Notification de cyberattaque : qui prévenir, quand et comment

Lorsqu’une cyberattaque survient, la réaction technique n’est qu’une partie de l’équation. Les obligations de notification se sont considérablement multipliées ces dernières années, sous l’effet conjugué du RGPD, de la directive NIS2, du code des assurances et du droit pénal. Chaque texte impose ses propres destinataires, ses propres délais et ses propres exigences de contenu. Manquer une notification, c’est ajouter une infraction juridique à un incident technique déjà critique. Cet article cartographie l’ensemble des obligations de notification applicables en cas de cyberattaque et fournit une méthode pratique pour s’y conformer.

I. La notification à la CNIL : violation de données personnelles

A. Le déclencheur : la violation de données au sens du RGPD

L’obligation de notification à la CNIL est déclenchée par une “violation de données à caractère personnel” au sens de l’article 33 du RGPD. Cette notion est définie à l’article 4 comme “une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé a de telles données”.

En pratique, la quasi-totalité des cyberattaques impliquant des systèmes contenant des données personnelles déclenche cette obligation. Un rançongiciel qui chiffre une base de données clients constitue une violation (perte de disponibilité, et potentiellement de confidentialité si les attaquants ont exfiltré les données avant chiffrement). Une intrusion dans un système d’information contenant des données de salariés est une violation de confidentialité. Un défacement de site web qui compromet des données de formulaires est également couvert.

La seule exception concerne les violations qui ne sont pas “susceptibles d’engendrer un risque pour les droits et libertés des personnes physiques”. Ce seuil est bas : en cas de doute, la notification s’impose.

B. Le délai : 72 heures

Le responsable de traitement doit notifier la violation à la CNIL “dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance” (article 33, paragraphe 1). Ce délai de 72 heures court à compter du moment où le responsable de traitement acquiert un “degré raisonnable de certitude” qu’un incident de sécurité a affecté des données personnelles.

Si la notification intervient au-delà des 72 heures, elle doit être accompagnée des motifs du retard. En pratique, dans le chaos d’une crise cyber majeure, le respect de ce délai est un défi considérable, d’où l’importance d’avoir anticipé la procédure. La gestion des incidents de sécurité doit intégrer cette contrainte temporelle dès le départ.

La notification peut être effectuée en plusieurs étapes : une notification initiale dans les 72 heures, même partielle, suivie de compléments d’information à mesure que l’investigation progresse.

C. Le contenu de la notification

La notification à la CNIL doit contenir au minimum (article 33, paragraphe 3) :

1. La nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre approximatif d’enregistrements de données affectés.
2. Le nom et les coordonnées du DPO ou d’un autre point de contact.
3. Les conséquences probables de la violation.
4. Les mesures prises ou envisagées pour remédier à la violation et atténuer ses effets.

La CNIL met à disposition un téléservice de notification en ligne qui guide le déclarant à travers les informations requises. Il est vivement recommandé d’avoir familiarisé les équipes avec cet outil avant tout incident, dans le cadre d’un exercice de crise cyber.

D. La notification aux personnes concernées

Lorsque la violation est susceptible d’engendrer un “risque élevé” pour les droits et libertés des personnes, le responsable de traitement doit également informer directement les personnes concernées (article 34). Cette communication doit décrire la nature de la violation, les conséquences probables, et les mesures prises. Elle doit être rédigée en termes clairs et simples.

La procédure en cas de fuite de données doit prévoir des modèles de communication pré-rédigés, adaptables aux circonstances, pour accélérer cette étape critique.

II. La notification à l’ANSSI : entités NIS2 et OIV

A. Les entités concernées

La directive NIS2 impose un système de notification des incidents aux autorités compétentes. En France, l’ANSSI est l’autorité désignée. Sont concernées les entités essentielles et les entités importantes au sens de NIS2, ainsi que les opérateurs d’importance vitale (OIV) au titre de la législation nationale.

B. Le système de notification en trois étapes

NIS2 prévoit un mécanisme de notification échelonné (article 23) :

1. Alerte précoce : dans les 24 heures suivant la prise de connaissance de l’incident significatif, l’entité doit transmettre une alerte précoce au CSIRT national ou à l’autorité compétente. Cette alerte indique si l’incident est suspecte d’avoir été causé par un acte malveillant et s’il est susceptible d’avoir un impact transfrontalier.

2. Notification d’incident : dans les 72 heures suivant la prise de connaissance, une notification plus détaillée doit être transmise. Elle actualisé les informations de l’alerte précoce et fournit une évaluation initiale de la sévérité et de l’impact de l’incident, ainsi que les indicateurs de compromission disponibles.

