Violation de données : Définition juridique et Applications

Publié le par Aurore Bonavia Mis à jour le

La violation de données à caractère personnel désigne, au sens de l'article 4 paragraphe 12 du Règlement (UE) 2016/679 (RGPD), toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données ou l'accès non autorisé à de telles données.

La violation de données à caractère personnel désigne, au sens de l'article 4 paragraphe 12 du Règlement (UE) 2016/679 (RGPD), toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données ou l'accès non autorisé à de telles données. La définition couvre aussi bien les fuites massives consécutives à une cyberattaque que les incidents matériels les plus banals, comme la perte d'un ordinateur portable contenant un fichier client.

Cette qualification déclenche un dispositif d'obligations à délai très court qui constitue l'un des points de tension majeurs du RGPD pour les directions opérationnelles. Le responsable de traitement dispose de soixante-douze heures à compter de la connaissance de la violation pour notifier l'autorité de contrôle, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.

L'enjeu pratique de la qualification est central. Sous-estimer un incident expose à un manquement à l'obligation de notification, sanctionnable indépendamment du préjudice causé par la violation elle-même. À l'inverse, sur-notifier expose à des contrôles approfondis et à des charges documentaires lourdes pour des incidents qui pouvaient relever d'une gestion interne.

Vous faites face à une violation de données ? Le Cabinet Aurore Bonavia accompagne les organisations dans la qualification, la notification et la gestion des suites d'un incident de sécurité. → Voir l'accompagnement en droit du numérique

Les trois types de violation au sens du RGPD

L'EDPB, dans ses Lignes directrices 9/2022 sur la notification des violations, distingue trois catégories de violations selon l'atteinte caractérisée au triptyque sécurité confidentialité - intégrité - disponibilité :

  • la violation de confidentialité correspond à une divulgation ou un accès non autorisés à des données personnelles (vol de base de données, envoi d'email à de mauvais destinataires, accès non autorisé d'un salarié) ;
  • la violation d'intégrité correspond à une altération non autorisée des données (modification illicite d'un fichier, attaque par injection SQL modifiant les données, corruption accidentelle d'une base) ;
  • la violation de disponibilité correspond à une perte d'accès ou à une destruction des données (chiffrement par rançongiciel, suppression accidentelle, panne matérielle sans sauvegarde).

Une même attaque peut combiner plusieurs catégories. Un rançongiciel constitue typiquement une violation de disponibilité (les données sont chiffrées et inaccessibles) qui peut basculer en violation de confidentialité si l'attaquant exfiltre les données avant de les chiffrer (technique de double extorsion devenue standard depuis 2020).

L'obligation de notification à la CNIL dans les soixante-douze heures

L'article 33 paragraphe 1 du RGPD impose au responsable de traitement de notifier l'autorité de contrôle dans les meilleurs délais et au plus tard 72 heures après en avoir eu connaissance :

« En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification à l'autorité de contrôle n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard. »

La CNIL met à disposition un téléservice de notification accessible depuis son site institutionnel. Le formulaire impose la qualification de l'incident, la description des données concernées, l'identification des personnes touchées, l'évaluation des conséquences probables et le détail des mesures prises ou envisagées pour remédier à la violation.

Le sous-traitant qui constate une violation doit la notifier au responsable de traitement dans les meilleurs délais (article 33 paragraphe 2 du RGPD), sans qu'un délai chiffré ne soit imposé par le règlement. La pratique contractuelle introduit généralement des délais courts (24 à 48 heures) dans les clauses de sous-traitance article 28.

L'information des personnes concernées en cas de risque élevé

L'article 34 du RGPD impose au responsable de traitement de communiquer la violation aux personnes concernées dans les meilleurs délais lorsque celle-ci est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Cette obligation s'ajoute à la notification CNIL sans s'y substituer.

L'information des personnes doit être délivrée en des termes clairs et simples, décrire la nature de la violation, indiquer le nom et les coordonnées du DPO ou d'un autre point de contact, décrire les conséquences probables et préciser les mesures prises pour atténuer les effets négatifs. Trois exceptions permettent de se dispenser de cette communication individuelle :

  • les mesures de protection appropriées ont été appliquées aux données concernées avant la violation, notamment des mesures de chiffrement les rendant incompréhensibles à toute personne non autorisée ;
  • des mesures ultérieures ont été prises garantissant que le risque élevé pour les droits et libertés ne se matérialisera plus ;
  • la communication individuelle exigerait des efforts disproportionnés, auquel cas une communication publique générale doit être effectuée.

L'EDPB rappelle dans ses lignes directrices que la qualification de risque élevé s'apprécie en considérant la nature, le caractère sensible et le volume des données, la facilité d'identification des personnes, la gravité des conséquences (vol d'identité, fraude financière, atteinte à la réputation), ainsi que les caractéristiques particulières des personnes concernées (mineurs, personnes vulnérables, patients).

La documentation interne obligatoire de toute violation

L'article 33 paragraphe 5 du RGPD impose au responsable de traitement de documenter toute violation, y compris celles qui n'ont pas été notifiées à la CNIL faute de risque pour les personnes concernées. La documentation doit porter sur les faits, leurs effets et les mesures prises pour y remédier.

Cette obligation de documentation joue un rôle probatoire essentiel : en cas de contrôle ou de signalement par un tiers, l'organisation doit pouvoir démontrer pourquoi un incident n'a pas été notifié et justifier de la rigueur de son analyse de risque. La tenue d'un registre interne des violations constitue la pratique recommandée par la CNIL et les principales autorités européennes.

Le registre des violations recense typiquement la date de découverte, la date estimée de survenance, la nature de la violation (confidentialité, intégrité, disponibilité), les catégories de personnes et de données concernées, le nombre approximatif de personnes touchées, les conséquences probables, les mesures prises et la décision motivée de notification ou d'absence de notification.

Spécificité juridique sur les sanctions du défaut de notification

L'article 83 paragraphe 4 a) du RGPD inscrit le manquement aux obligations des articles 33 et 34 dans la première catégorie de sanctions administratives, dont le plafond atteint 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total. Au-delà du défaut de notification, la qualité substantielle de la mesure de sécurité défaillante peut être sanctionnée au titre de l'article 32 du RGPD (deuxième catégorie, plafond porté à 20 millions ou 4 %).

Plusieurs sanctions emblématiques de la CNIL et des homologues européens illustrent l'ampleur du contentieux. L'autorité italienne Garante a sanctionné Enel Energia à hauteur de 79 millions d'euros le 19 janvier 2023 pour des manquements aux obligations de sécurité ayant conduit à des violations de données massives. La CNIL française a prononcé en 2023 et 2024 plusieurs sanctions liées à des défaillances de mesures de sécurité (sanctions contre Cegedim Santé, contre Doctissimo Editions, contre divers acteurs du e-commerce).

L'autorité néerlandaise (Autoriteit Persoonsgegevens) a notamment sanctionné Booking.com BV le 10 décembre 2020 à hauteur de 475 000 € pour notification tardive d'une violation de données. Cette décision présente un intérêt jurisprudentiel particulier : l'autorité a reconnu que les investigations sur l'étendue d'une violation peuvent excéder le délai de 72 heures, ce qui autorise la mise en place de notifications phasées au titre de l'article 33 paragraphe 4 du RGPD (notification initiale immédiate, suivie de compléments au fur et à mesure de l'avancement des investigations). Cette pratique de notification progressive concilie l'urgence du règlement avec la complexité technique des incidents majeurs.

L'article 82 du RGPD ouvre par ailleurs un droit à indemnisation civile au profit des personnes physiques ayant subi un dommage matériel ou moral du fait d'une violation. La CJUE a précisé dans l'arrêt UI / Österreichische Post du 4 mai 2023 (C-300/21) que la simple violation du règlement ne suffit pas à fonder un droit à réparation, mais que le préjudice n'est pas soumis à un seuil de gravité particulier.

Le cabinet Aurore Bonavia se charge de vos enjeux en matière de violation de données

  • la qualification d'un incident de sécurité comme violation de données au sens de l'article 4.12 du RGPD ;
  • l'évaluation du risque pour les droits et libertés des personnes concernées et la décision de notification ;
  • la rédaction et la transmission de la notification à la CNIL dans le délai de soixante-douze heures ;
  • la rédaction de la communication aux personnes concernées en cas de risque élevé ;
  • la mise en place d'un processus interne de gestion des violations conforme à l'article 33 paragraphe 5 ;
  • la rédaction du registre interne des violations et l'archivage probatoire des décisions ;
  • la défense face aux contrôles et procédures de sanction de la CNIL liés à des violations ;
  • la défense face aux actions civiles fondées sur l'article 82 du RGPD ;
  • la formation des équipes opérationnelles à la détection et au traitement des incidents.

En savoir plus sur l'accompagnement du cabinet : avocat CNIL.

Sources : Règlement (UE) 2016/679 (RGPD) art. 4.12, art. 32, art. 33, art. 34, art. 82, art. 83, EDPB Lignes directrices 9/2022 sur la notification des violations de données, CNIL guide des notifications de violations, jurisprudence CJUE 4 mai 2023 (UI / Österreichische Post C-300/21), sanctions CNIL et Garante 2023-2024. Fiche mise à jour le 3 mai 2026.

Obtenez des réponses
et des conseils

Prendre RDV - 30 min / 125€HT

À lire également

Courrier Picrights : 4 étapes pour NE PAS PAYER

Copyright trolling : Comment contester un courrier PicRights ?

Le monde numérique moderne a ouvert de nouvelles voies pour la création, le partage et […]
Intervention d’un spécialiste pour un audit RGPD en entreprise.

Tarif audit rgpd - Quel coût pour la conformité de ma société ?

Découvrez tous les éléments et tarifs inclus dans un audit RGPD afin de mettre votre société en conformité. On vous explique tout !

Quelle est la durée des droits de propriété intellectuelle ?

La durée des droits de la propriété intellectuelle varie en fonction de la nature du bien immatériel qu’elle protège.