RGPD Article 33 : la règle de notification sous 72 heures (Guide 2026)

RGPD Article 33 : la règle de notification sous 72 heures

L'article 33 du RGPD impose au responsable du traitement de notifier à l'autorité de contrôle compétente une violation de données à caractère personnel dans les meilleurs délais et, si possible, dans les 72 heures après en avoir pris connaissance — à moins que la violation ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Le délai de 72 heures débute à la prise de connaissance, et non à la fin de votre enquête. Le dépassement du délai constitue une infraction distincte et sanctionnable.

Le nombre moyen de notifications quotidiennes dans l'EEE a fortement augmenté en 2025 pour atteindre 443 par jour, soit une hausse de 22 %, selon le DLA Piper GDPR Fines and Data Breach Survey : janvier 2026. Pour la plupart des entreprises B2B, la difficulté de l'article 33 ne réside pas dans la connaissance de la règle — mais dans le déclenchement correct du délai et la constitution d'une notification défendable alors que l'incident est encore en cours.

Points clés à retenir

• Le délai est de 72 heures à compter de la prise de connaissance, et non de la survenance de la violation ni de la fin de la forensique.
• La « prise de connaissance » est un déclencheur défini. Selon les lignes directrices 9/2022 du CEPD, elle commence dès qu'il existe un degré raisonnable de certitude que des données personnelles ont été compromises.
• Toutes les violations ne sont pas notifiables. Vous notifiez uniquement lorsqu'un risque est probable — mais vous devez toujours documenter en interne.
• La notification peut être échelonnée (article 33(4)) lorsque tous les faits ne sont pas établis sous 72 heures.
• Les sous-traitants doivent alerter les responsables dans les meilleurs délais (article 33(2)) afin que ceux-ci puissent respecter leur délai.
• L'absence de notification est sanctionnable de façon autonome — jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial au titre de l'article 83(4).

Aller à :

• Ce qu'exige l'article 33
• Quand le délai de 72 heures commence
• Le contenu de la notification
• La notification par phases
• L'obligation du sous-traitant
• La documentation interne
• Quand vous n'avez pas à notifier
• Amendes et application
• La position du Royaume-Uni et de la Norvège
• Mettre en œuvre l'article 33

---

Ce qu'exige l'article 33

L'article 33(1) du Règlement (UE) 2016/679 énonce l'obligation centrale en une phrase :

« En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation … à l'autorité de contrôle compétente … dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation … ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. »

Trois éléments commandent tout le reste. D'abord, le déclencheur est la prise de connaissance. Ensuite, le délai est de 72 heures, nuancé par « si possible » et dominé par la norme « dans les meilleurs délais ». Enfin, le seuil est un risque probable pour les personnes — en deçà, aucune notification à l'autorité n'est due.

Une « violation de données à caractère personnel » est définie largement à l'article 4(12) : une violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données. Cela inclut les rançongiciels (perte de disponibilité), un courriel mal adressé (divulgation non autorisée) et un ordinateur portable perdu (risque d'accès non autorisé) — pas seulement les attaques externes délibérées.

---

Quand le délai de 72 heures commence

C'est là que la plupart des organisations se trompent. Les 72 heures ne commencent ni à la survenance de l'incident, ni à la conclusion de l'enquête. Elles commencent à la prise de connaissance.

Les lignes directrices 9/2022 du CEPD définissent la prise de connaissance comme le moment où le responsable dispose d'« un degré raisonnable de certitude qu'un incident de sécurité s'est produit et a conduit à la compromission de données personnelles ». La certitude forensique complète n'est pas requise — une conviction raisonnable suffit.

En pratique :

• Une alerte SIEM ou de détection d'intrusion automatisée ne déclenche pas le délai à elle seule — mais seulement si personne n'y donne suite. Les organisations doivent disposer de procédures permettant un traitement rapide des alertes. Vous ne pouvez pas retarder la prise de connaissance en ignorant votre propre supervision.
• Le délai commence lorsqu'une personne responsable examine un signal crédible et conclut qu'une violation s'est probablement produite.
• Une courte phase, proportionnée, pour confirmer la réalité d'une violation est admise — mais elle ne doit pas être une manœuvre dilatoire.

Conséquence pratique : votre processus de réponse aux incidents doit comporter un moment clair et journalisé « nous estimons désormais que des données personnelles sont concernées », car c'est cet horodatage qu'une autorité de contrôle examinera. La même discipline sous-tend le délai d'alerte précoce de 24 heures de NIS2, que de nombreuses entreprises doivent respecter en parallèle.

---

Le contenu de la notification

L'article 33(3) précise le contenu minimal de la notification à l'autorité de contrôle :

Élément	À inclure
Nature de la violation	Description de la nature de la violation, y compris, si possible, les catégories et le nombre approximatif de personnes et d'enregistrements concernés
Point de contact	Nom et coordonnées du délégué à la protection des données ou d'un autre point de contact
Conséquences probables	Description des conséquences probables de la violation
Mesures prises	Description des mesures prises ou proposées pour remédier à la violation et en atténuer les effets

La plupart des autorités de l'UE et de l'EEE proposent un formulaire en ligne reprenant ces quatre rubriques. Les informations réellement disponibles dans les 72 heures sont rarement complètes — c'est précisément pourquoi l'article 33 prévoit une notification échelonnée.

---

La notification par phases (article 33(4))

L'article 33(4) est la soupape qui rend la règle des 72 heures praticable :

« Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, ces informations peuvent être communiquées de manière échelonnée sans autre retard indu. »

Le CEPD confirme que la notification « ne doit pas être différée jusqu'à ce que le risque et l'impact de la violation aient été pleinement évalués ». L'évaluation complète du risque peut se dérouler en parallèle de la notification, les nouvelles informations étant fournies par phases. Cela vaut surtout pour les incidents cyber complexes nécessitant une forensique approfondie.

La marche à suivre : déposez une notification initiale sous 72 heures avec ce que vous savez — même si cela se résume à « nous avons connaissance d'un accès non autorisé affectant environ X enregistrements ; enquête en cours » — et complétez-la à mesure que les faits se précisent. L'article 33(1) exige de motiver tout retard au-delà de 72 heures ; la notification par phases supprime le choix entre rapidité et exactitude.

---

L'obligation du sous-traitant (article 33(2))

L'article 33(2) fait peser sur le sous-traitant une obligation d'assistance envers le responsable :

« Le sous-traitant notifie au responsable du traitement toute violation … dans les meilleurs délais après en avoir pris connaissance. »

Le RGPD ne fixe aucun délai chiffré pour la notification du sous-traitant au responsable — mais les lignes directrices 9/2022 du CEPD recommandent de viser les 72 heures à compter de sa propre prise de connaissance, car le délai du responsable ne peut courir qu'une fois celui-ci informé. Pour les entreprises SaaS B2B agissant comme sous-traitants, c'est aussi un point contractuel : vos contrats de sous-traitance au titre de l'article 28 prévoient généralement une fenêtre plus courte (souvent 24 à 48 heures), afin que le responsable ait le temps de respecter sa propre obligation.

---

La documentation interne (article 33(5))

Même lorsqu'une violation n'est pas notifiable, l'article 33(5) impose une obligation de tenue de registre :

« Le responsable du traitement documente toute violation de données … en indiquant les faits concernant la violation, ses effets et les mesures prises pour y remédier. »

Ce registre interne des violations doit permettre à l'autorité de contrôle de vérifier la conformité. Le principe de responsabilité (article 5(2)) le rend incontournable : si vous concluez qu'une violation se situait sous le seuil de notification, il vous faut une justification documentée et défendable du pourquoi. Une évaluation des risques impossible à reconstituer après coup est, aux fins de l'application, une évaluation qui n'a jamais eu lieu.

---

Quand vous n'avez pas à notifier

Le seuil de l'article 33(1) est « non susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ». Cette appréciation relève du responsable, s'effectue dans la fenêtre de 72 heures et commande deux décisions distinctes :

1. Notifier l'autorité de contrôle ? Requis lorsque la violation est susceptible d'engendrer un risque (article 33).
2. Notifier les personnes concernées ? Requis uniquement lorsque la violation est susceptible d'engendrer un risque élevé — le seuil supérieur de l'article 34.

Les deux seuils sont volontairement différents. De nombreuses violations franchissent le seuil de l'article 33 (notifier l'autorité) sans franchir celui de l'article 34 (notifier les personnes). Les exemples du CEPD considèrent le risque d'usurpation d'identité, de perte financière et d'exposition de catégories particulières de données comme de forts indicateurs de risque élevé. Le chiffrement rendant les données inintelligibles à un attaquant est un facteur atténuant déterminant.

---

Amendes et application

Les violations de l'article 33 relèvent de la catégorie inférieure d'amendes prévue à l'article 83(4) : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu. Point essentiel : l'absence de notification est traitée comme une infraction autonome — vous pouvez être sanctionné pour la notification tardive ou manquante indépendamment de toute amende pour le défaut de sécurité sous-jacent au titre de l'article 32. Elle peut aussi alimenter un constat de manquement à la responsabilité (article 5(2)), qui relève de la catégorie supérieure.

L'application visant spécifiquement les défauts de notification est réelle et croissante :

• Pologne (2025) : l'autorité de contrôle polonaise a infligé à l'hôpital de district de Września 6 800 euros pour infraction aux articles 33 et 34, et au Parquet national 19 800 euros pour infraction aux articles 6, 33 et 34 (actualités nationales du CEPD).
• Norvège : le Datatilsynet a infligé à une société américaine 2,5 millions de NOK spécifiquement pour défaut de notification sous 72 heures, confirmant que le délai court dès la prise de connaissance — et non lorsque l'entreprise dispose d'une vue complète (DLA Piper Norvège).
• Volume : l'Allemagne et la Pologne restent parmi les États membres les plus notifiants, et les notifications dans l'EEE atteignent désormais 443 par jour en moyenne (DLA Piper, janvier 2026).

Le signal des régulateurs est constant : une notification propre et dans les délais est traitée comme une circonstance atténuante (article 83(2)), la dissimulation ou le retard comme une circonstance aggravante.

---

La position du Royaume-Uni et de la Norvège

L'article 33 est une obligation européenne, pas seulement propre à l'UE des 27 — et la mécanique de notification est remarquablement homogène dans l'ensemble du paysage européen de la conformité.

Royaume-Uni. Le UK GDPR (maintenu et modifié via le Data Protection Act 2018) conserve le même délai de 72 heures, avec notification à l'Information Commissioner's Office (ICO) plutôt qu'à une autorité de l'UE. Le Data (Use and Access) Act 2025, qui a reçu la sanction royale le 19 juin 2025, n'a pas assoupli le délai du RGPD — et, à partir du 20 août 2025, a même aligné la fenêtre de notification PECR distincte des opérateurs télécoms de 24 heures vers les mêmes 72 heures. La Commission européenne a conclu son examen et lancé le renouvellement de la décision d'adéquation du Royaume-Uni, de sorte que les flux de données UE-RU se poursuivent sans interruption. L'historique d'application de l'ICO comprend les amendes contre British Airways (20 millions £) et Marriott (18,4 millions £).

Norvège et EEE. La Norvège n'est pas membre de l'UE mais applique le RGPD via l'accord EEE (applicable en Norvège depuis juillet 2018). Les responsables notifient les violations au Datatilsynet, l'autorité norvégienne de protection des données, dans la même fenêtre de 72 heures. Comme le montre l'action d'application ci-dessus, le Datatilsynet interprète strictement le déclencheur de la prise de connaissance. Les organisations actives dans l'UE, l'EEE et le Royaume-Uni devraient retenir 72 heures comme base de planification unique — le délai ne s'allonge pas en franchissant une frontière.

---

Mettre en œuvre l'article 33 dans un Trust Center

Connaître la règle est la partie facile. La respecter sous pression — à 2 heures du matin, en pleine crise, avec des faits incomplets — exige que le flux de travail existe avant la violation. Trois capacités transforment l'article 33 d'une course effrénée en un processus :

1. Un modèle de notification pré-rédigé aligné sur les quatre rubriques de l'article 33(3), pour que le dépôt initial soit un remplissage, non une rédaction.
2. Un horodatage journalisé de la prise de connaissance et une piste décisionnelle, pour démontrer quand vous avez eu connaissance et pourquoi vous avez évalué le risque ainsi — le cœur d'un dossier au titre de l'article 33(5).
3. Une chaîne d'alerte des sous-traitants assortie de délais contractuels, pour que votre délai démarre au plus tôt lorsqu'un sous-traitant ultérieur est à l'origine de la violation.

C'est là que la préparation aux violations rejoint la surveillance continue : la preuve même qui démontre que vos mesures de sécurité de l'article 32 étaient appropriées est celle qu'une autorité de contrôle réclamera après une violation. La plateforme Trust Center d'Orbiq conserve cette preuve — mesures de sécurité, listes de sous-traitants ultérieurs, contrats de sous-traitance et documentation de réponse — en un lieu toujours à jour, de sorte que votre récit des « mesures prises » est prêt avant que vous n'en ayez besoin. Pour les équipes juridiques et les DPO qui pilotent la décision de notification, notre guide sur le Trust Center pour les équipes juridiques explique comment garder le registre et le flux auditables.

L'article 33 récompense les organisations qui ont accompli ce travail ingrat en amont. Le délai de 72 heures est impitoyable — mais tout à fait tenable lorsque prise de connaissance, évaluation et notification forment une séquence répétée plutôt qu'une improvisation.

---

Sources et références

1. Règlement (UE) 2016/679 (RGPD) — Texte intégral — Journal officiel de l'Union européenne.
2. gdpr-info.eu — Article 33 (notification à l'autorité de contrôle) — Texte de l'article et considérants.
3. Lignes directrices 9/2022 du CEPD sur la notification des violations de données (version 2.0) — Interprétation de la « prise de connaissance », de la notification par phases et de l'évaluation des risques.
4. DLA Piper GDPR Fines and Data Breach Survey : janvier 2026 — 443 notifications par jour dans l'EEE, soit +22 %.
5. Autorité polonaise : amende de 19 800 euros pour défaut de notification — Actualités nationales du CEPD, 2025.
6. Autorité polonaise : amende de 6 800 euros (hôpital de district de Września) — Actualités nationales du CEPD, 2025.
7. Norvège : amende de 2,5 millions de NOK pour défaut de notification sous 72 heures — DLA Piper Norvège, Datatilsynet.
8. ICO — Personal data breaches: a guide — Notification sous 72 heures (UK GDPR).
9. Data (Use and Access) Act 2025 — aperçu de la réforme britannique — Norton Rose Fulbright.
10. Datatilsynet — autorité norvégienne de protection des données — Orientations sur la notification des violations (Norvège / EEE).

---

Lectures complémentaires

• Conformité RGPD : guide complet pour 2026 (articles 28, 32, 33, 34)
• RGPD Article 34 : communiquer une violation aux personnes concernées
• Gestion des sous-traitants au titre du RGPD Article 28
• NIS2 : la notification d'incident sous 24 heures
• Surveillance continue