RGPD

Article 84 RGPD : sanctions pénales décryptées

Q: La CNIL peut-elle saisir le procureur de la République ?

Oui. L’ article 8 LIL combiné à l’ article 40 du Code de procédure pénale impose à la CNIL de porter à la connaissance du procureur les infractions qu’elle constate dans l’exercice de ses missions. En pratique, la CNIL signale relativement peu d’affaires — elle privilégie ses procédures administratives plus rapides et harmonisées européennement par le guichet unique. Le signalement intervient en revanche systématiquement dans les contentieux portant sur des intérêts sensibles (mineurs, données d

Q: Comment se défendre face à une poursuite pénale RGPD ?

La défense repose sur quatre axes coordonnés. D’abord, contester l’élément intentionnel lorsque le délit l’exige (Art. 226-18, 226-21) — la documentation accountability de l’ Art. 24 RGPD , les avis du DPO, les formations dispensées constituent autant d’éléments probatoires de bonne foi. Ensuite, invoquer la proportionnalité du cumul avec une éventuelle sanction CNIL déjà prononcée. Puis, mobiliser les peines complémentaires comme alternative à l’emprisonnement (Art. 226-24 — affichage, fermetur

Article 84 RGPD : sanctions pénales nationales, Art. 226-16 à 226-24 du Code pénal, articulation avec Art. 83 RGPD et plaintes CNIL au procureur.

Par Thiebaut DevergrannePublie le 12 mai 2026Mis a jour le 12 mai 202619 min de lecture

Sommaire

Ce que dit l’article 84 du RGPD
Art. 84(1) : la marge nationale de répression complémentaire
Art. 84(2) : l’obligation de notification
Le pénal RGPD français : Art. 226-16 à 226-24 du Code pénal
Articulation pénal / administratif / civil
Pratique du contentieux pénal RGPD
Plan opérationnel pour gérer l’exposition pénale
Ce qu’il faut retenir
FAQ

L’article 84 du RGPD est l’article que l’on cite le moins et qui pèse pourtant le plus lourd sur les bilans de risque juridique : c’est lui qui ouvre, en parallèle des amendes administratives de l’article 83 RGPD et des actions civiles de l’article 82 RGPD, la voie des sanctions pénales nationales. En France, cette voie est tracée par les articles 226-16 à 226-24 du Code pénal : jusqu’à 5 ans d’emprisonnement et 300 000 € d’amende pour les personnes physiques, multipliés par cinq pour les personnes morales — soit 1,5 million d’euros. Voici l’analyse paragraphe par paragraphe de l’Art. 84 et de son atterrissage français, telle que je l’enseigne aux DPO et aux directions juridiques après vingt ans de conseil en droit des données.

Ce que dit l’article 84 du RGPD

L’Art. 84 s’intitule sobrement « Sanctions ». Il compte deux paragraphes qui complètent l’architecture répressive du règlement :

l’Art. 84(1) confie aux États membres la définition du régime des autres sanctions applicables aux violations du RGPD, en particulier celles qui ne sont pas couvertes par les amendes administratives de l’Art. 83, en imposant les trois critères classiques d’effectivité, de proportionnalité et de dissuasion ;
l’Art. 84(2) impose à chaque État membre de notifier à la Commission européenne les dispositions adoptées en application du paragraphe 1, au plus tard le 25 mai 2018, ainsi que toute modification ultérieure.

L’article ne crée pas d’infraction par lui-même : il renvoie au droit national pour compléter le dispositif administratif harmonisé de l’Art. 83. Cette articulation a une conséquence directe : l’exposition pénale française au titre du RGPD se lit dans le Code pénal — chapitre VI du titre II du livre II, articles 226-16 à 226-24 — et dans la loi Informatique et Libertés modifiée par l’ordonnance n° 2018-1125 du 12 décembre 2018. Pour la cartographie complète du contentieux administratif et civil parallèle, voir mes analyses Article 83 RGPD : amendes administratives et Article 82 RGPD : le droit à indemnisation.

Art. 84(1) : la marge nationale de répression complémentaire

Le paragraphe 1 dispose : « Les États membres déterminent le régime des autres sanctions applicables en cas de violations du présent règlement, en particulier pour les violations qui ne font pas l’objet des amendes administratives prévues à l’article 83, et prennent toutes les mesures nécessaires pour garantir leur mise en œuvre. Ces sanctions sont effectives, proportionnées et dissuasives. »

Trois éléments structurent cette habilitation.

