Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Mardi 28 avril 2026
Accueil/RGPD/Article 34 RGPD : informer les personnes d'une violation
RGPD

Article 34 RGPD : informer les personnes d'une violation

Article 34 RGPD : seuil du risque élevé, contenu de la communication aux personnes, trois exceptions et pouvoir d'injonction de la CNIL.

Par Thiebaut DevergrannePublie le 25 avril 2026Mis a jour le 25 avril 202615 min de lecture
Sommaire
  1. Ce que dit l’article 34 du RGPD
  2. Art. 34(1) : le déclencheur du risque élevé
  3. Art. 34(2) : le contenu obligatoire de la communication
  4. Art. 34(3) : les trois exceptions
  5. Art. 34(4) : le pouvoir d’injonction de la CNIL
  6. Articulation avec l’article 33
  7. Méthodologie de communication aux personnes
  8. Ce qu’il faut retenir
  9. FAQ

Notifier la CNIL est une chose. Annoncer à 200 000 clients que leurs données ont fuité en est une autre. La frontière entre les deux obligations est posée par l’Art. 34 du RGPD, et c’est sans doute la disposition du texte qui crée le plus d’hésitations dans la cellule de crise. Communiquer trop vite expose à une atteinte à l’image ; communiquer trop tard expose à une mise en demeure, voire à une injonction de la CNIL. Voici l’analyse paragraphe par paragraphe de l’Art. 34, avec les seuils, les exceptions et le pouvoir d’injonction que beaucoup oublient.

Ce que dit l’article 34 du RGPD

L’Art. 34 s’intitule « Communication à la personne concernée d’une violation de données à caractère personnel ». Il complète l’Art. 33 RGPD (notification à la CNIL) en organisant, en quatre paragraphes, l’obligation d’informer directement les personnes lorsque le risque est élevé :

  • l’Art. 34(1) impose la communication aux personnes concernées dans les meilleurs délais dès lors que la violation est susceptible d’engendrer un risque élevé ;
  • l’Art. 34(2) liste le contenu minimum de cette communication ;
  • l’Art. 34(3) prévoit trois exceptions à l’obligation de communication ;
  • l’Art. 34(4) confère à la CNIL le pouvoir d’enjoindre au responsable de traitement de communiquer s’il s’en abstient.

La sanction encourue relève du même plafond que l’Art. 33 : Art. 83(4)(a) — jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. Mais le risque réputationnel est largement supérieur : une mise en demeure publique de communiquer après refus interne est l’un des scénarios les plus dévastateurs en gestion de crise. Voir aussi mon guide pratique sur la procédure de notification 72h à la CNIL, qui doit être engagé en parallèle dès que les conditions de l’Art. 33 sont réunies.

Art. 34(1) : le déclencheur du risque élevé

Le paragraphe 1 pose le critère central : « Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans les meilleurs délais. »

Deux notions structurent l’obligation : le risque élevé et les meilleurs délais.

Risque élevé : le seuil le plus discuté du RGPD

Le RGPD n’a jamais défini en termes chiffrés ce qu’est un risque « élevé ». La référence est constituée par les Lignes directrices 9/2022 du Comité européen de la protection des données (EDPB), qui ont remplacé les Lignes directrices WP250rev.01 du G29.

Le risque élevé s’apprécie au regard d’un faisceau d’indices :

  • la nature des données : données sensibles au sens de l’Art. 9 RGPD (santé, opinions politiques, orientation sexuelle, données biométriques d’identification), données financières (RIB, numéros de carte), identifiants permettant un détournement (mots de passe non hachés, numéros de sécurité sociale, copies de pièces d’identité) ;
  • le volume de personnes concernées et le caractère identifiable ;
  • la vulnérabilité des personnes (mineurs, patients, salariés, demandeurs d’emploi) ;
  • les conséquences réalistes : usurpation d’identité, fraude bancaire, phishing ciblé, atteinte à la réputation, perte d’emploi, discrimination ;
  • la persistance du risque : une exfiltration sur le dark web crée un risque durable, une erreur de destinataire vite contenue est moins préoccupante.

Les Lignes directrices 9/2022 fournissent dix scénarios types en annexe, avec leur classification recommandée. La CNIL reprend cette grille dans son outil d’aide à la qualification disponible sur le téléservice de notification.

Dans mon expérience, deux indicateurs déclenchent quasi systématiquement la qualification de risque élevé : la présence de données sensibles (Art. 9) ou de données financières directes, et un vecteur d’attaque ciblée (phishing personnalisé probable, données accessibles publiquement, exfiltration confirmée).

Meilleurs délais : pas de chiffre, mais une exigence d’urgence

À la différence de l’Art. 33(1) qui impose 72 heures, l’Art. 34(1) ne fixe pas de délai chiffré. La formule « dans les meilleurs délais » est cependant exigeante : la CNIL et l’EDPB considèrent que la communication doit intervenir dès que les éléments nécessaires sont consolidés, sans attendre la clôture de l’analyse forensique. En pratique, un délai supérieur à quinze jours après la prise de connaissance est presque toujours difficilement justifiable. Plusieurs sanctions récentes ont visé des communications réalisées plusieurs mois après la découverte des faits.

Trois jalons structurent une communication maîtrisée :

  • J+0 à J+3 : qualification du risque, décision d’engager la communication, préparation des canaux ;
  • J+3 à J+10 : finalisation du message, validation juridique et communication, tests des canaux d’envoi ;
  • J+10 à J+15 : envoi effectif, dispositif de support (FAQ, hotline, page dédiée).

L’argument du « risque réputationnel » n’a aucune valeur juridique. Reporter la communication au motif qu’elle pourrait déclencher une crise médiatique est précisément le type de manquement que la CNIL retient pour aggraver la sanction.

Art. 34(2) : le contenu obligatoire de la communication

Le paragraphe 2 impose un contenu minimum. La communication doit décrire « en des termes clairs et simples » :

  1. La nature de la violation ;
  2. Le nom et les coordonnées du DPO ou d’un autre point de contact ;
  3. Les conséquences probables de la violation ;
  4. Les mesures prises ou proposées pour remédier à la violation et atténuer ses effets, y compris, le cas échéant, les mesures que la personne peut elle-même prendre.

L’expression « termes clairs et simples » n’est pas anodine. Une communication noyée dans le jargon juridique est considérée comme non conforme. La CNIL a sanctionné plusieurs courriers rédigés en langue technique ou minimisant la portée de l’incident. Le test à appliquer : un client lambda comprend-il, en lisant la première phrase, ce qui s’est passé et ce qu’il doit faire ?

Une communication conforme contient, en pratique, six blocs :

  • Un résumé en une phrase : « Nous vous informons qu’une attaque informatique a permis l’accès non autorisé à certaines de vos données personnelles, le [date]. »
  • La nature précise des données concernées : nom, prénom, email, adresse postale, numéro de téléphone, mot de passe (haché ou en clair), numéro de carte (complet ou tronqué), historique d’achats, etc. La transparence sur le périmètre est une exigence forte.
  • Les conséquences possibles : risque de phishing, de tentatives de fraude bancaire, d’usurpation. Présenter ces risques de manière compréhensible et factuelle, sans dramatisation excessive ni minimisation.
  • Les mesures prises par l’organisme : isolement des serveurs, changement de mots de passe internes, dépôt de plainte, notification à la CNIL.
  • Les mesures recommandées à la personne : changement de mot de passe, vigilance sur les emails non sollicités, surveillance des relevés bancaires, opposition à la carte si nécessaire.
  • Un point de contact identifié : email du DPO, numéro dédié, page web spécifique. La communication ne doit pas renvoyer à un service client générique noyé sous les demandes.

Les Lignes directrices 9/2022 recommandent une communication directe et individuelle. Les communications collectives par voie de presse ne sont admises que si la communication individuelle nécessite « des efforts disproportionnés » au sens de l’Art. 34(3)©. En cas de doute, la communication doit être à la fois individuelle (email, courrier) et publique (page web, communiqué).

Art. 34(3) : les trois exceptions

Le paragraphe 3 prévoit que la communication aux personnes n’est pas requise si l’une des trois conditions suivantes est remplie. Ces exceptions sont d’interprétation stricte — la jurisprudence CNIL et CJUE refuse régulièrement leur invocation.

a) Mesures techniques rendant les données incompréhensibles

L’Art. 34(3)(a) écarte la communication si « le responsable du traitement a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces dernières ont été appliquées aux données à caractère personnel affectées par la violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n’est pas autorisée à y accéder, telles que le chiffrement ».

Le chiffrement est l’exemple paradigmatique. Mais quatre conditions cumulatives doivent être remplies :

  • les données étaient effectivement chiffrées au moment de la violation ;
  • la clé de chiffrement n’est pas compromise ;
  • l’algorithme et la longueur de clé restent considérés comme robustes (AES-256, RSA-3072 ou supérieur) au regard de l’état de l’art ;
  • la mesure était documentée dans le dossier de conformité au titre de l’Art. 32 RGPD.

Un chiffrement avec clé stockée sur le même serveur que les données chiffrées, ou un hachage MD5 de mots de passe, ne remplissent pas ces conditions. La pseudonymisation n’est pas considérée comme suffisante : la pseudonymisation rend les données moins identifiables mais pas incompréhensibles. Voir mon analyse comparée pseudonymisation et anonymisation.

b) Mesures ultérieures écartant le risque élevé

L’Art. 34(3)(b) écarte la communication si le responsable « a pris des mesures ultérieures qui garantissent que le risque élevé pour les droits et libertés des personnes concernées visé au paragraphe 1 n’est plus susceptible de se matérialiser ».

