← Tous les articles

consultant

CNPD 1FR/2025: comment la CNPD calcule une amende RGPD en 5 étapes

Le 6 janvier 2025, la CNPD a infligé une amende pour retards aux droits RGPD et appliqué, noir sur blanc, la méthode EDPB en cinq étapes. Enseignement clé: pilotez et documentez votre “time-to-rights”.

Par Expertise Luxgap 06/06/2026

CNPD 1FR/2025 fournit un cas d’école sur le calcul d’une amende RGPD. Pour des retards répétés aux demandes au titre de l’article 12(3)-(4) RGPD, la CNPD applique la méthode EDPB en cinq étapes et détaille chaque palier de calcul.

L’affaire

Le 6 janvier 2025, la CNPD (formation restreinte) a adopté la délibération n° 1FR/2025 visant une « Société A » (établissement de crédit supervisé par la CSSF) pour manquements répétés aux délais de réponse prévus à l’article 12(3)-(4) RGPD. La procédure agrège 47 réclamations retenues, dans un contexte transfrontalier où la CNPD agit comme autorité chef de file (art. 56 RGPD). L’amende et des mesures correctrices sont prononcées; la décision expose la méthode de calcul: identification des opérations, montant de départ, circonstances aggravantes/atténuantes, plafond légal, et contrôle final d’effectivité, proportionnalité et dissuasion. Source officielle: CNPD, Délibération n° 1FR/2025 (PDF, 46 p.) et page décisionnelle associée. CNPD — page décisionnelle et PDF anonymisé de la décision.

Le raisonnement juridique

  • Fondement matériel: article 12(3)-(4) RGPD. Le responsable doit répondre « sans retard injustifié et au plus tard dans un délai d’un mois », avec une prolongation possible de deux mois en cas de complexité/volume, notifiée et motivée dans le mois. Les 47 réclamations retenues établissent des dépassements; certaines justifications (gestion de la boîte DPO, contexte COVID-19) sont écartées. Décision CNPD.
  • Pouvoir de sanction: article 83 RGPD. Amende « effective, proportionnée et dissuasive » dans les plafonds 10 M€/2% (art. 83(4)) ou 20 M€/4% (art. 83(5)-(6)), en tenant compte des critères de l’article 83(2). Texte officiel: EUR‑Lex. Pour un rappel opérationnel, voir aussi les exigences du RGPD.
  • Méthode de calcul: EDPB, Guidelines 04/2022 (v2.1, 24 mai 2023). Cinq étapes: (1) identifier l’infraction et les traitements; (2) fixer un montant de départ selon la gravité et le chiffre d’affaires; (3) moduler via circonstances; (4) vérifier les plafonds; (5) ajuster pour assurer effectivité, proportionnalité, dissuasion. Lignes directrices EDPB 04/2022. La CNPD suit cette trame: II.2, §2.1.1–2.1.5.
  • Cohérence procédurale: rappel du cadre national (loi du 1er août 2018, art. 41; règlements internes 07AD/2024 et 08AD/2024) et du mécanisme de coopération (art. 56 RGPD). Décision CNPD.

Ce que ça change pour les dirigeants, DPO et CISO au Luxembourg

  • « Time-to-rights » devient un KPI clé. Attendez-vous à produire un journal d’horodatage par demande: réception, qualification, interruptions de délai, notification de prolongation motivée, clôture. Réf.: analyse « En l’espèce » et « Considérations générales » (II.1.B.2.1) de la décision.
  • Méthode EDPB appliquée « à la lettre ». Vos matrices internes doivent refléter le lien gravité/chiffre d’affaires et la modulation. Réf.: EDPB 04/2022 et II.2 de 1FR/2025.
  • Synchroniser DPO et Service Client/IAM. La gestion de la boîte DPO et l’orientation des demandes sont scrutées. En pratique, professionnaliser la fonction DPO et l’outillage ticketing/IAM est déterminant.
  • Groupes régulés plus exposés. Le chiffre d’affaires (y compris de groupe) pèse à l’étape dissuasion; pour les entités régulées CSSF, la maîtrise des droits impacte la gouvernance. Voir II.2, §2.1.5 et I. Faits. Une approche Luxembourg-centrée peut être utile via la conformité RGPD locale.

Pièges fréquents observés en audit

  1. Penser qu’un accusé de réception « gèle » le délai d’un mois: faux. Seule une prolongation motivée, notifiée dans le mois, est valable. Décision CNPD.
  2. Centraliser sans organiser: une boîte « privacy@ » ou « dpo@ » sans règles d’assignation/escalade crée des retards systémiques. La formation restreinte discute la gestion opérationnelle et écarte des justifications insuffisantes. Décision CNPD.
  3. Invoquer « complexité/volume » sans preuve: la prolongation de deux mois exige des raisons traçables. L’EDPB requiert une approche non mécanique mais documentée, reprise par la CNPD. EDPB 04/2022.
  4. Sous‑estimer la répétition: 47 réclamations pèsent sur gravité/durée et modulation. Décision CNPD.
  5. Oublier la dissuasion finale: l’autorité ajuste pour garantir un effet dissuasif au regard du chiffre d’affaires pertinent. Voir art. 83 RGPD et étape 5 des Lignes directrices; reprise au §2.1.5. EUR‑Lex.

Sources officielles

En synthèse: journaliser chaque demande, gouverner la boîte DPO comme un guichet critique, prouver toute prolongation, suivre vos KPI « droits » au niveau Comex, et aligner votre matrice d’amende sur la méthode EDPB.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire rgpd cnpd amendes edpb luxembourg
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos donnees ne sont jamais partagees. Conformite RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →