Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mardi 28 avril 2026
Accueil/RGPD/Article 33 RGPD : notifier une violation à la CNIL
RGPD

Article 33 RGPD : notifier une violation à la CNIL

Article 33 RGPD : déclencheur, 72h, contenu de la notification, rôle du sous-traitant, registre interne. Analyse paragraphe par paragraphe avec cas CNIL.

Par Thiebaut DevergrannePublie le 25 avril 2026Mis a jour le 25 avril 202614 min de lecture
Sommaire
  1. Ce que dit l’article 33 du RGPD
  2. Art. 33(1) : le déclencheur des 72 heures
  3. Art. 33(2) : l’obligation du sous-traitant
  4. Art. 33(3) : le contenu minimum de la notification
  5. Art. 33(4) : la notification en plusieurs temps
  6. Art. 33(5) : le registre des violations
  7. Articulation avec l’article 34 RGPD
  8. Méthodologie de réponse en sept étapes
  9. Ce qu’il faut retenir
  10. FAQ

Soixante-douze heures. C’est le délai dont dispose un responsable de traitement pour notifier à la CNIL une violation de données présentant un risque pour les personnes. Ce délai paraît court — il l’est. La plupart des entreprises que j’ai accompagnées en gestion de crise ont découvert l’incident bien après qu’il se soit produit, et ont passé les premières heures à comprendre ce qu’elles devaient déclarer plutôt qu’à réagir. L’Art. 33 du RGPD organise pourtant un régime précis, qu’il faut connaître avant que l’incident survienne. Voici son analyse paragraphe par paragraphe, avec les pièges concrets que la CNIL sanctionne.

Ce que dit l’article 33 du RGPD

L’Art. 33 s’intitule « Notification à l’autorité de contrôle d’une violation de données à caractère personnel ». Il organise, en cinq paragraphes, l’une des obligations les plus chronométrées du RGPD :

  • l’Art. 33(1) impose la notification à la CNIL dans les 72 heures, sauf si la violation n’engendre pas de risque pour les droits et libertés des personnes ;
  • l’Art. 33(2) impose au sous-traitant d’alerter le responsable de traitement « dans les meilleurs délais » ;
  • l’Art. 33(3) liste le contenu minimum de la notification ;
  • l’Art. 33(4) autorise une notification en plusieurs temps lorsque toute l’information n’est pas disponible ;
  • l’Art. 33(5) impose la documentation interne de toutes les violations, qu’elles soient ou non notifiées.

La sanction encourue relève du plafond haut de l’Art. 83(4)(a) — jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Mais le risque le plus réel est en réalité indirect : l’absence de notification est presque toujours retenue comme circonstance aggravante lorsque la CNIL sanctionne le manquement de sécurité sous-jacent, fondé sur l’Art. 32 RGPD. Voir aussi mon guide pratique sur la procédure de notification 72 heures, pensé comme un complément opérationnel à l’analyse juridique qui suit.

Art. 33(1) : le déclencheur des 72 heures

Le paragraphe 1 est le cœur de l’article. Il pose deux conditions cumulatives : il faut qu’il y ait violation au sens du RGPD, et que cette violation présente un risque pour les personnes concernées.

Qu’est-ce qu’une violation au sens du RGPD ?

L’Art. 4(12) RGPD définit la violation comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».

Trois familles d’incidents tombent dans cette définition, conformément aux lignes directrices 9/2022 du Comité européen de la protection des données (EDPB) :

  • violation de confidentialité — divulgation, accès, exfiltration non autorisés (fuite de base, vol d’ordinateur portable, email envoyé au mauvais destinataire) ;
  • violation d’intégrité — altération non autorisée des données (chiffrement par ransomware, modification frauduleuse) ;
  • violation de disponibilité — perte d’accès, indisponibilité (suppression accidentelle, panne durable, ransomware sans copie de sauvegarde).

Une indisponibilité temporaire qui n’a pas affecté la possibilité pour les personnes d’exercer leurs droits ne constitue pas nécessairement une violation. À l’inverse, un envoi d’email avec liste de destinataires en clair (au lieu de Cci) est une violation de confidentialité, même bénigne en apparence.

Le test du risque : à partir de quand le compteur tourne ?

L’Art. 33(1) ne déclenche la notification que si la violation est « susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ». Ce critère, plus bas que le « risque élevé » de l’Art. 34 (notification aux personnes), reste néanmoins un filtre.

