Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > Application du RGPD en 2026 : Quand les défaillances de surveillance des fournisseurs multiplient les amendes

Application du RGPD en 2026 : Quand les défaillances de surveillance des fournisseurs multiplient les amendes

par Danielle Barbour updated mai 20, 2026 Conformité RGPD
temps de lecture: 10 minutes

Points clés à retenir

  1. La hausse des amendes RGPD montre un renforcement structurel de l’application. 1,2 milliard d’euros d’amendes ont été infligés rien qu’en 2025, portant le total cumulé depuis 2018 à 5,88 milliards d’euros, avec une moyenne de 443 notifications de violation par jour.
  2. Les défaillances dans la supervision des sous-traitants aggravent les sanctions. Les autorités de protection des données considèrent désormais la gestion insuffisante des sous-traitants, l’absence de DPIA et le manque de contrôles techniques comme des facteurs aggravants qui augmentent directement le montant des amendes selon les directives de l’EDPB.
  3. Les données des enfants deviennent une priorité à part entière. Les régulateurs ont infligé d’importantes amendes à Reddit et PlayOn pour traitement illicite de données de mineurs, soulignant que la protection de la vie privée des jeunes fait désormais l’objet d’une attention spécifique dans plusieurs juridictions.
  4. Le manque de visibilité sur les données compromet la conformité. Seules 33 % des organisations savent où sont stockées toutes leurs données, et les échecs d’audit sont fortement corrélés à l’historique des violations, ce qui rend les journaux d’audit unifiés essentiels pour limiter les risques réglementaires.

L’ampleur de l’application du RGPD en 2026 n’étonne plus. Elle est structurelle.

La 8e édition du rapport DLA Piper sur les amendes RGPD et les violations de données recense 1,2 milliard d’euros d’amendes supplémentaires en 2025, portant le total cumulé depuis 2018 à environ 5,88 milliards d’euros. Les notifications de violation ont augmenté de 22 % en un an, soit une moyenne de 443 par jour. Le CMS GDPR Enforcement Tracker recense 2 245 amendes, avec une moyenne d’environ 2,36 millions d’euros par amende.

Ce qui a changé, ce n’est pas le volume, mais la tendance. Les autorités de protection des données de l’UE se concentrent de plus en plus sur les articles 5(1)(a)—licéité, loyauté, transparence—et 5(1)(f)—intégrité et confidentialité. Ces dispositions concernent directement la gestion des sous-traitants, la mise en œuvre de contrôles techniques et la capacité à prouver que les pratiques de traitement des données sont conformes à ce qui est annoncé dans les politiques de confidentialité.

La trajectoire de l’application ne se limite plus aux amendes spectaculaires infligées aux géants de la tech. Il s’agit désormais d’évaluer systématiquement si les programmes de gouvernance des données fonctionnent réellement—et pas seulement sur le papier.

5 points clés à retenir

1. Les amendes RGPD atteignent à nouveau 1,2 milliard d’euros en 2025.

Depuis 2018, le montant cumulé des amendes avoisine 5,88 milliards d’euros, avec une moyenne de 443 notifications de violation par jour, soit une hausse de 22 % sur un an. L’application du RGPD est passée d’événements ponctuels à des opérations soutenues et volumineuses, avec un plancher annuel d’amendes désormais prévisible.

2. Les autorités utilisent les failles de supervision des sous-traitants pour alourdir les sanctions.

Les régulateurs considèrent désormais la gestion insuffisante des sous-traitants, l’absence de DPIA et le manque de contrôles techniques comme des facteurs aggravants qui augmentent le montant des amendes. La méthodologie de calcul en cinq étapes de l’EDPB fait que toute faille dans la supervision des sous-traitants se traduit directement par des sanctions plus lourdes, et non de simples constats secondaires.

3. L’application de la réglementation sur les données des enfants s’accélère.

L’ICO britannique a infligé à Reddit une amende de 14,5 millions de livres pour traitement illicite de données d’enfants en raison d’une vérification d’âge insuffisante. La CPPA californienne a prononcé sa première sanction visant les étudiants—environ 1,1 million de dollars d’amende contre PlayOn. La protection des données des jeunes est désormais une priorité réglementaire à part entière dans de nombreuses juridictions.

4. Seules 33 % des organisations savent où sont stockées toutes leurs données.

Sans classification et visibilité complètes des données, il est impossible de démontrer la supervision des sous-traitants, la cartographie des données et les mesures techniques attendues par les autorités. Impossible de prouver la gouvernance de données qu’on ne sait pas localiser.

5. La corrélation entre audit et violation est nette.

Seules 6 % des organisations ayant échoué à un audit de conformité n’ont pas d’historique de violation, contre 30 % de celles ayant réussi tous leurs audits. La préparation des journaux d’audit n’est pas qu’un exercice de conformité : c’est un indicateur clé de la sécurité et un facteur direct dans le calcul de la sévérité des amendes par les autorités.

Liste de contrôle RGPD pour la conformité

Pour en savoir plus :

L’amende Free Mobile : 27 millions d’euros pour défaut de protection des données abonnés

En 2026, la CNIL a infligé à Free Mobile une amende de 27 millions d’euros—dans le cadre d’un ensemble de sanctions de 42 millions d’euros—pour ne pas avoir suffisamment protégé les données de ses abonnés. L’amende visait des mesures techniques et organisationnelles jugées insuffisantes : c’est la formulation précise utilisée par les autorités lorsque les contrôles de sécurité ne sont pas adaptés au niveau de risque des données traitées.

Il ne s’agit pas d’une entreprise ignorant totalement le RGPD. Free Mobile compte parmi les plus grands opérateurs mobiles français et fait l’objet d’une surveillance réglementaire importante. Cette sanction montre que les autorités ne se contentent plus de l’existence de programmes de sécurité. Elles évaluent leur adéquation aux types de données, aux volumes traités et aux risques réels auxquels l’organisation est exposée.

Les lignes directrices 04/2022 de l’EDPB sur le calcul des amendes administratives ont instauré une méthodologie en cinq étapes, désormais utilisée par toutes les autorités européennes. L’étape 3 évalue les circonstances aggravantes et atténuantes. Les facteurs atténuants incluent la démonstration d’actions correctives, la coopération avec les autorités et la mise en place de mesures techniques et organisationnelles. Les facteurs aggravants incluent une supervision faible des sous-traitants, l’absence de DPIA et des contrôles techniques fragmentés—autant d’éléments qui alourdissent les sanctions.

Pour les responsables sécurité et conformité, la conséquence est directe : la preuve des contrôles compte autant que les contrôles eux-mêmes. Si vous ne pouvez pas démontrer à l’autorité que votre architecture de sécurité était raisonnable avant l’incident, le calcul de l’amende jouera en votre défaveur.

L’amende de 14,5 millions de livres contre Reddit : les données des enfants, une priorité d’application

L’ICO britannique a infligé à Reddit une amende de 14,5 millions de livres pour traitement illicite de données d’enfants lié à une vérification d’âge insuffisante, illustrant une deuxième tendance majeure en 2026 : les régulateurs considèrent les données des enfants et la vie privée des jeunes comme une priorité à part entière, et non plus comme un simple sous-ensemble de la protection des données.

Cela s’inscrit dans une dynamique mondiale. Les règles COPPA actualisées aux États-Unis élargissent la définition des informations personnelles aux données biométriques et aux pièces d’identité officielles, avec des exigences renforcées en matière de conservation et de transparence. New York et le Vermont ont adopté des lois sur la conception adaptée à l’âge, avec des dates d’entrée en vigueur échelonnées jusqu’en 2026–2027. Les autorités de protection des données du G7 ont publié une déclaration commune sur la protection des données des mineurs.

L’application californienne ajoute un nouvel exemple. La California Privacy Protection Agency a infligé à PlayOn une amende d’environ 1,1 million de dollars pour ne pas avoir permis aux étudiants et à leurs familles de refuser la collecte de données sur les services de billetterie, de collecte de fonds et de streaming. Il s’agit de la première action de la CPPA visant explicitement les droits à la vie privée des étudiants.

Les organisations opérant dans ou à proximité de l’éducation, des services à la jeunesse, du jeu vidéo, des réseaux sociaux ou des services numériques familiaux doivent traiter la gouvernance des données des enfants comme un chantier de conformité distinct—et non comme un simple volet de la politique générale de confidentialité.

