L'article 33 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit Règlement général sur la protection des données (RGPD), impose au responsable du traitement de notifier à l'autorité de contrôle toute violation de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Cette obligation constitue un mécanisme essentiel de transparence et de réactivité face aux incidents de sécurité.

Cette disposition vise à permettre aux autorités de contrôle d'être informées rapidement des violations de données, afin qu'elles puissent évaluer les risques pour les personnes concernées, conseiller le responsable du traitement sur les mesures à prendre, et, le cas échéant, exercer leurs pouvoirs de contrôle et de sanction. Elle participe également à la constitution d'une base de connaissances sur les violations de données, permettant d'identifier les tendances et les vulnérabilités récurrentes.

L'article 33 constitue ainsi un élément fondamental de la gestion des violations de données à caractère personnel et conditionne la capacité de l'organisation à réagir de manière appropriée et transparente en cas d'incident de sécurité.

Texte officiel de l'article 33 du RGPD (extraits principaux)

L'article 33 du RGPD dispose notamment :

1. En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente [...] dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

2. Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance.

3. La notification visée au paragraphe 1 doit, à tout le moins :
a) décrire la nature de la violation de données à caractère personnel y compris, si possible, les catégories et le nombre approximatif de personnes concernées par la violation et les catégories et le nombre approximatif d'enregistrements de données à caractère personnel concernés ;
b) communiquer le nom et les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues ;
c) décrire les conséquences probables de la violation de données à caractère personnel ;
d) décrire les mesures prises ou que le responsable du traitement propose de prendre pour remédier à la violation de données à caractère personnel, y compris, le cas échéant, les mesures pour en atténuer les éventuelles conséquences négatives.

4. Si et dans la mesure où il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

5. Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation des données à caractère personnel, ses effets et les mesures prises pour y remédier. La documentation ainsi constituée permet à l'autorité de contrôle de vérifier le respect du présent article.

Ce texte établit ainsi un dispositif complet de notification des violations de données, fondé sur la rapidité, la transparence et la documentation.

La notion de violation de données à caractère personnel

L'article 4, point 12, du RGPD définit la violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».

Cette définition englobe trois types de violations : les violations de confidentialité (divulgation non autorisée de données, accès non autorisé), les violations d'intégrité (altération non autorisée de données), et les violations de disponibilité (destruction ou perte de données, impossibilité d'accéder aux données). Une violation peut résulter d'une cyberattaque (ransomware, hameçonnage, intrusion), d'une défaillance technique (panne de serveur, erreur de configuration, bug logiciel), ou d'une erreur humaine (envoi de données à un mauvais destinataire, perte de support amovible, négligence).

Il est important de noter que la notion de violation de données ne se limite pas aux incidents affectant des systèmes informatiques : elle inclut également les incidents touchant des supports papier (perte de dossiers, vol de documents) ou résultant de divulgations orales (révélation de données personnelles dans un lieu public).

Le délai de notification : 72 heures

L'article 33, paragraphe 1, impose au responsable du traitement de notifier la violation à l'autorité de contrôle dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Ce délai court à compter du moment où le responsable du traitement a pris connaissance de la violation, c'est-à-dire dès lors qu'il dispose d'éléments suffisants pour établir qu'un incident de sécurité affectant des données personnelles s'est produit.

Le délai de 72 heures constitue une contrainte forte, qui impose aux organisations de mettre en place des procédures de gestion des incidents permettant de détecter, d'analyser et de notifier les violations dans des délais très courts. Lorsque la notification ne peut être effectuée dans les 72 heures, elle doit être accompagnée d'une explication des motifs du retard. Cette explication doit être circonstanciée et justifier les raisons objectives ayant empêché la notification dans le délai imparti.

Il est recommandé, en pratique, de notifier la violation dès que possible, même si l'analyse de l'incident n'est pas totalement achevée, et de compléter la notification ultérieurement avec les informations manquantes, conformément au paragraphe 4 de l'article 33.

L'exception : violation ne présentant pas de risque

L'article 33, paragraphe 1, prévoit une exception à l'obligation de notification : la violation n'a pas à être notifiée si elle n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Cette exception vise les violations de faible gravité, par exemple la perte temporaire de l'accès à des données chiffrées pour lesquelles le responsable du traitement dispose d'une sauvegarde, ou l'envoi accidentel de données non sensibles à un nombre limité de destinataires qui les ont immédiatement supprimées.

L'appréciation de l'absence de risque doit être rigoureuse et documentée. Le responsable du traitement doit être en mesure de justifier, en cas de contrôle ultérieur de l'autorité de contrôle, les raisons pour lesquelles il a considéré que la violation ne présentait pas de risque et n'avait donc pas à être notifiée. En cas de doute, il est recommandé de notifier la violation, quitte à préciser dans la notification que le risque identifié est faible.

Le contenu de la notification

L'article 33, paragraphe 3, précise le contenu minimal de la notification. Celle-ci doit décrire la nature de la violation (circonstances de l'incident, type de violation), indiquer les catégories et le nombre approximatif de personnes concernées ainsi que les catégories et le nombre approximatif d'enregistrements de données concernés, communiquer les coordonnées du délégué à la protection des données ou d'un autre point de contact, décrire les conséquences probables de la violation, et décrire les mesures prises ou proposées pour remédier à la violation et en atténuer les conséquences.

