72 h ou sanction: le maire de Myślenice épinglé — rappel pour le Luxembourg

Excerpt — Le 25 mai 2026, l’autorité polonaise (UODO) a sanctionné le maire de Myślenice pour ne pas avoir notifié une violation de données dans les 72 h (art. 33 RGPD). Ce cas clarifie quand démarre l’horloge et ce que la CNPD attend concrètement à Luxembourg.

L’affaire

Le 25 mai 2026, le président de l’UODO (Pologne) publie la décision DKN.5131.17.2025 à l’encontre du Burmistrz Miasta i Gminy Myślenice (maire de la ville et commune de Myślenice). Motif: non‑notification « sans tarder et, si possible, 72 heures au plus tard » d’une violation de données personnelles à l’autorité de contrôle, en infraction avec l’article 33, paragraphe 1, du RGPD. L’UODO inflige une amende administrative de 7 700 PLN et rejette l’argument selon lequel l’existence d’une autre procédure (sur plainte individuelle) ferait disparaître l’obligation de notifier l’incident. Sources officielles: registre des décisions de l’UODO (fiche DKN.5131.17.2025) et communiqué synthétique de l’UODO du 25/05/2026. Voir: https://orzeczenia.uodo.gov.pl/document/urn%3Andoc%3Agov%3Apl%3Auodo%3A2025%3Adkn_5131_17/content et https://uodo.gov.pl/pl/138/4402.

Point de droit rappelé par la décision: la non‑notification dans les 72 h est une violation autonome de l’art. 33(1) RGPD, appréciée indépendamment des mesures de sécurité de l’art. 32 (la question technique n’efface pas l’obligation procédurale). Le registre officiel indique expressément le fondement: art. 33(1) RGPD, « niezgłoszeniu […] nie później niż w terminie 72 godzin ». Source UODO. Pour un rappel global du texte, voir les dispositions RGPD applicables.

Le raisonnement juridique

• Texte applicable. L’article 33 du RGPD impose au responsable de traitement de notifier toute violation de données personnelles à l’autorité de contrôle « sans tarder et, si possible, 72 heures au plus tard après en avoir pris connaissance », sauf risque « improbable » pour les droits et libertés. Contenu minimal de la notification: art. 33(3) (nature de la violation, catégories/nombre approximatif de personnes et d’enregistrements, DPO/contact, conséquences probables, mesures prises/proposées). Texte consolidé: EUR‑Lex — Règlement (UE) 2016/679, art. 33. https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:32016R0679.
• Lignes directrices EDPB. Les Guidelines « Personal data breach notification » WP250 rev.01 (endorsées par l’EDPB) précisent la notion d’« en avoir pris connaissance »: l’horloge démarre quand le responsable a une « raisonnable certitude » qu’un incident a conduit à une violation au sens de l’art. 4(12). Elles rappellent la possibilité d’une notification initiale incomplète suivie de mises à jour (art. 33(4)). https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-personal-data-breach-notification-under_en.
• Position CNPD (Luxembourg). La CNPD confirme l’exigence des 72 h et prévoit un canal opérationnel (databreach@cnpd.lu) pour notifier; lorsqu’un risque élevé existe, l’information des personnes (art. 34) doit suivre « dans les meilleurs délais ». Pour certains opérateurs de communications électroniques, un délai de 24 h (règlement (UE) n° 611/2013) s’applique. Pages officielles: « Violations de données » et « Formulaires ». https://cnpd.public.lu/fr/professionnels/obligations/violation-de-donnees.html et https://cnpd.public.lu/fr/formulaires.html.
• Ce que la décision UODO ajoute. Elle confirme qu’une autre procédure administrative (p. ex., instruction d’une plainte individuelle) ne suspend ni ne remplace l’obligation de notifier l’autorité sous 72 h. Elle illustre aussi que l’analyse des critères de l’art. 83(2) n’efface pas l’infraction formelle à l’art. 33(1): le défaut de notification est sanctionnable en soi. Communiqué UODO du 25/05/2026; extrait de la motivation publié au registre. https://uodo.gov.pl/pl/138/4402 et https://orzeczenia.uodo.gov.pl/document/urn%3Andoc%3Agov%3Apl%3Auodo%3A2025%3Adkn_5131_17/content.

Ce que ça change concrètement pour les organisations au Luxembourg

• Démarrage du délai. Le « T0 » n’est pas la clôture du forensic ou l’approbation interne: c’est le moment où l’on dispose d’indices suffisamment corroborés qu’une violation au sens de l’art. 4(12) a eu lieu (ex. fichier RH exposé publiquement, boîte partagée supprimée avec perte de disponibilité, extraction non autorisée d’un CRM). Dans le doute raisonnable, notifier « initialement » puis compléter. Référence: EDPB WP250 rev.01. Guidelines EDPB.
• Canal et contenu attendus par la CNPD. Pour le Luxembourg, préparez un modèle répondant aux items de l’art. 33(3) et au format CNPD (coordonnées DPO, description, mesures). Adresse de notification: databreach@cnpd.lu. Pour les telcos/FAI: 24 h. Page CNPD RGPD 72 h et Notification 24 h opérateurs.
• Articulation avec l’information des personnes (art. 34). Si le risque est « élevé », l’information doit intervenir « dans les meilleurs délais »; elle peut être différée si une mesure technique supprime le risque (ex. rotation immédiate de clés d’API volées et invalidation de tokens avec MFA renforcée). Texte: art. 34 RGPD (EUR‑Lex) et rappel CNPD. EUR‑Lex et CNPD — Violations de données.
• Gouvernance groupe. Les entités luxembourgeoises intégrées à un groupe doivent organiser l’escalade intra‑groupe pour que la société luxembourgeoise notifie la CNPD dans les temps, même si l’incident est survenu chez un sous‑traitant ou une filiale hors LU. Les Guidelines EDPB rappellent que l’art. 33(2) impose aussi au sous‑traitant de « notifier sans tarder » au responsable: contractuellement, visez 24–48 h côté sous‑traitant pour garder de la marge côté 72 h. Référence EDPB.
• Pilotage DPO/CISO. La décision UODO montre que l’argument « une autre procédure est en cours » ne protège pas. Au Luxembourg, le DPO doit disposer d’un mandat clair pour déclencher la notification CNPD, avec une procédure écrite de qualification du risque et un registre interne des violations (art. 33(5)). Les équipes sécurité peuvent s’appuyer sur le pilotage d’un CISO externalisé pour accélérer l’escalade et la collecte des éléments probants. CNPD — procédures et registre: page dédiée.

Exemples concrets (Luxembourg/Grande Région)

• PME luxembourgeoise: un partage Microsoft 365 expose par erreur un répertoire RH accessible au domaine; l’EDP découvre 48 h plus tard l’accès externe. T0 = moment où l’équipe a une base raisonnable de conclure à une violation (ex. logs d’accès). Notification initiale à J+2, puis mise à jour à J+5 avec la volumétrie exacte.
• Banque PSF: fuite chez un prestataire de numérisation en Lorraine. Le prestataire doit alerter « sans tarder »; la banque (responsable) qualifie le risque pour notifier la CNPD sous 72 h. Le cross‑border ne change pas l’obligation (art. 33 et mécanisme d’autorité chef de file si traitement transfrontalier).
• Opérateur télécom: vol de base clients — délai 24 h (règlement 611/2013) vers la CNPD + information des abonnés si risque défavorable. Référence CNPD opérateurs.

Pièges fréquents

1. Attendre « toutes » les preuves avant de notifier. Mauvaise approche: l’EDPB admet une notification initiale incomplète, suivie d’updates. L’horloge démarre à la « raisonnable certitude », pas à la fin du forensic. Guidelines EDPB.
2. Confondre incident IT et violation RGPD. Une simple panne sans données personnelles n’est pas une violation. À l’inverse, une indisponibilité prolongée de données médicales (perte de disponibilité) peut constituer une violation même sans fuite. Réf.: art. 4(12) RGPD (définition) — EUR‑Lex. https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:32016R0679.
3. Se dire « on a déjà une plainte en cours ». L’UODO rappelle que cela ne dispense pas de la notification sous 72 h; l’obligation de l’art. 33(1) est autonome. Communiqué UODO.
4. Sous‑traitant qui tarde. L’art. 33(2) impose au sous‑traitant d’alerter le responsable « sans tarder ». Contractez un délai ferme (24–48 h) et un playbook d’escalade. Lignes EDPB et texte RGPD: EDPB WP250 rev.01 et EUR‑Lex.
5. Oublier le canal CNPD et le contenu obligatoire. La CNPD attend une notification structurée (art. 33(3)) via databreach@cnpd.lu, et une documentation interne (art. 33(5)). Formulaires CNPD et Obligations CNPD.

Sources officielles

• UODO (Pologne) — Décision DKN.5131.17.2025 (maire de Myślenice), publiée le 25/05/2026: https://orzeczenia.uodo.gov.pl/document/urn%3Andoc%3Agov%3Apl%3Auodo%3A2025%3Adkn_5131_17/content et communiqué: https://uodo.gov.pl/pl/138/4402.
• RGPD (UE) 2016/679 — texte EUR‑Lex (art. 33 et 34): https://eur-lex.europa.eu/legal-content/en/ALL/?uri=CELEX:32016R0679.
• EDPB — Guidelines on Personal data breach notification under Regulation 2016/679 (WP250 rev.01, endossées par l’EDPB): https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-personal-data-breach-notification-under_en.
• CNPD (Luxembourg) — Violations de données (obligations, 72 h / 24 h, registre; canal de notification): https://cnpd.public.lu/fr/professionnels/obligations/violation-de-donnees.html, https://cnpd.public.lu/fr/professionnels/obligations/violation-de-donnees/notification_violation_securite.html et https://cnpd.public.lu/fr/formulaires.html.

Enseignement pour les dirigeants/DPO/CISO au Luxembourg: documentez un T0 clair, prévoyez une notification initiale si nécessaire, contractualisez un délai court côté sous‑traitants, utilisez le canal CNPD sans attendre la « version finale » du dossier, et gardez un registre conforme art. 33(5). L’affaire Myślenice montre que l’excès d’attentisme coûte — même sans débat technique sur l’art. 32. Pour renforcer l’organisation, envisagez un accompagnement DPO au Luxembourg.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.