Premier élément : le périmètre résiduel. L’Art. 84 vise « en particulier » les violations qui ne tombent pas sous le coup de l’Art. 83. En pratique, le législateur français a fait un choix maximaliste — il a maintenu un régime pénal qui se superpose largement au régime administratif de la CNIL. Cela ouvre la possibilité de cumul des sanctions administrative et pénale pour les mêmes faits, sous réserve du principe non bis in idem dont la CJUE a précisé la portée dans l’arrêt C-117/20 bpost du 22 mars 2022 : le cumul est admis si les deux procédures poursuivent des objectifs complémentaires d’intérêt général, sont coordonnées, et si l’addition des sanctions reste proportionnée. Cette jurisprudence, transposée au RGPD, ouvre la voie à des stratégies contentieuses combinées qu’il faut anticiper.

Deuxième élément : le triptyque effectivité-proportionnalité-dissuasion. Le législateur national doit prévoir des sanctions qui ne soient pas purement symboliques. Ce triptyque oblige le juge pénal à motiver concrètement la peine prononcée — il a été invoqué par la chambre criminelle de la Cour de cassation pour censurer des peines manifestement insuffisantes au regard de la gravité des faits.

Troisième élément : les « mesures nécessaires » de mise en œuvre. L’État membre n’est pas seulement tenu d’édicter des sanctions ; il doit garantir l’effectivité de leur application — moyens d’enquête, coopération CNIL/parquet, formation des magistrats spécialisés. C’est sur ce fondement que repose l’article 40 du Code de procédure pénale, qui impose à tout fonctionnaire ayant connaissance d’un crime ou d’un délit dans l’exercice de ses fonctions d’en informer le procureur de la République — règle dont la CNIL fait usage en complément de ses sanctions administratives.

Art. 84(2) : l’obligation de notification

Le paragraphe 2 organise une obligation procédurale : « Chaque État membre notifie à la Commission les dispositions légales qu’il adopte en vertu du paragraphe 1, au plus tard le 25 mai 2018 et, sans retard, toute modification ultérieure les concernant. »

Cette obligation s’apparente à la procédure générale de notification du droit transposant des règlements harmonisés — elle permet à la Commission de veiller à la cohérence des régimes nationaux et au CEPD d’éclairer son analyse de la mise en œuvre du RGPD. La France a satisfait à cette obligation par la loi n° 2018-493 du 20 juin 2018 et l’ordonnance n° 2018-1125 du 12 décembre 2018 qui ont rénové la loi Informatique et Libertés et adapté le Code pénal au RGPD. Les modifications ultérieures — notamment la loi n° 2024-364 du 22 avril 2024 sur l’action de groupe, articulée avec l’Art. 80 RGPD — ont également été notifiées.

Le pénal RGPD français : Art. 226-16 à 226-24 du Code pénal

Le législateur français a structuré la répression pénale du non-respect des données personnelles autour de neuf incriminations principales, toutes punies de cinq ans d’emprisonnement et 300 000 € d’amende pour les personnes physiques, sauf indication contraire. Ces peines sont multipliées par cinq pour les personnes morales (Art. 131-38 et 226-24 du Code pénal), soit un plafond de 1,5 million d’euros, auquel s’ajoutent les peines complémentaires de l’Art. 226-24.

Art. 226-16 du Code pénal — défaut de formalités préalables. Punit le fait, y compris par négligence, de procéder à un traitement sans avoir respecté les formalités préalables prévues par la loi. Depuis le RGPD, ces formalités concernent principalement les traitements visés par les articles 31 et 33 de la LIL — fichiers de police, données pénales et données de santé hors recherche, qui restent soumis à autorisation ou avis de la CNIL. C’est aussi sur ce fondement que peuvent être réprimées les violations du régime national d’autorisation préalable analysées dans mon article 36 RGPD sur la consultation préalable.

Art. 226-16-1 A — entrave à l’action du DPO. Introduit par l’ordonnance de 2018, ce délit réprime le fait d’entraver l’action du délégué à la protection des données — défaut de moyens, instructions contraires aux missions de l’Art. 38 RGPD, retrait de fonctions en lien avec l’exercice des missions de l’Art. 39 RGPD. Il complète, sur le plan pénal, le régime administratif des sanctions CNIL contre le défaut de moyens du DPO — sanctionné notamment dans SAN-2022-009 Discord (800 000 €) et SAN-2024-001 Hubside (525 000 €).

Art. 226-17 — défaut de sécurité. Punit le fait de procéder à un traitement sans mettre en œuvre les mesures de sécurité prévues par l’article 32 RGPD. C’est l’un des chefs de poursuite les plus exposés en cas de violation de données. Le contentieux de la sécurité, principalement administratif (SAN-2022-012 Dedalus Biologie 1,5 M€), peut basculer au pénal lorsque la négligence est caractérisée et que des données sensibles ont été exposées.

Art. 226-17-1 — défaut de notification d’incident pour les prestataires de service de paiement. Introduit en transposition de la DSP2, il sanctionne les manquements spécifiques aux établissements financiers — articulé avec la procédure de l’article 33 RGPD sur la notification 72h.

Art. 226-18 — collecte frauduleuse, déloyale ou illicite. Réprime le détournement des principes de loyauté et de licéité de l’article 5 RGPD. C’est sur ce fondement que pourraient être poursuivies les pratiques de scraping massif non conformes (typologie Clearview AI), les pratiques de dark patterns extrêmes, ou les collectes par tromperie sur la finalité réelle.

Art. 226-18-1 — traitement malgré opposition. Réprime le fait de continuer à traiter les données d’une personne qui a exercé son droit d’opposition au titre de l’article 21 RGPD. Ce délit est particulièrement structurant pour la prospection commerciale et le démarchage non sollicité.

Art. 226-19 — traitement de données sensibles sans base légale. Vise le traitement de données de l’article 9 RGPD — origine raciale ou ethnique, opinions politiques, convictions religieuses ou philosophiques, appartenance syndicale, données de santé, données biométriques, données génétiques, données relatives à la vie sexuelle ou à l’orientation sexuelle — en dehors des cas autorisés. La sanction est portée à 5 ans et 300 000 €, augmentée des peines complémentaires.

Art. 226-20 — conservation au-delà de la durée nécessaire. Vise la violation du principe de limitation de la conservation de l’Art. 5(1)(e) RGPD. La peine est de 3 ans et 100 000 € dans sa version de base, mais portée à 5 ans et 300 000 € lorsque les données conservées hors délai sont ensuite réutilisées à d’autres fins. C’est un chef de poursuite sous-estimé en pratique — alors que les sanctions CNIL pour défaut de purge sont nombreuses (SAN-2022-009 Discord, SAN-2024-001 Hubside).

Art. 226-21 — détournement de finalité. Réprime le fait, par toute personne détentrice de données dans le cadre d’un traitement, de les détourner de leur finalité initiale telle que définie par la déclaration préalable, la demande d’autorisation ou les actes réglementaires applicables. C’est l’équivalent pénal du principe de finalité de l’Art. 5(1)(b) RGPD.

Art. 226-22 — divulgation à un tiers ayant porté atteinte. Punit le fait de divulguer, sans autorisation, à un tiers qui n’a pas qualité pour les recevoir, des données dont la divulgation aurait pour effet de porter atteinte à la considération de la personne ou à l’intimité de la vie privée. C’est un délit fréquemment caractérisé en cas de fuite interne (collaborateur indélicat, ancien salarié).

Art. 226-22-1 — transferts hors UE non conformes. Punit le fait de procéder ou de faire procéder à un transfert de données hors de l’Union européenne en violation des règles des articles 44 à 49 RGPD. C’est l’arme pénale du contentieux des transferts internationaux (voir article 46 RGPD et article 48 RGPD sur le CLOUD Act).

Art. 226-22-2 — non-coopération avec la CNIL. Punit, d’un an d’emprisonnement et 15 000 € d’amende, le fait de ne pas communiquer à la CNIL les informations nécessaires à l’exercice de ses missions, ou de communiquer des informations inexactes. Délit plus rarement poursuivi, mais qui peut s’articuler avec la sanction administrative renforcée de l’Art. 83(6) RGPD en cas de désobéissance.

Art. 226-23 — responsabilité des personnes morales. Étend toutes les incriminations ci-dessus aux personnes morales, avec multiplication par cinq des amendes (Art. 131-38) — soit 1,5 M€ pour la plupart des délits, et 75 000 € pour le délit de non-coopération.

Art. 226-24 — peines complémentaires. Prévoit notamment l’interdiction d’exercer, la confiscation des biens ayant servi à commettre l’infraction, la fermeture d’établissement, l’affichage ou la diffusion de la décision, l’interdiction d’émettre des chèques. Ces peines complémentaires sont parfois plus dissuasives que l’amende elle-même pour les opérateurs régulés.

