L'article 34 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, dit Règlement général sur la protection des données (RGPD), impose au responsable du traitement de communiquer aux personnes concernées toute violation de données à caractère personnel lorsque celle-ci est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Cette obligation constitue un prolongement essentiel de l'obligation de notification à l'autorité de contrôle prévue à l'article 33.
Cette disposition vise à permettre aux personnes concernées d'être informées rapidement des violations les affectant, afin qu'elles puissent prendre les mesures nécessaires pour protéger leurs droits et minimiser les conséquences de l'incident (par exemple, modifier leurs mots de passe, surveiller leurs comptes bancaires, déposer plainte, ou prendre des mesures de précaution contre l'usurpation d'identité).
L'article 34 constitue ainsi un mécanisme fondamental de transparence et de responsabilisation, qui participe à la protection effective des droits des personnes concernées et au renforcement de la confiance dans la gestion des données personnelles.
Texte officiel de l'article 34 du RGPD
L'article 34 du RGPD dispose :
1. Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais.
2. La communication à la personne concernée visée au paragraphe 1 du présent article décrit, en des termes clairs et simples, la nature de la violation de données à caractère personnel et contient au moins les informations et mesures visées à l'article 33, paragraphe 3, points b), c) et d).
3. La communication à la personne concernée visée au paragraphe 1 n'est pas nécessaire si l'une ou l'autre des conditions suivantes est remplie :
a) le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement ;
b) le responsable du traitement a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n'est plus susceptible de se matérialiser ;
c) elle exigerait des efforts disproportionnés. Dans ce cas, il est plutôt procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace.
4. Si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l'autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une ou l'autre des conditions visées au paragraphe 3 est remplie.
Ce texte établit ainsi une obligation de communication aux personnes concernées, assortie d'exceptions strictement définies et d'un pouvoir de contrôle de l'autorité de protection des données.
La condition de risque élevé
L'article 34, paragraphe 1, impose la communication de la violation aux personnes concernées uniquement lorsque celle-ci est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Cette condition de risque élevé distingue l'article 34 de l'article 33, qui impose la notification à l'autorité de contrôle dès lors que la violation est susceptible d'engendrer un risque (sans exigence de niveau élevé).
L'appréciation du caractère élevé du risque doit tenir compte de la nature, de la gravité et de la probabilité des conséquences pour les personnes concernées. Un risque élevé peut résulter, par exemple, de la divulgation de données sensibles (données de santé, données biométriques, données relatives à la vie sexuelle), de la divulgation de données financières permettant des fraudes, de la divulgation de données permettant l'usurpation d'identité, ou encore de la perte de contrôle de données permettant des atteintes graves à la réputation ou à la dignité des personnes.
Le Comité européen de la protection des données (CEPD) a publié des lignes directrices précisant les critères d'évaluation du niveau de risque. Il souligne notamment que le risque élevé se caractérise par une probabilité significative que la violation entraîne des conséquences graves pour les personnes concernées, telles que des pertes financières, des atteintes à la réputation, des discriminations, ou des violations de la vie privée.
Le contenu de la communication
L'article 34, paragraphe 2, précise que la communication aux personnes concernées doit décrire, en des termes clairs et simples, la nature de la violation de données et contenir au moins les informations suivantes : les coordonnées du délégué à la protection des données ou d'un autre point de contact auprès duquel des informations supplémentaires peuvent être obtenues, la description des conséquences probables de la violation, et la description des mesures prises ou proposées pour remédier à la violation et en atténuer les conséquences.
L'exigence de clarté et de simplicité impose que la communication soit rédigée dans un langage accessible, sans jargon technique, et qu'elle permette aux personnes concernées de comprendre immédiatement la nature de l'incident, les risques encourus, et les mesures qu'elles peuvent prendre pour se protéger. Il est recommandé d'éviter les formulations vagues ou minimisant la gravité de la violation, et de fournir des conseils pratiques et concrets (par exemple, « Nous vous recommandons de modifier immédiatement votre mot de passe » ou « Nous vous conseillons de surveiller vos relevés bancaires »).
La communication peut être effectuée par différents moyens (courrier électronique, courrier postal, SMS, appel téléphonique, publication sur le site internet de l'organisation), à condition que le moyen choisi permette d'atteindre effectivement les personnes concernées dans les meilleurs délais.
Les exceptions à l'obligation de communication
L'article 34, paragraphe 3, prévoit trois exceptions à l'obligation de communication aux personnes concernées. La première exception (point a) concerne les cas dans lesquels le responsable du traitement a mis en œuvre des mesures de protection techniques et organisationnelles appropriées, en particulier le chiffrement, rendant les données incompréhensibles pour toute personne non autorisée. Si les données divulguées étaient chiffrées et que les clés de chiffrement n'ont pas été compromises, la communication n'est pas nécessaire, car la violation ne présente pas de risque élevé pour les personnes concernées.
La deuxième exception (point b) vise les cas dans lesquels le responsable du traitement a pris des mesures ultérieures garantissant que le risque élevé n'est plus susceptible de se matérialiser. Par exemple, si les données divulguées ont été récupérées immédiatement et que le responsable du traitement peut démontrer qu'elles n'ont pas été exploitées, la communication peut ne pas être nécessaire.
La troisième exception (point c) concerne les cas dans lesquels la communication individuelle exigerait des efforts disproportionnés, par exemple lorsque le nombre de personnes concernées est très élevé ou lorsque leurs coordonnées ne sont pas disponibles. Dans ce cas, il doit être procédé à une communication publique ou à une mesure similaire permettant aux personnes concernées d'être informées de manière tout aussi efficace (par exemple, publication d'un communiqué de presse, annonce sur le site internet de l'organisation, diffusion d'une information dans les médias).
Le délai de communication
L'article 34, paragraphe 1, impose que la communication aux personnes concernées soit effectuée dans les meilleurs délais. Contrairement à l'article 33, l'article 34 ne fixe pas de délai précis (tel que le délai de 72 heures applicable à la notification à l'autorité de contrôle). Toutefois, la communication doit intervenir dès que le responsable du traitement a établi que la violation présente un risque élevé pour les personnes concernées et qu'il dispose des informations nécessaires pour les informer de manière claire et complète.
En pratique, il est recommandé de communiquer la violation aux personnes concernées le plus rapidement possible, afin de leur permettre de prendre les mesures de protection nécessaires sans délai. Dans certains cas, il peut être préférable de communiquer une première information succincte très rapidement, puis de compléter cette information ultérieurement, à mesure que l'analyse de l'incident progresse.
Le pouvoir de contrôle de l'autorité de protection des données
L'article 34, paragraphe 4, confère à l'autorité de contrôle le pouvoir d'exiger du responsable du traitement qu'il communique la violation aux personnes concernées, ou de décider que l'une des exceptions prévues au paragraphe 3 est remplie. Ce pouvoir permet à l'autorité de contrôle de vérifier que le responsable du traitement a correctement apprécié le niveau de risque et de garantir que les personnes concernées sont effectivement informées lorsque cela est nécessaire.
L'autorité de contrôle peut exercer ce pouvoir après avoir examiné la notification de violation reçue en application de l'article 33. Si elle estime que le responsable du traitement a sous-évalué le risque ou qu'il a indûment invoqué l'une des exceptions prévues au paragraphe 3, elle peut lui enjoindre de communiquer la violation aux personnes concernées dans un délai déterminé.
Articulation avec la notification à l'autorité de contrôle
L'article 34 doit être lu en lien étroit avec l'article 33, qui impose la notification de la violation à l'autorité de contrôle. Les deux obligations sont distinctes mais complémentaires : la notification à l'autorité de contrôle doit être effectuée dès lors que la violation est susceptible d'engendrer un risque pour les personnes concernées, tandis que la communication aux personnes concernées n'est obligatoire que si la violation est susceptible d'engendrer un risque élevé.
En pratique, cela signifie que certaines violations doivent être notifiées à l'autorité de contrôle sans être communiquées aux personnes concernées (violations présentant un risque mais pas un risque élevé), tandis que d'autres doivent faire l'objet à la fois d'une notification à l'autorité et d'une communication aux personnes (violations présentant un risque élevé). Les violations ne présentant aucun risque ne doivent ni être notifiées ni être communiquées, mais elles doivent néanmoins être documentées en application de l'article 33, paragraphe 5.
Sanctions et jurisprudence
Le non-respect de l'article 34 est susceptible d'entraîner des sanctions administratives en application de l'article 83 du RGPD. Les violations peuvent donner lieu à des amendes pouvant atteindre 10 000 000 euros ou, dans le cas d'une entreprise, 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu.
Les autorités de contrôle sanctionnent régulièrement les organisations qui ne communiquent pas les violations aux personnes concernées alors qu'elles présentent un risque élevé, qui effectuent des communications tardives ou incomplètes, ou qui invoquent indûment l'une des exceptions prévues au paragraphe 3. La Commission nationale de l'informatique et des libertés (CNIL) considère que le non-respect de l'obligation de communication constitue un manquement grave, dans la mesure où il prive les personnes concernées de la possibilité de se protéger contre les conséquences de la violation.
Recommandations de la CNIL et du CEPD
La CNIL recommande aux organisations de mettre en place des procédures permettant d'évaluer rapidement le niveau de risque des violations détectées et de communiquer aux personnes concernées dans les meilleurs délais lorsque cela est nécessaire. Elle insiste sur l'importance de rédiger des communications claires, transparentes et utiles, fournissant aux personnes concernées des conseils pratiques pour se protéger.
Le CEPD souligne que la communication aux personnes concernées constitue un élément essentiel de la protection de leurs droits et libertés et qu'elle doit être effectuée de bonne foi, sans chercher à minimiser la gravité de l'incident ou à dissimuler des informations. Il recommande aux organisations de considérer la communication non pas comme une contrainte, mais comme une opportunité de démontrer leur transparence et leur engagement en faveur de la protection des données.
L'article 34 du RGPD impose au responsable du traitement de communiquer aux personnes concernées toute violation de données à caractère personnel susceptible d'engendrer un risque élevé pour leurs droits et libertés. Cette obligation constitue un prolongement essentiel de l'obligation de notification à l'autorité de contrôle et participe à la protection effective des droits des personnes concernées.
Pour les organisations, le respect de l'article 34 implique la mise en place de procédures permettant d'évaluer rapidement le niveau de risque des violations, de déterminer si une communication aux personnes concernées est nécessaire, et d'effectuer cette communication dans les meilleurs délais et en des termes clairs et simples. La communication transparente et responsable des violations constitue un élément déterminant de la confiance dans la gestion des données personnelles et de la capacité de l'organisation à protéger les droits et libertés des personnes concernées.