Toutes les violations de données doivent-elles être notifiées à la CNIL ?

Non. Seules les violations susceptibles d'engendrer un risque pour les droits et libertés des personnes doivent être notifiées à la CNIL (Art. 33). Si le risque est faible (ex. email interne envoyé par erreur à un seul collègue), une notification interne au registre suffit. En revanche, si le risque est élevé, les personnes concernées doivent aussi être informées.

Que se passe-t-il si on dépasse le délai de 72h ?

Un dépassement du délai de 72h n'est pas automatiquement sanctionné si vous pouvez justifier les raisons du retard (complexité technique, périmètre difficile à évaluer). La CNIL accepte les notifications tardives accompagnées d'une explication. En revanche, ne pas notifier du tout une violation à risque élevé est une infraction directe.

Qu'est-ce qui constitue une 'violation de données personnelles' ?

Toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles. Cela inclut : piratage, ransomware, email envoyé à un mauvais destinataire, perte d'un ordinateur, accès non autorisé par un employé, fuite sur un serveur mal configuré.

Comment notifier une violation à la CNIL ?

Via le portail notifications.cnil.fr (accessible 24h/24). La notification doit contenir : nature de la violation, catégories et volume de données concernées, coordonnées du DPO, conséquences probables, mesures prises ou envisagées. Une notification préliminaire peut être faite dans les 72h, complétée ensuite.

Faut-il conserver une trace des violations non notifiées ?

Oui, absolument. L'Art. 33§5 impose de documenter TOUTES les violations, même celles ne nécessitant pas de notification à la CNIL. Ce registre des violations doit être conservé et être présentable lors d'un contrôle CNIL.

Une violation chez un sous-traitant engage-t-elle le responsable de traitement ?

Oui. Si votre sous-traitant (hébergeur, SaaS) subit une violation concernant vos données, c'est votre obligation de notifier la CNIL dans les 72h. Le sous-traitant doit vous informer 'sans délai indu' (Art. 33§2). Vérifiez que vos contrats DPA (Art. 28) incluent cette obligation.

Article 33 RGPD — Procédure d'urgence

Violation de données RGPD
que faire dans les 72h ?

Checklist d'urgence, procédure de notification CNIL, quand prévenir les victimes. Guide pratique pour gérer une violation de données personnelles.

89/jour

Violations notifiées à la CNIL

72h

Délai pour notifier la CNIL

40%

Entreprises sans plan de réponse

Scanner mon site Voir nos services →

Définition — Art. 4§12 RGPD

Une violation de données personnelles est une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles transmises, conservées ou traitées. Cela inclut les piratages, ransomwares, erreurs humaines et pertes de matériel.

Confidentialité

Accès non autorisé aux données : piratage, email envoyé au mauvais destinataire, accès interne non légitime.

Intégrité

Altération ou modification non autorisée des données : ransomware qui chiffre et modifie, manipulation de base de données.

Disponibilité

Perte ou destruction des données : suppression accidentelle, panne sans sauvegarde, vol de matériel.

Art. 33 RGPD

Checklist d'urgence — 72 heures

Suivez cette procédure dès la détection d'une violation. Le délai de 72h commence à partir du moment où vous avez connaissance de la violation.

H+0

Détecter et contenir la violation

Isoler les systèmes compromis, changer les mots de passe, couper les accès si nécessaire. Documenter l'heure et la nature de la découverte.

H+2

Évaluer la gravité et le périmètre

Quelles données ? Combien de personnes ? Quelle nature (sensibles, bancaires, santé...) ? Quel accès (lecture, exfiltration, destruction) ?

H+4

Informer le RT et le DPO

Le responsable de traitement et le DPO doivent être informés immédiatement. C'est eux qui décideront de notifier la CNIL.

H+24

Documenter dans le registre des violations

Toute violation, même sans notification CNIL requise, doit être documentée dans votre registre interne des violations (Art. 33§5).

H+48

Décider si notification CNIL requise

Évaluer le risque : si la violation est susceptible d'engendrer un risque pour les droits des personnes, la notification est obligatoire.

H+72

Notifier la CNIL (si requis)

Via notifications.cnil.fr. Une notification préliminaire peut être envoyée dans les 72h et complétée ultérieurement si toutes les informations ne sont pas disponibles.

Notifier la CNIL ou pas ?

Risque faible — documentation interne uniquement

Email interne envoyé au mauvais employé (données non sensibles)
Perte d'un ordinateur chiffré avec MDP robuste
Accès bref et sans copie à des données non sensibles
Données déjà publiquement accessibles

Risque élevé — notification CNIL obligatoire

Fuite de données bancaires, de santé ou données sensibles
Accès non autorisé à des milliers de comptes
Ransomware avec destruction/exfiltration de données
Données permettant usurpation d'identité

Notifier les personnes concernées

Quand ?

Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes (Art. 34). Sans délai injustifié, généralement dans les 72h suivant la notification CNIL.

Comment ?

Par email, courrier postal ou notification dans l'espace client. Le message doit être clair, simple et en langage compréhensible — pas de jargon juridique.

Que dire ?

Nature de la violation, coordonnées du DPO, conséquences probables, mesures prises, conseils pour se protéger (changer mot de passe, surveiller ses comptes bancaires...).

Prévention

Se préparer en amont

40% des entreprises n'ont pas de plan de réponse aux violations. Préparez-vous avant que cela n'arrive.

Plan de réponse documenté

Rédiger une procédure interne : qui fait quoi, dans quel délai, avec quels outils. Inclure les contacts d'urgence (DPO, RSSI, direction, avocat).

Formation de l'équipe

Former tous les employés à reconnaître une violation et à la signaler immédiatement en interne. Les délais commencent dès la prise de connaissance par n'importe quel employé.

Détection précoce

Mettre en place des outils de surveillance : SIEM, alertes d'accès anormaux, monitoring des logs. Plus tôt vous détectez, plus vous avez de temps pour réagir dans les 72h.

Assurance cyber

Les assurances cyber couvrent souvent les frais de notification, les amendes CNIL et les dommages aux tiers. À considérer pour les PME traitant des données sensibles.

Questions fréquentes

FAQ — Violation de données

Les questions les plus posées sur la gestion des violations de données personnelles.

Anticipez les violations de données

Notre scanner identifie les vulnérabilités RGPD de votre site avant qu'elles ne deviennent des violations. Analyse gratuite en 30 secondes.

Scanner mon site gratuitement →

Résultat immédiat · Sans inscription · 100% gratuit

Violation de données RGPDque faire dans les 72h ?