Notification de violation de données : l'EDPB adopte un modèle commun pour toute l'Europe
L'EDPB vient d'adopter un modèle commun de notification de violation de données, conçu pour harmoniser les déclarations à l'article 33 du RGPD partout en Europe. Derrière ce formulaire unique se cache une promesse concrète pour les organisations sans DPO dédié : déclarer plus vite, plus simplement, et de la même manière dans les 27 États membres.
Ce qui s'est passé
Le 10 juin 2026, le Comité européen de la protection des données (EDPB) a annoncé deux choses lors de sa session plénière : une rencontre avec le commissaire européen à la Justice Michael McGrath, et surtout l'adoption d'un modèle commun de notification de violation de données personnelles. Ce template a vocation à structurer, harmoniser et unifier les processus de déclaration entre les organisations et les autorités de contrôle (les « DPA », dont la CNIL pour la France).
Concrètement, le formulaire prévoit des options prédéfinies à sélectionner et un guide pas-à-pas pour remplir chaque champ. L'objectif affiché : garantir que chaque notification contienne bien toutes les informations exigées par l'article 33 du RGPD, tout en faisant gagner du temps et de l'argent aux structures qui ne disposent ni d'un délégué à la protection des données ni de ressources juridiques internes.
Le modèle s'inscrit dans la lignée de la Déclaration de Helsinki de l'EDPB, qui vise à simplifier la mise en conformité RGPD tout en renforçant la cohérence entre pays. Il est désormais soumis à consultation publique jusqu'au 5 août 2026. À l'issue de cette consultation, l'EDPB fixera le calendrier de déploiement effectif du template par l'ensemble des autorités nationales.
Pourquoi c'est important
La notification d'une violation de données personnelles est l'une des obligations les plus exigeantes du RGPD : l'article 33 impose au responsable de traitement de prévenir l'autorité de contrôle dans un délai de 72 heures après la prise de connaissance de l'incident. Or, dans la pratique, ce délai très court se heurte à une difficulté récurrente : savoir exactement quelles informations transmettre, et sous quel format, surtout quand l'organisation découvre l'incident dans l'urgence.
Jusqu'ici, chaque autorité nationale disposait de son propre formulaire en ligne, avec ses champs, sa logique et sa langue. Pour les groupes opérant dans plusieurs pays, cette fragmentation transformait une obligation déjà stressante en casse-tête transfrontalier. Un modèle unique change la donne : il fixe un socle commun d'informations attendues et réduit l'incertitude qui pèse sur les équipes au moment le plus critique.
Le contexte rend cette harmonisation d'autant plus pertinente. La CNIL a enregistré 6 167 violations de données en 2025, un record qui confirme que l'incident n'est plus l'exception mais la probabilité. Des cas récents comme la cyberattaque de l'ANTS ou le scénario type de violation chez un sous-traitant publié par la CNIL illustrent à quel point la chaîne de notification 72h doit être rodée à l'avance.
Ce que ça change pour les organisations
À court terme, rien n'est encore obligatoire : le template est en consultation et son calendrier de déploiement reste à fixer. Mais les organisations ont tout intérêt à anticiper, en particulier les PME et ETI sans DPO interne — précisément la cible que l'EDPB cherche à soulager.
Trois actions concrètes s'imposent dès maintenant. D'abord, cartographier ses traitements et ses risques pour être capable de qualifier rapidement un incident. Ensuite, documenter et tester sa procédure interne de gestion des violations : qui détecte, qui décide, qui notifie, et dans quel délai. Enfin, tenir à jour son registre des violations, obligatoire même lorsque l'incident n'est pas notifié à la CNIL.
Les acteurs concernés peuvent aussi participer à la consultation publique d'ici le 5 août 2026 pour faire remonter leurs contraintes opérationnelles. Et au-delà de la notification à l'autorité, il ne faut pas oublier le second volet du dispositif : la communication aux personnes concernées au titre de l'article 34, lorsque la violation présente un risque élevé pour leurs droits et libertés. Pour bien situer le rôle de l'autorité française dans ce dispositif, notre guide sur la CNIL détaille ses missions et ses attentes en matière de sécurité.
Ce que Leto pense de cette décision
C'est une bonne nouvelle, et une rare initiative de simplification qui mérite d'être saluée. Trop souvent, l'harmonisation européenne se traduit par une couche réglementaire supplémentaire ; ici, l'EDPB fait l'inverse : il réduit la friction au moment où les organisations en ont le plus besoin. Le pari d'un formulaire à options prédéfinies est intelligent, car il déplace la difficulté du « comment rédiger » vers le « quoi déclarer », ce qui est exactement ce dont une PME en situation de crise a besoin. Reste un point de vigilance : un modèle commun ne dispense jamais d'une procédure interne testée. Le meilleur formulaire du monde ne sert à rien si l'organisation découvre la marche à suivre une fois le chronomètre des 72 heures déjà lancé.
