Loading…
Une violation de données à caractère personnel déclenche un compte à rebours réglementaire qui ne s'arrête ni pour les week-ends, ni pour les jours fériés, ni pour la disponibilité des dirigeants. En vertu de l'article 33 du RGPD, vous disposez de 72 heures à compter de la prise de connaissance pour notifier l'autorité de contrôle. La règle 7 du DPDPA, la section 26B de la PDPA et la Résolution 15/2024 de la LGPD fixent des délais similaires.
Ce manuel décompose les 72 heures en cinq phases nommées — Détection, Confinement, Évaluation, Documentation, Déclaration — avec des livrables concrets à chaque jalon. Utilisez-le comme un runbook : lorsque tout est en feu, vous ne voulez pas être en train de rédiger le processus. Vous voulez l'exécuter.
L'article 33 dispose « au plus tard 72 heures après en avoir pris connaissance ». La prise de connaissance survient lorsque le responsable de traitement a un degré raisonnable de certitude qu'un incident de sécurité s'est produit et que des données à caractère personnel sont concernées. Ce n'est pas :
Les lignes directrices 9/2022 de l'EDPB sur la notification des violations de données à caractère personnel autorisent une courte période d'investigation pour parvenir à la prise de connaissance, mais cette période doit être brève — une question d'heures, pas de jours.
Objectif : Confirmer qu'un incident s'est produit, préserver les preuves forensiques, activer l'équipe de réponse.
Livrable à T+6h : Synthèse d'incident d'une page — ce qui s'est passé, quand, quels systèmes, quelles catégories de données sont susceptibles d'être concernées, quelles incertitudes connues subsistent.
Objectif : Stopper l'hémorragie, isoler les systèmes affectés et notifier les parties externes soumises à des délais.
Livrable à T+24h : Confirmation du confinement ; énoncé préliminaire du périmètre.
Objectif : Déterminer l'ampleur et le préjudice probable — c'est ce qui guide toutes les décisions en aval.
Livrable à T+48h : Évaluation du risque de préjudice ; matrice de décision de notification ; modèle de notification renseigné.
Objectif : Constituer le document que vous déclarerez, verrouiller le registre interne, informer les parties prenantes.
Livrable à T+72h : Notification prête à être déclarée ; registre interne complet.
Objectif : Notifier les régulateurs dans le délai légal et communiquer aux personnes concernées lorsque cela est requis.
Livrable à T+72h+ : Accusé de réception de la déclaration ; communications aux personnes concernées envoyées (ou décision documentée de ne pas communiquer) ; revue post-incident planifiée sous 14 jours.
| Régulateur | Délai légal | Seuil |
|---|---|---|
| Autorité de contrôle de l'UE (RGPD) | 72 heures à compter de la prise de connaissance (art. 33) | Sauf s'il est peu probable qu'elle engendre un risque pour les droits et libertés |
| ICO (UK GDPR) | 72 heures à compter de la prise de connaissance | Même seuil fondé sur le risque |
| CPPA / Procureur général de Californie (CCPA) | « Dans les meilleurs délais possibles » (Cal. Civ. Code §1798.82) | Une atteinte à plus de 500 résidents californiens déclenche la notification au procureur général |
| Data Protection Board of India (DPDPA) | Sans délai ; modalités précisées dans la règle 7 | Toutes les violations de données à caractère personnel |
| CERT-In (India IT Act 2022 Directions) | 6 heures à compter de la constatation | Catégories d'incidents désignées (rançongiciel, DDoS, défiguration, etc.) |
| PDPC (PDPA de Singapour) | 72 heures après que l'évaluation a confirmé une violation notifiable | Préjudice significatif OU 500+ personnes |
| ANPD (LGPD du Brésil) | 3 jours ouvrables à compter de la confirmation (Rés. 15/2024) | Risque ou dommage pertinent pour les personnes concernées |
| PPC (APPI du Japon) | Sans délai (généralement quelques jours, pas quelques semaines) | Fuite de données sensibles, perte financière, intention malveillante ou 1 000+ enregistrements |
La défaillance organisationnelle la plus fréquente est une responsabilité floue entre le DPO et le directeur juridique pour la déclaration effective au régulateur. Tranchez-la à l'avance — la plupart des équipes optent par défaut pour une rédaction par le DPO sous le secret professionnel du conseil, le DPO figurant comme contact désigné dans la déclaration elle-même.
L'article 34 du RGPD déclenche la communication aux personnes concernées lorsqu'il existe un risque élevé pour les droits et libertés. Le critère est plus exigeant que le seuil de notification à l'autorité de contrôle. Exemples justifiant une notification :
L'article 34(3) énumère trois exemptions à la communication directe : un chiffrement rendant les données inintelligibles pour les personnes non autorisées, des mesures éliminant le risque élevé, ou un effort disproportionné pouvant être remplacé par une communication publique.
Contenu de la notification (article 34(2)) : nature de la violation, nom et coordonnées du DPO, conséquences probables, mesures prises. En langage clair.
Non. L'article 33 s'exprime en heures, pas en jours ouvrables. Certains régulateurs (LGPD, PDPA de Singapour) définissent les délais en jours ouvrables ; vérifiez le régime spécifique.
L'article 33(1) autorise une notification ultérieure « accompagnée des motifs du retard ». Les autorités de contrôle l'acceptent mais l'examinent de près. Des retards récurrents constituent un déclencheur d'action répressive.
L'article 33(2) exige que le sous-traitant notifie le responsable de traitement « dans les meilleurs délais ». Votre DPA précise probablement un délai plus court (souvent 24 à 48 heures). La notification à l'autorité de contrôle relève de l'obligation du responsable de traitement, mais le sous-traitant doit lui fournir suffisamment d'informations et de temps pour respecter le délai de 72 heures.
Pour tout incident significatif, oui. Le conseil externe établit le secret professionnel sur les travaux d'investigation et réduit considérablement l'exposition à la divulgation lors de litiges ultérieurs. Une assurance bon marché.
Un exercice de simulation trimestriel avec un scénario réaliste fondé sur des injections, condensé en 90 minutes pour simuler la fenêtre de 72 heures. Mesurez le délai de prise de décision à chaque transition de phase. Utilisez le même ensemble de contenu prévu à l'Article 33(3) que celui que vous déposeriez réellement.
RegulatoryBridge assure la réponse aux violations 24×7 — commandant d'incident, dépôt auprès du régulateur, communication avec les personnes concernées — sous le secret professionnel. Activation en quelques minutes.