📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Article 33 du RGPD : Notification à l’autorité de contrôle d’une violation de données à caractère personnel

Sommaire

Introduction 

L’article 33 du RGPD concerne la manière dont les organisations doivent réagir face à une violation de données personnelles. Il définit les modalités et le délai de notification de ces incidents auprès de l’autorité de contrôle (comme la CNIL en France).

Explication de l’article 

L’article 33 du RGPD fixe la procédure à suivre en cas de violation de données personnelles (cyberattaque, phishing, rançongiciel, etc.).

En cas d’incident, le responsable de traitement doit réagir rapidement et respecter plusieurs obligations. Ce dernier est la personne – physique ou morale – qui détermine les finalités et les moyens du traitement : il peut s’agir d’une entreprise, de son dirigeant, ou du responsable d’un service spécifique.

Il lui incombe de notifier l’autorité de contrôle compétente (comme la CNIL), dans un délai maximal de 72 heures après avoir pris connaissance de la violation. En cas de dépassement de ce délai, le retard doit être justifié.

Le sous-traitant, de son côté, a l’obligation d’informer sans délai le responsable de traitement dès qu’il a connaissance d’une violation.

La notification adressée à l’autorité doit contenir les informations suivantes (même de manière progressive, si nécessaire) :

  • La nature de la violation, les catégories de personnes concernées, leur nombre, ainsi que le nombre d’enregistrements de données affectés.
  • L’identité du DPO (s’il existe) ou d’un autre point de contact pertinent.
  • Une description des conséquences probables de la violation.
  • Les mesures prises, ou envisagées, pour remédier à l’incident et en atténuer les effets.

La notification n’est pas requise si l’incident ne présente aucun risque pour les droits et libertés des personnes concernées. Il s’agit de la seule exception admise.

Par ailleurs, le RGPD impose de documenter toute violation de données, que celle-ci fasse ou non l’objet d’une notification.

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert

Texte original du RGPD

1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l’autorité de contrôle compétente conformément à l’article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l’autorité de contrôle n’a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins:

a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés;

b) communiquer le nom et les coordonnées du délégué à la protection des données ou d’un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues;

c) décrire les conséquences probables de la violation de données à caractère personnel;

d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4. Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation a insi constituée permet à l’autorité de contrôle de vérifier le respect du présent article.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

Règlement (UE) No 611/2013 de la commission du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques

Article 2

Notification à l’autorité nationale compétente

1.Le fournisseur notifie toutes les violations de données à caractère personnel à l’autorité nationale compétente.

2.Le fournisseur notifie la violation de données à caractère personnel à l’autorité nationale compétente, au plus tard vingt-quatre heures après le constat de la violation, si possible.

Le fournisseur fournit les informations visées à l’annexe I dans sa notification à l’autorité nationale compétente.

Le constat d’une violation de données à caractère personnel est considéré comme établi dès lors que le fournisseur dispose d’assez d’éléments indiquant qu’il s’est produit un incident de sécurité ayant compromis des données à caractère personnel pour justifier une notification conformément au présent règlement.

3.Si les informations visées à l’annexe I ne sont pas toutes disponibles et si la violation de données à caractère personnel exige une enquête plus approfondie, le fournisseur est autorisé à transmettre une notification initiale à l’autorité nationale compétente, au plus tard vingt-quatre heures après le constat de la violation. Cette notification initiale comprend les informations visées à la partie 1 de l’annexe I. Le fournisseur transmet une seconde notification à l’autorité nationale compétente le plus rapidement possible et au plus tard trois jours après la notification initiale. Cette seconde notification comprend les informations visées à la partie 2 de l’annexe I et, si nécessaire, actualise les informations déjà fournies.

Si le fournisseur, malgré ses recherches, n’est pas en mesure de fournir toutes les informations dans le délai de trois jours à compter de la notification initiale, il notifie toutes les informations qu’il a recueillies dans ce délai et présente à l’autorité nationale compétente une justification valable de la notification tardive des informations restantes. Le fournisseur notifie dès que possible les informations restantes à l’autorité nationale compétente et, si nécessaire, actualise les informations déjà fournies.

4.L’autorité nationale compétente met à la disposition de tous les fournisseurs établis dans l’État membre concerné un moyen électronique sécurisé de notification des violations de données à caractère personnel ainsi que des informations sur les procédures pour y accéder et l’utiliser. Si nécessaire, la Commission organise des réunions avec les autorités nationales compétentes pour faciliter l’application de cette disposition.

