Photo de Bernard Hermant
Une cyberattaque, un fichier client envoyé par erreur, un accès non autorisé à votre base de données : quelle qu'en soit la cause, une violation de données personnelles engage immédiatement votre responsabilité au titre du RGPD. Et l'horloge tourne : vous avez 72 heures pour notifier la CNIL, et parfois très peu de temps supplémentaire pour informer les personnes concernées.
1. Qu'est-ce qu'une violation de données au sens du RGPD ?
L'article 4 du RGPD définit la violation de données comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ». Cela couvre notamment une cyberattaque par ransomware chiffrant vos fichiers clients, l'envoi accidentel d'un email contenant des données personnelles à un mauvais destinataire, la perte d'un ordinateur ou d'une clé USB non chiffrés, ou encore un accès non autorisé à votre système par un employé ou un tiers malveillant.
2. La notification à la CNIL : 72 heures chrono
L'article 33 du RGPD impose au responsable de traitement de notifier la violation à la CNIL dans les 72 heures suivant sa découverte, sauf si la violation est peu susceptible d'engendrer un risque pour les droits et libertés des personnes. La notification doit comporter : la description de la nature de la violation et des catégories de données concernées, le nombre approximatif de personnes touchées, les coordonnées du DPO ou d'un point de contact, les conséquences probables de la violation, et les mesures prises ou envisagées. Si toutes les informations ne sont pas disponibles dans les 72 heures, une notification partielle est possible, complétée ultérieurement. Il vaut toujours mieux notifier sans tous les éléments que ne pas notifier dans les délais.
3. L'information des personnes concernées
L'article 34 du RGPD impose d'informer directement les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés — notamment en cas de données sensibles (santé, données financières, mots de passe), de risque d'usurpation d'identité ou de préjudice économique. Cette information doit être claire, précise et délivrée sans délai injustifié. Elle doit décrire la nature de la violation, ses conséquences probables, les mesures prises par le responsable de traitement, et indiquer aux personnes comment elles peuvent se protéger ou exercer leurs droits.
Planifiez un entretien téléphonique gratuit de 15 minutes avec Caroline Laverdet.
Réserver mon rdv gratuit4. Les sanctions encourues en cas de manquement
Le non-respect des obligations de notification expose l'entreprise à des sanctions administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial (art. 83 §4 RGPD). La CNIL dispose également du pouvoir de prononcer des injonctions de mise en conformité et de rendre publique sa décision — une sanction réputationnelle souvent aussi redoutée que l'amende. À l'inverse, une notification rapide et complète est généralement perçue favorablement par l'autorité comme un signe de bonne foi et de coopération.
5. Le rôle de l'avocat dans la gestion de crise
Face à une violation de données, l'assistance d'un avocat spécialisé en droit du numérique est précieuse à plusieurs stades. L'avocat aide à qualifier la violation et à évaluer le niveau de risque pour décider si la notification est obligatoire. Il rédige la notification CNIL de manière à limiter l'exposition juridique tout en respectant les exigences réglementaires. Il prépare la communication aux personnes concernées et accompagne l'entreprise en cas de mise en demeure ou d'ouverture d'une procédure de sanction. Enfin, il documente l'ensemble des mesures prises pour établir la preuve de conformité — le principe d'accountability — fondamental dans tout contentieux ultérieur.
En résumé :
- ✔ La CNIL doit être notifiée dans les 72 heures suivant la découverte (art. 33 RGPD)
- ✔ Une notification partielle dans les délais vaut mieux qu'une notification complète tardive
- ✔ Le manquement expose à une amende jusqu'à 10 M€ ou 2 % du CA mondial (art. 83 §4 RGPD)
Questions fréquentes
Toute violation de données doit-elle être notifiée à la CNIL ?
Non. La notification n'est obligatoire que si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes. En revanche, toute violation doit être documentée en interne (art. 33 §5 RGPD).
Quel est le délai pour notifier la CNIL ?
72 heures à compter de la découverte de la violation (art. 33 RGPD). Si toutes les informations ne sont pas disponibles, une notification partielle est possible, complétée ultérieurement.
Quand faut-il informer les personnes concernées ?
Lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés — notamment en cas de données sensibles, de risque d'usurpation d'identité ou de préjudice financier (art. 34 RGPD).
Quelles sont les sanctions en cas de non-notification ?
Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel (art. 83 §4 RGPD). La CNIL peut aussi prononcer des injonctions et publier sa décision.
Un sous-traitant doit-il notifier la CNIL lui-même ?
Non. C'est le responsable de traitement qui notifie la CNIL. Le sous-traitant doit notifier le responsable de traitement dans les meilleurs délais (art. 33 §2 RGPD).
Article rédigé par Caroline Laverdet, Avocat à la Cour — Docteur en droit. Publié le . Mis à jour le .