Guide de l'article 34 du RGPD

Arrêtez de deviner quand notifier les personnes concernées après une violation : obtenez le cadre exact

Mis à jour le 2026-06-23
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui aide les équipes de protection des données à gérer les notifications de violation au titre de l'article 34 du RGPD au sein de groupes multi-entités.

Obtenez le cadre décisionnel étape par étape de l'article 34, des modèles de notification et la liste de contrôle de coordination multi-entités que les équipes de protection des données de plus de 50 organisations utilisent pour gérer les notifications de violation sans approximation, sans panique et sans exposition réglementaire.

Pas de spam. Accès immédiat à la liste de contrôle et aux modèles.

Ou poursuivez votre lecture pour le décryptage complet de l'article 34

Adopté par les équipes de protection des données de

Utilisé par des équipes de protection des données qui gèrent la conformité au sein de plus de 50 entités dans les services financiers, l'industrie pharmaceutique, la fabrication et la technologie, notamment Aircraft manufacturer, un établissement de santé et une entreprise de technologie médicale.

50+

Entités gérées

4.8/5

Note moyenne des clients (T1 2025)

100%

Données hébergées en Suisse

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo

Ce que disent les professionnels de la protection des données

Des résultats obtenus par des équipes de protection des données comme la vôtre

60% de temps administratif en moins

« Nous avons réduit de 60% le temps consacré à l'administration de la conformité en six mois. Notre DPD consacre désormais son temps aux analyses de risques et aux décisions stratégiques au lieu de courir après la documentation dispersée dans des tableurs. »

Responsable de la protection des données, Aircraft manufacturer

Construction aéronautique, programme de protection des données multi-entités

Plus de 200 heures économisées

« Nous avons économisé plus de 200 heures sur la documentation de conformité et achevé notre préparation à la norme ISO 27001 trois mois en avance. Les dossiers de preuves prêts pour l'audit étaient disponibles à la demande, ce qui a supprimé la course de dernière minute avant les demandes des autorités de contrôle. »

Responsable conformité chez une entreprise de technologie médicale

Technologies de la santé, certifié ISO 27001

Coordination des violations 24/7

« Nous gérons le support DPD et la coordination de la réponse aux violations sur plusieurs entités depuis une plateforme unifiée. Les angles morts juridictionnels que nous avions avec des processus reposant sur les e-mails ont disparu, et chaque décision de notification est suivie par entité. »

DPD du groupe chez une entreprise technologique

Technologie, gestion de la protection des données multi-entités

Sur la base des résultats rapportés par les clients. Données d'Aircraft manufacturer et d'une entreprise de technologie médicale issues des 12 premiers mois suivant la mise en œuvre. Données d'une entreprise technologique issues d'une collaboration en cours.

Cadre de l'article 34

Le décryptage complet de l'article 34 : quand, quoi et comment notifier les personnes concernées

L'article 34 est l'une des dispositions du RGPD les plus souvent mal interprétées. Notifiez à tort, et vous déclenchez une panique inutile. Manquez de notifier alors que vous le deviez, et vous vous exposez à une action en exécution. Voici le cadre pour faire les choses correctement.

Étape 1

Déterminer si la violation atteint le seuil de « risque élevé »

L'article 34(1) ne s'applique que lorsqu'une violation « est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Il s'agit d'un seuil plus élevé que la notification à l'autorité de contrôle prévue par l'article 33, qui s'applique à toute violation qui n'est pas improbable d'engendrer un risque.

Les facteurs qui font généralement basculer une violation dans la catégorie « risque élevé » :

  • Des catégories particulières de données sont concernées (santé, données biométriques, origine raciale/ethnique, opinions politiques)
  • Des données financières susceptibles de permettre une fraude (comptes bancaires, numéros de carte de crédit)
  • Un volume important de personnes affectées
  • Des données pouvant conduire à une usurpation d'identité, à une discrimination ou à un préjudice physique
  • Des personnes concernées vulnérables sont affectées (enfants, patients, employés)
  • Les données n'étaient ni chiffrées ni pseudonymisées au moment de la violation

La question essentielle n'est pas « quelle a été la gravité de la violation ? » mais « quelle est la probabilité que les personnes affectées subissent un préjudice réel ? ». Votre analyse de risque doit documenter le raisonnement, car les autorités de contrôle l'exigeront.