Articulation pénal / administratif / civil

Le contentieux RGPD français se déploie aujourd’hui sur trois fronts coordonnés. Cette articulation, structurée par la CJUE C-687/21 MediaMarktSaturn du 25 janvier 2024 qui distingue les seuils d’application de l’Art. 82 et de l’Art. 83, mérite une lecture combinée.

Voie	Texte	Sanction	Compétence	Articulation
Administrative (Art. 83)	RGPD	10/20 M€ ou 2/4 % CA mondial	CNIL — Conseil d’État	Procédure CNIL formation restreinte
Civile (Art. 82)	RGPD + Code civil	Indemnisation réparatoire intégrale	TJ — Cour d’appel — Cass.	Action individuelle + action de groupe loi 2024-364
Pénale (Art. 84)	Art. 226-16 à 226-24 C. pénal	5 ans + 1,5 M€ (PM) + peines complémentaires	TGI correctionnel — Cour d’appel — Cass. crim.	Plainte simple, plainte avec CPC, signalement Art. 40 CPP

Trois voies de saisine pénale. La saisine du parquet peut intervenir par signalement de la CNIL elle-même au titre de l’article 40 du Code de procédure pénale combiné à l’article 8 LIL, qui lui imposent de porter à la connaissance du procureur les infractions qu’elle constate dans l’exercice de ses missions ; par plainte simple de la personne concernée ou de l’association agréée au titre de l’article 80 RGPD ; ou par plainte avec constitution de partie civile en cas d’inaction du parquet (article 85 CPP). La constitution de partie civile permet à la victime d’obtenir réparation devant la juridiction pénale, en complément de la procédure civile de l’article 79 RGPD.

Coordination avec la CNIL. La CNIL signale relativement peu d’affaires au parquet — elle privilégie l’efficacité de sa procédure administrative. En revanche, lorsqu’elle est saisie d’une affaire portant atteinte à des intérêts sensibles (mineurs, données de santé, données biométriques) ou révélant des comportements intentionnels graves, le signalement est systématique. C’est notamment le cas dans les contentieux relatifs à la revente illicite de bases de données, aux manipulations frauduleuses de scoring ou aux détournements de données par d’anciens salariés.

Cumul des sanctions. Le cumul administratif/pénal pour les mêmes faits reste possible en France sous réserve de la jurisprudence de la Cour européenne des droits de l’homme (Grande Stevens c. Italie, 4 mars 2014) et de la CJUE C-117/20 bpost du 22 mars 2022 : le cumul doit être proportionné, les procédures coordonnées, les sanctions absorbées dans leur somme. En pratique, le juge pénal qui prononce une amende après une sanction CNIL prend en compte le montant déjà versé — selon une logique proche de celle du droit boursier en présence d’un cumul AMF/parquet national financier.

Pratique du contentieux pénal RGPD

Le contentieux pénal RGPD reste, en volume, très inférieur au contentieux administratif. La CNIL prononce une cinquantaine de sanctions par an pour quelques poursuites pénales seulement. Trois explications à cette asymétrie.

D’abord l’efficacité procédurale. La procédure CNIL est rapide (12-18 mois) et bien organisée ; la procédure pénale française est plus lente (3-5 ans avec recours) et engorgée. Pour une autorité régulatrice, la voie administrative est plus rentable.

Ensuite la difficulté probatoire pénale. Le pénal exige la preuve d’une faute caractérisée — souvent intentionnelle — alors que l’administratif sanctionne plus largement la négligence. La caractérisation de l’élément intentionnel pour le délit de l’Art. 226-18 ou de l’Art. 226-21 est complexe.

Enfin la coordination internationale. Les sanctions administratives se prêtent au mécanisme de coopération européenne du chef de file (Art. 56 RGPD) et du guichet unique (Art. 60). Le pénal national ne bénéficie pas de cette articulation harmonisée — au-delà du règlement (UE) 2018/1727 Eurojust et de la décision-cadre 2008/978/JAI.

