Sept ans après son entrée en application, le Règlement Général sur la Protection des Données a profondément reconfiguré le paysage numérique européen. 2025 marque un tournant : les sanctions atteignent des niveaux records, l'intelligence artificielle force le règlement à se réinventer, et les PME ne sont plus à l'abri. Analyse comparative Europe, France, Italie.
Entré pleinement en application le 25 mai 2018, le RGPD est aujourd'hui le régime de protection des données le plus ambitieux du monde. En sept ans, les autorités nationales de surveillance ont construit une jurisprudence dense, des procédures affinées et une culture de l'accountability qui s'impose progressivement aux entreprises, grandes et petites.
2025 marque une inflexion claire : moins de décisions qu'en 2024, mais des amendes structurellement plus lourdes. La logique n'est plus de multiplier les rappels à l'ordre, elle est de frapper fort pour que le message passe.
Derrière les grands titres sur les GAFAM, cinq types de manquements concentrent l'essentiel des décisions des autorités de contrôle à travers toute l'Europe :
Le mécanisme de guichet unique permet à une autorité nationale de traiter les affaires transfrontalières au nom de toute l'Europe. L'Irlande — où siègent Meta, Apple, Google, TikTok — reste la plaque tournante des grandes décisions. Mais la France et l'Italie montent en puissance sur les acteurs nationaux et mid-market.
Ces chiffres spectaculaires masquent cependant un paradoxe : pour TikTok ou Google, 530 ou 325 millions d'euros représentent quelques heures de chiffre d'affaires mondial. La question de la proportionnalité réelle de ces sanctions reste entière.
2025 est la deuxième année la plus active de l'histoire de la CNIL, derrière 2023. La tendance est claire : moins de décisions en volume, mais un montant cumulé qui explose. La CNIL prononce moins mais frappe beaucoup plus fort. En 2024, le cumul des amendes atteignait 55,2 millions d'euros. En 2025 : 486,8 millions. Une multiplication par presque neuf.
Ce bond est largement dû aux grandes décisions internationales adoptées en coopération avec les homologues européens, notamment dans le cadre du mécanisme de guichet unique. Mais la CNIL ne délègue plus la partie nationale.
Créée par décret en 2022, la procédure simplifiée permet de sanctionner des manquements évidents sans passer par la formation restreinte complète, pour des amendes plafonnées à 20 000 euros. Résultat : les délais passent de 18 à 24 mois en procédure normale à 4 à 6 mois. En 2025, 60 % des sanctions de la CNIL ont emprunté cette voie. La machine à sanctionner s'est fluidifiée.
Jusqu'à récemment, la CNIL se concentrait sur les grands acteurs. La logique était pragmatique : l'impact symbolique et économique y est maximal. Mais le paysage change. En 2025, 32 % des entreprises contrôlées étaient des PME ou des TPE. Pour une structure de 20 salariés, une amende de 50 000 euros peut représenter une menace existentielle. Le signal est sans équivoque : personne n'est plus à l'abri.
La CNIL a annoncé cinq axes d'action prioritaires pour 2026 :
L'Italie se distingue en Europe par un volume de décisions particulièrement élevé — 835 en 2024 — mais avec des montants individuels généralement plus modestes que la France ou l'Irlande. Le Garante fonctionne plutôt comme un régulateur de terrain, ancré dans le quotidien des organisations, qu'il s'agisse du secteur public, de la santé ou du marketing direct.
Sa singularité la plus notable reste son positionnement précoce et volontariste sur l'intelligence artificielle. Dès 2023, le Garante avait bloqué temporairement ChatGPT — une première mondiale — avant de conclure une procédure longue et suivie qui s'est terminée en 2024 par une sanction de 15 millions d'euros assortie d'une campagne d'information obligatoire.
Une donnée ressort du bilan 2024 du Garante : près d'un quart des violations de données notifiées concerne le secteur public. Administrations locales, systèmes d'information de l'État, bases de données de l'éducation et du travail — le Garante a demandé une vigilance accrue sur la diffusion illicite de données, les contrôles d'accès et les systèmes de conservation.
En bloquant ChatGPT dès mars 2023, le Garante a posé un précédent qui a résonné dans toute l'Europe. Même si le blocage a été levé après quelques semaines, l'istruttoria (enquête formelle) qui a suivi — conclue en 2024 — a produit la première sanction significative d'un grand modèle d'IA en Europe : 15 millions d'euros à OpenAI, avec obligation de lancer une campagne d'information nationale. Le Garante a ainsi démontré qu'une autorité nationale pouvait pousser un acteur mondial à rendre des comptes.
