Article 83 RGPD : amendes administratives décryptées

L’article 83 du RGPD est l’article de tous les fantasmes — celui qu’on cite pour effrayer les comités de direction et qu’on relit, en pratique, le jour où la CNIL ouvre un contrôle. Avec 487 millions d’euros d’amendes prononcées en 2025 et déjà 47 millions au premier trimestre 2026 (Free 42 M€, France Travail 5 M€), il a cessé d’être théorique. Voici son analyse paragraphe par paragraphe — telle que la pratiquent la CNIL, l’EDPB et la CJUE — avec la lecture qu’en fait un praticien après vingt ans de conseil en droit des données.

Ce que dit l’article 83 du RGPD

L’Art. 83 s’intitule « Conditions générales pour imposer des amendes administratives ». Il compte neuf paragraphes qui organisent, dans l’ordre :

• les principes généraux d’effectivité, de proportionnalité et de dissuasion (Art. 83(1)) ;
• les onze critères d’individualisation que l’autorité de contrôle doit pondérer pour fixer le montant (Art. 83(2)) ;
• la règle de plafonnement en cas de pluralité de manquements issus d’opérations de traitement liées (Art. 83(3)) ;
• le plafond bas de 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (Art. 83(4)) ;
• le plafond haut de 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial (Art. 83(5)) ;
• la sanction du non-respect d’une injonction de l’autorité de contrôle (Art. 83(6)) ;
• le pouvoir des États membres d’aménager le régime applicable aux autorités publiques (Art. 83(7)) ;
• les garanties procédurales des droits de la défense (Art. 83(8)) ;
• l’adaptation aux ordres juridiques qui ne connaissent pas l’amende administrative (Art. 83(9)).

Cet article ne crée pas d’obligation matérielle : il organise la répression de tous les autres. C’est donc un article de procédure — mais de procédure structurante. Pour le tableau des décisions récentes qui en font application, voir mon analyse des sanctions CNIL 2026 et le panorama plus large des sanctions RGPD.

Art. 83(1) : effective, proportionnée, dissuasive

Le paragraphe 1 pose le triptyque que la jurisprudence administrative française connaît bien : « Chaque autorité de contrôle veille à ce que les amendes administratives imposées en vertu du présent article (…) soient, dans chaque cas, effectives, proportionnées et dissuasives. »

Ce triptyque a deux conséquences pratiques que les responsables de traitement sous-estiment. Premièrement, la CNIL n’a aucune obligation de prononcer l’amende maximale, mais elle a une obligation de dissuasion. Concrètement, l’autorité doit vérifier que le montant retenu est suffisamment élevé pour décourager le manquement futur — y compris au regard du gain économique tiré du traitement non conforme. C’est la raison pour laquelle les sanctions « cookies » prononcées contre Google et Shein le 3 septembre 2025 atteignent 325 et 150 millions d’euros : l’audience publicitaire générée par les bandeaux non conformes représente un avantage économique tel qu’une sanction modeste serait absorbée comme un coût d’exploitation.

Deuxièmement, le caractère « effectif » impose que l’amende soit recouvrable. La CNIL travaille de plus en plus souvent avec ses homologues européens dans le cadre des procédures du chef de file (Art. 56) et du guichet unique (Art. 60) pour s’assurer que les décisions visant des groupes internationaux sont exécutables dans plusieurs juridictions.

Art. 83(2) : les onze critères d’individualisation

Le paragraphe 2 est le cœur opérationnel de l’article. Il énumère les éléments que l’autorité de contrôle doit prendre en compte pour décider d’imposer ou non une amende et, le cas échéant, en fixer le montant. Ces critères ont été précisés par les Lignes directrices 04/2022 du CEPD sur le calcul des amendes administratives adoptées le 24 mai 2023, qui constituent désormais la grille de référence européenne harmonisée.

