Violation de données : notifier les personnes (art. 34 RGPD)

·

Lorsqu'une violation de la sécurité des données à caractère personnel survient, de nombreuses organisations concentrent tous leurs efforts sur la notification à l'Agencia Española de Protección de Datos (AEPD — l'autorité espagnole de protection des données) dans le délai de 72 heures imposé par l'art. 33 du Règlement (UE) 2016/679 (RGPD). Il existe toutefois une seconde obligation souvent négligée ou traitée tardivement : la communication directe aux personnes dont les données ont été compromises, régie par l'art. 34 du RGPD. Cette obligation possède son propre seuil d'activation, son propre contenu minimal et ses propres exceptions, et son non-respect peut faire l'objet de sanctions au titre de l'art. 83 du RGPD.

Cet article analyse de façon rigoureuse le régime de l'art. 34 du RGPD : quand naît l'obligation de communiquer la violation à la personne concernée, que doit contenir cette communication, dans quels cas peut-elle être légitimement omise, et quel est le rôle du délégué à la protection des données (DPO) tout au long du processus. Si vous souhaitez d'abord consulter la procédure de notification à l'AEPD, vous pouvez lire notre article sur comment notifier une violation de sécurité à l'AEPD dans les 72 heures.

Art. 33 versus art. 34 du RGPD : deux obligations distinctes

Avant d'examiner le fond de l'art. 34, il convient de clarifier la différence structurelle entre les deux obligations de communication que le RGPD impose en cas de violation de la sécurité :

Comparatif : art. 33 RGPD vs art. 34 RGPD
Aspect Art. 33 RGPD — Notification à l'AEPD Art. 34 RGPD — Communication aux personnes concernées
Destinataire Autorité de contrôle (AEPD en Espagne) Personnes concernées / personnes physiques affectées
Seuil d'activation Risque probable pour les droits et libertés Risque élevé probable pour les droits et libertés
Délai Dans les meilleurs délais ; maximum 72 heures après avoir pris connaissance Dans les meilleurs délais (aucun nombre d'heures précis)
Partie obligée Responsable du traitement Responsable du traitement
Exceptions Risque improbable (art. 33.1) Chiffrement robuste, mesures correctives, effort disproportionné (art. 34.3)
Canal Portail électronique de l'AEPD Communication directe à la personne concernée (ou communication publique si l'exception s'applique)

En résumé : l'art. 34 du RGPD est déclenché lorsque le niveau de risque pour les personnes est plus grave que le seuil ordinaire de l'art. 33. Il peut arriver qu'une organisation doive notifier l'AEPD (art. 33) sans être obligée de communiquer aux personnes concernées (art. 34) si le risque, bien qu'existant, n'atteint pas le niveau élevé. L'inverse — communiquer aux personnes concernées sans avoir notifié l'AEPD — serait en pratique incohérent et difficilement justifiable.

Le seuil de « risque élevé » pour les droits et libertés de la personne concernée

L'art. 34.1 du RGPD dispose que le responsable du traitement « communique dans les meilleurs délais à la personne concernée une violation de données à caractère personnel, lorsque cette violation est susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique ». La détermination de ce risque élevé n'est pas automatique : elle requiert une évaluation concrète de la probabilité que la violation cause un préjudice réel et significatif aux personnes dont les données ont été compromises.

Le Guide de l'AEPD pour la gestion et la notification des violations de sécurité, ainsi que les lignes directrices du Comité européen de la protection des données (CEPD), recensent les facteurs qui élèvent l'évaluation du risque à la catégorie élevé :

L'évaluation du risque doit être documentée quel qu'en soit le résultat : si l'on conclut qu'il n'existe pas de risque élevé et que, par conséquent, les personnes concernées ne sont pas informées, cette décision doit être justifiée dans le registre interne des violations de sécurité qu'exige l'art. 33.5 du RGPD.

Contenu minimal de la communication à la personne concernée

L'art. 34.2 du RGPD dispose que la communication aux personnes concernées doit décrire, « en des termes clairs et simples », les éléments suivants :

  1. Nature de la violation : quel type d'incident s'est produit (accès non autorisé, vol d'appareil, divulgation accidentelle, rançongiciel, etc.) et quelles données à caractère personnel ont été affectées.
  2. Coordonnées du DPO ou point de contact : le nom et les coordonnées d'une personne ou d'une équipe auprès desquels la personne concernée peut obtenir de plus amples informations ou exercer ses droits.
  3. Conséquences probables de la violation : ce qui peut arriver à la personne concernée du fait de la violation (usurpation d'identité, accès non autorisé à ses comptes, atteinte à la réputation, etc.).
  4. Mesures prises ou proposées par le responsable : ce que fait l'organisation pour remédier à la violation et réduire ou éliminer ses effets négatifs sur les personnes concernées. Cela peut inclure des recommandations concrètes pour que la personne se protège (changement de mot de passe, annulation de carte, alerte fraude bancaire).

La communication doit être rédigée dans un langage compréhensible pour la personne concernée, sans termes juridiques ou techniques qui rendraient difficile la compréhension du risque réel auquel elle est exposée. Il ne suffit pas d'envoyer une copie du rapport technique sur l'incident ; le responsable doit élaborer un texte spécifique à l'attention des personnes affectées, avec des instructions claires et un canal de contact accessible.

Quant au canal, le RGPD n'impose pas de support particulier, mais la pratique habituelle et les recommandations de l'AEPD privilégient le canal de communication habituel avec la personne concernée (courriel s'il existe, courrier postal en l'absence d'adresse électronique, ou même appel téléphonique en cas d'impact élevé). Lorsque le nombre de personnes concernées est très élevé et que la communication individuelle s'avère disproportionnée, il est possible de recourir à l'exception d'effort disproportionné (art. 34.3.c), analysée ci-après.

Si votre organisation a subi une violation et a besoin d'aide pour rédiger cette communication ou évaluer le niveau de risque, chez Summum Consultoría nous accompagnons les entreprises dans la gestion intégrale des violations de sécurité, de la détection à la clôture documentaire de l'incident.

Exceptions : quand la communication à la personne concernée n'est pas obligatoire

L'art. 34.3 du RGPD prévoit trois exceptions permettant au responsable de ne pas procéder à la communication directe aux personnes concernées, même si l'incident a dépassé le seuil de risque élevé. Ces exceptions doivent être interprétées strictement et justifiées par des éléments documentaires.

Première exception : données chiffrées avec des garanties techniques adéquates

La communication aux personnes concernées n'est pas nécessaire si le responsable du traitement « a mis en œuvre les mesures de protection techniques et organisationnelles appropriées et ces mesures ont été appliquées aux données à caractère personnel affectées par ladite violation, en particulier les mesures qui rendent les données à caractère personnel incompréhensibles pour toute personne qui n'est pas autorisée à y avoir accès, telles que le chiffrement » (art. 34.3.a RGPD).

Cette exception s'applique lorsque :

L'exception ne s'applique pas si l'attaquant a également obtenu la clé de chiffrement, si le chiffrement utilisé est faible ou obsolète, ou si les données volées comprennent à la fois les données chiffrées et les mécanismes de déchiffrement. En cas de doute, la position la plus sûre — et celle que recommande l'AEPD — est de communiquer quand même aux personnes concernées.

Deuxième exception : mesures correctives éliminant le risque élevé

Si le responsable a adopté des mesures techniques ou organisationnelles après la violation garantissant que le risque élevé pour les droits et libertés des personnes concernées n'est plus probable, la communication peut être omise (art. 34.3.b RGPD). Un exemple serait celui d'une base de données à laquelle un accès non autorisé a eu lieu et dont les données ont été détruites de manière vérifiable avant d'être utilisées, ou d'un compte compromis dont le mot de passe a été réinitialisé et l'accès annulé avant qu'aucune action dommageable n'ait eu lieu.

