En six ans, la Data Protection Commission a infligé plus de 4 milliards d’euros d’amendes pour violation du RGPD. Mais, dans les faits, moins de 1% de ces montants ont été encaissés. En cause : une avalanche de recours qui bloque le recouvrement des sommes.
En six ans, la Data Protection Commission (DPC) – l’organisme irlandais de protection des données – a infligé 4,04 milliards d’euros de sanctions au titre du Règlement général sur la protection des données (RGPD), tandis qu’à peine 20 millions d’euros ont été effectivement payés. Autrement dit, plus de 99% des amendes restent aujourd’hui bloquées, principalement en raison des recours judiciaires formés par les entreprises sanctionnées.
Ce décalage est d’autant plus préoccupant que l’Irlande est le principal régulateur des grandes entreprises technologiques qui ont, pour la majorité, leur siège social européen dans ce pays (pour des raisons fiscales).
Ces chiffres sont issus de données communiquées par la DPC elle-même dans le cadre de demandes d’accès à l’information (freedom of information), comme l’a révélé l’Irish Times.
L’année 2025 offre une illustration frappante de ce décalage entre les amendes prononcées et les montants encaissés. La DPC a infligé plus de 530 millions d’euros d’amendes à des entreprises, majoritairement issues du secteur technologique. Pourtant, seuls 125 000 euros ont été encaissés à ce jour. En 2024, ce sont 652 millions d’euros d’amendes qui ont été prononcées, pour 582 500 euros effectivement recouvrés.
En 2023, l’écart est encore plus spectaculaire : 1,55 milliard d’euros d’amendes, pour seulement 815 000 euros collectés. En 2022, 2021 et 2020, le décalage est toujours présent.
Sur l’ensemble de cette période, la proportion d’amendes effectivement recouvrées ne dépasse pas 0,5%. Contacté par le média, l’homologue de la Cnil s’est défendu. Elle a expliqué qu’en droit irlandais, une amende administrative ne peut pas être collectée tant qu’un recours est en cours. Autrement dit, dès qu’une entreprise fait appel d’une décision, l’autorité est légalement empêchée d’en exiger le paiement.
Or, la quasi-totalité des lourdes sanctions prononcées ces dernières années font l’objet de contestations devant les juridictions irlandaises. Plusieurs dossiers sont également suspendus devant la Cour de justice de l’Union européenne. Tant que ces points juridiques ne sont pas tranchés, de nombreuses procédures nationales sont gelées.
Néanmoins, la DPC affirme qu’aucune de ces amendes n’est considérée comme irrécouvrable. En effet, juridiquement, elles restent dues tant qu’elles ne sont pas annulées par une juridiction. Mais dans les faits, leur encaissement peut être repoussé de plusieurs années.
Cette situation pose la question centrale de l’efficacité du RGPD. En toile de fond, la DPC estime que cette situation s’explique notamment par un sous-dimensionnement chronique de ses moyens. Dans un document budgétairel’autorité avait demandé une augmentation exceptionnelle de 10 millions d’euros de son budget pour 2026. Deux objectifs étaient poursuivis : renforcer ses effectifs et combattre ce qu’elle qualifie de “discours injuste” selon laquelle elle serait indulgente avec les géants de la tech.
A titre d’exemple, la Commission européenne mobilise à elle seule 270 personnes et un budget de 55 millions d’euros pour l’application du Digital Services Act (DSA), quand la DPC doit couvrir l’ensemble du RGPD avec 280 agents pour un budget total de 29,4 millions d’euros.
Dans cette même note, la DPC soulignait que les nouveaux textes européens, notamment sur l’intelligence artificielle, allaient encore accroître fortement sa charge de travail et nécessiter un renforcement de toutes ses équipes d’experts.