Les onze critères sont :

• (a) la nature, la gravité et la durée de la violation, compte tenu de la nature, de la portée ou de la finalité du traitement ainsi que du nombre de personnes concernées et du niveau de dommage subi ;
• (b) le caractère intentionnel ou la négligence ;
• © toute mesure prise pour atténuer le dommage subi par les personnes concernées ;
• (d) le degré de responsabilité du responsable de traitement ou du sous-traitant, compte tenu des mesures techniques et organisationnelles qu’ils ont mises en œuvre en vertu des articles 25 et 32 ;
• (e) toute violation pertinente commise antérieurement ;
• (f) le degré de coopération établi avec l’autorité de contrôle ;
• (g) les catégories de données concernées — les données sensibles de l’Art. 9 aggravent la sanction ;
• (h) la manière dont l’autorité a eu connaissance de la violation, notamment si le responsable l’a notifiée et dans quelle mesure ;
• (i) lorsque des mesures de l’Art. 58(2) ont déjà été ordonnées, le respect de ces mesures ;
• (j) l’application de codes de conduite approuvés ou de mécanismes de certification ;
• (k) toute autre circonstance aggravante ou atténuante applicable, comme les avantages financiers obtenus.

La méthodologie EDPB 04/2022 organise ces critères en cinq étapes : qualification des opérations de traitement, point de départ chiffré (en fonction de la gravité), ajustement en fonction du chiffre d’affaires, ajustement aggravant ou atténuant, vérification du plafond légal. C’est cette méthodologie que la CNIL a explicitement appliquée dans plusieurs décisions récentes — voir notamment SAN-2024-001 Hubside (525 000 €) et SAN-2024-008 SAF Logistics (240 000 €), où la motivation distingue point de départ et ajustements.

Dans mon expérience de conseil, deux critères sont systématiquement sous-investis : la coopération (f) et l’atténuation du dommage ©. Une organisation qui notifie spontanément une violation au titre de l’Art. 33, informe les personnes concernées au titre de l’Art. 34 et engage des mesures correctrices avant le contrôle CNIL bénéficie d’un abattement structurel — souvent de 20 à 40 % du montant initial — quand la décision est rendue.

Art. 83(3) : la règle du plafond cumulatif

Le paragraphe 3 traite la pluralité de manquements : « Si un responsable du traitement ou un sous-traitant viole délibérément ou par négligence plusieurs dispositions du présent règlement (…) dans le cadre de la même opération de traitement ou d’opérations de traitement liées, le montant total de l’amende administrative ne peut pas excéder le montant fixé pour la violation la plus grave. »

C’est une règle de non-cumul plafonné : l’autorité peut sanctionner plusieurs manquements sur un même traitement, mais le total ne peut excéder le plafond le plus élevé applicable. Si une organisation a violé à la fois l’Art. 5 (principes), l’Art. 6 (base légale) et l’Art. 32 (sécurité), le total reste plafonné à 20 millions d’euros ou 4 % du chiffre d’affaires — pas la somme des plafonds.

La CJUE a précisé la portée de cette règle dans son arrêt C-683/21 Nacionalinis visuomenės sveikatos centras du 5 décembre 2023 : la pluralité de manquements doit être appréciée au regard de l’unité ou de la pluralité d’opérations de traitement. Plusieurs traitements distincts peuvent être sanctionnés cumulativement, sous réserve que chaque sanction respecte le plafond légal applicable à chacun. Cette précision est centrale pour les groupes qui opèrent plusieurs traitements liés (CRM, ressources humaines, marketing) et qui sont contrôlés simultanément.

Art. 83(4) : le plafond « bas » de 10 M€ ou 2 %

Le paragraphe 4 organise le premier niveau de sanctions : 10 millions d’euros maximum ou, pour une entreprise, 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent — le montant le plus élevé étant retenu. Sont visés à ce plafond :

• les obligations du responsable de traitement et du sous-traitant prévues aux articles 8, 11, 25 à 39, 42 et 43 — c’est-à-dire l’essentiel des obligations « techniques » : privacy by design (Art. 25), registre (Art. 30), sécurité (Art. 32), notification de violation (Art. 33), information en cas de violation (Art. 34), AIPD (Art. 35), consultation préalable (Art. 36), DPO (Art. 37 à 39) ;
• les obligations de certification et codes de conduite (Art. 42 et 43).

C’est sur ce plafond que reposent la plupart des sanctions « techniques » prononcées par la CNIL : SAN-2022-012 Dedalus Biologie (1,5 M€) pour défaut de sécurité, SAN-2022-022 Free Mobile (300 000 €) pour défaut de procédure de réponse aux droits, SAN-2022-009 Discord (800 000 €) pour défaut de conservation et de moyens du DPO, SAN-2024-001 Hubside (525 000 €) pour défaut d’accountability sur l’ensemble de la chaîne. Pour le tableau de bord opérationnel des obligations couvertes par ce plafond, voir mon guide pratique de mise en conformité RGPD.

