Quelle est l'exigence de notification de violation de 72 heures du RGPD ?

L'article 33 du RGPD exige que les responsables du traitement notifient l'autorité de contrôle compétente d'une violation de données personnelles dans les 72 heures suivant la prise de connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les personnes.

Quand les personnes concernées doivent-elles être informées d'une violation en vertu du RGPD ?

L'article 34 exige que les responsables du traitement communiquent une violation aux personnes concernées sans retard injustifié lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.

Que doit inclure un accord de traitement des données (ATD) en vertu de l'article 28 du RGPD ?

L'article 28 exige que les ATD incluent au minimum : l'objet et la durée du traitement, la nature et la finalité, les types de données personnelles, les catégories de personnes concernées, les obligations du sous-traitant (traiter uniquement sur instructions documentées, assurer la confidentialité, mettre en œuvre des mesures de sécurité, aider à la notification des violations, supprimer les données après la mission et permettre les audits).

Quelles sont les sanctions en cas de non-conformité au RGPD ?

Les violations du RGPD peuvent entraîner des amendes allant jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. En 2025, plus de 1,1 milliard d'euros d'amendes RGPD ont été infligés, notamment TikTok (530 M€) et Meta (479 M€). Les personnes concernées ont également le droit de réclamer une indemnisation pour les dommages matériels et immatériels.

Comment un Trust Center aide-t-il à la conformité RGPD ?

Un Trust Center joue un double rôle : en tant que responsable du traitement, il fournit un cadre structuré pour évaluer et surveiller vos propres sous-traitants. En tant que sous-traitant, il démontre votre posture de conformité à vos clients avec des listes de sous-traitants ultérieurs, l'hébergement d'ATD et des mesures techniques et organisationnelles transparentes.

Conformité RGPD : Guide complet pour 2026 (Articles 28, 32, 33, 34)

Published 18 mars 2026

By Anna Bley

Conformité RGPD : Guide complet pour 2026 (Articles 28, 32, 33, 34)

Q: Qu'est-ce que la conformité RGPD ?

La conformité RGPD signifie qu'une organisation traite les données personnelles des résidents de l'UE/EEE conformément au Règlement (UE) 2016/679. Cela inclut : une base légale pour chaque activité de traitement, des mesures de sécurité techniques et organisationnelles appropriées, le respect des droits des personnes concernées, la tenue de registres des activités de traitement et la notification des violations de données à l'autorité de contrôle dans les 72 heures.

Q: Qui doit se conformer au RGPD ?

Toute organisation qui traite des données personnelles de personnes résidant dans l'UE ou l'EEE doit se conformer au RGPD — quelle que soit la localisation de l'organisation elle-même. Cela inclut les entreprises basées hors de l'UE qui offrent des biens ou des services aux résidents de l'UE ou surveillent leur comportement. Les entreprises SaaS B2B sont généralement à la fois responsables du traitement (pour leurs propres données clients) et sous-traitants (pour les données que leurs clients stockent via la plateforme).

Guide de conformité RGPD 2026 : checklist, exigences des art. 28/32/33/34, dernières amendes (plus de 7,1 Md€), et comment démontrer la conformité en tant que responsable et sous-traitant.

RGPD

Protection des données

Vie privée

Conformité

Conformité RGPD : Guide complet pour 2026

Le Règlement (UE) 2016/679 est applicable depuis le 25 mai 2018. Le total cumulé des amendes dépasse désormais 7 milliards d'euros — dont plus de 1,1 milliard infligés en 2025 seulement (374 décisions individuelles). Pour les entreprises B2B opérant dans l'UE, la conformité au RGPD n'est pas facultative : elle régit la manière dont vous collectez, traitez, stockez et protégez les données personnelles de chaque résident européen que votre activité touche.

Ce guide couvre tout ce que vous devez savoir : qui doit se conformer, la checklist de conformité 2026, les obligations essentielles des articles 28, 32, 33 et 34, les conséquences en cas de manquement, et comment démontrer la conformité aux clients et aux autorités de contrôle.

Aller directement à :

Qui doit se conformer au RGPD ?
Checklist de conformité RGPD pour 2026
Article 32 : Sécurité du traitement
Articles 33 et 34 : Notification des violations
Article 28 : Accords de traitement des données
Amendes et application du RGPD en 2025–2026
Logiciels de conformité RGPD
SMSI et Trust Center : Les deux faces d'une même médaille

Qu'est-ce que la conformité RGPD ?

