Sanctions RGPD 2026 : Temu (200 M€), Free (42 M€), Shein (22,4 M€) — les amendes record de l'année
Le premier semestre 2026 a battu des records de sanctions pour non-conformité numérique. La Commission européenne a infligé sa plus lourde amende jamais prononcée sous le Digital Services Act, la CNIL a doublé son record historique de sanction unique, et le bilan annuel confirme une tendance de fond : les autorités ne se contentent plus d'avertissements, elles sanctionnent au montant maximal.
Ce que ces dossiers ont en commun : aucune de ces entreprises n'a été sanctionnée pour un manquement isolé. Dans chaque cas, l'autorité a documenté un défaut structurel — absence de mesures de sécurité de base, information incomplète, contrôle insuffisant des tiers. Ce sont exactement les points qu'un audit de conformité détecte en amont.
Les 3 sanctions record du semestre
| Entreprise | Montant | Autorité | Motif |
|---|---|---|---|
| Temu | 200 M€ | Commission européenne (DSA) | Absence d'évaluation des risques systémiques liés à la vente de produits illégaux sur la marketplace |
| Free / Free Mobile | 42 M€ (27 M€ + 15 M€) | CNIL | Défaut de sécurité après intrusion — 24 millions de contrats exposés, dont des IBAN |
| Shein | 22,4 M€ (16,73 M€ + 5,76 M€) | DGCCRF | Délai de rétractation non respecté, emails de confirmation de commande incomplets |
Temu — 200 M€, la plus lourde amende de l'histoire du DSA
Décision du 28 mai 2026 : la Commission européenne a jugé que Temu n'avait pas correctement évalué les risques systémiques liés à la vente de produits illégaux ou non conformes sur sa marketplace, en violation de l'article 23 du Digital Services Act. Un plan d'action correctif est exigé avant le 28 août 2026, sous peine d'astreintes supplémentaires. Ce dossier confirme que le contrôle effectif des produits/vendeurs tiers est désormais un axe d'enforcement prioritaire pour toute marketplace, quelle que soit sa taille.
Free / Free Mobile — 42 M€ pour un défaut de sécurité basique
Les délibérations SAN-2026-001 et SAN-2026-002 du 13 janvier 2026 sanctionnent une intrusion d'octobre 2024 ayant exposé les données de 24 millions de contrats, IBAN inclus. Les manquements retenus par la CNIL ne relèvent pas d'une attaque sophistiquée mais de bases élémentaires non respectées : authentification VPN insuffisante et conservation excessive de données de contrats résiliés. Deux astreintes (50 000 €/jour et 25 000 €/jour) s'ajoutent à l'amende en cas de non-correction.
Shein — 22,4 M€ pour des emails de confirmation incomplets
Sanction du 3 juin 2026 visant deux entités Shein. Au-delà du non-respect du délai légal de rétractation de 14 jours, la DGCCRF a sanctionné des emails de confirmation de commande incomplets : absence de prix, de délai de livraison, d'identité du vendeur, de garantie légale, de médiateur ou de formulaire de rétractation. Ce point précis — le contenu exact d'un email transactionnel — est directement vérifiable sur n'importe quel site e-commerce, quelle que soit sa taille.
Le bilan CNIL 2025 confirme la tendance
Le bilan publié le 9 février 2026 recense 83 sanctions pour un total de 486,8 millions d'euros sur l'année 2025, et 323 contrôles menés. Les motifs dominants restent stables : cookies et traceurs (~35 %), défaut de sécurité (~25 %), prospection commerciale illégale (~20 %). Autrement dit, un site qui corrige ces trois points élimine déjà les trois quarts des motifs de sanction les plus fréquents.
Autre signal à surveiller : le Coordinated Enforcement Framework (CEF) 2026 de l'EDPB, lancé le 19 mars 2026, mobilise 25 autorités européennes (dont la CNIL) tout au long de l'année sur un seul sujet — la transparence de l'information : clarté des politiques de confidentialité, durées de conservation précises, pays tiers destinataires des données nommés explicitement, liste des sous-traitants à jour.
Ce que ces dossiers changent pour un site plus modeste
Aucune de ces entreprises n'a été sanctionnée pour un motif exotique. Ce sont des manquements identiques à ceux qu'on retrouve sur des sites bien plus petits : politique de confidentialité incomplète, email de commande auquel il manque une mention obligatoire, données conservées trop longtemps. La différence n'est pas la nature du problème, mais l'ampleur du chiffre d'affaires servant de base au calcul de l'amende — ce qui rend la correction en amont d'autant plus rentable pour une petite structure.
⚠️ Votre site présente-t-il l'un de ces manquements ?
Notre audit vérifie automatiquement la conformité RGPD, la transparence des politiques de confidentialité, le contenu des emails transactionnels et la sécurité technique de votre site — avec un rapport PDF et un plan d'action priorisé livré par email.
🔍 Auditer mon site maintenant