Le problème de la supervision des sous-traitants : pourquoi les autorités se concentrent sur la gestion des prestataires

L’incident Rockstar Games/Anandot/Snowflake d’avril 2026 illustre pourquoi la supervision des sous-traitants est devenue un axe majeur de l’application. Lorsqu’un prestataire d’analytique tiers devient vecteur de violation, la question posée par les autorités n’est pas seulement « Le sous-traitant a-t-il été piraté ? », mais « Le responsable de traitement a-t-il démontré une supervision adéquate du sous-traitant ? »

Le rapport Black Kite sur les violations tierces 2026 donne l’ampleur du phénomène : 136 violations tierces vérifiées en 2025, 719 victimes nommées, et environ 26 000 entreprises concernées en plus. Le délai médian de divulgation publique était de 73 jours. Parmi les 50 principaux prestataires partagés, 62 % avaient des identifiants d’entreprise dans des logs de stealer et 84 % présentaient des vulnérabilités critiques (CVSS 8+).

Selon les articles 28 et 29 du RGPD, les responsables de traitement doivent recourir uniquement à des sous-traitants présentant des garanties suffisantes et mettre en place des clauses contractuelles contraignantes couvrant les mesures de sécurité, les droits d’audit et la gestion des sous-traitants secondaires. Mais le contrat n’est qu’un point de départ. Les autorités évaluent désormais si les responsables surveillent activement leurs sous-traitants, vérifient la conformité annoncée et maintiennent des contrôles techniques pour détecter tout comportement anormal. Cela impacte directement les programmes de gestion des risques tiers qui se contentent de questionnaires annuels au lieu d’une surveillance continue.

Le rapport Thales Data Threat 2026 explique pourquoi c’est si difficile en pratique : seules 33 % des organisations savent précisément où sont stockées leurs données, et 39 % seulement peuvent toutes les classifier. Si une organisation ne sait pas exactement quelles données ses sous-traitants traitent, elle ne peut pas démontrer la supervision attendue par les autorités.

Corrélation audit-violation : pourquoi la préparation à la conformité prédit la sécurité

L’un des constats les plus marquants du rapport Thales est la relation entre performance à l’audit et historique de violation. Seules 6 % des organisations ayant échoué à un audit de conformité n’ont pas d’historique de violation. À l’inverse, 30 % de celles ayant réussi tous leurs audits n’ont pas connu de violation.

Il s’agit d’une corrélation, pas d’une causalité prouvée. Mais la conclusion est forte : les organisations qui investissent dans la préparation à l’audit—journaux exhaustifs, application cohérente des règles, contrôles documentés—sont aussi celles qui évitent les violations. L’infrastructure d’audit et celle de sécurité se recoupent largement.

Le rapport prévisionnel 2026 de Kiteworks sur la sécurité, la conformité et les risques apporte des précisions. 61 % des organisations tentent de constituer des journaux d’audit exploitables à partir d’une infrastructure d’échange de données fragmentée—des logs cloisonnés issus de la messagerie, du partage de fichiers, de SFTP et de MFT, qui n’ont jamais été conçus pour fonctionner ensemble. Cela crée à la fois des risques (lacunes de visibilité, détection tardive) et des inefficacités opérationnelles (corrélation manuelle, rétention incohérente, efforts dupliqués).

Les 39 % d’organisations ayant adopté une approche unifiée de l’échange de données et des journaux d’audit à valeur probante se retrouvent dans une position radicalement différente lorsqu’une autorité demande des preuves. Elles produisent la chaîne de traçabilité des données sensibles sur tous les canaux d’échange en quelques minutes. Les 61 % restantes doivent corréler des logs issus de plusieurs systèmes—si tant est qu’ils existent et soient complets.

Convergence réglementaire : RGPD, AI Act et DORA

Les tendances d’application du RGPD en 2026 ne sont pas isolées. Elles croisent l’AI Act européen, DORA et NIS 2—créant un environnement de conformité où la supervision des sous-traitants, la gouvernance des données et les contrôles de sécurité sont évalués selon plusieurs cadres simultanément.

La prévision européenne 2026 de Kiteworks révèle que 40 % des organisations européennes citent l’AI Act comme une préoccupation majeure, et 55 % prévoient d’investir dans l’automatisation de la conformité pour gérer la superposition réglementaire. L’AI Act prévoit des amendes administratives pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial, et ses exigences en matière de documentation des données d’entraînement et de transparence des systèmes d’IA créent de nouvelles obligations de preuve qui recoupent directement les exigences de responsabilité du RGPD.

Le Global Cybersecurity Outlook 2026 du World Economic Forum résume la dynamique globale : 31 % des grandes organisations citent la complexité réglementaire et de gouvernance comme principal obstacle à la cyber-résilience. Les organisations qui traitent chaque cadre comme un chantier de conformité séparé croulent sous les efforts dupliqués. Celles qui construisent une architecture de gouvernance unifiée—un moteur de règles, un journal d’audit, une base de preuves—peuvent répondre à plusieurs cadres à partir d’une seule fondation.

L’approche Kiteworks : la conformité prouvée, pas seulement promise

Les schémas d’application en 2026 imposent une exigence commune : les organisations doivent produire la preuve que leurs contrôles fonctionnent réellement, et pas seulement dans la documentation. Les autorités vérifient que les journaux d’audit sont complets, que les règles sont appliquées et que la supervision des sous-traitants est active—et non l’existence d’un document sur l’intranet.

Le Réseau de données privé Kiteworks centralise tous les échanges de données sensibles—messagerie électronique, partage sécurisé de fichiers, SFTP, transfert sécurisé de fichiers, API, formulaires web et intégrations IA—sur une plateforme unique de gouvernance, avec un moteur de règles et un journal d’audit consolidé. Pour le RGPD, chaque échange de données avec un sous-traitant, un partenaire ou un tiers passe par des contrôles d’accès cohérents, chaque action étant journalisée en temps réel, sans limitation ni délai.

Des rapports de conformité préconfigurés pour le RGPD, HIPAA, CMMC 2.0 et d’autres cadres permettent de prouver la préparation à l’audit à la demande. L’architecture à locataire unique élimine les risques de vulnérabilités entre clients. Une sécurité multicouche—pare-feu intégrés, WAF, double chiffrement au repos, architecture zero trust—garantit que la plateforme répond aux exigences de « mesures techniques et organisationnelles appropriées » évaluées par les autorités selon l’article 32.

Lorsqu’une autorité demande la preuve de la supervision des sous-traitants, des pratiques de chiffrement ou de la journalisation des échanges après une violation, la différence entre produire un journal d’audit unifié en quelques minutes ou passer des semaines à reconstituer des preuves fragmentaires, c’est la différence entre un facteur atténuant ou aggravant.

Que doivent faire les responsables conformité et sécurité dès maintenant ?

Premièrement, réalisez un audit de supervision des sous-traitants axé sur les contrôles démontrables, et pas seulement sur les clauses contractuelles. Le rapport Black Kite a révélé que 62 % des principaux prestataires partagés avaient des identifiants dans des logs de stealer. Les contrats sont nécessaires mais insuffisants. Vérifiez que les engagements de sécurité des sous-traitants s’appuient sur une surveillance continue, des revues d’accès et la détection d’anomalies.

Deuxièmement, unifiez la journalisation des audits sur tous les canaux d’échange de données avant le prochain incident, pas après. Si vos logs de messagerie, de transfert de fichiers et d’accès API sont dispersés dans différents systèmes avec des politiques de rétention différentes, vos preuves présenteront des lacunes que les autorités considéreront comme des facteurs aggravants.

Troisièmement, construisez la gouvernance des données des enfants comme un chantier de conformité distinct. Les sanctions contre Reddit, PlayOn et les actions COPPA montrent que les régulateurs considèrent les données des jeunes comme une priorité à part entière. Les organisations traitant des données de mineurs doivent prévoir des DPIA spécifiques, des workflows de consentement et des mécanismes de vérification de l’âge.

Quatrièmement, alignez la conformité RGPD, AI Act, DORA et NIS 2 sur une architecture de gouvernance unifiée. Un moteur de règles, un journal d’audit et une base de preuves uniques réduisent les doublons et fournissent les éléments transversaux attendus par les régulateurs.

Cinquièmement, utilisez la préparation à l’audit comme indicateur de sécurité. Le rapport Thales montre que l’échec à l’audit est corrélé à la probabilité de violation : investir dans la conformité, c’est investir dans la sécurité. Les organisations incapables de produire des journaux d’audit exploitables à la demande ne se contentent pas d’échouer aux contrôles de conformité—elles sont aussi plus exposées aux violations.