3. Rapport final : au plus tard un mois après la notification d’incident, un rapport final doit être soumis. Il contient une description détaillée de l’incident, le type de menace ou la cause profonde, les mesures de remédiation appliquées, et l’impact transfrontalier le cas échéant.

C. La notion d’incident significatif

L’obligation de notification ne porte que sur les incidents “significatifs”. Un incident est considéré comme significatif s’il a cause ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité, ou s’il a affecte ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels ou immatériels considérables.

La qualification de l’incident est une étape critique qui doit être intégrée dans les procédures de gestion des incidents. En cas de doute, il est recommandé de notifier plutôt que de s’abstenir.

III. Le dépôt de plainte pénale

A. L’obligation issue de la loi LOPMI

La loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) du 24 janvier 2023 a introduit une obligation de dépôt de plainte dans un délai de 72 heures à compter de la connaissance de l’atteinte pour que la victime d’une cyberattaque puisse bénéficier de l’indemnisation par son assurance au titre de la garantie cyber (article L. 12-10-1 du code des assurances). Cette disposition, entrée en vigueur le 24 avril 2023, lie désormais directement le droit à indemnisation au dépôt de plainte dans les délais.

B. Les infractions applicables

Les cyberattaques peuvent constituer plusieurs infractions pénales :

• Accès ou maintien frauduleux dans un système de traitement automatisé de données (articles 323-1 à 323-8 du code pénal) : puni de 3 ans d’emprisonnement et 100 000 euros d’amende, aggravé à 5 ans et 150 000 euros lorsque l’accès a entraîne la modification ou la suppression de données.
• Extorsion (article 312-1 du code pénal) : applicable en cas de rançongiciel avec demande de rançon.
• Atteinte aux données personnelles (articles 226-16 à 226-24 du code pénal).

Le dépôt de plainte peut être effectué auprès du commissariat ou de la gendarmerie, ou directement auprès du procureur de la République. Pour les attaques complexes, la sous-direction de la lutte contre la cybercriminalité (SDLC) et la section cyber du parquet de Paris sont les interlocuteurs spécialisés.

IV. Les autres notifications obligatoires

A. Notification aux partenaires contractuels

De nombreux contrats, en particulier dans les secteurs réglementés, contiennent des clauses de notification d’incident imposant au prestataire d’informer ses clients en cas d’incident de sécurité affectant leurs données ou systèmes. Le non-respect de ces clauses peut engager la responsabilité contractuelle. Les contrats de sous-traitance RGPD (article 28) imposent au sous-traitant de notifier le responsable de traitement “dans les meilleurs délais” après avoir constaté une violation de données.

B. Notification au titre du règlement DORA

Pour les entités du secteur financier, le règlement DORA impose un régime de notification spécifique des incidents TIC majeurs. Le délai de notification initiale est de 4 heures après classification de l’incident et de 24 heures pour un rapport intermédiaire. Ce régime se superpose aux obligations NIS2.

C. Notification à l’assureur

Au-delà de l’obligation LOPMI liée au dépôt de plainte, le contrat d’assurance cyber prévoit généralement un délai de déclaration de sinistre (souvent 5 jours ouvrables). Le non-respect de ce délai peut entraîner la déchéance de la garantie. Il est essentiel de contacter l’assureur dès les premières heures de la crise, y compris pour bénéficier de l’assistance technique et juridique souvent incluse dans les polices cyber.

V. Méthode pratique : le tableau de notification

A. La matrice de notification

Pour ne manquer aucune obligation, il est recommandé de constituer une matrice de notification adaptée au profil de l’organisation. Cette matrice recense, pour chaque texte applicable :

Destinataire	Texte	Déclencheur	Délai	Contenu minimal
CNIL	RGPD art. 33	Violation de données personnelles	72 heures	Nature, catégories, conséquences, mesures
Personnes concernées	RGPD art. 34	Risque élevé pour les personnes	Sans délai injustifié	Nature, conséquences, mesures, contact DPO
ANSSI	NIS2 art. 23	Incident significatif	24h (alerte), 72h (notification), 1 mois (rapport)	Selon l’étape
Parquet / police	LOPMI	Cyberattaque (condition assurance)	72 heures	Faits, préjudice, éléments techniques
Assureur	Contrat	Sinistre couvert	Selon contrat (5 jours typ.)	Déclaration de sinistre
Clients/partenaires	Contrats	Selon clauses	Selon clauses	Selon clauses

B. Les réflexes des premières heures

Dans les premières heures suivant la découverte d’une cyberattaque, les actions suivantes doivent être déclenchées en parallèle de la réponse technique :

1. Heure H : activation de la cellule de crise, qualification préliminaire de l’incident.
2. H+4 : évaluation initiale de l’impact sur les données personnelles, première détermination du périmètre.
3. H+12 : décision sur la nécessité de notification CNIL et ANSSI, préparation des notifications.
4. H+24 : transmission de l’alerte précoce ANSSI (si entité NIS2), dépôt de plainte initié.
5. H+48 : finalisation de la notification CNIL, poursuite de l’investigation.
6. H+72 : délai limite pour la notification CNIL et la notification détaillée ANSSI, délai pour le dépôt de plainte LOPMI.

