Notification de violation de données au titre du RGPD : la règle des 72 heures expliquée (2026)

En vertu de l'article 33 du RGPD, les responsables du traitement doivent notifier leur autorité de contrôle dans un délai de 72 heures après avoir eu connaissance d'une violation de données à caractère personnel, dès lors que celle-ci est susceptible d'engendrer un risque pour les personnes concernées. Le délai commence à courir lorsque le responsable du traitement dispose d'une certitude raisonnable qu'une violation s'est produite, et non lorsque l'enquête est achevée.
Lorsqu'une violation de données à caractère personnel survient, le compte à rebours commence immédiatement. En vertu du RGPD, les responsables du traitement disposent d'un délai de seulement 72 heures pour notifier leur autorité de contrôle après avoir eu connaissance d'une violation entrant dans le champ de cette obligation. Manquer ce délai constitue une violation autonome pouvant entraîner des amendes significatives, et les affaires visant Meta, Bank of Ireland et Permanent TSB montrent que les autorités de contrôle poursuivent activement ce type de manquement.
Les articles 33 et 34 du règlement (UE) 2016/679 établissent le cadre de notification des violations. Les lignes directrices 9/2022 du CEPD sur la notification des violations de données à caractère personnel (version 2.0, adoptées en avril 2023) et les lignes directrices 01/2021 du CEPD sur les exemples de violations qui les accompagnent fournissent l'interprétation faisant autorité, utilisée par toutes les autorités de contrôle de l'UE et de l'EEE.
Ce guide explique ce qui constitue une violation, quand chaque obligation de notification est déclenchée, ce qu'il faut précisément inclure, ce que signifie « avoir connaissance », le rôle du sous-traitant, l'obligation de tenir un registre des violations, les pièges courants, l'exécution, et la manière dont les règles du RGPD se comparent aux autres cadres majeurs.
Pour le contexte réglementaire plus large, consultez Qu'est-ce que le RGPD. Pour la planification de la conformité, consultez la liste de contrôle pour la conformité au RGPD. Pour les fourchettes de sanctions, consultez amendes et sanctions du RGPD.
Cet article est fourni à titre d'information générale et ne constitue pas un avis juridique. Consultez un avocat ou un professionnel de la protection des données qualifié pour obtenir des conseils adaptés à votre situation.
Réponse rapide
La règle des 72 heures désigne l'article 33, paragraphe 1, du RGPD. Lorsqu'une violation de données à caractère personnel survient, le responsable du traitement doit notifier l'autorité de contrôle compétente dans un délai de 72 heures après en avoir eu connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.
Si la notification ne peut être effectuée dans les 72 heures, elle doit néanmoins être soumise dès que possible, accompagnée d'une justification motivée du retard.
Une obligation distincte, prévue à l'article 34, peut imposer au responsable du traitement d'informer également directement les personnes concernées, mais uniquement lorsque la violation est susceptible d'engendrer un risque élevé, un seuil plus exigeant.
Ce qui constitue une violation de données à caractère personnel
L'article 4, point 12, du RGPD définit une violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».
La Commission européenne et le guide du CEPD à destination des PME sur les violations de données organisent cette notion autour de trois types d'incidents de sécurité : la triade confidentialité, intégrité, disponibilité.
Violation de confidentialité
Divulgation ou accès non autorisés ou accidentels à des données à caractère personnel. Exemples :
- Une cyberattaque permet d'accéder à une base de données clients
- Un salarié envoie par courriel des données à caractère personnel au mauvais destinataire
- Un ordinateur portable volé ou perdu contient des données à caractère personnel non chiffrées
- Les systèmes d'un sous-traitant sont compromis, exposant des données partagées avec lui dans le cadre d'un contrat au titre de l'article 28
- Un espace de stockage en nuage est mal configuré et devient accessible publiquement
Violation d'intégrité
Altération non autorisée ou accidentelle de données à caractère personnel. Exemples :
- Une cyberattaque modifie des dossiers médicaux
- Un bogue logiciel corrompt des données de paie
- Un utilisateur non autorisé modifie les informations d'un compte client sans y être habilité
Violation de disponibilité
Perte d'accès accidentelle ou non autorisée à des données à caractère personnel, ou destruction de celles-ci. Exemples :
- Une attaque par rançongiciel chiffre une base de données sans qu'aucune sauvegarde ne soit disponible
- Une panne de serveur détruit définitivement des enregistrements sans possibilité de récupération
- Un salarié supprime accidentellement un jeu de données sans sauvegarde en place
Les attaques par rançongiciel sont particulièrement importantes car elles peuvent déclencher simultanément les trois types de violation : les données chiffrées constituent une violation de disponibilité ; si les données ont également été exfiltrées avant le chiffrement, il s'agit d'une violation de confidentialité ; et l'intégrité ne peut être garantie si l'attaquant disposait d'un accès en écriture.