L’exemple type : un email envoyé à une mauvaise adresse interne, immédiatement supprimé sans avoir été lu, avec confirmation écrite du destinataire. Autre exemple : la récupération matérielle d’un support de stockage volé, avant toute exploitation.

L’invocation de cette exception suppose une preuve documentée que le risque a été neutralisé. Une simple présomption ne suffit pas. Les délibérations CNIL des dernières années montrent que cette exception n’est admise que dans des cas étroitement circonscrits.

c) Efforts disproportionnés

L’Art. 34(3)© écarte la communication individuelle si elle « exigerait des efforts disproportionnés ». Dans ce cas, une communication publique ou une mesure similaire est exigée à la place — l’absence totale de communication n’est jamais une option.

L’effort disproportionné s’apprécie au regard du nombre de personnes concernées, de la disponibilité de leurs coordonnées et du coût rapporté à la taille de l’organisation. Un responsable de traitement qui ne dispose plus de coordonnées exploitables (anciennes bases, personnes non titulaires de compte client) peut recourir à une communication par voie de presse, par bandeau sur le site, ou par notification dans l’application. Mais l’exception est étroitement encadrée : avoir « beaucoup de personnes » à prévenir ne constitue pas, en soi, un effort disproportionné.

Art. 34(4) : le pouvoir d’injonction de la CNIL

Le paragraphe 4 est le plus oublié — et le plus dangereux. Il dispose que « si le responsable du traitement n’a pas déjà communiqué à la personne concernée la violation de données à caractère personnel la concernant, l’autorité de contrôle peut, après avoir examiné si cette violation de données à caractère personnel est susceptible d’engendrer un risque élevé, exiger du responsable du traitement qu’il procède à cette communication ou décider que l’une ou l’autre des conditions visées au paragraphe 3 est remplie ».

Concrètement, lorsque la CNIL examine la notification déposée au titre de l’Art. 33, elle conserve le pouvoir d’imposer la communication aux personnes, même si le responsable de traitement avait estimé qu’elle n’était pas nécessaire. Cette injonction peut être assortie d’une mise en demeure publique — ce qui transforme une crise interne en crise de réputation publique.

Plusieurs cas récents illustrent cette logique : la CNIL ne se contente pas de la qualification proposée par le responsable de traitement et peut requalifier le risque comme élevé après instruction. Le risque pour l’organisme est double : sanction au titre de l’Art. 83(4)(a) et publicisation de la procédure.

L’enseignement pratique : dès lors que la qualification du risque est incertaine, il vaut mieux communiquer que s’abstenir. Une communication maîtrisée, préparée par l’organisme, vaut toujours mieux qu’une communication imposée par la CNIL après plusieurs mois d’instruction.

Articulation avec l’article 33

Les Art. 33 et Art. 34 forment un dispositif à deux étages, qu’il faut tenir simultanément :

Art. 33 Art. 34
Destinataire CNIL Personnes concernées
Seuil Risque (seuil bas) Risque élevé (seuil haut)
Délai 72 heures Meilleurs délais (≈ 15 jours max.)
Contenu 5 rubriques (Art. 33(3)) 4 rubriques (Art. 34(2))
Exceptions Aucune (sauf absence de risque) 3 exceptions (Art. 34(3))

Toute communication aux personnes au titre de l’Art. 34 implique nécessairement une notification CNIL préalable au titre de l’Art. 33. À l’inverse, toutes les notifications CNIL ne donnent pas lieu à communication aux personnes : c’est la sévérité du risque qui distingue les deux niveaux.

Documenter cette analyse de risque est essentiel. Le registre interne des violations imposé par l’Art. 33(5) doit faire apparaître, pour chaque incident, la qualification retenue (risque ou risque élevé), les motifs de cette qualification, et la décision prise au titre de l’Art. 34. Cette traçabilité est ce que la CNIL réclame en premier lieu en cas de contrôle.

Méthodologie de communication aux personnes

Voici la séquence que je recommande dès lors que la qualification de risque élevé est retenue :

  1. Validation de la qualification par la cellule de crise, avec analyse écrite référencée aux Lignes directrices 9/2022 et à l’AIPD du traitement concerné lorsque celle-ci existe.
  2. Rédaction du message par le DPO et le juridique, validation par la communication. Le message doit tenir en une page, sans jargon, avec call-to-action clair.
  3. Préparation des canaux : envoi email principal, courrier postal pour les personnes sans email exploitable, page web dédiée avec FAQ, hotline ou adresse de contact dédiée.
  4. Test du dispositif sur un échantillon réduit avant envoi de masse, pour vérifier la délivrabilité des emails et la lisibilité du contenu.
  5. Envoi coordonné sur l’ensemble des canaux, avec horodatage de chaque envoi conservé en preuve.
  6. Suivi de l’engagement : taux d’ouverture, volumes de demandes au point de contact, identification des personnes non touchées par la communication initiale (NPAI postaux, hardbounces email) pour les canaux secondaires.
  7. Mise à jour du registre des violations avec l’ensemble des éléments : qualification, décision, contenu envoyé, canaux utilisés, retours.

