Viktoria ComplianceStart Assessment
Retour au blog
GDPR5 min readFebruary 15, 2026

La règle des 72 heures : comment signaler une violation de données dans le cadre du GDPR sans déclencher de pénalités supplémentaires ?

Une violation de données à caractère personnel est un incident de sécurité qui entraîne la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès à celles-ci, de manière accidentelle ou illicite. En vertu des articles 33 et 34 du GDPR, la manière dont votre organisation réagit à une violation peut avoir autant de conséquences que la violation elle-même. Une notification tardive ou inadéquate est traitée comme une infraction distincte, entraînant souvent une sanction propre.

Comprendre le délai de 72 heures

L'article 33, paragraphe 1, impose au responsable du traitement de notifier à l'autorité de contrôle compétente toute violation de données à caractère personnel dans un délai raisonnable et, si possible, au plus tard 72 heures après en avoir pris connaissance. Le délai commence à courir non pas lorsque la violation se produit, mais lorsque l'organisation en prend connaissance. Cette distinction est importante : une violation qui s'est produite il y a plusieurs semaines mais qui n'a été découverte qu'aujourd'hui déclenche l'obligation de 72 heures à partir du moment où elle a été découverte.

Si la notification n'est pas effectuée dans les 72 heures, le responsable du traitement doit fournir les raisons du retard. Les autorités de contrôle ont fait preuve d'une tolérance limitée à l'égard des retards non justifiés. L'autorité néerlandaise de protection des données (Autoriteit Persoonsgegevens) a imposé des amendes spécifiquement pour les notifications tardives, les considérant comme une violation distincte au titre de l'article 83, paragraphe 4, point a).

Qu'est-ce qui constitue une violation à signaler ?

Tous les incidents de sécurité ne nécessitent pas une notification à l'autorité de contrôle. L'article 33, paragraphe 1, précise l'obligation : la notification est requise à moins que la violation ne soit pas susceptible d'entraîner un risque pour les droits et libertés des personnes physiques. Ce seuil basé sur le risque signifie que vous devez évaluer chaque violation individuellement.

Les lignes directrices 01/2021 de l'EDPB sur les exemples de notification des violations de données à caractère personnel fournissent une taxonomie utile des scénarios à signaler et à ne pas signaler :

Probablement à signaler :

  • Une attaque de ransomware crypte les dossiers des patients d'un hôpital
  • Accès non autorisé à une base de données clients contenant des informations financières
  • Envoi par erreur à un destinataire externe d'un courriel contenant des données salariales d'un employé
  • Ordinateur portable volé contenant des données personnelles non cryptées
  • Exfiltration de données personnelles par un initié malveillant

Il est probable qu'il n'y ait pas lieu de le signaler :

  • Ordinateur portable crypté perdu ou volé dont la clé de cryptage n'a pas été compromise
  • Brève coupure de courant entraînant une inaccessibilité temporaire des données sans perte permanente
  • Courriel interne mal acheminé lorsque le destinataire est lié par des obligations de confidentialité et confirme la suppression.

En cas de doute, privilégiez la notification. Les autorités de surveillance sont beaucoup plus compréhensives à l'égard des organisations qui signalent une violation qui s'avère être à faible risque qu'à l'égard de celles qui ne signalent pas une violation qui s'avère par la suite importante.

Exigences relatives au contenu de la notification

L'article 33, paragraphe 3, précise les informations minimales qui doivent figurer dans une notification de l'autorité de contrôle :

  1. Une description de la nature de la violation, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés.
  2. Le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact.
  3. Une description des conséquences probables de la violation.
  4. Une description des mesures prises ou proposées pour remédier à la violation, y compris, le cas échéant, des mesures visant à en atténuer les effets négatifs éventuels.

Lorsqu'il n'est pas possible de fournir toutes les informations en même temps, celles-ci peuvent être fournies par étapes (article 33, paragraphe 4). De nombreuses autorités de contrôle acceptent une notification initiale suivie de rapports complémentaires au fur et à mesure de l'avancement de l'enquête.

Quand les personnes concernées doivent-elles être informées ?

L'article 34 impose une obligation supplémentaire de notification directe aux personnes concernées lorsque la violation est susceptible d'entraîner un risque élevé pour leurs droits et libertés. Le seuil est plus élevé que pour la notification à l'autorité de contrôle : un risque élevé plutôt qu'un simple risque.

