EDPB rapport annuel 2025 : 1,15 Md€ d'amendes et virage stratégique acté à Helsinki
Le Comité européen de la protection des données (CEPD/EDPB) a publié, le 9 avril 2026, son rapport annuel 2025. Le bilan, présenté lors de la session plénière d'Helsinki, dessine un changement de cap : moins de productions normatives, plus de dialogue avec les acteurs régulés, et une montée en puissance des opérations transfrontalières. 1,15 milliard d'euros d'amendes, 1 299 procédures « guichet unique » et un nouveau « Helsinki Statement » qui acte un virage stratégique du régulateur européen.
Ce qui s'est passé
Dans son rapport annuel, l'EDPB chiffre l'activité 2025 du réseau européen des autorités de protection des données. Côté sanctions, 414 affaires transfrontalières ont été ouvertes, débouchant sur 572 décisions finales et 1,15 Md€ d'amendes cumulées. Le mécanisme de « guichet unique » a généré 1 299 procédures coordonnées entre autorités nationales — un volume en hausse continue depuis 2022.
Sur le plan doctrinal, le Comité a adopté 29 avis au titre de l'article 64 RGPD, dont 5 décisions d'adéquation (renouvellement Royaume-Uni, premier avis sur le Brésil, mise à jour pour l'Office européen des brevets). Plusieurs lignes directrices structurantes ont été publiées : pseudonymisation, IA et bases légales, refonte du modèle d'AIPD, articulation RGPD/DMA et RGPD/DSA. L'EDPB a également rendu un avis conjoint avec le CEPD sur le paquet « Digital Omnibus » de la Commission européenne.
Le rapport est accompagné du « Helsinki Statement on Enhanced Clarity, Support and Engagement », qui formalise un changement de méthode : moins de lignes directrices nouvelles, davantage de FAQ ciblées, de webinaires sectoriels et de dialogue avec les responsables de traitement. La présidente Anu Talus parle d'un EDPB « plus à l'écoute des organisations qu'il régule ».
Pourquoi c'est important
Ce rapport est le premier signal clair que le régulateur européen ajuste sa posture. Pendant cinq ans, la priorité de l'EDPB a été la doctrine : produire des lignes directrices, fixer le cadre, harmoniser les interprétations entre les 30 autorités du réseau. La phase qui s'ouvre est différente — il s'agit de faciliter la conformité, pas seulement de l'imposer.
Trois tendances de fond se dégagent. D'abord, la coopération transfrontalière atteint un niveau de maturité opérationnelle : avec 1 299 procédures « guichet unique », le mécanisme de l'article 60 du RGPD n'est plus une exception mais la norme dès qu'un traitement dépasse les frontières d'un État membre. Ensuite, le mécanisme de cohérence (article 63 RGPD) sert désormais à arbitrer des dossiers à fort enjeu politique (adéquations, IA, plateformes), bien au-delà du simple alignement doctrinal. Enfin, l'arrivée des règlements DMA, DSA, AI Act et Data Act force l'EDPB à coordonner ses positions avec d'autres régulateurs — un exercice nouveau pour une autorité historiquement centrée sur le seul RGPD.
Pour les organisations françaises, le rapport confirme aussi le rôle pivot de la CNIL dans le dispositif européen, à la fois autorité chef de file sur de nombreux dossiers transfrontaliers et contributrice active aux travaux doctrinaux du Comité.
Ce que ça change pour les organisations
Concrètement, trois ajustements à anticiper.
1. Plus d'outils opérationnels, moins de textes longs. L'EDPB s'engage à publier davantage de FAQ, de check-lists et de modèles. Le nouveau modèle d'AIPD publié en mars 2026 illustre cette logique : un document court, exploitable, qui remplace une partie des guidelines existantes. Les équipes conformité peuvent s'appuyer sur ces outils pour standardiser leurs livrables internes.
2. Une coopération transfrontalière qui devient un risque réel. Avec 414 affaires ouvertes et 572 décisions finales, le « guichet unique » n'est plus un mécanisme théorique. Toute organisation présente dans plusieurs États membres doit cartographier son établissement principal, identifier son autorité chef de file, et anticiper qu'une plainte déposée dans un autre pays peut être instruite par celle-ci. La jurisprudence récente de la CNIL montre que les amendes prononcées dans ce cadre intègrent désormais la dimension multi-juridictions.
3. Une articulation RGPD / DMA / DSA / AI Act à intégrer. Les avis conjoints publiés en 2025 et les guidelines récentes de l'EDPB ne se lisent plus en silo. Une analyse de conformité sur un service en ligne touchant à des données personnelles doit désormais croiser plusieurs régimes — c'est ce qu'illustre l'avis du Comité sur le paquet Digital Omnibus, où RGPD et règlements numériques sectoriels sont traités ensemble.
Ce que Leto pense de cette décision
Le tournant pris à Helsinki était attendu. Depuis trois ans, la critique d'un EDPB « hors-sol », publiant des guidelines de 80 pages illisibles pour les opérationnels, montait dans la communauté DPO. Le Helsinki Statement répond directement à ce reproche.
Reste un angle mort. Plus de dialogue ne signifie pas moins de sanctions — au contraire, le rapport montre que le rythme des décisions transfrontalières s'accélère. Pour les organisations, l'enjeu n'est donc pas de relâcher la pression sur la conformité, mais de la réorienter : moins de temps passé à interpréter des textes ambigus, plus de temps consacré à l'outillage interne (registres, AIPD, processus exercice des droits) et à l'anticipation du risque transfrontalier. Sur ce dernier point, beaucoup d'organisations françaises sous-estiment encore qu'une plainte ouverte à Dublin, Berlin ou Madrid peut leur revenir, instruite par la CNIL en tant qu'autorité chef de file.
Sources : EDPB — Annual Report 2025: Supporting stakeholders through guidance and dialogue · EDPB — Rapport annuel 2025 (PDF complet)
