Violation de données personnelles : comment réagir en 72 heures

Une violation de données personnelles est une faille de sécurité entraînant la destruction, la perte, l'alteration, la divulgation non autorisee ou l'accès non autorisé à des données personnelles. L'article 33 du RGPD impose une notification à la CNIL dans un délai de 72 heures.

Les 3 types de violations de données

• Violation de confidentialité : divulgation ou accès non autorisé à des données (ex: piratage, envoi d'email au mauvais destinataire, vol de base de données)
• Violation de disponibilité : perte d'accès ou destruction de données (ex: ransomware, incendie, panne serveur sans sauvegarde)
• Violation d'intégrité : alteration non autorisee des données (ex: modification frauduleuse de données médicales ou bancaires)

Procédure en 5 étapes

Étape 1 - Contenir la violation (0 à 4h) : Identifiez la faille et prenez des mesures immédiates pour stopper la violation : couper l'accès, isoler les systèmes compromis, changer les mots de passe. Préservez les preuves.

Étape 2 - Évaluer la gravité (4 à 24h) : Déterminez la nature des données affectees, le nombre de personnes concernées, les consequences potentielles et le caractère réversible ou non de la violation. Utilisez la matrice de risque de la CNIL.

Étape 3 - Notifier la CNIL (sous 72h) : Si la violation présente un risque pour les droits et libertés des personnes, notifiez la CNIL via le téléservice dédié. La notification doit inclure : la nature de la violation, les catégories et le nombre de personnes concernées, les consequences probables, les mesures prises ou envisagées.

Étape 4 - Informer les personnes concernées : Si le risque est eleve pour les personnes (usurpation d'identité, préjudice financier...), vous devez également les informer directement, dans un langage clair et simple.

Étape 5 - Documenter et tirer les leçons : Inscrivez la violation dans votre registre des violations (obligatoire même si pas de notification CNIL). Analysez les causes et mettez en place des mesures correctives.

Quand faut-il notifier la CNIL ?

Vous devez notifier la CNIL des qu'il existe un risque pour les droits et libertés des personnes. En pratique, la majorite des violations doivent être notifiées. Seules les violations sans risque (données deja publiques, données chiffrees avec clé non compromise) peuvent être dispensées de notification.

Prévention : les mesures à mettre en place

• Chiffrement des données sensibles (au repos et en transit)
• Authentification forte (2FA) pour tous les accès critiques
• Sauvegardes régulières et testées (règle 3-2-1)
• Formation et sensibilisation des employés (phishing, mots de passe)
• Mise à jour régulière des systèmes et logiciels
• Tests d'intrusion et audits de sécurité périodiques
• Plan de réponse aux incidents documenté et teste