Les orientations de l'ICO sur les violations de données à caractère personnel soulignent qu'une violation n'exige pas d'intention malveillante. La perte accidentelle, l'erreur humaine et les défaillances de systèmes sont toutes qualifiantes dès lors que des données à caractère personnel sont affectées.
Une précision sur les rançongiciels et les sauvegardes : une violation de disponibilité résultant d'un rançongiciel peut ne pas nécessiter de notification si l'organisation dispose de sauvegardes vérifiées et saines et peut restaurer les données rapidement, sans effet durable sur les personnes concernées. Toutefois, cette appréciation doit être documentée, et l'organisation doit être certaine qu'aucune donnée n'a été exfiltrée. En cas de doute, il convient de notifier.

La règle des 72 heures : la notification de violation de données à caractère personnel à l'autorité de contrôle (article 33)
L'obligation centrale
L'article 33, paragraphe 1, impose au responsable du traitement de notifier l'autorité de contrôle compétente « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance », sauf si la violation « n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ».
Deux éléments composent cette obligation :
Premièrement, la rapidité. La notification doit intervenir « dans les meilleurs délais » et, dans la mesure du possible, dans les 72 heures. Il s'agit d'exigences distinctes : le plafond de 72 heures ne signifie pas que l'on peut attendre 71 heures si l'information est disponible plus tôt.
Deuxièmement, le seuil. Seules les violations susceptibles d'engendrer au moins un certain risque pour les personnes concernées déclenchent cette obligation. Les violations véritablement peu susceptibles d'affecter quiconque n'ont pas besoin d'être notifiées à l'autorité, mais doivent tout de même être documentées en interne.
Ce que la notification doit contenir
L'article 33, paragraphe 3, précise quatre catégories d'informations requises :
- La nature de la violation : les catégories et le nombre approximatif de personnes concernées ; les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ; les circonstances de la survenance de la violation
- Le point de contact : le nom et les coordonnées du DPD ou d'un autre point de contact
- Les conséquences probables : une description des conséquences probables de la violation pour les personnes concernées
- Les mesures prises : les mesures prises ou envisagées pour remédier à la violation, y compris les mesures visant à en atténuer les effets négatifs
La notification par phases
L'article 33, paragraphe 4, autorise explicitement une notification en plusieurs phases. Si l'ensemble des informations n'est pas disponible dans les 72 heures, il convient de soumettre une notification initiale contenant les informations disponibles dans ce délai. Les informations complémentaires doivent suivre « sans autre délai indu » à mesure que l'enquête progresse.
Il s'agit du mécanisme que les régulateurs attendent des responsables du traitement dans les incidents complexes. Soumettre une notification initiale indiquant que « l'enquête est en cours » vaut bien mieux qu'attendre d'avoir une vision complète et de manquer le délai de 72 heures.
Comment notifier
Le CEPD tient à jour un répertoire des portails de notification des violations pour chaque autorité de contrôle nationale. La plupart des autorités acceptent les notifications via des formulaires en ligne.
Dans le cadre du mécanisme du guichet unique, les responsables du traitement disposant d'un établissement principal dans l'UE notifient l'autorité de contrôle chef de file (l'autorité de l'État membre où se trouve l'établissement principal du responsable du traitement). Si la violation affecte principalement des personnes situées dans un État membre spécifique, ces autorités peuvent également être notifiées.
L'exception d'« absence de risque »
La notification n'est pas requise si la violation « n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ». Les lignes directrices 9/2022 du CEPD précisent qu'il s'agit d'une exception étroite. La plupart des violations impliquant des données à caractère personnel comportent au moins un certain risque. Lorsque l'appréciation est incertaine, le CEPD recommande de privilégier la notification.
Les facteurs réduisant le risque et pouvant justifier une décision de non-notification comprennent :
- Les données étaient entièrement chiffrées et la clé de chiffrement n'a pas été compromise
- Les données étaient déjà accessibles publiquement et leur exposition n'a causé aucun préjudice supplémentaire
- La violation a été contenue immédiatement, sans accès externe confirmé
- Les catégories de données concernées sont non sensibles et la violation a été brève
Même lorsque vous décidez de ne pas notifier l'autorité de contrôle, la violation doit tout de même être consignée dans le registre des violations.
Le point de départ du délai : « avoir connaissance »
Le délai de 72 heures court à compter du moment où le responsable du traitement « a connaissance » de la violation : ni du moment où elle a débuté, ni de la fin de l'enquête, ni du moment où son étendue complète est connue.
Les lignes directrices 9/2022 du CEPD définissent la connaissance comme le moment où « le responsable du traitement dispose d'un degré raisonnable de certitude qu'un incident de sécurité s'est produit et a conduit à la compromission de données à caractère personnel ».
Scénarios pratiques
Lorsque votre système de détection d'intrusion, de surveillance des journaux ou de gestion des informations et des événements de sécurité (SIEM) déclenche une alerte concernant une violation, la connaissance commence lorsqu'une personne responsable examine et reconnaît cette alerte comme indiquant une violation probable. Le simple fait de recevoir une alerte automatisée sur laquelle personne n'agit ne constitue pas nécessairement une connaissance, mais les organisations sont censées disposer de procédures de réponse raisonnables afin que les alertes soient examinées rapidement.
Lorsqu'un sous-traitant découvre une violation en premier et en informe le responsable du traitement, ce dernier en a connaissance au moment où il reçoit la notification du sous-traitant. Le délai ne court pas à partir du moment où le sous-traitant a découvert l'incident, mais uniquement si le sous-traitant a notifié promptement.
Lorsqu'un tiers (un chercheur en sécurité, un client, un journaliste) signale une violation de manière crédible, le responsable du traitement en a connaissance lorsqu'il reçoit une information lui conférant un degré raisonnable de certitude qu'une violation s'est produite.
Une enquête en cours visant à déterminer l'étendue complète d'une violation ne suspend pas le délai. Le responsable du traitement doit notifier sur la base des informations disponibles au terme des 72 heures et compléter avec des informations supplémentaires au fur et à mesure que l'enquête progresse.
Erreurs courantes sur la notion de connaissance
Les responsables du traitement traitent parfois le début de l'enquête comme le point de départ du délai. C'est une erreur. Un courriel d'hameçonnage ouvert, des identifiants compromis, ou un journal d'accès révélant une activité inhabituelle peuvent tous constituer une certitude suffisante qu'une violation s'est produite, même avant que l'enquête ne soit terminée.
Les autorités de contrôle ont sanctionné des organisations précisément pour avoir clôturé leurs enquêtes avant de déposer leurs notifications de violation, dépassant ainsi le délai de 72 heures. La CNIL française, en particulier, a cité des évaluations de risque inadéquates et des points de départ de notification retardés comme des violations récurrentes.

La notification aux personnes concernées (article 34)
Le seuil du risque élevé
L'article 34, paragraphe 1, impose aux responsables du traitement de communiquer une violation aux personnes concernées « dans les meilleurs délais » lorsque la violation « est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ».
Le seuil de risque élevé est sensiblement plus exigeant que le seuil de « risque » applicable à la notification à l'autorité de contrôle. Toute violation devant être signalée à l'autorité de contrôle ne requiert pas nécessairement une notification individuelle.
Les lignes directrices du CEPD invitent les responsables du traitement à apprécier le risque élevé en pondérant :
- La sensibilité des données : les données de santé, financières, biométriques, les numéros d'identification et les données concernant des enfants comportent un risque accru
- Le volume : un nombre plus important de personnes concernées augmente généralement le risque
- La facilité d'identification : les données facilement rattachables à des personnes spécifiques présentent un risque plus élevé
- Les conséquences probables : l'usurpation d'identité, la perte financière, la discrimination, l'atteinte à la réputation et les risques pour la sécurité physique justifient tous une qualification de risque élevé
- Les caractéristiques particulières des personnes concernées : les groupes vulnérables (mineurs, patients, personnes en situation de violence domestique) sont exposés à un préjudice potentiel plus important
Ce que la communication doit contenir
La communication aux personnes concernées doit transmettre :
- Une description claire, en langage simple, de la nature de la violation
- Le nom et les coordonnées du DPD ou d'un autre point de contact
- Une description des conséquences probables pour la personne concernée
- Les mesures prises ou envisagées pour remédier à la violation et en atténuer les effets
La communication doit être directe, adressée à chaque personne concernée, sauf si une notification individuelle exigerait des efforts disproportionnés, auquel cas une communication publique ou une mesure alternative tout aussi efficace est requise.
Trois exceptions à la notification des personnes concernées
L'article 34, paragraphe 3, prévoit trois situations dans lesquelles la notification individuelle n'est pas requise, même en présence d'un risque élevé :
Premièrement, le chiffrement ou une protection équivalente. Le responsable du traitement a appliqué des mesures techniques appropriées (telles que le chiffrement) rendant les données à caractère personnel inintelligibles pour toute personne non autorisée, et ces mesures ont été appliquées aux données concernées par la violation. Pour que cette exception s'applique, le chiffrement doit avoir été robuste et la clé ne doit pas avoir été compromise.
