En bref
Le responsable de traitement doit notifier la CNIL sous 72 heures en cas de violation de données personnelles. Si le risque est élevé, les personnes concernées doivent être informées. Amende maximale : 10 millions d'euros.
Définition juridique et catégories de violations de données
Art. 4, point 12, du RGPD
« Toute atteinte à la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel ou l'accès non autorisé à de telles données constitue une « violation de données à caractère personnel » au sens du règlement. »
Source : RGPD — règlement (UE) 2016/679
Obligation de notification à la CNIL dans un délai de 72 heures
Art. 33 du RGPD
« Le responsable de traitement notifie la violation à l'autorité de contrôle compétente dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. »
Source : RGPD — règlement (UE) 2016/679
Point de départ du délai de 72 heures
Le délai court à compter de la prise de connaissance effective de la violation, non de l'incident lui-même. Retarder artificiellement la qualification interne de l'incident ne suspend pas ce délai et aggrave la situation du responsable devant la CNIL.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Communication aux personnes concernées en cas de risque élevé
Art. 34 du RGPD
« Lorsqu'une violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation à la personne concernée dans les meilleurs délais. »
Source : RGPD — règlement (UE) 2016/679
Le chiffrement comme bouclier juridique
Le chiffrement des données constitue la mesure technique la plus efficace pour éviter l'obligation de communication individuelle : si les données compromises sont inintelligibles pour le tiers non autorisé, la dispense de l'article 34, paragraphe 3, s'applique de plein droit.
Registre des violations et responsabilité du sous-traitant
Documenter même sans obligation de notification
Inscrivez chaque incident dans le registre des violations, même lorsque l'absence de risque dispense de notification à la CNIL. Ce registre constitue la preuve documentaire de votre diligence et de votre conformité au principe d'accountability lors d'un contrôle.
Cumul des sanctions : notification et sécurité
Les sanctions pour défaut de notification (plafond de 10 millions d'euros) s'ajoutent aux sanctions pour défaut de sécurité (plafond de 20 millions d'euros ou 4 % du chiffre d'affaires mondial). La CNIL peut prononcer une double sanction pour un même incident.
Sanctions encourues, responsabilités croisées et stratégie de conformité
Art. 83, §4, a) du RGPD
« Les manquements aux obligations du responsable de traitement ou du sous-traitant prévus aux articles 33 et 34 font l'objet d'amendes administratives pouvant s'élever jusqu'à 10 000 000 d'euros ou, dans le cas d'une entreprise, jusqu'à 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent. »
Source : RGPD — règlement (UE) 2016/679
CJUE, gde ch., 4 mai 2023, aff. C-300/21, Österreichische Post
« La Cour de justice a jugé que l'article 82 du RGPD ne subordonne pas le droit à réparation du dommage moral à un seuil minimal de gravité. L'inquiétude éprouvée à la suite d'une violation de données peut constituer un préjudice indemnisable, dès lors qu'un dommage effectif est établi. »
Source : CJUE — InfoCuria
Amende maximale pour défaut de notification
Plafond de l'amende administrative sanctionnant le manquement aux obligations de notification prévues aux articles 33 et 34 du RGPD, hors cumul avec les sanctions pour défaut de sécurité.
Source : Art. 83, §4, RGPD
Questions fréquentes
Qu'est-ce qu'une violation de données personnelles au sens du RGPD ?
Une violation de données désigne toute atteinte à la sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles. Elle peut résulter d'une cyberattaque, d'une erreur humaine ou d'un incident technique. La qualification est objective et indépendante de l'intention : même un envoi accidentel de courriel au mauvais destinataire constitue une violation.
Quel est le délai pour notifier une violation de données à la CNIL ?
Le responsable de traitement dispose de 72 heures à compter du moment où il prend connaissance de la violation pour notifier la CNIL via son téléservice dédié. Ce délai court depuis la prise de connaissance effective, non depuis la survenance de l'incident. Toute notification tardive doit être accompagnée des motifs justifiant le retard.
Faut-il toujours informer les personnes victimes d'une violation de données ?
Non, la communication individuelle n'est obligatoire que lorsque la violation présente un risque élevé pour les droits et libertés des personnes. Une dispense s'applique si les données étaient protégées par un chiffrement robuste les rendant inintelligibles, si des mesures correctives ont supprimé le risque élevé, ou si la communication individuelle exigerait des efforts disproportionnés.
Quelles sanctions encourt-on en cas de défaut de notification d'une violation ?
Le défaut de notification expose à une amende administrative pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Le droit pénal français prévoit en outre cinq ans d'emprisonnement et 300 000 euros d'amende pour défaut de sécurité des traitements. Les personnes lésées peuvent également exercer une action en réparation civile sur le fondement de l'article 82 du RGPD.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Merignac
- Procédure à Antibes
- Procédure à Saint Quentin
- Procédure à La Rochelle
- Procédure à Cannes
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours