Notification CNIL obligatoire sous 72h en cas de fuite de données personnelles présentant un risque pour les personnes. Procédure en 5 étapes, sanctions jusqu'à 10 M€ ou 2 % du CA mondial.
Le cadre réglementaire
L'obligation de notification est définie par les articles 33 et 34 du RGPD (Règlement Général sur la Protection des Données) et précisée par les lignes directrices du Comité Européen de la Protection des Données (CEPD). Toute violation de données personnelles présentant un risque pour les droits et libertés des personnes concernées doit faire l'objet d'une notification à la CNIL dans un délai maximal de 72 heures.
« Violation de données » couvre trois cas : violation de confidentialité (accès ou divulgation non autorisée), violation d'intégrité (modification non autorisée), violation de disponibilité (destruction, perte, indisponibilité). Cette définition large inclut le piratage, mais aussi le vol d'ordinateur portable, l'envoi par erreur d'un fichier, la perte d'une clé USB, l'accès indu d'un salarié.
La procédure en 5 étapes
Étape 1 · Évaluer le risque pour les personnes
Trois niveaux possibles, chacun déclenchant des obligations distinctes :
- Pas de risque : pas de notification CNIL, mais inscription obligatoire au registre interne des violations.
- Risque modéré : notification CNIL sous 72h, pas d'information directe des personnes.
- Risque élevé : notification CNIL sous 72h + information des personnes concernées dans les meilleurs délais.
L'évaluation se fait par croisement de critères : nature des données (santé, financières, identifiants), volume, sensibilité, possibilité d'identifier les personnes, conséquences potentielles (usurpation d'identité, préjudice financier, atteinte à la vie privée).
Étape 2 · Notifier la CNIL sous 72 heures
Via le téléservice CNIL en ligne (gratuit). La déclaration initiale peut être incomplète si l'enquête est en cours : une notification de premier niveau dans les 72h, complétée ensuite. La CNIL préfère une notification rapide et incomplète à une notification tardive et complète.
Le délai court à partir du moment où l'organisation prend conscience de la violation, pas de la date des faits.
Étape 3 · Informer les personnes concernées si risque élevé
Communication directe aux personnes : e-mail, courrier, message dans l'espace client. Le contenu doit comporter : nature de la violation, nature des données touchées, conséquences possibles, mesures correctives, mesures que la personne peut prendre, contact du DPO. Délai : « dans les meilleurs délais » (en pratique, 5 à 30 jours selon ampleur).
Étape 4 · Documenter la violation dans le registre
Obligation distincte : tenir un registre interne des violations de données incluant TOUTES les violations, même non notifiables. Contenu minimal : faits, conséquences, mesures prises, justification du choix de notifier ou non. Le registre est consultable par la CNIL en cas de contrôle.
Étape 5 · Suivre la procédure et compléter
Après notification initiale, transmettre à la CNIL les éléments complémentaires au fur et à mesure de l'enquête : rapport forensic, mesures correctives appliquées, plan de prévention. La CNIL peut demander des compléments, ouvrir un contrôle, ou prononcer des sanctions.
Bonne pratique : préparer à froid une trame de notification CNIL et une trame d'information des personnes. En crise, la rédaction sous pression dans les 72h conduit à des erreurs ou des oublis sanctionnés ensuite.
Contenu attendu de la déclaration CNIL
- Nature de la violation : type (confidentialité / intégrité / disponibilité), cause apparente.
- Catégories et nombre de personnes concernées (estimation acceptable au stade initial).
- Catégories et volume de données touchées.
- Conséquences probables : identification, préjudice financier, atteinte à la vie privée.
- Mesures prises ou prévues : confinement, correction, prévention de récidive.
- Coordonnées du DPO ou du point de contact dédié.
Articulation avec l'assurance cyber et la cellule de crise
La déclaration CNIL est une obligation distincte mais articulée avec d'autres dispositifs :
- Dépôt de plainte police/gendarmerie sous 72h : condition d'indemnisation par l'assurance cyber depuis la LOPMI 2023 (voir notre FAQ indemnisation cyber).
- Notification ANSSI : obligatoire pour les OIV (LPM) et les OSE NIS2 (voir nos FAQ OIV et OSE NIS2).
- Cellule de crise interne : activation immédiate avec rôles définis pour traiter en parallèle les volets technique, juridique, communication, RH.
Sanctions et risques
Le non-respect de l'obligation de notification est sanctionné par la CNIL au titre du RGPD :
- Sanction maximale : 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel.
- Sanctions effectivement prononcées : 10 000 € à 300 000 € en moyenne pour une PME, plusieurs millions pour de grands groupes (Carrefour, Spartoo, Discord, etc.).
- Sanctions cumulables : le défaut de notification est apprécié distinctement du défaut de sécurité ayant causé la fuite.
- Mise en demeure publique : même sans sanction financière, atteinte réputationnelle significative.
Comment Twist accompagne
Twist intervient en articulation avec le DPO et l'avocat RGPD sur deux temps :
- À froid : préparation de la trame de notification CNIL, trame d'information des personnes, intégration au plan de gestion de crise cyber.
- En crise : appui de la cellule de crise sur les 72 premières heures, articulation déclaration CNIL / dépôt de plainte / notification ANSSI / communication externe.
Voir notre méthode communication de crise pour la dimension externe et notre page gestion de crise pour la méthode globale.
Pour aller plus loin
Préparer votre dispositif de notification CNIL ?
30 minutes pour préparer vos trames, votre articulation cellule de crise et votre conformité RGPD opérationnelle. Gratuit et sans engagement.
Échanger avec un consultant →