Cette exception exige des preuves objectives que le risque a été neutralisé, et non une simple expectative ou présomption. La charge de démontrer que le risque a disparu incombe au responsable.

Troisième exception : effort disproportionné et communication publique alternative

Lorsque la communication individuelle à chaque personne concernée « exigerait des efforts disproportionnés », l'art. 34.3.c du RGPD permet de la remplacer par une communication publique ou une mesure similaire permettant d'informer les personnes concernées de manière tout aussi efficace. C'est l'exception la plus délicate, car elle peut être invoquée à tort comme un bouclier pour éviter la communication individuelle lorsque celle-ci est simplement peu pratique ou coûteuse.

L'AEPD considère que l'effort disproportionné doit être apprécié objectivement : le nombre de personnes concernées est très élevé, il n'existe pas de base de données de contacts à jour, ou les coûts de la communication individuelle seraient extraordinairement élevés par rapport à l'impact réel de la violation. Le fait que la communication soit simplement fastidieuse ou ordinairement onéreuse est insuffisant.

Lorsque la communication publique est choisie, elle doit être réellement accessible aux personnes concernées : publier un avis dans une section peu visible du site institutionnel ou dans les mentions légales ne répond pas à cette exigence. Des moyens tels que des communiqués de presse dans des médias pertinents, des publications sur des réseaux sociaux à large audience, ou des publications au Journal officiel correspondant si l'ampleur de la violation le justifie doivent être envisagés.

Quand la communication doit-elle être effectuée ? La notion de « dans les meilleurs délais »

Contrairement à l'art. 33 du RGPD, qui fixe un délai maximal de 72 heures pour la notification à l'AEPD, l'art. 34 n'établit pas de nombre précis d'heures pour la communication aux personnes concernées. L'expression utilisée est « dans les meilleurs délais », ce qui signifie en pratique dès que raisonnablement possible, une fois la nature et l'étendue de la violation confirmées.

L'AEPD recommande que la communication aux personnes concernées soit effectuée, dans la mesure du possible, de manière contemporaine à la notification à l'Agence elle-même ou immédiatement après. En tout état de cause, le retard n'est justifié que si une communication prématurée — avant de connaître la véritable étendue de l'incident — risquait de créer une confusion ou une alarme injustifiée. Ce délai d'attente pour vérifier les faits doit être le strict minimum nécessaire et doit être documenté.

Dans les incidents à grande échelle affectant des milliers ou des millions de personnes — comme ceux survenant sur des plateformes numériques ou dans des établissements financiers — la communication peut nécessiter un plan de communication échelonné, mais cela ne dispense pas d'agir aussi rapidement que possible. Le Guide de l'AEPD pour la gestion et la notification des violations de sécurité fournit des orientations spécifiques pour ces scénarios.

Le rôle du DPO dans la communication aux personnes concernées

Le délégué à la protection des données (DPO), dont la désignation est obligatoire dans les cas prévus à l'art. 37 du RGPD et que de nombreuses organisations assurent par le biais d'un DPO externe, joue un rôle central dans la décision de savoir si la communication aux personnes concernées s'impose et dans la supervision de son contenu et de son canal.

Ses fonctions spécifiques en lien avec l'art. 34 du RGPD comprennent :

Dans les organisations sans DPO désigné, ces fonctions doivent incomber à la personne ou à l'équipe responsable de la protection des données, avec le soutien d'un conseiller externe spécialisé si la complexité de l'incident l'exige. L'équipe de Summum Consultoría assure un service d'accompagnement dans la gestion des violations de sécurité pour les organisations en Castille-et-León et aux Îles Canaries, avec une présence à Valladolid, Burgos, Palencia, Aranda de Duero et Las Palmas.

Régime de sanctions pour non-respect de l'art. 34 du RGPD

Le non-respect de l'obligation de communiquer la violation aux personnes concernées lorsque celle-ci était légalement exigible relève de l'art. 83.4 du RGPD, qui prévoit des amendes pouvant atteindre 10 000 000 EUR ou 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent, le montant le plus élevé étant retenu. Il ne s'agit pas d'une infraction au niveau maximal de l'art. 83.5 (qui réserve les sanctions les plus élevées aux violations des principes fondamentaux du traitement ou des droits des personnes concernées), mais le montant potentiel demeure significatif pour toute organisation.

La LOPDGDD (loi organique 3/2018, du 5 décembre, relative à la protection des données à caractère personnel et à la garantie des droits numériques) complète le RGPD dans l'ordre juridique espagnol et confère à l'AEPD les compétences de sanction correspondantes. Pour apprécier la gravité de l'infraction, l'AEPD tient compte de facteurs tels que la nature, la gravité et la durée de l'infraction, le nombre de personnes concernées, le niveau de dommage subi, le caractère intentionnel ou négligent de l'infraction, et les mesures prises pour atténuer le préjudice.

Il importe de souligner que l'AEPD peut sanctionner non seulement l'absence de communication aux personnes concernées, mais aussi une communication effectuée hors délai, dont le contenu était incomplet ou confus, ou dont l'exception invoquée (chiffrement, effort disproportionné) n'était pas dûment justifiée.

Questions fréquemment posées

Faut-il communiquer la violation aux personnes concernées si l'AEPD a déjà été notifiée ?

Ce sont des obligations indépendantes. La notification à l'AEPD (art. 33 RGPD) est déclenchée par toute violation présentant un risque probable pour les droits et libertés des personnes. La communication aux personnes concernées (art. 34 RGPD) n'est obligatoire que lorsque ce risque est élevé. Il est tout à fait possible qu'une organisation doive notifier l'AEPD sans devoir en informer les personnes concernées si le niveau de risque, bien qu'existant, n'atteint pas le seuil « élevé ». L'inverse — communiquer aux personnes concernées sans avoir notifié l'AEPD alors que cette notification était obligatoire — constituerait également une violation de l'art. 33.

Que se passe-t-il si les coordonnées des personnes concernées sont obsolètes ou incomplètes ?

Si le responsable ne dispose pas de coordonnées à jour pour l'ensemble des personnes concernées, il doit tenter de les contacter par le canal disponible le plus efficace et documenter les efforts accomplis. Si la situation concerne un nombre significatif de personnes et rend la communication individuelle irréalisable, l'exception d'effort disproportionné prévue à l'art. 34.3.c du RGPD peut s'appliquer, en substituant la communication directe par une communication publique tout aussi efficace. En tout état de cause, l'AEPD attend que le responsable démontre qu'il a épuisé toutes les voies raisonnables avant de recourir à cette exception.

L'AEPD peut-elle obliger le responsable à communiquer la violation aux personnes concernées même s'il a décidé de ne pas le faire ?

Oui. L'art. 34.4 du RGPD prévoit expressément que « si le responsable du traitement n'a pas déjà communiqué à la personne concernée la violation de données à caractère personnel, l'autorité de contrôle peut, après avoir examiné si la violation est susceptible d'engendrer un risque élevé, exiger du responsable du traitement qu'il procède à cette communication ou décider que l'une des conditions visées au paragraphe 3 est remplie ». L'AEPD, dans le cadre d'une enquête ou d'une supervision active, peut ordonner au responsable d'effectuer la communication si elle considère que le seuil de risque élevé est atteint et qu'aucune des exceptions de l'art. 34.3 n'est applicable.

La communication aux personnes concernées doit-elle être effectuée dans toutes les langues des personnes concernées ?

Le RGPD exige que la communication soit rédigée en « termes clairs et simples » (art. 34.2), ce qui signifie que la personne concernée doit pouvoir la comprendre sans difficulté. Si les personnes concernées parlent des langues différentes de celle de l'organisation, la communication doit être effectuée dans la langue de la personne concernée, ou du moins dans une langue qu'elle peut raisonnablement comprendre. Les lignes directrices du CEPD sur la communication des violations insistent sur ce point, en particulier dans les contextes transfrontaliers ou pour les organisations opérant dans plusieurs États membres de l'Union européenne.