Les Lignes directrices 9/2022 précisent que ce risque doit être apprécié au regard :

  • de la nature des données (sensibles au sens de l’Art. 9 ? données financières ? identifiants ?) ;
  • du volume de personnes concernées ;
  • des conséquences potentielles (usurpation d’identité, atteinte à la réputation, perte de contrôle) ;
  • de la facilité d’identification des personnes ;
  • des caractéristiques du traitement (mineurs, salariés, patients).

En pratique, le réflexe que je recommande à mes clients est inverse à l’esprit du texte : partir de l’hypothèse qu’il faut notifier, sauf à pouvoir démontrer formellement l’absence de risque. La charge de la preuve pèse sur le responsable de traitement. Si l’analyse a posteriori montre qu’il fallait notifier et qu’on ne l’a pas fait, le manquement est consommé. Si on a notifié à tort, il n’y a aucune sanction.

Quand commencent à courir les 72 heures ?

L’Art. 33(1) précise que le délai court « dès que possible et, si possible, 72 heures au plus tard après en avoir pris connaissance ». La CJUE et la CNIL retiennent la notion de prise de connaissance avec un degré raisonnable de certitude — pas la simple suspicion, mais pas non plus la certitude absolue après audit forensique.

Concrètement, l’horloge démarre :

  • pour le responsable de traitement : au moment où il a connaissance de la matérialité de l’incident (logs analysés, faits constatés) ;
  • pour le sous-traitant : à l’identification de l’événement de sécurité.

Ce point a un effet contre-intuitif : si vous découvrez une intrusion qui s’est produite il y a six mois, le délai de 72 heures court à compter de la découverte, pas de l’intrusion. Mais l’ancienneté de l’incident sera prise en compte dans l’évaluation du manquement à l’Art. 32 RGPD.

La CNIL a sanctionné à plusieurs reprises des notifications tardives. Dans la délibération SAN-2022-009 (Discord), 800 000 € d’amende ont été prononcés en partie pour des manquements à la notification. Plus récemment, plusieurs mises en demeure publiées en 2025 ont visé des notifications adressées au-delà des 72 heures sans justification de l’extension permise par l’Art. 33(4).

Art. 33(2) : l’obligation du sous-traitant

Le paragraphe 2 est court mais lourd de conséquences contractuelles : « Le sous-traitant notifie au responsable du traitement toute violation de données à caractère personnel dans les meilleurs délais après en avoir pris connaissance. »

Plusieurs points sont à retenir.

Le sous-traitant n’a pas à notifier la CNIL

Cette répartition est essentielle : la notification à l’autorité de contrôle relève toujours du responsable de traitement. Le sous-traitant alerte son client (le responsable), qui décide ensuite — avec son DPO et son juridique — de notifier la CNIL ou non. Une fuite de données chez un hébergeur ne déclenche pas de notification de l’hébergeur à la CNIL : elle déclenche une cascade de notifications client par client.

« Dans les meilleurs délais » : un standard contractuel

Le RGPD ne fixe pas de délai chiffré au sous-traitant. C’est précisément l’objet des clauses contractuelles imposées par l’Art. 28 RGPD : les bons contrats fixent un délai opérationnel de 24 ou 48 heures maximum, parfois moins, pour permettre au responsable de traitement de tenir lui-même les 72 heures vis-à-vis de la CNIL. Voir aussi mes recommandations sur la rédaction d’un DPA conforme RGPD.

Sans clause de notification chiffrée dans le DPA, le responsable de traitement est exposé : un sous-traitant qui prévient au bout de 4 jours met son client en violation de l’Art. 33(1), et la responsabilité reste chez le responsable de traitement.

Le cas du sous-traitant ultérieur

Lorsqu’un sous-traitant fait lui-même appel à un sous-traitant ultérieur (cloud, sous-traitance en cascade), l’obligation de notification remonte par paliers contractuels. Chaque niveau est responsable de la sécurité de son propre périmètre et doit alerter le palier supérieur. C’est un point que je recommande de tester en exercice de crise — la chaîne de remontée est rarement aussi rapide que les contrats le suggèrent.

Art. 33(3) : le contenu minimum de la notification

Le paragraphe 3 énumère cinq éléments que la notification doit comporter. Le téléservice de la CNIL reprend ces rubriques, mais leur contenu réel est laissé à l’appréciation du déclarant.