La tendance est claire : l’application du RGPD devient plus chirurgicale, axée sur la preuve et sur l’efficacité réelle des contrôles. Les organisations qui attendent une enquête pour découvrir leurs lacunes en matière de preuves paieront ces lacunes lors du calcul de l’amende.

Pour en savoir plus sur la conformité RGPD, réservez votre démo sans attendre !

Foire aux questions

Les autorités considèrent désormais la supervision insuffisante des sous-traitants comme un facteur aggravant dans le calcul des amendes selon les lignes directrices 04/2022 de l’EDPB. Les régulateurs attendent une surveillance active de la conformité des sous-traitants, des clauses contractuelles contraignantes et des contrôles techniques mis en œuvre. Les programmes de gestion des risques tiers reposant uniquement sur des questionnaires annuels ou des protections contractuelles ne suffisent plus lors des enquêtes.

SOC 2 couvre les contrôles de sécurité mais ne répond pas directement aux exigences RGPD pour les sous-traitants (articles 28 et 29). Le rapport Thales Data Threat 2026 montre que seules 33 % des organisations disposent d’une visibilité complète sur leurs données. Il vous faut aussi une documentation RGPD spécifique pour les sous-traitants, des DPIA et la preuve d’une supervision continue, ce que SOC 2 ne couvre pas.

Oui. L’amende d’environ 1,1 million de dollars infligée à PlayOn par la CPPA montre que les régulateurs ciblent spécifiquement les services liés à l’éducation. Si vous traitez des données de mineurs ou via des canaux scolaires, considérez les workflows de consentement, les mécanismes d’opt-out et la minimisation des données comme un chantier de conformité prioritaire, distinct de votre programme général de protection des données.

Des logs fragmentés créent des lacunes dans les preuves, que les autorités considèrent comme des facteurs aggravants. Seules 39 % des organisations disposent de journaux d’audit unifiés et exploitables selon la prévision Kiteworks 2026. Un journal consolidé couvrant la messagerie, le partage de fichiers, SFTP et les échanges API permet de produire la chaîne de traçabilité en quelques minutes—un facteur atténuant direct lors d’une enquête.

Non seulement c’est réaliste, mais c’est de plus en plus nécessaire. Le Global Cybersecurity Outlook 2026 du WEF montre que 31 % des grandes organisations citent la complexité réglementaire comme principal obstacle à la résilience. Une architecture de gouvernance unifiée—moteur de règles, journal d’audit, base de preuves—permet de répondre simultanément au RGPD, à DORA et à NIS 2, en éliminant la duplication des efforts générée par des chantiers séparés.

Ressources complémentaires

  • Article de blogComprendre et respecter les exigences RGPD en matière de localisation des données
  • Article de blogComment envoyer des informations personnelles identifiables (PII) par e-mail en conformité avec le RGPD : guide pour des communications e-mail sécurisées
  • Article de blogAtteindre la conformité RGPD pour être conforme à la nouvelle législation européenne sur la protection des données
  • Article de blogComment partager des fichiers avec des partenaires internationaux sans enfreindre le RGPD
  • Article de blogComment créer des formulaires conformes au RGPD

Foire aux questions

L’enquête DLA Piper sur les amendes RGPD et les violations de données recense 1,2 milliard d’euros d’amendes en 2025, portant le total cumulé depuis 2018 à environ 5,88 milliards d’euros, avec une moyenne de 443 notifications de violation par jour.

Les régulateurs considèrent la gestion insuffisante des sous-traitants, l’absence de DPIA et le manque de contrôles techniques comme des facteurs aggravants selon la méthodologie de calcul en cinq étapes de l’EDPB, ce qui élève directement le montant des amendes au lieu de les traiter comme des problèmes secondaires.

L’amende visait des mesures techniques et organisationnelles jugées insuffisantes pour le niveau de risque des données abonnés, montrant que les autorités évaluent désormais l’adéquation des programmes de sécurité aux types, volumes et expositions réels de données, et non plus seulement l’existence de contrôles.

Seules 6 % des organisations ayant échoué à un audit de conformité n’ont pas d’historique de violation, contre 30 % de celles ayant réussi tous leurs audits, ce qui montre que la préparation à l’audit et la qualité des journaux sont fortement corrélées à de meilleurs résultats en matière de sécurité.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks