MOLITOR AVOCATS À LA COUR – RGPD : assurabilité des sanctions administratives (mise à jour 2026)

Article rédigé par Molitor Avocats à la cour dans le cadre de leur sponsoring de l’ACA Insurance Day 2025. Le contenu engage exclusivement son auteur.

Les amendes prononcées par la CNPD en cas de violation du RGPD sont-elles assurables ?

Dans un article publié en 2023, nous analysions les raisons pour lesquelles les amendes administratives prononcées par la Commission nationale pour la protection des données (CNPD) étaient susceptibles d’être qualifiées de sanctions pénales au sens des critères dits Engel, et, partant, d’être inassurables¹. Pour rappel, les critères dits Engel, dégagés par la Cour européenne des droits de l’homme² [2], servent à déterminer si une sanction, bien que qualifiée d’administrative en droit interne, présente néanmoins un caractère (quasi)pénal. L’analyse s’articule classiquement autour des trois éléments suivants :

• la qualification de l’infraction en droit interne ;
• la nature du comportement réprimé ; et
• la nature et le degré de sévérité de la sanction.

Ces critères permettent d’identifier, d’une part, ce qui relève effectivement d’une accusation en matière pénale et, d’autre part, quel est le champ d’application du principe non bis in idem ³.

Depuis lors, plusieurs développements significatifs méritent d’être mis en lumière. L’objectif de cette mise à jour est de replacer ces éléments dans une grille de lecture assurantielle et, surtout, d’en dégager les enseignements pratiques pour les entreprises confrontées aux risques issus du Règlement général sur la protection des données (RGPD)⁴.

Les enjeux économiques restent, eux, inchangés : le RGPD organise un régime d’amendes administratives dont le plafond, selon la catégorie d’infraction, peut atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, et, pour les infractions les plus graves, 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu⁵. Cette logique de plafonds, désormais bien connue, est rappelée par la doctrine comme l’un des marqueurs d’une sévérité élevée du dispositif⁶.

Cette sévérité n’est plus théorique au Luxembourg. En effet, le 18 mars 2025, le Tribunal administratif avait rejeté le recours d’Amazon contre la décision de la CNPD et avait confirmé l’amende de 746 millions d’euros prononcée à son encontre⁷. Par arrêt du 12 mars 2026, sur appel d’Amazon, la Cour administrative a d’abord relevé que les mesures d’injonction ainsi que l’astreinte étaient devenues sans objet, les parties ayant admis à l’audience qu’Amazon s’était entretemps conformée aux exigences du RGPD. Elle a ensuite écarté, pour des raisons tenant au périmètre de l’enquête et aux droits de la défense, la violation autonome de l’article 21 du RGPD. Plus largement, l’arrêt confirme, pour l’essentiel, l’absence de base légale suffisante et de manquements en matière de transparence et d’accès. La Cour administrative a finalement annulé la décision de la CNPD du 15 juillet 2021 en tous ses volets et renvoyé le dossier devant celle-ci, après avoir retenu que l’autorité n’avait pas procédé, avant de prononcer l’amende, à l’analyse requise de la négligence ni à un examen suffisant de l’opportunité de recourir à l’amende plutôt qu’à une autre mesure⁸.  Si l’amende initialement prononcée sera ainsi une nouvelle fois débattue devant la CNPD, cette affaire met en lumière l’enjeu central du débat assurantiel, dans la mesure où le niveau particulièrement élevé des sanctions encourues conduit à s’interroger sur la possibilité juridique de transférer un tel risque à un assureur.   

Le cadre légal actuel : une prohibition explicite pour les sanctions pénales, un débat ouvert pour les sanctions administratives

Pour rappel, le contrat d’assurance est notamment régi par la loi modifiée du 27 juillet 1997 sur le contrat d’assurance (LCA). Deux dispositions jouent un rôle central dans notre analyse.

D’une part, l’article 14 de la LCA consacre l’exclusion de garantie en cas de sinistre causé « de manière intentionnelle ou dolosive »⁹. D’autre part, l’article 97 prévoit expressément qu’ « aucune amende ni transaction pénale ne peuvent faire l’objet d’un contrat d’assurance, à l’exception de celles qui sont à charge de la personne civilement responsable »¹⁰. L’économie de ce texte, combinée à la logique d’ordre public attachée à la personnalité des peines, conduit à une conséquence pratique claire : si la sanction encourue est qualifiée de sanction pénale, elle ne peut être transférée à l’assureur.