Deuxièmement, des mesures de remédiation ultérieures. Le responsable du traitement a pris des mesures ultérieures garantissant que le risque élevé pour les personnes concernées n'est plus susceptible de se matérialiser. Par exemple : des identifiants ont été compromis, mais le responsable du traitement les a immédiatement révoqués avant toute utilisation non autorisée, et aucune preuve d'exfiltration de données n'existe.
Troisièmement, l'effort disproportionné. Lorsque l'identification et le contact direct de chaque personne concernée exigeraient un effort disproportionné, le responsable du traitement doit procéder à une communication publique informant les personnes de manière tout aussi efficace, généralement un communiqué de presse, un avis sur le site web, ou une annonce sur les réseaux sociaux.
L'obligation du sous-traitant (article 33, paragraphe 2)
Les sous-traitants ont leur propre obligation de notification de violation au titre de l'article 33, paragraphe 2. Après avoir eu connaissance d'une violation de données à caractère personnel, le sous-traitant doit en informer le responsable du traitement « sans délai indu ».
Le RGPD ne fixe pas de délai précis en heures pour la notification du sous-traitant au responsable du traitement. Toutefois, les lignes directrices 9/2022 du CEPD recommandent aux sous-traitants de viser une notification au responsable du traitement dans les 72 heures suivant leur propre découverte, car le délai de 72 heures dont dispose le responsable du traitement vis-à-vis de l'autorité de contrôle dépend en pratique de la réception en temps utile de la notification du sous-traitant.
Ce que cela implique pour les contrats
Les accords de traitement des données au titre de l'article 28 devraient préciser :
- Un délai maximal de notification du sous-traitant au responsable du traitement (24 heures est une pratique courante ; 72 heures représente le maximum pratique)
- Le contenu minimal que le sous-traitant doit inclure dans sa notification (nature de la violation, catégories de données concernées, nombre approximatif de personnes concernées, conséquences probables, mesures de confinement initiales)
- Une obligation pour le sous-traitant d'assister le responsable du traitement dans la préparation de la notification à l'autorité de contrôle et de toute communication aux personnes concernées
- L'obligation du sous-traitant de coopérer avec l'enquête de l'autorité de contrôle
- Les contacts d'escalade et les procédures en dehors des heures ouvrées
Un sous-traitant qui ne notifie pas le responsable du traitement à temps, faisant ainsi manquer à ce dernier le délai de 72 heures, peut lui-même faire l'objet d'un examen réglementaire. Le recueil de cas du guichet unique du CEPD sur la sécurité du traitement et la notification des violations de données (2024) documente la manière dont les autorités de contrôle ont traité les défaillances de la chaîne de sous-traitance dans des affaires transfrontalières.
Le registre des violations (article 33, paragraphe 5)
L'article 33, paragraphe 5, impose aux responsables du traitement de documenter toutes les violations de données à caractère personnel, qu'une notification à l'autorité de contrôle ait été requise ou non. Ce registre interne des violations doit inclure :
- Les faits relatifs à la violation (ce qui s'est passé, comment elle a été découverte, quand elle s'est produite et quand elle a été détectée)
- Les effets de la violation sur les personnes concernées
- Les mesures correctives prises et envisagées
- L'évaluation du risque effectuée par le responsable du traitement : l'analyse de la probabilité et de la gravité du risque pour les personnes concernées
- Les motifs justifiant la notification ou l'absence de notification à l'autorité de contrôle
- Le cas échéant, les motifs justifiant l'absence de notification aux personnes concernées
- Les détails de toute notification effectuée (date, contenu, autorité destinataire)
Le registre des violations doit être mis à la disposition de l'autorité de contrôle sur demande. Il constitue la principale preuve documentaire que le responsable du traitement a géré la violation en conformité avec le RGPD. Lors des enquêtes et des audits, l'absence de registre approprié est elle-même traitée comme une violation.
Le registre doit être conservé de manière sécurisée et réexaminé périodiquement. Les organisations traitant des volumes importants de données à caractère personnel devraient considérer le registre des violations comme un document vivant, et non comme un dépôt ponctuel.
Erreurs courantes
Attendre la fin de l'enquête avant de notifier. Il s'agit de l'erreur la plus fréquemment citée. Le délai commence à la connaissance, non à la fin de l'enquête. La notification par phases est le mécanisme prévu à cet effet. Déposez la notification initiale avec les informations disponibles dans les 72 heures, puis complétez-la.
Considérer la découverte par le sous-traitant comme le point de départ. Si votre sous-traitant a découvert la violation plusieurs jours avant de vous en informer, votre délai de 72 heures ne commence pas à la date de découverte du sous-traitant. Mais si la notification tardive du sous-traitant vous a fait manquer le délai, vous et le sous-traitant pouvez tous deux faire l'objet d'un examen réglementaire.
Supposer qu'une violation mineure ne nécessite aucune documentation. Chaque violation, aussi minime soit-elle, requiert une entrée au registre des violations. Seul le seuil de notification diffère. Omettre le registre pour les incidents à faible risque constitue une lacune de conformité qui apparaît lors des audits.
Des évaluations de risque vagues. Les autorités de contrôle, en particulier la CNIL française, ont cité des évaluations de risque inadéquates comme une violation autonome. Indiquer « nous avons évalué le risque comme faible » sans raisonnement, volumes de données, catégories concernées et analyse de gravité est insuffisant. L'entrée du registre doit démontrer le travail effectué.
Ne pas notifier les personnes concernées en présence d'un risque élevé. Lorsqu'une violation implique des données sensibles et qu'il existe une menace réaliste d'usurpation d'identité, de préjudice financier ou de discrimination, les responsables du traitement supposent parfois à tort que l'exception de chiffrement s'applique ou que le risque a été atténué. En cas de doute, il convient de notifier les personnes concernées.
Un contenu inadéquat dans la notification à l'autorité de contrôle. L'article 33, paragraphe 3, précise le contenu requis. La décision de la DPC concernant Meta, d'un montant de 251 millions d'euros en décembre 2024, comportait une constatation spécifique selon laquelle la notification de violation de Meta ne contenait pas toutes les informations requises au titre de l'article 33, paragraphe 3, ainsi qu'une constatation distincte au titre de l'article 33, paragraphe 5, pour une documentation de violation inadéquate. Les notifications incomplètes sont traitées comme une violation distincte de la notification tardive.

Exemples d'exécution
Meta : 251 millions d'euros (DPC irlandaise, décembre 2024)
La DPC irlandaise a infligé une amende de 251 millions d'euros à Meta à la suite d'une violation de 2018 au cours de laquelle des attaquants ont exploité des vulnérabilités de la fonctionnalité « Afficher en tant que » de Facebook pour voler des jetons d'accès concernant environ 29 millions de comptes dans le monde (dont environ 3 millions dans l'UE/EEE). L'amende comprenait plusieurs infractions : 8 millions d'euros pour une violation de l'article 33, paragraphe 3, la notification de Meta ne contenant pas toutes les informations requises ; 3 millions d'euros pour une documentation de violation inadéquate au titre de l'article 33, paragraphe 5 ; 130 millions d'euros pour une conception défaillante des systèmes au titre de l'article 25 ; et 110 millions d'euros pour ne pas avoir traité par défaut uniquement les données nécessaires.
La décision Meta est importante car elle montre que les autorités de contrôle prononcent des amendes autonomes pour un contenu de notification incomplet, et pas seulement pour une notification tardive.
Bank of Ireland : 463 000 euros (DPC irlandaise, 14 mars 2022)
La DPC irlandaise a infligé une amende de 463 000 euros à Bank of Ireland à la suite d'une enquête portant sur 22 notifications de violation effectuées entre novembre 2018 et juin 2019. La DPC a constaté que 19 de ces incidents constituaient des violations de données à caractère personnel. Une seule violation avait touché environ 47 000 personnes concernées ; la notification initiale de BOI n'indiquait qu'une seule personne affectée. La DPC a constaté que BOI avait violé l'article 33, paragraphe 1, en ne signalant pas les violations sans délai indu : dans plusieurs cas, des violations avaient été détectées en interne mais n'avaient pas été transmises au DPD pendant neuf jours ou plus, dépassant largement le délai de 72 heures.
Permanent TSB : 277 500 euros (DPC irlandaise, mai 2026)
La DPC irlandaise a infligé une amende de 277 500 euros à Permanent TSB à la suite d'une enquête sur des violations de données à caractère personnel signalées à partir de mai 2022. Les violations sont survenues lorsque des acteurs malveillants ont appelé le centre de contact Open24 de la banque, se sont fait passer pour des clients à l'aide d'informations client partielles, et ont accédé et modifié des informations de compte. 27 500 euros de l'amende concernaient spécifiquement l'infraction à l'article 33, paragraphe 1 : PTSB n'avait pas notifié la DPC dans les 72 heures suivant sa connaissance des violations. Un montant supplémentaire de 250 000 euros a été imposé pour des violations connexes des articles 5 et 32.