En 2024, l'Italie a franchi une étape réglementaire concrète avec l'approbation du premier Code de conduite sectoriel pour le télémarketing. Un instrument prévu par le RGPD lui-même (article 40), mais rarement activé dans les États membres. Ce code formalise les obligations des opérateurs, encadre l'utilisation des listes de contacts et prévoit des mécanismes de certification. Un modèle que d'autres secteurs pourraient suivre.
| Critère | 🇫🇷 France (CNIL) | 🇮🇹 Italie (Garante) |
|---|---|---|
| Volume de sanctions (2024–2025) | 83 sanctions (2025), dont 60 % par procédure simplifiée | 468 mesures correctives et sanctions (2024) |
| Montants prononcés | 486,8 M€ en 2025 (vs 55 M€ en 2024) | 24 M€ perçus en 2024 |
| Posture dominante | Frappes ciblées, montants records, procédure accélérée | Volume élevé, présence sectorielle, terrain opérationnel |
| Positionnement IA | IA générative priorité 2026 ; intersection RGPD + AI Act | Pionnier : blocage ChatGPT 2023, sanction OpenAI 2024 |
| PME dans le viseur | 32 % des contrôles 2025 visent des PME/TPE | Présence sectorielle large (santé, PA, commerçants) |
| Coopération européenne | 4 décisions en coopération en 2025 ; 9 projets examinés | Participation active au mécanisme de cohérence EDPB |
| Secteur public | France Travail (5 M€), aide sociale à l'enfance (mises en demeure) | 25 % des violations déclarées — priorité affichée du Garante |
| Instrument innovant | Procédure simplifiée (délai 4–6 mois) | Code de conduite télémarketing (Art. 40 RGPD) |
2026 s'annonce comme une année de convergence réglementaire inédite. Le RGPD ne fonctionne plus seul : il entre en interaction directe avec l'AI Act, NIS2, le Digital Markets Act et l'ePrivacy. Pour les organisations, cela signifie une complexité croissante, mais aussi une logique commune qui se dessine : transparence, minimisation, évaluation des risques, documentation des décisions.
Le 2 août 2026 marque l'entrée en application effective de l'AI Act pour les systèmes d'IA à haut risque. Or, tout système d'IA qui traite des données personnelles doit simultanément respecter le RGPD. La CNIL et le Garante ont toutes deux annoncé que cet axe sera une priorité. Pour les entreprises qui utilisent de l'IA générative, la question de la base légale pour entraîner les modèles devient urgente.
La Commission européenne pousse le Digital Omnibus, un texte censé simplifier certaines obligations du RGPD — notamment pour les PME : moins de bannières cookies, délais de notification allongés, harmonisation entre RGPD, NIS2 et ePrivacy. Sur le papier, l'intention est louable. Mais les experts sont sceptiques : les sanctions continuent de tomber plus vite et plus fort. La simplification normative ne dispense pas de la conformité immédiate.
Depuis l'arrêt Schrems II (2020), le transfert de données vers les États-Unis reste un sujet complexe. L'accord UE–États-Unis "Data Privacy Framework" offre un cadre, mais des recours judiciaires sont en cours. TikTok a démontré que les transferts vers la Chine n'étaient pas acceptables. Des milliers d'organisations européennes utilisent encore des outils américains sans avoir formalisé les garanties appropriées.
Les organisations qui ont déjà une bonne gouvernance RGPD sont mieux positionnées pour l'AI Act : les principes sont identiques — transparence, minimisation des données, évaluation des risques, documentation. Être conforme au RGPD ne suffit plus à l'ère de l'IA générative, mais c'est un point de départ solide. L'enjeu de 2026 est de démontrer la conformité, en continu, et pas seulement de la déclarer.
Une chose est certaine : le paradoxe des sanctions géantes disproportionnées aux revenus des grandes plateformes interroge encore la crédibilité du système. Quand 530 millions d'euros représentent pour TikTok environ 2,64 euros par utilisateur concerné, la donnée personnelle risque de devenir de fait une marchandise à faible valeur, malgré les textes. C'est le défi de la prochaine décennie réglementaire.