  1. La nature de la violation — confidentialité, intégrité, disponibilité ; les catégories de données concernées (identifiants, données sensibles, financières) ; les catégories de personnes (clients, salariés, patients, mineurs) et leur nombre approximatif. La CNIL accepte des fourchettes lorsque le chiffre exact n’est pas encore connu.
  2. Le nom et les coordonnées du DPO ou du point de contact équivalent. Si vous n’avez pas désigné de DPO obligatoire, il faut indiquer un autre référent capable de répondre aux questions techniques et juridiques.
  3. Les conséquences probables de la violation. Cette rubrique est la plus mal renseignée. La CNIL attend une analyse motivée : « risque de phishing ciblé », « risque d’usurpation d’identité », « altération potentielle des dossiers médicaux ». Une mention « aucune conséquence connue » est presque toujours insuffisante au moment de la notification initiale.
  4. Les mesures prises ou proposées pour remédier à la violation et atténuer ses effets : isolement des serveurs touchés, restauration depuis backup, renouvellement des mots de passe, communication aux personnes concernées, dépôt de plainte. Plus la liste est concrète, mieux elle protège la responsabilité de l’organisme.
  5. Une description des données et catégories affectées (déjà partiellement couverte par le 1°, mais détaillée séparément).

Le téléservice est accessible sur notifications.cnil.fr. Il génère un accusé de réception horodaté qui constitue la preuve de respect du délai. Conserver cet accusé de réception est aussi important que la notification elle-même.

Art. 33(4) : la notification en plusieurs temps

Le paragraphe 4 est un soupape opérationnelle indispensable : « Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans retard indu. »

En pratique, cela permet de :

  • déposer une notification initiale dans les 72 heures avec ce qui est connu (faits, catégories, nombre approximatif) ;
  • déposer une ou plusieurs notifications complémentaires au fur et à mesure de l’avancée de l’analyse forensique.

Cette possibilité est largement sous-utilisée. Beaucoup d’organismes attendent d’avoir « toutes les informations » pour notifier — et dépassent les 72 heures. C’est une erreur. La position de la CNIL, confirmée dans plusieurs avis et publications du rapport annuel 2024, est qu’une notification initiale partielle dans les délais vaut mieux qu’une notification complète tardive. La justification du caractère échelonné doit néanmoins figurer dans la notification : « analyse forensique en cours, complément à venir sous X jours ».

Art. 33(5) : le registre des violations

Le paragraphe 5 est l’oublié de l’Art. 33. Il impose au responsable de traitement de documenter toute violation, qu’elle ait été notifiée ou non : « Le responsable du traitement documente toute violation de données à caractère personnel, en indiquant les faits concernant la violation de données à caractère personnel, ses effets et les mesures prises pour y remédier. Cette documentation permet à l’autorité de contrôle de vérifier le respect du présent article. »

Concrètement, cela signifie tenir un registre interne des violations, distinct du registre des activités de traitement. Ce registre doit comporter, pour chaque incident :

  • la date de la violation et la date de prise de connaissance ;
  • la nature de la violation (confidentialité, intégrité, disponibilité) ;
  • les catégories et le volume de personnes concernées ;
  • les catégories de données affectées ;
  • l’analyse de risque conduite (notification CNIL : oui/non, motivation) ;
  • les mesures correctives ;
  • les pièces justificatives (logs, échanges, accusé CNIL le cas échéant).

C’est ce registre que la CNIL réclame en premier en cas de contrôle après incident — et son absence est sanctionnée même lorsque la violation elle-même n’aurait pas mérité notification. La délibération SAN-2024 a mis en évidence ce manquement chez plusieurs entreprises.

Articulation avec l’article 34 RGPD

L’Art. 33 (notification à la CNIL) ne doit pas être confondu avec l’Art. 34 (communication aux personnes concernées). Les déclencheurs sont différents :

  • Art. 33 : risque pour les droits et libertés (seuil bas) → notification CNIL ;
  • Art. 34 : risque élevé pour les droits et libertés (seuil haut) → communication directe aux personnes.

Toute violation notifiée à la CNIL n’a donc pas vocation à être communiquée aux personnes. Mais l’inverse n’est pas vrai : toute communication aux personnes au titre de l’Art. 34 doit avoir donné lieu à une notification CNIL au titre de l’Art. 33. La CNIL peut elle-même imposer la communication aux personnes au titre de l’Art. 34(4) si elle estime que le risque est élevé et que le responsable de traitement n’a pas communiqué de lui-même.

Voir aussi ma procédure pratique de gestion d’une fuite de données qui détaille les étapes opérationnelles.

Méthodologie de réponse en sept étapes

Voici la séquence que je recommande à mes clients lorsqu’un incident est détecté :

  1. Constituer la cellule de crise dans l’heure : DPO, RSSI, juridique, communication, dirigeant. Sans gouvernance claire, les 72 heures s’écoulent en réunions.
  2. Caractériser l’incident factuellement : qu’est-ce qui s’est passé, quand, quelles données, quelles personnes. Documenter au fil de l’eau, dater chaque constatation.
  3. Évaluer le risque au sens de l’Art. 33(1) (notification CNIL) et de l’Art. 34(1) (communication aux personnes). Garder la trace écrite de l’analyse.
  4. Notifier la CNIL via le téléservice si le risque est avéré. Ne pas attendre l’exhaustivité — utiliser l’Art. 33(4) pour une notification échelonnée.
  5. Communiquer aux personnes si le risque est élevé. Préparer un message clair, sans jargon, indiquant les faits, les conséquences possibles et les mesures recommandées.
  6. Mettre en œuvre les mesures correctives techniques et organisationnelles. Documenter chaque action.
  7. Inscrire l’incident au registre des violations (Art. 33(5)), qu’il ait ou non été notifié, et conserver la totalité des pièces.

Cette procédure doit être documentée dans la charte informatique RGPD ou dans une procédure dédiée, validée et testée annuellement. C’est typiquement le type de documentation que Legiscope structure et tient à jour automatiquement, avec horodatage et chaîne de validation.

Ce qu’il faut retenir

  • L’Art. 33(1) impose la notification à la CNIL dans les 72 heures dès qu’une violation présente un risque pour les droits et libertés, sans attendre l’exhaustivité de l’analyse forensique.
  • Le compteur démarre à la prise de connaissance avec un degré raisonnable de certitude, pas à la suspicion ni à la certitude absolue.
  • Le sous-traitant alerte le responsable de traitement « dans les meilleurs délais » (Art. 33(2)) — à fixer contractuellement à 24 ou 48 heures dans le DPA.
  • L’Art. 33(4) permet une notification échelonnée : mieux vaut un dépôt initial partiel dans les délais qu’une notification complète tardive.
  • L’Art. 33(5) impose la tenue d’un registre interne des violations, qu’elles aient été notifiées ou non — son absence est elle-même sanctionnée.
  • La sanction encourue relève du plafond haut de l’Art. 83(4)(a) : jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial.

FAQ

Toute violation de données doit-elle être notifiée à la CNIL ?

Non. L’Art. 33(1) ne déclenche la notification que si la violation présente un risque pour les droits et libertés des personnes concernées. Une indisponibilité brève sans conséquence, ou une donnée non sensible exposée à un nombre négligeable de personnes peuvent ne pas justifier de notification. Mais la charge de la preuve pèse sur le responsable de traitement : l’absence de notification doit être motivée et tracée dans le registre interne (Art. 33(5)).

À partir de quel moment courent les 72 heures ?

À compter de la prise de connaissance de la violation par le responsable de traitement, c’est-à-dire dès qu’il dispose d’un degré raisonnable de certitude sur la matérialité de l’incident. La simple suspicion ne déclenche pas le délai, mais une analyse forensique complète n’est pas nécessaire pour le démarrer. La CNIL apprécie le moment où une organisation diligente aurait dû considérer l’incident comme avéré.

Que faire si on n’a pas toutes les informations dans les 72 heures ?

L’Art. 33(4) permet une notification échelonnée : il faut déposer une notification initiale dans les délais avec les éléments connus, puis compléter au fil de l’analyse. La justification du caractère échelonné doit figurer dans la notification (« analyse forensique en cours, complément attendu sous X jours »). Cette possibilité est sous-utilisée mais expressément autorisée par le texte.

Le sous-traitant doit-il notifier la CNIL en cas d’incident ?

Non. La notification à la CNIL relève toujours du responsable de traitement. Le sous-traitant a une obligation distincte (Art. 33(2)) : alerter son client « dans les meilleurs délais ». Le délai opérationnel doit être fixé dans le DPA (typiquement 24 ou 48 heures). En l’absence de clause précise, le responsable de traitement est exposé au risque que son sous-traitant l’avertisse trop tard pour qu’il puisse lui-même tenir les 72 heures.

Vous voulez sécuriser votre procédure de gestion des violations avant qu’un incident ne survienne ? Inscrivez-vous à ma newsletter : chaque semaine, j’analyse les décisions CNIL et les évolutions réglementaires qui touchent directement les DPO et responsables de conformité. C’est la veille que je menais pour mes clients pendant 20 ans, désormais ouverte à tous.

Articles lies

RGPD

Article 12 RGPD : modalités d'exercice des droits

28 avril 2026 · 16 min
RGPD

Article 17 RGPD : le droit à l'effacement décrypté

28 avril 2026 · 18 min
RGPD

Article 22 RGPD : décision automatisée et profilage

27 avril 2026 · 15 min