Art. 83(5) : le plafond « haut » de 20 M€ ou 4 %

Le paragraphe 5 organise le second niveau : 20 millions d’euros maximum ou, pour une entreprise, 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent — le montant le plus élevé étant retenu. Sont visés :

• les principes de l’Art. 5, y compris les conditions de consentement (Art. 7 et 9) ;
• les droits des personnes concernées des articles 12 à 22 — information, accès, rectification, effacement, limitation, portabilité, opposition, décision automatisée ;
• les transferts internationaux des articles 44 à 49 — décisions d’adéquation, garanties appropriées, BCR, dérogations, vers lesquels mon analyse du transfert de données hors UE renvoie ;
• toute obligation imposée par le droit national sur le fondement du chapitre IX (situations particulières de traitement) ;
• le non-respect d’une injonction de l’autorité de contrôle ou d’une suspension des flux ordonnée au titre de l’Art. 58.

Sur ce plafond reposent les sanctions « licéité » et « droits des personnes » : CNIL Google 325 M€ (3 septembre 2025) et Shein 150 M€ (3 septembre 2025) sur les cookies (Art. 7), Free 42 M€ (Q1 2026) sur la sécurité et la base légale, SAN-2023-013 Doctissimo sur les contenus utilisateurs et la base légale, SAN-2024-008 SAF Logistics (240 000 €) sur l’absence de réponse aux droits.

Le plafond entreprise (4 %) doit être souligné : il s’apprécie sur le chiffre d’affaires annuel mondial consolidé du groupe, et non sur le chiffre d’affaires de l’entité française ou de l’entité contrôlée. La CJUE l’a confirmé dans son arrêt C-807/21 Deutsche Wohnen du 5 décembre 2023 : la notion d’entreprise au sens de l’Art. 83 s’entend au sens du droit européen de la concurrence (notion fonctionnelle d’unité économique), ce qui permet à l’autorité de contrôle d’agréger le chiffre d’affaires de la société mère et des filiales.

Art. 83(6) : la sanction de la non-coopération

Le paragraphe 6 organise une sanction spécifique : « Le non-respect d’une injonction émise par l’autorité de contrôle en vertu de l’article 58, paragraphe 2, fait l’objet (…) d’amendes administratives pouvant s’élever jusqu’à 20 000 000 EUR ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent. »

C’est la sanction de la désobéissance. Elle vient frapper l’organisation qui, après une mise en demeure ou une mesure correctrice de l’Art. 58(2), n’exécute pas les injonctions de la CNIL. Cette disposition explique pourquoi, dans les contentieux complexes, la CNIL prononce d’abord une mise en demeure puis, si elle n’est pas suivie d’effet, une sanction renforcée. Elle a permis notamment, dans l’affaire CNIL c/ Kourou, de prononcer une astreinte journalière de 200 €/jour cumulant à plusieurs milliers d’euros sur un défaut persistant de désignation d’un DPO (Art. 37).

Art. 83(7) à 83(9) : les variations nationales

Les trois derniers paragraphes encadrent les marges de manœuvre des États membres.

L’Art. 83(7) permet à chaque État membre de définir si et dans quelle mesure les autorités publiques peuvent se voir infliger des amendes administratives. La France, par l’article 20 de la loi Informatique et Libertés, autorise la CNIL à sanctionner les autorités publiques dans la limite du plafond de 10 millions d’euros (et non du plafond pourcentage qui serait inadapté). C’est sur ce fondement que la CNIL a sanctionné France Travail à 5 millions d’euros début 2026.

L’Art. 83(8) garantit le respect des droits de la défense : « L’exercice par l’autorité de contrôle des pouvoirs que lui confère le présent article est soumis à des garanties procédurales appropriées (…) y compris le droit à un recours juridictionnel effectif et à une procédure régulière. » En droit français, ces garanties sont organisées par les articles 22 à 24 de la LIL : contradictoire devant la formation restreinte de la CNIL, recours en plein contentieux devant le Conseil d’État. Toute organisation sanctionnée dispose d’un délai de quatre mois pour saisir le Conseil d’État.

L’Art. 83(9) organise le cas particulier des États membres dont le système juridique ne connaît pas l’amende administrative — sans incidence en France où la CNIL prononce des sanctions administratives au sens classique du terme.

Jurisprudence CJUE structurante

Trois arrêts de la Cour de justice ont récemment précisé l’application de l’Art. 83 et les responsables de traitement doivent les connaître.

CJUE C-807/21 Deutsche Wohnen, 5 décembre 2023. La Cour précise deux points capitaux. D’abord, qu’une amende administrative peut être prononcée contre une personne morale sans qu’il soit nécessaire d’identifier la personne physique fautive — le droit allemand qui imposait cette identification est jugé non conforme. Ensuite, que la sanction suppose néanmoins une faute (intentionnelle ou par négligence) de l’organisation — la responsabilité n’est pas objective. Pour les groupes français, cela signifie que la CNIL peut sanctionner directement la société mère au titre de défaillances de gouvernance, sans démontrer de faute individuelle.

CJUE C-340/21 Natsionalna agentsia za prihodite (NAP), 14 décembre 2023. L’arrêt structure la lecture conjointe des articles 5(2), 24, 32 et 83 : le responsable de traitement supporte la charge de la preuve des mesures de sécurité appropriées (Art. 32), l’obligation est une obligation de moyens et non de résultat (la survenance d’une violation ne suffit pas à caractériser le manquement), mais la fixation de l’amende au titre de l’Art. 83(2) doit prendre en compte la gravité du dommage subi par les personnes concernées — y compris la crainte d’un usage frauduleux ultérieur. Voir mon analyse complète dans l’article 32 RGPD décrypté.

CJUE C-687/21 MediaMarktSaturn, 25 janvier 2024. La Cour précise que le seuil de gravité du dommage exigé pour une indemnisation civile au titre de l’Art. 82 ne s’applique pas à la fixation de l’amende administrative au titre de l’Art. 83 : un dommage modeste subi par les personnes concernées peut suffire à fonder une amende dissuasive, dès lors que les autres critères de l’Art. 83(2) sont réunis.

Plan opérationnel pour réduire l’exposition à l’Art. 83

Dans mon expérience de conseil, six chantiers réduisent l’exposition aux amendes de l’Art. 83 — par construction, et non en réaction au contrôle.

Chantier 1 — accountability documentaire. Tenir à jour le registre des activités de traitement (Art. 30), les AIPD (Art. 35), la documentation de sécurité (Art. 32), la cartographie des sous-traitants (Art. 28), les preuves de consentement (Art. 7). C’est la ligne de défense de l’Art. 83(2)(d) — le degré de responsabilité — voir mon analyse de l’article 24 RGPD sur l’accountability.

Chantier 2 — gestion des violations. Mettre en place une procédure de notification 72h (Art. 33) et de communication aux personnes (Art. 34), avec un journal de bord des violations. Le critère 83(2)(h) — la manière dont l’autorité a eu connaissance — joue ici en faveur des organisations qui notifient spontanément. Voir notification violation données 72h.

Chantier 3 — droits des personnes. Industrialiser la réponse aux demandes de droits (Art. 12 à 22) : procédure documentée, délai d’un mois respecté, traçabilité. Une part importante du contentieux CNIL en procédure simplifiée porte sur ce périmètre.

Chantier 4 — DPO et gouvernance. Désigner un DPO conforme à l’Art. 37, lui donner les moyens de l’Art. 38, structurer ses missions selon l’Art. 39. La CNIL retient le défaut de moyens du DPO comme circonstance aggravante systématique (SAN-2022-009 Discord, SAN-2024-001 Hubside).

Chantier 5 — coopération préventive avec la CNIL. En cas de doute sérieux, préférer une consultation préalable au titre de l’Art. 36 ou un échange informel via le DPO plutôt qu’un déploiement à risque. Le critère 83(2)(f) — coopération — est apprécié en continu.

Chantier 6 — culture de conformité. Formation des équipes, sensibilisation des dirigeants, intégration des contrôles de conformité dans les processus métier. C’est le chantier le plus difficile à objectiver mais celui qui pèse le plus dans l’arbitrage final de la formation restreinte.