Un audit RGPD préalable permet de vérifier que l’organisation a bien identifie l’ensemble de ses obligations de notification et que les procédures sont opérationnelles.

C. La documentation

Chaque étape du processus de notification doit être documentée de manière rigoureuse. Le RGPD impose au responsable de traitement de documenter “toute violation de données à caractère personnel, en indiquant les faits concernant la violation, ses effets et les mesures prises pour y remédier” (article 33, paragraphe 5). Cette documentation est un élément de preuve essentiel en cas de contrôle ultérieur.

La tenue d’une main courante de crise, consignant chronologiquement toutes les actions, décisions et communications, est indispensable. Elle servira de base pour les rapports de notification successifs et pour le retour d’expérience.

VI. Conséquences du défaut de notification

Le non-respect des obligations de notification expose à des conséquences significatives :

• RGPD : l’absence de notification à la CNIL est sanctionnée d’une amende pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial (article 83, paragraphe 4, point a). La CNIL a déjà prononcé des sanctions spécifiquement pour défaut de notification dans les délais.
• NIS2 : les sanctions NIS2 pour non-respect des obligations de notification sont alignées sur le régime général de sanctions de la directive.
• LOPMI : l’absence de dépôt de plainte dans les 72 heures entraîne la perte du droit à indemnisation par l’assurance cyber. Ce mécanisme peut représenter un préjudice financier considérable.
• Contrats : le défaut de notification contractuelle peut engager la responsabilité civile et justifier la résiliation du contrat aux torts exclusifs du prestataire défaillant.

La préparation est la clé. Les organisations qui ont anticipé leurs obligations de notification par un travail de cartographie, de rédaction de procédures et d’entraînement par des exercices de crise sont celles qui respectent effectivement les délais en situation réelle. La conformité à la checklist NIS2 et les recommandations de l’ENISA constituent des points de départ solides pour structurer cette préparation.

FAQ

Faut-il notifier la CNIL même si l’on n’est pas certain que des données personnelles sont concernées ?

Lorsque l’investigation est encore en cours et qu’il existe un doute raisonnable sur l’implication de données personnelles, la prudence commande de procéder à une notification initiale dans les 72 heures, quitte à la compléter ou à la retirer ultérieurement. La CNIL admet explicitement les notifications par étapes. En revanche, l’absence de notification justifiée par un défaut d’investigation diligente ne sera pas acceptée comme excuse valable.

Le délai de 72 heures court-il à partir de la découverte de l’attaque ou de la confirmation de la fuite ?

Le délai court à partir du moment où le responsable de traitement a acquis un “degré raisonnable de certitude” que la violation a eu lieu. Ce n’est pas nécessairement le moment de la première alerte technique (qui peut être un faux positif), mais ce n’est pas non plus le moment où l’investigation forensique est terminée. Il s’agit du moment où l’organisation sait, avec un degré raisonnable de certitude, qu’un incident de sécurité a affecté des données personnelles.

Peut-on être sanctionné deux fois pour le même incident (CNIL et autorité NIS2) ?

Le RGPD et NIS2 prévoient des mécanismes de coordination pour éviter la double sanction. L’article 35 de NIS2 dispose que lorsqu’une autorité NIS2 constate qu’une entité n’a pas respecte ses obligations de notification et que ce non-respect implique une violation de données personnelles notifiable au titre du RGPD, elle s’abstient d’imposer une amende si l’autorité de protection des données a déjà sanctionné ce manquement. Toutefois, les deux notifications restent obligatoires – seule la sanction fait l’objet d’une coordination.

Le dépôt de plainte est-il toujours obligatoire ?

Le dépôt de plainte n’est pas une obligation légale générale. Il devient une condition indispensable pour bénéficier de l’indemnisation de l’assurance cyber depuis la loi LOPMI. En dehors de ce contexte assurantiel, il reste fortement recommandé : il permet de bénéficier de l’assistance des services de police spécialisés et contribue au renseignement sur la menace cyber. Pour les entités publiques, le signalement auprès de l’ANSSI et le dépôt de plainte sont des réflexes essentiels.