EuroComply
Sign up
Back to blog
RGPD 12 min read

RGPD Article 33 : Notification de Violation de Données en 72 Heures

What you need to know: RGPD Article 33 : Notification de Violation de Données en 72 Heures

Le RGPD Article 33 impose au responsable du traitement de notifier toute violation de données à caractère personnel à l'autorité de contrôle dans les 72 heures. Ce guide explique ce qui constitue une violation, quand le délai commence, qui notifier et que inclure dans la notification.

Source: EuroComply Editorial (2026-06-03)Reviewed:
EuroComply Team
EU regulatory specialistsContent reviewed against official EUR-Lex texts
EuroComply Editorial Team

Le RGPD Article 33 impose à tout organisme de notifier les violations de données à caractère personnel à l'autorité de contrôle « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Il s'agit d'une échéance légale impérative. Son non-respect expose à des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial.

Ce guide explique ce qui constitue une violation, quand le délai de 72 heures commence, qui notifier et quelles informations inclure dans la notification.

La loi : RGPD Article 33(1)

« En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. »

Points essentiels :

  • Le délai de 72 heures commence dès que votre organisme prend connaissance de la violation — et non à la fin de l'enquête.
  • La notification est obligatoire sauf si la violation « n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ».
  • Le destinataire est l'autorité de contrôle — l'autorité nationale de protection des données du ou des pays dans lesquels résident les personnes concernées.
  • Le défaut de notification expose à des amendes en vertu de l'Article 83(4) : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel (le montant le plus élevé étant retenu).

Qu'est-ce qu'une violation de données à caractère personnel ?

L'Article 4(12) du RGPD définit la violation de données à caractère personnel comme :

« une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. »

En pratique : toute situation dans laquelle des données à caractère personnel sont compromises — exposées à des personnes non autorisées, perdues, supprimées ou altérées sans autorisation.

Exemples nécessitant une notification dans les 72 heures

  • Attaque par rançongiciel (ransomware) chiffrant des bases de données clients
  • Compromission d'un compte salarié donnant accès à des données clients
  • Seau de stockage cloud mal configuré exposant une liste de clients
  • Ordinateur portable non chiffré contenant des données clients volé dans un véhicule
  • Fuite de données par un collaborateur interne disposant d'un accès aux bases de données en production
  • Attaque de hameçonnage (phishing) aboutissant au vol d'identifiants et à un accès aux données
  • Violation chez un sous-traitant affectant vos données clients

Exemples qui peuvent ne pas nécessiter de notification (risque faible)

  • Tentative d'accès échouée sans violation avérée
  • Perte de données chiffrées dont la clé de chiffrement n'est pas compromise
  • Incident technique sans preuve d'accès effectif aux données ou d'exfiltration

Le critère décisif : Existe-t-il un risque réaliste pour les droits ou libertés des personnes concernées ? Si oui — notifiez. Si non — vous pouvez ne pas notifier l'autorité de contrôle, mais documentez votre raisonnement par écrit.

Le délai de 72 heures : quand commence-t-il ?

Le délai commence dès que votre organisme prend connaissance de la violation, et non :

  • À la fin de l'investigation sur l'incident
  • Lorsque la vulnérabilité est corrigée
  • Lorsque les personnes concernées sont contactées
  • Après validation du conseil juridique
  • Après approbation de la direction générale

Exemples concrets

Exemple 1 — Attaque par rançongiciel

  • 09h00 : Votre équipe de sécurité détecte des fichiers chiffrés inhabituels sur un serveur de production
  • Il s'agit d'une « prise de connaissance » — le délai commence maintenant
  • Échéance : 09h00 trois jours plus tard (72 heures)
  • Action : Notifier l'autorité de contrôle avant cette échéance — ne pas attendre le rapport de forensique

Exemple 2 — Violation chez un sous-traitant

  • 15h00 : Votre sous-traitant vous envoie un message urgent : « Nous avons détecté une violation affectant vos données clients »
  • La prise de connaissance commence à la réception de cette notification
  • Échéance : 15h00 trois jours plus tard
  • Action : Soumettre une notification préliminaire même sans disposer de tous les détails

Exemple 3 — Découverte lors d'un audit

  • L'équipe d'audit constate que des données clients ont été exposées pendant les 13 jours précédents
  • Prise de connaissance : au moment de la découverte, non au début de la période d'exposition
  • Échéance : 72 heures à compter de la découverte
  • Action : Notifier l'autorité de contrôle immédiatement ; la durée d'exposition est une information contextuelle, pas le point de départ du délai

Qui notifier ? Les autorités de contrôle

Chaque pays de l'UE et de l'EEE dispose d'une autorité de contrôle chargée de l'application du RGPD. Vous devez notifier l'autorité de contrôle de chaque pays dans lequel résident les personnes concernées.

| Pays | Autorité de contrôle | Contact | |------|---------------------|---------| | Allemagne | Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) | Portail en ligne (bfdi.bund.de) | | Autriche | Österreichische Datenschutzbehörde | [email protected] | | Belgique | Autorité de protection des données | Formulaire en ligne (apd-gba.be) | | Bulgarie | Commission for Personal Data Protection | [email protected] | | Chypre | Commissioner for Personal Data Protection | [email protected] | | Croatie | Agencija za zaštitu osobnih podataka | [email protected] | | Danemark | Datatilsynet | [email protected] | | Espagne | Agencia Española de Protección de Datos | Portail en ligne (aepd.es) | | Estonie | Andmekaitse Inspektsioon | [email protected] | | Finlande | Tietosuojavaltuutetun toimisto | [email protected] | | France | Commission Nationale de l'Informatique et des Libertés (CNIL) | Portail en ligne (cnil.fr) | | Grèce | Hellenic Data Protection Authority | [email protected] | | Hongrie | Nemzeti Adatvédelmi és Információszabadság Hatóság | [email protected] | | Irlande | Data Protection Commission | Portail en ligne (dataprotection.ie) | | Italie | Garante per la Protezione dei Dati Personali | Formulaire en ligne (garanteprivacy.it) | | Lettonie | Datu valsts inspekcija | [email protected] | | Lituanie | Valstybinė duomenų apsaugos inspekcija | [email protected] | | Luxembourg | Commission Nationale pour la Protection des Données | [email protected] | | Malte | Office of the Information and Data Protection Commissioner | [email protected] | | Pays-Bas | Autoriteit Persoonsgegevens | Portail en ligne (autoriteitpersoonsgegevens.nl) | | Pologne | Prezes Urzędu Ochrony Danych Osobowych | Portail en ligne (uodo.gov.pl) | | Portugal | Comissão Nacional de Proteção de Dados | [email protected] | | République tchèque | Úřad pro ochranu osobních údajů | [email protected] | | Roumanie | Autoritatea Națională de Supraveghere | Formulaire en ligne | | Slovaquie | Úrad na ochranu osobných údajov | [email protected] | | Slovénie | Informacijski pooblaščenec | [email protected] | | Suède | Integritetsskyddsmyndigheten | Formulaire en ligne (imy.se) | | Royaume-Uni | Information Commissioner's Office (ICO) | Portail en ligne (ico.org.uk) |

Règle importante : Si votre violation affecte des personnes résidant dans plusieurs pays, vous devez notifier chaque autorité de contrôle concernée. Une violation affectant des clients en France et en Allemagne impose une notification séparée à la CNIL et au BfDI.

En France, la notification à la CNIL s'effectue exclusivement via le portail en ligne disponible sur cnil.fr. La CNIL met à disposition un formulaire structuré permettant de saisir les informations requises. Conservez l'accusé de réception du portail comme preuve de soumission.

Contenu obligatoire de la notification à l'autorité de contrôle

L'Article 33(3) du RGPD précise le contenu minimum que doit comporter votre notification :

I. Informations sur l'incident

  • Date et heure de découverte de la violation
  • Date et heure de survenance de la violation (si connue)
  • Catégories de données à caractère personnel affectées (noms, adresses électroniques, données financières, données de santé, etc.)
  • Nombre approximatif de personnes concernées
  • Nombre approximatif d'enregistrements affectés

II. Description de la violation

  • Nature de l'incident (rançongiciel, base de données mal configurée, identifiants compromis)
  • Mode de découverte de la violation
  • Statut de la remédiation de la vulnérabilité

III. Conséquences probables pour les personnes concernées

  • Risque d'usurpation d'identité
  • Risque de fraude financière
  • Risque de discrimination (notamment en cas de fuite de données sensibles)

IV. Mesures prises

  • État d'avancement et calendrier de l'investigation forensique
  • Mesures de confinement mises en œuvre
  • Notification des personnes concernées (ou calendrier prévu)
  • Résultats de l'analyse des causes racines
  • Mesures correctives et préventives mises en place ou planifiées

V. Coordonnées du Délégué à la Protection des Données (DPD)

  • Nom, adresse électronique et numéro de téléphone de votre DPD (si nommé)
  • Contact dédié pour le suivi par l'autorité de contrôle

Point essentiel : Vous n'êtes pas tenu d'avoir achevé l'investigation avant de notifier. Soumettez des informations préliminaires dans les 72 heures et fournissez des mises à jour au fur et à mesure de l'avancement de l'enquête.

Procédure de notification : étape par étape

Étape 1 — Évaluer la violation (dans les heures suivant la découverte)

Confirmez qu'une violation a bien eu lieu et qu'il ne s'agit pas d'une fausse alerte. Identifiez les catégories de données affectées et le nombre de personnes concernées. Déterminez les pays de l'UE dans lesquels ces personnes résident.

Étape 2 — Identifier la ou les autorités de contrôle compétentes

Consultez le tableau ci-dessus. En cas de violation transfrontalière, préparez des notifications séparées pour chaque autorité. Chacune dispose de sa propre procédure — consultez leur site officiel.

Étape 3 — Préparer une notification préliminaire

Vous n'avez pas besoin d'une certitude forensique pour notifier. Décrivez ce que vous savez à 72 heures, même si les informations sont incomplètes : « À [date/heure], nous avons identifié un accès non autorisé aux adresses électroniques de nos clients. L'investigation est en cours ; nous transmettrons un rapport forensique complet avant le [date]. »

Étape 4 — Soumettre à la ou aux autorités de contrôle avant l'échéance

Envoyez votre notification via le canal désigné par chaque autorité (portail en ligne ou courrier électronique). Conservez la preuve de soumission — l'accusé de réception, l'horodatage ou la confirmation du portail.

Étape 5 — Communication continue

Tenez l'autorité de contrôle informée de l'avancement de votre investigation. Transmettez les conclusions forensiques dans un délai de deux à quatre semaines. Répondez promptement à toute demande d'informations complémentaires de l'autorité de contrôle.

Article 34 : Notification aux personnes concernées

La notification à l'autorité de contrôle (Article 33) est une obligation distincte de la notification aux personnes concernées (Article 34).

L'Article 34 impose de notifier les personnes concernées « dans les meilleurs délais » lorsqu'une violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Vous n'êtes pas tenu de notifier les personnes concernées si :

  • Les données étaient intégralement chiffrées et la clé de chiffrement n'a pas été compromise
  • Des mesures ultérieures ont été prises qui éliminent effectivement le risque élevé
  • La notification exigerait des efforts disproportionnés (auquel cas vous devez publier une communication publique)

Les notifications individuelles doivent décrire la nature de la violation, ses conséquences probables, les mesures prises et les coordonnées de votre DPD.

Erreurs fréquentes

Attendre la fin de l'investigation avant de notifier. Le délai de 72 heures commence à la prise de connaissance. Notifiez tôt avec des informations préliminaires et complétez ultérieurement.

Ne notifier que l'autorité de contrôle de votre pays d'établissement. Vous devez notifier chaque autorité de contrôle de chaque pays dans lequel résident les personnes concernées.

Décider unilatéralement que le risque est faible sans documenter votre raisonnement. Documentez votre analyse du risque faible par écrit. Même les violations à risque faible justifient généralement une notification à l'autorité de contrôle.

Envoyer une notification générique plutôt que des informations adaptées à chaque autorité. Chaque autorité de contrôle peut avoir des exigences et des formulaires légèrement différents. Consultez le portail officiel de chaque pays.

Liste de contrôle pour votre préparation à la violation de données

  • Désigner une équipe de réponse aux incidents (sécurité, juridique, conformité, communication)
  • Documenter votre inventaire des données : quelles données à caractère personnel vous détenez, où elles sont stockées, combien de temps vous les conservez
  • Rédiger des procédures de réponse aux incidents : détecter, contenir et investiguer les violations
  • Configurer la journalisation et la surveillance afin d'être alerté en cas de violation
  • Identifier vos autorités de contrôle compétentes selon la localisation de vos clients et collaborateurs
  • Préparer des modèles de notification pour chaque autorité de contrôle concernée
  • Sensibiliser votre direction générale à l'obligation de 72 heures et aux pouvoirs de décision associés
  • Mettre en place des procédures d'escalade afin que toute violation confirmée déclenche immédiatement le processus de notification
  • Réaliser un exercice de simulation (tabletop exercise) au moins une fois par an

Points clés à retenir

  1. Le délai de 72 heures commence à la prise de connaissance, et non à l'achèvement de l'investigation. Notifiez l'autorité de contrôle immédiatement avec des informations préliminaires.
  2. Notifiez chaque autorité de contrôle compétente — une par pays dans lequel résident les personnes concernées.
  3. La notification est obligatoire sauf si la violation présente un risque faible — documentez votre évaluation si vous décidez de ne pas notifier.
  4. Votre notification doit inclure la nature de la violation, les catégories de données affectées, les conséquences probables et les mesures prises.
  5. Le défaut de notification dans les délais expose à des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel, outre les conséquences réputationnelles et réglementaires.
  6. Préparez-vous dès maintenant — mettez en place vos procédures de réponse aux incidents avant qu'une violation ne survienne, et non pendant.

Cet article est fourni à titre informatif uniquement et ne constitue pas un conseil juridique. Consultez votre Délégué à la Protection des Données, votre conseil juridique ou un spécialiste de la conformité RGPD pour obtenir des conseils adaptés à votre organisme.

Key takeaways: RGPD Article 33 : Notification de Violation de Données en 72 Heures

This article covers: La loi : RGPD Article 33(1), Qu'est-ce qu'une violation de données à caractère personnel ?, Le délai de 72 heures : quand commence-t-il ?.

  • La loi : RGPD Article 33(1)
  • Qu'est-ce qu'une violation de données à caractère personnel ?
  • Le délai de 72 heures : quand commence-t-il ?
  • Qui notifier ? Les autorités de contrôle
  • Contenu obligatoire de la notification à l'autorité de contrôle
Source: EuroComply Editorial (2026-06-03)Reviewed:
EC

EuroComply Editorial Team

EU regulatory compliance specialists covering the AI Act, GDPR, NIS2, and related legislation. Content reviewed against official EU regulation texts and enforcement guidance.

For informational purposes only. Consult qualified legal counsel.

Share:

Get the weekly EU compliance briefing — 2 minutes, every Thursday.

See how your site scores

Run a free EU compliance scan — no signup, 30 seconds.