Lorsque certaines informations ne sont pas disponibles au moment de la notification initiale, le responsable du traitement peut les communiquer de manière échelonnée, conformément au paragraphe 4. Cette possibilité vise à ne pas retarder la notification en raison de l'absence d'informations complètes, tout en garantissant que l'autorité de contrôle dispose, in fine, de l'ensemble des éléments nécessaires pour évaluer la violation.

Les autorités de contrôle mettent généralement à disposition des formulaires de notification en ligne, facilitant la déclaration des violations et garantissant que les informations essentielles sont bien communiquées.

L'obligation du sous-traitant de notifier au responsable du traitement

L'article 33, paragraphe 2, impose au sous-traitant de notifier au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. Cette obligation permet au responsable du traitement d'être informé rapidement des violations survenues chez ses sous-traitants et de procéder, le cas échéant, à la notification à l'autorité de contrôle et à la communication aux personnes concernées.

Le contrat de sous-traitance prévu à l'article 28 doit préciser les modalités de notification des violations par le sous-traitant au responsable du traitement, notamment les délais, les informations à communiquer, et les procédures de coordination en cas de violation. Il est recommandé de prévoir un délai de notification très court (par exemple, 24 heures), afin de permettre au responsable du traitement de notifier à son tour l'autorité de contrôle dans le délai de 72 heures.

L'obligation de documentation des violations

L'article 33, paragraphe 5, impose au responsable du traitement de documenter toute violation de données à caractère personnel, en indiquant les faits concernant la violation, ses effets et les mesures prises pour y remédier. Cette documentation doit être conservée et mise à la disposition de l'autorité de contrôle, afin de permettre à celle-ci de vérifier le respect de l'article 33.

La documentation doit porter sur l'ensemble des violations, y compris celles qui n'ont pas été notifiées à l'autorité de contrôle en raison de l'absence de risque pour les personnes concernées. Elle constitue un élément essentiel de la démonstration du principe de responsabilité (accountability) et permet au responsable du traitement de capitaliser sur les incidents passés pour améliorer ses mesures de sécurité.

Il est recommandé de tenir un registre des violations de données, recensant l'ensemble des incidents détectés, leur nature, leur gravité, les mesures prises, et le statut de la notification (notifiée ou non notifiée, et pour quel motif). Ce registre facilite également la production de rapports et d'analyses de tendances, permettant d'identifier les vulnérabilités récurrentes et de renforcer les dispositifs de sécurité.

Articulation avec la communication aux personnes concernées

L'article 33 doit être lu en lien étroit avec l'article 34, qui impose au responsable du traitement de communiquer la violation aux personnes concernées lorsque celle-ci est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Les deux articles forment ainsi un dispositif complet de transparence en cas de violation de données.

La notification à l'autorité de contrôle et la communication aux personnes concernées poursuivent des objectifs complémentaires : la notification permet à l'autorité de contrôle d'exercer ses missions de contrôle et de conseil, tandis que la communication permet aux personnes concernées de prendre des mesures pour protéger leurs droits (par exemple, modifier leurs mots de passe, surveiller leurs comptes bancaires, déposer plainte).

Sanctions et jurisprudence

Le non-respect de l'article 33 est susceptible d'entraîner des sanctions administratives en application de l'article 83 du RGPD. Les violations peuvent donner lieu à des amendes pouvant atteindre 10 000 000 euros ou, dans le cas d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.

Les autorités de contrôle sanctionnent régulièrement les organisations qui ne notifient pas les violations dans les délais impartis, qui fournissent des notifications incomplètes ou inexactes, ou qui ne documentent pas les violations. La Commission nationale de l'informatique et des libertés (CNIL) considère que le non-respect de l'obligation de notification constitue un manquement grave, dans la mesure où il prive l'autorité de contrôle de la possibilité d'intervenir rapidement pour protéger les personnes concernées.

La jurisprudence des autorités de contrôle souligne également que le respect du délai de notification de 72 heures est apprécié strictement et que les organisations doivent mettre en place des procédures permettant de détecter et de notifier les violations dans des délais très courts, y compris en dehors des heures ouvrées et des périodes de congés.

Recommandations de la CNIL et du CEPD

La CNIL recommande aux organisations de mettre en place des procédures de gestion des violations de données, comprenant la détection des incidents, l'analyse de leur gravité, la notification à l'autorité de contrôle et la communication aux personnes concernées, ainsi que la documentation et la mise en œuvre de mesures correctives. Elle insiste sur l'importance de la formation du personnel et de la réalisation de tests et d'exercices de gestion de crise.

Le Comité européen de la protection des données (CEPD) a publié des lignes directrices sur la notification des violations de données (Guidelines 01/2021), dans lesquelles il précise les modalités de mise en œuvre de l'article 33, fournit des exemples de violations et des indications sur l'évaluation des risques. Il souligne que la notification rapide des violations constitue un élément essentiel de la protection des personnes concernées et de la confiance dans l'économie numérique.

L'article 33 du RGPD impose au responsable du traitement de notifier à l'autorité de contrôle toute violation de données à caractère personnel dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.

Pour les organisations, le respect de l'article 33 implique la mise en place de procédures robustes de gestion des violations de données, permettant de détecter rapidement les incidents, d'en évaluer la gravité, de notifier l'autorité de contrôle dans les délais impartis, et de documenter l'ensemble des violations. Cette obligation constitue un élément fondamental de la transparence et de la réactivité en cas d'incident de sécurité et conditionne la capacité de l'organisation à protéger les droits et libertés des personnes concernées et à coopérer efficacement avec l'autorité de contrôle.