Le point essentiel, pour les amendes RGPD prononcées par la CNPD, n’est donc pas tant l’existence d’une amende administrative au sens formel, mais la question de savoir si cette amende administrative revêt un caractère pénal. C’est précisément sur ce point que les développements luxembourgeois récents sont déterminants.

L’application des critères Engel en matière de non bis in idem confirmée au Luxembourg : une tendance jurisprudentielle qui pèse sur l’assurabilité des sanctions administratives

D’une part, dans une décision du 26 février 2025 rendue dans un contexte de non bis in idem, la Cour d’appel a examiné une amende administrative infligée par la CSSF d’un montant de 170.000 euros, dans un régime où l’amende encourue peut atteindre 5.000.000 d’euros ou 10% du chiffre d’affaires annuel, et s’est explicitement référée aux critères Engel pour apprécier le caractère pénal de la sanction¹¹. Après avoir relevé la finalité répressive et la sévérité de l’amende, ainsi que la ressemblance entre certaines règles de procédure pénale et non pénale, la Cour retient « que la sanction prononcée par la CSSF a un caractère pénal » [11]. Au-delà de la matière (lutte contre le blanchiment et financement du terrorisme), cette motivation a une portée méthodologique puisqu’elle confirme que les juridictions n’hésitent pas à requalifier une sanction administrative en sanction pénale au sens fonctionnel, dès lors que ses finalités et sa sévérité le justifient.

D’autre part, cette position a été renforcée par un arrêt de la Cour de cassation du 12 juin 2025, portant sur des amendes administratives prononcées par le Ministre du Travail en matière d’emploi de ressortissants de pays tiers en séjour irrégulier¹². Là encore, l’analyse intervient dans le champ du principe non bis in idem, mais la Cour affirme expressément que l’existence d’une « accusation en matière pénale » doit être appréciée au regard des critères Engel. Surtout, appliquant ces critères, la Cour retient que la procédure administrative en cause doit être qualifiée de pénale, en mettant notamment en avant l’objectif de répression et de dissuasion, l’absence d’objectif disciplinaire ou réparateur à l’égard de la victime, ainsi que la sévérité résultant du mécanisme de multiplication de l’amende.

Ces décisions ne portent pas sur des amendes RGPD prononcées par la CNPD mais n’en demeurent pas moins structurantes : elles installent, au plus haut niveau, une approche fonctionnelle de la nature des sanctions administratives, qui rend risqué le raisonnement consistant à présumer l’assurabilité au seul motif que la sanction est qualifiée d’ « administrative » en droit interne.

La CJUE précise la notion de faute pour les amendes RGPD : un élément clef pour l’articulation avec l’article 14 de la LCA

La Cour de justice de l’Union européenne a clarifié l’interprétation de l’article 83 du RGPD en ce sens qu’une amende administrative ne peut être infligée que s’il est établi que la violation a été commise « délibérément ou par négligence » par le responsable du traitement¹³. Ce point est déterminant pour notre analyse, car il oblige à distinguer deux niveaux de discussion.

Premièrement, l’amende RGPD peut reposer sur une négligence. L’exclusion visant l’intentionnel ou le dolosif de l’article 14 de la LCA ne permet donc pas, à elle seule, d’écarter toute discussion sur l’assurabilité dès lors que l’intention n’est pas caractérisée.

Deuxièmement, la question centrale n’est pas uniquement celle de la faute, mais celle de la nature de la sanction. Si l’amende RGPD est analysée comme une sanction punitive et dissuasive, susceptible de relever, fonctionnellement, de la catégorie des sanctions pénales (au sens des critères Engel), alors le débat bascule vers l’article 97 de la LCA et, plus largement, vers l’ordre public.

La difficulté demeure néanmoins entière pour cette raison, même lorsque la violation est non-intentionnelle, l’assurabilité de l’amende elle‑même reste exposée à une contestation de principe si la sanction est regardée comme devant rester personnelle et dissuasive.

