Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > L’application du RGPD en 2026 ne tient plus compte de vos politiques

L’application du RGPD en 2026 ne tient plus compte de vos politiques

par Marc ten Eikelder updated mai 25, 2026 Conformité RGPD
temps de lecture: 9 minutes

Points clés à retenir

  1. Les régulateurs ciblent les systèmes, pas la paperasse. L’application du RGPD s’accélère, avec davantage d’amendes prononcées entre 2023 et 2026 qu’au cours des cinq années précédentes réunies. La tendance est de plus en plus à sanctionner l’écart entre la conformité affichée et la réalité opérationnelle.
  2. Deux affaires parallèles donnent le ton. L’amende de 100 M€ infligée par l’AP néerlandaise à MLU et l’enquête de la DPC irlandaise sur Shein envoient le même message : les mécanismes de transfert doivent être prouvés dans les faits, et pas seulement sur le papier.
  3. La preuve prime sur l’assurance. Les régulateurs européens exigent des pistes d’audit exportables, des journaux immuables et la capacité à démontrer la préparation à la réponse. « Nous pensons être conformes » ne suffit plus.
  4. La coordination entre autorités s’accélère. L’ère du « forum shopping » touche à sa fin. Les mêmes raisonnements juridiques apparaissent désormais simultanément à Dublin, La Haye, Hambourg et Paris.
  5. La fragmentation de la conformité est le véritable coût. Les organisations qui utilisent des outils distincts pour la messagerie électronique, le partage sécurisé de fichiers, le transfert sécurisé de fichiers, les formulaires et l’IA ne peuvent pas produire une piste d’audit unifiée. La dette architecturale devient un risque de non-conformité.

La fin de l’ère de la conformité documentaire

En un mois, deux autorités européennes de protection des données ont envoyé des signaux qui devraient amener chaque RSSI, DPO et juriste à repenser leur approche de la conformité. Le 8 mai 2026, l’AP néerlandaise a annoncé publiquement une amende de 100 millions d’euros à l’encontre de MLU B.V. — opérateur néerlandais de l’application Yango et filiale de Yandex — pour des transferts illicites de données d’utilisateurs finlandais et norvégiens vers la Russie, estimant que les Clauses Contractuelles Types seules étaient insuffisantes. Trois jours plus tôt, la DPC irlandaise lançait une enquête sur Infinite Styles Services (Shein Ireland) concernant des transferts de données UE et EEE vers la Chine.

Deux régulateurs. Deux destinations à haut risque. Une théorie juridique : les garanties contractuelles ne remplacent pas le contrôle architectural.

Ces deux affaires s’inscrivent dans une tendance plus large qui montre que les amendes RGPD dépassent désormais 7,1 milliards d’euros à travers plus de 1 400 décisions depuis 2018, avec davantage d’amendes prononcées entre janvier 2023 et mars 2026 qu’au cours des cinq années précédentes réunies. Cette accélération s’explique par trois facteurs : la montée en compétence des régulateurs, le renforcement des effectifs des autorités, et la prise en compte des organisations qui ont longtemps ignoré le RGPD. Les violations de la base légale de l’article 6 représentent désormais environ un tiers des actions, et l’initiative coordonnée de l’EDPB en 2026 ciblera la conformité en matière de transparence dans plusieurs secteurs et juridictions.

Ce qui relie ces signaux d’application, c’est une thèse réglementaire qui s’affirme depuis Schrems II : la conformité doit être démontrée, pas simplement revendiquée. Les actions néerlandaise et irlandaise en sont la traduction opérationnelle. Les amendes sanctionnent ceux qui en font une question théorique.

Le message pour les responsables de traitement est clair, même s’il dérange. L’ère de la conformité documentaire au RGPD est révolue. Place à l’ère de la preuve et de l’architecture. Les organisations qui anticipent ce changement dépenseront moins, auditeront plus vite et résisteront mieux à l’examen des autorités que celles qui continuent à accumuler des classeurs.

Quand la documentation de conformité s’éloigne de la réalité opérationnelle

Les affaires de 2026 partagent un point commun qui va au-delà de toute théorie d’application : elles sanctionnent l’écart entre ce que les organisations documentent et ce que leurs systèmes font réellement. Trois schémas se retrouvent dans les décisions récentes des autorités et les analyses d’experts.

  • Une documentation qui ne reflète pas la réalité. Le registre des activités de traitement d’un responsable liste des flux de données qui ne correspondent plus à l’architecture déployée. Une AIPD a été réalisée pour la phase pilote mais jamais actualisée lors du passage à l’échelle. L’inventaire des fournisseurs date de six mois. Quand l’autorité demande des preuves, la documentation dit une chose, les systèmes une autre. Le régulateur conclut à une « mise en scène » documentaire.
  • Des injonctions correctives ignorées. Une action antérieure de l’autorité exigeait des mesures précises : authentification renforcée, accès restreint, délais de notification en cas de violation. Les mesures ont été promises, mais leur mise en œuvre est restée partielle. Lorsqu’un nouvel incident survient, le régulateur réagit non seulement à l’incident, mais aussi au fait que l’injonction précédente a été considérée comme facultative.
  • Un risque reconnu mais non maîtrisé. Les documents internes — présentations au conseil, rapports d’audit, constats DSPM — montrent que l’organisation avait identifié le risque. Les contrôles n’ont pas suivi. Le scénario « on savait mais on n’a rien fait » est désormais le favori du régulateur, car il justifie aussi les sanctions les plus lourdes.

Chaque schéma pointe la même cause racine : la conformité considérée comme un exercice documentaire, et non opérationnel. La solution ne passe pas par de meilleures politiques, mais par des systèmes capables de produire les preuves promises par ces politiques.

L’analyse des tendances d’application 2026 montre comment cela se traduit dans le calcul des sanctions. Les régulateurs utilisent de plus en plus le raisonnement « on savait mais on n’a pas agi » car il justifie des amendes plus élevées qu’une simple défaillance technique. Une mauvaise configuration est une erreur. Un risque documenté mais non traité est un choix. Le coefficient de l’amende reflète cette différence, et la documentation interne produite pour la gouvernance devient la preuve utilisée par le régulateur pour évaluer ce choix.

Pourquoi les transferts transfrontaliers sont le cas d’école

Les transferts transfrontaliers concentrent tous les échecs de gouvernance en un seul point de décision : la base légale, les garanties techniques, la diligence fournisseur, le Transfer Impact Assessment, la préparation à répondre à une demande d’accès gouvernementale. Tout converge au moment où une donnée personnelle franchit une frontière.

C’est pourquoi l’AP néerlandaise a ciblé MLU (Yango) et la DPC irlandaise Shein. Le transfert est le révélateur visible du système de gouvernance sous-jacent. Si le mécanisme de transfert ne tient pas la route, le reste de la gouvernance est présumé faible.

Les données du rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données illustrent l’ampleur du problème. Seules 36 % des organisations ont une visibilité sur la gestion des données par leurs partenaires dans les systèmes basés sur l’IA. 29 % citent les transferts transfrontaliers via des fournisseurs d’IA comme principal risque de confidentialité. La prise de conscience est forte. Le contrôle ne suit pas.

Le rapport prévisionnel 2026 décrit l’évolution : on passe de « où sont stockées les données ? » à « où sont-elles traitées, qui peut y accéder, et pouvez-vous le prouver ? ». La souveraineté du stockage répond à la première question, et la plupart des grandes organisations y sont parvenues. La souveraineté du traitement répond aux deux suivantes. Les cas MLU et Shein se jouent entièrement sur ces deux points.

Les charges de travail IA compliquent tout. Une requête peut être traitée dans une juridiction différente de celle du stockage. Le modèle peut être hébergé dans un troisième pays. Le fine-tuning peut avoir lieu dans un quatrième. Le résultat peut traverser plusieurs frontières avant de revenir. Les contrôles classiques de souveraineté ne saisissent pas cette distribution, car ils supposent que la donnée a un emplacement fixe. L’IA part du principe inverse.

La coordination entre autorités ferme l’ère du forum shopping

Pendant des années, les organisations ont profité de l’incohérence entre autorités européennes. La DPC irlandaise était lente. Les autorités allemandes, agressives mais fragmentées. Le Garante italien prenait des décisions audacieuses souvent annulées par les tribunaux. Chaque juridiction avait ses préférences et ses délais.

L’analyse des tendances 2026 montre que cet écart se réduit. Les autorités se coordonnent via l’EDPB, partagent leurs raisonnements et alignent leurs priorités. L’argumentaire de l’AP néerlandaise dans MLU est cohérent avec les positions de l’EDPB sur Schrems II. L’enquête Shein de la DPC irlandaise suit la même logique. La CNIL, le BfDI et l’AP aboutissent de plus en plus aux mêmes conclusions sur des faits similaires.

Cela compte car cela supprime l’avantage stratégique du forum shopping pour le siège européen. Une multinationale qui choisit Dublin pour la clémence supposée de la DPC se retrouve aujourd’hui face à une DPC qui enquête sur Shein selon la même théorie que l’AP contre MLU. Le forum « amical » est devenu le forum coordonné.

Cela compte aussi car la coordination accélère la diffusion des décisions. La théorie MLU apparaîtra dans d’autres actions en quelques mois, pas en années. Les responsables qui attendent de voir si le précédent tient risquent d’être les prochains mis en cause.

