- Article 33 du RGPD : notifiez à votre autorité de contrôle dans les 72 heures suivant la prise de conscience d'une infraction
- Article 34 : aviser sans délai indu les personnes concernées si la violation est à haut risque
- L'horloge commence quand une partie de votre organisation prend connaissance — pas seulement de l'informatique ou de la législation
- La notification peut être faite par étapes — notification initiale dans un délai de 72h, détails à suivre
Une violation de données personnelles en vertu du RGPD ne se limite pas au piratage. Elle comprend toute destruction accidentelle ou illégale, perte, altération, divulgation non autorisée ou accès à des données à caractère personnel. Un courriel envoyé au mauvais destinataire, un ordinateur portable perdu, un tableur publié accidentellement — tout peut déclencher des obligations de notification de violation.
La fenêtre de 72 heures est l'une des exigences les plus exigeantes du RGPD. Voici un plan de réponse testé.
Voie d'achat HubSecure connexe
Conformité CRM guide conformité CRM pour les entreprises en croissance CRM module HubSpot comparaison conformité CRM guide Guide Bibliothèque réserver une démo workflow
Ressources connexes en matière de sécurité, de protection de la vie privée et de gouvernance
Continuer avec HubSecure centre de sécurité et de confiance , accord de traitement de données , sous-processeurs , flux de travail de conformité , opérateur AI régi .
Cas d'utilisation connexe
Ce guide appartient au cluster Workspace Alternatives and Tool Consolidation Guides. Continuer avec le moyeu produit pour les alternatives d'espace de travail et la consolidation des outils .
Hour 0–4: Contain and assess
- Activate your incident response team — DPO, IT security, legal, communications lead
- Contain the breach — revoke access, isolate systems, recover lost devices, stop the leak
- Preserve evidence — log files, email headers, access records. Do not destroy anything
- Document everything — time of discovery, who identified it, what actions were taken when
- Assess scope — what data was affected? How many individuals? What categories (health, financial, criminal)?
Hour 4–24: Risk assessment
Determine whether the breach is “likely to result in a risk to the rights and freedoms of natural persons.” Most breaches clear this bar and therefore require supervisory authority notification. Only low-risk breaches (e.g., encrypted data with no known decryption risk) are exempt.
Assess separately whether the breach is “likely to result in high risk” which triggers direct notification to affected individuals under Article 34. High-risk indicators include:
- Données de catégorie spéciale exposées (santé, biométrie, casier judiciaire, religion)
- Données financières pouvant permettre la fraude ou le vol d'identité
- Nombre élevé de personnes touchées
- Populations vulnérables (enfants, patients) parmi les personnes touchées
- Données entre les mains d'un acteur malveillant plutôt que la divulgation accidentelle
Hour 24–48: Draft notification
L'article 33 exige que votre notification comprenne:
- Nature de la violation (catégories et nombre approximatif de personnes et de dossiers touchés)
- Nom et coordonnées de votre DPD ou autre point de contact
- Conséquences probables de la violation
- Mesures prises ou proposées pour remédier à la violation, y compris l'atténuation
La notification progressive est autorisée: Si vous ne pouvez pas fournir tous les détails dans les 72 heures, soumettez ce que vous savez et signalez que d'autres informations suivront. La présentation d'une notification incomplète à temps est préférable à une notification complète après la date limite.
Hour 48–72: Submit and notify individuals
- Soumettre à l'autorité de contrôle via leur portail en ligne (par exemple Datatilsynet en Norvège, ICO au Royaume-Uni, CNIL en France)
- Si le risque est élevé : informer les personnes touchées en langage clair pour expliquer ce qui s'est passé, quelles données ont été touchées, les conséquences probables et les mesures à prendre
- Documenter la présentation, y compris le numéro de référence et la confirmation
Après 72h : Documenter et corriger
- Tenir un registre complet des infractions (l'article 33, paragraphe 5, exige la documentation de toutes les infractions, que la notification soit ou non requise)
- Effectuer une analyse des causes profondes
- Mettre en œuvre des mesures préventives et les tester
- Mettre à jour votre plan d'intervention en fonction des leçons apprises
- Avisez votre autorité de surveillance des mises à jour de la notification initiale
See also: GDPR for Law Firms — GDPR for Regulated Businesses
Foire aux questions
Lorsque votre organisation prend connaissance de l'infraction — pas lorsque l'informatique le confirme, pas lorsque la loi l'examine, pas lorsque le DPD est informé. Si un membre du personnel de première ligne découvre la brèche vendredi soir, l'horloge commence vendredi soir. C'est pourquoi les procédures internes de rapport doivent être rapides et claires.
L'obligation de notification dépend du niveau de risque et non du volume de données. Une petite infraction exposant les dossiers de santé ou les titres financiers peut nécessiter un avis. Une violation importante des données déjà publiques ne peut pas. Effectuer une évaluation appropriée des risques pour chaque infraction, quelle que soit sa taille.
Les autorités de surveillance prennent les notifications tardives au sérieux. Les sanctions peuvent être importantes. Toutefois, démontrer un effort de bonne foi, une explication crédible du retard et de fortes mesures d'assainissement peuvent atténuer les pénalités. La notification tardive est toujours meilleure qu'aucune notification.
C'est pas vrai. Une notification individuelle en vertu de l'article 34 n'est requise que lorsque la violation est «susceptible d'entraîner un risque élevé» pour les personnes. Il s'agit d'une barre supérieure au seuil de notification de l'autorité de contrôle. Mais s'il s'agit d'une erreur de notification, le fait de ne pas en informer les individus au besoin peut entraîner des amendes plus lourdes.
L'article 33, paragraphe 5, du RGPD exige de toutes les organisations qu'elles conservent la documentation relative à chaque violation de données à caractère personnel, même celles qui n'ont pas exigé la notification de l'autorité de contrôle. Ce registre doit comprendre les faits, les effets et les mesures correctives prises. Les organismes de réglementation inspectent les registres des infractions au cours des vérifications.
HubSecure fournit des contrôles cryptés sécurisés de stockage de données, d'accès à l'enregistrement et d'autorisation qui réduisent le risque de rupture. Pour les entreprises qui gèrent des données sur les clients, la piste de vérification de HubSecure signifie que vous pouvez rapidement déterminer quelles données ont été consultées et par qui - critique pour l'évaluation de 72 heures.
Voir HubSecure en action
HubSecure .
Voir aussi: HubSecure DPA & EU CSC · Aperçu de la sécurité
Sources officielles et lectures complémentaires
Utiliser ces sources publiques pour vérifier le contexte réglementaire et la terminologie. HubSecure contenu est l'orientation des produits, pas des conseils juridiques.
Notes de crédibilité
Ce guide est rédigé pour l'évaluation des produits et des opérations, et non comme un avis juridique. Pour les obligations de conformité, confirmer les exigences auprès d'un avocat qualifié ou de l'organisme de réglementation pertinent.
Related HubSecure références: Sécurité · DPA · Sous-processeurs · Glossaire AML/KYC · Glossaire RBAC
Examen des équipes réglementées
Préparé par l'équipe de rédaction HubSecure à l'intention des exploitants, des responsables de la conformité et des examinateurs de TI qui évaluent les logiciels d'exploitation sécurisés des clients.
Auteurs · évaluateurs · Politique éditoriale