Notification de violation de données RGPD : calendrier et étapes

Lorsqu’une violation de données personnelles survient, le RGPD vous accorde 72 heures pour notifier votre autorité de contrôle. Pas 72 heures ouvrées — 72 heures réelles, week-ends et jours fériés inclus. Cela commence à partir du moment où vous « prenez connaissance » de la violation, ce que le Comité Européen de la Protection des Données définit comme le moment où vous avez un degré raisonnable de certitude qu’un incident de sécurité a compromis des données personnelles.

Ce n’est pas un délai généreux. Cela signifie que votre processus de réponse aux violations ne peut pas commencer par « voyons qui s’en occupe » ou « planifions une réunion pour lundi ». Il doit s’agir d’un plan d’action bien rodé que votre équipe peut exécuter sous pression, à toute heure, avec des rôles clairs et des canaux de communication prédéfinis.

Ce guide couvre les exigences légales, les étapes pratiques et la documentation que les entreprises SaaS doivent avoir prêtes avant qu’une violation ne survienne.

Qu’est-ce qui constitue une violation de données personnelles ?

Le RGPD définit une violation de données personnelles comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ». C’est plus large que ce que la plupart des gens supposent. Ce n’est pas limité aux incidents de piratage ou aux attaques externes.

Violations de confidentialité — Accès non autorisé ou divulgation de données personnelles. Un employé accédant aux dossiers clients sans justification professionnelle. Un email contenant des données personnelles envoyé au mauvais destinataire. Un point d’accès API mal configuré qui expose les données des utilisateurs.

Violations d’intégrité — Altération non autorisée de données personnelles. Une corruption de base de données qui modifie les dossiers clients. Un bug logiciel qui écrase les paramètres d’un utilisateur avec ceux d’un autre.

Violations de disponibilité — Perte d’accès aux données personnelles. Une attaque par rançongiciel qui chiffre votre base de données. Une migration échouée qui rend les données clients inaccessibles pendant une période prolongée. Une panne matérielle qui détruit les sauvegardes.

Tous les incidents de sécurité ne sont pas des violations de données personnelles. Une attaque DDoS qui provoque une indisponibilité mais n’affecte pas les données personnelles n’est pas une violation. Une tentative de connexion échouée n’est pas une violation. Mais la limite peut être subtile — si une attaque DDoS provoque la défaillance de vos systèmes de surveillance, et que pendant cette fenêtre un accès non autorisé passe inaperçu, vous pourriez avoir une violation.

Le cadre de notification

Le RGPD crée un système de notification à deux niveaux. Toutes les violations ne déclenchent pas les deux niveaux.

Niveau 1 : Notifier l’autorité de contrôle (Article 33)

Quand est-ce requis : Pour toute violation de données personnelles, sauf si la violation est « peu susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».

En pratique : Le seuil est bas. Si des données personnelles ont été exposées, consultées ou perdues, et qu’il existe un scénario réaliste dans lequel une personne concernée pourrait être lésée (vol d’identité, discrimination, perte financière, atteinte à la réputation, perte de confidentialité), vous devez notifier. Le réflexe par défaut devrait être de notifier ; ne dispensez-vous de notification que lorsque vous pouvez véritablement démontrer un risque minimal.

Délai : Dans les 72 heures suivant la prise de connaissance de la violation. Si vous ne pouvez pas fournir tous les détails dans les 72 heures (ce qui est courant pour les incidents complexes), vous pouvez soumettre une notification initiale et compléter avec des informations supplémentaires par phases.

Ce que la notification doit inclure :

La nature de la violation, y compris le nombre approximatif de personnes concernées et d’enregistrements de données affectés
Le nom et les coordonnées de votre DPD ou autre point de contact
Une description des conséquences probables de la violation
Une description des mesures prises ou proposées pour remédier à la violation, y compris les mesures d’atténuation

Comment notifier : L’Autorité de Protection des Données de chaque État membre de l’UE dispose de son propre mécanisme de notification — généralement un formulaire en ligne sur le site de l’APD. Si vous opérez dans plusieurs États membres, notifiez l’APD du pays où se trouve votre établissement principal. Si vous n’êtes pas certain de l’APD à contacter, notifiez l’APD du pays où se trouvent les personnes concernées les plus affectées.

Niveau 2 : Notifier les personnes concernées (Article 34)

Quand est-ce requis : Lorsque la violation est « susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques ». C’est un seuil plus élevé que le niveau 1. Toutes les violations signalées à l’APD ne nécessitent pas une notification individuelle.