Étape 2

Vérifier les trois exceptions qui suppriment l'obligation de notification

L'article 34(3) prévoit trois exceptions. Si l'une d'entre elles s'applique, vous n'êtes pas tenu de notifier les personnes concernées, mais vous devez tout de même documenter la raison pour laquelle l'exception s'applique.

Exception (a) : des mesures de protection appropriées étaient en place

Vous avez appliqué des mesures techniques et organisationnelles qui rendent les données à caractère personnel incompréhensibles pour toute personne non autorisée à y accéder. L'exemple le plus courant est le chiffrement : si les données violées étaient chiffrées au moyen d'un algorithme robuste et que la clé n'a pas été compromise, cette exception s'applique probablement.

Exception (b) : des mesures ultérieures éliminent le risque

Vous avez pris des mesures immédiates après la violation qui garantissent que le risque élevé pour les personnes concernées n'est plus susceptible de se concrétiser. Par exemple, vous avez identifié et contenu la violation avant que la moindre donnée ne soit réellement consultée, ou vous avez effacé à distance un appareil perdu avant son déverrouillage.

Exception (c) : efforts disproportionnés

Si la notification individuelle exige des efforts disproportionnés (par exemple, vous ne pouvez pas identifier ou contacter l'ensemble des personnes affectées), vous devez alors procéder à une communication publique ou prendre une mesure similaire permettant d'informer les personnes concernées de manière tout aussi efficace. C'est l'exception la plus fréquemment mal appliquée ; les autorités de contrôle interprètent les « efforts disproportionnés » de manière restrictive.

Étape 3

Rédiger le contenu de la notification

L'article 34(2) renvoie à l'article 33(3)(b), (c) et (d). Votre notification aux personnes concernées doit comporter quatre éléments, communiqués « en des termes clairs et simples » :

  • La nature de la violation : décrivez ce qui s'est passé en des termes que le destinataire peut comprendre. Évitez le jargon juridique et le langage technique. « Un tiers non autorisé a accédé aux informations de votre compte » est préférable à « un incident de sécurité impliquant une exposition d'identifiants s'est produit ».
  • Coordonnées du DPD : le nom et les coordonnées de votre délégué à la protection des données ou d'un autre point de contact auprès duquel obtenir davantage d'informations.
  • Conséquences probables : soyez honnête et précis. « Cela peut signifier que votre adresse e-mail et votre mot de passe sont accessibles à des tiers non autorisés, qui pourraient les utiliser pour accéder à d'autres comptes si vous utilisez le même mot de passe » est plus utile que « il peut exister un risque pour vos données à caractère personnel ».
  • Mesures d'atténuation : décrivez ce que vous avez fait et ce que vous leur recommandez de faire : réinitialisations de mots de passe, surveillance des comptes, blocages de crédit, points de contact pour les questions.
Étape 4

Choisir le bon canal de communication

Le RGPD ne prescrit pas de canal spécifique, mais la notification doit réellement atteindre les personnes affectées. Tenez compte des éléments suivants :

  • E-mail direct : le plus courant pour les violations en ligne. Assurez-vous d'envoyer à des adresses vérifiées et de pouvoir prouver la remise.
  • Courrier postal : approprié pour les violations portant sur des données hors ligne ou lorsque les adresses e-mail ne sont pas disponibles.
  • Page d'incident dédiée : utile en complément, mais généralement insuffisante comme unique mode de notification.
  • Notification dans l'application : peut fonctionner pour les utilisateurs actifs d'un service numérique, mais passe à côté des comptes inactifs.

Documentez la justification du choix de votre canal. Si une autorité de contrôle vous demande pourquoi vous avez privilégié l'e-mail au courrier postal pour une violation affectant des patients âgés, vous devez disposer d'une réponse défendable.

Étape 5

Exécuter la notification et préserver la piste d'audit

L'article 34 dit « dans les meilleurs délais ». Contrairement au délai de 72 heures de l'article 33, il n'existe pas d'horloge fixe, mais les autorités de contrôle attendent une action dès que vous disposez de suffisamment d'informations pour fournir des conseils utiles.

Ce que votre piste d'audit doit consigner :

  • L'horodatage de la décision d'analyse de risque
  • Les noms et fonctions des personnes ayant participé à la décision
  • La justification en faveur ou à l'encontre de la notification (y compris l'analyse des exceptions)
  • Les versions des brouillons et le contenu final de la notification
  • Le choix du canal et les preuves de remise
  • Les communications de suivi et les demandes des personnes concernées

C'est ici que les processus reposant sur des tableurs s'effondrent. Lorsqu'une autorité de contrôle réclame votre dossier de violation six mois plus tard, vous avez besoin que chaque décision, horodatage et communication soit réuni au même endroit, et non dispersé entre des fils d'e-mails, des disques partagés et des carnets individuels.

Étape 6

Gérer la complexité multi-entités

Pour les organisations qui gèrent plusieurs filiales dans différentes juridictions, la notification au titre de l'article 34 devient exponentiellement plus complexe :

  • Quelle entité est le responsable du traitement des données pour les personnes concernées affectées ?
  • Différentes juridictions imposent-elles des exigences locales supplémentaires au-delà de l'article 34 du RGPD ?
  • Les notifications doivent-elles être envoyées dans la langue locale de chaque juridiction affectée ?
  • Qui approuve le contenu de la notification : le DPD du groupe, le DPD local ou le conseiller juridique de chaque juridiction ?
  • Comment éviter que différentes filiales n'émettent des communications contradictoires au sujet du même incident ?

C'est exactement le scénario pour lequel Priverion a été conçu. La cartographie des données inter-entités identifie quelles filiales détiennent les données affectées, la gestion des incidents coordonne la réponse entre les entités, et les dossiers de preuves prêts pour l'audit consignent l'intégralité du parcours décisionnel, par entité et par juridiction.

Capacités clés

Les outils qui transforment les obligations de l'article 34 en un processus reproductible

La notification de violation aux personnes concernées échoue lorsqu'elle repose sur la mémoire, les tableurs et des chaînes d'e-mails improvisées. Ces capacités remplacent l'approximation par un flux de travail structuré et auditable, en particulier lorsque vous gérez des incidents au sein de plusieurs entités.

Gestion des incidents avec évaluation des risques intégrée

Lorsqu'une violation est signalée, la plateforme guide votre équipe à travers une évaluation structurée, en consignant le type de violation, les catégories de données, le volume de personnes affectées et les facteurs de vulnérabilité. L'évaluation des risques assistée par IA vous aide à déterminer si le seuil de « risque élevé » de l'article 34 est atteint, afin que votre DPD prenne une décision éclairée plutôt qu'un choix instinctif sous pression.

Résultat : Aircraft manufacturer a réduit de 60% son temps administratif de conformité au cours de ses 6 premiers mois, libérant son DPD pour se concentrer sur les analyses de risques et les décisions stratégiques plutôt que de courir après la documentation.

Aircraft manufacturer, 6 premiers mois après la mise en œuvre

Coordination des violations inter-entités

Lorsqu'une violation touche des personnes concernées réparties sur plusieurs filiales et juridictions, vous avez besoin d'une source unique de vérité, et non d'une chaîne d'e-mails transférés. Priverion offre une visibilité à l'échelle du groupe sur chaque incident actif, cartographie automatiquement les entités affectées grâce à votre cartographie des données inter-entités, et suit les décisions de notification par juridiction afin que rien ne passe entre les mailles du filet.

