Qu'est-ce qu'une violation de données personnelles ?

L'article 4, paragraphe 12 du RGPD définit la violation de données personnelles comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données personnelles transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

Une violation de données n'est donc pas nécessairement une cyberattaque. Elle peut résulter d'une erreur humaine (email envoyé au mauvais destinataire, fichier partagé sans restriction d'accès), d'un vol de matériel, d'une panne entraînant une perte de données ou d'un accès non autorisé par un collaborateur.

L'obligation de notification à la CNIL dans les 72 heures

L'article 33 du RGPD impose au responsable du traitement de notifier toute violation de données à l'autorité de contrôle compétente (en France, la CNIL) dans les 72 heures suivant la prise de connaissance de la violation, sauf si la violation en question est peu susceptible d'engendrer un risque pour les droits et libertés des personnes physiques.

Ce délai de 72 heures est strict. Il court à partir du moment où l'organisation a connaissance de la violation — et non à partir du moment où elle en a la certitude. Une suspicion sérieuse suffit à déclencher le délai. Si la notification ne peut pas être transmise dans les 72 heures, elle doit l'être dès que possible, accompagnée des raisons du retard.

⚠️ Important : l'obligation de notification à la CNIL s'applique même si l'organisation n'est pas encore en mesure de fournir toutes les informations requises. Une notification partielle dans les délais vaut mieux qu'une notification complète hors délai. Les informations manquantes peuvent être transmises par étapes.

Ce que doit contenir la notification

L'article 33, paragraphe 3 du RGPD précise le contenu attendu de la notification à la CNIL.

Article 33(3), RGPD · Contenu de la notification

La notification décrit la nature de la violation (catégories et nombre approximatif de personnes concernées, catégories et nombre approximatif de données), les coordonnées du DPO ou du point de contact, les conséquences probables de la violation et les mesures prises ou envisagées pour y remédier.

Faut-il aussi informer les personnes concernées ?

Oui, dans certains cas. L'article 34 du RGPD impose de communiquer la violation aux personnes concernées lorsqu'elle est susceptible d'engendrer un risque élevé pour leurs droits et libertés — par exemple en cas de vol de données bancaires, de divulgation de données médicales ou de données permettant une usurpation d'identité. Cette communication doit être effectuée dans les meilleurs délais et formulée en termes clairs et simples.

Que faire dans les 72 heures : les étapes clés

1
Qualifier et contenir la violationIdentifier la nature et l'étendue de la violation. Prendre les mesures immédiates pour stopper l'incident (bloquer un accès, révoquer des droits, isoler un système).
2
Évaluer le risqueEstimer les catégories et le nombre de personnes concernées, la nature des données impliquées et les conséquences probables. Cette évaluation conditionne les étapes suivantes.
3
Notifier la CNIL si nécessaireVia le formulaire en ligne sur le portail de la CNIL (notifications.cnil.fr). La notification peut être complétée ultérieurement si toutes les informations ne sont pas encore disponibles.
4
Informer les personnes concernées si le risque est élevéRédiger une communication claire, factuelle et en langage accessible. Indiquer les mesures prises et les conseils pratiques pour les personnes (changer un mot de passe, surveiller leurs comptes, etc.).
5
Documenter la violation dans le registreL'article 33(5) du RGPD impose de documenter toutes les violations, y compris celles qui n'ont pas été notifiées à la CNIL. Cette documentation doit permettre à l'autorité de vérifier le respect des obligations.

La gestion des violations de données est l'une des situations où la présence d'un délégué à la protection des données est la plus précieuse. Un DPO externe peut intervenir rapidement pour qualifier la violation, préparer la notification et coordonner la réponse.

Vous faites face à une violation de données ?

Contactez-moi pour une réponse rapide.

06 51 48 37 74 jerome.lesaffre@soethik.com