La conformité RGPD signifie que votre organisation traite les données personnelles des résidents de l'UE/EEE conformément au Règlement (UE) 2016/679 — le Règlement général sur la protection des données. Le règlement s'applique dès lors que des données personnelles (toute information relative à une personne physique identifiée ou identifiable) sont collectées, stockées, utilisées ou transférées.

La conformité repose sur quatre piliers :

Licéité : Chaque activité de traitement nécessite une base légale (consentement, contrat, obligation légale, intérêts vitaux, mission d'intérêt public ou intérêts légitimes au titre de l'article 6)
Transparence : Les personnes concernées doivent savoir quelles données sont collectées, pourquoi et pour quelle durée (articles 12–14)
Sécurité : Des mesures techniques et organisationnelles appropriées protègent les données personnelles (article 32)
Responsabilité : Les organisations doivent être en mesure de démontrer leur conformité à tout moment (article 5, paragraphe 2)

Pour les entreprises SaaS et technologiques B2B, la conformité est particulièrement complexe, car la plupart occupent simultanément deux rôles : responsable du traitement (pour leurs propres données clients) et sous-traitant (pour les données que leurs clients confient à leur plateforme). Chaque rôle emporte des obligations distinctes.

Qui doit se conformer au RGPD ?

Le RGPD s'applique à toute organisation qui :

Est établie dans l'UE ou l'EEE, quelle que soit la localisation du traitement des données
Est établie hors de l'UE mais offre des biens ou des services aux résidents de l'UE/EEE, ou surveille leur comportement (le « critère de ciblage » de l'article 3, paragraphe 2)

Il n'existe pas de seuil de taille minimum. Une startup SaaS de cinq personnes ayant des clients dans l'UE doit se conformer au RGPD. Une entreprise américaine servant un seul client européen doit se conformer.

Les obligations spécifiques dépendent de votre rôle :

Rôle	Définition	Obligations principales
Responsable du traitement	Détermine les finalités et les moyens du traitement	Base légale, notices de confidentialité, droits des personnes concernées, ATD avec les sous-traitants, AIPD
Sous-traitant	Traite des données pour le compte d'un responsable	ATD avec le responsable, mesures de sécurité, notification des violations au responsable, règles relatives aux sous-traitants ultérieurs
Les deux	La plupart des entreprises SaaS B2B	Toutes les obligations ci-dessus dans chaque direction

Checklist de conformité RGPD pour 2026

Les autorités de contrôle attendent en 2026 une conformité opérationnelle et démontrable — pas seulement des politiques. Voici ce qui doit être en place :

1. Cartographie des données et registres des activités de traitement (article 30)

Tenez un inventaire complet de chaque activité de traitement : quelles données sont collectées, auprès de qui, dans quel but, sur quelle base légale, pour quelle durée, et quels sous-traitants les reçoivent. L'article 30 rend les registres des activités de traitement (RAT) obligatoires pour la plupart des organisations.

2. Base légale pour chaque activité de traitement (article 6)

Documentez la base légale de chaque activité de traitement avant son démarrage. Le consentement doit être libre, spécifique, éclairé et univoque — et révocable à tout moment. Les intérêts légitimes nécessitent un test de mise en balance. Un traitement sans base légale documentée peut déclencher la catégorie supérieure d'amendes.

3. Notices de confidentialité (articles 12–14)

Fournissez aux personnes concernées des informations claires et compréhensibles au moment de la collecte. L'action coordonnée de contrôle du CEPD pour 2026 porte spécifiquement sur les obligations de transparence des articles 12 à 14, faisant de cela une priorité pour les autorités de contrôle, notamment la CNIL en France.

4. Mécanismes pour les droits des personnes concernées (articles 15–22)

Mettez en place des processus pour répondre aux demandes d'accès (article 15), de rectification (article 16), d'effacement (article 17), de limitation (article 18), de portabilité (article 20) et d'opposition (article 21) dans un délai d'un mois. L'action coordonnée du CEPD 2025 portait sur le droit à l'effacement — les organisations sans procédures de suppression opérationnelles ont été sanctionnées.

