Gouvernance, violations et sanctions
Module 5 / 5
5.2 Violation de données : 72 heures pour réagir
Une violation, c'est tout incident — accidentel ou malveillant — qui compromet la confidentialité, l'intégrité ou la disponibilité de données personnelles. Le RGPD impose un compte à rebours : 72 heures pour notifier la CNIL. La rapidité de réaction de chaque salarié peut faire la différence.
Qu'est-ce qu'une violation de données ?
L'article 4-12 RGPD la définit comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».
Confidentialité
Accès ou divulgation non autorisée. Exemple : envoi accidentel d'un fichier RH à toute la liste de diffusion.
Intégrité
Altération non autorisée. Exemple : modification frauduleuse de fiches de paie, corruption d'une base par un rançongiciel.
Disponibilité
Perte d'accès. Exemple : serveur détruit sans sauvegarde valable, vol de l'unique exemplaire d'un document, rançongiciel bloquant l'accès.
Exemples concrets fréquents
- Vol ou perte d'un ordinateur portable, téléphone, clé USB non chiffré
- Envoi d'un mail au mauvais destinataire avec données personnelles
- Attaque par rançongiciel chiffrant la base RH
- Compromission d'un compte par phishing
- Documents confidentiels jetés dans une corbeille classique
- Erreur d'attribution de droits dans un logiciel (un salarié voit les données d'autres)
Le compte à rebours : 72 heures (Art. 33)
Dès qu'une violation est découverte, l'entreprise doit la notifier à la CNIL dans les 72 heures, sauf si le risque pour les droits et libertés des personnes est nul. Le délai court à partir de la prise de connaissance, pas de la survenance.
Pourquoi c'est si court
L'objectif est double : permettre à la CNIL d'orienter la réponse, et permettre aux personnes affectées de se protéger rapidement (changement de mot de passe, surveillance bancaire). Le retard s'explique par défaut — toute justification doit être documentée.
Que contient la notification ?
Informations à fournir
- Nature de la violation
- Catégories et nombre approximatif de personnes concernées
- Catégories et nombre approximatif d'enregistrements
- Conséquences probables
- Mesures prises ou envisagées
- Coordonnées du DPO ou du contact
Comment notifier
- Téléservice dédié sur
cnil.fr - Possibilité de notification en plusieurs étapes si tout n'est pas connu sous 72h
- Tenue d'un registre interne des violations (Art. 33-5)
- Information du DPO obligatoire en interne
Quand prévenir aussi les personnes concernées ? (Art. 34)
Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, l'entreprise doit en plus les informer directement et sans délai. C'est par exemple le cas si :
- Des données sensibles sont impliquées (santé, biométrie, syndicat)
- Des données financières (RIB, salaire détaillé) ont fuité
- Le risque d'usurpation d'identité est sérieux
- Des mots de passe ou tokens d'authentification ont été compromis
Exception : mesures de sécurité efficaces
L'information directe peut être évitée si l'entreprise démontre que les données étaient chiffrées de manière robuste (et la clé non compromise) ou que des mesures ultérieures empêchent la matérialisation du risque (changement de mot de passe forcé, blocage de comptes).
Le rôle du salarié : alerter immédiatement
La détection d'une violation passe presque toujours par un salarié. Erreur d'envoi, vol de matériel, suspicion de phishing réussi, comportement étrange du SI : ne pas attendre, ne pas tenter de cacher l'incident.
À faire immédiatement
- Alerter son manager, le DPO et/ou la DSI
- Documenter ce qui s'est passé (heure, contexte, ce qui a fuité)
- Suivre les consignes (changer mot de passe, isoler le poste…)
- Conserver les éléments (mail, log, support physique)
À ne pas faire
- Tenter de « cacher » l'incident par peur d'une sanction
- Effacer des traces (mails, logs) avant l'analyse
- Communiquer publiquement avant l'analyse interne
- Tenter de contre-attaquer un cyberattaquant
L'erreur de bonne foi n'est pas sanctionnée
Un salarié qui signale spontanément une erreur (mail au mauvais destinataire, perte de matériel, clic sur un lien suspect) aide l'entreprise à respecter ses obligations. La culture du « no blame » est aujourd'hui largement adoptée. Ce qui est sanctionnable, c'est la dissimulation, pas l'erreur.
Synthèse du chapitre
- →Une violation peut toucher la confidentialité, l'intégrité ou la disponibilité des données
- →Notification CNIL sous 72h (Art. 33), sauf risque manifestement nul
- →Information directe des personnes si risque élevé (Art. 34)
- →Réflexe salarié : alerter immédiatement, documenter, ne rien dissimuler