La communication aux personnes concernées doit se faire dans un langage clair et simple et doit décrire la nature de la violation, les coordonnées du DPD, les conséquences probables et les mesures prises pour remédier à la violation. La notification directe n'est pas requise dans les cas suivants

  • Le responsable du traitement a mis en œuvre des mesures techniques appropriées (telles que le cryptage) qui rendent les données inintelligibles pour les personnes non autorisées.
  • Le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé n'est plus susceptible de se matérialiser.
  • La notification individuelle impliquerait un effort disproportionné, auquel cas une communication publique ou une mesure similaire est autorisée.

Renforcer votre capacité à réagir en cas de brèche

Une réponse efficace à une brèche ne s'improvise pas. Elle nécessite une préparation, une documentation et des tests réguliers. Le cadre suivant aidera votre organisation à réagir efficacement en cas de violation :

Étape 1 : Détection et escalade

Mettez en œuvre des contrôles techniques (détection des intrusions, surveillance des journaux, détection des points d'extrémité) et établissez des voies d'escalade claires. Chaque employé doit savoir comment signaler en interne une violation présumée. Définissez une équipe d'intervention en cas de violation, composée de représentants des services informatiques, juridiques, de communication et de la direction générale.

Étape 2 : Évaluation initiale

Dans les heures qui suivent la détection, évaluez la nature et la portée de la violation. Déterminez quelles données ont été affectées, combien de personnes sont concernées, si la violation est en cours et quel en sera l'impact probable. C'est cette évaluation qui déterminera vos décisions en matière de notification.

Étape 3 : Confinement

Prenez des mesures immédiates pour contenir la violation. Il peut s'agir d'isoler les systèmes touchés, de révoquer les informations d'identification compromises, de bloquer les adresses IP malveillantes ou d'activer les systèmes de sauvegarde. Documentez toutes les mesures d'endiguement et leur calendrier.

Étape 4 : Notification

Sur la base de votre évaluation des risques, préparez et soumettez votre notification à l'autorité de contrôle dans les 72 heures. Si la violation déclenche l'application de l'article 34, préparez en parallèle les communications aux personnes concernées. Utilisez des modèles préétablis pour accélérer ce processus.

Étape 5 : Enquête et remédiation

Effectuez une analyse approfondie des causes profondes. Identifiez la vulnérabilité qui a été exploitée, les contrôles qui ont échoué et les mesures nécessaires pour éviter que la situation ne se reproduise. Documentez les résultats et mettez rapidement en œuvre des mesures correctives.

Étape 6 : Examen après l'incident

Après l'intervention immédiate, procédez à un examen formel post-incident avec toutes les parties prenantes. Mettez à jour vos procédures d'intervention en cas de violation en fonction des enseignements tirés. Soumettez votre rapport final à l'autorité de contrôle dans les délais impartis.

Les erreurs courantes à éviter

  • Ne pas reconnaître un incident de sécurité comme une violation de données à caractère personnel
  • Attendre la fin de l'enquête avant de notifier l'autorité de contrôle
  • Fournir des informations incomplètes ou inexactes dans la notification initiale
  • Négliger de documenter les infractions jugées à faible risque (l'article 33, paragraphe 5, exige un registre des infractions pour toutes les infractions).
  • Sous-estimer le risque pour les personnes concernées afin d'éviter les obligations de notification
  • Absence de notification aux personnes concernées lorsque le seuil de risque élevé prévu à l'article 34 est atteint

Le délai de notification de 72 heures est court, mais les organisations qui se préparent à l'avance (avec des procédures documentées, des modèles de notification et une équipe de réponse à la violation formée) peuvent respecter cette obligation de manière cohérente. Le coût de la préparation est négligeable par rapport aux pénalités et à l'atteinte à la réputation qui découlent d'une réponse à une violation mal gérée.

Évaluez votre niveau de conformité

Lancez notre évaluation gratuite RGPD, NIS2 et Règlement IA et obtenez des recommandations personnalisées en quelques minutes.

Démarrer l'évaluation gratuite

EU Compliance Weekly

Get the latest regulatory updates, compliance tips, and enforcement news delivered to your inbox every week.

We respect your privacy. Unsubscribe anytime.