Une violation de donnees personnelles s’est produite dans votre organisme ? Vous disposez de 72 heures pour notifier la CNIL. Ce delai court et contraignant exige une preparation rigoureuse. Decouvrez tout ce qu’il faut savoir pour reagir efficacement en 2025.
Qu’est-ce qu’une violation de donnees au sens du RGPD ?
L’article 4 du RGPD definit la violation de donnees comme « une violation de la securite entrainant, de maniere accidentelle ou illicite, la destruction, la perte, l’alteration, la divulgation non autorisee de donnees personnelles ou l’acces non autorise a de telles donnees ». Cela couvre un spectre tres large : cyberattaque, envoi d’email au mauvais destinataire, vol d’un ordinateur portable, perte d’une cle USB, erreur de configuration d’un serveur.
L’obligation de notification a la CNIL
L’article 33 du RGPD impose au responsable de traitement de notifier toute violation de donnees a l’autorite de controle (la CNIL en France) dans les meilleurs delais et au plus tard 72 heures apres en avoir pris connaissance. Ce delai demarre au moment ou vous avez une certitude raisonnable qu’une violation a eu lieu, pas au moment de sa decouverte technique par un systeme automatique.
Toutes les violations doivent-elles etre notifiees ?
Non. La notification a la CNIL n’est obligatoire que si la violation est « susceptible d’engendrer un risque pour les droits et libertes des personnes physiques ». En pratique, la grande majorite des violations doit etre notifiee. Seules les violations sans risque avere peuvent etre exemptees, par exemple si les donnees concernees etaient integralement chiffrees et que la cle n’a pas ete compromise.
Comment notifier la CNIL ?
La notification se fait en ligne sur le teleservice dedie de la CNIL. Vous devez fournir : la nature de la violation, les categories et le nombre approximatif de personnes concernees, les categories et le nombre approximatif d’enregistrements touchees, les consequences probables de la violation, les mesures prises ou envisagees pour remedier a la violation. Si vous ne disposez pas de toutes les informations dans les 72 heures, une notification initiale peut etre completee ulterieurement.
Le delai de 72 heures en pratique
Ce delai est extremement court. Voici un calendrier type : Heure 0 a 4 : detection et confirmation de l’incident, mobilisation de la cellule de crise. Heure 4 a 24 : investigation technique, evaluation de l’ampleur, identification des donnees concernees. Heure 24 a 48 : redaction de la notification, mesures correctives. Heure 48 a 72 : validation par le DPO, soumission a la CNIL. Si le delai est depasse, vous devez justifier le retard dans la notification.
Notification aux personnes concernees
Au-dela de la CNIL, l’article 34 du RGPD impose d’informer directement les personnes concernees lorsque la violation est susceptible d’engendrer un « risque eleve » pour leurs droits et libertes. Cette communication doit decrire la nature de la violation, les consequences possibles et les mesures prises. Elle doit etre faite dans un langage clair et simple.
Sanctions en cas de non-notification
Le defaut de notification a la CNIL dans les 72 heures expose a des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial. En 2024, la CNIL a prononce plusieurs sanctions pour defaut de notification ou notification tardive. La non-notification est souvent consideree comme une circonstance aggravante lors de l’examen de la sanction globale.
Se preparer avant la crise
La meilleure facon de respecter le delai de 72 heures est de se preparer en amont : redigez une procedure de gestion des violations, designez les membres de la cellule de crise, preparez des modeles de notification, formez vos equipes a detecter et signaler les incidents. Un organisme prepare peut reagir en quelques heures plutot qu’en quelques jours.
Conclusion
Le delai de 72 heures pour notifier une violation de donnees a la CNIL est un defi operationnel majeur. En 2025, la preparation est votre meilleur atout : procedure documentee, cellule de crise identifiee et outils adaptes vous permettront de reagir rapidement et de limiter les consequences pour votre organisme et pour les personnes concernees.
