RGPD art. 33: notifier une violation à la CNPD en 72 h, sans paniquer

En cas d’incident, 72 heures passent très vite. Voici une méthode opérationnelle, fondée sur les textes officiels et la position de la CNPD, pour décider, notifier et documenter correctement.

La règle générale

• L’article 33 du RGPD impose au responsable de traitement de notifier « sans tarder et, si possible, 72 heures au plus tard après en avoir pris connaissance » toute violation de données personnelles à l’autorité de contrôle compétente, sauf si la violation est « improbable » d’engendrer un risque pour les droits et libertés des personnes. Le contenu minimal de la notification est précisé à l’article 33(3) a)–d). Les sous-traitants doivent informer le responsable « sans tarder » dès qu’ils en ont connaissance (art. 33(2)). Texte intégral sur EUR‑Lex. (eur-lex.europa.eu)
• En cas de risque élevé, une communication aux personnes concernées est requise au titre de l’article 34, « sans retard injustifié », avec un contenu aligné sur 33(3)(b) à (d). (eur-lex.europa.eu)
• La CNPD rappelle que la notification est requise dès qu’un risque existe et détaille le contenu et le canal attendus (adresse dédiée databreach@cnpd.lu et clé PGP). Page officielle « Violations de données (RGPD) » de la CNPD. (cnpd.public.lu)

Ce que dit le régulateur

• CNPD (Luxembourg). La page dédiée précise: « Les responsables […] doivent notifier […] dans un délai de 72 heures après en avoir pris connaissance si la violation […] est susceptible d’engendrer un risque […] » et énumère le contenu minimal (nature de la violation, DPO/contact, conséquences probables, mesures prises/proposées). Elle indique le canal de notification (databreach@cnpd.lu) et la possibilité d’utiliser la clé PGP. (cnpd.public.lu) La CNPD publie aussi des statistiques utiles pour se situer: 442 notifications reçues en 2024 (moyenne 37/mois) et plus de la moitié dues à des erreurs humaines, d’après le rapport annuel 2024 (annexes). (cnpd.public.lu)
• EDPB (Comité européen). Les Lignes directrices 9/2022 (version finale du 4 avril 2023) harmonisent l’interprétation: démarrer l’évaluation sans délai, documenter toute violation (même non notifiée) et, si nécessaire, notifier en plusieurs temps (notification initiale puis complément). (edpb.europa.eu) Pour s’entraîner à qualifier le risque, les Lignes directrices 01/2021 (exemples concrets) illustrent des scénarios types (erreur d’envoi, ransomware, perte d’ordinateur, compromission de messagerie, etc.) avec l’analyse « risque / risque élevé » et les mesures d’atténuation attendues. (edpb.europa.eu)
• Administration publique luxembourgeoise (référence pratique). La brochure CGPD (commissariat gouvernemental) rappelle des points opérationnels souvent mal compris: le délai de 72 h court dès qu’un « doute raisonnable » existe sur la réalité d’une violation, et week‑ends/jours fériés ne justifient pas un retard; la notification préliminaire est possible quand toutes les informations ne sont pas encore disponibles. (download.data.public.lu)

Comment l’appliquer en pratique

Cas d’usage: compromission d’une boîte e‑mail d’un collaborateur avec exfiltration probable de fichiers clients.

Avant (préparation)

1. Définir le processus d’escalade interne 24/7: qui alerter, qui décide (CISO/DPO), qui rédige, qui valide. Cartographier les traitements (registre art. 30) pour identifier rapidement données/volumes concernés. S’aligner sur les champs de la notification CNPD (nature, catégories/volumes approximatifs, contact DPO, conséquences, mesures). (cnpd.public.lu)
2. Outiller la collecte d’indices: journaux, EDR, SIEM, sauvegardes, preuves d’exfiltration. Préparer des modèles de notification initiale et de communication aux personnes (art. 34) prêts à l’emploi (fr/de/en). Réviser ses politiques avec les recommandations EDPB 9/2022. (edpb.europa.eu)

Pendant (les 72 heures)

1. T0 = moment où l’organisation a connaissance raisonnable d’une violation (p. ex. confirmation de l’accès non autorisé). Lancer l’analyse de risque « personnes » (pas seulement IT): type de données, vulnérabilité des personnes, possibilité de fraude/usurpation, volume, facilité d’identification. S’appuyer sur les exemples EDPB 01/2021 pour caler le curseur risque/risk élevé. (edpb.europa.eu)
2. Décider:
   • Si risque probable: préparer la notification CNPD (Word .docx conforme au modèle CNPD; transmission chiffrée PGP possible). Justifier tout retard si > 72 h. (cnpd.public.lu)
   • Si pas de risque: pas de notification CNPD, mais consigner l’incident dans le registre interne des violations (obligatoire). (cnpd.public.lu)
3. Notifier si nécessaire avant H+72: contenu minimal art. 33(3) + faits connus à date; envoyer une notification complémentaire dès que de nouveaux éléments fiables sont disponibles (pratique validée par l’EDPB 9/2022). (eur-lex.europa.eu)
4. Si risque élevé: préparer la communication aux personnes « sans retard injustifié » (langage clair; nature de la violation; contact; conséquences probables; mesures prises/proposées; moyens de se protéger). Choisir un canal efficace (courrier, e‑mail, espace client; au besoin, communication publique). (cnpd.public.lu)

Après (remédiation et preuves)

1. Mesures correctives: réinitialisation des comptes, rotation des secrets, durcissement MFA, purge des données inappropriées, renforcement des règles de transfert, correctifs, sensibilisation ciblée (les erreurs humaines sont la 1re cause selon la CNPD 2024). (cnpd.public.lu)
2. Documentation: conserver tous les éléments ayant fondé l’analyse (chronologie, preuves, scoring de risque, décisions, versions des notifications, échanges avec la CNPD). La CNPD peut demander l’accès à cette documentation. (cnpd.public.lu)
3. Leçon tirée: mise à jour des politiques, exercices de simulation, ajustement des contrôles (principe des « quatre yeux » sur les envois sensibles, règles DLP, revues d’accès). S’inspirer des scénarios EDPB 01/2021 pour vos exercices. (edpb.europa.eu)

Pièges fréquents

1. Attendre la « preuve absolue » avant de démarrer le chronomètre. Le délai de 72 h court dès la connaissance raisonnable de la violation; une notification préliminaire est possible si des informations manquent encore. (download.data.public.lu)
2. Se focaliser sur l’impact IT et sous‑estimer le risque « personnes ». Le RGPD impose une analyse centrée sur les droits et libertés; utilisez les critères et exemples EDPB (type de données, population, exploitabilité). (edpb.europa.eu)
3. Oublier d’informer le DPO ou mal renseigner le point de contact. L’article 33(3)(b) exige la mention du DPO/contact; la CNPD y veille. (eur-lex.europa.eu)
4. Ne pas documenter les incidents « non notifiés ». Le registre interne des violations est obligatoire et peut être contrôlé par la CNPD. (cnpd.public.lu)
5. Mélanger notification CNPD et information des personnes. Ce sont deux obligations distinctes (art. 33 vs art. 34) avec des déclencheurs différents (risque vs risque élevé) et des contenus adaptés. (eur-lex.europa.eu)

Sources officielles

• Règlement (UE) 2016/679 (RGPD), art. 33 et 34 (texte officiel EUR‑Lex). Lien: https://eur-lex.europa.eu/eli/reg/2016/679/oj/ (voir Articolo 33/Articolo 34 pour le texte consolidé). (eur-lex.europa.eu)
• CNPD Luxembourg – Violations de données (RGPD): contenu attendu, canal de notification, registre interne. Lien: https://cnpd.public.lu/fr/professionnels/obligations/violation-de-donnees/violation-donnees-rgpd.html (version EN également disponible). (cnpd.public.lu)
• CNPD – Formulaires (incluant le formulaire de notification des violations). Lien: https://cnpd.public.lu/fr/formulaires.html. (cnpd.public.lu)
• CNPD – Rapport annuel 2024 (Annexes): volumes et causes des notifications. Lien (PDF): https://cnpd.public.lu/dam-assets/de/publications/rapports/cnpd/rapport-annuel-cnpd-2024-annexes.pdf. (cnpd.public.lu)
• EDPB – Lignes directrices 9/2022 sur la notification des violations (version finale du 4 avril 2023). Lien: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_en. (edpb.europa.eu)
• EDPB – Lignes directrices 01/2021 « Exemples » de notification de violations. Lien (FR): https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012021-examples-regarding-personal-data-breach_fr. (edpb.europa.eu)

Remarque pratique: pour les opérateurs de communications électroniques accessibles au public, des règles plus strictes (notification sous 24 h) s’appliquent en vertu du règlement (UE) n° 611/2013; la CNPD détaille la procédure spécifique. (cnpd.public.lu)

En synthèse: avant une crise, outillez l’analyse « risque personnes » et préparez vos modèles; pendant, notifiez avant H+72 même partiellement; après, tracez, remédiez et apprenez. C’est ce que la CNPD et l’EDPB attendent en 2026. (cnpd.public.lu)

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.