Ne manquez jamais le délai RGPD de 72 heures. Voici exactement quand le compte à rebours démarre
Se tromper a coûté des millions à certaines entreprises. Découvrez comment les équipes de protection des données des organisations multi-entités automatisent la détection, l'évaluation et la notification des violations pour rester en conformité au sens de l'article 33, à chaque fois.
30 minutes. Sans engagement. Identifiez vos lacunes avant les autorités de contrôle.
Ou lisez le guide complet de l'article 33 ci-dessous« Avant Priverion, une violation au sein d'une filiale pouvait mettre des jours à parvenir au DPD du groupe. Désormais, chaque incident est consigné de manière centralisée en quelques minutes : nous sommes passés d'espérer respecter le délai de 72 heures à savoir que nous le respecterions. »
Responsable de la protection des données chez un établissement de santé -- Gestion de la protection des données dans 14 établissements de soins
« Nous avons réduit notre temps d'administration de la conformité de 60 % au cours des six premiers mois. L'escalade automatisée à elle seule nous a sauvés lors de deux incidents qui auraient donné lieu à des notifications tardives avec notre ancien processus. »
Responsable conformité chez un constructeur aéronautique -- D'après une enquête client, T1 2025
Ce qu'un délai de 72 heures exige réellement de votre organisation
Connaître les règles n'est pas le plus difficile. C'est leur exécution sous pression, à travers les filiales, les fuseaux horaires et les chaînes d'escalade, que les organisations échouent. Voici ce qu'exige une réponse aux violations opérationnellement maîtrisée.
Réception centralisée des incidents pour chaque entité
Lorsqu'une violation survient dans la filiale numéro 23 un samedi soir, elle ne peut pas attendre dans la boîte de réception de quelqu'un jusqu'au lundi. Il vous faut un point de réception unique qui capte les incidents de toute entité, de tout collaborateur, dans tout fuseau horaire, et les achemine immédiatement vers les bonnes personnes avec le bon contexte. Sans réception centralisée, la « connaissance » est retardée par les frictions organisationnelles, et non par une véritable enquête.
Taux de captation des incidents de 100 % sur toutes les entités
Un établissement de santé, couverture complète de leur groupe de soins atteinte dans les 90 jours suivant le déploiement
Escalade automatisée et évaluation de la gravité
Dès qu'un incident est enregistré, il doit être évalué : implique-t-il des données à caractère personnel ? Quelles catégories ? Combien de personnes concernées ? Le risque est-il suffisamment élevé pour exiger une notification aux personnes concernées au sens de l'article 34 ? Une notation des risques assistée par IA aide votre équipe à prendre ces décisions en quelques minutes plutôt qu'en quelques heures, transformant un jugement en une décision structurée et documentée qui résiste à l'examen des autorités de contrôle.
Réduction de 60 % du temps d'administration de la conformité
Constructeur aéronautique, mesuré sur les 6 premiers mois de déploiement de Priverion
Flux de notification multi-juridictionnels
Une violation touchant des clients en Allemagne, en France et en Autriche peut nécessiter une notification à plusieurs autorités de contrôle, chacune avec des formulaires, des portails et des attentes légèrement différents. Si votre groupe ne dispose pas d'une autorité de contrôle chef de file au titre du mécanisme du guichet unique, votre DPD se retrouve soudain à coordonner des notifications parallèles sous le même compte à rebours. Des modèles préconfigurés et des flux spécifiques à chaque juridiction transforment un cauchemar de coordination en un processus maîtrisé.
Assistance DPD 24/7 sur plusieurs entités
Un groupe multi-entités, accompagnement opérationnel continu pour la gestion de la protection des données inter-entités
Dossiers de preuves prêts pour l'audit, sur demande
Les autorités de contrôle ne demandent pas seulement si vous avez notifié à temps. Elles demandent comment vous avez déterminé que la violation était notifiable, à quoi ressemblait votre processus d'évaluation, qui y a participé et quelles preuves ont éclairé chaque décision. Si ces réponses se trouvent dans des fils d'e-mails et des messages Slack, vous construisez votre défense à partir de fragments. Un enregistrement d'incident structuré, avec des décisions horodatées, des scores de risque et des pistes d'approbation, est votre preuve que la « connaissance » a été traitée correctement.
Plus de 200 heures économisées dans la préparation des audits
Une entreprise de technologie médicale, lors de la préparation à la certification ISO 27001 avec Priverion
Coordination des violations fournisseurs et suivi des sous-traitants
Lorsqu'un sous-traitant découvre une violation, l'article 33(2) lui impose de vous notifier « dans les meilleurs délais ». Mais si vos accords avec les fournisseurs sont incohérents ou si votre inventaire de sous-traitants est dispersé sur des disques juridiques, vous ne pouvez même pas vérifier si les obligations de notification ont été respectées. Des évaluations centralisées des risques fournisseurs, incluant les clauses contractuelles de notification des violations, garantissent que vous savez exactement quels sous-traitants vous doivent quoi, et à quelle vitesse.
Couverture de 100 % de l'évaluation des risques fournisseurs
Un établissement de santé, couverture complète des risques tiers dans tous les établissements de soins
Souveraineté suisse des données pour les enregistrements de violations
Votre documentation des violations contient certaines des données les plus sensibles que votre organisation produira jamais : détails des défaillances de sécurité, catégories de personnes concernées touchées, notes d'évaluation internes. Stocker cela dans une plateforme hébergée aux États-Unis crée un risque de transfert transfrontalier secondaire, en plus de la violation elle-même. Toutes les données Priverion, y compris les enregistrements d'incidents et les dossiers de preuves, sont traitées et stockées au sein d'une infrastructure suisse, sous le régime du droit suisse de la protection des données.
Conçu en Suisse et hébergé en Suisse
L'ensemble du traitement des données au sein d'une infrastructure suisse, résidence européenne des données garantie
Découvrez comment Priverion automatise la détection et la notification des violations pour les organisations multi-entités, en 30 minutes.
Réservez une évaluation gratuite de votre préparation aux violations200+
Heures économisées sur la gestion du registre des traitements
Une entreprise de technologie médicale a récupéré plus de 200 heures lors de la préparation à l'ISO 27001 en remplaçant la tenue manuelle des registres par des flux de recertification automatisés.
60%
De coûts en moins par rapport aux plateformes d'entreprise héritées
D'après les comparaisons de tarifs publiés avec OneTrust pour les organisations multi-entités gérant plus de 10 filiales. Aucun frais par utilisateur, aucune extension par module.
3 mo
D'avance sur le calendrier de préparation à l'ISO 27001
Une entreprise de technologie médicale a accéléré son calendrier de certification ISO 27001 de trois mois grâce aux dossiers de preuves prêts pour l'audit et à la documentation automatisée de Priverion.
Pourquoi les équipes de protection des données du mid-market quittent OneTrust
Vous n'avez pas besoin d'une plateforme conçue pour les entreprises du Fortune 50, et tarifée comme telle. Vous avez besoin d'une conformité de niveau entreprise qui correspond à la façon dont votre organisation fonctionne réellement.
L'expérience OneTrust
Tarification par module
Besoin du registre des traitements, de l'AIPD, de la gestion des risques fournisseurs et des demandes des personnes concernées ? Cela fait quatre postes distincts. Les demandes de budget deviennent des négociations, et les coûts grimpent de façon imprévisible à mesure que vous ajoutez des utilisateurs ou des entités.
Infrastructure hébergée aux États-Unis
Dans un monde post-Schrems II, héberger vos données de conformité chez un fournisseur dont le siège est aux États-Unis crée précisément le risque de transfert que votre programme de protection des données est censé atténuer. Des options de centres de données dans l'UE ne résolvent pas la question juridictionnelle.
Une complexité conçue pour le Fortune 50
Des centaines de fonctionnalités que vous n'utiliserez jamais. Des délais de mise en œuvre de plusieurs mois. Votre équipe passe plus de temps à apprendre l'outil qu'à gérer la protection des données, exactement le problème que le logiciel était censé résoudre.
Plus de 200 intégrations superficielles
Une longue liste de connecteurs fait bonne impression en démonstration. En pratique, les intégrations superficielles se cassent, exigent une maintenance constante et fournissent rarement la profondeur de données dont vos flux de protection des données ont réellement besoin.
Le multi-entités comme une réflexion après coup
La visibilité à l'échelle du groupe nécessite des contournements et une configuration sur mesure. Gérer 12 filiales ne devrait pas donner l'impression de gérer 12 déploiements distincts.
L'expérience Priverion
Tarification de plateforme tout-en-un
Registre des traitements, AIPD, risques fournisseurs, demandes des personnes concernées, gestion des incidents, registre IA, inclus. Une tarification fondée sur le nombre d'entreprises et la taille de l'organisation, et non par utilisateur ou par module. Aucun piège d'extension, aucune facture surprise au renouvellement.
Conçu en Suisse, hébergé en Suisse
L'ensemble du traitement des données au sein d'une infrastructure suisse, l'une des rares juridictions bénéficiant d'une décision d'adéquation de l'UE. La résidence européenne des données n'est pas une case à cocher pour nous. C'est notre identité. Vos données de conformité restent hors de la juridiction américaine, un point c'est tout.
Opérationnel en quelques semaines, pas en quelques mois
Un constructeur aéronautique a obtenu une réduction de 60 % du temps d'administration de la conformité au cours de ses 6 premiers mois. Une expérience utilisateur plus simple signifie que votre équipe consacre son temps à gérer la protection des données, et non à apprendre un logiciel.
Constructeur aéronautique, 6 premiers mois après la mise en œuvre
Des intégrations approfondies qui comptent
Nous nous intégrons en profondeur aux systèmes qui pilotent les flux de protection des données : RH, achats, gestion des actifs informatiques, plutôt que de proposer 200 connecteurs superficiels qui génèrent une charge de maintenance et ne fournissent que des données de surface.
Pensé pour l'ensemble du groupe
La gestion multi-entités est notre architecture centrale, pas un ajout. Un assureur suisse a atteint une recertification du registre des traitements à 100 % sur toutes les entités, entièrement automatisée. Un seul tableau de bord, chaque filiale, une visibilité totale.
Un assureur suisse, recertification automatisée du registre des traitements sur toutes les entités du groupe
Le guide complet : la notification des violations sous 72 heures au titre de l'article 33 du RGPD
L'article 33 du RGPD impose aux responsables du traitement de notifier les violations de données à caractère personnel aux autorités de contrôle « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Ces quelques mots ont généré plus d'orientations réglementaires, d'actions répressives et d'anxiété en matière de conformité que presque toute autre disposition du règlement.
La question essentielle n'est pas « à quelle vitesse devons-nous notifier ? », mais « quand le compte à rebours démarre-t-il réellement ? »
Ce que signifie « avoir connaissance » au sens de l'article 33
Le délai de 72 heures ne commence pas lorsque la violation se produit. Il commence lorsque le responsable du traitement « prend connaissance » de la violation. Le Comité européen de la protection des données (CEPD) l'a clarifié dans ses lignes directrices 9/2022 sur la notification des violations de données à caractère personnel :
Un responsable du traitement doit être considéré comme ayant « pris connaissance » lorsqu'il dispose d'un degré raisonnable de certitude qu'un incident de sécurité s'est produit et a conduit à la compromission de données à caractère personnel.
Lignes directrices 9/2022 du CEPD, paragraphe 72
Cela signifie que le compte à rebours ne démarre pas dès qu'une personne de votre organisation soupçonne qu'un problème pourrait exister. Il démarre lorsque vous disposez d'un « degré raisonnable de certitude » que des données à caractère personnel ont été compromises. Toutefois, et c'est là que les organisations s'exposent à des difficultés, vous ne pouvez pas retarder cette prise de connaissance en choisissant de ne pas enquêter.
Le critère « aurait dû savoir »
Les autorités de contrôle ont systématiquement considéré que les organisations ne peuvent pas plaider l'ignorance si elles n'ont pas mis en œuvre des mesures de détection raisonnables. Si une violation était détectable au moyen d'une surveillance standard et que votre organisation l'a manquée parce que cette surveillance était insuffisante, les autorités de contrôle traiteront le moment où la violation aurait dû être détectée comme le moment de la prise de connaissance.
Ce principe a été éprouvé dans plusieurs actions répressives notables :
- L'autorité néerlandaise de protection des données a infligé une amende à Booking.com pour notification tardive, estimant que la prise de connaissance était intervenue lorsque les hôtels individuels avaient signalé un accès non autorisé, et non lorsque l'équipe centrale de Booking.com avait achevé son enquête interne des semaines plus tard.
- L'ICO britannique a estimé que la prise de connaissance par Marriott avait été retardée parce que l'entreprise avait hérité des systèmes compromis de Starwood et n'avait pas mené de diligence raisonnable adéquate, héritant de fait du calendrier de prise de connaissance de la violation.
- L'AEPD espagnole a systématiquement considéré que la prise de connaissance d'un responsable du traitement commence lorsque tout collaborateur ayant le pouvoir d'agir sur l'information la reçoit, et non lorsque le DPD est formellement notifié.
Quand le compte à rebours démarre-t-il pour les sous-traitants ?
L'article 33(2) impose une obligation distincte aux sous-traitants : ils doivent notifier le responsable du traitement « dans les meilleurs délais après avoir pris connaissance d'une violation de données à caractère personnel ». Aucun délai de 72 heures n'est précisé pour les sous-traitants, mais « dans les meilleurs délais » a été interprété de manière stricte.
Pour les responsables du traitement, cela crée un calendrier en cascade. Si votre sous-traitant prend connaissance le lundi et vous notifie le mercredi, votre compte à rebours de 72 heures démarre le mercredi, mais si le retard du sous-traitant était déraisonnable, l'autorité de contrôle peut tout de même examiner l'ensemble du calendrier.
C'est pourquoi les clauses contractuelles de notification des violations sont importantes. Si vos accords avec les fournisseurs prévoient une « notification du sous-traitant sous 48 heures » mais que votre inventaire de sous-traitants est dispersé sur des disques partagés, vous ne pouvez pas vérifier si ces clauses ont été respectées, ni même quels sous-traitants sont concernés par la violation.
Qu'entend-on par « dans les meilleurs délais » ?
Les 72 heures constituent un maximum, et non un objectif. Le RGPD dit « dans les meilleurs délais et, si possible, 72 heures au plus tard ». Cela signifie :
- Si vous pouvez notifier en 24 heures, vous devez le faire. Attendre la 71e heure alors que vous disposiez d'informations suffisantes à la 12e heure constitue en soi un manquement à la conformité.
- Si vous ne pouvez véritablement pas achever votre évaluation dans les 72 heures, vous pouvez soumettre une notification par phases, mais vous devez motiver le retard et fournir les informations initiales dans le délai de 72 heures.
- Les week-ends et les jours fériés ne suspendent pas le compte à rebours. Si la prise de connaissance intervient un vendredi à 23 h, vous avez jusqu'au lundi à 23 h.
Quelles informations la notification doit-elle contenir ?
L'article 33(3) précise le contenu minimal des notifications de violation :
- La nature de la violation de données à caractère personnel, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements concernés
- Le nom et les coordonnées du DPD ou d'un autre point de contact
- Une description des conséquences probables de la violation
- Une description des mesures prises ou proposées pour remédier à la violation, y compris les mesures d'atténuation
Pour les organisations multi-entités, cela crée un défi de coordination. Si la violation touche des personnes concernées réparties dans plusieurs filiales situées dans différentes juridictions, vous devrez peut-être déposer une notification auprès de plusieurs autorités de contrôle, à moins que vous ne disposiez d'une autorité chef de file au titre du mécanisme du guichet unique.
Le problème de la coordination multi-entités
Le compte à rebours de 72 heures est déjà suffisamment difficile pour une seule organisation. Pour les groupes d'entreprises gérant la conformité de 10, 20, voire plus de 50 entités, il devient exponentiellement plus complexe :
- Quelle entité est le responsable du traitement : la filiale où la violation s'est produite, ou la société mère ?
- Si plusieurs entités partagent un même système de traitement des données, la prise de connaissance par une entité constitue-t-elle une prise de connaissance pour toutes ?
- Qui a le pouvoir de déposer la notification : le DPD local, le DPD du groupe ou le service juridique ?
- Quelle autorité de contrôle reçoit la notification lorsque les personnes concernées touchées sont réparties dans plusieurs États membres ?
On ne peut pas répondre à ces questions pendant une violation. Elles doivent être résolues à l'avance, documentées dans votre plan de réponse aux incidents et éprouvées au moyen d'exercices de simulation réguliers.
78 % des organisations multi-entités gèrent encore leurs registres des activités de traitement dans des feuilles de calcul. Si vos registres de traitement sont fragmentés entre les filiales, déterminer l'étendue d'une violation, quelles catégories de données, quelles personnes concernées, quelles juridictions, prend des jours plutôt que des heures. Le compte à rebours de 72 heures n'attend pas que vos feuilles de calcul soient réconciliées.
D'après l'analyse Priverion de la maturité des programmes de protection des données auprès de prospects grands comptes, 2023-2024
Quand la notification n'est pas requise
Toutes les violations ne déclenchent pas le compte à rebours de 72 heures. L'article 33(1) comporte une réserve importante : la notification est requise « à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ».
Cette évaluation du risque est un point sur lequel de nombreuses organisations butent. Le CEPD a fourni des exemples :
- Un ordinateur portable chiffré est volé, et la clé de chiffrement n'a pas été compromise : risque probablement nul, notification probablement non requise
- Une brève coupure de courant provoque une impossibilité temporaire d'accéder aux dossiers patients : le risque dépend du contexte (soins d'urgence ou dossiers de routine)
- Un e-mail contenant des données à caractère personnel est envoyé au mauvais destinataire, qui confirme sa suppression sans l'avoir lu : risque faible, mais cela reste une violation qui doit être documentée en interne
Même lorsque la notification à l'autorité de contrôle n'est pas requise, l'article 33(5) vous impose de documenter la violation, ses effets et les mesures correctives prises. Cette documentation doit pouvoir être communiquée à l'autorité de contrôle pour examen sur demande.
Rendre le délai de 72 heures gérable
Les organisations qui respectent systématiquement le délai de 72 heures partagent des caractéristiques communes :
- Elles disposent d'un système de réception centralisée des incidents qui capte les violations de toute entité, de tout collaborateur, dans tout fuseau horaire, éliminant les frictions organisationnelles qui retardent la prise de connaissance
- Elles utilisent des cadres d'évaluation des risques structurés (et non des jugements au cas par cas) pour déterminer le caractère notifiable dans les minutes suivant la réception
- Elles tiennent à jour des registres des traitements exacts afin que l'évaluation de l'étendue d'une violation ne nécessite pas des jours de collecte manuelle de données
- Elles disposent de modèles de notification préconfigurés pour chaque autorité de contrôle concernée, réduisant le temps de rédaction de quelques heures à quelques minutes
- Elles documentent chaque décision avec des horodatages, créant la piste d'audit qui démontre la conformité même lorsque le calendrier est serré
Le compte à rebours de 72 heures est exigeant par conception. Il oblige les organisations à bâtir l'infrastructure opérationnelle qui rend la gestion de la protection des données durable, non seulement conforme sur le papier, mais résiliente sous pression.
Cessez de gérer la protection des données dans des feuilles de calcul
Découvrez à quoi ressemble une gestion de la protection des données à l'échelle du groupe lorsqu'elle fonctionne vraiment
En 30 minutes, nous passerons en revue votre configuration multi-entités spécifique : comment la recertification automatisée du registre des traitements, les AIPD assistées par IA et la cartographie des données inter-entités fonctionnent pour des organisations comme la vôtre. Le tout conçu et hébergé en Suisse. Aucun discours commercial, aucune avalanche de fonctionnalités. Juste de la clarté sur l'adéquation de Priverion à votre programme.
60%
De temps d'administration de la conformité en moins
Constructeur aéronautique, 6 premiers mois
200+
Heures économisées sur la préparation à l'ISO 27001
Une entreprise de technologie médicale
Semaines
Pour un déploiement complet, pas des mois
Moyenne sur l'ensemble de la clientèle
Sans engagement. Tarification prévisible, aucune surprise par utilisateur ni par module.


