Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 17 avril 2026
Accueil/RGPD/Notification violation données CNIL : procédure 72h
RGPD

Notification violation données CNIL : procédure 72h

Comment notifier la CNIL d'une violation de données en moins de 72h : critères, procédure, contenu de la notification et erreurs à éviter.

Par Thiebaut DevergrannePublie le 1 avril 2026Mis a jour le 1 avril 202614 min de lecture
Sommaire
  1. Ce qu’est une violation de données au sens du RGPD
  2. L’obligation de notification à la CNIL : Art. 33 RGPD
  3. Comment notifier la CNIL concrètement
  4. L’obligation de notification aux personnes concernées : Art. 34 RGPD
  5. Le rôle du sous-traitant : Art. 33(2) RGPD
  6. Le registre interne des violations : Art. 33(5) RGPD
  7. Les erreurs à éviter — et leurs conséquences
  8. Préparer sa procédure de réponse aux violations
  9. Ce qu’il faut retenir
  10. FAQ

Une violation de données survient un vendredi soir à 18h. Le RSSI remonte l’incident. Le DPO se pose immédiatement la question : faut-il notifier la CNIL ? Et si oui, en combien de temps ? Dans 72h, le délai est écoulé — et chaque heure compte. Voici la procédure complète, sans improvisation possible.

Ce qu’est une violation de données au sens du RGPD

Avant d’évaluer l’obligation de notification, il faut qualifier l’incident. L’article 4(12) du RGPD définit la violation de données à caractère personnel comme “une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données.”

Cette définition est large. Elle couvre trois types de violations :

Violation de confidentialité : accès non autorisé à des données ou divulgation à des tiers non habilités. Exemple : envoi d’un e-mail contenant des données clients à une mauvaise adresse, piratage d’un compte avec exfiltration de données.

Violation d’intégrité : modification non autorisée ou accidentelle de données. Exemple : ransomware qui chiffre et altère les bases de données, erreur humaine corrigeant des données médicales.

Violation de disponibilité : perte ou destruction de données. Exemple : sauvegarde corrompue, suppression accidentelle d’une base de données sans backup récupérable, sinistre (incendie du datacenter).

Un point que l’on sous-estime souvent : la perte temporaire de disponibilité peut constituer une violation de données si elle engendre un risque pour les droits et libertés des personnes — et donc déclencher une obligation de notification. Un serveur HS 48h hébergeant des données médicales peut suffire.

L’obligation de notification à la CNIL : Art. 33 RGPD

Le critère déclencheur : le risque

L’article 33(1) du RGPD impose la notification à l’autorité de contrôle (la CNIL) “dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.”

La logique est donc une exception à l’obligation — et non une obligation absolue. Si la violation ne présente aucun risque pour les personnes concernées, la notification n’est pas requise. Mais le responsable de traitement doit pouvoir justifier cette appréciation dans son registre interne des violations.

Les Lignes directrices 09/2022 du CEPD (qui ont remplacé les lignes directrices WP250 du G29) fournissent une grille d’évaluation du risque articulée autour de cinq paramètres :

  1. Type de violation (confidentialité, intégrité, disponibilité)
  2. Nature, volume et sensibilité des données : données sensibles au sens de l’Art. 9 RGPD (santé, origine ethnique, données biométriques) → risque automatiquement élevé
  3. Facilité d’identification des personnes concernées
  4. Gravité des conséquences pour les personnes (discrimination, vol d’identité, préjudice financier, atteinte à la réputation)
  5. Caractéristiques particulières du responsable de traitement ou des personnes concernées (hôpital, enfants, personnes vulnérables)

En pratique : si le doute subsiste, notifiez. La CNIL préfère une notification “par précaution” à une notification tardive ou absente.

Le délai de 72 heures : quand part le compteur ?

Le compteur démarre à partir du moment où le responsable de traitement “prend connaissance” de la violation — non pas à partir de la survenance de l’incident. Cette distinction est importante.

La prise de connaissance intervient généralement :

  • Dès qu’un employé remonte l’incident à la direction ou au DPO
  • Dès la détection automatisée par un SIEM ou un EDR
  • Dès la réception d’une alerte d’un sous-traitant (qui doit notifier “dans les meilleurs délais”, voir ci-dessous)
  • Dès qu’un tiers (client, journaliste, concurrent) signale une fuite publique de données

72 heures, c’est 3 jours calendaires — week-ends et jours fériés compris. Il n’existe pas de suspension du délai pour les vendredi soirs ou les jours fériés. C’est une contrainte opérationnelle que toute organisation traitant des données personnelles doit anticiper dans son plan de réponse aux incidents.

En pratique : que faire dans les 72 premières heures ?

Le délai de 72h ne laisse pas le temps d’une enquête complète. La procédure doit se dérouler en deux temps :

Phase d’alerte (H+0 à H+24) :

  • Isoler les systèmes compromis
  • Identifier la nature et le périmètre de la violation (données concernées, nombre approximatif de personnes)
  • Activer la cellule de crise (DPO, RSSI, direction juridique, direction générale)
  • Décider si la notification est nécessaire (évaluation du risque)

Phase de notification initiale (H+24 à H+72) :

  • Notifier la CNIL via le téléservice, même si toutes les informations ne sont pas disponibles
  • Documenter l’incident dans le registre interne
  • Préparer la notification complémentaire si nécessaire

L’article 33(4) prévoit explicitement la possibilité d’une notification initiale incomplète, transmise dans le délai, suivie d’une notification complémentaire une fois l’enquête avancée. Il ne faut donc pas attendre d’avoir toutes les réponses pour notifier.

Comment notifier la CNIL concrètement

Le téléservice CNIL

La notification se fait exclusivement via le téléservice en ligne de la CNIL, accessible à l’adresse notifications.cnil.fr. Il n’existe pas de procédure papier. Le formulaire est structuré en plusieurs sections et peut être sauvegardé et complété en plusieurs fois — ce qui permet la notification initiale partielle suivie d’une complétion ultérieure.

Le contenu de la notification (Art. 33(3))

L’article 33(3) liste les informations minimales à fournir :

a) Description de la violation : nature de la violation (confidentialité, intégrité, disponibilité), catégories de données concernées, nombre approximatif de personnes et d’enregistrements affectés.

b) Coordonnées du DPO ou du point de contact désigné pour l’autorité de contrôle.

c) Description des conséquences probables de la violation pour les personnes concernées.

d) Description des mesures prises ou envisagées : mesures correctives, mesures de remédiation, mesures de protection des personnes.

Un conseil pratique issu de mon expérience de conseil : ne pas minimiser les conséquences dans la notification. La CNIL ne sanctionne pas une évaluation prudente — elle sanctionne l’absence de notification ou la notification manifestement incomplète et délibérément minorée.

Notification initiale vs notification complémentaire

Si toutes les informations requises ne sont pas disponibles dans le délai de 72h, la notification initiale doit indiquer :

  • Ce qui est connu avec certitude
  • Ce qui est encore en cours d’investigation
  • Le délai prévu pour la notification complémentaire

La notification complémentaire doit être transmise “sans délai indu” (Art. 33(4)). Dans la pratique, la CNIL attend une complétion sous 2 à 4 semaines maximum, sauf complexité technique particulière justifiée.

L’obligation de notification aux personnes concernées : Art. 34 RGPD

En sus de la notification à la CNIL, l’article 34 impose, dans certains cas, de notifier directement les personnes concernées. Le critère est plus exigeant : il faut que la violation soit “susceptible d’engendrer un risque élevé pour les droits et libertés” — c’est-à-dire un niveau de risque supérieur à celui déclenchant la notification à la CNIL.

Quand la notification aux personnes est-elle obligatoire ?

Les lignes directrices du CEPD et la doctrine CNIL identifient plusieurs situations impliquant un risque élevé automatique :

  • Données de santé, données biométriques, données de localisation précise
  • Vol de données financières (IBAN, données bancaires)
  • Données permettant une usurpation d’identité (combinaison nom + date de naissance + adresse + n° sécurité sociale)
  • Violation touchant des personnes vulnérables (enfants, patients)
  • Données exposées publiquement sur internet (même temporairement)

Le contenu de la notification aux personnes (Art. 34(2))

La notification aux personnes doit être claire et compréhensible, sans jargon technique. Elle doit comporter :

  • La nature de la violation (ce qui s’est passé, en langage accessible)
  • Les coordonnées du DPO ou du responsable RGPD
  • Les conséquences probables pour la personne
  • Les mesures prises ou recommandées pour atténuer les effets

Elle doit également contenir des recommandations pratiques pour les personnes : changer leurs mots de passe, surveiller leurs relevés bancaires, se méfier de tentatives de phishing.

