Un ordinateur volé, un email envoyé au mauvais destinataire, un rançongiciel : une violation de données peut arriver à toute organisation. Ce qui compte, c'est de savoir réagir vite et dans le bon ordre.
Dans la panique, on perd du temps et on prend de mauvaises décisions. Ce guide est votre marche à suivre, du premier constat à la documentation de l'incident, avec les délais à respecter et les réflexes qui limitent les dégâts.
Chapitre 01 — Qu'est-ce qu'une violation ?
Pas seulement un piratage.
Une violation, c'est toute atteinte à la sécurité entraînant, de façon accidentelle ou illicite, la destruction, la perte, l' altération ou la divulgation de données personnelles. Une simple erreur humaine peut en être une.
- Confidentialité — divulgation ou accès non autorisé (email au mauvais destinataire, piratage).
- Intégrité — modification non voulue de données.
- Disponibilité — perte ou destruction (matériel volé, rançongiciel).
Chapitre 02 — Les premières heures
Contenir avant tout.
L'objectif immédiat est de stopper l'incident et d'en limiter les effets, avant même de penser à notifier.
- Isolez le système ou le compte touché.
- Changez les accès et mots de passe compromis.
- Évaluez la nature, le volume et la sensibilité des données concernées.
- Consignez l'heure de découverte et les premières actions (l'horodatage compte).
Chapitre 03 — Notifier la CNIL
Le compte à rebours de 72 heures.
Si la violation présente un risque pour les personnes, vous devez notifier la CNIL dans les 72 heures après en avoir pris connaissance. Passé ce délai, la notification reste possible mais doit être motivée. En cas de doute sur le risque, il vaut mieux notifier.
Ce que contient la notification
- La nature de la violation et les catégories de données concernées.
- Le nombre approximatif de personnes touchées.
- Les conséquences probables et les mesures prises ou envisagées.
- Le point de contact pour en savoir plus.
Chapitre 04 — Informer les personnes
Quand prévenir les concernés.
Si le risque pour les personnes est élevé, vous devez aussi les informer, dans les meilleurs délais et en termes clairs : ce qui s'est passé, les risques concrets, et ce qu'elles peuvent faire pour se protéger (changer un mot de passe, surveiller un compte). Une communication honnête et rapide préserve la confiance.
Chapitre 05 — Documenter l'incident
Même sans notification, on trace.
Toute violation doit être consignée dans un registre des violations, y compris celles que vous n'avez pas notifiées. C'est une obligation et une preuve de sérieux en cas de contrôle.
- Les faits, la chronologie et les données concernées.
- L'analyse du risque et la décision de notifier ou non (avec la justification).
- Les mesures correctives prises.
Pour bâtir ces réflexes en amont, voir la mise en conformité RGPD. Pour anticiper les risques, voir aussi notre guide réussir son audit RGPD.
Chapitre 06 — Prévenir les prochaines
La meilleure réaction, c'est l'anticipation.
Chaque incident est une occasion de renforcer la sécurité. La plupart des violations sont évitables avec quelques mesures de base.
- Sensibilisez les équipes (l'erreur humaine est la première cause).
- Activez la double authentification sur les comptes sensibles.
- Sauvegardez régulièrement et testez vos restaurations.
- Préparez à l'avance une procédure de réaction et désignez un responsable.
Chapitre 07 — Checklist de réaction
À garder sous la main.
Dans l'immédiat
Sous 72 heures
À vous de jouer
La conformité n'attend pas le prochain contrôle.
Vous avez la méthode. Pour la mettre en œuvre sans y passer des semaines, faites le point avec une juriste dédiée : 30 minutes pour identifier vos écarts et repartir avec un plan d'action clair.