5. Accords de traitement des données avec tous les sous-traitants (article 28)

Tout prestataire tiers qui traite des données personnelles en votre nom nécessite un ATD signé. Cela inclut les fournisseurs cloud, les outils d'analyse, les plateformes CRM, les prestataires de paiement et tous les sous-traitants. Voir les exigences de l'article 28 en détail ci-dessous.

6. Mesures techniques et organisationnelles (article 32)

Mettez en œuvre le chiffrement, la pseudonymisation, le contrôle d'accès, l'authentification multifacteur et des tests de sécurité réguliers. Documentez ces mesures en tant que Mesures Techniques et Organisationnelles (MTO). Voir les exigences de l'article 32 ci-dessous.

7. Analyses d'impact relatives à la protection des données pour les traitements à risque élevé (article 35)

Réalisez une AIPD avant tout traitement « susceptible d'engendrer un risque élevé » pour les personnes. Les catégories à risque élevé comprennent le traitement à grande échelle de données sensibles, le profilage systématique et les nouvelles technologies. Les AIPD doivent identifier les risques et documenter les mesures d'atténuation adoptées.

8. Désignation d'un délégué à la protection des données (article 37)

Désignez un DPD si vos activités principales impliquent une surveillance systématique à grande échelle des personnes ou un traitement à grande échelle de catégories particulières de données. Les autorités publiques doivent toujours désigner un DPD.

9. Préparation à la détection et à la notification des violations (articles 33–34)

Disposez d'un processus de réponse aux incidents testé, capable de détecter rapidement les violations, d'évaluer leur niveau de risque et de notifier l'autorité de contrôle dans les 72 heures. Voir les articles 33–34 en détail ci-dessous.

10. Garanties pour les transferts internationaux de données (articles 44–49)

Les données personnelles ne peuvent être transférées hors de l'UE/EEE que vers des pays bénéficiant d'une décision d'adéquation, ou avec des garanties appropriées (clauses contractuelles types, règles d'entreprise contraignantes). Suite à l'amende de 530 millions d'euros infligée à TikTok en mai 2025 pour des transferts illicites vers la Chine, les autorités de contrôle examinent activement les flux transfrontaliers de données.

Là où un SMSI contribue — et là où le RGPD va plus loin

Un bon Système de Management de la Sécurité de l'Information (SMSI) fournit la structure pour les mesures techniques et organisationnelles requises par le RGPD. Mais le RGPD impose deux niveaux d'exigences supplémentaires qu'un SMSI seul ne peut couvrir :

Obligations opérationnelles de notification de violation au titre des articles 33 et 34 — dans des délais externes stricts
Obligations contraignantes dans la relation de sous-traitance au titre de l'article 28 — contractuelles, continues et auditables

Article 32 : Sécurité du traitement

L'article 32 exige des « mesures techniques et organisationnelles appropriées » pour assurer un niveau de sécurité adapté au risque. Les mesures pertinentes comprennent :

La pseudonymisation et le chiffrement des données personnelles
La capacité à assurer la confidentialité, l'intégrité, la disponibilité et la résilience continues des systèmes
La capacité à rétablir la disponibilité des données personnelles et l'accès à celles-ci dans des délais appropriés
Une procédure de test, d'analyse et d'évaluation réguliers de l'efficacité des mesures

Un SMSI soutient l'article 32. Cependant, les articles 28, 33 et 34 imposent des exigences à caractère d'interface qu'un SMSI en tant que solution interne ne peut couvrir.

Articles 33 et 34 : Notification des violations de données personnelles

Le RGPD introduit un régime de notification à deux niveaux pour les violations de données personnelles.

Notification à l'autorité de contrôle (article 33)

En cas de violation de données personnelles, le responsable du traitement doit notifier l'autorité de contrôle compétente sans retard injustifié et, si possible, 72 heures au plus tard après en avoir pris connaissance — sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques.

Lorsque la notification n'est pas faite dans les 72 heures, les raisons du retard doivent être fournies.

Contenu de la notification en vertu de l'article 33, paragraphe 3 :

Élément	Description
Nature de la violation	Description de la nature de la violation, incluant si possible les catégories et le nombre approximatif de personnes concernées et d'enregistrements
Coordonnées	Nom et coordonnées du délégué à la protection des données ou autre point de contact
Conséquences probables	Description des conséquences probables de la violation
Mesures prises	Description des mesures prises ou proposées par le responsable du traitement pour remédier à la violation et en atténuer les effets

L'article 33, paragraphe 4, permet explicitement la notification par étapes : lorsque les informations ne peuvent être fournies en même temps, elles peuvent l'être par étapes sans retard supplémentaire injustifié.

Obligation du sous-traitant : En vertu de l'article 33, paragraphe 2, le sous-traitant doit notifier le responsable du traitement sans retard injustifié après avoir pris connaissance d'une violation. Le RGPD ne précise pas de délai concret — cependant, les lignes directrices du CEPD recommandent une notification aussi rapide que possible. Les notifications quotidiennes de violations dans l'UE ont dépassé 400 par jour en 2025 pour la première fois depuis l'entrée en vigueur du règlement.

Communication aux personnes concernées (article 34)

Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement doit communiquer la violation aux personnes concernées sans retard injustifié.

La communication doit décrire en termes clairs et simples la nature de la violation et inclure au minimum :

Le nom et les coordonnées du délégué à la protection des données
Les conséquences probables de la violation
Les mesures prises ou proposées pour remédier à la violation et en atténuer les effets

Exceptions à l'obligation de communication (article 34, paragraphe 3) :

Exception	Explication
Mesures de protection techniques	Le responsable du traitement a mis en œuvre des mesures appropriées (ex. : chiffrement) qui rendent les données inintelligibles aux personnes non autorisées
Mesures ultérieures	Des mesures ultérieures garantissent que le risque élevé n'est plus susceptible de se matérialiser
Effort disproportionné	Dans ce cas, une communication publique ou une mesure similaire est effectuée à la place

Article 28 : Accords de traitement des données

Le RGPD établit des exigences contraignantes pour le travail avec les sous-traitants.

Sélection des sous-traitants (article 28, paragraphe 1)

Le responsable du traitement ne peut faire appel qu'à des sous-traitants qui « présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées de manière que le traitement réponde aux exigences du présent règlement et garantisse la protection des droits de la personne concernée. »

Cette formulation établit une obligation de diligence raisonnable dans la sélection — non seulement lors de la signature du contrat, mais de manière continue.

Exigences contractuelles (article 28, paragraphe 3)

Le traitement par un sous-traitant doit être régi par un contrat ou autre acte juridique qui lie le sous-traitant au responsable du traitement.

Contenu minimum de l'accord de traitement des données :

Exigence	Base juridique
Traitement uniquement sur instructions documentées du responsable	Art. 28(3)(a)
Engagement de confidentialité du personnel autorisé	Art. 28(3)(b)
Mise en œuvre de toutes les mesures requises en vertu de l'article 32	Art. 28(3)(c)
Respect des conditions relatives aux sous-traitants ultérieurs	Art. 28(3)(d)
Assistance pour les droits des personnes concernées	Art. 28(3)(e)
Assistance pour les obligations en vertu des articles 32–36	Art. 28(3)(f)
Suppression ou restitution des données après la fin du contrat	Art. 28(3)(g)
Mise à disposition de toutes les informations pour démontrer la conformité, permettre les audits	Art. 28(3)(h)

Sous-traitance ultérieure (article 28, paragraphes 2 et 4)

Le sous-traitant ne peut engager un autre sous-traitant sans l'autorisation écrite préalable, spécifique ou générale du responsable du traitement.

En cas d'autorisation écrite générale, le sous-traitant doit informer le responsable de tout changement prévu et lui donner la possibilité de s'y opposer.

Lorsqu'un autre sous-traitant est engagé, les mêmes obligations de protection des données doivent être imposées. Le sous-traitant initial reste responsable envers le responsable de la conformité du sous-traitant ultérieur.

Pourquoi la diligence raisonnable n'est pas un exercice ponctuel

Le RGPD parle de sélectionner un sous-traitant approprié — mais les obligations du responsable ne s'arrêtent pas à la signature du contrat :

L'article 28(3)(h) oblige le sous-traitant à mettre à disposition toutes les informations nécessaires
L'article 32(1)(d) exige un processus de « test, analyse et évaluation réguliers » de l'efficacité des mesures
La responsabilité en vertu de l'article 5(2) exige que le responsable puisse démontrer la conformité à tout moment

Sanctions (article 83)

Le RGPD prévoit un système de sanctions à deux niveaux :

Violation	Amende	Base juridique
Obligations des responsables et sous-traitants (Art. 8, 11, 25–39, 42, 43)	Jusqu'à 10 millions d'euros ou 2 % du CA annuel	Art. 83(4)
Principes de traitement, droits des personnes, transferts vers des pays tiers (Art. 5–7, 9, 12–22, 44–49)	Jusqu'à 20 millions d'euros ou 4 % du CA annuel	Art. 83(5)
Non-respect d'une injonction de l'autorité de contrôle	Jusqu'à 20 millions d'euros ou 4 % du CA annuel	Art. 83(6)

Le montant le plus élevé s'applique dans chaque cas.

Amendes et application du RGPD en 2025–2026

L'application du RGPD s'est considérablement accélérée. Le total cumulé des amendes depuis mai 2018 dépasse 7 milliards d'euros, avec plus de 1,1 milliard d'euros infligés en 2025 (374 décisions individuelles) — et les notifications quotidiennes de violations dépassant 400 pour la première fois.

Principales actions répressives en 2025

TikTok — 530 millions d'euros (mai 2025) La Commission de protection des données irlandaise (DPC) a infligé une amende de 530 millions d'euros à TikTok pour le transfert illicite de données personnelles d'utilisateurs de l'EEE vers des serveurs en Chine, en violation des règles du chapitre V. Des ingénieurs en Chine pouvaient accéder de manière routinière aux données sensibles des ressortissants de l'UE.

Meta — 479 millions d'euros (2025) Un tribunal madrilène a constaté que Meta avait traité les données des utilisateurs de manière illicite, lui conférant un avantage déloyal sur le marché de la publicité en ligne.

Vodafone Allemagne — 45 millions d'euros (2025) Le commissaire fédéral allemand à la protection des données (BfDI) a infligé deux amendes : 15 millions d'euros pour des contrôles internes de protection des données insuffisants et 30 millions d'euros pour des failles de sécurité dans la gestion des données clients.

Priorité d'application 2026 : La transparence (articles 12–14)

Suite à l'action coordonnée du CEPD en 2025 sur le droit à l'effacement, le CEPD a annoncé le 14 octobre 2025 que l'action coordonnée de contrôle 2026 portera sur les obligations de transparence et d'information des articles 12 à 14 du RGPD. En France, la CNIL intensifie ses contrôles sur la qualité des informations délivrées aux personnes concernées — les politiques de confidentialité insuffisantes sont désormais dans le collimateur.

Logiciels de conformité RGPD : Ce qu'il faut rechercher

La complexité de la conformité au RGPD — cartographie des données, gestion du consentement, suivi des ATD, notification des violations et collecte continue de preuves — a engendré un marché mature pour les logiciels de conformité. Les fonctionnalités clés à évaluer :

Fonctionnalité	Pourquoi elle est importante
Cartographie des données / automatisation du RAT	La tenue manuelle des registres de l'article 30 est source d'erreurs
Gestion des ATD et des sous-traitants	L'article 28 exige une surveillance continue des sous-traitants
Gestion du consentement	Les journaux de consentement doivent être auditables ; les flux de cookies ne doivent pas utiliser de dark patterns
Workflows de réponse aux violations	Le délai de 72 heures nécessite des modèles de notification prédéfinis
Collecte continue de preuves	La responsabilité de l'article 5(2) nécessite des preuves disponibles en permanence
Gestion des droits des personnes concernées	Les workflows DSAR doivent répondre dans un délai d'un mois
Suivi des transferts transfrontaliers	Après l'affaire TikTok, les évaluations d'impact sur les transferts nécessitent des révisions régulières

Le Trust Center d'Orbiq répond au défi spécifique de démontrer la conformité RGPD à l'extérieur — vis-à-vis des clients, des prospects et des auditeurs — grâce à un hub de documentation centralisé et toujours à jour.

