Notification de violation
Obligation légale d'informer la CNIL et les personnes concernées en cas de faille de sécurité entraînant la perte ou le vol de données personnelles.
Définition complète
Exemple concret en PME
Une PME de transport subit une cyberattaque par ransomware : ses fichiers clients sont chiffrés et volés. Le dirigeant constate que des données d'identité et des RIB ont été compromis. Il doit notifier la CNIL via son portail en ligne sous 72h et envoyer un email urgent à tous ses clients impactés pour les conseiller sur la surveillance de leurs comptes bancaires.
L'erreur fréquente à éviter
L'erreur classique est de confondre 'incident' et 'violation'. Beaucoup d'entreprises attendent d'avoir une preuve irréfutable de l'exfiltration des données avant de notifier. Or, le délai de 72h court dès la détection de l'anomalie. Il est préférable de faire une notification préliminaire incomplète que de notifier trop tard, ce qui est considéré comme un manquement grave par la CNIL.
Pour aller plus loin
Termes associés
Vérifiez votre conformité RGPD
Scan gratuit de votre site : cookies, mentions légales, sanctions encourues.
Scanner mon site