Cette méthodologie doit être documentée dans la procédure de gestion des violations de données et testée annuellement en exercice de crise. C’est le type de documentation qu’un outil comme Legiscope structure et tient à jour automatiquement, avec horodatage des analyses de risque et chaîne de validation.

Ce qu’il faut retenir

  • L’Art. 34(1) impose la communication aux personnes concernées dès lors que la violation présente un risque élevé, dans les meilleurs délais — un délai supérieur à 15 jours est rarement justifiable.
  • Les données sensibles (Art. 9), les données financières directes et les scénarios de fraude ciblée déclenchent quasi-systématiquement la qualification de risque élevé.
  • L’Art. 34(2) impose un contenu en termes clairs et simples : nature de la violation, contact DPO, conséquences probables, mesures prises et mesures recommandées aux personnes.
  • L’Art. 34(3) prévoit trois exceptions d’interprétation stricte : chiffrement robuste, mesures ultérieures neutralisant le risque, efforts disproportionnés (avec communication publique de substitution).
  • L’Art. 34(4) confère à la CNIL un pouvoir d’injonction : elle peut exiger la communication a posteriori, ce qui transforme la crise interne en crise publique.
  • La sanction encourue relève de l’Art. 83(4)(a) — jusqu’à 10 M€ ou 2 % du chiffre d’affaires mondial — et s’ajoute au risque réputationnel d’une mise en demeure publique.

FAQ

Quand faut-il informer les personnes en cas de violation de données ?

L’obligation de communication aux personnes naît dès lors que la violation est susceptible d’engendrer un risque élevé pour les droits et libertés (Art. 34(1)). C’est un seuil distinct et plus haut que celui de la notification CNIL prévue par l’Art. 33. La présence de données sensibles, de données financières directes ou d’un risque réaliste d’usurpation d’identité ou de fraude ciblée déclenche presque toujours cette qualification. La communication doit intervenir dans les meilleurs délais, en pratique sous deux semaines maximum après la prise de connaissance.

Le chiffrement dispense-t-il toujours d’informer les personnes ?

Non. L’Art. 34(3)(a) admet le chiffrement comme exception, mais à quatre conditions cumulatives : les données doivent avoir été effectivement chiffrées au moment de la violation, la clé ne doit pas être compromise, l’algorithme doit rester robuste au regard de l’état de l’art, et la mesure doit être documentée au titre de l’Art. 32. Un chiffrement faible ou une clé exposée n’écarte pas l’obligation. La pseudonymisation seule n’est pas considérée comme suffisante par les Lignes directrices 9/2022.

La CNIL peut-elle imposer la communication aux personnes ?

Oui. L’Art. 34(4) confère à la CNIL le pouvoir d’enjoindre au responsable de traitement de communiquer la violation aux personnes concernées si elle estime que le risque est élevé et que cette communication n’a pas eu lieu. Cette injonction peut être publiée et s’accompagner d’une mise en demeure publique — scénario particulièrement coûteux en termes de réputation. Lorsque la qualification du risque est incertaine, il est presque toujours préférable de communiquer de manière maîtrisée plutôt que de subir une injonction a posteriori.

Peut-on communiquer aux personnes par voie de presse plutôt qu’individuellement ?

La règle est la communication individuelle. La communication collective n’est admise au titre de l’Art. 34(3)© que si la communication individuelle exigerait des efforts disproportionnés — par exemple en l’absence de coordonnées exploitables. Dans ce cas, une communication publique ou une mesure similaire doit être organisée, mais l’absence totale de communication n’est jamais permise. En pratique, lorsqu’une partie seulement des personnes peut être contactée individuellement, il faut combiner les deux : envoi individuel pour celles dont les coordonnées sont disponibles, communication publique pour les autres.

Vous voulez sécuriser la procédure de communication aux personnes avant qu’un incident ne survienne ? Inscrivez-vous à ma newsletter : chaque semaine, j’analyse les décisions CNIL et les évolutions réglementaires qui touchent directement les DPO et responsables de conformité. C’est la veille que je menais pour mes clients pendant 20 ans, désormais ouverte à tous.

Articles lies

RGPD

Article 12 RGPD : modalités d'exercice des droits

28 avril 2026 · 16 min
RGPD

Article 17 RGPD : le droit à l'effacement décrypté

28 avril 2026 · 18 min
RGPD

Article 22 RGPD : décision automatisée et profilage

27 avril 2026 · 15 min