RGPD Article 34 : communiquer une violation aux personnes concernées (2026)

RGPD Article 34 : communiquer une violation aux personnes concernées

L'article 34 du RGPD impose au responsable du traitement de communiquer une violation de données aux personnes concernées — dans les meilleurs délais — lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Il s'agit délibérément d'un seuil plus élevé que l'obligation de notifier l'autorité de contrôle au titre de l'article 33 : de nombreuses violations devant être signalées à un régulateur n'ont jamais à être communiquées aux personnes elles-mêmes.

Annoncer à des clients que leurs données ont été exposées est le moment où une violation cesse d'être un incident interne pour devenir un événement public, réputationnel et juridique. L'article 34 régit précisément quand ce moment est juridiquement requis, ce que vous devez dire — et tout aussi important — les trois situations dans lesquelles vous êtes exempté.

Points clés à retenir

• Le déclencheur est un « risque élevé » pour les personnes — une barre plus haute que le seuil de « risque » qui déclenche la notification au titre de l'article 33.
• Le délai est « dans les meilleurs délais », et non 72 heures fixes. En pratique, les régulateurs attendent une communication prompte une fois le risque élevé établi.
• Le message doit être en termes clairs et simples et comporter trois éléments obligatoires.
• Trois exceptions s'appliquent (article 34(3)) : chiffrement efficace, mesures ultérieures atténuant le risque, ou efforts disproportionnés (permettant une communication publique).
• L'autorité de contrôle peut imposer la communication (article 34(4)) même si vous avez conclu qu'elle n'était pas requise.
• L'absence de communication est sanctionnable au titre de l'article 83(4) — jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial.

Aller à :

• Ce qu'exige l'article 34
• Risque élevé vs risque : article 34 vs article 33
• Le contenu de la communication
• Délai : « dans les meilleurs délais »
• Les trois exceptions
• Quand l'autorité peut vous contraindre
• Amendes et application
• La position du Royaume-Uni et de la Norvège
• Mettre en œuvre l'article 34

---

Ce qu'exige l'article 34

L'article 34(1) du Règlement (UE) 2016/679 énonce l'obligation directement :

« Lorsque la violation de données à caractère personnel est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique, le responsable du traitement communique la violation … à la personne concernée dans les meilleurs délais. »

L'obligation est due aux personnes concernées — les individus dont les données ont été violées — et non à un régulateur. C'est le mécanisme de transparence du RGPD dans sa forme la plus aiguë : les personnes ont le droit de savoir lorsqu'une violation les expose à un préjudice réel, afin de pouvoir prendre des mesures de protection — changer leurs mots de passe, surveiller la fraude, faire opposition sur une carte.

Une violation est « susceptible d'engendrer un risque élevé » lorsqu'elle peut avoir des conséquences néfastes importantes — par exemple discrimination, usurpation d'identité ou fraude, perte financière, atteinte à la réputation, perte de confidentialité ou tout autre désavantage économique ou social significatif. Les lignes directrices 9/2022 du CEPD et leurs exemples considèrent le risque d'usurpation d'identité comme un indicateur particulièrement fort.

---

Risque élevé vs risque : article 34 vs article 33

Le point le plus mal compris de la notification des violations est que les articles 33 et 34 utilisent deux seuils différents et produisent deux décisions distinctes.

Dimension	Article 33 — notifier l'autorité	Article 34 — informer les personnes
Seuil	Susceptible d'engendrer un risque	Susceptible d'engendrer un risque élevé
Destinataire	Autorité de contrôle compétente	Personnes concernées
Délai	72 heures après prise de connaissance	Dans les meilleurs délais
Exceptions	En deçà du seuil de risque	Trois exceptions précises (art. 34(3))
Catégorie d'amende	Jusqu'à 10 M€ / 2 % (art. 83(4))	Jusqu'à 10 M€ / 2 % (art. 83(4))

Une violation peut exiger une notification à l'autorité (article 33) sans exiger une communication aux personnes (article 34). Une violation qui déclenche l'article 34 déclenchera presque toujours aussi l'article 33. L'évaluation des risques du responsable — idéalement réalisée dans la même fenêtre de 72 heures — doit répondre aux deux questions et documenter le raisonnement dans les deux cas au titre de l'article 33(5).

---

Le contenu de la communication

L'article 34(2) exige que la communication décrive, en des termes clairs et simples, la nature de la violation et comporte au moins les mêmes éléments de fond que la notification à l'autorité, sans le détail technique de catégorisation :

Élément	À inclure
Point de contact	Nom et coordonnées du délégué à la protection des données ou d'un autre point de contact
Conséquences probables	Description des conséquences probables de la violation
Mesures prises	Description des mesures prises ou proposées pour remédier à la violation et en atténuer les effets

« Termes clairs et simples » est une exigence de fond, non une préférence stylistique. La communication s'adresse à des personnes ordinaires, non à des juristes — le jargon, les circonlocutions ou l'enfouissement de l'essentiel peuvent eux-mêmes constituer un manquement. La bonne pratique consiste à dire d'abord ce qui s'est passé, quelles données sont concernées et quelles mesures concrètes la personne doit prendre maintenant.

---

Délai : « dans les meilleurs délais »

Contrairement à l'article 33, l'article 34 ne fixe aucun délai chiffré — la norme est « dans les meilleurs délais ». Ce n'est pas un permis d'attendre. Une fois le seuil de risque élevé établi, le compteur du « retard indu » tourne, et les régulateurs attendent une communication prompte. Le considérant 86 indique que la communication devrait intervenir dès que cela est raisonnablement possible, en coopération étroite avec l'autorité de contrôle et selon ses orientations.

En pratique, les responsables coordonnent souvent le moment de la communication au titre de l'article 34 avec l'autorité de contrôle ayant reçu la notification au titre de l'article 33, notamment lorsque les forces de l'ordre demandent un bref report pour ne pas compromettre une enquête.

---

Les trois exceptions (article 34(3))

L'article 34(3) énumère trois circonstances dans lesquelles la communication aux personnes concernées n'est pas requise :

Exception	Signification
Mesures de protection efficaces	Le responsable avait mis en œuvre des mesures techniques et organisationnelles appropriées — en particulier le chiffrement — rendant les données inintelligibles à toute personne non autorisée. Si les données violées sont fortement chiffrées et les clés non compromises, le risque élevé pour les personnes disparaît.
Mesures ultérieures d'atténuation	Le responsable a pris des mesures ultérieures garantissant que le risque élevé n'est plus susceptible de se matérialiser — par exemple la désactivation immédiate d'identifiants compromis ou l'effacement à distance d'un appareil perdu avant tout accès.
Efforts disproportionnés	La communication individuelle exigerait des efforts disproportionnés. Dans ce cas, le responsable doit procéder à une communication publique ou à une mesure similaire informant les personnes concernées de manière tout aussi efficace.

Le chiffrement est en pratique la plus importante des trois : c'est le moyen le plus fiable de faire passer une violation sous le seuil de l'article 34, d'où l'importance considérable du fait que « les données violées étaient chiffrées au repos ». C'est le bénéfice direct de solides mesures de sécurité de l'article 32.

---

Quand l'autorité peut vous contraindre (article 34(4))

Même si un responsable conclut que la communication n'est pas requise, l'article 34(4) donne à l'autorité de contrôle le pouvoir de passer outre ce jugement :

« Si le responsable du traitement n'a pas déjà communiqué … la violation … à la personne concernée, l'autorité de contrôle peut … exiger du responsable qu'il procède à cette communication ou décider que [l'une des exceptions] est remplie. »

Autrement dit, l'évaluation des risques du responsable n'est pas le dernier mot. Un régulateur en désaccord avec votre conclusion — que le risque était sous le seuil de risque élevé, ou qu'une exception s'appliquait — peut ordonner la communication. Une raison de poids pour documenter l'évaluation de l'article 34 aussi rigoureusement que la notification elle-même : si l'autorité conteste ultérieurement votre décision de ne pas communiquer, votre raisonnement contemporain constitue votre défense.

---

Amendes et application

Les violations de l'article 34 relèvent de la catégorie inférieure d'amendes (article 83(4)) : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total. Comme pour l'article 33, une absence de communication peut aussi étayer un constat de manquement à la responsabilité (article 5(2)), qui relève de la catégorie supérieure (jusqu'à 20 M€ / 4 %).

Les exemples d'application associent de plus en plus les articles 33 et 34 :

• Pologne (2025) : l'autorité de contrôle polonaise a infligé à l'hôpital de district de Września 6 800 euros pour infraction aux articles 33 et 34, et au Parquet national 19 800 euros pour infraction aux articles 6, 33 et 34 (actualités nationales du CEPD).
• Des amendes très médiatisées comme celles contre British Airways (20 millions £, ICO) et Marriott (18,4 millions £, ICO) soulignent comment les violations touchant des millions de personnes attirent l'attention sur toute la chaîne de notification — de la sécurité (article 32) à la communication (article 34).
• Volume : les notifications dans l'EEE atteignant désormais 443 par jour en moyenne (DLA Piper, janvier 2026), la proportion qui escalade vers une communication aux personnes est un signal clé que surveillent les autorités.

---

La position du Royaume-Uni et de la Norvège

Comme l'article 33, l'obligation de communiquer les violations aux personnes est une norme paneuropéenne, et non une particularité de l'UE des 27.

Royaume-Uni. Le UK GDPR conserve l'article 34 sur le fond : lorsqu'une violation est susceptible d'engendrer un risque élevé, le responsable doit informer les personnes dans les meilleurs délais, l'ICO fournissant orientations et supervision. Le Data (Use and Access) Act 2025 (sanction royale le 19 juin 2025) n'a pas affaibli cette obligation, et la Commission européenne a lancé le renouvellement de la décision d'adéquation du Royaume-Uni après examen des réformes — les flux de données UE-RU se poursuivent et les attentes en matière de gestion des violations restent alignées. Les amendes de l'ICO contre British Airways et Marriott illustrent à quel point l'application britannique suit de près la logique de l'UE.

Norvège et EEE. La Norvège applique le RGPD via l'accord EEE (en vigueur depuis juillet 2018), de sorte que l'article 34 lie les responsables norvégiens en termes identiques, sous la supervision du Datatilsynet. Lorsqu'une violation est susceptible d'engendrer un risque élevé, les personnes concernées en Norvège doivent être informées dans les meilleurs délais — même seuil, mêmes exigences de contenu, mêmes exceptions. Pour les organisations actives dans l'UE, l'EEE et le Royaume-Uni, la conclusion pratique est de concevoir un seul playbook de communication au standard du risque élevé, pas trois.

---

Mettre en œuvre l'article 34 dans un Trust Center

L'article 34 est le moment le plus sensible sur le plan réputationnel du cycle de vie d'une violation, et il est quasi impossible à bien gérer en improvisant. Trois éléments de préparation font la différence :

1. Un cadre de décision « risque élevé » reliant les types de violation aux indicateurs de risque du CEPD (usurpation d'identité, perte financière, catégories particulières de données), pour que la détermination du risque élevé soit cohérente et défendable — et résiste à une contestation au titre de l'article 34(4).
2. Un modèle de communication pré-approuvé, en langage clair, contenant les trois éléments obligatoires, prêt à compléter, pour ne pas rédiger un texte destiné aux clients sous pression juridique et temporelle.
3. Un inventaire de l'état de chiffrement, car le fait de savoir si les données violées ont été rendues inintelligibles (la première exception de l'article 34(3)) décide souvent si vous devez communiquer.

C'est là que la communication des violations rejoint la posture de confiance globale. La même surveillance continue qui atteste vos contrôles de sécurité vous indique aussi, au moment d'une violation, quels magasins de données ont été touchés et s'ils étaient chiffrés — l'élément d'entrée de votre décision au titre de l'article 34. La plateforme Trust Center d'Orbiq garde cette preuve à jour et prête pour l'audit, et pour les équipes juridiques et les DPO qui pilotent la décision de communication, notre guide sur le Trust Center pour les équipes juridiques montre comment garder registre, évaluation des risques et flux en un lieu défendable.

Lu aux côtés de son pendant, l'article 33 sur la règle des 72 heures, l'article 34 complète le tableau de la réponse aux violations du RGPD : notifier le régulateur en cas de risque, informer les personnes en cas de risque élevé, et documenter le raisonnement pour les deux — à chaque fois.

---

Sources et références

1. Règlement (UE) 2016/679 (RGPD) — Texte intégral — Journal officiel de l'Union européenne.
2. gdpr-info.eu — Article 34 (communication à la personne concernée) — Texte de l'article et considérants.
3. gdpr-info.eu — Article 33 (notification à l'autorité de contrôle) — Obligation de notification associée.
4. Lignes directrices 9/2022 du CEPD sur la notification des violations de données (version 2.0) — Évaluation des risques, exemples de risque élevé et orientations de communication.
5. DLA Piper GDPR Fines and Data Breach Survey : janvier 2026 — 443 notifications par jour dans l'EEE, soit +22 %.
6. Autorité polonaise : amende de 6 800 euros (articles 33 et 34) — Actualités nationales du CEPD, 2025.
7. Autorité polonaise : amende de 19 800 euros (articles 6, 33 et 34) — Actualités nationales du CEPD, 2025.
8. ICO — Personal data breaches: a guide — Communication aux personnes (UK GDPR).
9. Data (Use and Access) Act 2025 — aperçu de la réforme britannique — Norton Rose Fulbright.
10. Datatilsynet — autorité norvégienne de protection des données — Orientations sur la notification des violations (Norvège / EEE).

---

Lectures complémentaires

• RGPD Article 33 : la règle de notification sous 72 heures
• Conformité RGPD : guide complet pour 2026 (articles 28, 32, 33, 34)
• Gestion des sous-traitants au titre du RGPD Article 28
• Trust Center pour les équipes juridiques
• Surveillance continue