Amazon vs CNPD: l’amende record annulée et le calcul des amendes RGPD

Extrait — Le 12 mars 2026, la Cour administrative a annulé l’amende de 746 M€ infligée à Amazon par la CNPD, faute d’analyse suffisante de la “faute” exigée par la CJUE. Enseignement clé: l’évaluation au titre de l’article 83 RGPD doit intégrer, de façon motivée, l’intention ou la négligence.

L’affaire

Le 12 mars 2026, la Cour administrative du Luxembourg (arrêt n° 52757C) a annulé la décision de la CNPD infligeant à Amazon Europe Core S.à r.l. une amende administrative de 746 millions d’euros (décision initiale de juillet 2021). La Cour a renvoyé le dossier à l’autorité pour une nouvelle analyse, estimant que le niveau de “faute” (intentionnelle ou par négligence) n’avait pas été correctement apprécié lors de la fixation de l’amende. Source officielle: communiqué du ministère de la Justice/La Justice, Luxembourg: “Arrêt de la Cour administrative… 12 mars 2026 (n° 52757C)” (justice.public.lu).

Le lendemain, la CNPD a pris acte de l’arrêt, rappelant que ses principaux constats sur les violations en matière de publicité comportementale avaient été confirmés et indiquant poursuivre ses travaux — mais l’amende est annulée et doit être ré‑évaluée. Source officielle: “The CNPD has secured effective data-processing compliance by Amazon… (12/03/2026)” (cnpd.public.lu).

• Montant: 746 M€ (amende annulée, renvoi pour réévaluation). (justice.public.lu)
• Fondement: infractions RGPD liées à la publicité comportementale; contrôle et sanction par la CNPD (articles 58 et 83 RGPD). Texte de référence: article 83 RGPD (EUR‑Lex).

Le raisonnement juridique

Le point décisif n’est pas l’existence d’infractions (largement confirmées), mais la méthodologie d’amende: la Cour administrative exige que la CNPD motive l’élément de “faute” (intentionnelle ou par négligence) conformément à la jurisprudence de la Cour de justice de l’UE (CJUE) du 5 décembre 2023.

• C‑807/21, Deutsche Wohnen: une amende RGPD suppose que l’infraction soit intentionnelle ou par négligence; les conditions de fond de l’amende sont entièrement gouvernées par le droit de l’UE (art. 83(1)-(6)). (curia.europa.eu)
• C‑683/21, Nacionalinis: la Cour confirme l’exigence de faute (intention/négligence) et précise l’office de l’autorité lors de l’imposition d’amendes. (eur-lex.europa.eu)

Conséquence directe: l’autorité ne peut pas appliquer une “responsabilité objective” pour fixer une amende; elle doit démontrer, au regard des circonstances (art. 83(2) RGPD), que le responsable “ne pouvait ignorer le caractère infractionnel” du comportement ou a manqué à un devoir de diligence. (curia.europa.eu)

Cette exigence s’articule avec les Lignes directrices 04/2022 du CEPD/EDPB (version finale 24 mai 2023), qui imposent une méthode en cinq étapes pour le calcul des amendes (qualification des traitements, point de départ par gravité et chiffre d’affaires, facteurs aggravants/atténuants, plafonds légaux art. 83(4)-(6), et vérification efficacité/proportionnalité/dissuasion). Les lignes directrices soulignent que le calcul ne se réduit pas à une “opération mathématique”: les circonstances du dossier — y compris l’intention/négligence — sont déterminantes. Source officielle: EDPB, Guidelines 04/2022. (edpb.europa.eu)

Ce que ça change concrètement

Pour les dirigeants, DPO et CISO au Luxembourg (et frontaliers):

• Les décisions de sanction doivent expliciter l’intention ou la négligence. Concrètement, les dossiers “amende” devront contenir des éléments probants démontrant que l’organisation connaissait (ou ne pouvait ignorer) le caractère illicite des pratiques, ou a manqué à une diligence raisonnable (p. ex., alertes internes ignorées, audits non suivis d’effet, absence de contrôles malgré des risques connus). Cette analyse doit être traçable. (curia.europa.eu)
• Les facteurs de l’article 83(2) RGPD — nature/gravité/durée, caractère délibéré ou négligent, mesures d’atténuation, antécédents, degré de coopération, catégories de données, etc. — reviennent au premier plan: chaque facteur doit être apprécié “au cas par cas” et mis en balance dans la décision. Texte officiel: EUR‑Lex, art. 83. Pour un panorama local, voyez la conformité CNPD au Luxembourg.
• Les Lignes directrices EDPB 04/2022 deviennent la feuille de route opérationnelle: constituez un dossier “amende” interne calé sur les 5 étapes (point de départ par gravité/CA, modulations par facteurs atténuants/aggravants, contrôle du plafond légal, test d’efficacité/proportion/disuasion), avec un chapitre dédié à l’intention/négligence. Un mandat DPO peut sécuriser cette méthodologie.

Exemples concrets d’application

• Publicité ciblée et cookies: si des audits internes/CNIL‑EDPB alertaient sur l’insuffisance du consentement et que rien n’a été corrigé, la négligence peut être caractérisée et tirer le montant vers le haut; à l’inverse, un plan correctif rapide et documenté pèse comme facteur atténuant (art. 83(2)(c)). (eur-lex.europa.eu)
• Sécurité (art. 32): une violation n’entraîne pas mécaniquement une amende élevée; l’autorité doit analyser si des mesures appropriées étaient en place, si des écarts connus n’ont pas été traités (négligence), et comment l’organisation a réagi (mesures d’atténuation). Un audit sécurité documenté peut faire la différence. (eur-lex.europa.eu)
• Gouvernance privacy: la traçabilité des décisions (comités, risk acceptance, arbitrages documentés) peut faire la différence entre une faute caractérisée et une simple erreur corrigée de bonne foi. Cette traçabilité nourrit l’analyse de proportionnalité au sens de l’EDPB. (edpb.europa.eu)

Pièges fréquents

1. Confondre “conformité tardive” et absence de faute. Corriger après contrôle ne suffit pas; il faut démontrer la diligence antérieure (veille, audits, décisions, arbitrages). Sans preuves, la négligence peut être retenue. Référence: exigence de faute posée par la CJUE (05/12/2023). (curia.europa.eu)
2. Ne pas documenter les facteurs de l’article 83(2). Beaucoup de dossiers internes ignorent la matrice de gravité/durée/dommage ou le degré de coopération. Absence de cette balance = méthodologie bancale, fragile en recours. Texte officiel: art. 83 RGPD.
3. Réduire le calcul à un pourcentage du CA. L’EDPB rappelle que la méthode n’est pas une simple règle de trois: il faut un point de départ (gravité/CA), des modulations motivées et un test final d’efficacité, de proportionnalité et de dissuasion. (edpb.europa.eu)
4. Oublier l’“intention/négligence” dans la défense. Au contentieux, l’absence d’analyse de la faute est un angle d’annulation (comme dans l’affaire Amazon). Les contrôles, alertes, décisions et plans d’action datés sont essentiels pour réfuter la négligence. Sources: Cour administrative 12/03/2026; CJUE 05/12/2023. (justice.public.lu)
5. Sous‑estimer la portée des positions du régulateur. La CNPD indique poursuivre ses travaux après l’annulation: le fond peut être confirmé, mais l’amende recalculée avec une méthodologie renforcée — potentiellement élevée si la faute est caractérisée. (cnpd.public.lu)

En synthèse, l’arrêt du 12 mars 2026 impose une discipline renforcée sur la méthodologie d’amende: documenter la faute, équilibrer rigoureusement les facteurs de l’article 83(2) et appliquer la méthode EDPB. Pour les organisations, cela appelle une “défense par la preuve”: gouvernance, audits et décisions traçables — avant, pendant et après le contrôle. Pour aller plus loin côté Luxembourg, consultez notre page RGPD Luxembourg.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.