Au-dela de la notification a la CNIL, le RGPD impose dans certains cas d’informer directement les personnes dont les donnees ont ete compromises. Quand cette obligation s’applique-t-elle et comment communiquer efficacement ? Guide pratique pour 2025.
Ce que dit l’article 34 du RGPD
L’article 34 du RGPD prevoit que lorsqu’une violation de donnees est susceptible d’engendrer un « risque eleve pour les droits et libertes d’une personne physique », le responsable de traitement doit communiquer cette violation aux personnes concernees « dans les meilleurs delais ». Le seuil est donc plus eleve que pour la notification a la CNIL : il faut un risque eleve, pas un simple risque.
Quand faut-il notifier les personnes ?
La notification aux personnes est obligatoire lorsque la violation peut entrainer des consequences graves : usurpation d’identite, pertes financieres, atteinte a la reputation, discrimination, perte de confidentialite de donnees protegees par le secret professionnel. Exemples concrets : fuite de mots de passe en clair, exposition de donnees bancaires, divulgation de donnees de sante, publication de donnees sensibles sur internet.
Les 3 exceptions a l’obligation de notification
L’article 34 prevoit trois exceptions. Premierement, si les donnees etaient protegees par des mesures techniques rendant les donnees incomprehensibles (chiffrement robuste avec cle non compromise). Deuxiemement, si des mesures ulterieures ont ete prises pour garantir que le risque eleve ne se materialisera plus. Troisiemement, si la notification individuelle exigerait des efforts disproportionnes, auquel cas une communication publique peut la remplacer.
Que doit contenir la notification ?
La communication aux personnes doit etre claire et comprehensible. Elle doit inclure : la nature de la violation en langage simple, le nom et les coordonnees du DPO ou du point de contact, les consequences probables de la violation et les mesures prises ou envisagees pour y remedier. Ajoutez des recommandations pratiques : changer son mot de passe, surveiller ses releves bancaires, activer la double authentification.
Comment informer les personnes ?
Privilegiez un contact direct et individuel : email personnalise, courrier postal ou appel telephonique selon le contexte. Evitez de noyer l’information dans une newsletter ou un communique general. Si la notification individuelle est impossible (pas de coordonnees), une communication publique est acceptable : communique de presse, bandeau sur le site web, publication sur les reseaux sociaux.
Le bon timing
Le RGPD exige une notification « dans les meilleurs delais ». En pratique, informez les personnes des que vous avez suffisamment d’elements pour leur fournir des informations utiles et des recommandations concretes. Ne retardez pas la notification au-dela du necessaire, mais evitez aussi de communiquer trop tot avec des informations incompletes ou inexactes qui genereraient de la confusion.
Modele de message de notification
Voici une structure type : objet clair (« Information importante concernant vos donnees personnelles »), description factuelle de l’incident, donnees concernees, risques potentiels, mesures prises par l’organisme, recommandations aux personnes, coordonnees du DPO. Adoptez un ton serieux et empathique, sans minimiser ni dramatiser la situation.
Erreurs frequentes a eviter
Ne retardez pas la notification en esperant que personne ne remarque la fuite. Ne minimisez pas la gravite de l’incident dans votre communication. Ne renvoyez pas la responsabilite sur les personnes (« vous auriez du choisir un mot de passe plus fort »). Et surtout, n’oubliez pas de documenter l’ensemble de la demarche dans votre registre des violations.
Conclusion
La notification aux personnes est un exercice delicat qui engage la reputation de votre organisme. En 2025, une communication transparente et rapide est generalement mieux percue qu’un silence prolonge suivi d’une revelation involontaire. Preparez vos modeles de communication a l’avance pour gagner un temps precieux le jour ou une violation surviendra.
