Please choose your language:
  • frFrançais

Visit us in:
Barcelona, Copenhagen, Hamburg, Hong Kong, Kochi, London, Madrid, Milan, Munich, New York, Paris, Vienna, Zurich

Nos bureaux
Demander une démo
Contactez notre expert
Compliance & Ethics
Solutions
Policy & Procedure Management
Gestion des divulgations
Third-party risk management
Conformité ABAC
Whistleblowing & case management
Compliance awareness
Plateforme
Toutes vos exigences de conformité. Une seule plateforme.
Whistleblowing
Canaux sécurisés. Protection totale.
Risks
Détectez les problèmes. Agissez. Gardez une longueur d’avance.
Policies
Une gouvernance claire. Zéro confusion.
Approvals
Décisions rapides. Transparence totale.
Third Parties
Vision approfondie. Partenariats sécurisés.
Livre Blanc
Case Study
Webinar
Event
Article
Optimiser votre cartographie des risques
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Case Studies Webinaires Evénements White Papers Blog Actualité produits Service
Data Privacy
Solutions
Privacy automation
Plateforme
Protégez les données. Renforcez la confiance.
Conformité RGPD
Protection fluide. Esprit tranquille.
Conformité IA
Innovation éthique. Prêt pour l’avenir.
E-Learnings
Des connaissances qui perdurent. Des équipes performantes.
Livre Blanc
Case Study
Webinar
Event
Article
Votre checklist pour réussir vos audits de conformité RGPD
Nos experts en protection des données ont conçu une checklist complète pour vous accompagner, étape par étape, dans la préparation et la réalisation de vos audits RGPD. Téléchargez-la gratuitement dès maintenant.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Gestion de la durabilité
Solutions
Plateforme
Tous les cas d’usage sur une seule plateforme. Le cockpit de la durabilité
CSRD
Collectez les données dans toute l’organisation. Des rapports conformes..
Empreinte CO2
Calculez votre empreinte carbone. Réduisez vos émissions.
Double matérialité
Identifiez les enjeux clés. Passez à l’action.
VSME
Déclarez et partagez vos données ESG essentielles.
Taxonomie européenne
Mesurez votre alignement. Devenez plus durable.
Livre Blanc
Case Study
Webinar
Event
Article
La publication d’informations en matière de durabilité après la proposition “Omnibus” de l’UE
Faire le premier pas est toujours un défi, surtout lorsqu’il s’agit de mettre en place un dispositif de conformité efficace.
Ressources
Études de cas Webinaires Evénements White Papers Blog
Retour

Notifications à la CNIL

by Ola Mohty  | Updated: 04/12/2025

La notification à la CNIL est une obligation clé du RGPD lorsqu’une violation de données survient. Cet article détaille les étapes à suivre pour identifier, qualifier et notifier correctement une violation de données. 

Tous les organismes sont victimes de violations de données, quels que soient leur secteur ou leur taille. Cet événement est source de complications pour les organismes, leurs équipes informatiques (RSSI, DSI, etc.) ainsi que les DPO, car il témoigne d’un manquement de sécurité¹, et par conséquent d’une non-conformité au Règlement Général Européen relatif à la Protection des Données à caractère personnel (RGPD).

Lorsque ces violations sont susceptibles d’avoir un impact sur la vie privée des personnes concernées, ces dernières doivent être notifiées à la Commission Nationale Informatique et Libertés (CNIL).

En 2020, 2825 violations de données ont été notifiées à la CNIL². Nombre qui a sans aucun doute augmenté en 2021, et augmentera en 2022.

La notification à la CNIL fait partie des obligations majeures du RGPD. Les responsables de traitement doivent, par conséquent, être en mesure de gérer une violation dès sa survenance et savoir dans quels cas elle doit faire l’objet d’une notification.

Qu’est-ce qu’une violation de données ?

La violation de données est définie comme « une violation de la sécurité qui entraîne, de manière accidentelle ou illicite, l’un des événements suivants : destruction, perte, altération, divulgation non autorisée, et accès non autorisé aux données à caractère personnel » ³.

Autrement dit, il s’agit d’un incident de sécurité survenant dans le cadre d’un traitement de données, qu’il soit dû à une négligence (erreur humaine), un acte de malveillance (volonté de nuire) ou une erreur technique de sécurité.