Les sanctions de la CNPD infligées à l’encontre d’Amazon

Le Tribunal administratif a, le 18 mars 2025, confirmé la décision de la CNPD infligeant à Amazon une amende de 746 millions d’euros [7], avant que celle-ci ne soit annulée par la Cour administrative le 12 mars 2026 [8]. Sur le fond, le Tribunal administratif a mobilisé une grille de lecture des critères Engel pour apprécier l’applicabilité de garanties procédurales (notamment l’article 6 de la CEDH), tout en concluant, dans son analyse, que la sanction en cause n’était pas pénale pour les besoins de l’article 6 de la CEDH.

Sur l’argument d’Amazon tiré de la nature pénale de l’amende, le Tribunal administratif procède à une application explicite des critères Engel et conclut que la sanction litigieuse ne revêt pas, dans ce cadre, un caractère pénal. Son raisonnement se déploie en trois temps. D’abord, au titre de la qualification en droit interne, il retient que l’infraction alléguée, issue en l’occurrence du RGPD, correspond à une violation de type administratif et punissable d’une amende d’ordre¹⁴. Ensuite, quant à la nature même de l’infraction, il estime qu’elle demeure clairement administrative, dans la mesure où il s’agit de sanctionner un comportement de non-respect des règles du RGPD. Enfin, s’agissant du degré de sévérité, le Tribunal souligne l’absence de toute peine privative de liberté et relève que la sanction se limite à une amende pécuniaire plafonnée à 20 millions d’euros ou, pour une entreprise, à 4 % du chiffre d’affaires annuel mondial. Le Tribunal ajoute que ce plafond doit être apprécié dans le contexte général de la violation commise au regard de la logique de modulation prévue par l’article 83, paragraphe 2 du RGPD. Sur cette base, il conclut que l’analyse sous l’angle des critères Engel n’est pas de nature à plaider en faveur de la thèse d’Amazon selon laquelle elle aurait été confrontée à une sanction pénale.

Enfin, le Tribunal administratif a caractérisé la conduite d’Amazon comme relevant d’une négligence et a exclu une intention de violer la loi, ce qui est un point d’ancrage important si l’on raisonne ensuite à partir de l’article 14 de la LCA. Ainsi d’un côté, l’article 14 de la LCA demeure un filtre classique avec l’exclusion de l’intentionnel et du dolosif [12]. Les précisions de la CJUE, en rappelant que la négligence suffit pour l’amende RGPD, renforcent l’idée qu’une exclusion fondée uniquement sur l’intention ne peut pas, à elle seule, déterminer l’assurabilité ou non des amendes de la CNPD¹⁵. De l’autre côté, le cœur du débat se déplace de plus en plus vers l’article 97 et, plus largement, vers les principes d’ordre public attachés à la personnalité des peines. Les décisions luxembourgeoises de 2025, tant au niveau de la Cour d’appel que de la Cour de cassation, attestent d’une position croissante à qualifier de pénales, au sens fonctionnel, des sanctions administratives, en particulier lorsque leur finalité répressive et leur sévérité sont établies [11][12].

La Cour administrative, par réformation du jugement de première instance, ne tranche cependant pas la question de savoir si l’amende RGPD prononcée par la CNPD revêt ou non un caractère pénal au sens des critères Engel. Sur le moyen tiré du défaut d’impartialité, elle raisonne en effet indépendamment de la question de l’applicabilité de l’article 6, paragraphe 1, de la CEDH et de celle de savoir si l’amende ou l’astreinte présentent un tel caractère, en retenant qu’en tout état de cause la CNPD doit respecter des garanties minimales d’impartialité et qu’un éventuel vice à ce niveau peut être purgé par le contrôle de pleine juridiction exercé par les juridictions administratives. L’arrêt de la Cour administrative ne constitue donc pas, pour les besoins du droit des assurances, une validation nette de la thèse selon laquelle les amendes RGPD de la CNPD seraient dépourvues de toute dimension pénale, mais laisse au contraire cette qualification en suspens.  

La Cour administrative a traditionnellement adopté une approche prudente sur le sujet, se limitant aux aspects procéduraux et évitant les qualifications de fond, en recourant à des formulations conditionnelles telles que « à supposer que les sanctions qu’elle [la CSSF] prononce aient un caractère pénal » [15]. Sans surprise, l’arrêt du 12 mars 2026 s’inscrit dans cette continuité en reprenant mot pour mot la même formule : « à supposer que les sanctions qu’elle [la CNPD] prononce aient un caractère pénal » [8].