Booking.com : 475 000 euros (autorité néerlandaise, 2021)
L'autorité néerlandaise de protection des données a infligé une amende de 475 000 euros à Booking.com après que l'entreprise a notifié l'autorité 22 jours après avoir eu connaissance d'une violation ayant exposé des données à caractère personnel (y compris des informations financières et des données de passeport) de plus de 4 000 clients. Ce retard a été cité comme une violation autonome de l'article 33, paragraphe 1. Cette affaire demeure une référence clé dans les orientations des autorités de contrôle sur ce qui constitue un retard de notification inacceptable.
La notification de violation en contexte : comparaison avec d'autres juridictions
La règle des 72 heures du RGPD figure parmi les délais de notification de violation les plus stricts au monde. Un tableau comparatif de haut niveau :
| Juridiction | Loi | Notifier l'autorité | Notifier les personnes concernées | Déclencheur |
|---|---|---|---|---|
| UE/EEE | RGPD | 72 heures | Sans délai indu (risque élevé) | Risque pour les personnes concernées |
| Royaume-Uni | UK GDPR | 72 heures | Sans délai indu (risque élevé) | Identique au RGPD de l'UE |
| États-Unis (santé) | HIPAA | 60 jours | 60 jours (médias si 500 personnes ou plus) | Informations de santé protégées non sécurisées |
| États-Unis (États) | Variable | 72 heures à 30 jours | Sans délai déraisonnable | Informations personnelles compromises |
| Canada | LPRPDE | Dès que possible | Dès que possible | Risque réel de préjudice important |
| Australie | Régime NDB | 30 jours | Dès que praticable | Préjudice grave probable |
Le chevauchement avec NIS2. La directive NIS2, que tous les États membres de l'UE devaient transposer avant octobre 2024, impose une alerte précoce distincte dans les 24 heures, suivie d'une notification complète dans les 72 heures au CSIRT national ou à l'autorité compétente pour les incidents de cybersécurité significatifs touchant les entités essentielles et importantes. Une organisation soumise à la fois au RGPD et à NIS2 peut devoir notifier deux autorités distinctes pour un même incident : l'autorité de contrôle (APD) au titre de l'article 33 du RGPD, et l'autorité compétente ou le CSIRT au titre de NIS2. Les deux régimes ont des seuils et un contenu requis différents.
L'infrastructure de réponse aux violations
Les organisations qui gèrent bien les violations ont généralement mis en place les éléments suivants avant tout incident.
La capacité de détection. Les obligations de notification de violation sont impossibles à respecter sans la capacité technique de détecter rapidement les violations. Les systèmes de détection d'intrusion, les outils SIEM, la surveillance des points d'accès et la détection d'anomalies doivent générer des alertes exploitables atteignant le personnel concerné en quelques heures.
Une équipe de réponse désignée. Définissez les rôles avant tout incident : coordinateur de l'incident, responsable informatique/sécurité, contact juridique ou DPD, responsable de la communication, et escalade vers la direction. Chacun doit connaître son rôle et être joignable en dehors des heures ouvrées.
Un cadre d'évaluation des risques. Un modèle de notation préapprouvé (couvrant les catégories de données, le nombre de personnes concernées, la probabilité de préjudice et la gravité) permet à votre équipe de réaliser rapidement et de manière cohérente les évaluations de seuil des articles 33 et 34. La rapidité à ce stade détermine directement si vous respectez le délai de 72 heures.
Des modèles de notification. Rédigez des formulaires de notification à l'autorité de contrôle et des lettres aux personnes concernées pour les scénarios de violation les plus courants (vol d'identifiants, appareil perdu, compromission de système, divulgation accidentelle) avant tout incident. Des modèles préapprouvés permettent de gagner des heures précieuses pendant la réponse.
Les procédures des sous-traitants. Vérifiez que vos principaux sous-traitants disposent de procédures documentées de détection et de notification des violations, que leurs contrats précisent le délai de notification, et que vous disposez de contacts d'escalade en dehors des heures ouvrées.
Un registre des violations testé. Le format du registre doit être établi et compris par les personnes chargées de le remplir. Les registres non testés présentent souvent des lacunes qui ne deviennent visibles que lors d'une enquête de l'autorité de contrôle.
Des exercices sur table. Menez au moins un exercice de simulation par an. Parcourez l'ensemble du processus, de la détection à l'évaluation, la notification et la remédiation. Identifiez les points de rupture du processus.
Référence chronologique de notification
| Fenêtre | Action |
|---|---|
| Heure 0 | Violation détectée ou signalée au personnel responsable |
| Heures 0 à 4 | Confinement initial ; préservation des preuves ; notification de l'équipe de réponse interne |
| Heures 4 à 24 | Identification des données affectées, des volumes approximatifs et du type de violation ; évaluation initiale du risque |
| Heures 24 à 48 | Préparation de la notification à l'autorité de contrôle avec les informations disponibles |
| Heures 48 à 72 | Soumission de la notification (ou documentation et finalisation d'une décision de non-notification pleinement motivée) |
| Heure 72 et au-delà | Complément de la notification à mesure que l'enquête se poursuit ; évaluation de l'obligation de l'article 34 envers les personnes concernées ; mise en œuvre de la remédiation |
Autres guides sur le RGPD
- Qu'est-ce que le RGPD pour une présentation complète du règlement
- Liste de contrôle pour la conformité au RGPD pour un guide de conformité étape par étape
- Amendes et sanctions du RGPD pour les données d'exécution et la structure des sanctions
- Droits des personnes concernées au titre du RGPD pour les huit droits individuels
- Exigences de consentement au titre du RGPD pour les normes de consentement valide
- Le RGPD pour les petites entreprises pour des orientations spécifiques aux PME
- Lois européennes de protection des données pour la présentation complète de la protection des données de l'UE
Frequently Asked Questions
Qu'est-ce que la règle des 72 heures au titre du RGPD ?
En vertu de l'article 33, paragraphe 1, les responsables du traitement doivent notifier leur autorité de contrôle compétente dans un délai de 72 heures après avoir eu connaissance d'une violation de données à caractère personnel susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. La notification doit intervenir dans les meilleurs délais et, si possible, dans le délai de 72 heures. Si elle ne peut être effectuée dans ce délai, elle doit être accompagnée d'une justification motivée du retard. Le délai commence lorsque le responsable du traitement dispose d'un degré raisonnable de certitude qu'une violation s'est produite, et non lorsque l'enquête est achevée.
Toutes les violations de données doivent-elles être signalées à l'autorité de contrôle ?
Non. Seules les violations susceptibles d'engendrer un risque pour les droits et libertés des personnes concernées doivent être signalées à l'autorité de contrôle. Cependant, toutes les violations, y compris celles n'atteignant pas le seuil de notification, doivent être documentées dans le registre interne des violations au titre de l'article 33, paragraphe 5. Lorsque l'évaluation du risque est incertaine, le CEPD recommande de privilégier la notification.
Quelle est la différence entre notifier l'autorité de contrôle et notifier les personnes concernées ?
L'article 33 impose une notification à l'autorité de contrôle lorsqu'une violation présente un risque pour les personnes concernées (seuil inférieur), dans un délai de 72 heures. L'article 34 impose une notification aux personnes concernées lorsqu'une violation est susceptible d'engendrer un risque élevé (seuil supérieur), sans délai indu. Toute violation devant être signalée à l'autorité de contrôle ne requiert pas nécessairement une notification individuelle. La notification aux personnes concernées n'est pas requise si les données étaient chiffrées et la clé non compromise, si le risque a été effectivement atténué, ou si le contact individuel exigerait un effort disproportionné (auquel cas une communication publique est requise à la place).
À quel moment exact le délai de 72 heures commence-t-il à courir ?
Le délai commence lorsque le responsable du traitement dispose d'un degré raisonnable de certitude qu'un incident de sécurité s'est produit et que des données à caractère personnel ont été affectées. Pour les violations détectées par des systèmes internes, la connaissance commence lorsqu'une personne responsable reconnaît l'alerte comme indiquant une violation probable. Pour les violations signalées par un sous-traitant, la connaissance commence lorsque le responsable du traitement reçoit la notification. Pour les signalements externes, la connaissance commence lorsque le responsable du traitement reçoit une information crédible. Le délai n'attend pas la fin de l'enquête.
Que doit faire un sous-traitant lorsqu'il découvre une violation ?
En vertu de l'article 33, paragraphe 2, les sous-traitants doivent notifier le responsable du traitement sans délai indu après avoir eu connaissance d'une violation. Le RGPD ne fixe aucun délai précis en heures, mais les lignes directrices 9/2022 du CEPD recommandent aux sous-traitants de viser une notification dans les 72 heures suivant leur propre découverte, le délai de 72 heures dont dispose le responsable du traitement vis-à-vis de l'autorité de contrôle dépendant d'une notification en temps utile du sous-traitant. Les accords de traitement des données au titre de l'article 28 devraient préciser des délais maximaux de notification (généralement 24 heures) et le contenu minimal que le sous-traitant doit fournir.
La notification de violation peut-elle être fournie par phases ?
Oui. L'article 33, paragraphe 4, autorise explicitement une notification par phases. Si l'ensemble des informations requises n'est pas disponible dans les 72 heures, le responsable du traitement doit soumettre une notification initiale avec les informations disponibles dans ce délai et fournir des informations complémentaires sans autre délai indu. Ce mécanisme existe précisément parce que les enquêtes sur les violations prennent du temps. Déposer une notification par phases vaut bien mieux qu'attendre la vision complète et manquer entièrement le délai.
Quelles informations doivent figurer dans la notification à l'autorité de contrôle ?
L'article 33, paragraphe 3, exige : la nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements de données affectés ; le nom et les coordonnées du DPD ou d'un autre point de contact ; une description des conséquences probables de la violation ; et les mesures prises ou envisagées pour y remédier, y compris les mesures d'atténuation. La décision de la DPC concernant Meta en décembre 2024 montre que les notifications incomplètes, omettant le contenu requis, sont traitées comme une violation distincte de l'article 33, paragraphe 3.
Que doit contenir le registre des violations ?
L'article 33, paragraphe 5, impose au registre de documenter les faits de chaque violation (ce qui s'est passé, comment, quand elle a été découverte) ; les effets sur les personnes concernées ; les mesures correctives prises ; l'évaluation du risque, y compris le raisonnement ; et les motifs justifiant la notification ou l'absence de notification à l'autorité de contrôle. Le registre couvre toutes les violations, pas seulement celles signalées. Il doit être mis à la disposition de l'autorité de contrôle sur demande et constitue la principale piste d'audit pour la conformité relative aux violations.
Comment la règle des 72 heures du RGPD se compare-t-elle à HIPAA et aux lois des États américains ?
Le délai de 72 heures du RGPD pour la notification à l'autorité de contrôle est plus strict que la plupart des cadres comparables. HIPAA accorde aux entités couvertes 60 jours pour notifier l'Office for Civil Rights et les personnes concernées. Les lois des États américains varient mais exigent généralement une notification sans délai déraisonnable, certaines fixant des délais spécifiques allant de 72 heures à 30 jours. Le régime australien de notification des violations de données (NDB) accorde 30 jours pour notifier l'OAIC. La LPRPDE canadienne exige une notification dès que possible. Le Royaume-Uni applique la même règle des 72 heures que le RGPD de l'UE au titre du UK GDPR.
Quelles amendes s'appliquent en cas de non-respect du délai de 72 heures ?
Une notification de violation tardive ou manquante relève de l'article 83, paragraphe 4, qui fixe une amende maximale de 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. La notification tardive constitue une violation autonome : une amende peut être infligée pour le seul non-respect du délai, même si la violation sous-jacente ne constituait pas en elle-même une infraction majeure au RGPD. Parmi les exemples notables figurent Booking.com (475 000 euros pour une notification 22 jours en retard) et Permanent TSB (27 500 euros spécifiquement pour notification tardive, dans le cadre d'une amende globale de 277 500 euros en mai 2026).
Sources and References
- Texte intégral du RGPD, règlement (UE) 2016/679(eur-lex.europa.eu).gov
- Lignes directrices 9/2022 du CEPD sur la notification des violations de données à caractère personnel, v2.0 (avril 2023)(edpb.europa.eu).gov
- Lignes directrices 01/2021 du CEPD sur les exemples relatifs à la notification des violations de données à caractère personnel(edpb.europa.eu).gov
- Recueil de cas du guichet unique du CEPD : sécurité du traitement et notification des violations de données (2024)(edpb.europa.eu).gov
- Commission européenne, qu'est-ce qu'une violation de données ?(commission.europa.eu).gov
- CEPD, article 33, notification des violations à l'autorité de contrôle(edpb.europa.eu).gov
- CEPD, les violations de données (guide à destination des PME)(edpb.europa.eu).gov
- CEPD, comment notifier une violation de données à votre autorité de contrôle(edpb.europa.eu).gov
- ICO, les violations de données à caractère personnel : un guide(ico.org.uk).gov
- CEPD (EDPS), lignes directrices sur la notification des violations de données à caractère personnel(edps.europa.eu).gov
- DPC irlandaise, amende de 251 millions d'euros infligée à Meta (décembre 2024)(dataprotection.ie).gov
- DPC irlandaise, amende de 277 500 euros infligée à Permanent TSB (mai 2026)(dataprotection.ie).gov
- CEPD, enquête de la DPC irlandaise sur Bank of Ireland Group(edpb.europa.eu).gov
- DLA Piper, les violations de données à caractère personnel en Europe atteignent 443 par jour (février 2026)(dlapiper.com)
- Directive NIS2, directive (UE) 2022/2555(eur-lex.europa.eu).gov
- CEPD, résumé des lignes directrices 9/2022 et 01/2021 sur la notification des violations de données (2025)(edpb.europa.eu).gov