Les exemptions à la notification individuelle (Art. 34(3))

La notification individuelle peut ne pas être requise si :

  • Des mesures techniques robustes ont été appliquées aux données (chiffrement fort avec clé non compromise)
  • Les mesures prises après la violation ont éliminé le risque élevé
  • La notification individuelle impliquerait des “efforts disproportionnés” — dans ce cas, une communication publique est requise à la place

Le rôle du sous-traitant : Art. 33(2) RGPD

Le sous-traitant qui détecte ou suspecte une violation de données a l’obligation de notifier le responsable de traitement “dans les meilleurs délais” après en avoir pris connaissance. L’article 33(2) n’impose pas de délai précis au sous-traitant, mais la CNIL et le CEPD considèrent que la notification doit intervenir sous 24 à 48 heures pour laisser au responsable le temps de notifier dans le délai de 72h.

Cette obligation doit être contractualisée dans le DPA (Data Processing Agreement) liant le responsable au sous-traitant, conformément à l’article 28 du RGPD. Un DPA sans clause de notification des violations est incomplet — et expose le responsable à une impossibilité de respecter le délai de 72h.

La cascade de notification dans un contexte multi-sous-traitants est une source fréquente de retard. Si vous utilisez un hébergeur cloud qui sous-traite lui-même à un fournisseur d’infrastructure, chaque maillon de la chaîne doit remonter l’information rapidement. Vérifiez que vos contrats prévoient ce mécanisme de bout en bout.

Le registre interne des violations : Art. 33(5) RGPD

Que la violation soit ou non notifiée à la CNIL, tout incident doit être documenté dans un registre interne des violations (Art. 33(5)). Ce registre est distinct du registre des activités de traitement — c’est un outil de suivi des incidents de sécurité.

Il doit contenir, pour chaque violation :

  • La date et l’heure de survenance et de détection
  • La nature de la violation et les données affectées
  • Le nombre approximatif de personnes et d’enregistrements concernés
  • L’évaluation du risque et la décision de notifier ou non (avec motivation)
  • Les mesures correctives prises
  • Les communications effectuées (CNIL, personnes concernées)

Ce registre est un document de conformité que la CNIL peut demander lors d’un contrôle. L’absence de registre constitue elle-même un manquement à l’Art. 33(5), indépendamment du traitement de l’incident lui-même. Un logiciel RGPD centralise ce registre avec le reste de votre documentation de conformité et facilite la traçabilité exigée par la CNIL.

Les erreurs à éviter — et leurs conséquences

Attendre d’avoir “toutes les informations” pour notifier

C’est l’erreur la plus fréquente. L’entreprise préfère faire une notification complète plutôt que partielle, et passe ainsi le délai de 72h. Conséquence : notification tardive, sanctionnable.

La CNIL a sanctionné plusieurs organisations pour notification tardive, notamment dans des secteurs de la santé et de la distribution. Les montants vont de quelques milliers à plusieurs centaines de milliers d’euros selon la taille de l’organisation et la gravité de la violation.

Ne pas notifier les violations “internes” ou “mineures”

Une fuite de données entre deux services non habilités (violation interne de confidentialité) est une violation de données au sens de l’Art. 4(12). La base légale du traitement n’est pas pertinente pour qualifier la violation — c’est la sécurité des données qui est en cause.

Confondre la notification CNIL avec une déclaration de dommage

La notification à la CNIL n’est pas un aveu de faute. Elle n’engage pas la responsabilité civile ou pénale de l’organisation. C’est une obligation légale de transparence envers l’autorité de contrôle. Ne pas notifier pour “éviter des problèmes” est une stratégie perdante — la CNIL sanctionne systématiquement plus sévèrement le défaut de notification que la violation elle-même.

Ne pas anticiper la procédure

Les sanctions CNIL 2026 montrent une tendance claire : les organisations sanctionnées sont souvent celles qui n’avaient aucune procédure de réponse aux incidents en place. 72 heures, c’est court pour qualifier une violation, évaluer le risque, rédiger une notification et obtenir les validations internes nécessaires — si tout est improvisé. Un plan de réponse aux violations de données, testé annuellement, est une condition sine qua non.

Préparer sa procédure de réponse aux violations

Un plan de réponse aux violations de données opérationnel comprend :

La chaîne d’alerte interne : qui doit être notifié en premier (RSSI, DPO, direction), par quel canal, avec quelles informations minimales.

La grille d’évaluation du risque : un tableau décisionnel permettant au DPO d’évaluer rapidement le niveau de risque et la nécessité de notifier, avec des exemples types pour chaque niveau.

Les modèles de notification : un modèle pré-rempli pour la notification CNIL et un modèle pour la notification aux personnes concernées, adaptables en 30 minutes.

Les contacts d’urgence : CNIL (téléservice + assistance téléphonique pour les violations majeures), avocat spécialisé, prestataire de forensics en cas de cyberattaque complexe.

Un exercice annuel : simuler une violation de données (tabletop exercise) pour tester la chaîne d’alerte et les délais internes de décision.

Si votre organisation n’a pas encore de DPO, la première question à se poser est de savoir si la désignation d’un DPO est obligatoire dans votre cas — ce rôle est central dans la gestion des incidents de violations de données. L’analyse d’impact sur la protection des données peut également aider à anticiper les risques en amont, avant qu’une violation ne survienne.

Recevez chaque semaine nos analyses sur la conformité RGPD et les dernières décisions de la CNIL.

→ S’inscrire à la newsletter donneespersonnelles.fr

Ce qu’il faut retenir

  • Une violation de données (Art. 4(12) RGPD) couvre la perte, l’altération ou l’accès non autorisé à des données personnelles — y compris les incidents temporaires ou internes.
  • La notification à la CNIL est obligatoire dans les 72 heures si la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes. En cas de doute, notifiez.
  • Le délai de 72h démarre à partir de la prise de connaissance par le responsable de traitement, non à partir de la survenance de l’incident.
  • Une notification initiale incomplète est légalement acceptable si elle est suivie d’une notification complémentaire : ne pas attendre d’avoir “toutes les informations”.
  • Les personnes concernées doivent être notifiées directement en cas de risque élevé (données de santé, financières, identitaires).
  • Le sous-traitant doit notifier le responsable de traitement “dans les meilleurs délais” : cette obligation doit figurer dans le DPA (Art. 28).
  • Tout incident doit être documenté dans le registre interne des violations, qu’il soit notifié ou non à la CNIL.

FAQ

Une violation de données sans exfiltration (ex. : serveur compromis mais pas de données volées) doit-elle être notifiée ?

Oui, si l’accès non autorisé est avéré — même sans preuve d’exfiltration. La violation de confidentialité se caractérise par l’accès non autorisé, indépendamment de ce que l’attaquant a fait des données. En pratique, l’absence de preuve d’exfiltration peut réduire le niveau de risque évalué, mais ne supprime pas l’obligation d’analyser la situation et de documenter la décision dans le registre interne.

Que se passe-t-il si l’on notifie après le délai de 72h ?

La notification tardive est un manquement à l’Art. 33(1) RGPD. La CNIL peut prononcer un avertissement, une mise en demeure ou une sanction financière (jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial). En pratique, la CNIL tient compte des circonstances : un retard court justifié par la complexité technique est traité différemment d’une absence totale de notification. L’important est de notifier dès que possible, même tardivement, plutôt que de ne pas notifier du tout.

Le sous-traitant a-t-il l’obligation de notifier directement la CNIL ?

Non — sauf si le responsable de traitement lui a expressément délégué cette tâche. L’Art. 33(2) impose au sous-traitant de notifier le responsable de traitement, pas la CNIL directement. C’est le responsable de traitement qui reste l’interlocuteur de la CNIL. Cependant, si le sous-traitant agit également en tant que responsable conjoint (co-responsabilité au sens de l’Art. 26), il peut avoir ses propres obligations de notification.

Doit-on notifier la CNIL pour une violation affectant uniquement des données de salariés ?

Oui. Les données des salariés sont des données à caractère personnel au sens du RGPD — l’employeur est responsable de traitement à leur égard. Une violation affectant des données RH (fiches de paie, données de santé au travail, évaluations) doit faire l’objet de la même analyse de risque que toute autre violation, et potentiellement d’une notification à la CNIL et aux salariés concernés.

Articles lies

RGPD

RGPD et cabinet d'avocats : guide pratique

17 avril 2026 · 13 min
RGPD

Opt-in et opt-out RGPD : définitions et règles

14 avril 2026 · 10 min
RGPD

Charte informatique RGPD : guide pratique

13 avril 2026 · 11 min