D

Article 33 RGPD notification des violations de données

Guide pratique sur l'article 33 du RGPD : délai de notification, évaluation des risques, contenu obligatoire et bonnes pratiques.

TD
Dr. Thiébaut Devergranne
5 juin 20256 min read

La gestion d’une violation de données personnelles est un moment critique pour toute organisation. L’article 33 du RGPD impose une obligation de notification à l’autorité de contrôle dans un délai strict de 72 heures après la découverte de l’incident. La CNIL reçoit chaque année un nombre croissant de notifications, avec une hausse de 20 % constatée récemment. En janvier 2026, la sanction de 5 millions d’euros infligée à France Travail a illustré les conséquences d’un défaut de sécurité ayant conduit à l’exfiltration de données de plus de 36 millions de personnes, rappelant l’importance critique du respect du délai de 72 heures et de la documentation de l’incident (source : CNIL, janvier 2026). Ce guide détaille le processus de notification prévu par l’article 33, depuis l’évaluation initiale du risque jusqu’à la documentation finale.

La bonne application de l’article 33 repose sur une collaboration étroite avec le délégué à la protection des données et sur des contrats clairs avec les sous-traitants.

Points Clés

  • L’article 33 impose une notification à l’autorité de contrôle dans un délai maximal de 72 heures après la prise de connaissance d’une violation.
  • Seules les violations présentant un risque pour les droits et libertés des personnes physiques doivent être notifiées.
  • La notification doit contenir la nature de la violation, les catégories de données concernées, le nombre approximatif de personnes affectées et les mesures correctives.
  • Le responsable de traitement doit documenter toute violation dans un registre interne des incidents, y compris celles non notifiées.

Définition de la violation de données au sens du RGPD

L’article 33 s’applique à toute violation de la sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de données personnelles. Cette définition, issue de l’article 4 du RGPD, couvre un spectre large d’incidents.

On distingue trois catégories de violations. La violation de confidentialité correspond à un accès ou une divulgation non autorisés. La violation d’intégrité survient lorsque des données sont altérées, par exemple suite à un rançongiciel. La violation de disponibilité concerne la perte d’accès aux données, temporaire ou définitive.

Point de départ du délai de notification

Le délai de 72 heures court non pas depuis la violation elle-même, mais depuis le moment où le responsable de traitement en prend connaissance. Selon les lignes directrices du CEPD, cette prise de connaissance s’entend du moment où l’organisation dispose d’un degré raisonnable de certitude qu’un incident a compromis des données personnelles.

Une alerte de sécurité non investiguée ne reporte pas indéfiniment le délai. Si un responsable reçoit une alerte le lundi mais ne l’examine que le jeudi, la CNIL pourra considérer que la prise de connaissance aurait dû intervenir plus tôt.

Le délai de 72 heures commence dès qu’il existe un degré raisonnable de certitude que des données personnelles ont été compromises.

Évaluation du risque et décision de notification

L’article 33 précise que la notification n’est pas requise lorsque la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Ce seuil impose une évaluation rigoureuse et documentée.

Critères d’évaluation du risque

Plusieurs facteurs entrent en jeu. La nature et la sensibilité des données compromises constituent le premier critère : des données de santé présentent un risque intrinsèquement plus élevé que des coordonnées professionnelles publiques. Le volume de données et le nombre de personnes concernées influencent l’ampleur du risque. La facilité d’identification des personnes est déterminante : des données chiffrées ou soumises à anonymisation réduisent significativement le risque.

Le registre des traitements à jour facilite cette évaluation en fournissant une cartographie des données traitées et des mesures de sécurité en place.

Contenu obligatoire de la notification

L’article 33, paragraphe 3, énumère les informations obligatoires de la notification. Celle-ci doit décrire la nature de la violation, les catégories et le nombre approximatif de personnes et d’enregistrements concernés. Elle doit communiquer les coordonnées du DPO ou d’un point de contact. Elle doit exposer les conséquences probables et décrire les mesures prises ou proposées pour remédier à la violation.

L’article 33, paragraphe 4, autorise une notification échelonnée lorsque toutes les informations ne sont pas disponibles dans les 72 heures. La CNIL met à disposition un téléservice qui facilite cette approche progressive. Environ 40 % des notifications en Europe sont complétées en plusieurs étapes, ce qui montre que cette pratique est courante et acceptée.

Obligations du sous-traitant en cas de violation

L’article 33, paragraphe 2, impose au sous-traitant de notifier le responsable de traitement dans les meilleurs délais après avoir pris connaissance d’une violation. Le sous-traitant ne notifie pas directement la CNIL, mais doit transmettre l’information sans retard injustifié.

Cette obligation doit être formalisée dans le contrat de sous-traitance conformément à l’article 28. Un délai contractuel interne de 24 à 48 heures est recommandé pour laisser au responsable le temps d’évaluer et de notifier dans les 72 heures réglementaires.

Documentation des violations dans le registre interne

L’article 33, paragraphe 5, impose de documenter toute violation de données dans un registre interne, en indiquant les faits, ses effets et les mesures prises. Ce registre est distinct du registre des traitements mais complémentaire.

Pour chaque incident, il faut consigner la date de découverte, la description des faits, les catégories de données et de personnes concernées, les conséquences probables, les mesures correctives et la décision de notifier ou non avec sa justification. La mise en place d’une procédure de gestion des incidents, intégrée à la démarche de conformité, garantit la réactivité exigée.

Toute violation doit être documentée, même si elle ne nécessite pas de notification à l’autorité de contrôle.

Sanctions applicables en cas de manquement

Le non-respect de l’article 33 expose à des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Les sanctions pour défaut de notification se cumulent fréquemment avec celles liées au manquement à la sécurité qui a rendu la violation possible.

Au-delà des amendes, le défaut de notification engendre des conséquences réputationnelles majeures. L’adoption d’une checklist de conformité et la collecte via un formulaire conforme contribuent à réduire le risque de violation en amont.

FAQ

La notification à la CNIL est-elle obligatoire pour toute violation ?

Non. La notification n’est obligatoire que lorsque la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes. Si les données étaient intégralement chiffrées et que la clé n’a pas été compromise, la notification peut ne pas être requise. Toutefois, la violation doit impérativement être consignée dans le registre interne des incidents.

Que se passe-t-il si le délai de 72 heures est dépassé ?

Le responsable doit tout de même notifier en justifiant les motifs du retard, comme le prévoit l’article 33. La CNIL prend en compte la bonne foi et les circonstances, mais un retard injustifié constitue un facteur aggravant. Il est préférable de notifier tardivement que de ne pas notifier du tout.

Faut-il aussi informer les personnes concernées ?

L’obligation d’informer directement les personnes relève de l’article 34, distinct de l’article 33. Cette communication est requise lorsque la violation engendre un risque élevé pour les droits et libertés, soit un seuil plus exigeant. Le responsable doit alors décrire la violation en termes clairs, indiquer les conséquences probables et préciser les mesures prises.

Conclusion

L’article 33 du RGPD constitue un pilier de la gestion des incidents de sécurité en matière de protection des données. Sa mise en oeuvre repose sur trois éléments : une procédure interne de détection rapide, une méthodologie d’évaluation des risques documentée et un registre des violations rigoureusement tenu. Les organisations qui investissent dans la préparation gèrent mieux les violations lorsqu’elles surviennent, transformant une obligation réglementaire en levier de confiance.

Automate your GDPR compliance

Save 340+ hours per year on compliance work. Legiscope provides AI-powered GDPR management trusted by compliance professionals.

Discover Legiscope
TD
Written by
Dr. Thiébaut Devergranne
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

Continue reading

Articles connexes

A step by step guide to e-commerce compliance under the GDPR
Data Privacy

A step by step guide to e-commerce compliance under the GDPR

Are IP Addresses Considered Personal Data? Comprehensive Guide on GDPR and CCPA
Personal Data

Are IP Addresses Considered Personal Data? Comprehensive Guide on GDPR and CCPA

Article 28 of the GDPR: Obligations Imposed on Processors
Personal Data

Article 28 of the GDPR: Obligations Imposed on Processors

Article 28 of the GDPR: Obligations, Enforcement, and Compliance Strategies
Data Privacy

Article 28 of the GDPR: Obligations, Enforcement, and Compliance Strategies

Comprehensive GDPR Audit Guide for Ensuring Compliance
Personal Data

Comprehensive GDPR Audit Guide for Ensuring Compliance

Comprehensive GDPR Data Storage Compliance Guide 2024
Personal Data

Comprehensive GDPR Data Storage Compliance Guide 2024