Modèle Notification CNIL : Violation de Données (PDF)

La notification de violation de données personnelles à la CNIL est une obligation légale imposée par le Règlement Général sur la Protection des Données (RGPD) à tout responsable de traitement confronté à une brèche de sécurité affectant des données à caractère personnel. L'article 33 du RGPD impose un délai de notification de 72 heures qui, en pratique, s'avère extrêmement court pour des organisations souvent prises au dépourvu par l'incident. En 2025, la CNIL a reçu plus de 5 000 notifications de violations de données, un chiffre en hausse constante de 15 % par an, témoignant à la fois d'une meilleure prise de conscience des obligations et d'une augmentation réelle des cyberattaques ciblant les données personnelles. Ce guide détaillé vous accompagne dans chaque étape du processus de notification, depuis l'identification de la violation jusqu'à la communication aux personnes concernées, avec un modèle de formulaire prêt à l'emploi qui vous fera gagner un temps précieux dans ces premières heures critiques où chaque minute compte.

Comprendre l'article 33 du RGPD : l'obligation de notification à l'autorité de contrôle

L'article 33 du RGPD constitue la pierre angulaire du dispositif de notification des violations de données. Il dispose que « en cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation en question à l'autorité de contrôle compétente conformément à l'article 55, dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance ». Cette formulation mérite une analyse attentive car chaque terme a des implications pratiques importantes.

Le terme « responsable du traitement » désigne la personne physique ou morale qui détermine les finalités et les moyens du traitement des données personnelles. C'est l'entreprise elle-même, non son prestataire informatique ou son sous-traitant, qui est tenue de notifier la CNIL. Toutefois, l'article 33(2) précise que le sous-traitant qui constate une violation doit en informer le responsable du traitement « dans les meilleurs délais ». En pratique, les contrats de sous-traitance doivent prévoir un délai de notification du sous-traitant vers le responsable de traitement significativement inférieur à 72 heures (24 heures est une bonne pratique) pour laisser suffisamment de temps au responsable pour analyser la situation et effectuer sa propre notification.

Le terme « violation de données à caractère personnel » est défini à l'article 4(12) du RGPD comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ». Cette définition est intentionnellement large et couvre trois types de violations distinctes que nous détaillerons plus loin.

L'expression « dans les meilleurs délais et, si possible, 72 heures » signifie que les 72 heures constituent un objectif mais pas un délai absolu. Si la notification ne peut être réalisée dans les 72 heures, elle doit être accompagnée de motifs de retard justifiés. La CNIL accepte que des incidents complexes nécessitent un délai plus long, à condition que le responsable de traitement puisse démontrer qu'il a agi avec diligence et que le retard est objectivement justifié par la complexité de l'investigation.

L'article 34 du RGPD : quand notifier les personnes concernées

L'article 34 du RGPD impose une obligation complémentaire : la communication de la violation aux personnes concernées (les individus dont les données ont été affectées) lorsque la violation est « susceptible d'engendrer un risque élevé pour les droits et libertés d'une personne physique ». Cette obligation est distincte de la notification à la CNIL et s'ajoute à celle-ci lorsque le niveau de risque le justifie.

L'évaluation du « risque élevé » repose sur plusieurs critères définis par les lignes directrices du Comité Européen de la Protection des Données (CEPD/EDPB) : la nature des données affectées (données de santé, données financières, numéros de sécurité sociale, données judiciaires), le nombre de personnes concernées, la possibilité d'identifier les personnes à partir des données violées, les conséquences possibles pour les personnes (usurpation d'identité, discrimination, perte financière, atteinte à la réputation), et les caractéristiques spécifiques des personnes concernées (enfants, personnes vulnérables).

La communication aux personnes concernées doit être effectuée « dans les meilleurs délais » et doit décrire, en des termes clairs et simples, la nature de la violation, les conséquences probables, les mesures prises ou proposées par le responsable pour remédier à la violation et en atténuer les effets négatifs, ainsi que les coordonnées du DPO ou du point de contact pour obtenir plus d'informations.

Trois exceptions dispensent de la communication aux personnes : (1) si le responsable a mis en œuvre des mesures de protection techniques rendant les données inintelligibles (chiffrement robuste avec clé non compromise) ; (2) si des mesures ultérieures garantissent que le risque élevé n'est plus susceptible de se matérialiser ; (3) si la communication exigerait des efforts disproportionnés (dans ce cas, une communication publique ou un avis publié sur le site web est substitué).

Les trois types de violations de données personnelles

Le RGPD distingue trois catégories de violations, chacune correspondant à une atteinte spécifique aux propriétés fondamentales de sécurité des données.

La violation de confidentialité est la plus courante et la plus médiatisée. Elle survient lorsque des données personnelles sont divulguées ou rendues accessibles à des personnes non autorisées. Exemples : cyberattaque avec exfiltration de la base clients, e-mail contenant des données personnelles envoyé au mauvais destinataire, perte d'un ordinateur portable non chiffré contenant des dossiers RH, accès non autorisé d'un employé à des données auxquelles il ne devrait pas avoir accès, publication accidentelle de données sur un serveur web accessible publiquement.

La violation d'intégrité concerne l'altération non autorisée des données personnelles. Elle est moins fréquente mais potentiellement plus dangereuse car elle peut passer inaperçue. Exemples : modification malveillante de dossiers médicaux dans un hôpital, altération de données bancaires dans un système de paiement, corruption de base de données par un malware sans exfiltration, injection SQL modifiant des enregistrements client. L'impact peut être particulièrement grave si les données altérées sont utilisées pour prendre des décisions affectant les personnes concernées (décisions médicales, décisions de crédit).

La violation de disponibilité survient lorsque les données personnelles deviennent temporairement ou définitivement inaccessibles. Exemples : ransomware chiffrant les bases de données contenant des données personnelles (même si les données ne sont pas exfiltrées, la perte de disponibilité constitue une violation), panne de serveur entraînant une perte définitive de données sans sauvegarde, suppression accidentelle de dossiers patients dans un système hospitalier. La CNIL considère qu'un ransomware constitue une violation notifiable même si aucune exfiltration n'est détectée, car la perte de disponibilité peut avoir des conséquences graves pour les personnes concernées.

Le délai de 72 heures en pratique : questions concrètes

Le délai de 72 heures soulève de nombreuses questions pratiques auxquelles les responsables de traitement doivent être préparés avant qu'un incident ne survienne.

Quand commence le délai ? Le délai commence lorsque le responsable de traitement « prend connaissance » de la violation. Selon les lignes directrices du CEPD, la « prise de connaissance » intervient lorsque le responsable dispose d'un degré raisonnable de certitude qu'un incident de sécurité a conduit à la compromission de données personnelles. Un premier signalement d'anomalie ne déclenche pas nécessairement le délai si une investigation est nécessaire pour confirmer la violation. En revanche, un e-mail d'un collaborateur signalant qu'il a envoyé un fichier contenant des données clients au mauvais destinataire constitue une prise de connaissance immédiate.

Que se passe-t-il si l'incident survient un vendredi soir ou pendant les vacances ? Les 72 heures courent de manière continue, week-ends et jours fériés inclus. Le responsable de traitement doit donc avoir mis en place des procédures d'astreinte garantissant qu'une violation détectée en dehors des heures de bureau puisse être qualifiée et notifiée dans les délais. L'absence de personnel disponible n'est pas un motif de retard recevable par la CNIL.

Peut-on faire une notification préliminaire puis la compléter ? Oui, c'est même recommandé. L'article 33(4) du RGPD prévoit expressément que « les informations peuvent être communiquées de manière échelonnée ». La CNIL accepte les notifications initiales incomplètes (« notification par phases ») à condition qu'elles soient effectuées dans les 72 heures avec les informations disponibles à ce stade, puis complétées « dans les meilleurs délais » à mesure que l'investigation progresse. Le formulaire en ligne de la CNIL permet de créer une notification initiale puis de la compléter ultérieurement.

Que risque-t-on en cas de retard de notification ? Le non-respect du délai de 72 heures constitue un manquement au RGPD passible de sanctions administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. En pratique, la CNIL prend en compte la bonne foi du responsable, la complexité de l'incident et les efforts déployés pour respecter le délai. Un retard modéré (quelques jours) avec une justification légitime est traité différemment d'une absence totale de notification découverte lors d'un contrôle.

Le formulaire de notification CNIL section par section

La notification à la CNIL s'effectue en ligne via le téléservice dédié sur le site cnil.fr. Le formulaire est structuré en plusieurs sections que nous détaillons ci-dessous avec les bonnes pratiques de remplissage.

Section 1 — Identification du responsable de traitement : raison sociale, numéro SIREN, adresse, secteur d'activité, coordonnées du DPO (obligatoire si l'organisme a désigné un DPO) et coordonnées du point de contact pour le suivi du dossier. Cette section doit pouvoir être pré-remplie à l'avance dans votre plan de réponse à incident pour gagner du temps le jour J.

Section 2 — Nature de la violation : type de violation (confidentialité, intégrité, disponibilité — cases à cocher, plusieurs choix possibles), circonstances de la violation (acte malveillant externe, erreur humaine interne, défaillance technique, perte/vol de matériel), description des faits (texte libre — soyez factuel et chronologique : « le [date], à [heure], [événement détecté], l'investigation a révélé que [description de la compromission] »).

Section 3 — Catégories de données affectées : identité (nom, prénom, adresse, date de naissance), coordonnées (e-mail, téléphone), données financières (numéro de carte bancaire, RIB), données de connexion (identifiants, mots de passe, adresses IP), données sensibles au sens de l'article 9 du RGPD (données de santé, opinions politiques, appartenance syndicale, données biométriques, orientation sexuelle), données judiciaires (casier judiciaire, infractions). La catégorisation précise est essentielle car elle détermine le niveau de risque pour les personnes concernées.

Section 4 — Personnes concernées : nombre de personnes affectées (exact si connu, estimation sinon), catégories de personnes (clients, salariés, patients, mineurs, etc.). Si le nombre exact n'est pas encore déterminé au moment de la notification initiale, fournissez une fourchette et précisez que l'investigation est en cours.

Section 5 — Conséquences probables de la violation : usurpation d'identité, fraude financière, discrimination, atteinte à la réputation, perte de contrôle sur les données, préjudice physique (si données de santé). L'évaluation des conséquences doit être réaliste et documentée, ni minimisée ni exagérée.

Section 6 — Mesures prises : mesures techniques de confinement (isolation des systèmes, changement de mots de passe, correction de la vulnérabilité exploitée), mesures organisationnelles (activation du plan de réponse à incident, mobilisation de l'équipe), mesures de mitigation des risques pour les personnes concernées (surveillance renforcée des comptes, mise en place d'un service de protection contre l'usurpation d'identité). La CNIL évalue favorablement les responsables qui démontrent une réponse rapide et proportionnée.

Quand faut-il notifier ? Quand ne faut-il pas notifier ?

L'article 33(1) prévoit une exception : la notification n'est pas requise si la violation « n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques ». Cette exception doit être interprétée de manière restrictive. En cas de doute, la CNIL recommande de notifier plutôt que de s'abstenir.

Cas nécessitant notification : exfiltration de données clients (noms, adresses, e-mails) par un attaquant, ransomware ayant chiffré une base de données contenant des données personnelles (même sans exfiltration avérée), perte d'un ordinateur portable non chiffré contenant des données RH, envoi d'un fichier contenant des données de santé au mauvais destinataire, compromission de comptes utilisateurs donnant accès à des données personnelles, publication accidentelle de données personnelles sur un site web.

Cas ne nécessitant pas notification (mais nécessitant documentation) : perte d'un support chiffré avec algorithme robuste et clé non compromise (les données sont illisibles), incident technique ayant rendu des données temporairement indisponibles pendant quelques heures sans conséquence pour les personnes, tentative d'intrusion infructueuse sans accès aux données, e-mail de phishing reçu mais non ouvert par le destinataire.

Cas limites nécessitant une analyse au cas par cas : accès non autorisé d'un employé à des données qu'il n'était pas censé consulter (l'intention et le volume d'accès sont déterminants), perte de données sauvegardées et restaurables dans un délai court (l'impact de l'indisponibilité temporaire sur les personnes est à évaluer), transmission de données personnelles à un sous-traitant non conforme RGPD (le risque dépend de la nature des données et du niveau de sécurité du sous-traitant).

Exemples de sanctions CNIL pour non-notification ou notification tardive

La CNIL a prononcé plusieurs sanctions significatives liées au non-respect des obligations de notification, constituant une jurisprudence riche d'enseignements.

Délibération SAN-2021-020 : la société DEDALUS BIOLOGIE a été sanctionnée d'une amende de 1,5 million d'euros pour une fuite de données médicales de près de 500 000 patients. La CNIL a notamment reproché à la société l'insuffisance des mesures de sécurité et le retard dans la notification. Les données comprenaient des noms, prénoms, numéros de sécurité sociale, informations médicales (VIH, grossesse, traitements), nom du médecin traitant. La gravité de la sanction reflète la sensibilité extrême des données de santé.

Délibération SAN-2022-009 : un courtier en assurance a été sanctionné pour avoir omis de notifier la CNIL d'une violation de données résultant d'une attaque par credential stuffing sur son portail clients. La CNIL a estimé que le responsable avait connaissance de l'incident depuis plusieurs mois avant de procéder à la notification, ce qui constituait un manquement caractérisé à l'article 33.

Délibération SAN-2023-014 : une collectivité territoriale a été mise en demeure pour avoir tardé à notifier la CNIL d'un incident de ransomware ayant affecté les données personnelles de milliers d'administrés. La CNIL a rappelé que les 72 heures courent dès la prise de connaissance de la violation, indépendamment de la complexité de l'investigation technique.

Ces exemples montrent que la CNIL prend en compte non seulement le retard de notification mais aussi les mesures de sécurité préalables insuffisantes et la gestion globale de l'incident. Un responsable qui notifie dans les délais mais n'avait pas mis en place des mesures de sécurité adaptées sera sanctionné sur les deux manquements cumulativement.

Le rôle du DPO dans la gestion des violations de données

Le DPO (Délégué à la Protection des Données) joue un rôle central dans le processus de notification. L'article 39 du RGPD lui confie la mission de « coopérer avec l'autorité de contrôle » et de servir de point de contact avec la CNIL. En matière de violations de données, le DPO intervient à plusieurs niveaux.

Dès la détection de l'incident, le DPO doit être immédiatement informé par l'équipe technique ou le RSSI. Son rôle est d'évaluer si l'incident constitue une violation de données personnelles au sens du RGPD, d'apprécier le niveau de risque pour les personnes concernées (critères du CEPD), de conseiller le responsable de traitement sur l'obligation de notification et son périmètre, de rédiger ou superviser la notification à la CNIL, d'évaluer la nécessité de communiquer aux personnes concernées, et de documenter l'ensemble de la procédure dans le registre des violations.

Le DPO n'est pas le décideur de la notification : cette responsabilité incombe au responsable de traitement (direction générale). Mais le DPO a l'obligation de donner un avis éclairé et, en cas de désaccord avec la décision de la direction (par exemple si la direction décide de ne pas notifier malgré l'avis contraire du DPO), il doit documenter sa position et peut, en dernier recours, informer la CNIL de la situation, sa fonction bénéficiant d'une protection contre les sanctions disciplinaires liées à l'exercice de ses missions.

La documentation des violations : une obligation même sans notification

L'article 33(5) du RGPD impose une obligation souvent méconnue : le responsable de traitement doit documenter toutes les violations de données personnelles, y compris celles qui ne nécessitent pas de notification à la CNIL. Cette documentation doit comprendre les faits relatifs à la violation, ses effets et les mesures prises pour y remédier. Elle doit permettre à la CNIL de vérifier le respect des obligations lors d'un contrôle.

En pratique, cette obligation se traduit par la tenue d'un registre des violations de données distinct du registre des traitements. Ce registre doit contenir, pour chaque violation : la date de découverte, la description de la violation, les catégories de données et de personnes concernées, les conséquences probables, les mesures de remédiation prises, la décision de notification ou de non-notification (avec la justification), et les actions de suivi. Ce registre constitue une pièce maîtresse en cas de contrôle CNIL et doit être tenu avec la même rigueur que le registre des traitements.

Coordination entre notification CNIL et réponse à incident technique

La notification CNIL s'inscrit dans le cadre plus large du plan de réponse à incident de l'organisation. Il est essentiel que les processus techniques (confinement, éradication, récupération) et les processus réglementaires (notification CNIL, communication aux personnes) soient coordonnés sans que l'un ne retarde l'autre.

En pratique, les premières 24 heures après la détection doivent être consacrées simultanément au confinement technique (isolation des systèmes compromis, préservation des preuves) et à la qualification réglementaire (les données personnelles sont-elles affectées ? Quelles catégories ? Combien de personnes ?). Le DPO et le RSSI doivent travailler en parallèle, avec un point de synchronisation toutes les 4 à 6 heures pendant la phase aiguë de l'incident.

Il est crucial de ne pas retarder le confinement technique sous prétexte de collecter des informations pour la notification. À l'inverse, il ne faut pas retarder la notification sous prétexte que l'investigation technique n'est pas terminée. La notification par phases (notification initiale complétée ultérieurement) permet de concilier ces deux impératifs.

Modèle de procédure interne de notification

Une procédure interne documentée est indispensable pour garantir une réponse rapide et structurée. Voici la procédure recommandée en 8 étapes, à adapter à votre organisation.

Étape 1 (H+0 à H+1) — Alerte initiale : tout collaborateur constatant ou suspectant une violation de données la signale immédiatement au RSSI et au DPO via le canal d'urgence défini (téléphone, messagerie chiffrée). Le RSSI active les premières mesures de confinement technique.

Étape 2 (H+1 à H+4) — Qualification : le DPO et le RSSI évaluent conjointement si l'incident constitue une violation de données personnelles. Si oui, ils déterminent les catégories de données et de personnes potentiellement affectées et évaluent le niveau de risque préliminaire.

Étape 3 (H+4 à H+12) — Investigation approfondie : l'équipe technique conduit une investigation pour préciser l'étendue de la violation : quels systèmes, quelles données, combien de personnes, quel vecteur d'attaque. Le DPO commence à préparer la notification CNIL avec les éléments disponibles.

Étape 4 (H+12 à H+24) — Décision de notification : le DPO présente son analyse à la direction générale. La décision de notifier (ou de ne pas notifier avec justification documentée) est prise et formalisée par écrit.

Étape 5 (H+24 à H+48) — Rédaction et soumission : le DPO finalise le formulaire de notification CNIL et le soumet en ligne. Une copie de la notification est archivée dans le registre des violations.

Étape 6 (H+48 à H+72) — Communication aux personnes : si le risque est élevé, le DPO prépare la communication aux personnes concernées (e-mail, courrier, publication sur le site web selon le cas).

Étape 7 (J+3 à J+30) — Suivi et compléments : la notification initiale est complétée à mesure que l'investigation révèle de nouvelles informations. Les mesures correctives sont mises en œuvre et documentées.

Étape 8 (J+30 à J+60) — Clôture et REX : un retour d'expérience est organisé pour identifier les améliorations à apporter à la procédure. Le registre des violations est mis à jour avec le bilan final.

Spécificités sectorielles de la notification

Certains secteurs d'activité sont soumis à des obligations de notification additionnelles au RGPD, qui se cumulent avec la notification CNIL.

Le secteur bancaire et financier est soumis au règlement DORA (Digital Operational Resilience Act) qui impose la notification des incidents ICT majeurs à l'autorité de supervision compétente (ACPR en France pour les banques, AMF pour les sociétés de gestion). Les délais et les critères de notification sont spécifiques et ne se substituent pas à l'obligation RGPD.

Le secteur des télécommunications est soumis à l'article 83 de la directive 2018/1972 (Code européen des communications électroniques) qui impose la notification des violations de données personnelles à la CNIL ET aux abonnés/utilisateurs affectés. Cette obligation spécifique s'applique en plus de l'obligation générale du RGPD.

Le secteur de la santé est soumis à des obligations de signalement des incidents de sécurité des systèmes d'information auprès de l'ARS (Agence Régionale de Santé) et du CERT Santé. La sensibilité extrême des données de santé (données « sensibles » au sens de l'article 9 du RGPD) abaisse considérablement le seuil à partir duquel la communication aux personnes est requise.

Les opérateurs d'importance vitale (OIV) et les entités soumises à NIS 2 doivent notifier les incidents significatifs au CERT-FR (ANSSI) selon les modalités prévues par la directive, en plus de la notification CNIL si des données personnelles sont affectées.

Outils et ressources pour la notification

Plusieurs outils et ressources sont disponibles pour vous aider dans le processus de notification.

Le téléservice de notification de la CNIL (notifications.cnil.fr) est le canal officiel de notification. Il guide le déclarant à travers les différentes sections du formulaire et permet la sauvegarde de brouillons et la complétion ultérieure. Un compte CNIL est nécessaire pour y accéder et doit être créé à l'avance.

L'outil d'auto-évaluation du risque du CEPD aide à déterminer le niveau de risque pour les personnes concernées et donc la nécessité de notification. Il prend en compte la nature des données, le nombre de personnes, les circonstances de la violation et les mesures de protection en place.

Le guide de la CNIL « Les violations de données personnelles » fournit des exemples pratiques de violations avec l'analyse de la nécessité de notification dans chaque cas. Ce document est une référence indispensable pour les DPO et les RSSI, disponible gratuitement sur le site de la CNIL.

Le référentiel de l'ANSSI sur la gestion des incidents de sécurité complète les aspects techniques de la réponse et peut être consulté en parallèle pour la dimension technique de la gestion de l'incident. Consultez également notre guide RGPD 2026 pour les aspects de conformité globale et notre glossaire cybersécurité pour les définitions techniques.

Préparer votre organisation à la notification : checklist de préparation

La préparation en amont est déterminante pour respecter le délai de 72 heures. Voici les actions préventives à mettre en place sans attendre qu'un incident se produise. Premièrement, désignez un DPO ou un référent RGPD interne, même si votre organisation n'est pas soumise à l'obligation de désignation. Cette personne sera le point focal en cas de violation et doit être formée aux procédures de notification. Deuxièmement, créez un compte sur le téléservice de notification de la CNIL et familiarisez-vous avec le formulaire en conditions normales, pas en situation de crise. Troisièmement, pré-rédigez les sections invariables du formulaire de notification (identification du responsable, coordonnées du DPO, description des mesures de sécurité en place). Quatrièmement, intégrez la procédure de notification RGPD dans votre plan de réponse à incident global, avec des rôles et responsabilités clairement définis. Cinquièmement, constituez un dossier de référence contenant l'inventaire des traitements de données personnelles, la cartographie des flux de données, la liste des sous-traitants et leurs clauses contractuelles, et les mesures de sécurité techniques et organisationnelles en place. Ce dossier permettra d'accélérer considérablement l'évaluation de l'impact d'une violation. Sixièmement, organisez au moins un exercice annuel de simulation de violation de données impliquant le DPO, le RSSI, la direction juridique et la direction générale, pour tester la procédure et identifier les points d'amélioration.

Questions fréquentes sur la notification CNIL

Doit-on notifier la CNIL même si la violation est due à une erreur humaine interne ?

Oui. L'obligation de notification s'applique quelle que soit la cause de la violation : attaque externe, erreur humaine, défaillance technique, négligence. Un e-mail envoyé au mauvais destinataire contenant des données personnelles, un fichier partagé par erreur sur un cloud public, ou une suppression accidentelle de données sont autant de violations notifiables si elles engendrent un risque pour les personnes concernées. La cause de la violation sera prise en compte dans l'évaluation de la gravité et des mesures correctives, mais ne dispense jamais de l'obligation de notification.

La notification à la CNIL peut-elle être utilisée contre le responsable de traitement ?

La CNIL a adopté une position pragmatique sur cette question : elle encourage la notification en garantissant que le fait même de notifier ne sera pas utilisé comme élément à charge. En revanche, si l'investigation consécutive à la notification révèle des manquements graves aux obligations de sécurité (absence de chiffrement, mots de passe stockés en clair, absence de mises à jour de sécurité), ces manquements pourront faire l'objet de poursuites distinctes. La notification est donc un facteur atténuant, jamais un facteur aggravant.

Que faire si le sous-traitant refuse de communiquer les informations nécessaires ?

Le contrat de sous-traitance (article 28 du RGPD) doit prévoir une clause d'assistance en cas de violation obligeant le sous-traitant à fournir toutes les informations nécessaires au responsable pour remplir ses obligations de notification. Si le sous-traitant refuse de coopérer, le responsable doit néanmoins notifier la CNIL dans les délais avec les informations disponibles, en précisant que des éléments complémentaires seront fournis ultérieurement. La non-coopération du sous-traitant peut constituer un manquement contractuel et une violation du RGPD de la part du sous-traitant.

Faut-il notifier si les données étaient chiffrées et que la clé n'a pas été compromise ?

Si les données étaient protégées par un chiffrement robuste (AES-256, RSA avec clé de taille suffisante) et que la clé de chiffrement n'a pas été compromise, le risque pour les personnes est considéré comme très faible car les données sont inintelligibles pour l'attaquant. Dans ce cas, la notification à la CNIL peut ne pas être requise (mais la violation doit quand même être documentée dans le registre), et la communication aux personnes concernées n'est pas nécessaire en vertu de l'exception de l'article 34(3)(a). Attention : le simple chiffrement du disque dur (BitLocker) ne suffit pas si l'appareil était allumé et déverrouillé au moment du vol.

Comment gérer une violation de données impliquant plusieurs pays européens ?

Si la violation affecte des personnes dans plusieurs États membres de l'UE, le mécanisme de guichet unique (one-stop-shop) s'applique : la notification est effectuée auprès de l'autorité de contrôle de l'État membre où se trouve l'établissement principal du responsable. Pour une entreprise française, c'est la CNIL. L'autorité chef de file coordonne ensuite avec les autres autorités concernées. Si la violation affecte des personnes dans un État non membre de l'UE, les obligations locales de notification de ce pays s'ajoutent aux obligations RGPD.

Peut-on porter plainte simultanément à la notification CNIL ?

Oui, et c'est même recommandé en cas de cyberattaque. Le dépôt de plainte (commissariat, gendarmerie, ou directement auprès du procureur) est distinct de la notification CNIL et poursuit un objectif différent : l'identification et la poursuite de l'auteur de l'attaque. La plainte peut être déposée auprès du service de police ou de gendarmerie le plus proche, ou via la plateforme THESEE pour les cyberescroqueries. Pour les infractions complexes, la BEFTI (Brigade d'Enquêtes sur les Fraudes aux Technologies de l'Information) et l'OCLCTIC peuvent être saisis. Le dépôt de plainte est également un élément positif en cas de contrôle CNIL, car il démontre la prise au sérieux de l'incident.

Comment communiquer la violation aux personnes concernées ?

La communication doit être directe et individuelle (e-mail, courrier postal) sauf si le nombre de personnes concernées est tel qu'une communication individuelle exigerait des efforts disproportionnés (dans ce cas, une publication sur le site web et un communiqué de presse sont acceptables). Le message doit être rédigé dans un langage clair et simple, éviter le jargon technique, décrire les conséquences concrètes pour la personne, et fournir des recommandations pratiques (changer de mot de passe, surveiller ses relevés bancaires, se méfier des tentatives de phishing ciblé utilisant les données volées).

Quelle est la différence entre notification CNIL (RGPD) et notification NIS 2 ?

Ce sont deux obligations distinctes et cumulatives. La notification RGPD (article 33) concerne les violations de données personnelles et est adressée à la CNIL. La notification NIS 2 concerne les incidents significatifs affectant la sécurité des réseaux et systèmes d'information et est adressée au CSIRT national (CERT-FR/ANSSI). Un incident peut déclencher les deux notifications simultanément (par exemple, un ransomware chez un opérateur essentiel affectant des données personnelles). Les délais, les critères et les autorités destinataires sont différents, et il faut gérer les deux processus en parallèle.

Inspiré des recommandations de cybermalveillance.gouv.fr (licence Etalab 2.0), de l'ANSSI et de la CNIL.

Conclusion

La prévention et la préparation restent les meilleures armes face aux cybermenaces. Téléchargez cette ressource, diffusez-la dans votre organisation et n'hésitez pas à nous contacter pour un accompagnement personnalisé.