Cet incident peut mener à :

  • Une divulgation ou un accès à des données personnelles par un tiers non autorisé (violation de la confidentialité des données)
    Exemple : Transmission par erreur d’un fichier contenant des données personnelles au mauvais destinataire.
  • Une altération des données (violation de l’intégrité des données)
    Exemple : Introduction malveillante dans une base de données par un tiers pour en modifier les données.
  • Une destruction ou une perte des données (violation de la disponibilité des données)
    Exemple : Perte d’un appareil contenant une base de données de données personnelles.

Comment gérer une violation de données

Plusieurs étapes doivent être suivies afin de gérer correctement une violation de données⁴, de sa prise de connaissance jusqu’à sa documentation interne, en passant par l’éventuelle notification CNIL.

En prendre connaissance

Pour pouvoir traiter une violation de données, il est nécessaire d’en avoir connaissance.

Ainsi, il est primordial de sensibiliser les équipes d’une organisation et de s’assurer qu’elles puissent identifier une violation de données et sachent comment alerter les fonctions en charge de son traitement le plus rapidement possible. On parle alors de processus de remontée des incidents.

Le DPO ou la personne en charge de la gestion des violations pourra alors en prendre connaissance et démarrer sa prise en charge.

Attention, si le traitement concerné par la violation est réalisé par un sous-traitant⁵ pour le compte de l’organisation (en tant que responsable de traitement⁶), ce dernier a l’obligation d’alerter le responsable de traitement dans les plus brefs délais. Cette obligation doit être rappelée dans le contrat liant le responsable de traitement au sous-traitant⁷, et le délai d’alerte négocié.

Qualifier la violation de données

Puisqu’il s’agit d’un incident, il faut, pour caractériser la violation, s’assurer que des données à caractère personnel sont concernées.

Une fois qu’il est certain qu’il s’agit d’une violation de données, il s’agit d’en connaître les caractéristiques et notamment :

  • Quel type de violation : perte d’intégrité, de disponibilité ou de confidentialité
  • Quelle catégorie de données : données d’identification, données de contacts, données sensibles ou hautement personnelles : données de santé, données bancaires, données judiciaires, numéro de sécurité sociale, etc.
  • Quelle catégorie de personnes concernées et quel volume : salariés, clients, prospects, administrés, adhérents, mineurs, personnes en situation de handicap, élèves, etc.
  • Quel volume de données et quel volume de personnes concernées : en proportion ou en valeur absolue
  • Quel type de responsable de traitement : établissement de santé, établissement scolaire, établissement financier, e-commerce, etc.
  • Ses conséquences probables : risque de phishing, atteinte à l’image ou la réputation, risque financier, risque d’usurpation d’identité, etc.

Ces informations sont essentielles pour connaître l’étendue et la sensibilité de la violation de données, ainsi que pour caractériser le risque afin de définir les prochaines étapes, éventuellement renseigner une notification à la CNIL et communiquer auprès des personnes concernées, ainsi que remplir le registre des violations.

Remédier au manquement de sécurité

Si une violation de données est caractérisée, elle est nécessairement liée à un manquement de sécurité technique ou organisationnelle. Si la violation de données est toujours en cours, il est impératif d’y remédier immédiatement pour réduire l’impact (ou sa probabilité) potentiel sur les droits et libertés des personnes concernées.

Par ailleurs, les mesures de remédiation prises devront apparaître dans une éventuelle notification à la CNIL ainsi que dans le registre des violations de données.

Notifier la CNIL et les personnes concernées

En fonction de la qualification de la violation de données, si celle-ci est susceptible d’engendrer un « risque pour les droits et libertés des personnes physiques »⁸, elle doit être notifiée à la CNIL.

Pour établir ce risque, il s’agit de reprendre les caractéristiques de la violation définies lors de l’étape de qualification et de vérifier la facilité avec laquelle les personnes concernées peuvent être identifiées, la vraisemblance du risque (probabilité qu’il se réalise), ainsi que sa gravité éventuelle.

La quantité de situations différentes est presque illimitée, et si dans certains cas, l’évaluation du risque sera facile (données sensibles, personnes vulnérables, volume important de données, etc.), il existe d’autres situations pour lesquelles l’appréciation du risque sera plus délicate. Le DPO, accompagné de ses équipes (sécurité informatique, DSI, métier, etc.), aura un rôle prépondérant dans cette qualification et dans l’orientation du responsable de traitement pour notifier la CNIL ou non.

Cette évaluation doit être réalisée rapidement : un responsable de traitement dispose d’un délai de 72 heures à compter de la prise de connaissance de la violation pour notifier la CNIL. Il est possible de réaliser une « notification initiale » si le responsable de traitement ne dispose pas de suffisamment d’informations pour une notification complète. Il devra alors justifier son manque d’information et son retard éventuel.

Cette notification se fait directement depuis un formulaire disponible sur le site de la CNIL⁹. Elle doit inclure les informations réunies lors de la phase de qualification, les coordonnées de la personne à contacter (généralement le DPO), les mesures prises pour remédier à la violation ou limiter ses conséquences, ainsi que préciser si les personnes concernées ont été averties ou non, et pourquoi.

Lorsque la violation est susceptible d’engendrer un « risque élevé pour les droits et libertés d’une personne physique », la notification à la CNIL devra être accompagnée d’une communication auprès des personnes concernées. Cette communication vise à les avertir du risque potentiel pour leurs données et leur permettre de réagir afin de se prémunir de conséquences préjudiciables (par exemple, modifier leurs identifiants et mot de passe).

Si aucun risque ne justifie une notification (données déjà publiques, données restaurées immédiatement, données chiffrées et non compromises, etc.), la violation doit néanmoins être documentée et intégrée au registre des violations.

Documentation interne dans le registre des violations

Toute violation de données personnelles doit être documentée dans un registre interne des violations de données¹⁰, maintenu généralement par le DPO.

Ce registre permet au responsable de traitement d’avoir un suivi de ses violations de données, et à l’autorité de vérifier le respect des obligations de notification en cas de contrôle.

Pour chaque violation de données, doivent être renseignés au minimum : les faits concernant la violation des données, ses effets et conséquences probables, ainsi que les mesures prises pour y remédier. Il est vivement recommandé d’y indiquer également la justification quant au choix de notifier ou non la CNIL ainsi que les personnes concernées.

Si la CNIL a été notifiée, la synthèse de notification contient toutes les informations nécessaires à la documentation et peut donc être jointe au registre.

Quelles conséquences à la notification ou à son absence ?

Une violation de données personnelles témoigne d’un défaut de sécurité et potentiellement d’un manquement aux mesures techniques et organisationnelles. Une notification à la CNIL peut amener l’autorité de contrôle à intervenir conformément à ses missions et pouvoirs fixés par le RGPD.

Toutefois, en cas de retard ou d’absence injustifiée de notification, la CNIL peut sanctionner le responsable de traitement, par exemple par une amende administrative pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.

Le responsable de traitement (dirigeants) peut également, au titre du code pénal¹¹, être sanctionné de 300 000 € et 5 ans d’emprisonnement, pour ne pas avoir procédé à la notification d’une violation de données à caractère personnel en méconnaissance des obligations du RGPD.

Il est donc fortement conseillé de notifier la CNIL lorsque les critères de risques sont réunis, ou dans le doute lorsque la qualification reste complexe.

Conclusion

Gérer correctement une violation de données implique de savoir identifier, qualifier, remédier et notifier efficacement. La mise en place d’un registre des violations et le recours à des outils comme EQS Privacy Cockpit permettent de sécuriser le processus, d’assurer la conformité RGPD et de réduire les risques pour les droits et libertés des personnes concernées.

Sources

1 Le RGPD exige de mettre en œuvre les mesures de sécurité techniques et organisationnelles suffisantes pour protéger les données à caractère personnel, Article 32 du RGPD

2 Rapport d’activité de la CNIL, 2020 

3 RGPD, Article 4 (12) 

4 L’ordre de description n’est pas fixe, certaines peuvent être réalisées en parallèle.

5 RGPD, Article 4 (8) – sous-traitant

6 RGPD, Article 4 (7) – responsable de traitement 

7 RGPD, Article 28 – contrats avec sous-traitants 

8 RGPD, Article 33 – notification à la CNIL 

9 https://notifications.cnil.fr/notifications/index

10 Article 33 (5) du RGPD

11 Code pénal, Article 226-17-1 

Ola Mohty
Ola Mohty

Experte en protection des données & Docteure en droit

Passionnée par la protection de la vie privée et la sécurité des données, Ola aide depuis 2018 les entreprises à transformer la conformité en véritable levier de confiance. Forte de son expertise juridique approfondie en matière de protection des données personnelles, elle allie précision juridique et approche opérationnelle pour accompagner des organisations de toutes tailles. Sa mission : rendre la protection des données accessible, stratégique et porteuse de valeur.

Contact