Retour aux actualitésViolation de données

    Violation de données RGPD : notifier la CNIL dans les 72 heures — guide pratique

    12 min de lecture

    Une violation de données personnelles survient à tout moment : ransomware, phishing réussi, erreur d'envoi de mail, base de données exposée sur Internet. L'article 33 du RGPD impose de notifier la CNIL dans les 72 heures — non pas après résolution de l'incident, mais après prise de connaissance. Ce délai très court nécessite une procédure préparée à l'avance.

    Qu'est-ce qu'une violation de données au sens du RGPD ?

    La définition du RGPD (art. 4§12) est large : toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles. Trois catégories :

    • Violation de confidentialité : accès non autorisé à des données (ex: fuite de base de données, email envoyé au mauvais destinataire).
    • Violation d'intégrité : modification non autorisée de données (ex: altération malveillante d'un registre).
    • Violation de disponibilité : perte ou destruction de données (ex: ransomware sans sauvegarde, suppression accidentelle).

    Faut-il toujours notifier ?

    Non. L'obligation de notification à la CNIL s'applique uniquement si la violation estsusceptible d'engendrer un risque pour les droits et libertés des personnes. Une matrice d'évaluation s'impose :

    • Risque nul ou négligeable : exemple — email perdu contenant uniquement le nom et la fonction d'une personne. Pas de notification CNIL requise mais inscription dans le registre interne des violations.
    • Risque modéré : exemple — accès non autorisé à une base de données clients chiffrée. Notification CNIL obligatoire, notification aux personnes non requise.
    • Risque élevé : exemple — fuite de données de santé, financières, ou mots de passe en clair. Notification CNIL ET aux personnes concernées obligatoires.

    Facteurs d'évaluation : nature des données (sensibles ou non), nombre de personnes concernées, nature de l'incident (accès vs destruction), facilité d'identification des personnes, conséquences probables.

    Le délai de 72 heures : comment le compter

    Le délai commence à courir à partir du moment où vous avez eu "connaissance" de la violation. La CNIL précise que vous avez "connaissance" dès qu'il est raisonnablement certain qu'un incident de sécurité s'est produit, pas nécessairement après investigation complète.

    • J0 (heure de découverte) : début du délai de 72h.
    • J+72h max : notification initiale à la CNIL, même incomplète (possibilité de notification en plusieurs phases).
    • Si le délai ne peut pas être respecté : notifier dès que possible avec justification du retard.

    Important : en cas de doute sur l'existence d'une violation, ne pas attendre la fin de l'investigation. Notifier sous réserve et compléter la notification ultérieurement.

    Que contient la notification CNIL (art. 33§3) ?

    • Nature de la violation : type (confidentialité, intégrité, disponibilité), catégories et nombre approximatif de personnes concernées, catégories et nombre de fichiers concernés.
    • Coordonnées du DPO ou point de contact : pour que la CNIL puisse obtenir des informations complémentaires.
    • Conséquences probables de la violation pour les personnes concernées.
    • Mesures prises ou envisagées pour remédier à la violation et en atténuer les effets.
    • Si non-notification aux personnes : justification du faible risque ou des mesures compensatoires.

    Notifier la CNIL : la procédure pratique

    La notification se fait exclusivement via le portail Notif de la CNIL (notifications.cnil.fr), accessible avec FranceConnect Pro ou via la création d'un compte dédié.

    • Créer un compte Notif en amont (ne pas attendre l'incident — créer le compte dès aujourd'hui).
    • Compléter le formulaire en ligne (possibilité de sauvegarder en cours de rédaction).
    • Attacher les preuves disponibles (logs, captures d'écran, rapport forensique préliminaire).
    • Mettre à jour la notification au fur et à mesure des investigations.
    • Conserver l'accusé de réception CNIL et toutes les correspondances.

    Notification aux personnes concernées (art. 34)

    Quand le risque pour les personnes est élevé, la notification aux personnes concernées est obligatoire, "dans les meilleurs délais" (sans délai fixe mais rapidement). Contenu :

    • Description claire de la violation (sans jargon technique).
    • Coordonnées du DPO ou du contact désigné.
    • Conséquences probables pour la personne.
    • Mesures prises pour remédier à la violation.
    • Recommandations pratiques pour la personne (changer ses mots de passe, surveiller ses comptes bancaires).

    Exceptions : notification non requise si les données étaient chiffrées avec des clés non compromises, si des mesures ont rendu les données incompréhensibles, ou si la communication directe exigerait des efforts disproportionnés (notification publique alors requise).

    Le registre interne des violations

    Toutes les violations doivent être consignées dans un registre interne (art. 33§5), même celles ne nécessitant pas de notification CNIL. Ce registre inclut : description de la violation, effets et mesures correctives. Il est mis à disposition de la CNIL sur demande.

    Préparer la procédure avant l'incident

    • Désigner un "incident coordinator" (DPO ou RSSI) avec les coordonnées de la CNIL disponibles 24/7.
    • Créer le compte Notif en amont et tester la procédure lors d'exercices de crise.
    • Préparer des modèles de notification CNIL et de communication aux personnes concernées.
    • Définir la chaîne d'alerte interne : qui alerte qui, sous quel délai, avec quelle information.
    • Contacter votre assureur cyber dès la découverte de l'incident (certaines polices couvrent les frais de notification).

    Articles recommandés

    Besoin d'accompagnement ?

    Nos experts vous accompagnent dans votre mise en conformité NIS2 et RGPD.

    Demander un diagnostic gratuit