5.Si la violation de données à caractère personnel porte atteinte à des abonnés ou des particuliers d’États membres autres que celui de l’autorité nationale compétente à laquelle la violation a été notifiée, ladite autorité informe les autres autorités nationales concernées.

Pour faciliter l’application de cette disposition, la Commission établit et tient à jour une liste des autorités nationales compétentes et des points de contact appropriés.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 58

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Le responsable de traitement notifie à la Commission nationale de l’informatique et des libertés et communique à la personne concernée toute violation de données à caractère personnel en application des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016.

Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du même règlement lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

La dérogation prévue au présent article n’est applicable qu’aux seuls traitements de données à caractère personnel nécessaires au respect d’une obligation légale qui requiert le traitement de ces données ou à l’exercice d’une mission d’intérêt public dont est investi le responsable de traitement.

Analyse des 3 textes qui précèdent 

Sous la Directive 95/46/CE, il n’existait pas d’obligation générale de notifier systématiquement toute violation de données à l’autorité de contrôle. Cette directive ne contenait pas de dispositions explicites imposant une telle notification, limitant ainsi la réactivité en cas d’incidents. Seules des obligations sectorielles, comme la directive 2002/58/CE relative aux communications électroniques, anticipaient des mécanismes de notification dans certains domaines.

En droit français, la Loi Informatique et Libertés (LIL) prévoyait initialement cette obligation de notification de manière limitée, notamment pour les opérateurs et fournisseurs de services de communications électronique.Ce système s’est largement étoffé avec la transposition du RGPD, étendant à tous les responsables de traitement l’obligation de notifier les violations comportant un risque pour les droits et libertés des personnes, dans un délai rapproché.

Le Règlement général sur la protection des données (RGPD), article 33, institue un cadre clair et strict. Toute violation de données personnelles définie comme une violation de la sécurité entraînant de façon accidentelle ou illicite la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès à des données à caractère personnel doit, en principe, faire l’objet d’une notification à l’autorité de contrôle. Cette obligation devient effective sauf si la violation est peu susceptible de présenter un risque pour les droits et libertés des personnes concernées, inversant ainsi l’approche de la deuxième proposition de règlement qui ne considérait que les violations à haut risque comme devant être notifiées.

Le RGPD impose un délai maximal de notification de 72 heures à compter de la connaissance de la violation par le responsable de traitement. Passé ce délai, une justification motivée est requise. Le règlement définit également un contenu minimal obligatoire pour la notification : description de la nature de la violation, catégories et nombre approximatifs des personnes et données concernées, conséquences probables, mesures prises ou envisagées, ainsi que les coordonnées du délégué à la protection des données ou d’un autre contact pertinent.

Le RGPD exige également qu’un registre interne des violations soit tenu à jour, consignant chaque violation, son contexte, les impacts et les mesures correctives, permettant ainsi à l’autorité de contrôle de vérifier le respect des obligations.

En outre, le RGPD distingue la responsabilité du sous-traitant, qui doit informer sans délai le responsable de traitement de toute violation dont il a connaissance, soulignant ainsi la chaîne de responsabilité.

Cette évolution reflète clairement un renforcement significatif du devoir de transparence et de réaction rapide en cas de violation, répondant aux besoins actuels de protection accrue des données personnelles dans un monde numérique en perpétuelle expansion.

Vous voulez avancer sur le RGPD sans perdre de temps ? Faites-vous accompagner par un DPO externe.

Jurisprudences 

Européennes 

Affaire Poste Vita spa

Sanction de 80 000 euros d’amende 

​​L’affaire concernant Poste Vita S.p.a. en Italie, sanctionnée par une amende de 80 000 euros le 10 juillet 2025, fait référence à l’article 33(1) du RGPD en lien avec une notification tardive et insuffisante d’une violation de données personnelles. Les éléments clés sont les suivants :

  • Une cliente a découvert que ses données personnelles liées à trois contrats d’assurance vie ont été communiquées à un tiers non autorisé, suite à des demandes frauduleuses envoyées à Poste Vita via une fausse adresse email.
  • La société a initialement répondu à ces demandes, estimant leur légitimité compte tenu des signatures manuscrites et des détails précis fournis, sans vérifier l’authenticité des requêtes ou un canal sécurisé.
  • Ce n’est qu’après la contestation formelle de la cliente en septembre 2024 que Poste Vita a identifié la violation et arrêté les communications à la fausse adresse.
  • La notification de violation à l’autorité italienne de protection des données (Garante) a été faite seulement en janvier 2025, soit plusieurs mois après la prise de connaissance de l’incident.
  • L’article 33 du RGPD impose une notification sans retard injustifié, et si possible dans les 72 heures suivant la connaissance de la violation. Le Garante a estimé que Poste Vita avait une « raisonnable » connaissance de la violation dès septembre 2024 à partir de la contestation, rendant tardive la notification.
  • La sanction a été prononcée aussi pour non-respect des principes de base du RGPD (licéité, sécurité et responsabilité), notamment l’absence de vérification adéquate de l’identité du requérant dans le traitement des demandes d’accès aux données.
  • Poste Vita a cependant coopéré avec l’autorité et amélioré ses procédures depuis l’incident.

En résumé, cette affaire illustre l’importance pour les responsables de traitement d’anticiper, détecter et notifier rapidement toute violation affectant les données personnelles, conformément à l’obligation clé de l’article 33 du RGPD. Le retard et les défaillances dans le contrôle d’accès ont conduit à une violation grave et sanctionnée administrativement

Françaises 

Délibération SAN-2025-008 du 18 septembre 2025

Sanction de 100,000 euros d’amende 

L’affaire de la société SAMARITAINE SAS, sanctionnée par la CNIL le 18 septembre 2025, parle de l’article 33 du RGPD car elle met en lumière un manquement à l’obligation de notifier et documenter les incidents liés au traitement de données personnelles. Plus précisément :

  • La société a installé des caméras dissimulées dans ses réserves, avec enregistrement sonore, sans effectuer d’analyse préalable de conformité au RGPD ni documenter ce traitement dans son registre des activités ou son analyse d’impact.
  • La mise en place de ces dispositifs de vidéosurveillance n’a pas été portée à la connaissance de la déléguée à la protection des données (DPO).
  • Ces faits révèlent une absence de respect des principes fondamentaux du RGPD, notamment la loyauté, la transparence et la responsabilité (accountability), qui imposent une gestion rigoureuse et documentée des traitements à risques.
  • L’article 33 impose en effet au responsable du traitement une obligation de notification lorsqu’une violation ou un incident affectant les données personnelles survient. Bien que la sanction mentionne surtout des manquements aux principes de traitement loyal et transparent, la non-documentation du traitement et l’absence d’implication de la DPO montrent une défaillance dans la gouvernance des données, directement liée aux exigences de l’article 33 (notamment son alinéa 5 qui porte sur la documentation des violations).
  • En somme, l’affaire illustre que tout traitement à risque doit être anticipé, analysé et enregistré, avec notification aux autorités compétentes si nécessaire, ce qui n’a pas été respecté ici.

Ainsi, la sanction prononcée se fonde sur le non-respect de l’article 33 du RGPD, qui stipule la nécessité d’identifier, notifier et documenter toute violation potentielle ou réelle de données à caractère personnel dans un cadre transparent et responsable

Délibération SAN-2020-008 du 18 novembre 2020

Sanction de 2 250 000 euros d’amende 

Dans cette affaire, la CNIL a sanctionné Carrefour France pour ne pas avoir respecté son obligation de notification à la suite d’une violation de données personnelles. L’entreprise avait estimé que l’incident ne présentait pas de risque pour les personnes concernées, justifiant ainsi l’absence de notification. Or, la CNIL rappelle que cette exception ne peut s’appliquer qu’après une analyse rigoureuse des risques. En l’espèce, plusieurs éléments rendaient la notification obligatoire : le caractère malveillant de la cyberattaque, le volume important de données concernées, et l’ampleur des tentatives d’accès (800 000 tentatives de connexion, dont 4 000 authentifications réussies). Délibération du 18 novembre 2020 – Légifrance

Recommandations 

CEPD 

Lignes directrices 9/2022 sur la notification de violations de données à caractère personnel en vertu du RGPD

Lignes directrices 01/2021 Exemples concernant la notification de violations de données à caractère personnel Adoptées le 14 décembre 2021

CNIL

Notifier une violation de données personnelles

Les violations de données personnelles

Sécurité : Gérer les incidents et les violations

Libérez-vous du RGPD
Un DPO externe certifié prend en charge votre conformité et sécurise vos données, sans contrainte pour vous.
Je prends rendez-vous avec un expert
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.