Le pénal reprend cependant tout son sens dans trois configurations. Premièrement, le contentieux des personnes physiques fautives — collaborateur indélicat, dirigeant ayant ordonné un traitement frauduleux, DPO complice — pour lequel la sanction administrative contre la personne morale est insuffisante. Deuxièmement, les atteintes les plus graves : revente de bases, scoring discriminatoire ciblé, transferts massifs frauduleux, où l’emprisonnement effectif et les peines complémentaires (interdiction d’exercer) ont une vertu dissuasive sans équivalent administratif. Troisièmement, les violations conjuguées avec d’autres infractions — abus de confiance (Art. 314-1 C. pénal), atteinte à un système de traitement automatisé de données (Art. 323-1 et suivants), escroquerie (Art. 313-1), recel (Art. 321-1) — où l’action pénale permet de saisir l’ensemble du comportement.

Plan opérationnel pour gérer l’exposition pénale

Dans mon expérience de conseil, six chantiers réduisent l’exposition pénale au titre de l’Art. 84 — par construction et coordination avec la stratégie administrative et civile.

Chantier 1 — cartographie des risques pénaux par traitement. Identifier, pour chaque traitement du registre Art. 30, les chefs de poursuite pénale potentiels — sécurité (Art. 226-17), durée de conservation (Art. 226-20), finalité (Art. 226-21), transferts (Art. 226-22-1), opposition (Art. 226-18-1). Le mapping doit identifier les traitements à risque pénal élevé (données sensibles, mineurs, profilage, prospection).

Chantier 2 — documentation de l’absence d’intentionnalité. Pour les délits qui exigent un élément intentionnel, la documentation accountability (Art. 24 RGPD), les formations dispensées, les avis du DPO, les arbitrages internes constituent autant d’éléments probatoires démontrant la bonne foi de la direction. C’est la même logique que celle qui structure la défense Art. 32 / accountability Art. 5(2) dans le contentieux administratif.

Chantier 3 — procédure interne de gestion des incidents. Articuler la procédure de notification 72h (Art. 33) avec la décision d’informer ou non le parquet — décision réservée à la direction juridique et à la direction générale, après avis du conseil pénaliste. La précipitation à porter plainte peut se retourner contre l’organisation si une faute interne caractérisée est ensuite révélée.

Chantier 4 — défense pénale du DPO. Le DPO bénéficie d’une protection spécifique au titre de l’Art. 38(3) RGPD et de l’Art. 226-16-1 A C. pénal contre l’entrave. Il faut documenter cette indépendance — fiche de poste, lettre de mission, rattachement hiérarchique direct — pour éviter qu’il soit poursuivi pénalement à titre individuel ou que sa fonction soit instrumentalisée.

Chantier 5 — clauses contractuelles. Insérer dans les contrats de sous-traitance Art. 28 RGPD des clauses de couverture des sanctions pénales, d’engagement à coopérer en cas d’enquête, de notification immédiate de toute saisine du parquet. La cyber-assurance couvre généralement les frais de défense pénale mais pas l’amende pénale elle-même — il faut donc vérifier la rédaction de la police.

Chantier 6 — formation des dirigeants. Les délits des Art. 226-16 et suivants peuvent être imputés personnellement au dirigeant (Art. 121-3 C. pénal) en cas de manquement à une obligation particulière de prudence. La formation des dirigeants à leurs obligations RGPD est un investissement de risque-management direct, qui complète la formation des opérationnels.

Ce qu’il faut retenir

L’Art. 84 RGPD confie aux États membres la définition des sanctions complémentaires aux amendes administratives de l’Art. 83, avec une exigence de mesures effectives, proportionnées et dissuasives — et impose une notification à la Commission au plus tard le 25 mai 2018.
En France, le régime pénal RGPD est organisé par les articles 226-16 à 226-24 du Code pénal, qui sanctionnent défaut de sécurité, collecte déloyale, traitement de données sensibles sans base légale, conservation abusive, détournement de finalité, divulgation à des tiers, transferts hors UE non conformes, défaut de coopération avec la CNIL — peines de 1 à 5 ans d’emprisonnement et 15 000 à 300 000 € d’amende pour les personnes physiques, multipliées par cinq pour les personnes morales (jusqu’à 1,5 M€).
Le cumul des sanctions administrative, civile et pénale est possible sous réserve de proportionnalité — CJUE C-117/20 bpost du 22 mars 2022. Les trois voies coexistent en France, généralement déclenchées par la même autorité (CNIL au titre de l’Art. 40 CPP) ou par les personnes concernées et leurs associations (Art. 80 RGPD).
Le contentieux pénal RGPD reste, en volume, très inférieur au contentieux administratif — la CNIL privilégie ses procédures de sanction internes, plus rapides et harmonisées européennement par le guichet unique (Art. 56/60). Le pénal reprend cependant tout son sens pour les fautes intentionnelles graves, les personnes physiques fautives et les violations conjuguées avec d’autres infractions (Art. 323-1, 314-1, 313-1, 321-1 C. pénal).
L’exposition pénale se gère par six chantiers structurels : cartographie des risques par traitement, documentation de l’absence d’intentionnalité, procédure de gestion des incidents, défense du DPO, clauses contractuelles de sous-traitance, formation des dirigeants — coordonnés avec les stratégies administrative et civile.

Recevez nos analyses conformité chaque semaine. Notre newsletter décrypte la jurisprudence CNIL, les lignes directrices EDPB et les obligations RGPD avec un angle pratique. Inscription gratuite, désinscription en un clic.

FAQ

Que prévoit l’article 84 du RGPD ?

L’Art. 84 RGPD confie aux États membres la définition du régime des « autres sanctions » applicables en cas de violation du règlement, en particulier celles qui ne sont pas couvertes par les amendes administratives de l’Art. 83. Il impose trois exigences cumulatives — effectivité, proportionnalité, dissuasion — et une obligation de notifier les dispositions adoptées à la Commission européenne au plus tard le 25 mai 2018. En France, ce régime est principalement organisé par les articles 226-16 à 226-24 du Code pénal et par la loi Informatique et Libertés modifiée par l’ordonnance n° 2018-1125 du 12 décembre 2018.

Quelles sont les sanctions pénales RGPD en France ?

Les articles 226-16 à 226-24 du Code pénal sanctionnent neuf incriminations principales : défaut de formalités préalables, entrave à l’action du DPO, défaut de sécurité, collecte déloyale ou illicite, traitement de données sensibles sans base légale, conservation au-delà de la durée nécessaire, détournement de finalité, divulgation à des tiers, transferts hors UE non conformes, défaut de coopération avec la CNIL. La peine de base est de 5 ans d’emprisonnement et 300 000 € d’amende pour les personnes physiques, multipliée par cinq pour les personnes morales (1,5 M€), augmentée des peines complémentaires de l’Art. 226-24 — interdiction d’exercer, confiscation, fermeture d’établissement, affichage de la décision.

Peut-on cumuler une amende CNIL et une sanction pénale RGPD pour les mêmes faits ?

Oui, sous réserve de proportionnalité. La CJUE l’a confirmé dans l’arrêt C-117/20 bpost du 22 mars 2022 : le cumul des sanctions administrative et pénale est admis si les deux procédures poursuivent des objectifs complémentaires d’intérêt général, sont coordonnées, et si l’addition des sanctions reste proportionnée à la gravité des faits. La CEDH avait posé un cadre similaire dans Grande Stevens c. Italie du 4 mars 2014. En pratique, le juge pénal qui prononce une amende après une sanction CNIL prend en compte le montant administratif déjà versé.

La CNIL peut-elle saisir le procureur de la République ?

Oui. L’article 8 LIL combiné à l’article 40 du Code de procédure pénale impose à la CNIL de porter à la connaissance du procureur les infractions qu’elle constate dans l’exercice de ses missions. En pratique, la CNIL signale relativement peu d’affaires — elle privilégie ses procédures administratives plus rapides et harmonisées européennement par le guichet unique. Le signalement intervient en revanche systématiquement dans les contentieux portant sur des intérêts sensibles (mineurs, données de santé, données biométriques) ou révélant des comportements intentionnels graves (revente illicite de bases de données, manipulations frauduleuses, détournements par d’anciens salariés).

Comment se défendre face à une poursuite pénale RGPD ?

La défense repose sur quatre axes coordonnés. D’abord, contester l’élément intentionnel lorsque le délit l’exige (Art. 226-18, 226-21) — la documentation accountability de l’Art. 24 RGPD, les avis du DPO, les formations dispensées constituent autant d’éléments probatoires de bonne foi. Ensuite, invoquer la proportionnalité du cumul avec une éventuelle sanction CNIL déjà prononcée. Puis, mobiliser les peines complémentaires comme alternative à l’emprisonnement (Art. 226-24 — affichage, fermeture, interdiction). Enfin, coordonner la défense pénale avec la stratégie civile (Art. 82 RGPD) et avec d’éventuelles procédures parallèles devant le Conseil d’État sur la sanction CNIL (Art. 78 RGPD) — la cohérence des positions juridiques entre les trois fronts est déterminante.