Quand une violation de données survient, vous avez 72 heures pour notifier la CNIL (article 33 RGPD) — week-ends et jours fériés compris. Sans procédure écrite, ce délai est intenable : les équipes découvrent les obligations en pleine crise, la qualification traîne, et le retard de notification devient lui-même un manquement sanctionnable. Ce guide fournit une procédure complète prête à adopter, avec les templates de qualification, de notification et de registre.
Le cadre : l’article 4(12) du RGPD définit la violation comme toute violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation ou l’accès non autorisés à des données personnelles. Trois obligations en découlent : documenter toute violation dans un registre interne (article 33(5)), notifier la CNIL sauf si le risque pour les personnes est improbable (article 33(1)), et communiquer aux personnes concernées en cas de risque élevé (article 34). Les lignes directrices EDPB 9/2022 précisent la méthode. Pour le cadre juridique détaillé, voir notre guide de la notification de violation.
Modèle de procédure de gestion des violations
PROCÉDURE DE GESTION DES VIOLATIONS DE DONNÉES PERSONNELLES — [Société] Version [1.0] — [date] — Responsable : [DPO / référent RGPD]
Étape 1 — Détection et signalement interne (H0). Tout collaborateur ou prestataire qui constate ou suspecte un incident de sécurité affectant des données personnelles (perte d’équipement, email mal adressé, ransomware, accès anormal, fuite) le signale immédiatement à [adresse dédiée / téléphone], sans tenter de traiter seul l’incident. Les sous-traitants notifient conformément à leur DPA, au plus tard sous [24/48] heures. Le décompte des 72 heures démarre à la prise de connaissance de la violation par l’entreprise.
Étape 2 — Qualification (H0 → H+12). La cellule violation ([DPO, DSI/RSSI, direction, juriste]) établit la fiche de qualification :
- Nature de la violation : confidentialité / intégrité / disponibilité
- Catégories et volume de données ; données sensibles (article 9) ou hautement personnelles (bancaires, identité) ?
- Catégories et nombre de personnes concernées
- Cause probable et périmètre technique
- Conséquences probables pour les personnes (usurpation d’identité, fraude, discrimination, atteinte à la réputation)
- Évaluation du risque : improbable / risque / risque élevé (méthode EDPB : gravité x probabilité, critères ENISA)
Étape 3 — Mesures de confinement (en parallèle). Isolement des systèmes affectés, révocation des accès compromis, restauration depuis sauvegardes saines, conservation des preuves (journaux, images disque). Aucune destruction de preuves avant analyse.
Étape 4 — Décision de notification (H+24 max).
- Risque improbable → pas de notification CNIL ; inscription au registre avec justification.
- Risque → notification CNIL sous 72 heures via le téléservice CNIL.
- Risque élevé → notification CNIL + communication aux personnes concernées dans les meilleurs délais (article 34), sauf exceptions (chiffrement rendant les données incompréhensibles, mesures ultérieures écartant le risque, ou effort disproportionné → communication publique). Si toutes les informations ne sont pas disponibles sous 72 heures : notification initiale puis complémentaire (article 33(4)). Ne jamais attendre d’avoir tout pour notifier.
Étape 5 — Registre des violations (systématique, article 33(5)). Toute violation, notifiée ou non, est inscrite au registre : faits, effets, mesures prises. Voir modèle de registre ci-dessous.
Étape 6 — Retour d’expérience (J+15). Analyse des causes racines, plan d’action correctif, mise à jour de l’analyse de risques et des mesures article 32, information de la direction.
Template de notification CNIL (contenu article 33(3))
NOTIFICATION DE VIOLATION — ÉLÉMENTS À PRÉPARER
- Nature de la violation : [ex. : accès non autorisé à la base clients via un compte compromis, entre le … et le …]
- Catégories et nombre approximatif de personnes concernées : [ex. : ~12 000 clients]
- Catégories et volume d’enregistrements concernés : [identité, email, adresse, historique de commandes ; pas de données bancaires]
- Coordonnées du DPO ou point de contact : [nom, email, téléphone]
- Conséquences probables : [risque de phishing ciblé et de tentatives d’usurpation d’identité]
- Mesures prises ou proposées : [révocation des accès, réinitialisation des mots de passe, dépôt de plainte, information des personnes le …]
Template de communication aux personnes (article 34)
Objet : Information importante concernant vos données personnelles
Madame, Monsieur, Nous vous informons qu’un incident de sécurité survenu le [date] a affecté certaines de vos données personnelles : [catégories]. À ce stade, [ce que l’on sait / ne sait pas]. Conséquences possibles : [ex. : emails de phishing usurpant notre identité]. Ce que nous avons fait : [mesures de confinement, notification à la CNIL, dépôt de plainte]. Ce que nous vous recommandons : [changer votre mot de passe, vigilance sur les emails demandant vos identifiants ; nous ne vous demanderons jamais votre mot de passe]. Pour toute question : [DPO, coordonnées].
La communication doit être rédigée « en des termes clairs et simples » (article 34(2)) : pas de jargon, pas de minimisation trompeuse.
Comment adapter cette procédure
Nommez des personnes, pas des fonctions vides. La cellule violation doit exister avec des suppléants et des coordonnées joignables le week-end — la plupart des violations se découvrent le vendredi soir. Testez la procédure une fois par an par un exercice sur table.
Verrouillez la chaîne sous-traitants. L’article 33(2) impose au sous-traitant de notifier « dans les meilleurs délais » : fixez 24-48 h dans vos DPA et vérifiez que vos prestataires ont eux-mêmes une procédure. Sur les obligations des prestataires, voir notre guide du sous-traitant RGPD.
Calibrez l’évaluation du risque. Utilisez une grille objective (méthodologie ENISA reprise par l’EDPB) : nature des données, facilité d’identification, gravité des conséquences, caractéristiques des personnes (mineurs, patients). Documentez chaque cotation : en cas de contrôle, la CNIL vérifie la justification des non-notifications. Les manquements coûtent cher : Dedalus Biologie a été sanctionnée de 1,5 million d’euros après la fuite des données médicales de près de 500 000 personnes (délibération SAN-2022-009), et les défauts de sécurité à l’origine des violations sont systématiquement sanctionnés sur le fondement de l’article 32.
Articulez avec la gestion de crise cyber. En cas de ransomware, la procédure violation s’exécute en parallèle de la réponse à incident (ANSSI, assurance cyber, dépôt de plainte). Le paiement d’une rançon ne supprime pas l’obligation de notification.
Erreurs courantes
- Attendre d’avoir « tout compris » pour notifier : le dépassement des 72 h est un manquement autonome ; utilisez la notification en deux temps.
- Confondre incident de sécurité et violation : un scan de ports échoué n’est pas une violation ; un email RH envoyé au mauvais destinataire en est une.
- Ne pas tenir le registre pour les violations mineures : l’article 33(5) couvre toutes les violations, même non notifiées.
- Oublier l’article 34 : notifier la CNIL sans informer les personnes en cas de risque élevé expose à une injonction et à une sanction.
- Zéro traçabilité des décisions : consignez qui a décidé quoi, quand, sur quels éléments. Un outil comme Legiscope permet de tenir le registre des violations et la documentation associée au même endroit que votre registre des traitements.
FAQ
Le délai de 72 heures court-il à partir de l’incident ou de sa découverte ?
À partir du moment où le responsable de traitement a connaissance de la violation avec un degré raisonnable de certitude (EDPB 9/2022). Mais une découverte tardive due à l’absence de mesures de détection peut elle-même être reprochée au titre de l’article 32.
Faut-il notifier une violation causée par un sous-traitant ?
Oui : l’obligation de notification à la CNIL pèse sur le responsable de traitement, même si la violation survient chez le sous-traitant. Celui-ci doit vous alerter sans délai (article 33(2)) — d’où l’importance du délai contractuel dans le DPA.
Que risque-t-on en cas de non-notification ?
Jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial (article 83(4)). La CNIL a déjà sanctionné des organismes pour notification tardive ou absente, et le manquement s’ajoute à ceux relatifs à la sécurité. Voir notre bilan des sanctions CNIL.
Une violation touchant des données chiffrées doit-elle être notifiée ?
Si le chiffrement est robuste et la clé non compromise, le risque pour les personnes peut être jugé improbable : pas de notification, mais inscription au registre avec justification. La perte de disponibilité (données chiffrées par un ransomware sans exfiltration) reste une violation à documenter, et souvent à notifier.
Conclusion
Une procédure de violation efficace tient en six étapes : signalement immédiat, qualification sous 12 h, confinement, décision de notification sous 24 h, registre systématique, retour d’expérience. Adoptez les templates ci-dessus, désignez la cellule, testez-la une fois par an. Le jour J, vous exécuterez au lieu d’improviser — et vous tiendrez les 72 heures.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial