Gestion de crise RGPD
Violation de données : agissez dans les
72 heures.
Fuite, perte ou accès non autorisé à des données personnelles : le RGPD impose un délai serré pour notifier la CNIL. Voici la procédure à suivre, factuellement, sans mouvement de panique.
Les 5 étapes à suivre en cas de violation de données
Les articles 33 et 34 du RGPD encadrent la notification d'une violation de données personnelles. Dès que vous en avez connaissance, un compte à rebours de 72 heures démarre pour notifier la CNIL — sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes concernées.
- 1
Détection et qualification de l'incident
Identifier la nature de la violation (fuite, perte, destruction, accès non autorisé) et son périmètre.
- 2
Évaluation du niveau de risque
Apprécier les conséquences possibles pour les personnes concernées : usurpation d'identité, préjudice financier, atteinte à la réputation.
- 3
Décision de notifier ou non la CNIL
Si un risque est identifié, la notification à la CNIL est obligatoire dans les 72 heures après en avoir pris connaissance.
- 4
Notification formelle à la CNIL
Nature de la violation, catégories et nombre approximatif de personnes concernées, conséquences probables, mesures prises ou envisagées.
- 5
Documentation interne systématique
Même sans notification à la CNIL, la violation doit être consignée dans votre registre des traitements ou un registre d'incidents dédié.
Faut-il aussi informer les personnes concernées ?
Notifier la CNIL ne suffit pas toujours. Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes concernées, celles-ci doivent en être informées directement, sans délai injustifié. Cette information leur permet de prendre les précautions nécessaires — changer un mot de passe, surveiller un compte bancaire, rester vigilantes face à une tentative de phishing. Entre l'évaluation du risque et la rédaction de ce message, chaque décision doit rester traçable : c'est ce que documente votre registre interne, distinct du registre des traitements classique mais tout aussi consultable en cas de contrôle.
Comment VIGIL vous accompagne dans l'urgence
Une IA sans jargon couplée à des juristes de magistère, pour qualifier vite et bien.
Qualification du risque avec un juriste
Vous décrivez l'incident, un juriste de magistère vous aide à en apprécier le niveau de risque. Vous pouvez faire relire cette analyse ; la transmission n'est jamais imposée, vous gardez la main.
Formulaire de notification préparé
L'IA structure un premier jet du formulaire de notification CNIL à partir des éléments que vous fournissez, sans jargon inutile.
Suivi du délai de 72h
Un point clair sur le temps restant, pour ne pas dépasser le délai légal en pleine gestion de crise.
Documentation interne
L'incident est tracé et archivé, notifié à la CNIL ou non — une exigence du RGPD trop souvent oubliée.
Une violation de données en cours ?
Contactez-nous : nous vous aidons à qualifier l'urgence et à agir dans les délais. Nos formules démarrent à 99€ HT/mois, voir nos tarifs.
Faire le point avec nousContenu à visée informative, à jour au moment de sa rédaction. Il ne constitue pas un conseil juridique personnalisé au sens de la loi n°71-1130 du 31 décembre 1971 — chaque situation mérite une analyse dédiée.