En France, l’ACPR prend position en défaveur de l’assurabilité des amendes administratives

Dans un communiqué du 18 mars 2025, l’Autorité de contrôle prudentiel et de résolution (ACPR) a indiqué que la prise en charge par un assureur d’une sanction pécuniaire prononcée par une autorité administrative serait contraire à l’ordre public, en « rappelant » que ces sanctions ne sont pas assurables¹⁶.

Bien que non contraignante au Luxembourg, cette position française certes débattue dans la doctrine juridique française¹⁷, peut néanmoins étayer un argument fondé sur le droit luxembourgeois. En effet, les juridictions luxembourgeoises se réfèrent souvent, lorsque cela est pertinent, à des systèmes juridiques étrangers, en particulier au droit français et belge. Dans le domaine des assurances plus spécifiquement, la LCA s’inspire largement d’une ancienne loi belge¹⁸, laquelle tend elle-même à suivre la jurisprudence française. Dès lors, la position de l’ACPR peut revêtir une valeur persuasive lors de l’appréciation de la compatibilité des amendes administratives avec l’ordre public luxembourgeois au regard de l’article 6 du Code civil.

Certains auteurs observent que les polices qui envisagent une couverture des amendes administratives le font, en pratique, sous réserve d’assurabilité. Cela traduit, par une approche prudente, la volonté de neutraliser le risque de nullité ou d’inopposabilité d’une garantie qui toucherait l’ordre public, et d’éviter, autant que possible, qu’une police soit interprétée comme organisant la neutralisation économique d’une sanction à visée dissuasive¹⁹. Dans le même esprit, et toujours en France, une note doctrinale relève qu’une garantie « sanctions pécuniaires » adossée à une assurance de responsabilité civile a pu être discutée en jurisprudence, sans que la Cour de cassation n’ait eu à se prononcer sur la validité de principe d’une assurance de sanction administrative, faute d’être saisie de cette question²⁰.

Enfin, une analyse sectorielle de l’Association des professionnels de la réassurance en France (APREF) observe que les amendes RGPD ne sont généralement pas considérées comme assurables dans plusieurs États européens, tout en notant que certaines polices, notamment cyber, prévoient une indemnisation, et que des coûts d’enquêtes administratives ou de défense peuvent être couverts, en soulignant toutefois l’attente de clarifications judiciaires²¹. Ainsi même lorsque la garantie est envisagée contractuellement, l’assurabilité demeure fréquemment conditionnée par une clause de conformité au droit applicable.

Conclusion

Si l’actualité récente ne tranche pas encore, en droit luxembourgeois, la question de l’assurabilité des amendes RGPD prononcées par la CNPD, elle modifie en revanche les termes du débat.

D’une part, la CJUE rappelle que l’amende RGPD peut reposer sur une faute non-intentionnelle [13]. Autrement dit l’article 14 de la LCA, qui vise l’intentionnel et le dolosif, ne peut pas, à lui seul, servir de réponse générale à la question de la couverture d’une amende RGPD. Le débat se situe désormais ailleurs : si l’amende RGPD est analysée comme une sanction punitive et dissuasive, susceptible d’être qualifiée de sanction pénale, alors la discussion bascule vers l’article 97 et, plus largement, vers l’ordre public.

D’autre part, l’arrêt de la Cour administrative ne tranche pas directement la nature pénale des amendes de la CNPD au sens des critères Engel [8]. Il ne fournit donc pas d’argument permettant de conclure à leur assurabilité de principe. Dans le même temps, la jurisprudence luxembourgeoise récente confirme une lecture fonctionnelle des sanctions administratives au regard des critères Engel et n’hésite pas à leur reconnaître une nature pénale [11][12].

Ce contexte nous amène alors à conclure, et a fortiori à maintenir notre analyse de 2023, que, en l’état actuel du droit luxembourgeois, la couverture des mesures financières prononcées par la CNPD elle‑même présente un risque d’inassurabilité élevé, au regard de l’article 97 de la LCA et des principes d’ordre public [1].