Ce qu’il faut retenir

• L’Art. 83 RGPD organise un régime à deux plafonds : 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les obligations « techniques » (Art. 8, 11, 25-39, 42-43) ; 20 millions d’euros ou 4 % pour les principes, les droits des personnes et les transferts internationaux (Art. 5-7, 9, 12-22, 44-49).
• Les onze critères de l’Art. 83(2) structurent l’individualisation : nature/gravité, intention/négligence, atténuation, accountability, antécédents, coopération, données concernées, mode de découverte, mesures correctrices antérieures, codes de conduite, autres circonstances. La méthodologie EDPB 04/2022 (24 mai 2023) en organise l’application en cinq étapes.
• En cas de pluralité de manquements sur des opérations liées (Art. 83(3)), le montant total est plafonné au plus haut plafond applicable — pas à la somme des plafonds.
• La CJUE C-807/21 Deutsche Wohnen (5 décembre 2023) confirme que la sanction peut frapper la personne morale sans identification d’une personne physique fautive, mais suppose une faute. Le chiffre d’affaires « entreprise » s’apprécie au sens du droit européen de la concurrence — chiffre d’affaires consolidé du groupe.
• La CJUE C-340/21 NAP (14 décembre 2023) structure la lecture conjointe des Art. 5(2), 24, 32 et 83 : charge de la preuve des mesures de sécurité, obligation de moyens, prise en compte du dommage des personnes pour fixer l’amende.
• L’exposition à l’Art. 83 se réduit par six chantiers structurels — accountability documentaire, gestion des violations, droits des personnes, DPO, coopération préventive, culture de conformité — bien plus que par une stratégie défensive de dernière minute.

Recevez nos analyses conformité chaque semaine. Notre newsletter décrypte la jurisprudence CNIL, les lignes directrices EDPB et les obligations RGPD avec un angle pratique. Inscription gratuite, désinscription en un clic.

FAQ

Quels sont les plafonds des amendes RGPD au titre de l’Art. 83 ?

L’Art. 83 organise deux plafonds. Le plafond bas de l’Art. 83(4) s’élève à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent — le montant le plus élevé étant retenu — pour les manquements aux obligations techniques (privacy by design, registre, sécurité, notification de violation, AIPD, DPO, certification). Le plafond haut de l’Art. 83(5) s’élève à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour les manquements aux principes, aux conditions du consentement, aux droits des personnes et aux règles de transfert international.

Comment la CNIL fixe-t-elle le montant d’une amende RGPD ?

La CNIL applique les onze critères de l’Art. 83(2) selon la méthodologie en cinq étapes des Lignes directrices 04/2022 du CEPD adoptées le 24 mai 2023. Elle qualifie les opérations de traitement, fixe un point de départ chiffré en fonction de la gravité, ajuste en fonction du chiffre d’affaires, applique les circonstances aggravantes ou atténuantes, vérifie que le résultat reste sous le plafond légal. La motivation des sanctions récentes (SAN-2024-001 Hubside, SAN-2024-008 SAF Logistics) suit explicitement cette grille.

Que signifie le « chiffre d’affaires entreprise » de l’Art. 83 ?

La CJUE l’a précisé dans l’arrêt C-807/21 Deutsche Wohnen du 5 décembre 2023 : la notion d’entreprise s’entend au sens du droit européen de la concurrence — c’est-à-dire au sens d’unité économique fonctionnelle, ce qui permet à l’autorité de contrôle de retenir le chiffre d’affaires annuel mondial consolidé du groupe et non le seul chiffre d’affaires de l’entité contrôlée. Cette interprétation explique pourquoi les sanctions visant des filiales françaises de groupes internationaux peuvent atteindre des montants très élevés rapportés au chiffre d’affaires de la seule entité française.

Peut-on être sanctionné au titre de l’Art. 83 sans avoir commis de faute ?

Non. La CJUE C-807/21 Deutsche Wohnen du 5 décembre 2023 précise que la sanction administrative au titre de l’Art. 83 suppose une faute, intentionnelle ou par négligence, du responsable de traitement ou du sous-traitant. La responsabilité n’est donc pas objective. En revanche, l’arrêt confirme que cette faute peut être imputée directement à la personne morale, sans qu’il soit nécessaire d’identifier la personne physique fautive — ce qui distingue le régime RGPD du régime pénal classique de la responsabilité des personnes morales.

Quel recours contre une sanction CNIL prononcée au titre de l’Art. 83 ?

L’Art. 83(8) garantit le droit à un recours juridictionnel effectif. En droit français, l’organisation sanctionnée dispose d’un délai de quatre mois pour saisir le Conseil d’État d’un recours en plein contentieux. Le Conseil d’État vérifie la régularité de la procédure, l’exactitude matérielle des faits, la qualification juridique retenue et la proportionnalité du montant. Plusieurs sanctions ont été partiellement réformées en quantum sur le fondement de la proportionnalité — voir la décision du Conseil d’État du 27 mars 2020 n° 401258 sur l’Art. 17.