UL: 98 000 € pour notification tardive — ce que l’art. 33 exige
Le DPC a sanctionné l’Université de Limerick pour trois notifications RGPD hors délai. Voici comment respecter l’article 33 et notifier la CNPD dans les 72 h, avec un contenu probant et une horloge documentée.
Excerpt — Le 2 mars 2026, l’autorité irlandaise (DPC) a sanctionné l’Université de Limerick pour, entre autres, trois notifications de violation transmises au‑delà des 72 h (art. 33 RGPD). Voici ce que cela change concrètement pour notifier la CNPD sans faute. dataprotection.ie
L’affaire
Le 2 mars 2026, la Data Protection Commission (Irlande) a publié sa décision finale à l’issue d’une enquête d’initiative sur une série de violations de données survenues entre novembre 2018 et janvier 2020 à l’Université de Limerick (UL). Le DPC constate des manquements à la sécurité (art. 5(1)(f) et 32(1)), au registre des traitements (art. 30(1)), à la notification aux personnes (art. 34(1)) et, surtout pour notre propos, à la notification au régulateur dans le délai légal (art. 33(1)). Sanction: un blâme et 98 000 € d’amendes, dont 35 000 € spécifiquement pour la violation de l’article 33(1) (retard sur trois notifications). Décision détaillée et ventilation des montants publiées par le DPC. Voir le communiqué et la fiche décisionnelle avec le PDF intégral. dataprotection.ie ; dataprotection.ie
Ce cas emblématique met en lumière un point critique pour les organisations luxembourgeoises: « sans retard injustifié et, si possible, 72 heures au plus tard » signifie une horloge courte, documentée, et une capacité de notifier avec un contenu précis — à la CNPD, pas à une autre autorité. eur-lex.europa.eu
Le raisonnement juridique
- Base légale de la notification — l’article 33(1) du RGPD impose au responsable de traitement de notifier « à l’autorité de contrôle compétente » toute violation de données « à moins que celle‑ci ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes ». La notification doit intervenir « sans retard injustifié et, si possible, 72 heures au plus tard après en avoir pris connaissance », tout retard devant être motivé. Au Luxembourg, l’autorité compétente est la CNPD. eur-lex.europa.eu — voir aussi le cadre de l’article 33.
- Contenu obligatoire — l’article 33(3) énumère ce que doit contenir une notification: (a) la description de la nature de la violation, y compris les catégories et le nombre approximatif de personnes et d’enregistrements concernés; (b) le nom et les coordonnées du DPO ou d’un point de contact; (c) la description des conséquences probables; (d) les mesures prises ou envisagées pour remédier à la violation et en atténuer les effets. La CNPD reprend ces exigences dans ses pages « Violations de données » et son formulaire. eur-lex.europa.eu ; cnpd.public.lu ; cnpd.public.lu
- Interprétation par les autorités — l’EDPB (lignes directrices 9/2022) précise quand on « a connaissance » d’une violation, comment apprécier le risque, et ce qui justifie (ou non) un délai au‑delà de 72 h. Les lignes directrices 01/2021 proposent des cas concrets (ex. compromission d’e‑mails, rançongiciel, perte de disponibilité). edpb.europa.eu ; edpb.europa.eu
- Application dans l’affaire UL — le DPC a jugé que trois notifications avaient été transmises au‑delà des 72 h « après connaissance » et « sans justification suffisante », caractérisant l’infraction à l’art. 33(1); en parallèle, UL n’a pas informé « sans retard injustifié » les personnes dans trois cas (art. 34(1)). Ce cumul reflète la grille EDPB: l’obligation de notifier l’autorité et celle d’informer les personnes relèvent d’analyses de risque connexes mais distinctes. dataprotection.ie
Ce que ça change concrètement au Luxembourg
Pour les dirigeants, DPO, CISO et juristes opérant au Luxembourg (ou frontaliers gérant des entités LU), l’enseignement est direct: respectez les délais, documentez T0, et alignez contenu et évaluation des risques. Pour un cadrage global, voyez notre page dédiée à la conformité CNPD au Luxembourg.
- L’horloge de 72 h démarre « à la connaissance » interne, pas à la clôture de l’investigation. Organisez le triage précoce et documentez l’instant T0. L’EDPB accepte une approche itérative: notifiez avec les éléments disponibles et complétez ensuite (art. 33(4)). edpb.europa.eu
- Canal CNPD — formulaire dédié (FR/EN) et adresse de contact, en fournissant le contenu de l’art. 33(3) — y compris un contact DPO joignable. Retard: toujours motivé. cnpd.public.lu
- Seuils de risque — « risque » déclenche la notification CNPD; « risque élevé » déclenche l’information des personnes (art. 34). Les compromissions d’e‑mails (phishing/prise de compte), cœur du dossier UL, sont fréquemment notifiables et parfois à information des personnes, selon les données. dataprotection.ie
- Contenu probant — nature de l’incident, catégories d’individus/données, impacts probables, mesures prises/planifiées. Un dossier creux, renvoyant tout au prestataire, alerte l’autorité. cnpd.public.lu
- Régimes sectoriels — NIS 2, finance, etc. s’ajoutent au RGPD: ils ne dispensent jamais de la notification à la CNPD sous 72 h lorsque des données personnelles sont concernées. cnpd.public.lu
Cas d’application immédiats
- Compte Microsoft 365 compromis avec redirections d’e‑mails: typiquement notifiable CNPD; avec données sensibles/financières, information des personnes probable. Conservez l’horodatage de détection, bloquez les redirections, notifiez puis complétez. dataprotection.ie
- Rançongiciel sur serveur RH sans exfiltration confirmée: la perte de disponibilité peut, seule, créer un risque; la notification CNPD est donc souvent requise; articulation avec l’information des personnes si leurs droits sont durablement affectés. edpb.europa.eu
- Envoi massif au mauvais destinataire avec données de santé: risque élevé quasi certain; notifiez CNPD et informez les personnes rapidement, avec une assistance concrète. edpb.europa.eu
Pièges fréquents (vus en audit)
- Partir de la cause technique, pas du risque personnes. Le RGPD raisonne en risques pour les droits et libertés; la cause n’est qu’un vecteur. Exigez une évaluation centrée « personnes » et documentée. cnpd.public.lu
- Attendre la « preuve d’exfiltration » pour démarrer le délai. Faux: la connaissance d’un accès non autorisé suffit. Notifiez avec les informations disponibles et envoyez une notification complémentaire (art. 33(4)). edpb.europa.eu
- Confondre canaux sectoriels et RGPD: notifier la CSSF/ILR/clients n’éteint pas l’obligation CNPD. Les régimes s’additionnent. cnpd.public.lu
- Oublier le contenu de l’art. 33(3): les notifications lacunaires (pas de catégories/nombres approximatifs, pas de DPO, pas de mesures) affaiblissent la défense. Utilisez le formulaire CNPD. cnpd.public.lu
- Négliger l’articulation 33/34: notifier la CNPD ne dispense pas d’informer rapidement les personnes lorsque le « risque élevé » est avéré. dataprotection.ie
Pour structurer votre conformité (plan d’action)
- Définir « T0 » et tracer l’horloge: procédure SOC/DPO qui horodate la « connaissance » d’une violation, avec déclencheur de 72 h et modèle de justification si dépassement. Référez‑vous aux critères EDPB. edpb.europa.eu
- Qualifier en 4 questions (EDPB): quelles données? quelles personnes? quelles conséquences probables? quelles mesures immédiates? Décision GO/NO‑GO CNPD en moins de 24 h, puis itérations. edpb.europa.eu
- Standardiser le contenu (check‑list art. 33(3)) et préremplir le formulaire CNPD avec vos coordonnées DPO, vos canaux d’escalade et vos mesures types (reset, journalisation, assistance, remédiation). cnpd.public.lu — si besoin, sécurisez un mandat DPO adapté.
- Anticiper les cas récurrents (e‑mails compromis, pièces jointes mal adressées, erreurs d’export) avec des « fiches réflexes » alignées sur les exemples EDPB 01/2021. edpb.europa.eu
- Lier RGPD et sécurité opérationnelle: ce que le DPC reproche à UL (authentification, durcissement, journalisation) renvoie à l’art. 32. Votre capacité à détecter, contenir et expliquer la violation conditionne la qualité — et la ponctualité — de la notification. dataprotection.ie
Sources officielles
- Data Protection Commission (Irlande) — « The DPC publishes final decision following inquiry into University of Limerick » (02/03/2026) et fiche décisionnelle + PDF intégral. Communiqué ; Fiche décisionnelle + PDF.
- RGPD — Article 33 (notification des violations) et Article 34 (information des personnes): texte consolidé sur EUR‑Lex. EUR‑Lex, Règlement (UE) 2016/679.
- EDPB — Lignes directrices 9/2022 sur la notification des violations (v2.0, 4 avril 2023). Guidelines 9/2022.
- EDPB — Lignes directrices 01/2021 (exemples de notification de violation). Guidelines 01/2021.
- CNPD (Luxembourg) — « Violations de données (RGPD) » et formulaires officiels de notification. Page CNPD ; Formulaire de notification.
Enseignement final: l’affaire University of Limerick montre que le « juste‑à‑temps » et le « juste‑contenu » de l’article 33 ne sont pas négociables. Au Luxembourg, préparez vos circuits SOC/DPO, vos modèles CNPD et vos analyses de risque EDPB — avant que l’horloge ne démarre.
Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →