combien de temps les images étaient conservées aurait évité l'amende.

Boulangerie allemande : violation des données des employés (2020)

Une boulangerie de Basse-Saxe a été sanctionnée pour un traitement irrégulier des données de ses employés. L'entreprise collectait des données de santé de son personnel sans base légale valable et les stockait sans mesures de sécurité adéquates.

L'amende était relativement faible selon les standards allemands, mais l'ordre correctif a obligé la boulangerie à revoir entièrement sa gestion des données du personnel. Le coût de la mise en conformité a dépassé l'amende elle-même.

Entreprise grecque : 20 000 € pour absence de politique de confidentialité (2022)

L'autorité grecque de protection des données a infligé 20 000 euros d'amende à une petite entreprise grecque qui exploitait un site web collectant des données personnelles via des formulaires de contact sans aucune politique de confidentialité. Pas de consentement aux cookies, aucune information sur le traitement des données, aucune coordonnée du responsable du traitement.

Ce cas fait mal parce qu'une politique de confidentialité de base se met en place en un après-midi. Vingt mille euros pour quelque chose qui aurait pu être évité avec quelques heures de travail.

Restaurant espagnol : 3 000 € pour Google Analytics sans consentement (2023)

L'AEPD a infligé 3 000 euros d'amende à un restaurant en Espagne qui faisait tourner Google Analytics sur son site web sans obtenir au préalable le consentement des visiteurs. Le site du restaurant n'avait aucune bannière cookies. Google Analytics se chargeait sur chaque page et envoyait les adresses IP et le comportement de navigation des visiteurs vers les serveurs de Google aux États-Unis.

Après l'arrêt Schrems II (C-311/18) qui a invalidé le Privacy Shield UE-États-Unis, transférer des données de visiteurs vers des services américains sans consentement est devenu un problème beaucoup plus sérieux. Ce restaurant a été un exemple précoce d'une application des règles atteignant les petites entreprises de l'horeca.

Application des règles cookies par l'APD belge (2024)

L'APD (Autorité de protection des données) a intensifié l'application des règles cookies en Belgique tout au long de 2024. Si de nombreuses actions visaient de plus grandes entreprises, l'APD a aussi envoyé des lettres d'avertissement et des ordres correctifs à des sites web de petites entreprises.

Le schéma était constant : des sites web utilisant des cookies de suivi, des analytics ou des contenus tiers intégrés sans consentement préalable. L'approche de l'APD commençait par des avertissements et passait aux amendes pour les entreprises qui ne se mettaient pas en conformité après notification.

Pour comprendre exactement ce que l'APD exige d'une bannière cookies, consultez notre guide sur les règles et amendes de l'APD pour les bannières cookies.

Avertissements, ordres correctifs et amendes

Tout problème RGPD ne mène pas à une amende. Les autorités de protection des données disposent d'une palette d'outils.

Avertissements. Une lettre formelle vous signalant qu'un élément de votre site web viole le RGPD et vous donnant un délai pour corriger. C'est la première étape la plus courante pour les petites entreprises. Pas d'amende, mais vous devez agir.

Ordres correctifs. Une injonction de modifier des pratiques précises dans un délai imposé. Le non-respect mène à des amendes. Le coût de mise en œuvre des corrections peut être important, surtout s'il faut changer la façon dont tout votre site web traite les données.

Amendes. La sanction qui fait les gros titres. Pour les petites entreprises, elles se situent généralement entre 1 000 et 50 000 euros. Les récidivistes et les entreprises qui ignorent les avertissements s'exposent à des montants plus élevés.

Les lignes directrices du CEPD sur les amendes (04/2022) publiées en 2023 ont établi une approche plus structurée du calcul des sanctions. Elles tiennent compte du chiffre d'affaires, de la gravité, de l'intention, de la coopération et des violations antérieures. Pour une petite entreprise réalisant 200 000 euros de chiffre d'affaires annuel, une amende « standard » pour une violation de base sur un site web se situerait typiquement entre 2 000 et 10 000 euros.

Ce qui déclenche les contrôles contre les petites entreprises

Les autorités de protection des données n'auditent pas les sites web au hasard. Voici ce qui déclenche réellement une enquête.

Les plaintes de clients. C'est le déclencheur numéro un. Un visiteur de votre site web dépose une plainte auprès de l'autorité de protection des données locale. Peut-être n'a-t-il pas réussi à refuser les cookies. Peut-être vous a-t-il demandé de supprimer ses données et vous n'avez pas répondu. Une seule plainte suffit à ouvrir une enquête.

Les signalements de concurrents. Dans certains pays, en particulier en Allemagne, des concurrents peuvent déposer plainte contre vos pratiques en matière de données. C'est parfois utilisé comme tactique concurrentielle, surtout dans les secteurs où des entreprises locales se disputent les mêmes clients.

Les scans automatisés des autorités. Plusieurs autorités exploitent désormais leurs propres programmes de scan de sites web. L'APD belge, la CNIL française et l'AEPD espagnole ont toutes mené des scans de masse de sites web à la recherche de violations du consentement aux cookies.

Les fuites de données. Si votre site web est piraté et que des données de clients sont exposées, vous devez le signaler à votre autorité de protection des données dans les 72 heures. L'enquête qui suit révèle souvent d'autres problèmes sur votre site web.

Le principe de proportionnalité

L'article 83 du RGPD exige que les amendes soient « effectives, proportionnées et dissuasives ». Pour une petite entreprise, proportionnée signifie que l'amende doit être assez significative pour motiver un changement, mais pas au point de détruire l'entreprise.

En pratique, cela signifie :

• Un salon avec 150 000 euros de chiffre d'affaires annuel ne recevra pas la même amende qu'une entreprise tech qui en réalise 150 millions
• Les premières violations accompagnées d'une coopération de bonne foi reçoivent généralement des amendes plus basses
• Les mesures correctives prises avant la décision peuvent réduire la sanction
• Le nombre de personnes concernées compte. Une entreprise locale touchant 500 personnes encourt des amendes plus basses qu'une entreprise en touchant 50 000

Cela ne veut pas dire que les petites entreprises sont à l'abri des amendes. Cela veut dire que les amendes sont calibrées sur ce que l'autorité estime susceptible de réellement changer les comportements.

Comment réduire votre risque

La plupart des problèmes RGPD des PME viennent de leur site web, pas d'un usage abusif délibéré des données. Les problèmes de site web les plus courants sont :

1. Pas de bannière de consentement aux cookies, ou une bannière qui ne bloque pas réellement les cookies avant le consentement
2. Google Analytics, le pixel Facebook ou un suivi similaire actif sans consentement
3. Des intégrations tierces comme Google Fonts, des vidéos YouTube ou Google Maps qui transmettent des données de visiteurs avant le consentement
4. Une politique de confidentialité absente ou incomplète
5. Des formulaires de contact qui collectent des données sans expliquer ce qu'elles deviennent

Vous pouvez vérifier tout cela avec un scan gratuit. Cela prend deux minutes et couvre les problèmes qui déclenchent le plus souvent les contrôles.

Si vous voulez un parcours complet de ce que votre site web doit contenir, notre liste de contrôle RGPD détaille chaque étape. Pour une vue d'ensemble de toutes vos obligations légales, consultez notre guide des obligations RGPD pour PME en Belgique. Le RGPD vous impose aussi de maintenir votre site web sécurisé, et une sécurité insuffisante a pesé dans plusieurs des amendes listées ci-dessus.

Questions fréquentes

Une autorité de protection des données peut-elle m'infliger une amende sans avertissement préalable ?

Techniquement, oui. En pratique, la plupart des autorités envoient d'abord un avertissement ou un ordre correctif aux petites entreprises avant d'imposer une amende. Mais ce n'est pas garanti. Si la violation est grave, intentionnelle ou implique une fuite de données, une amende peut tomber sans avertissement préalable.

Le RGPD s'applique-t-il à mon site web si je suis indépendant en personne physique ?

Oui. Le RGPD s'applique à toutes les organisations qui traitent des données personnelles de résidents de l'UE, quelle que soit leur taille. Les indépendants, les freelances et les entreprises unipersonnelles sont tous concernés. Seule la proportionnalité des amendes change avec la taille.

Quelle est la plus petite amende RGPD jamais infligée ?

Des amendes aussi basses que 28 euros ont été recensées dans le registre GDPRhub, mais elles restent inhabituelles. Pour les violations liées aux sites web, les amendes inférieures à 1 000 euros sont rares. La plupart des autorités estiment qu'en dessous de ce seuil, l'effort administratif n'en vaut pas la peine.

Puis-je faire appel d'une amende RGPD ?

Oui. Chaque décision d'amende contient des informations sur la procédure d'appel. Les recours sont portés devant les tribunaux du pays où l'amende a été prononcée. Des petites entreprises ont déjà obtenu une réduction ou une annulation de leur amende en appel, en particulier lorsqu'elles ont pu démontrer des mesures correctives.

L'application du RGPD devient-elle plus stricte ou plus souple ?

Plus stricte. Le montant total des amendes RGPD augmente chaque année depuis 2018. Plus important encore pour les PME, les autorités utilisent de plus en plus des outils de scan automatisés capables de contrôler des milliers de sites web à la fois. L'APD belge, la CNIL française et le Garante italien ont tous annoncé des programmes d'application élargis ciblant les sites web.

---

Vérifiez votre site web maintenant Scannez votre site web à la recherche de problèmes RGPD et plus encore. Gratuit, sans inscription, en deux minutes. Scanner votre site web

Sources

• Règlement (UE) 2016/679 - Règlement général sur la protection des données (eur-lex.europa.eu)
• Loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel (ejustice.just.fgov.be)
• Lignes directrices 04/2022 du CEPD sur le calcul des amendes administratives au titre du RGPD (edpb.europa.eu)
• Autorité de protection des données (autoriteprotectiondonnees.be)
• APD, publications et décisions (autoriteprotectiondonnees.be)
• CJUE, affaire C-311/18 (Schrems II) (curia.europa.eu)

Ceci est une analyse technique, pas un avis juridique. Consultez un avocat pour un conseil juridique spécifique.