Conséquence pratique pour les équipes conformité : il faut surveiller toutes les autorités en même temps, pas seulement la locale. Le registre des risques doit intégrer qu’une théorie adoptée par une autorité sera reprise par les autres dans un délai court.

La fragmentation : une dette architecturale

La plupart des organisations ne peuvent pas produire la preuve unifiée attendue par les régulateurs européens car leur infrastructure d’échange de données est fragmentée. La messagerie électronique est sur un système. Le partage sécurisé de fichiers sur un autre. Le transfert sécurisé de fichiers sur un troisième. Les serveurs SFTP tournent sur des équipements anciens. Les formulaires collectent les données personnelles via des solutions ponctuelles. Les charges de travail IA consomment les données via une couche d’intégration supplémentaire.

Chaque système a sa propre piste d’audit. Chaque intégration a sa faille. Quand une autorité demande le parcours complet d’un jeu de données personnelles — qui y a accédé, quel fournisseur l’a traitée, dans quelle juridiction elle a circulé — il faut corréler cinq ou six sources de logs différentes. Cela prend des semaines. L’autorité veut la réponse en quelques jours.

C’est ce que le rapport prévisionnel 2026 de Kiteworks décrit : la dette architecturale devient un risque de conformité. 33 % des organisations n’ont pas de pistes d’audit exploitables comme preuve. Ce n’est pas un problème d’absence de logs, mais de fragmentation. Chaque système produit des données ; aucun ne produit la preuve.

Le rapport sur la souveraineté européenne de Kiteworks décrit une alternative consolidée : une plateforme zéro trust unique où la messagerie électronique, le partage sécurisé de fichiers, le transfert sécurisé de fichiers, SFTP, les formulaires et les charges de travail IA partagent une politique unifiée et un journal d’audit consolidé. C’est la réponse architecturale au problème systémique de gouvernance que les autorités sanctionnent aujourd’hui. Ce n’est pas la seule réponse, mais c’est celle qui s’aligne le mieux sur la direction prise par les régulateurs.

L’approche Kiteworks : une seule piste d’audit, plusieurs cadres

Kiteworks remplace les solutions ponctuelles fragmentées par un cadre de gouvernance unifié qui produit la documentation prête à l’audit exigée par les régulateurs, les auditeurs et les clients. Le Réseau de données privé regroupe la messagerie électronique, le partage sécurisé de fichiers, le transfert sécurisé de fichiers, SFTP et les formulaires dans une plateforme unique où chaque fichier est contrôlé, tracé et protégé tout au long de son cycle de vie.

L’architecture est essentielle pour la conformité car elle produit une preuve centralisée. Des journaux d’audit immuables et centralisés enregistrent qui a accédé à quoi, quand, pour le compte de qui et sous quelle politique. Le reporting automatisé — avec des modèles préconfigurés pour le RGPD, DORA, NIS 2, PIPEDA, PDPL, etc. — fournit les éléments exportables qu’une autorité attend à la demande, et non lors d’un audit trimestriel.

La dimension souveraineté est assurée au niveau architectural. La gestion des clés de chiffrement reste dans la juridiction concernée. Le géorepérage est appliqué via des contrôles IP configurables. Les options de déploiement flexibles — sur site, cloud privé, cloud hybride, FedRAMP — permettent de conserver les contenus sensibles dans la juridiction d’origine, que ce soit l’UE, le Canada, le Moyen-Orient ou les États-Unis. Les contrôles ne dépendent pas de la bonne volonté d’un sous-traitant hors UE, mais de l’architecture même du chemin de la donnée.

Pour les organisations qui se préparent à la prochaine vague d’application du RGPD, la conséquence est claire. Les mêmes investissements qui satisfont au RGPD couvrent aussi DORA, NIS 2, PIPEDA, PDPL et les exigences de gouvernance de données de l’AI Act européen. L’approche « une plateforme, plusieurs cadres » n’est pas un argument marketing, mais la réponse opérationnelle à un environnement réglementaire qui converge vers des exigences de preuve communes sur des cadres qui se recoupent.

