Les violations de données personnelles en Europe atteignent 443 par jour, une hausse spectaculaire de 22 %, selon une analyse de DLA Piper

Le cabinet d’avocats international DLA Piper publie aujourd’hui la huitième édition de son étude annuelle sur les amendes RGPD et les violations de données. Le rapport met en évidence un niveau élevé d’activité des autorités européennes de protection des données en 2025. Celles-ci ont infligé des sanctions totalisant environ 1,2 milliard d’euros, un montant largement comparable à celui de 2024.

L’analyse des données publiées par les autorités de contrôle européennes révèle par ailleurs une hausse annuelle de 22 % des violations de données personnelles notifiées. Cela correspond à une moyenne de 443 notifications par jour. Cette progression marque une rupture après plusieurs années de stabilisation des chiffres. C’est également la première fois depuis 2018 que la moyenne quotidienne dépasse le seuil de 400 notifications.

L’Irlande conserve sa position de leader en matière de sanctions. Le montant cumulé des amendes infligées par la Commission irlandaise pour la protection des données atteint désormais 4,04 milliards d’euros (4,77 milliards USD / 3,56 milliards GBP) depuis l’entrée en application du RGPD en mai 2018.

Malgré une nouvelle année marquée par une activité soutenue, l’amende la plus élevée jamais prononcée au titre du RGPD demeure celle de 1,2 milliard d’euros infligée par l’autorité irlandaise à Meta Platforms Ireland Limited en 2023.

L’émergence d’une nouvelle ère de menace cyber

Entre le 28 janvier 2025 et le 27 janvier 2026, le nombre moyen quotidien de violations de données personnelles notifiées a augmenté de manière significative pour atteindre 443. Cela représente une hausse de 22 % par rapport aux 363 notifications par jour de l’année précédente.

Sans établir de lien de causalité direct, cette augmentation s’inscrit dans un contexte marqué par des tensions géopolitiques accrues, l’émergence de menaces dopées à l’intelligence artificielle et une succession d’incidents cyber médiatisés ayant entraîné des interruptions opérationnelles majeures pour des organisations mondiales. Cette évolution confirme l’existence d’un niveau inédit de risque cyber et souligne, en conséquence, la nécessité de faire de la sécurité et de la résilience opérationnelle des priorités stratégiques.

Le rapport relève que les Pays-Bas, l’Allemagne et la Pologne conservent les premières places en termes de volume de violations de données notifiées sur la période allant du 28 janvier 2025 au 27 janvier 2026.

Des amendes RGPD de 1,2 milliard d’euros, dans la continuité de 2024

Entre le 28 janvier 2025 et le 27 janvier 2026, le montant total des amendes RGPD infligées en Europe s’élève à environ 1,2 milliard d’euros. Ce chiffre est stable par rapport à l’année précédente.

Cette stabilité ne traduit pas un ralentissement de l’activité répressive, mais bien le maintien d’un niveau élevé d’application du cadre réglementaire. Elle illustre la détermination constante des autorités de protection des données à prononcer des sanctions financières significatives, malgré certaines critiques formulées en dehors de l’Union européenne.

Comme les années précédentes, les mesures de sanction ont largement ciblé les grandes entreprises technologiques et les acteurs des réseaux sociaux. Neuf des dix plus fortes amendes RGPD jamais prononcées concernent des organisations de ce secteur.

Un spectre de contrôle de plus en plus large

Si les grandes entreprises technologiques restent exposées aux sanctions les plus élevées, les régulateurs élargissent progressivement leur champ d’action à d’autres secteurs, notamment les services financiers, les télécommunications, les services publics et les prestataires de services technologiques.

Par ailleurs, si les transferts de données personnelles vers les États-Unis ont constitué ces dernières années un axe majeur de l’activité répressive, l’année écoulée a vu l’émergence de la première sanction emblématique portant sur un transfert vers un pays tiers non américain. La Commission irlandaise pour la protection des données a ainsi infligé une amende de 530 millions d’euros à une entreprise de réseaux sociaux pour ne pas avoir garanti un niveau de protection essentiellement équivalent à celui requis par le droit de l’Union européenne en matière de protection des données lors du transfert de données personnelles vers la Chine.

Cette décision rappelle que, bien au-delà des flux transatlantiques, les restrictions du RGPD en matière de transferts internationaux constituent un enjeu mondial.

Les autorités ont également continué à concentrer leur attention sur le respect des principes de licéité, de loyauté et de transparence, ainsi que sur la sécurité des données personnelles. Plusieurs sanctions significatives ont été prononcées en raison de mesures techniques et organisationnelles jugées insuffisantes.

Olivier Reisch, associé et responsable de la pratique protection des données et cybersécurité de DLA Piper au Luxembourg, commente: « Dans un contexte marqué par des tensions géopolitiques accrues et des cyberattaques très médiatisées, la forte hausse des violations de données personnelles confirme que les organisations évoluent désormais dans un environnement de risque cyber sans précédent. Combinée à une vigilance réglementaire soutenue, cette évolution renforce la nécessité de disposer d’une gouvernance solide et d’une résilience cyber renforcée. »