Résultat : une entreprise technologique gère un support DPD et une coordination de la réponse aux violations 24/7 sur plusieurs entités depuis une plateforme unifiée, supprimant les angles morts juridictionnels que créent les processus manuels.

Une entreprise technologique, gestion d'un programme de protection des données multi-entités

Dossiers de preuves prêts pour l'audit

La conformité à l'article 34 ne s'arrête pas lorsque vous cliquez sur « envoyer » pour la notification. Les autorités de contrôle attendent la documentation de votre analyse de risque, la justification de votre décision de notification, le contenu de la communication et la preuve de la remise. Priverion génère des dossiers de preuves complets, avec des pistes d'audit horodatées, en quelques minutes, plutôt qu'en semaines de course effrénée comme l'exigent les processus reposant sur des tableurs.

Résultat : une entreprise de technologie médicale a économisé plus de 200 heures dans la préparation de la documentation de conformité, avec des preuves prêtes pour l'audit disponibles à la demande pour les requêtes des autorités de contrôle.

Une entreprise de technologie médicale, calendrier de préparation à la norme ISO 27001

Une note en toute transparence : Priverion ne couvre pas les bannières de consentement aux cookies, les lignes d'alerte éthique ni le reporting ESG. Nous approfondissons la gestion des programmes de protection des données (réponse aux incidents, registre des traitements, AIPD, risque fournisseurs et demandes des personnes concernées) afin que vos flux de travail de violation fonctionnent vraiment au moment crucial.

200+

Heures économisées sur la documentation de conformité

Une entreprise de technologie médicale a récupéré plus de 200 heures lors de sa préparation à la norme ISO 27001 en remplaçant la documentation manuelle par des flux de travail automatisés, sur les 12 premiers mois

60%

De temps administratif de conformité en moins

Sur la base des résultats d'Aircraft manufacturer, tarification par entité sans frais d'extension par utilisateur ni par module

3 mois

D'avance sur la préparation à la norme ISO 27001

Une entreprise de technologie médicale a accéléré de trois mois son calendrier de certification ISO 27001 grâce aux dossiers de preuves prêts pour l'audit de Priverion

Ressource gratuite

Obtenez le kit de notification de violation de l'article 34

Liste de contrôle étape par étape, arbre de décision pour l'analyse de risque, deux modèles de notification (directe et communication publique) et flux de travail de coordination multi-entités. Conçu pour les DPD et les responsables conformité.

Pas de spam. Nous vous enverrons les modèles et rien d'autre, sauf si vous y consentez.

Comparatif concurrentiel

Pourquoi les équipes du segment intermédiaire quittent OneTrust pour Priverion

OneTrust s'adressait à un profil d'acheteur très large, incluant des organisations du Fortune 500 dotées d'équipes GRC dédiées de grande taille. Vous avez besoin d'une conformité de niveau entreprise sans la complexité ni les factures d'une entreprise de cette taille.

L'expérience OneTrust

Une tarification modulaire qui s'accumule

La facturation par utilisateur et par module signifie que vos coûts augmentent de façon imprévisible chaque fois que vous ajoutez une filiale, un membre d'équipe ou un nouveau besoin de conformité. Les demandes de budget deviennent des négociations trimestrielles.

Infrastructure hébergée aux États-Unis

Dans un contexte post-Schrems II, confier vos données de conformité en matière de protection des données à un prestataire basé aux États-Unis crée précisément le risque de transfert transfrontalier que vous cherchez à maîtriser. L'ironie se passe de commentaire.

Conçu pour le Fortune 500

Plus de 200 intégrations, des modules ESG, des lignes d'alerte éthique : des fonctionnalités qui ajoutent de la complexité à votre console d'administration, mais pas à votre programme de protection des données. Votre DPD n'a pas besoin d'une plateforme qui requiert sa propre équipe pour fonctionner.

Une mise en œuvre de plusieurs mois

Les déploiements en entreprise s'étendent régulièrement au-delà de six mois, avec des équipes projet dédiées, des consultants externes et des cycles d'intégration prolongés avant que vous n'en tiriez la moindre valeur de conformité.

Un traitement par IA opaque

Un traitement des données peu clair pour les fonctionnalités d'IA soulève des questions sur la destination de vos données de conformité : une conversation difficile à mener avec votre autorité de contrôle.

L'expérience Priverion

Une tarification prévisible et tout compris

Une tarification fondée sur le nombre d'entreprises et la taille de l'organisation, et non par utilisateur ni par module. Ajoutez des membres d'équipe dans toutes vos filiales sans voir votre facture gonfler. Votre directeur financier appréciera cette prévisibilité.

Une souveraineté des données suisse garantie

Conçu en Suisse, hébergé en Suisse, tout le traitement des données s'effectue au sein d'une infrastructure suisse. La résidence des données en Europe n'est pas un simple argument marketing ; c'est une exigence légale pour les transferts transfrontaliers de données, qui simplifie votre AIPD pour l'outil lui-même.

Conçu spécialement pour la protection des données à l'échelle du groupe

Registre des traitements, AIPD, évaluations des fournisseurs, gestion des incidents, traitement des demandes des personnes concernées et cartographie des données inter-entités : tout ce dont un programme de protection des données multi-entités a besoin, et rien de superflu. Nous ne couvrons ni l'ESG, ni les lignes d'alerte éthique, ni le consentement aux cookies. Cette focalisation est délibérée.

Opérationnel en quelques semaines, pas en plusieurs mois

Aircraft manufacturer a obtenu une réduction de 60% de son temps administratif de conformité en l'espace de ses 6 premiers mois, mise en œuvre comprise. Aucune équipe projet dédiée ni consultant externe requis.

Étude de cas Aircraft manufacturer, 6 premiers mois après le déploiement

Une IA transparente avec supervision humaine

Rédaction d'AIPD assistée par IA, évaluation des risques et mise en correspondance réglementaire, le tout traité au sein d'une infrastructure suisse. Chaque résultat produit par l'IA est révisé par votre équipe avant de devenir un enregistrement de conformité. Aucune donnée client n'est utilisée pour l'entraînement des modèles. L'IA assiste, les humains décident.

La transition est plus simple que vous ne le pensez. La plupart des équipes sont entièrement migrées en moins de 8 semaines.

Réserver une démonstration de 30 min
FAQ

Questions fréquentes sur la notification de violation au titre de l'article 34

Quand l'article 34 du RGPD impose-t-il une notification aux personnes concernées ?

L'article 34 impose une notification lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Il s'agit d'un seuil plus élevé que la notification à l'autorité de contrôle prévue par l'article 33, qui s'applique à toutes les violations, sauf celles qui ne sont pas susceptibles d'engendrer un risque. La détermination essentielle consiste à savoir si les personnes affectées sont susceptibles de subir un préjudice réel : usurpation d'identité, perte financière, discrimination ou atteinte à la réputation.

Que doit contenir une notification au titre de l'article 34 ?

La notification doit décrire la nature de la violation en des termes clairs et simples, indiquer le nom et les coordonnées du DPD ou d'un autre point de contact, décrire les conséquences probables de la violation et décrire les mesures prises ou proposées pour remédier à la violation et en atténuer les effets. Évitez le jargon juridique ; des autorités de contrôle ont sanctionné des organisations pour des notifications techniquement conformes mais incompréhensibles pour une personne ordinaire.

Quand la notification au titre de l'article 34 n'est-elle PAS requise ?

La notification n'est pas requise lorsque : (a) vous avez appliqué aux données concernées des mesures de protection techniques et organisationnelles appropriées, telles que le chiffrement lorsque la clé n'a pas été compromise ; (b) vous avez pris des mesures ultérieures garantissant que le risque élevé n'est plus susceptible de se concrétiser ; ou (c) cela exigerait des efforts disproportionnés, auquel cas une communication publique ou une mesure similaire est requise à la place. Les trois exceptions doivent être documentées dans votre dossier de violation.