Ce que les organisations doivent faire avant la prochaine enquête d’une autorité

  1. Commencez par auditer l’écart entre documentation et réalité. Comparez le registre des traitements, les AIPD et les inventaires fournisseurs avec ce qui est réellement déployé. Selon le rapport prévisionnel 2026 de Kiteworks, 33 % des organisations n’ont pas de pistes d’audit exploitables — ce qui signifie généralement que la documentation et les systèmes ne sont plus alignés. Identifiez tous les écarts avant qu’un régulateur ne le fasse.
  2. Ensuite, consolidez la piste d’audit. La fragmentation des logs est la cause structurelle de la plupart des échecs de conformité. Les données du rapport prévisionnel 2026 de Kiteworks montrent que la consolidation est particulièrement rentable lors d’enquêtes transfrontalières, où une preuve unifiée réduit le temps de réponse de plusieurs semaines à quelques jours. Un journal immuable unique pour tous les canaux d’échange de données est aujourd’hui l’investissement conformité le plus défendable.
  3. Troisièmement, traitez les Transfer Impact Assessments comme des exercices architecturaux, pas juridiques. Les TIA qui documentent les risques sans décrire les contrôles techniques mis en place ne résisteront pas à l’examen post-MLU. Selon le rapport prévisionnel 2026 de Kiteworks, seules 36 % des organisations ont une visibilité sur la gestion des données IA par leurs partenaires. Ajoutez le chiffrement avec clés détenues par le responsable de traitement, la localisation des données et la journalisation des accès à chaque TIA.
  4. Quatrièmement, surveillez activement l’application des règles par toutes les autorités. La coordination des autorités européennes signifie qu’une théorie adoptée dans une juridiction sera reprise ailleurs en quelques mois. Selon le rapport prévisionnel 2026 de Kiteworks, les organisations dotées de programmes d’automatisation de la conformité absorbent plus vite les signaux réglementaires. Intégrez cette veille dans le workflow GRC, pas seulement dans le juridique.
  5. Cinquièmement, testez votre plan de réponse. Simulez une demande d’accès gouvernementale. Simulez une défaillance fournisseur dans une juridiction à risque. Simulez une enquête d’autorité exigeant la preuve de la souveraineté du traitement sous 72 heures. La décision de l’AP néerlandaise montre que la préparation documentée distingue les organisations qui contiennent le risque de celles qui le subissent.
  6. Enfin, alignez le conseil d’administration sur la nouvelle donne. Les amendes RGPD plafonnées à 4 % du chiffre d’affaires mondial, combinées au maximum de 7 % de l’AI Act européen, font de la conformité un enjeu de gestion des risques d’entreprise. L’amende MLU, l’enquête Shein et la tendance générale sont désormais des sujets budgétaires, pas seulement de conformité.

La prochaine enquête ne préviendra pas. L’architecture doit être prête en amont.

Foire aux questions

La coordination entre autorités supprime le forum shopping. Une théorie adoptée par une autorité sera appliquée par les autres en quelques mois. Les données du rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données montrent que 33 % des organisations n’ont pas de pistes d’audit exploitables. Intégrez la veille réglementaire dans les workflows GRC, pas seulement dans le juridique, et consolidez les logs pour pouvoir fournir des preuves à la demande lors de toute enquête.

Des logs isolés sont de la télémétrie ; des logs unifiés sont une preuve. Le rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données montre que 33 % des organisations n’ont pas de pistes d’audit exploitables, généralement parce que les logs sont fragmentés entre la messagerie électronique, le partage sécurisé de fichiers, le transfert sécurisé de fichiers et les outils IA. Les régulateurs veulent des preuves corrélées en quelques jours. La centralisation des logs réduit le temps de réponse de plusieurs semaines à quelques jours et couvre RGPD, DORA, NIS 2 et PIPEDA simultanément.

Les AIPD doivent refléter l’architecture déployée, pas celle prévue. Le rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données indique que 36 % des organisations ont une visibilité sur la gestion des données IA par leurs partenaires. Les autorités vérifient de plus en plus si l’AIPD décrit bien le système réellement en production. Réalisez un audit documentation/réalité, actualisez les AIPD pour intégrer les flux IA et documentez les contrôles techniques mis en place pour réduire les risques identifiés.

La décision de l’AP néerlandaise cible la souveraineté du traitement, pas seulement celle du stockage. Le rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données montre que 29 % des organisations citent les transferts transfrontaliers via des fournisseurs IA comme principal risque de confidentialité. Documentez où chaque fournisseur traite les données, qui peut y accéder selon la législation applicable, et si les clés de chiffrement sont détenues hors du pays de destination. Les seules Clauses Contractuelles Types ne suffisent plus.

Le secteur de la santé cumule les exigences réglementaires, ce qui renforce les besoins en preuve. Le rapport prévisionnel 2026 de Kiteworks sur la sécurité et la conformité des données montre que 33 % des organisations n’ont pas de pistes d’audit exploitables. Un cadre de gouvernance unifié couvrant à la fois l’article 30 du RGPD, la Security Rule HIPAA et les exigences IA émergentes permet de combler l’écart entre documentation et réalité ciblé par les autorités et le HHS OCR.

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks