Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/NIS2 / Securite/Fuite de données : procédure de gestion et notification RGPD
NIS2 / Securite

Fuite de données : procédure de gestion et notification RGPD

Comment réagir face à une fuite de données personnelles : procédure de notification à la CNIL en 72h, information des personnes, et gestion de crise.

Par Thiébaut DevergrannePublie le 5 fevrier 2026Mis a jour le 5 fevrier 202610 min de lecture
Sommaire
  1. Qu’est-ce qu’une violation de données personnelles ?
  2. L’obligation de notification a la CNIL : article 33 du RGPD
  3. L’obligation d’information des personnes : article 34 du RGPD
  4. Le registre des violations : obligation de documentation
  5. Procedure opérationnelle de gestion de crise
  6. Les sanctions en cas de manquement
  7. L’articulation avec NIS2
  8. Recommandations pratiques
  9. Conclusion

La fuite de données personnelles constitue l’un des incidents de sécurité les plus redoutes par les organisations. Au-delà de l’impact opérationnel et réputationnel, elle déclenche des obligations juridiques strictes, encadrees par les articles 33 et 34 du RGPD, dont le non-respect expose à des sanctions financières considérables. Cet article présente la procédure complète de gestion d’une violation de données, de la détection à la clôture de l’incident.

Qu’est-ce qu’une violation de données personnelles ?

Le RGPD définit la violation de données personnelles (article 4, point 12) comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel, ou l’accès non autorisé a de telles données.

Cette définition est volontairement large. Elle couvre donc :

  • Les attaques par rançongiciel (ransomware) rendant les données indisponibles
  • Les accès non autorisés à des bases de données (intrusion externe ou interne)
  • L’envoi accidentel de données personnelles au mauvais destinataire
  • La perte de supports physiques (clé USB, ordinateur portable, dossiers papier)
  • L’exfiltration de données par un employé malveillant
  • Les erreurs de configuration exposant des données sur internet (serveur mal configure, API ouverte)

Il est essentiel de comprendre que la notion de violation ne se limite pas au piratage. Une simple erreur humaine peut constituer une violation au sens du RGPD, dès lors qu’elle affecte la confidentialité, l’intégrité ou la disponibilité de données personnelles.

L’obligation de notification a la CNIL : article 33 du RGPD

Le principe : notification dans les 72 heures

L’article 33 du RGPD impose au responsable de traitement de notifier la violation à l’autorité de contrôle compétente – en France, la CNIL – dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance.

Ce délai de 72 heures court à compter du moment où le responsable de traitement acquiert un degré de certitude raisonnable qu’un incident de sécurité s’est produit et a compromis des données personnelles. Le simple soupcon ne déclenche pas le délai, mais l’organisation ne peut pas non plus retarder artificiellement la qualification de l’incident pour gagner du temps.

L’exception : absence de risque

La notification n’est pas obligatoire lorsque la violation n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Par exemple, la perte d’une clé USB dont les données sont intégralement chiffrées avec un algorithme robuste et une clé non compromise peut ne pas nécessiter de notification.

En pratique, cette exception doit être interprétée restrictivement. Dans le doute, la notification reste recommandée.

Le contenu de la notification

L’article 33, paragraphe 3, precise le contenu minimum de la notification :

  1. La nature de la violation, y compris, si possible, les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d’enregistrements de données à caractère personnel concernés.

  2. Le nom et les coordonnées du délégué à la protection des données (DPO) ou d’un autre point de contact.

  3. Les conséquences probables de la violation : il s’agit d’évaluer les risques concrets pour les personnes (usurpation d’identité, pertes financières, atteinte à la réputation, discrimination, etc.).

  4. Les mesures prises ou envisagées pour remédier à la violation, y compris les mesures pour en atténuer les éventuelles conséquences négatives.

Le téléservice de notification de la CNIL

La CNIL met à disposition un téléservice dédié à la notification des violations de données, accessible sur son site officiel. Ce formulaire en ligne guide le responsable de traitement à travers les différentes rubriques obligatoires et permet de structurer la notification de manière conforme.

Le téléservice permet également de procéder à une notification en deux temps : une notification initiale dans le délai de 72 heures, même si toutes les informations ne sont pas encore disponibles, suivie d’une notification complémentaire une fois l’investigation terminée. L’article 33, paragraphe 4, autorisé expressément cette approche progressive.

L’obligation d’information des personnes : article 34 du RGPD

Le seuil de déclenchement : risque élevé

L’article 34 impose une obligation supplémentaire lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques. Dans ce cas, le responsable de traitement doit communiquer la violation aux personnes concernées dans les meilleurs délais.

Le seuil est donc plus élevé que pour la notification à la CNIL : toute violation a risque doit être notifiée à la CNIL, mais seules celles présentant un risque élevé doivent être communiquées aux personnes.

Le contenu de la communication

La communication aux personnes doit décrire, en des termes clairs et simples :

  • La nature de la violation
  • Le nom et les coordonnées du DPO ou du point de contact
  • Les conséquences probables de la violation
  • Les mesures prises ou envisagées, y compris les mesures que les personnes peuvent prendre pour se protéger (changement de mot de passe, surveillance de comptes bancaires, etc.)

Les exceptions à l’information des personnes

L’article 34, paragraphe 3, prévoit trois cas dans lesquels l’information individuelle n’est pas requise :

  1. Le responsable de traitement a mis en oeuvre des mesures de protection techniques et organisationnelles appropriées (notamment le chiffrement) rendant les données incompréhensibles pour toute personne non autorisée.

  2. Le responsable de traitement a pris des mesures ultérieures garantissant que le risque élevé n’est plus susceptible de se matérialiser.

  3. L’information individuelle exigerait des efforts disproportionnés – dans ce cas, une communication publique ou une mesure similaire doit être effectuée.

Le registre des violations : obligation de documentation

L’article 33, paragraphe 5, impose au responsable de traitement de documenter toute violation de données personnelles, y compris les faits concernant la violation, ses effets et les mesures prises pour y remédier. Ce registre des violations doit être tenu indépendamment de l’obligation de notification à la CNIL.

Concrètement, le registre doit être maintenu pour toutes les violations, y compris celles qui n’ont pas été notifiées à la CNIL en raison de l’absence de risque. Il constitue un élément de preuve essentiel de la conformité de l’organisme et peut être demande par la CNIL lors d’un contrôle.

Le registre doit contenir au minimum :

  • La date et l’heure de la détection de la violation
  • La nature de la violation et les données concernées
  • Le nombre de personnes et d’enregistrements affectés
  • Les conséquences constatées ou probables
  • Les mesures correctives prises
  • La décision de notifier ou non la CNIL, avec la justification
  • Le cas échéant, la date de notification à la CNIL et aux personnes

Procedure opérationnelle de gestion de crise

Phase 1 : Détection et qualification

La première étape consiste à détecter l’incident et à le qualifier comme violation de données. L’organisation doit disposer de mécanismes de détection (systèmes de détection d’intrusion, surveillance des journaux, alertes de sécurité) et d’un processus clair d’escalade.

Dès que l’incident est détecté, une équipe de gestion de crise doit être activée, incluant au minimum le RSSI, le DPO, la direction juridique et la direction générale.

Phase 2 : Containment et investigation

L’objectif immédiat est de limiter l’impact de la violation. Cela peut impliquer l’isolation de systèmes compromis, la révocation d’accès, le changement de mots de passe, ou le blocage de flux de données.

Parallèlement, une investigation technique doit être lancee pour déterminer l’étendue de la violation : quelles données, combien de personnes, quelle est la cause, l’attaquant est-il encore présent dans le système ?

Phase 3 : Évaluation du risque et décision de notification

Sur la base des éléments recueillis, le DPO et l’équipe juridique doivent évaluer le niveau de risque pour les personnes concernées. Cette évaluation conditionne les obligations de notification :

  • Risque négligeable : documentation dans le registre, pas de notification
  • Risque pour les droits et libertés : notification à la CNIL dans les 72 heures
  • Risque élevé : notification à la CNIL ET information des personnes concernées

Phase 4 : Notification et communication

Si la notification est requise, elle doit être effectuée via le téléservice de la CNIL dans le délai de 72 heures. En cas de dépassement du délai, la notification doit être accompagnée des motifs du retard.

L’information des personnes doit être réalisée par un moyen de communication direct et adapte (courriel, courrier postal, appel téléphonique selon la gravité).

Phase 5 : Remediation et retour d’expérience

Après la gestion de l’urgence, l’organisation doit mettre en oeuvre les mesures correctives nécessaires pour éviter la répétition de l’incident. Un retour d’expérience formalisé doit être conduit pour identifier les failles dans les processus de sécurité et les améliorer.

Les sanctions en cas de manquement

Le non-respect des obligations de notification constitue une infraction autonome au RGPD, distincte du manquement à la sécurité qui a causé la violation. En d’autres termes, une organisation peut être sanctionnée deux fois : pour le défaut de sécurité ayant permis la violation (manquement à l’article 32 du RGPD) et pour le défaut de notification.

Les sanctions prévues par le RGPD pour le non-respect des articles 33 et 34 peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.

La CNIL a déjà sanctionné plusieurs organisations pour des manquements lies à la notification. Les cas les plus fréquents concernent :

  • Le retard excessif dans la notification (bien au-delà des 72 heures)
  • L’absence totale de notification malgré une violation avéré
  • L’insuffisance des informations fournies dans la notification
  • L’absence d’information des personnes alors que le risque élevé était caractérisé

L’articulation avec NIS2

La directive NIS2 introduit des obligations supplémentaires en matière de notification d’incidents de sécurité pour les entités essentielles et importantes. L’article 23 de NIS2 impose un régime de notification en plusieurs étapes :

  • Une alerte précoce dans les 24 heures suivant la prise de connaissance de l’incident significatif
  • Une notification d’incident dans les 72 heures, contenant une évaluation initiale de l’incident
  • Un rapport final dans un délai d’un mois après la notification

Pour les organisations soumises à la fois au RGPD et a NIS2, ces obligations se cumulent. La notification à la CNIL au titre du RGPD ne dispense pas de la notification a l’ANSSI au titre de NIS2, et réciproquement. Toutefois, les autorités travaillent à une articulation pratique de ces obligations pour éviter les duplications inutiles.

Recommandations pratiques

Pour être en mesure de respecter ces obligations dans les délais impartis, les organisations doivent anticiper :

Avant l’incident :

  • Rédiger et tester une procédure de gestion des violations de données
  • Former les équipes à la détection et au signalement des incidents
  • Préparer des modèles de notification (CNIL, personnes concernées)
  • Identifier clairement les rôles et responsabilités de chaque acteur
  • Mettre en place le registre des violations

Pendant l’incident :

  • Vérifier les conditions de mise en jeu de la cyber-assurance (dépôt de plainte dans les 72 heures, obligation LOPMI)
  • Activer immédiatement la cellule de crise
  • Documenter en temps réel chaque action et chaque découverte
  • Ne pas retarder la notification dans l’attente d’informations complètes
  • Coordonner la communication interne et externe

Après l’incident :

  • Completer le registre des violations
  • Mettre en oeuvre les mesures correctives identifiées
  • Conduire un retour d’expérience formalisé
  • Mettre à jour la procédure en conséquence

Conclusion

La gestion d’une fuite de données personnelles est un exercice qui mobilise des compétences techniques, juridiques et organisationnelles. Le cadre posé par les articles 33 et 34 du RGPD est exigeant, mais il à le mérite de la clarté : qualifier l’incident, évaluer le risque, notifier dans les 72 heures, informer les personnes si le risque est élevé, documenter systématiquement. L’entrée en application de NIS2 ajouté une couche supplémentaire d’obligations pour les entités concernées. Dans tous les cas, la préparation en amont reste la clé d’une gestion efficace : une organisation qui découvre ses obligations de notification le jour de l’incident est une organisation qui sera en difficulté.

Articles lies

NIS2 / Securite

SecNumCloud : la qualification ANSSI du cloud de confiance

14 avril 2026 · 11 min
NIS2 / Securite

Notification de cyberattaque : qui prévenir, quand et comment

24 mars 2026 · 12 min
NIS2 / Securite

Pénalités NIS2 : montants des sanctions et régime d'application

23 mars 2026 · 12 min