Article 34 RGPD : vous devez notifier les personnes concernées quand une fuite de données présente un risque élevé.
Ce n’est pas une formalité. C’est un test de votre réactivité, de votre crédibilité… et de votre conformité.
- 🚨 Quand devez-vous notifier ? Cas concrets et critères décisifs
- 🛠️ Comment rédiger une notification claire, sans aggraver la situation
- ✅ Templates, erreurs à éviter, plan de crise : tout est prêt pour le jour J
Décryptage complet de l’article 34 du RGPD
Lorsqu’une violation de données à caractère personnel est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, le responsable du traitement en informe la personne concernée dans les meilleurs délais.
La communication doit décrire en termes clairs et simples la nature de la violation et inclure :
- Les coordonnées du DPO ou d’un autre point de contact ;
- Les conséquences probables de la violation ;
- Les mesures prises ou proposées pour y remédier, y compris celles visant à en atténuer les effets négatifs.
La communication n’est pas requise si l’une des conditions suivantes est remplie :
- Des mesures techniques ou organisationnelles appropriées ont été mises en œuvre, comme le chiffrement, rendant les données inaccessibles à des personnes non autorisées ;
- Des mesures ultérieures ont permis de supprimer le risque élevé pour les personnes concernées ;
- La communication exigerait des efforts disproportionnés. Dans ce cas, une communication publique ou équivalente est mise en place.
Si la personne concernée n’a pas été informée, l’autorité de contrôle peut exiger cette communication après avoir évalué le risque, ou décider qu’une des exceptions s’applique.
📋 Check-list RGPD : Êtes-vous prêt à notifier un incident de données ?
L’essentiel à retenir sur l’article 34 du RGPD
Une fuite de données personnelles ? Un piratage ? Un email envoyé au mauvais destinataire ?
En tant que DPO, responsable de traitement ou dirigeant, vous avez l’obligation, dans certains cas, de prévenir directement les personnes concernées. Ce n’est pas une simple formalité, c’est une exigence légale encadrée par l’article 34 du RGPD.
Et mal gérée, cette obligation peut vous coûter cher… en image, en confiance client, et en sanctions.
Alors quand devez-vous notifier ? À qui ? Comment ? Et surtout : comment bien le faire sans paniquer ?
L’article 34 RGPD oblige le responsable de traitement à communiquer à la personne concernée toute violation de données à caractère personnel lorsqu’elle est susceptible d’engendrer un risque élevé pour ses droits et libertés.
Ce que ça signifie pour vous :
- Il ne s’agit pas de notifier chaque incident informatique.
- Mais si une fuite de données peut causer du tort réel (arnaque, fraude, harcèlement, vol d’identité), vous devez informer la personne concernée sans délai.
Quand faut-il notifier la personne concernée ?
➤ Dès que le risque est qualifié de « élevé » pour la personne.
✅ Violations typiques qui nécessitent notification :
- Base de données clients compromise
- Fuite de données médicales ou fiscales
- Envoi d’un document RH à la mauvaise adresse
- Intrusion dans un compte utilisateur
Ces cas peuvent avoir un impact concret sur la vie des personnes concernées → vous devez notifier.
❌ Violations sans notification obligatoire :
- Données chiffrées illisibles volées
- Données inaccessibles à l’agresseur
- Incident sans conséquence réelle et sous contrôle immédiat
⚠️ Mais : chaque cas doit être évalué, consigné, et justifié.
Article 33 vs Article 34 : Ne vous trompez pas de destinataire
| Critère | Article 33 RGPD | Article 34 RGPD |
|---|---|---|
| Destinataire | CNIL | Personnes concernées |
| Délai | 72h après détection | Immédiatement après l’évaluation du risque |
| Notif obligatoire ? | Toujours | Seulement si risque élevé |
| But | Alerte aux autorités | Protection directe des personnes |
Double réflexe :
- Vous informez la CNIL ? ✔
- Vous évaluez s’il faut aussi informer les personnes ? ✔
Comment bien notifier une personne concernée ? Ce que le RGPD attend
Votre message doit :
- être simple, direct, sans détour
- contenir les éléments clés pour que la personne puisse comprendre et agir
Contenu minimum à inclure :
- 🧠 Nature de la violation (ex : piratage, accès non autorisé)
- 👤 Données concernées
- ⚠️ Risques potentiels
- 🛠️ Mesures prises pour limiter l’impact
- 👉 Recommandations concrètes pour la personne (changer mot de passe, vigilance emails, etc.)
Modèle de notification RGPD – À adapter à votre situation
Objet : Alerte sécurité – vos données personnelles potentiellement concernées
Madame, Monsieur,
Le [date], nous avons détecté un incident de sécurité impliquant l’accès non autorisé à certaines de vos données personnelles (nom, email, historique de commandes). Cet incident pourrait engendrer un risque pour vos droits.
Nous avons immédiatement sécurisé les accès et ouvert une enquête technique.
Par précaution, nous vous recommandons de :
- Modifier votre mot de passe
- Faire preuve de vigilance face aux emails suspects
Vous pouvez nous contacter à [email DPO] pour toute précision.
Nous restons pleinement mobilisés à vos côtés.
Cordialement,
[Nom – DPO ou Responsable RGPD]
[Nom de l’entreprise]
Anticipez : intégrez la notification RGPD à votre plan de crise
Trop souvent, la notification RGPD est perçue comme une simple obligation légale. En réalité, c’est un levier stratégique de gestion de crise. Si vous êtes DPO ou responsable de traitement, vous devez intégrer cette étape dans votre business continuity plan.
Étapes à inclure :
- Cartographiez les types de données les plus sensibles de votre entreprise
- Déterminez à l’avance le seuil de “risque élevé” propre à vos activités (données de santé ? mineurs ? professionnels ?)
- Élaborez une arborescence décisionnelle claire : qui décide ? qui rédige ? qui envoie ?
- Préparez plusieurs templates de notification adaptés aux canaux : email, courrier, SMS, interface client
- Répétez avec vos équipes : jeux de rôles ou simulations RGPD à l’appui
Résultat : si une violation survient, vous gagnez 48h de réactivité — ce qui peut faire toute la différence.
Étude de cas concrète : ce qui se passe en entreprise
Contexte : Une PME de e-commerce découvre qu’un prestataire a eu accès à une base client contenant des adresses, commandes et numéros de téléphone, sans autorisation formelle.
Ce qu’ils ont fait (et bien fait) :
- Évaluation rapide du risque → présence de données personnelles non sensibles, mais mal sécurisées.
- Notification immédiate à la CNIL (article 33) dans les 72h.
- Analyse du risque pour les personnes concernées → pas de données financières ni sensibles, mais possibilité de démarchage non sollicité.
- Notification ciblée à 240 clients affectés via email personnalisé (article 34), avec conseils simples de vigilance.
Résultat :
- Aucun retour négatif
- Capital confiance renforcé auprès des clients
💡 Ce cas montre que la notification n’est pas un aveu de faiblesse, c’est un levier de confiance et de maîtrise du risque.
FAQ – Les questions fréquentes
Comment transformer une notification RGPD en levier de confiance client ?
En adoptant une posture de transparence proactive :
- Informez vite, clairement, sans détour
- Montrez que vous maîtrisez la situation et que des actions concrètes sont engagées
- Ouvrez un canal de dialogue : mail direct au DPO, numéro dédié, interface client
Résultat : vous passez de “faute” à “fiabilité”, et vous renforcez votre image de marque.
Faut-il notifier si la violation concerne un sous-traitant ?
Oui, si le risque élevé est réel pour les personnes concernées, même si le traitement est délégué.
Vous êtes responsable du traitement, donc vous restez responsable de la notification.
➡️ Pensez à intégrer une clause de coopération RGPD explicite dans tous vos contrats avec des sous-traitants.
Peut-on pré-écrire les notifications RGPD avant qu’un incident n’arrive ?
Oui, et c’est une pratique recommandée dans toute stratégie RGPD sérieuse.
Préparez des templates adaptés à différents scénarios :
- Fuite par phishing
- Perte de matériel
- Mauvais destinataire
En les adaptant en 5 minutes le jour J, vous gagnez en vitesse, en clarté, et en sérénité.
Comment gérer la notification si l’incident touche plusieurs pays de l’UE ?
Coordonnez-vous avec le guichet unique RGPD (autorité chef de file) et assurez-vous que votre notification est linguistiquement et culturellement adaptée.
Un email mal traduit ou perçu comme impersonnel dans un pays peut aggraver la crise.
🔍 Conseil : faites valider vos modèles multilingues par des juristes ou des DPO locaux.
Existe-t-il un indicateur-clé pour savoir si la notification RGPD a été bien reçue ?
Oui : le taux de réactivité des personnes concernées (changements de mot de passe, demandes d’info, retour email).
Un silence total peut indiquer que le message n’a pas été compris, lu, ou pris au sérieux.
Mettez en place un suivi post-notification pour ajuster votre communication si besoin.
