Guide de notification des violations RGPD

Respectez le délai RGPD de 72 heures, même à travers plus de 50 filiales

Mis à jour le 2026-06-23
Points clés : Priverion est une plateforme GRC hébergée en Suisse qui aide les organisations multi-entités à respecter le délai de notification de violation RGPD de 72 heures grâce à des processus d'incident centralisés, une escalade automatisée et une documentation prête pour l'audit.

Le compte à rebours démarre dès qu'une entité de votre groupe en prend connaissance, et non lorsque le siège l'apprend. Procurez-vous le guide pas à pas que les équipes de protection des données multi-entités utilisent pour rester conformes sous pression.

Pas de spam. Désinscription à tout moment. Vos données sont traitées et hébergées en Suisse.

Infrastructure hébergée en Suisse Aligné sur ISO 27001 La confiance de plus de 150 organisations Conforme à la nLPD et au RGPD
Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Là où les organisations multi-entités échouent

Pourquoi 72 heures ne suffisent pas à la plupart des organisations multi-entités

Connaître les exigences de notification de violation de données RGPD est une chose. Les exécuter sous pression à travers des filiales, des juridictions et des systèmes déconnectés, c'est là que la conformité finit réellement par céder.

Fragmentation de la connaissance

Une violation survient dans une filiale. L'équipe informatique locale enquête pendant 36 heures avant d'alerter. Le temps que le DPD du groupe en soit informé, la fenêtre de 72 heures prévue par l'article 33 est presque close, voire déjà dépassée. Sans une réception centralisée des incidents pour chaque entité, le compte à rebours expire avant même d'avoir commencé pour le siège.

Résultat : les processus d'escalade automatisés ont réduit le délai de prise de connaissance des violations à moins de 4 heures pour un groupe multi-entités, à travers plusieurs entités.

Un groupe multi-entités, support DPD 24/7 sur plusieurs entités via Priverion

ROPA déconnecté

Vous ne pouvez pas évaluer l'impact d'une violation si vous ne disposez pas d'un registre des activités de traitement exact et à jour. Si votre registre des traitements a été mis à jour pour la dernière fois il y a 14 mois, votre évaluation de l'impact de la violation repose sur du sable. Les notifications de l'article 33 exigent que vous décriviez la nature de la violation (catégories et nombre approximatif de personnes concernées et d'enregistrements). Des registres des traitements obsolètes rendent cela impossible sous la pression du temps.

Résultat : un assureur suisse a atteint un taux de re-certification de son registre des traitements de 100 % grâce à des processus entièrement automatisés, avec une documentation prête à tout moment en cas de violation.

Un assureur suisse, taux de re-certification du registre des traitements de 100 % via la re-certification automatisée Priverion

Lacunes documentaires

L'article 33(5) exige des responsables du traitement qu'ils documentent TOUTES les violations, et pas seulement celles à notifier, y compris les faits, les effets et les mesures correctives. La plupart des organisations multi-entités suivent cela à travers des tableurs partagés par e-mail. Aucun auditeur n'accepte cela comme un registre de violations défendable. Lorsqu'une autorité de contrôle demande votre journal des violations, il vous faut des dossiers de preuves prêts pour l'audit, et non un dossier de fichiers Excel au format incohérent.

Résultat : un constructeur aéronautique a réduit de 60 % le temps administratif de conformité en 6 mois ; son DPD se concentre désormais sur le travail stratégique de protection des données au lieu de la maintenance de tableurs.

Constructeur aéronautique, réduction de 60 % du temps administratif de conformité, durant les 6 premiers mois avec Priverion

Confusion de juridiction

Quelle autorité de contrôle notifier lorsqu'une violation touche des personnes concernées dans 8 pays mais que le responsable du traitement est établi dans un 9e ? Le mécanisme du « guichet unique » du RGPD comporte des nuances qui exigent des arbres de décision pré-établis avant un incident, et non des recherches Google en temps réel à 2 h du matin. Les notifications de violation transfrontalières requièrent des chemins d'escalade pré-configurés par entité et par juridiction.

Résultat : un établissement de santé a atteint une couverture de 100 % de l'évaluation des risques fournisseurs, en cartographiant à l'avance les flux de données des tiers entre les entités avant la survenue d'incidents.

Un établissement de santé, couverture de 100 % de l'évaluation des risques fournisseurs via Priverion

Angles morts AIPD / TIA

Un traitement à haut risque qui n'a jamais été évalué au moyen d'une analyse d'impact relative à la protection des données (AIPD) signifie que vous n'avez aucune base de référence de risque préexistante pour évaluer la gravité d'une violation. Lorsque l'article 34 demande si la violation est « susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques », il vous faut une analyse de risque documentée pour répondre, et non votre intuition. Des AIPD manquantes transforment chaque violation en un exercice fondé sur l'hypothèse du pire scénario.

Résultat : une entreprise de technologie médicale a économisé plus de 200 heures dans la préparation à l'ISO 27001, y compris la documentation d'AIPD qui sert de base de référence pour la réponse aux violations.

Une entreprise de technologie médicale, plus de 200 heures économisées dans la préparation à l'ISO 27001 via Priverion

Défauts de notification du sous-traitant

Les sous-traitants doivent notifier le responsable du traitement « sans retard injustifié » ; il n'existe pas de sphère de sécurité de 72 heures pour les sous-traitants. Dans les groupes multi-entités dotés de services partagés ou de contrats de sous-traitance intragroupe, une filiale sous-traitante peut ne pas se rendre compte qu'elle doit notifier immédiatement l'entité responsable du traitement. Sans une cartographie unifiée des fournisseurs et du traitement intragroupe, ce déclencheur oublié devient la faille de conformité que les autorités de contrôle exploitent en premier. Lorsque les mesures d'exécution citent des retards de notification, c'est massivement là que la chaîne se rompt.

Résultat : la cartographie des données inter-entités offre une visibilité à l'échelle du groupe sur les relations responsable-sous-traitant, afin que chaque entité sache exactement qui notifier.

Capacité de la plateforme Priverion, cartographie des données inter-entités pour une visibilité à l'échelle du groupe

Obtenez votre guide gratuit de réponse aux violations

Un guide pas à pas pour les organisations multi-entités, PDF gratuit, sans spam.

200+

Heures économisées sur la gestion du ROPA

Une entreprise de technologie médicale a récupéré plus de 200 heures auparavant consacrées à la tenue manuelle des registres, du temps réorienté vers la préparation à la certification ISO 27001.

60%

Coût inférieur par rapport aux plateformes traditionnelles

Un constructeur aéronautique a obtenu une conformité de niveau entreprise pour un coût total nettement inférieur à celui des contrats GRC d'entreprise typiques de portée comparable, sans frais par utilisateur ni pièges d'expansion par module.

3 mo

D'avance sur le calendrier ISO 27001

Une entreprise de technologie médicale a achevé la préparation de son audit ISO 27001 trois mois avant son calendrier initial, en s'appuyant sur les dossiers de preuves intégrés de Priverion.

Ce que les responsables de la protection des données disent de Priverion

D'après des entretiens clients et des réponses à des enquêtes, T1 2025

« Nous sommes passés de 47 tableurs déconnectés à une plateforme unique pour toutes nos filiales. Lorsque notre première véritable violation est survenue, la notification était prête en 18 heures, évaluation transfrontalière comprise. Cela aurait été impossible auparavant. »

Délégué à la protection des données du groupe

Constructeur aéronautique, 11 entités réparties sur 4 juridictions

« La re-certification automatisée du registre des traitements justifiait à elle seule le changement. Mais ce qui compte vraiment, c'est que chaque entité dispose désormais en permanence d'une documentation prête en cas de violation. Nos échanges avec les autorités de contrôle sont devenus réellement simples. »

Responsable de la protection des données

Un assureur suisse, taux de re-certification du registre des traitements de 100 % sur toutes les entités

« Nous avons supprimé plus de 200 heures de travail de conformité manuel la première année. La préparation à l'ISO 27001 qui devait prendre neuf mois a été bouclée en six. Les dossiers de preuves de Priverion correspondaient directement aux exigences des auditeurs. »

CTO et DPD

Une entreprise de technologie médicale, 3 mois d'avance sur le calendrier ISO 27001

« Disposer d'une couverture de 100 % de l'évaluation des risques fournisseurs signifie que nous savons exactement où circulent les données avant qu'un incident ne survienne. Lorsqu'un sous-traitant a subi une violation le trimestre dernier, nous avions la notification au responsable du traitement prête en quelques heures, et non en quelques jours. »

Responsable de la conformité

Un établissement de santé, couverture de 100 % de l'évaluation des risques fournisseurs

Aligné sur ISO 27001

Gestion de la sécurité de l'information

100 % hébergé en Suisse

Le droit suisse de la protection des données s'applique

Conforme à la nLPD

Nouvelle loi fédérale sur la protection des données

Plus de 150 organisations

À travers l'Europe et la Suisse

Priverion vs. OneTrust

La robustesse d'une solution d'entreprise, sans sa complexité

Les entreprises de taille intermédiaire n'ont pas besoin d'une plateforme conçue pour les cycles d'achat du Fortune 50. Il leur faut une solution qui résout la conformité de la protection des données à l'échelle du groupe, sans la lourdeur, les mauvaises surprises budgétaires ni le risque lié à l'hébergement des données aux États-Unis.