Dans quel délai les personnes concernées doivent-elles être notifiées au titre de l'article 34 ?

L'article 34 précise que la notification doit intervenir « dans les meilleurs délais », mais ne fixe pas de délai déterminé comme la règle des 72 heures de l'article 33. En pratique, les autorités de contrôle attendent une communication dès que le caractère de risque élevé est établi et que vous disposez de suffisamment d'informations pour fournir des conseils utiles aux personnes affectées. Des retards de plusieurs semaines sans justification ont donné lieu à des actions en exécution.

Quelle est la différence entre les articles 33 et 34 du RGPD ?

L'article 33 régit la notification à l'autorité de contrôle (délai de 72 heures, applicable à la plupart des violations). L'article 34 régit la notification aux personnes concernées (pas de délai fixe, mais « dans les meilleurs délais »), et ne s'applique que lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. De nombreuses organisations confondent les deux, ce qui conduit soit à une sur-notification (créant une panique inutile), soit à une sous-notification (créant une exposition réglementaire).

Comment gérer les notifications au titre de l'article 34 dans plusieurs filiales ?

La notification de violation au sein d'un groupe multi-entités exige une plateforme centralisée de gestion des incidents qui cartographie les entités concernées, suit les décisions de notification par juridiction et conserve une piste d'audit unique. La coordination manuelle par chaînes d'e-mails entre filiales crée des lacunes que les autorités de contrôle identifieront lors des enquêtes. La cartographie des données inter-entités et le flux de travail de gestion des incidents de Priverion ont été conçus spécifiquement pour ce scénario.

Cessez de gérer la réponse aux violations dans des tableurs

Découvrez à quoi ressemble la gestion de la protection des données à l'échelle du groupe lorsqu'elle fonctionne vraiment

En 30 minutes, nous passerons en revue votre configuration multi-entités spécifique : comment la recertification automatisée du registre des traitements, les AIPD assistées par IA et la cartographie des données inter-filiales fonctionnent pour des organisations comme la vôtre. Le tout reposant sur une infrastructure suisse, avec une tarification qui ne vous pénalise pas lorsque vous grandissez.

60%

de temps administratif de conformité en moins

Aircraft manufacturer, 6 premiers mois

200+

heures économisées sur la préparation d'audit

Une entreprise de technologie médicale, préparation à la norme ISO 27001

Semaines

pour être opérationnel, pas des mois

Moyenne sur l'ensemble des déploiements clients

Réserver une démonstration de 30 minutes

Pas d'argumentaire commercial. Aucune pression. Juste vos défis de conformité mis en correspondance avec une solution opérationnelle.

The Privacy Compliance Briefing

Des analyses mensuelles sur l'application du RGPD, les évolutions de la nLPD suisse et les stratégies d'automatisation pour les DPD et les équipes de conformité.

Pas de spam. Désabonnement à tout moment.

Obtenir le kit de violation gratuit
À propos de cette page — références, définitions et FAQ

Points clés — Notification de violation de données aux personnes concernées (RGPD)

L'article 34 du RGPD impose aux responsables du traitement de notifier les personnes concernées dans les meilleurs délais lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Ce seuil est plus élevé que celui de la notification à l'autorité de contrôle prévue par l'article 33. Trois exceptions au titre de l'article 34(3) — le chiffrement, l'élimination ultérieure du risque et les efforts disproportionnés — peuvent lever l'obligation, mais chacune doit être documentée. Des programmes de notification de violation efficaces exigent des modèles pré-rédigés, des voies d'escalade claires et des journaux de décision auditables pour chaque entité d'un groupe de sociétés.

Définitions

Qu'est-ce qu'une violation de données à caractère personnel au titre du RGPD ?

La violation de données à caractère personnel est définie à l'article 4(12) du RGPD comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ». (Article 4 du RGPD — EUR-Lex)

Qu'est-ce que l'article 34 du RGPD ?

L'article 34 du RGPD régit la communication d'une violation de données à caractère personnel à la personne concernée. Il dispose : « Lorsque la violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. » (Article 34 du RGPD — EUR-Lex)

Qu'est-ce que le seuil de « risque élevé » ?

Le seuil de risque élevé au titre de l'article 34 s'apprécie en tenant compte de la gravité et de la probabilité du préjudice pour les personnes concernées. Les lignes directrices 01/2021 du CEPD sur des exemples relatifs à la notification de violation de données à caractère personnel fournissent des études de cas pratiques illustrant les situations où les violations franchissent ce seuil. (Lignes directrices 01/2021 du CEPD)

Qu'est-ce que l'article 33 du RGPD ?

L'article 33 du RGPD impose aux responsables du traitement de notifier à l'autorité de contrôle compétente une violation de données à caractère personnel dans les 72 heures après en avoir pris connaissance, à moins que la violation ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. (Article 33 du RGPD — EUR-Lex)

Statistiques et données sectorielles

Selon le rapport annuel 2023 du CEPD, les autorités européennes de protection des données ont reçu plus de 130'000 notifications de violation de données à caractère personnel en 2023, poursuivant une tendance à la hausse d'année en année depuis l'entrée en vigueur du RGPD en 2018. (Rapport annuel 2023 du CEPD)

Le rapport ENISA Threat Landscape 2024 a constaté que les attaques par rançongiciel et par exfiltration de données restent les principales causes de violations de données à caractère personnel dans l'UE, la santé et l'administration publique figurant parmi les secteurs les plus ciblés. (ENISA Threat Landscape)

Selon le rapport IAPP-EY 2023 sur la gouvernance de la confidentialité, 73% des organisations indiquent que leurs équipes de protection des données participent à la réponse aux violations, mais seules 38% disposent de flux de travail de notification de violation entièrement automatisés. (Rapport IAPP-EY sur la gouvernance de la confidentialité)

Les lignes directrices 9/2022 du CEPD sur la notification de violation de données à caractère personnel au titre du RGPD précisent que le délai de 72 heures de l'article 33 commence lorsque le responsable du traitement a un « degré de certitude raisonnable » qu'une violation s'est produite, et que la notification au titre de l'article 34 doit suivre « dans les meilleurs délais » une fois l'évaluation du risque élevé achevée. (Lignes directrices 9/2022 du CEPD)

Questions fréquentes

Quand l'article 34 du RGPD impose-t-il une notification aux personnes concernées ?

L'article 34(1) impose une notification lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques. Il s'agit d'un seuil plus élevé que la notification à l'autorité de contrôle prévue par l'article 33, qui s'applique sauf si la violation n'est « pas susceptible d'engendrer un risque ». Le responsable du traitement doit évaluer la gravité, la probabilité du préjudice, la sensibilité des données et le nombre de personnes affectées. (Article 34 du RGPD)

Quelles sont les trois exceptions à la notification des personnes concernées au titre de l'article 34(3) ?

L'article 34(3) prévoit trois exceptions : (a) le responsable du traitement a appliqué des mesures techniques et organisationnelles appropriées (par exemple un chiffrement robuste) qui rendent les données incompréhensibles ; (b) le responsable du traitement a pris des mesures ultérieures garantissant que le risque élevé n'est plus susceptible de se concrétiser ; (c) la notification individuelle exigerait des efforts disproportionnés, auquel cas une communication publique doit être effectuée à la place. Chaque exception doit être documentée. (Article 34 du RGPD)

Que doit contenir une notification de violation aux personnes concernées ?

Au titre de l'article 34(2), la notification doit décrire en des termes clairs et simples : la nature de la violation, le nom et les coordonnées du DPD ou du point de contact, les conséquences probables, et les mesures prises ou proposées pour remédier à la violation et en atténuer les effets. (Article 34 du RGPD)

Quel est le délai pour notifier les personnes concernées au titre de l'article 34 ?

L'article 34 impose une notification « dans les meilleurs délais », mais ne fixe pas de délai déterminé comme la fenêtre de 72 heures de l'article 33. En pratique, les autorités de contrôle attendent des responsables du traitement qu'ils notifient dès qu'ils disposent de suffisamment d'informations pour fournir des conseils utiles aux personnes affectées. Tout retard doit être justifié et documenté.

En quoi l'article 34 diffère-t-il de l'article 33 du RGPD ?

L'article 33 régit la notification à l'autorité de contrôle dans les 72 heures pour toute violation qui n'est pas improbable d'engendrer un risque. L'article 34 régit la notification aux personnes concernées et ne s'applique que lorsque la violation est susceptible d'engendrer un risque élevé. L'article 34 ne prévoit pas de délai fixe mais impose d'agir « dans les meilleurs délais ». L'article 34 comporte également trois exceptions spécifiques absentes de l'article 33. (Article 33 | Article 34)

Le chiffrement peut-il dispenser de l'obligation de notifier les personnes concernées ?

Oui. Au titre de l'article 34(3)(a), si les données violées étaient protégées par un chiffrement robuste et que la clé de chiffrement n'a pas été compromise, les données sont considérées comme incompréhensibles pour les personnes non autorisées. Dans ce cas, le risque élevé pour les personnes concernées est effectivement neutralisé et la notification n'est pas requise. Toutefois, le responsable du traitement doit documenter que le chiffrement était adéquat et que la clé est restée sécurisée. (Lignes directrices 9/2022 du CEPD)

Que se passe-t-il si un responsable du traitement ne notifie pas les personnes concernées alors qu'il y est tenu ?

Le non-respect de l'article 34 peut entraîner des amendes administratives pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu, au titre de l'article 83(4)(a) du RGPD. Au-delà des amendes, l'absence de notification peut entraîner une atteinte à la réputation, une perte de confiance des clients et des actions en responsabilité civile de la part des personnes concernées affectées. (Article 83 du RGPD)

Comment les organisations multi-entités doivent-elles coordonner les notifications au titre de l'article 34 ?

Les groupes de sociétés comptant plusieurs entités juridiques agissant en tant que responsables du traitement distincts doivent coordonner la réponse aux violations entre les juridictions. Chaque entité doit évaluer de manière indépendante si l'article 34 s'applique, en fonction de ses propres activités de traitement et des personnes concernées qu'elle contrôle. Une plateforme centralisée de gestion des violations — telle que Priverion — permet une visibilité à l'échelle du groupe, une méthodologie d'analyse de risque cohérente et des pistes d'audit par entité qui résistent à l'examen des autorités de contrôle.

Comparaison : article 33 et article 34 du RGPD

CritèreArticle 33 — Autorité de contrôleArticle 34 — Personnes concernées
Seuil de déclenchementViolation non improbable d'engendrer un risqueViolation susceptible d'engendrer un risque élevé
DélaiDans les 72 heures suivant la prise de connaissanceDans les meilleurs délais (pas d'horloge fixe)
DestinataireAutorité de contrôle compétentePersonnes concernées affectées directement
Exigences de contenuArticle 33(3)(a)–(d) : nature, DPD, conséquences, mesuresArticle 34(2) renvoyant à 33(3)(b)–(d) : nature, DPD, conséquences, mesures
ExceptionsUniquement si la violation n'est pas susceptible d'engendrer un risqueTrois exceptions au titre de l'article 34(3) : chiffrement, mesures ultérieures, efforts disproportionnés
Sanction en cas de non-conformitéJusqu'à 10 M€ ou 2% du chiffre d'affaires mondialJusqu'à 10 M€ ou 2% du chiffre d'affaires mondial
Exigence de documentationToutes les violations doivent être documentées au titre de l'article 33(5)L'analyse de risque et l'analyse des exceptions doivent être documentées

Sources faisant autorité et pour aller plus loin