Notification de violation de données personnelles aux personnes concernées (RGPD Art. 34)

Modèle de notification individuelle de violation de données personnelles RGPD Art. 34 conforme CNIL 2026. Mentions obligatoires, délai 72h, Word/PDF.

Ce modèle de notification individuelle est destiné aux personnes physiques dont les données personnelles ont été affectées par une violation de sécurité, lorsque cette violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 du RGPD). Il complète la notification obligatoire à la CNIL (article 33 du RGPD) à effectuer dans les 72 heures. Niveau de complexité : élevé — la qualification du risque élevé conditionne l'obligation de notification individuelle.

Vérifié Me Sandy Lacroix

Word + PDF personnalisable

Téléchargement immédiat

Paiement Stripe sécurisé · Facture PDF · Mise à jour à vie

Contenu du modèle

Tout ce qu'un cabinet vous facturerait.
Pour 9.99 EUR.

Un modèle prêt à publier, vérifié par avocate, articles de loi cités, jurisprudence à jour, conformité 2026 intégrée.

Document principal

Modèle juridique complet, articles de loi intégrés

Document Word personnalisable + PDF prêt à signer. Chaque clause sourcée Légifrance, vérifiée par Me Lacroix, mise à jour à chaque évolution législative.

Avoir notifié la violation à la CNIL dans les 72 heures via la téléprocédure officielle (https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles)
Avoir réalisé une analyse de risque concluant à un risque ÉLEVÉ pour les droits et libertés des personnes concernées (sinon la notification individuelle n'est pas obligatoire)
Disposer de la liste exhaustive des personnes affectées et de leurs coordonnées postales
Avoir documenté la violation dans le registre interne (Art. 33.5 RGPD)
Avoir identifié les mesures correctives mises en place et les mesures recommandées aux personnes

Validation juridique

Vérifié par avocate inscrite

Maître Sandy Lacroix, Barreau de Tulle depuis 2011, valide chaque modèle et signe une attestation de conformité.

Format

Word + PDF, prêt à signer

Document Word personnalisable et PDF auto-rempli depuis votre profil. Archive ZIP avec LISEZ-MOI inclus.

MAJ légales

À vie, sans surcoût

Re-téléchargez la dernière version à chaque réforme.

Conformité 2026

Réformes intégrées

Ord. 2026-2, DSA, EAA, RGPD déjà inclus.

Paiement

Stripe + 3DS2

Paiement sécurisé, facture PDF automatique.

Comparatif

Pourquoi pas un modèle gratuit ou un avocat ?

Le bon réflexe dépend de votre situation. Trois options, trois rapports qualité-prix.

Modèle gratuit en ligne

0 €

Modèle générique, non-vérifié

Aucune vérification avocat
Lois souvent dépassées
Pas de MAJ légales
Risque clauses abusives
Téléchargement immédiat

DossierJuridique.fr

9.99 EUR TTC

Vérifié avocate · MAJ à vie

Validé Me Lacroix
Réformes 2026 intégrées
MAJ légales à vie gratuite
Word + PDF + auto-remplissage
Garantie remboursement 14 j

Avocat traditionnel

250–800 €

Sur-mesure, délai 1–3 semaines

Conseil personnalisé
Rédaction sur-mesure
Délai 1 à 3 semaines
Refacturé à chaque MAJ
Pertinent si litige complexe

Conformément à la loi 71-1130 art. 54, nos modèles ne constituent pas une consultation juridique. Pour une situation complexe, consultez un avocat.

Guide d'utilisation

Comment utiliser ce modèle, étape par étape

Confirmation par email
Après paiement, vous recevez un email avec votre facture et un lien direct vers votre compte.
Accès depuis « Mes templates achetés »
Votre modèle apparaît en tête de liste dans votre espace personnel, accessible à tout moment.
Deux modes au choix
Téléchargement DOCX brut (Word vide à remplir) ou PDF personnalisé via formulaire wizard.
Personnalisation rapide
Le wizard pré-remplit automatiquement les champs depuis votre profil DossierJuridique (raison sociale, SIRET, capital, adresse…).
Archive ZIP finalisée
Archive contenant votre document final accompagné d'un LISEZ-MOI avec disclaimers et normes légales applicables.

7 champs à personnaliser dans Notification de violation de données personnelles aux personnes concernées (RGPD Art. 34)

Raison sociale du responsable de traitement

Identification exacte de la personne morale ou physique responsable du traitement. Il s'agit de l'entité qui détermine les finalités et les moyens du traitement (Art. 4.7 RGPD).

Exemple : ACME SARL au capital de 50 000 €, RCS Paris 123 456 789

Erreurs courantes :

Confusion entre responsable de traitement et sous-traitant
Indication d'une marque commerciale au lieu de la raison sociale

Nature de la violation

Qualifier précisément la violation selon la typologie CNIL/CEPD. Une violation peut affecter la confidentialité (accès/divulgation non autorisés), l'intégrité (altération) ou la disponibilité (perte/destruction) des données — ou plusieurs dimensions simultanément.

Exemple : Une intrusion informatique avec exfiltration de fichier = violation de confidentialité. Un rançongiciel chiffrant les données sans exfiltration = violation de disponibilité (et potentiellement d'intégrité).

Erreurs courantes :

Qualifier toute violation comme 'confidentialité' par défaut
Sous-estimer la dimension 'intégrité' lors d'attaques par rançongiciel

Catégories de données affectées

Lister précisément les catégories de données concernées. Cette liste détermine en grande partie le niveau de risque et le caractère obligatoire de la notification individuelle. Distinguer les données ordinaires des données sensibles au sens de l'article 9 du RGPD.

Exemple : Nom, prénom, adresse postale, email, téléphone, date de naissance, mot de passe haché (algorithme bcrypt). PAS de données bancaires ni de données de santé.

Erreurs courantes :

Lister vaguement 'données personnelles' sans détailler
Oublier les données de connexion (logs, IP)

Conséquences probables de la violation

Décrire en termes clairs et compréhensibles les risques concrets pour les personnes concernées. Cette description doit permettre à la personne d'évaluer sa propre situation et de prendre les mesures appropriées.

Exemple : Risque accru d'hameçonnage ciblé exploitant la connaissance des coordonnées exposées ; risque limité d'usurpation d'identité ; absence de risque financier direct (aucune donnée bancaire concernée).

Erreurs courantes :

Minimiser les conséquences pour rassurer
Recourir à un jargon technique incompréhensible

Mesures prises par le responsable

Décrire les mesures techniques et organisationnelles déjà mises en œuvre ET celles prévues pour atténuer les conséquences de la violation. La CNIL apprécie la diligence du responsable à travers ces mesures.

Exemple : Isolement immédiat du serveur compromis, application du correctif éditeur, audit de sécurité externe, réinitialisation forcée des mots de passe, dépôt de plainte au Procureur de la République, renforcement de la supervision.

Erreurs courantes :

Lister uniquement des mesures futures vagues
Omettre la plainte pénale en cas d'intrusion malveillante

Mesures recommandées à la personne concernée

Conseils pratiques et actionnables permettant à la personne de limiter les conséquences pour elle-même. Ces recommandations doivent être adaptées à la nature des données exposées.

Exemple : Modifier le mot de passe sur notre service et tout service où il est réutilisé, activer la double authentification, surveiller les relevés bancaires, se méfier des sollicitations suspectes faisant référence à nos services.

Erreurs courantes :

Recommandations génériques non adaptées à la violation
Oubli de la recommandation 'mot de passe réutilisé ailleurs'

Nom du Délégué à la protection des données (DPO)

Si votre organisme a désigné un DPO (obligatoire pour les autorités publiques et certains responsables, Art. 37 RGPD), ses coordonnées doivent figurer dans la notification. À défaut, indiquer un autre point de contact compétent.

Exemple : Madame Sophie MARTIN, DPO mutualisé désigné le 12 mars 2021 auprès de la CNIL.