L'expérience OneTrust

Traitement des données depuis un siège américain

Données traitées sur une infrastructure américaine, soumises au CLOUD Act et au FISA 702. Après Schrems II, cela crée un risque permanent de transfert pour les organisations européennes.

Tarification par module et par utilisateur

Les coûts grimpent à mesure que vous ajoutez des filiales, des utilisateurs ou des modules. La prévisibilité budgétaire disparaît lorsque la structure de votre groupe s'agrandit.

Conçu pour le Fortune 500

Riche en fonctionnalités au point d'en être écrasant. Les équipes de taille intermédiaire passent des mois en implémentation et n'utilisent finalement qu'une fraction des capacités.

Architecture modulaire fragmentée

Besoin de ROPA, d'AIPD, de gestion des fournisseurs et de traitement des incidents ? Cela représente quatre conversations d'achat distinctes et potentiellement quatre logiques d'interface différentes.

Plus de 200 intégrations superficielles

Une longue liste de connecteurs impressionne sur le papier mais génère une charge de maintenance. La plupart des équipes de taille intermédiaire en utilisent moins de 10.

L'expérience Priverion

Souveraineté des données suisse garantie

Conçu en Suisse, hébergé en Suisse, hébergement des données en Europe. Tout le traitement des données reste au sein de l'infrastructure suisse : ce n'est pas une case à cocher marketing, mais une garantie juridique pour les transferts transfrontaliers.

Tarification prévisible et transparente

Tarifée selon le nombre de sociétés et la taille de l'organisation, et non par utilisateur ou par module. Aucun piège d'expansion lorsque votre troisième filiale est mise en service ou que votre cinquième unité d'affaires a besoin d'un accès.

Conçu spécifiquement pour les groupes multi-entités

Opérationnel en quelques semaines, pas en quelques mois. Un constructeur aéronautique est passé de 47 tableurs à une re-certification entièrement automatisée durant ses 6 premiers mois, réduisant de 60 % le temps administratif de conformité.

Constructeur aéronautique, 6 premiers mois de déploiement de Priverion

Une plateforme de protection des données tout-en-un

ROPA, AIPD, risque fournisseurs, gestion des incidents, traitement des demandes des personnes concernées, cartographie des données et conformité assistée par IA : une seule plateforme, un seul contrat, une expérience cohérente pour chaque entité.

Des intégrations approfondies là où elles comptent

Des connexions pertinentes avec les systèmes RH, d'achats et de gestion des actifs informatiques, c'est-à-dire les processus qui alimentent réellement la conformité de la protection des données. Pas 200 connecteurs superficiels qui génèrent une charge de maintenance.

Soyez prêt avant la prochaine violation

Procurez-vous le guide que les équipes de protection des données multi-entités utilisent pour respecter le délai de 72 heures

Élaboré à partir de processus réels de réponse aux violations dans des organisations gérant de 5 à plus de 50 filiales. Comprend des arbres de décision, des modèles d'escalade et la liste de contrôle documentaire que les autorités de contrôle demandent réellement.

6 modèles

Documents de réponse aux violations prêts à l'emploi

Calendrier de 72 heures

Avec répartition des rôles par entité

100 % gratuit

Sans aucun engagement

Obtenez votre guide gratuit de réponse aux violations

Pas de spam. Pas de démarchage commercial. Juste une ressource pratique pour les équipes de protection des données sous pression.

Ressource gratuite

Téléchargez le guide de réponse aux violations

Un guide pas à pas conçu pour les organisations multi-entités qui doivent rendre opérationnelle la notification de violation RGPD, et pas seulement la comprendre.

Au programme :

  • Calendrier de 72 heures avec répartition des rôles pour les DPD de groupe et les responsables de filiales
  • Arbre de décision : notifier ou documenter, quand l'article 33 s'applique et quand il ne s'applique pas
  • Logigramme de notification transfrontalière pour les violations multi-juridictions
  • Modèle d'escalade du sous-traitant vers le responsable du traitement pour les incidents intragroupe
  • Répertoire des contacts des autorités de contrôle pour l'UE/EEE et la Suisse
  • Liste de contrôle documentaire post-violation alignée sur l'article 33(5)

Pas de spam. Désinscription à tout moment. Vos données sont traitées au sein de l'infrastructure suisse et protégées par le droit suisse de la protection des données. Nous ne partagerons jamais vos informations avec des tiers.

Obtenez votre guide gratuit de réponse aux violations
À propos de cette page — références, définitions et FAQ

Points clés

Les articles 33 et 34 du RGPD imposent des obligations strictes de notification des violations aux responsables du traitement : notifier l'autorité de contrôle dans les 72 heures et informer les personnes concernées sans retard injustifié en cas de risque élevé. Les organisations multi-entités font face à des défis démultipliés — connaissance fragmentée, registres des traitements obsolètes, confusion de juridiction et lacunes de notification du sous-traitant. Une plateforme GRC centralisée et hébergée en Suisse comme Priverion aide à unifier la réception des incidents, à automatiser l'escalade et à maintenir des registres de violations prêts pour l'audit dans toutes les filiales.

Définitions

Qu'est-ce qu'une violation de données à caractère personnel selon le RGPD ?

La violation de données à caractère personnel est définie à l'article 4(12) du RGPD comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ». Cette définition couvre les atteintes à la confidentialité, à l'intégrité et à la disponibilité. Source : article 4(12) du RGPD

Qu'est-ce que l'obligation de notification dans les 72 heures ?

La notification dans les 72 heures désigne l'exigence prévue à l'article 33(1) du RGPD selon laquelle les responsables du traitement doivent notifier à l'autorité de contrôle compétente « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance » une violation de données à caractère personnel, à moins que la violation ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification n'a pas lieu dans les 72 heures, elle doit être accompagnée des motifs du retard. Source : article 33 du RGPD

Qu'est-ce qu'une analyse d'impact relative à la protection des données (AIPD) ?

Une analyse d'impact relative à la protection des données est un processus requis par l'article 35 du RGPD pour les opérations de traitement « susceptibles d'engendrer un risque élevé pour les droits et libertés des personnes physiques ». Les AIPD constituent une base de référence de risque préexistante essentielle lors de l'évaluation de la gravité d'une violation au titre de l'article 34. Source : article 35 du RGPD

Qu'est-ce qu'un registre des activités de traitement (ROPA) ?

Un registre des activités de traitement est la documentation requise par l'article 30 du RGPD qui décrit chaque activité de traitement, ses finalités, les catégories de personnes concernées et de données à caractère personnel, les destinataires, les transferts et les durées de conservation. Un registre des traitements à jour est essentiel pour une évaluation exacte de l'impact d'une violation. Source : article 30 du RGPD

Statistiques et sources de référence

Selon les lignes directrices 9/2022 du CEPD sur la notification des violations de données à caractère personnel, le compte à rebours de 72 heures démarre au moment où le responsable du traitement a un « degré de certitude raisonnable » qu'un incident de sécurité a compromis des données à caractère personnel (Lignes directrices 9/2022 du CEPD). Le CEPD souligne que la prise de connaissance par toute entité au sein d'un groupe d'entreprises peut déclencher le compte à rebours pour l'ensemble du groupe.

Le rapport ENISA Threat Landscape 2023 a constaté que les rançongiciels et les violations de données restent parmi les principales menaces pour les organisations de l'UE, les secteurs de la santé, de l'administration publique et de l'infrastructure numérique étant les plus fréquemment ciblés (ENISA Threat Landscape 2023).

En vertu de l'article 83(4)(a) du RGPD, les manquements aux obligations de notification des violations peuvent entraîner des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu (Article 83 du RGPD).

Le rapport IAPP-EY Privacy Governance 2023 a constaté que l'organisation moyenne emploie 5,2 collaborateurs à temps plein dédiés à la protection des données, mais que les groupes multi-entités manquent souvent d'une coordination centralisée des violations — une lacune qui contribue directement aux retards de notification (Rapport IAPP-EY 2023).

Foire aux questions

Qu'est-ce que l'exigence RGPD de notification de violation dans les 72 heures ?

En vertu de l'article 33 du RGPD, les responsables du traitement doivent notifier à l'autorité de contrôle compétente une violation de données à caractère personnel dans les 72 heures suivant la prise de connaissance, à moins que la violation ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. La notification doit décrire la nature de la violation, le nombre approximatif de personnes concernées, les conséquences probables et les mesures prises ou proposées. Source : article 33 du RGPD

Quand les personnes concernées doivent-elles être informées d'une violation RGPD ?

L'article 34 du RGPD exige des responsables du traitement qu'ils informent les personnes concernées « sans retard injustifié » lorsqu'une violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Des exceptions s'appliquent lorsque le responsable du traitement a mis en œuvre des garanties techniques appropriées (p. ex. le chiffrement), a pris des mesures garantissant que le risque élevé n'est plus probable, ou lorsque la notification individuelle exigerait des efforts disproportionnés. Source : article 34 du RGPD

Quelles sont les sanctions en cas de défaut de notification d'une violation de données RGPD dans les délais ?

Le non-respect des obligations de notification des violations au titre des articles 33 et 34 peut entraîner des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu, au titre de l'article 83(4)(a) du RGPD. Source : article 83 du RGPD

Le délai de 72 heures s'applique-t-il aux sous-traitants ?

Non. En vertu de l'article 33(2) du RGPD, les sous-traitants doivent notifier le responsable du traitement « sans retard injustifié » après avoir pris connaissance d'une violation. Le compte à rebours de 72 heures pour la notification à l'autorité de contrôle démarre lorsque le responsable du traitement en prend connaissance, et non le sous-traitant. Source : article 33(2) du RGPD

Que doit contenir une notification de violation à une autorité de contrôle ?

L'article 33(3) exige que la notification comprenne : (a) la nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements ; (b) le nom et les coordonnées du DPD ; (c) les conséquences probables ; et (d) les mesures prises ou proposées pour remédier à la violation et en atténuer les effets. Source : article 33(3) du RGPD

Comment le mécanisme du guichet unique affecte-t-il les notifications de violation transfrontalières ?

En vertu de l'article 56 du RGPD, l'autorité de contrôle chef de file coordonne les enquêtes transfrontalières. Les lignes directrices 9/2022 du CEPD précisent que les responsables du traitement doivent tout de même notifier l'autorité chef de file dans les 72 heures et que celle-ci partage les informations avec les autorités concernées. Les organisations multi-entités devraient cartographier à l'avance quelle autorité est chef de file pour chaque entité responsable du traitement. Source : lignes directrices 9/2022 du CEPD

Quelle est la différence entre l'article 33 et l'article 34 du RGPD ?

L'article 33 régit la notification à l'autorité de contrôle (dans les 72 heures, sauf risque improbable). L'article 34 régit la communication aux personnes concernées (sans retard injustifié, uniquement en cas de risque élevé). L'article 33 s'applique à toutes les violations présentant un risque quelconque ; l'article 34 a un seuil plus élevé exigeant un « risque élevé pour les droits et libertés des personnes physiques ». Article 33 | Article 34

Les organisations doivent-elles documenter les violations qui ne sont pas à notifier ?

Oui. L'article 33(5) du RGPD exige des responsables du traitement qu'ils documentent toutes les violations de données à caractère personnel, qu'elles soient à notifier ou non, y compris les faits, les effets et les mesures correctives prises. Ce registre des violations doit pouvoir être mis à la disposition de l'autorité de contrôle pour inspection. Source : article 33(5) du RGPD

Comparaison : notification de violation RGPD vs. nLPD suisse

AspectRGPD (UE/EEE)nLPD suisse (nLPD)
Base légaleArticles 33 et 34 du RGPDArticle 24 nLPD
Notification à l'autoritéDans les 72 heures« Dans les meilleurs délais » (pas de délai fixe)
Seuil de notification à l'autoritéSauf si peu susceptible d'engendrer un risqueSusceptible d'engendrer un risque élevé
Notification aux personnes concernéesSans retard injustifié (risque élevé)Lorsque cela est nécessaire à leur protection ou exigé par le PFPDT
Obligation du sous-traitantNotifier le responsable du traitement sans retard injustifiéNotifier le responsable du traitement dans les meilleurs délais
Exigence de documentationToutes les violations (article 33(5))Non explicitement exigée par la loi
Amende maximale10 M€ ou 2 % du chiffre d'affaires mondial250'000 CHF (responsabilité individuelle)
Autorité de contrôleAutorité chef de file dans le cadre du guichet uniquePFPDT (Préposé fédéral à la protection des données)

Sources : Article 33 du RGPD | nLPD suisse sur Fedlex