SMSI et Trust Center : Les deux faces d'une même médaille

Les exigences du RGPD ne peuvent être satisfaites avec un seul système. La gouvernance nécessite une structure — un SMSI est indispensable pour cela. Cependant, les articles 28, 33 et 34 exigent en outre des capacités opérationnelles :

Notification de violation dans les 72 heures — aux autorités de contrôle et, le cas échéant, aux personnes concernées
Documentation de toutes les violations — y compris celles ne faisant pas l'objet d'une notification
Évaluation et surveillance structurées des sous-traitants
Diligence raisonnable démontrable dans la sélection et la surveillance continue des prestataires

Les deux directions d'un Trust Center

Un Trust Center ne soutient pas seulement l'évaluation entrante de vos propres prestataires — il résout aussi un problème pratique du côté sortant : les organisations agissant en tant que sous-traitants doivent fournir à leurs clients les informations requises en vertu de l'article 28(3)(h).

En pratique : chaque client potentiel ou existant peut — et va — demander des preuves. Un Trust Center consolide cette documentation en un lieu professionnel :

Document	Objectif	Référence RGPD
Accord de traitement des données (ATD)	Contrat standard pour signature	Art. 28(3)
Mesures techniques et organisationnelles (MTO)	Preuve des mesures de sécurité	Art. 32
Liste des sous-traitants ultérieurs	Transparence sur les sous-traitants	Art. 28(2)
Certifications (ISO 27001, SOC 2)	Preuve de garanties suffisantes	Art. 28(5), Art. 42
Rapports d'audit et résumés de tests d'intrusion	Évaluation indépendante des mesures	Art. 28(3)(h)
Politiques de sécurité	Documentation des processus internes	Art. 32
Registres des activités de traitement	Aperçu du traitement des données	Art. 30
Analyses d'impact relatives à la protection des données	Évaluation des risques pour les traitements critiques	Art. 35

Sans Trust Center, cette communication passe par les courriels, les demandes individuelles et les processus manuels — chronophage, sujet aux erreurs et difficile à mettre à l'échelle. Avec un Trust Center, les recherches réactives de documents deviennent une démonstration proactive de conformité. Consultez également notre guide sur la surveillance continue pour maintenir des preuves de conformité toujours à jour.

La double perspective

De nombreuses organisations sont simultanément responsables du traitement (vis-à-vis des personnes concernées) et sous-traitants (vis-à-vis de leurs clients). Un Trust Center s'adresse aux deux rôles :

En tant que responsable du traitement (entrant) :

Évaluation et surveillance de vos propres sous-traitants
Collecte et maintien des ATD, MTO et certificats des prestataires
Documentation de la diligence raisonnable dans la sélection

En tant que sous-traitant (sortant) :

Mise à disposition de toutes les preuves aux clients en un seul lieu
Réponse évolutive aux questionnaires de sécurité et aux audits
Transparence proactive plutôt que recherches réactives de documents

Les organisations qui connectent les deux mondes sont bien positionnées : un SMSI pour la gouvernance interne, un Trust Center pour la communication externe — dans les deux directions. Cela transforme l'effort de conformité en un système fonctionnel et la documentation en véritable résilience.

Sources & Références

Règlement (UE) 2016/679 (RGPD) — Texte intégral — Journal officiel de l'Union européenne.
GDPR Enforcement Tracker — CMS Law. Total cumulé des amendes RGPD infligées dans les États membres de l'UE.
DLA Piper GDPR Fines and Data Breach Survey : Janvier 2026 — Enquête annuelle sur les tendances d'application du RGPD.
CEPD — Annonce de l'action coordonnée de contrôle 2026 — Annonce du CEPD (14 octobre 2025) relative aux articles 12–14.
gdpr-info.eu — Article 28 (Sous-traitant) — Exigences pour les accords de traitement des données.
gdpr-info.eu — Article 32 (Sécurité du traitement) — Mesures techniques et organisationnelles.
gdpr-info.eu — Article 33 (Notification à l'autorité de contrôle) — Délai de 72 heures pour les violations de données.
gdpr-info.eu — Article 34 (Communication à la personne concernée) — Communication dans les cas à haut risque.
gdpr-info.eu — Article 83 (Conditions générales pour l'imposition d'amendes) — Cadre de sanctions.
CEPD — Lignes directrices 9/2022 sur la notification des violations — Version 2.0, mars 2023.
Amende TikTok — DPC Irlande (mai 2025) — Action répressive pour transferts illicites vers la Chine.
Surfshark Research : Amendes RGPD dépassent 1 Md€ en 2025 — Analyse annuelle du volume d'application.