Aller au contenu principal
mydari
Cybersécurité

Violation de données : que faire ? Guide et étapes

Violation de données : détecter, contenir, notifier la CNIL sous 72 heures et informer les personnes. Le guide des étapes à suivre en cas de fuite.

Par L'équipe mydari · 15 juillet 2026 · 9 min de lecture

Violation de données : que faire ? Guide et étapes

Un fichier client envoyé à la mauvaise adresse, un ordinateur portable volé, un rançongiciel qui bloque vos serveurs : une violation de données arrive plus souvent qu'on ne l'imagine, y compris dans les petites structures. Et le jour où elle survient, quelques heures suffisent à transformer un incident technique en problème réglementaire.

Cet article vous donne la marche à suivre concrète : reconnaître une violation, contenir les dégâts, évaluer le risque, notifier la CNIL dans le délai de 72 heures, informer les personnes quand c'est nécessaire, et documenter le tout. Vous verrez aussi quand la notification est obligatoire, ce que vous risquez à ne rien faire, et le rôle que joue le DPO dans ces situations.

Définition — Une violation de données personnelles est un incident de sécurité qui entraîne, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles. Cela couvre aussi bien le vol de données que leur perte ou leur simple exposition.

Points clés

  • Une violation de données n'est pas seulement un piratage : une perte, une erreur d'envoi ou une panne peuvent aussi en être une.
  • Le réflexe prioritaire est de contenir l'incident, puis d'évaluer le risque pour les personnes concernées.
  • Si le risque est avéré, vous devez notifier la CNIL dans les 72 heures après en avoir pris connaissance.
  • Quand le risque est élevé, les personnes concernées doivent aussi être informées, en clair et sans délai.
  • Chaque violation doit être documentée dans un registre, notifiée ou non, pour prouver votre bonne gestion.

Violation de données : de quoi parle-t-on exactement ?

Une violation de données est un incident de sécurité qui touche des données personnelles, quel qu'en soit le déclencheur. Le mot fait souvent penser à une cyberattaque, mais la réalité est plus large. Une fuite de données peut venir d'une erreur humaine, d'un vol de matériel, d'une mauvaise configuration ou d'une simple négligence.

L'élément déterminant n'est pas l'origine de l'incident, mais son effet sur les données. Dès qu'une information personnelle est exposée, perdue, modifiée ou rendue inaccessible sans autorisation, vous êtes face à une violation au sens du RGPD. Pour bien cerner ce que recouvre une donnée personnelle, notre article RGPD, c'est quoi pose les bases utiles.

Cette définition large a une conséquence directe : beaucoup d'organisations vivent des violations sans les identifier comme telles. Un e-mail groupé envoyé en copie visible, un carton d'archives égaré, un accès resté ouvert après le départ d'un salarié sont autant de cas concrets.

Bon à savoir — On distingue trois formes de violation. La violation de confidentialité, quand des données sont divulguées ou consultées sans droit. La violation d'intégrité, quand elles sont modifiées de façon non autorisée. La violation de disponibilité, quand elles sont perdues ou rendues inaccessibles, par exemple après un rançongiciel.

Que faire en cas de violation de données : la procédure étape par étape

Face à une violation de données, la bonne réaction suit un ordre précis. Chaque étape compte, car les décisions prises dans les premières heures conditionnent la suite, y compris vos obligations légales. Voici la procédure à appliquer.

  1. Détecter et qualifier. Identifiez ce qui s'est passé : quelles données sont touchées, combien de personnes, depuis quand. C'est cette qualification qui déclenche tout le reste, à commencer par le compte à rebours de 72 heures.
  2. Contenir l'incident. Coupez ce qui doit l'être : révoquez un accès, isolez un poste, changez les mots de passe compromis, rappelez un e-mail. L'objectif est d'arrêter l'hémorragie avant de raisonner sur la suite.
  3. Évaluer le risque pour les personnes. Demandez-vous ce que la fuite peut concrètement provoquer : usurpation d'identité, préjudice financier, atteinte à la vie privée. C'est le niveau de risque qui détermine s'il faut notifier, et à qui.
  4. Notifier la CNIL sous 72 heures. Si la violation présente un risque pour les personnes, vous devez la signaler à la CNIL dans les 72 heures suivant sa découverte. Passé ce délai, la notification reste possible mais doit être justifiée.
  5. Informer les personnes concernées. Quand le risque est élevé, prévenez aussi les personnes touchées, dans un langage clair, en indiquant les faits et les gestes à adopter de leur côté.
  6. Documenter la violation. Consignez l'incident, vos analyses et vos décisions dans un registre dédié, que vous ayez notifié ou non. Cette trace est votre preuve de sérieux en cas de contrôle.

Attention — Le délai de 72 heures court à partir du moment où vous prenez connaissance de la violation, pas de sa correction. Il inclut les week-ends et jours fériés. Mieux vaut envoyer une notification initiale, quitte à la compléter ensuite, que de manquer l'échéance.

Quand notifier, et à qui

La notification n'est pas systématique : elle dépend du risque que la violation fait peser sur les personnes. Le RGPD distingue deux obligations, qui ne se déclenchent pas au même seuil. Bien les distinguer vous évite de sur-réagir comme de sous-réagir.

La notification à la CNIL est obligatoire dès qu'une violation est susceptible d'engendrer un risque pour les droits et libertés des personnes. Seules les violations sans risque, par exemple des données déjà chiffrées et illisibles pour un tiers, peuvent en être dispensées.

L'information des personnes concernées, elle, n'est due que lorsque le risque est élevé. Il s'agit de leur permettre de se protéger : surveiller un compte bancaire, changer un mot de passe, se méfier d'une tentative d'hameçonnage. Elle doit être directe et compréhensible, pas noyée dans un jargon juridique.

Conseil — Ne décidez pas seul, dans l'urgence, si une violation doit être notifiée. Cette évaluation du risque est délicate et engage votre responsabilité. Faites-vous accompagner pour qualifier l'incident et sécuriser votre décision, surtout lors des premières heures.

Ce que vous risquez à ne pas notifier

Ne pas notifier une violation qui aurait dû l'être constitue un manquement en soi, indépendamment de l'incident d'origine. La CNIL peut sanctionner l'absence de notification, la notification tardive ou l'absence d'information des personnes, même si la faille technique était limitée.

Au-delà de la sanction administrative, l'enjeu est réputationnel. Une violation découverte par les clients ou la presse avant toute communication de votre part fait plus de dégâts que l'incident lui-même. La transparence, même inconfortable, protège la relation de confiance.

À l'inverse, une organisation qui détecte, contient et notifie proprement démontre sa maîtrise. La CNIL tient compte de cette réactivité. C'est aussi pour cela qu'anticiper la gestion de crise, en amont, fait partie d'une mise en conformité RGPD sérieuse plutôt que d'un simple réflexe d'urgence.

Bon à savoir — Toute violation doit figurer dans un registre interne des violations, même celles que vous décidez de ne pas notifier. Ce registre documente les faits, vos analyses et vos décisions. En cas de contrôle, il prouve que vous avez su qualifier l'incident, et non l'ignorer.

Le rôle du DPO face à une violation

Le délégué à la protection des données est la personne de référence dès qu'une violation survient. C'est souvent lui qui centralise l'alerte, pilote la qualification, arbitre sur la notification et rédige les échanges avec la CNIL. Sa présence évite l'improvisation au pire moment.

Un DPO utile ne se limite pas à réagir. Il prépare le terrain en amont : une procédure interne connue, des interlocuteurs identifiés, un modèle de notification prêt. Le jour venu, l'organisation gagne les heures qui font la différence. Notre article sur le rôle et les obligations du DPO détaille cette fonction.

Beaucoup de structures n'ont pas les moyens d'un délégué à plein temps. Externaliser cette fonction avec un DPO externe permet de disposer d'un référent expérimenté, capable de gérer une crise comme d'entretenir la conformité au quotidien. C'est le cœur de l'accompagnement que propose le cabinet mydari.

Conseil — La meilleure gestion de violation est celle que vous préparez avant qu'elle n'arrive. Réduire le risque à la source, en intégrant le privacy by design dans vos projets, limite le nombre et la gravité des incidents. Prenez contact pour bâtir une procédure adaptée à votre activité.

FAQ

C'est quoi une violation de données personnelles ?

C'est un incident de sécurité qui entraîne la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles. Il peut être accidentel ou malveillant. Un vol, une erreur d'envoi, une panne ou une cyberattaque peuvent tous constituer une violation au sens du RGPD.

Faut-il toujours notifier une violation à la CNIL ?

Non. La notification à la CNIL est obligatoire uniquement quand la violation présente un risque pour les droits et libertés des personnes. Une violation sans risque, par exemple des données chiffrées et inexploitables par un tiers, peut ne pas être notifiée.

Quel est le délai pour notifier une violation de données ?

Vous disposez de 72 heures après avoir pris connaissance de la violation pour la notifier à la CNIL. Ce délai inclut les week-ends et jours fériés. Passé ce terme, une notification reste possible mais doit s'accompagner d'une justification du retard.

Quand faut-il informer les personnes concernées ?

Vous devez informer les personnes lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. L'objectif est de leur permettre d'agir : changer un mot de passe, surveiller un compte, se méfier d'un e-mail frauduleux. Cette information doit être claire, directe et rapide.

Que risque-t-on si on ne notifie pas une violation ?

L'absence de notification, ou une notification tardive, est un manquement que la CNIL peut sanctionner, indépendamment de l'incident initial. S'ajoute un risque de réputation important si la fuite est révélée sans communication de votre part. Une gestion transparente protège mieux qu'un silence.

Une erreur humaine peut-elle être une violation de données ?

Oui. Un e-mail envoyé au mauvais destinataire, une pièce jointe contenant trop de données, un document laissé accessible ou un dossier papier perdu sont des violations. L'origine, humaine ou technique, ne change rien à la qualification. Ce qui compte, c'est l'effet sur les données personnelles.

Qui gère une violation de données dans l'entreprise ?

Le pilotage revient en général au délégué à la protection des données, en lien avec la direction et l'équipe technique. Le DPO qualifie l'incident, arbitre sur la notification et gère les échanges avec la CNIL. Une procédure définie à l'avance et des rôles clairs rendent cette gestion bien plus efficace.

Conclusion

Une violation de données ne se gère pas dans l'improvisation. La différence entre un incident maîtrisé et une crise se joue sur quelques réflexes : contenir, évaluer le risque, notifier dans les délais, informer si besoin, documenter. Ces gestes s'anticipent, et c'est justement ce travail préparatoire qui protège le mieux.

Si vous voulez bâtir une procédure claire, savoir qui alerter et disposer d'un référent en cas de coup dur, prenez contact avec nos équipes. Nous accompagnons déjà plus de dix clients sur ces sujets. Pour continuer, parcourez le blog, les premiers pas d'une démarche dans RGPD pour les TPE et PME : par où commencer, l'articulation avec la conformité à l'AI Act si vous utilisez de l'IA, ou la méthode d'évaluation des risques dans notre article sur l'analyse d'impact.

Pour aller plus loin, consultez les ressources officielles de la CNIL et le texte du RGPD sur EUR-Lex, dont les articles 33 et 34 encadrent la notification des violations.

L'équipe mydari

L'équipe mydari

Cabinet de conseil RGPD & AI Act

Tous les articles

Démarrons

Un projet de conformité ?

Un premier échange sans engagement pour comprendre votre situation et identifier les actions à fort impact.

Réponse sous 1 à 2 jours ouvrés · Sans engagement