Notification de violation de données RGPD : Art. 33 et 34

En cas de violation de données personnelles, le RGPD impose un double mécanisme de notification : à l’autorité de contrôle sous 72 heures (Art. 33) et aux personnes concernées lorsque le risque est élevé (Art. 34). La CNIL a reçu 5 037 notifications de violations en 2023 (+14 % par rapport à 2022) et sanctionne régulièrement les organismes qui ne respectent pas les délais ou le contenu obligatoire de la notification.

Points Clés

• L’Art. 33 RGPD impose la notification de violation données RGPD à l’autorité de contrôle dans un délai de 72 heures après la prise de connaissance, sauf si la violation n’est pas susceptible d’engendrer un risque pour les droits des personnes.
• L’Art. 34 RGPD impose une communication aux personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour leurs droits et libertés.
• Le contenu minimal de la notification est fixé par l’Art. 33(3) RGPD : nature de la violation, catégories et nombre de personnes concernées, conséquences probables, mesures prises.
• Tout responsable de traitement doit tenir un registre des violations (Art. 33(5) RGPD), qu’une notification ait été effectuée ou non.
• Le sous-traitant doit notifier le responsable de traitement dans les meilleurs délais (Art. 33(2) RGPD).

Art. 33 RGPD : notification à l’autorité de contrôle

Délai de 72 heures

L’Art. 33(1) RGPD dispose :

« En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente […] dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. »

Le délai de 72 heures court à partir de la prise de connaissance de la violation par le responsable de traitement, pas à partir de la survenance de l’incident. Le CEPD (Lignes directrices 9/2022 sur la notification des violations) précise qu’un responsable est réputé avoir pris connaissance dès qu’il dispose d’un degré raisonnable de certitude qu’un incident de sécurité a affecté des données personnelles.

Si la notification ne peut pas être effectuée dans les 72 heures, l’Art. 33(1) permet une notification en plusieurs phases, mais le retard doit être motivé.

Exception : absence de risque

La notification n’est pas requise si la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes. Exemple : la perte d’un support chiffré dont la clé n’a pas été compromise. Toutefois, cette exception doit être documentée dans le registre des violations.

Contenu obligatoire : Art. 33(3)

La notification doit contenir au minimum :

a) Nature de la violation : description incluant les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d’enregistrements de données concernés.

b) Coordonnées du DPO ou d’un autre point de contact auprès duquel des informations complémentaires peuvent être obtenues.

c) Conséquences probables de la violation.

d) Mesures prises ou proposées par le responsable de traitement pour remédier à la violation, y compris les mesures pour en atténuer les éventuelles conséquences négatives.

Notification par le sous-traitant

L’Art. 33(2) RGPD impose au sous-traitant de notifier le responsable de traitement dans les meilleurs délais après avoir pris connaissance de la violation. Le contrat Art. 28 doit préciser les modalités de cette notification (délai contractuel, canal de communication, interlocuteur).

Art. 34 RGPD : communication aux personnes concernées

Quand communiquer aux personnes

L’Art. 34(1) RGPD impose la communication aux personnes concernées lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés :

« Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. »

Le seuil est plus élevé que pour la notification à l’autorité : il faut un risque élevé, pas un simple risque.

Contenu de la communication

La communication doit être rédigée en des termes clairs et simples (Art. 34(2) RGPD) et contenir :

• La nature de la violation
• Les coordonnées du DPO ou point de contact
• Les conséquences probables
• Les mesures prises et les mesures recommandées aux personnes pour se protéger

Exceptions : Art. 34(3)

La communication aux personnes n’est pas requise si :

a) Le responsable a mis en oeuvre des mesures de protection (chiffrement) rendant les données incompréhensibles pour toute personne non autorisée.

b) Le responsable a pris des mesures ultérieures garantissant que le risque élevé n’est plus susceptible de se matérialiser.

c) La communication exigerait des efforts disproportionnés – dans ce cas, une communication publique (communiqué, bannière sur le site) est requise.

Registre des violations : Art. 33(5)

L’Art. 33(5) RGPD impose de documenter toute violation de données personnelles, qu’elle ait fait l’objet d’une notification ou non :

« Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. »

Le registre des violations doit contenir pour chaque incident :

• Date et heure de la découverte
• Nature de la violation (confidentialité, intégrité, disponibilité)
• Catégories et nombre de personnes concernées
• Catégories et volume de données affectées
• Conséquences constatées et probables
• Mesures correctives prises
• Décision de notification (avec motivation en cas de non-notification)
• Date de notification le cas échéant

Ce registre est distinct du registre des traitements (Art. 30 RGPD) et doit être tenu à disposition de l’autorité de contrôle.

Exemples de sanctions CNIL

CNIL, Délibération n°SAN-2021-020 du 31 décembre 2021 : Clearview AI a été sanctionnée de 20 millions d’euros pour plusieurs manquements, incluant l’absence de notification d’une violation de données ayant exposé les données biométriques de millions de personnes.

CNIL, Délibération n°SAN-2022-022 du 29 décembre 2022 : Dedalus Biologie a reçu une amende de 1,5 million d’euros pour un défaut de sécurité ayant conduit à la fuite de données médicales de près de 500 000 patients. Le sous-traitant n’avait pas mis en place les mesures de sécurité appropriées (Art. 32 RGPD) et la notification avait été tardive.

CNIL, mise en demeure 2023 : la CNIL a mis en demeure plusieurs organismes pour retard dans la notification de violation, rappelant que le délai de 72 heures est un maximum, pas un objectif.

DPC (Irlande), mars 2023 : Meta/Facebook a été sanctionné de 17 millions d’euros pour 12 notifications de violations tardives ou incomplètes entre 2018 et 2019.

Modèle de notification : éléments essentiels

La CNIL met à disposition un formulaire de notification en ligne sur son site (teleservice.cnil.fr). Voici les éléments à préparer :

Identification du responsable : dénomination, numéro SIREN, coordonnées du DPO.

Description de la violation : date et heure de l’incident, date et heure de la découverte, nature (accès non autorisé, perte, vol, divulgation accidentelle), vecteur (cyberattaque, erreur humaine, perte de support).

Données concernées : catégories (identité, coordonnées, données bancaires, données de santé), nombre approximatif de personnes et d’enregistrements.

Conséquences : impact potentiel sur les personnes (usurpation d’identité, perte financière, atteinte à la réputation, risque physique).

Mesures prises : actions immédiates (isolement du système, réinitialisation des accès), actions correctives (renforcement de la sécurité, changement de prestataire), communication aux personnes (si applicable).

FAQ

Le délai de 72 heures commence-t-il à la survenance de l’incident ?

Non. Le délai court à partir de la prise de connaissance de la violation par le responsable de traitement, c’est-à-dire le moment où il acquiert un degré raisonnable de certitude qu’une violation affectant des données personnelles s’est produite. Si le sous-traitant découvre l’incident, le délai pour le responsable court à partir du moment où le sous-traitant l’en informe.

Faut-il notifier toutes les violations de données à la CNIL ?

Non. L’Art. 33(1) RGPD prévoit une exception : les violations qui ne sont pas susceptibles d’engendrer un risque pour les droits et libertés des personnes n’ont pas à être notifiées. En revanche, elles doivent être documentées dans le registre des violations (Art. 33(5)). En cas de doute, la CNIL recommande de notifier par précaution.

Quelles sont les sanctions pour notification tardive ?

La notification tardive constitue un manquement à l’Art. 33 RGPD, sanctionnable au titre de l’Art. 83(4)(a) RGPD : amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. En pratique, le retard de notification est souvent un facteur aggravant dans les sanctions globales prononcées par les autorités de contrôle.

Le sous-traitant doit-il notifier directement la CNIL ?

Non. Le sous-traitant notifie le responsable de traitement (Art. 33(2) RGPD), qui est seul compétent pour notifier l’autorité de contrôle. Le contrat Art. 28 doit prévoir les modalités de cette notification interne, notamment le délai (souvent fixé à 24 ou 48 heures contractuellement, alors que le RGPD exige seulement « les meilleurs délais »).