Sources

1. Virginie Liebermann et Ariane Wourwoukas, MOLITOR Avocats à la Cour, « GDPR : Assurabilité des sanctions administratives », article publié sur le site de l’ACA le 10 février 2023. ↩︎
2. Ces critères ayant également été repris par la Cour de justice de l’Union européenne ; voy. notamment CJUE, 5 juin 2012, Łukasz Marcin Bonda, aff. C-489/10 ; CJUE, 26 février 2013, Åklagaren c. Hans Åkerberg Fransson, aff. C-617/10 ; CJUE, 20 mars 2018, Luca Menci, aff. C-524/15 et CJUE, 20 mars 2018, Garlsson Real Estate SA, en liquidation, Stefano Ricucci, Magiste International SA c. Commissione Nazionale per le Società e la Borsa (Consob), aff. C-537/16. ↩︎
3. Voy. en ce sens : M. MARTY, « Le principe ne bis in idem ou la quête de l’immunité pénale », in Le risque pénal du banquier, Limal, Anthemis, 2020, p. 46. ↩︎
4. Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (RGPD).[3] Article 83 du RGPD. ↩︎
5. Article 83 du RGPD. ↩︎
6. Cécile de Terwangne et Karen Rosier, Larcier, Le règlement général sur la protection des données, § 4 « Catégories d’amendes et montants ». ↩︎
7. CNPD, communication du 19 mars 2025 : « Décision concernant Amazon Europe Core S.à r.l. » ; Tribunal administratif, 18 mars 2025, n° 46578 du rôle. ↩︎
8. Cour administrative, 12 mars 2026, n° 52757C du rôle ↩︎
9. Alinéa 1 de l’article 14 de la loi modifiée du 27 juillet 1997 sur le contrat d’assurance (version coordonnée au 25 novembre 2025) : « Nonobstant toute convention contraire, mais sans préjudice de l’article 103 point 1, l’assureur ne peut être tenu de fournir sa garantie à l’égard de quiconque a causé le sinistre d’une manière intentionnelle ou dolosive. » ↩︎
10. Article 97 de la loi modifiée du 27 juillet 1997 sur le contrat d’assurance (version coordonnée au 25 novembre 2025) : « Aucune amende ni transaction pénale ne peuvent faire l’objet d’un contrat d’assurance, à l’exception de celles qui sont à charge de la personne civilement responsable. » ↩︎
11. Cour d’appel, Chambre du conseil, 26 février 2025, n° 106/25 Ch.c.C. XI. ↩︎
12. Cour de cassation, 12 juin 2025, n° 102/2025 pénal, n° CAS‑2025‑00008 du registre. ↩︎
13. CJUE, 5 décembre 2023, affaires C‑807/21 et C‑683/21. ↩︎
14. En droit, l’« amende d’ordre » désigne une sanction pécuniaire imposée par une autorité administrative pour la violation de dispositions légales ou réglementaires relevant de sa compétence. Elle se distingue ainsi, en droit interne, de l’amende pénale au sens strict. ↩︎
15. Cour administrative, 27 juin 2024, n° 49858C ; 27 juin 2024, n° 49889C ; 27 juin 2024, n° 49886C ; 19 juillet 2023 n° 48647C. ↩︎
16. ACPR, communiqué de presse du 18 mars 2025 : « Les sanctions pécuniaires prononcées par une autorité administrative ne sont pas assurables ». ↩︎
17. Voir notamment Julien Delayen, « Assurabilité des sanctions administratives : l’ACPR s’invite, maladroitement, dans le débat », Dalloz Actualité, 9 avril 2025. ↩︎
18. La loi du 16 mai 1891 était largement inspirée de la loi belge du 11 juin 1874. La LCA s’inspire de la loi du 25 juin 1992 sur le contrat d‘assurance terrestre. ↩︎
19. Pierre‑Grégoire Marly et Alexis Valençon, « L’assurance du risque cyber », Dalloz IP/IT, 2019, p. 603. ↩︎
20. Luc Grynbaum, « Assurance des sanctions pécuniaires administratives et frais de défense : un arrêt didactique, muet sur l’assurabilité », Revue des sociétés,2020, p. 103. ↩︎
21. Commission RC APREF, « Amendes et sanctions », octobre 2021. ↩︎