Article 34 du RGPD : Communication à la personne concernée d’une violation de données à caractère personnel

Texte original du RGPD

1. Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.

2.La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et recommandations prévues à l’article 33, paragraphe 3, points b), c) et d).

3.La communication à la personne concernée visée au paragraphe 1 n’est pas nécessaire si l’une ou l’autre des conditions suivantes est remplie:

a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces dernières ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personn el incompréhensibles pour toute personne qui n’est pas autorisée à y avoir accès, telles que le chiffrement;

b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser;

c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d’être info rmées de manière tout aussi efficace.

4. Si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie.

Équivalent directive 95/46 CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

RÈGLEMENT (UE) No 611/2013 DE LA COMMISSION du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques

Article 3

1.Lorsque la violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier, le fournisseur, en plus de la notification visée à l’article 2, notifie également la violation à l’abonné ou au particulier.

2.Il est déterminé si une violation de données à caractère personnel est susceptible de porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’un particulier en prenant notamment en compte les éléments suivants:

a) la nature et la teneur des données concernées, en particulier s’il s’agit de données relatives à des informations financières, de catégories de données particulières visées à l’article 8, paragraphe 1, de la directive 95/46/CE ainsi que de données de localisation, fichiers journaux internet, historiques de sites web consultés, données relatives au courrier électronique et listes d’appels téléphoniques détaillées;

b) les conséquences vraisemblables de la violation de données à caractère personnel pour l’abonné ou le particulier concerné, notamment les cas où la violation pourrait entraîner un vol ou une usurpation d’identité, une atteinte à l’intégrité physique, une souffrance psychologique, une humiliation ou une atteinte à la réputation; et

c) les circonstances de la violation de données à caractère personnel, en particulier l’endroit où les données ont été volées ou le moment auquel le fournisseur sait que les données sont en possession d’un tiers non autorisé.

3.La notification à l’abonné ou au particulier est effectuée sans retard injustifié après constat de la violation de données à caractère personnel tel que défini à l’article 2, paragraphe 2, troisième alinéa. Cela est indépendant de la notification de la violation de données à caractère personnel à l’autorité nationale compétente, visée à l’article 2.

4.Le fournisseur fournit les informations visées à l’annexe II dans sa notification à l’abonné ou au particulier. La notification à l’abonné ou au particulier est rédigée dans une langue claire et aisément compréhensible. Le fournisseur n’utilise pas la notification comme un moyen de promouvoir ou d’annoncer des services nouveaux ou supplémentaires.

5.Dans certains cas exceptionnels, s’il y a un risque que la notification à l’abonné ou au particulier nuise à l’efficacité de l’enquête sur la violation de données à caractère personnel, le fournisseur est autorisé, après avoir obtenu l’accord de l’autorité nationale compétente, à retarder la notification jusqu’au moment où ladite autorité juge possible de notifier la violation conformément au présent article.

6.Le fournisseur notifie la violation de données à caractère personnel à l’abonné ou au particulier par des moyens de communication qui garantissent une réception rapide de l’information et qui sont sécurisés conformément aux règles de l’art. Les informations concernant la violation se limitent à celle-ci et ne sont pas associées à des informations concernant autre chose.

7.Si le fournisseur directement lié par contrat avec l’utilisateur final, malgré les efforts raisonnables déployés, n’est pas en mesure d’identifier dans le délai fixé au paragraphe 3 toutes les personnes susceptibles d’être lésées par la violation de données à caractère personnel, il peut, dans le même délai, informer ces personnes par des avis dans de grands médias nationaux ou régionaux dans les États membres concernés. Ces avis contiennent les informations visées à l’annexe II, si nécessaire sous une forme condensée. Dans ce cas, le fournisseur continue à déployer tous les efforts raisonnables pour identifier ces personnes et leur notifier dès que possible les informations visées à l’annexe II.

Équivalent de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et Liberté)

Article 58

Modifié par l’ordonnance n° 2018-1125 du 12 décembre 2018

Le responsable de traitement notifie à la Commission nationale de l’informatique et des libertés et communique à la personne concernée toute violation de données à caractère personnel en application des articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016.

Un décret en Conseil d’Etat, pris après avis de la Commission nationale de l’informatique et des libertés, fixe la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données régi par l’article 34 du même règlement lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique.

La dérogation prévue au présent article n’est applicable qu’aux seuls traitements de données à caractère personnel nécessaires au respect d’une obligation légale qui requiert le traitement de ces données ou à l’exercice d’une mission d’intérêt public dont est investi le responsable de traitement.

Analyse des 3 textes qui précèdent 

L’article 34 du RGPD instaure une obligation claire pour le responsable du traitement d’informer la personne concernée lorsqu’une violation de ses données personnelles est susceptible d’engendrer un risque élevé pour ses droits et libertés. Cette notification doit se faire « sans retard injustifié » afin de permettre à la personne de prendre des mesures pour atténuer ou éviter les conséquences négatives.

Le contenu de cette communication est proche de celui de la notification à l’autorité de contrôle (article 33), avec l’exigence supplémentaire que la notification soit rédigée en termes clairs et facilement compréhensibles.

Trois exceptions encadrées sont prévues où la notification directe à la personne n’est pas nécessaire :

• Lorsque des mesures techniques (comme le chiffrement) et organisationnelles appropriées ont été appliquées, rendant la donnée incompréhensible à toute personne non autorisée.
• Lorsque des mesures ultérieures abolissent le risque élevé.
• Lorsque la notification exigerait des efforts disproportionnés ; dans ce cas, une communication publique doit être envisagée.

Enfin, l’autorité de contrôle peut contraindre le responsable à informer la personne concernée si elle estime, au vu de l’évaluation du risque, que cela est nécessaire.

La directive 95/46/CE ne prévoyait aucune obligation explicite de notification directe aux personnes concernées en cas de violation de leurs données personnelles. Ce sujet était peu encadré, et les mécanismes d’information étaient sectoriels ou limités à un cadre plus restreint.

La Loi Informatique et Libertés, avant et après la transposition du RGPD, avait introduit un dispositif limité à certains secteurs, notamment les communications électroniques (article 34 bis). Seules les violations pouvant porter atteinte aux données ou à la vie privée d’un abonné étaient, en principe, sujettes à communication aux personnes concernées. Depuis l’application du RGPD, ce cadre s’est généralisé et aligné sur les exigences européennes.

Conclusion

L’article 34 du RGPD marque une avancée significative en consacrant le droit des personnes à être informées rapidement et clairement des violations de leurs données à caractère personnel susceptibles de porter gravement atteinte à leurs droits et libertés. Cette obligation est à la fois un outil concret de protection individuelle et un levier de responsabilisation des responsables de traitement.

Les règles encadrant cette notification sont plus précises et contraignantes que celles des textes antérieurs, tout en privilégiant des exceptions strictement définies et justifiées pour éviter les communications inutiles ou aggravant la situation.

Jurisprudences 

Européennes 

Affaire Covid 19 Test Lab

Sanction de 100 000 euros d’amende 

L’affaire relative au laboratoire Covid 19 Test Lab en Autriche, sanctionnée en juin 2024 avec une amende de 100 000 euros, concerne l’article 34 du RGPD en lien avec des mesures techniques et organisationnelles insuffisantes pour garantir la sécurité de l’information.

Le laboratoire Covid 19 Test Lab a manqué à ses obligations de sécurisation adéquate des données sensibles traitées (données de santé, art. 9 RGPD), ce qui a conduit à une violation avec un risque élevé pour les personnes concernées.

La sanction reflète que le responsable n’a pas seulement failli à sécuriser correctement les données, mais qu’il n’a vraisemblablement pas respecté non plus l’obligation de communication aux personnes concernées conformément à l’article 34, principe clé de protection et d’information dans ce cas.

Affaire centros commerciales carrefour

Sanction de 3,2 millions d’euros d’amende 

Cette affaire concerne l’entreprise CENTROS COMERCIALES CARREFOUR, S.A. en Espagne, sanctionnée par une amende de 3,2 millions d’euros par l’Agence espagnole de protection des données (AEPD) le 14 mars 2025. Voici en quoi elle fait référence à l’article 34 du RGPD :

• Carrefour a été sanctionnée pour des violations répétées et mal gérées de données personnelles entre octobre 2022 et septembre 2023, lors de cinq incidents de sécurité affectant 118 895 comptes clients.
• Ces violations étaient dues à des attaques de type « credential stuffing », où des identifiants et mots de passe volés sur d’autres sites ont été utilisés pour accéder frauduleusement aux comptes.
• L’AEPD a constaté des insuffisances dans les mesures techniques et organisationnelles mises en œuvre par Carrefour, ce qui contrevenait notamment à l’article 32 relatif à la sécurité des traitements.
• Concernant l’article 34, Carrefour n’a pas correctement informé les personnes concernées des violations lorsqu’elles se sont produites. Pour les trois premiers incidents, aucune information spécifique n’a été donnée, et pour les deux derniers, la communication était générique, sans mention claire de la fuite ni des risques encourus.
• L’AEPD considère ce manquement comme une violation de l’obligation de notifier les personnes concernées conformément à l’article 34 RGPD, qui impose une communication claire et rapide aux individus affectés par une violation à risque élevé.

Françaises 

Délibération SAN-2021-020 du 28 décembre 2021

Sanction de 180 000 euros d’amende 

À la suite d’une violation de données ayant concerné près de 12 millions de personnes, la CNIL a reproché à la société Slimpay de ne pas avoir informé directement les personnes concernées. La formation restreinte a estimé que, malgré le volume élevé, les personnes étaient facilement identifiables et que la nature des données – à caractère bancaire – rendait cette notification indispensable. Le risque d’usurpation d’identité était jugé suffisant pour justifier un effort de communication directe. Délibération SAN-2021-020 du 28 décembre 2021 – Légifrance

Recommandations 

CEPD 

Lignes directrices 9/2022 sur la notification de violations de données à caractère personnel en vertu du RGPD

Lignes directrices 01/2021 Exemples concernant la notification de violations de données à caractère personnel Adoptées le 14 décembre 2021

CNIL

Notifier une violation de données personnelles

Les violations de données personnelles

Sécurité : Gérer les incidents et les violations