Violation de données : la procédure de notification CNIL en 72h

Un dump SQL est apparu sur un forum. Un employé a perdu son ordinateur portable. Un email contenant 5 000 adresses a été envoyé en CC au lieu de CCI. Un prestataire a subi un ransomware. Toutes ces situations sont des violations de données au sens du RGPD et déclenchent une obligation de notification à la CNIL dans les 72 heures. Ce guide explique exactement quoi faire.

Définition d'une violation de données

L'article 4.12 du RGPD définit une violation comme "une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données".

Trois critères qui caractérisent une violation :

1. Confidentialité : accès ou divulgation non autorisée
2. Intégrité : modification ou altération non autorisée
3. Disponibilité : perte d'accès ou destruction

Exemples concrets :

• Piratage avec exfiltration de base de données
• Ransomware bloquant l'accès aux données
• Perte ou vol d'un appareil contenant des données (laptop, smartphone, USB)
• Email envoyé au mauvais destinataire avec données personnelles
• Erreur de configuration d'un bucket S3 rendant les données publiques
• Erreur d'accès dans une application (un utilisateur voit les données d'un autre)
• Compromission d'un compte employé donnant accès aux données clients
• Destruction accidentelle d'une base sans sauvegarde

L'obligation de notification : article 33 RGPD

Dès lors qu'une violation est constatée, vous devez la notifier à la CNIL dans les 72 heures, sauf si elle est peu susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.

Comment qualifier le risque

L'évaluation tient compte de :

• Nature des données : sensibles (santé, opinions, identifiants étatiques) ou non
• Volume : 10 personnes vs 100 000
• Identifiabilité : données chiffrées ou en clair
• Possibilité de préjudice : usurpation d'identité, escroquerie, atteinte à la réputation
• Catégories de personnes : enfants, salariés en relation hiérarchique, populations vulnérables

Cas typiques où la notification est obligatoire :

• Fuite incluant des données de santé, financières, ou d'authentification (mots de passe non chiffrés)
• Plus de 100 personnes concernées avec données identifiantes
• Possibilité d'usurpation d'identité (combinaison nom + adresse + date de naissance)
• Données d'enfants
• Mots de passe accessibles en clair

Cas où la notification peut être évitée :

• Données entièrement chiffrées avec clés non compromises
• Volume très restreint sans données sensibles
• Destruction confirmée sans accès tiers

En cas de doute, notifier reste la décision la plus sûre. La CNIL préfère une notification non nécessaire qu'une absence de notification jugée fautive.

Le décompte des 72 heures

Le délai commence à partir du moment où vous avez connaissance de la violation, pas à partir du moment où elle s'est produite.

"Connaissance" implique un degré de certitude raisonnable que la violation a eu lieu. Une simple suspicion non confirmée ne déclenche pas le compteur. Mais une fois confirmée, le délai court — week-ends et jours fériés inclus.

Si vous dépassez les 72 heures :

• La notification reste obligatoire et doit être faite dès que possible
• Vous devez justifier le retard auprès de la CNIL
• Le retard est une circonstance aggravante en cas de sanction

Procédure pas à pas

Heure 0 : Détection et confirmation

• Confirmer la réalité et l'ampleur de la violation
• Activer la cellule de crise (équipe technique, dirigeant, conseil juridique)
• Geler les preuves : logs, captures, snapshots
• Ne pas modifier la configuration avant de l'avoir documentée

Heures 1-12 : Confinement

• Isoler les systèmes compromis
• Révoquer les accès suspects, changer les credentials
• Patcher la vulnérabilité si identifiée
• Activer les sauvegardes propres

Heures 12-48 : Évaluation

• Identifier précisément les données concernées (type, volume, personnes)
• Évaluer le risque pour les personnes
• Décider si la notification CNIL est nécessaire
• Décider si l'information des personnes est nécessaire (article 34)

Heures 48-72 : Notification

Si la notification est requise, soumettre via le téléservice : notifications.cnil.fr

Le formulaire CNIL demande :

• Identité du responsable de traitement
• Coordonnées du DPO (ou du référent)
• Date de la violation et date de connaissance
• Nature de la violation (confidentialité, intégrité, disponibilité)
• Type et volume de données concernées
• Catégories et nombre de personnes concernées
• Conséquences probables
• Mesures prises ou proposées pour atténuer les risques
• Mesures pour prévenir la récidive

Après la notification

• Suivi avec la CNIL si demandes complémentaires
• Information des personnes si requise (article 34)
• Mise à jour du registre interne des violations (obligatoire, article 33.5)
• Plan d'amélioration sécurité

Quand informer les personnes concernées

L'article 34 impose d'informer les personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.

Communication obligatoire si :

• Données financières exposées (numéros de carte, IBAN)
• Identifiants d'authentification compromis
• Données de santé exposées
• Possibilité d'usurpation d'identité

Format de la communication :

• En langage clair et simple
• Doit décrire la nature de la violation
• Doit indiquer les conséquences probables et mesures prises
• Doit fournir les coordonnées du DPO ou du point de contact

Modes : email direct, courrier, notification dans l'application. La communication doit être adaptée au volume de personnes (un dump de 100 000 clients ne se notifie pas par email individuel mais peut nécessiter une communication publique).

Le registre interne des violations

L'article 33.5 oblige le responsable de traitement à documenter toute violation, même celles qui ne sont pas notifiées à la CNIL.

Le registre doit contenir :

• Faits relatifs à la violation
• Effets et conséquences
• Mesures prises pour y remédier

Ce registre peut être contrôlé par la CNIL. Son absence ou son incomplétude est sanctionnable.

Erreurs fréquentes

1. Sous-estimer ce qui est une violation

Un email envoyé en CC au lieu de CCI à 50 destinataires est une violation. Une erreur d'affichage en application qui expose les données d'un autre utilisateur est une violation. La perte d'une clé USB est une violation. Tout cela doit être documenté et potentiellement notifié.

2. Attendre d'avoir toutes les informations

Le RGPD permet une notification par étapes. Si vous n'avez pas toutes les informations à 72h, vous pouvez notifier ce que vous savez et compléter ensuite. Mieux vaut une notification incomplète dans les délais qu'une notification complète tardive.

3. Ne pas tenir le registre

Beaucoup de PME notifient (parfois) mais ne tiennent pas le registre interne. C'est une infraction distincte, sanctionnable indépendamment.

4. Information défaillante des personnes

Une communication ambiguë, dissimulée dans une newsletter, ou trop tardive ne remplit pas l'obligation. Soyez direct et factuel.

5. Ne pas tirer les leçons

Une violation est une opportunité d'amélioration. Documentez le post-mortem : qu'est-ce qui a échoué, quelles mesures préviennent la récidive.

Cas pratiques

Cas 1 : Email envoyé à 200 contacts en CC

Données exposées : adresses email professionnelles. Risque : faible si emails déjà publiquement associés à des entreprises connues, modéré si contacts confidentiels.

Action : enregistrer dans le registre, évaluer la sensibilité, notifier la CNIL si risque modéré ou élevé, informer les destinataires si risque élevé.

Cas 2 : Ransomware sur le serveur principal

Données concernées : base clients complète, mots de passe (hashés ou en clair ?).

Action : déclencher la cellule de crise, restaurer depuis backups propres, notifier obligatoirement dans les 72h, informer les clients dès que possible si risque élevé.

Cas 3 : Bucket S3 mal configuré, photos clients publiques 1 mois

Données : photos contenant potentiellement des données sensibles, métadonnées EXIF.

Action : sécuriser immédiatement, documenter l'incident, évaluer l'ampleur (logs d'accès), notifier la CNIL si risque, informer les clients dont les photos ont été vues.

Cas 4 : Compte employé compromis, exfiltration constatée

Données : selon les accès de l'employé. Vraisemblablement plusieurs catégories de données clients.

Action : révoquer le compte, audit complet des accès, notification CNIL obligatoire, information des clients dont les données ont été exposées.

Checklist en cas de violation

• [ ] Confirmer la réalité et l'ampleur
• [ ] Activer la cellule de crise
• [ ] Geler les preuves (logs, captures)
• [ ] Isoler les systèmes compromis
• [ ] Identifier les données et personnes concernées
• [ ] Évaluer le risque pour les personnes
• [ ] Décider de la notification CNIL (sous 72h)
• [ ] Décider de l'information des personnes
• [ ] Enregistrer dans le registre interne
• [ ] Suivi avec la CNIL
• [ ] Post-mortem et plan d'amélioration

Conclusion

La notification de violation de données est l'une des obligations du RGPD les plus fréquemment ignorées, alors qu'elle est aussi l'une des plus rigoureusement contrôlées. Une violation non notifiée constatée par la CNIL fait basculer une amende potentielle de modérée à très sévère.

Préparez-vous avant que la violation survienne : équipe identifiée, procédure documentée, registre prêt, sauvegardes testées. Le jour J, vous gagnerez les heures précieuses qui font la différence entre une notification dans les délais et un retard reproché.