Erreurs courantes :

Omettre les coordonnées du DPO alors qu'il existe
Confondre DPO et RSSI (Responsable de la sécurité des systèmes d'information)

Délais & envoi

Tout pour réussir l'envoi de votre dossier

2 délais à respecter sous peine d'irrecevabilité

Notification à la CNIL : 72 heures après prise de conscience (Art. 33.1 RGPD) — point de départ : Moment où le responsable a un degré de certitude raisonnable qu'un incident de sécurité a entraîné une violation de données
Communication individuelle aux personnes concernées : dans les meilleurs délais (notion souple appréciée au regard des circonstances) (Art. 34.1 RGPD) — point de départ : Identification du risque élevé pour les droits et libertés des personnes

Continuer

Vos questions, nos réponses

Suis-je obligé de notifier individuellement les personnes concernées par la violation ?

Oui, dès lors que la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques (Art. 34.1 RGPD). Si le risque n'est pas élevé, seule la notification à la CNIL dans les 72 heures (Art. 33 RGPD) est obligatoire. L'appréciation du niveau de risque doit être documentée (analyse de risque interne, conservée dans le registre des violations).

Quel est le délai pour communiquer aux personnes concernées ?

Le RGPD impose une communication « dans les meilleurs délais » après la prise de conscience de la violation (Art. 34.1 RGPD). À la différence du délai de 72h imposé pour la notification CNIL, aucune durée chiffrée n'est fixée pour la communication individuelle, mais la CNIL et le CEPD attendent une diligence comparable. En pratique, viser une communication dans les jours qui suivent la confirmation du risque élevé.

Puis-je être dispensé de notifier individuellement ?

Oui, dans trois cas limitatifs prévus à l'article 34.3 RGPD : (a) les données concernées étaient protégées par des mesures rendant les données incompréhensibles à toute personne non autorisée (chiffrement robuste) ; (b) des mesures ultérieures ont rendu improbable la matérialisation du risque élevé ; (c) la communication individuelle exigerait des efforts disproportionnés — dans ce cas, recourir à une communication publique. Ces exceptions sont d'interprétation stricte.

Quelles sanctions encours-je en cas de défaut de notification individuelle ?

Le manquement à l'obligation de notification (CNIL ou personnes concernées) est sanctionné par une amende administrative pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu (Art. 83.4.a RGPD). La CNIL a déjà prononcé des sanctions significatives pour ce motif, indépendamment de la cause de la violation elle-même.

Dois-je notifier également les personnes mineures concernées ?

Oui, la notification doit être adressée aux personnes concernées par la violation, y compris les mineurs. Lorsque le destinataire est mineur, la notification peut être adressée aux représentants légaux (titulaires de l'autorité parentale), tout en restant compréhensible. La CNIL recommande une vigilance accrue lorsque des mineurs sont concernés, notamment en raison du risque accru d'usurpation d'identité dans la durée.

Faut-il déposer plainte pénalement en cas d'intrusion malveillante ?

Fortement recommandé. Une intrusion frauduleuse dans un système de traitement automatisé de données (STAD) est pénalement réprimée par les articles 323-1 et suivants du Code pénal (jusqu'à 5 ans d'emprisonnement et 150 000 € d'amende, voire davantage en circonstances aggravantes). Le dépôt de plainte permet de coopérer avec les autorités d'enquête (cybergendarmerie, BL2C, parquet spécialisé JUNALCO) et démontre la diligence du responsable de traitement vis-à-vis de la CNIL.

Que faire si je découvre la violation longtemps après les faits ?

Le délai de 72 heures (Art. 33.1 RGPD) court à compter de la prise de conscience effective de la violation, et non de sa survenance matérielle. Vous devez notifier la CNIL dès la prise de conscience, en expliquant les circonstances de la découverte tardive (ce qui pourra interroger la CNIL sur vos mesures de détection et de supervision). Une découverte tardive n'exonère pas, elle alourdit le risque de sanction si elle révèle un défaut de mesures de sécurité (Art. 32 RGPD).

Téléchargez votre modèle maintenant

9.99 EUR TTC, paiement Stripe sécurisé, archive ZIP livrée immédiatement par email. Vérifiée par avocate, prête à publier.

Satisfait ou remboursé 14 joursSans condition (Art. L.221-18 C. conso)
MAJ légales à vieRe-téléchargeable à chaque réforme
Support 7 j/7Réponse sous 24 h
Paiement Stripe + 3DS2Données bancaires jamais stockées

Notification de violation de données personnelles aux personnes concernées (RGPD Art. 34)