Délai 72 h après violation de données : art. 33 RGPD

·

Lorsqu'une organisation découvre qu'elle a subi une violation de la sécurité des données à caractère personnel, la première question qui se pose est : de combien de temps disposons-nous ? La réponse du Règlement (UE) 2016/679 (RGPD) est précise mais nuancée : 72 heures à compter du moment où le responsable du traitement prend connaissance de la violation, et non à partir du moment où celle-ci survient. Cette distinction, énoncée à l'article 33, paragraphe 1, du RGPD, est le pivot de l'ensemble du protocole de notification à l'Agencia Española de Protección de Datos (AEPD — l'autorité de protection des données espagnole) et, si elle est mal gérée, peut transformer une réponse techniquement correcte en infraction formelle.

Cet article se concentre exclusivement sur le calcul du délai : quand l'horloge démarre, ce que signifie juridiquement « prendre connaissance » d'une violation, comment la phase d'enquête interne interagit avec ce délai, quand le retard justifié de l'article 33, paragraphe 1, est valide, et quand et comment utiliser la notification par étapes de l'article 33, paragraphe 4, du RGPD. Pour le contenu minimal exigé par l'article 33, paragraphe 3, les différences entre notification à l'AEPD et communication aux personnes concernées, le registre interne obligatoire et le rôle du sous-traitant, consultez notre article complémentaire : Comment notifier une violation de données à l'AEPD en 72 heures.

Quand le délai de 72 heures commence-t-il à courir ?

Le point de départ du calcul est le moment où le responsable du traitement prend connaissance de la violation. Cette formulation — délibérément différente de « lorsque la violation survient » — correspond à la réalité des incidents de sécurité : de nombreuses attaques restent latentes pendant des jours ou des semaines avant d'être détectées, et exiger la notification dès le moment de l'incident aurait rendu ce délai impossible à respecter dans la plupart des cas.

Le Groupe de travail « Article 29 » (désormais le Comité européen de la protection des données, CEPD) a précisé dans ses Lignes directrices sur la notification des violations de données à caractère personnel (WP250rev.01, adoptées en février 2018) que le responsable « prend connaissance » lorsqu'il dispose d'un degré raisonnable de certitude qu'un incident de sécurité affectant des données à caractère personnel s'est produit. Il n'est pas nécessaire de disposer de toutes les informations sur l'étendue de la violation ; il suffit de savoir que quelque chose s'est produit qui, avec une probabilité raisonnable, constitue une violation au sens de l'article 4, point 12, du RGPD.

En pratique, le moment de la prise de connaissance peut être :

À partir de ce moment, l'horloge tourne en continu, en heures civiles, sans interruption pour les week-ends ni les jours fériés. Une violation détectée un vendredi à 18h00 doit être notifiée au plus tard le lundi à 18h00. Le siège électronique de l'AEPD est disponible 24 heures sur 24, 365 jours par an.

La phase d'enquête préliminaire : quand « sait-on » qu'il y a une violation ?

C'est l'un des points les plus délicats. Lorsque l'équipe de sécurité détecte une anomalie, elle ouvre généralement une enquête interne pour confirmer si une violation a réellement eu lieu et quelle en est l'étendue. Le délai commence-t-il à courir pendant cette enquête ou à la fin de celle-ci ?

Le CEPD a indiqué qu'une enquête initiale raisonnable — de quelques heures, pas de plusieurs jours — est compatible avec le délai de 72 heures. En revanche, prolonger cette enquête au-delà du nécessaire pour retarder la notification est incompatible avec le principe « dans les meilleurs délais ». L'AEPD et les autres autorités européennes ont sanctionné des cas dans lesquels l'organisation avait mis des jours ou des semaines à notifier en invoquant une enquête toujours en cours.

La règle pratique : si après 24 à 48 heures d'enquête il existe des indices suffisants qu'une violation entraînant un risque pour les personnes concernées a eu lieu, le processus de notification doit être engagé même si l'enquête n'est pas terminée. C'est précisément l'objet de la notification par étapes.

Si votre organisation a besoin d'aide pour structurer un protocole de réponse qui distingue la phase d'analyse de la phase de notification, Summum Consultoria vous accompagne dans la gestion des violations de données de la détection jusqu'à la clôture de l'incident.

Le retard justifié de l'article 33, paragraphe 1, du RGPD

L'article 33, paragraphe 1, du RGPD reconnaît que, dans certaines circonstances, il n'est pas possible de notifier dans les 72 heures. Lorsque la notification intervient après ce délai, le responsable doit l'accompagner d'une justification motivée du retard. Le règlement ne fixe pas de plafond maximal explicite pour cette marge supplémentaire, mais la pratique d'inspection de l'AEPD et du CEPD révèle que les retards supérieurs à 7 à 10 jours sont difficiles à justifier, sauf dans les cas d'une complexité technique extraordinaire.

Le retard justifié n'est pas un recours pour attendre de disposer de toutes les données avant de notifier : c'est précisément l'objet de la notification par étapes. La justification admissible est celle qui démontre que la détection de la violation elle-même a nécessité un temps raisonnable et que l'organisation a agi avec diligence dès le premier moment où elle a eu connaissance d'indices de l'incident.

La notification par étapes : quand et comment l'utiliser

L'article 33, paragraphe 4, du RGPD reconnaît expressément la possibilité de fournir les informations requises de manière progressive, sans autre retard injustifié, lorsqu'il n'est pas possible de les fournir toutes en même temps. C'est ce que l'on appelle la notification par étapes ou notification échelonnée.

Le schéma habituel est le suivant :

  1. Notification initiale (dans les 72 heures) : l'AEPD est informée qu'une violation s'est produite, avec les informations disponibles à ce moment : nature approximative de l'incident, catégories de données probablement concernées, nombre estimé de personnes concernées, point de contact interne, et mesures de confinement adoptées jusqu'alors. Il est expressément indiqué que la notification est provisoire et sera complétée.
  2. Notification complémentaire (dans les jours suivants) : une fois l'enquête achevée, les informations manquantes sont transmises : nombre exact de personnes concernées, enregistrements spécifiques compromis, analyse d'impact, mesures correctives définitives et plan d'amélioration.

L'AEPD accepte ce mécanisme, mais exige que les compléments soient envoyés sans retard injustifié. Il n'est pas acceptable de soumettre la notification initiale pour « arrêter l'horloge » et de laisser ensuite la notification complémentaire indéfiniment en suspens.

Le sous-traitant et le déclenchement du délai

Lorsqu'une violation est détectée par un sous-traitant (prestataire logiciel, hébergeur, gestionnaire documentaire en nuage), l'article 33, paragraphe 2, du RGPD lui impose d'informer le responsable du traitement dans les meilleurs délais. C'est cette communication interne qui, en pratique, marque le déclenchement du délai de 72 heures pour le responsable. C'est pourquoi les contrats de sous-traitance doivent fixer un délai maximal explicite — généralement 24 heures à compter de la détection par le sous-traitant — dans lequel celui-ci communiquera la violation, afin que le responsable puisse notifier à l'AEPD dans le délai légal. Les autres implications du rôle du sous-traitant, le contenu minimal de la notification et le registre interne sont développés dans l'article complémentaire sur la façon de notifier une violation à l'AEPD.

Régime des sanctions : ce que prévoit le RGPD

Le non-respect de l'obligation de notification des violations relève de l'article 83, paragraphe 4, du RGPD, qui prévoit des amendes pouvant atteindre 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Pour moduler la sanction, l'AEPD prend en compte des facteurs tels que la négligence par opposition à l'intention délibérée, la coopération avec l'autorité, le préjudice causé aux personnes concernées et les mesures prises pour en atténuer les effets. Une notification tardive mais volontaire accompagnée d'une justification motivée est traitée très différemment d'une omission délibérée.

Questions fréquentes

Le délai de 72 heures est-il calculé en heures civiles ou en heures ouvrables ?

En heures civiles, sans interruption pour les week-ends ni les jours fériés. L'article 33, paragraphe 1, du RGPD ne prévoit aucune suspension du calcul. Si le responsable détecte la violation un samedi à 10h00, il dispose jusqu'au mardi à 10h00 pour notifier à l'AEPD. C'est pourquoi il est indispensable de disposer de protocoles de réponse pouvant être activés en dehors des heures normales de bureau.

Que se passe-t-il si les 72 heures sont déjà écoulées lorsque l'enquête interne se termine ?

L'article 33, paragraphe 1, du RGPD permet de notifier après l'expiration du délai lorsqu'il existe des motifs justifiés de retard, qui doivent être expliqués dans la notification elle-même. Toutefois, cette marge n'est pas illimitée : l'AEPD distingue entre une enquête raisonnable qui se prolonge de quelques heures ou d'une journée et un retard qui révèle un manque de diligence. La recommandation est de notifier avec les informations disponibles dans les 72 heures et de compléter la notification par étapes (art. 33, § 4, RGPD), plutôt que d'attendre de disposer de toutes les données.

L'entreprise doit-elle notifier si la violation a été subie par un prestataire externe ?

Oui, si ce prestataire agit en tant que sous-traitant de données à caractère personnel dont la responsabilité incombe à l'entreprise. Le sous-traitant doit informer le responsable sans délai (art. 33, § 2, RGPD), et c'est le responsable qui notifie à l'AEPD. Le moment où le responsable reçoit cette communication du sous-traitant est généralement le point de départ du délai de 72 heures. C'est pourquoi les contrats de sous-traitance doivent régler expressément le délai dans lequel le prestataire communiquera la violation, généralement pas plus de 24 heures à compter de sa détection.