Obligations

Notification de violation

Obligation légale d'informer la CNIL et les personnes concernées en cas de faille de sécurité entraînant la perte ou le vol de données personnelles.

Définition complète

La notification de violation est l'obligation pour un responsable de traitement d'alerter l'autorité de contrôle (la CNIL en France) lorsqu'un incident de sécurité survient. Une violation de données est définie comme la destruction, la perte, l'altération ou la divulgation non autorisée de données personnelles. Selon l'article 33 du RGPD, cette notification doit être effectuée dans un délai maximal de 72 heures après avoir pris connaissance de l'incident, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes. Parallèlement, l'article 34 impose d'informer directement les personnes concernées si la violation présente un risque élevé pour elles (ex: vol de coordonnées bancaires ou de mots de passe). Cette communication doit être claire, concise et expliquer les mesures prises pour remédier à la situation. Même si une notification n'est pas requise, l'entreprise doit obligatoirement documenter l'incident dans un registre interne des violations, précisant les faits, ses effets et les mesures correctives adoptées. Pour les PME, cette procédure est cruciale car elle démontre la bonne foi et la réactivité de l'entreprise face à la CNIL, limitant ainsi les risques de sanctions administratives lourdes en cas de contrôle a posteriori.

Exemple concret en PME

Une PME de transport subit une cyberattaque par ransomware : ses fichiers clients sont chiffrés et volés. Le dirigeant constate que des données d'identité et des RIB ont été compromis. Il doit notifier la CNIL via son portail en ligne sous 72h et envoyer un email urgent à tous ses clients impactés pour les conseiller sur la surveillance de leurs comptes bancaires.

L'erreur fréquente à éviter

L'erreur classique est de confondre 'incident' et 'violation'. Beaucoup d'entreprises attendent d'avoir une preuve irréfutable de l'exfiltration des données avant de notifier. Or, le délai de 72h court dès la détection de l'anomalie. Il est préférable de faire une notification préliminaire incomplète que de notifier trop tard, ce qui est considéré comme un manquement grave par la CNIL.

Vérifiez votre conformité RGPD

Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.

Scanner mon site