Les scénarios à haut risque comprennent :

Exposition de données financières (coordonnées bancaires, numéros de carte de paiement)
Exposition d’identifiants d’authentification (mots de passe, questions de sécurité)
Exposition de documents d’identité ou de numéros d’identification nationaux
Exposition de données de santé ou biométriques
Exposition de données pouvant conduire à une discrimination (données raciales, politiques, religieuses)
Exposition à grande échelle de données qui, combinées, permettent le vol d’identité

Vous n’avez pas besoin de notifier les personnes concernées si :

Vous disposiez d’un chiffrement approprié ou d’autres protections rendant les données inintelligibles (ex. : les données violées étaient chiffrées avec une clé qui n’a pas été compromise)
Vous avez pris des mesures ultérieures garantissant que le risque élevé n’est plus susceptible de se matérialiser
La notification individuelle impliquerait un effort disproportionné (auquel cas, faites une communication publique à la place)

Ce que la notification doit inclure : La notification doit utiliser un langage clair et simple et comprendre :

La nature de la violation
Les coordonnées du DPD ou du point de contact
Les conséquences probables
Les mesures prises ou proposées, y compris les mesures que la personne concernée peut prendre pour se protéger

Construire un plan de réponse aux violations

Le chronomètre de 72 heures rend la préparation en amont essentielle. Voici comment structurer votre plan de réponse aux violations :

Définir les rôles et responsabilités

Coordinateur de violation : Une personne nommée (généralement le DPD, le RSSI ou le Responsable Sécurité) qui est responsable du processus de réponse de la détection à la résolution.

Équipe de réponse aux incidents : Définissez qui doit être impliqué :

Équipe sécurité/ingénierie (investigation et confinement)
Conseil juridique (obligations de notification, évaluation de la responsabilité)
Communication (notifications aux personnes concernées, déclarations publiques)
Direction (décisions stratégiques, allocation des ressources)
Succès client (si les données clients sont affectées)

Parcours d’escalade : Définissez comment joindre chaque membre de l’équipe en dehors des heures de bureau. Une violation à 23h un vendredi ne peut pas attendre le point du lundi matin.

Établir les canaux de détection et de signalement

Signalement interne : Chaque employé doit savoir comment signaler une violation suspectée. Créez un canal dédié — un canal Slack, un alias email ou un formulaire de gestion des incidents — et assurez-vous qu’il est surveillé en continu.

Signalement externe : Vos fournisseurs et sous-traitants doivent vous notifier rapidement lorsqu’ils subissent une violation affectant vos données. Révisez vos DPA pour vous assurer que les clauses de notification de violation incluent des délais spécifiques.

Détection automatisée : Mettez en place une surveillance des schémas d’accès anormaux, des exports de données inhabituels, des pics de tentatives d’authentification échouées et des modifications de configuration non autorisées.

Créer des modèles de réponse

Préparez des modèles à l’avance pour :

La notification à l’autorité de contrôle (suivant le format du formulaire de l’APD)
L’email de notification aux personnes concernées (langage simple, pas de jargon)
Le format de mise à jour interne du statut
Le communiqué de presse (pour les violations médiatisées)

Rédigez-les lorsque vous êtes serein et pouvez réfléchir clairement — pas pendant le chaos d’un incident actif.

Pratiquer le processus

Organisez des exercices de simulation au moins une fois par an. Présentez un scénario de violation réaliste et déroulez le processus de réponse :

Qui est notifié en premier ?
Comment évaluez-vous la portée ?
Qui rédige la notification à l’APD ?
Comment déterminez-vous si les personnes concernées doivent être notifiées ?
Que faire si la violation implique un sous-traitant, pas vos propres systèmes ?

Ces exercices révèlent les lacunes de votre plan avant qu’une vraie violation ne le fasse.

Le calendrier de réponse aux violations

Heure 0–4 : Détection et évaluation initiale

Confirmez qu’une violation de données personnelles s’est produite (vs. un incident de sécurité qui n’implique pas de données personnelles)
Identifiez le type de violation (confidentialité, intégrité, disponibilité)
Commencez immédiatement les mesures de confinement
Activez l’équipe de réponse aux incidents
Démarrez le journal de violation

Heure 4–24 : Investigation et évaluation de la portée

Déterminez quelles données ont été affectées (types, volume, catégories de personnes concernées)
Identifiez comment la violation s’est produite
Évaluez si la violation est contenue ou en cours
Évaluez le risque pour les personnes concernées
Commencez à préparer la notification à l’APD

Heure 24–48 : Décision et rédaction

Décidez si la notification à l’APD est requise (en cas de doute, notifiez)
Décidez si la notification aux personnes concernées est requise
Rédigez la notification à l’APD avec tous les éléments requis
Préparez la notification aux personnes concernées si nécessaire
Informez la direction

Heure 48–72 : Notification

Soumettez la notification à l’APD (même si elle est incomplète — vous pouvez compléter ultérieurement)
Envoyez les notifications aux personnes concernées si requis
Documentez toutes les actions entreprises et les décisions prises
Poursuivez l’investigation et la remédiation

Post-incident : Résolution et revue

Terminez l’investigation
Mettez en oeuvre des mesures pour prévenir la récurrence
Soumettez des informations complémentaires à l’APD si la notification initiale était incomplète
Réalisez une revue post-incident
Mettez à jour votre plan de réponse aux violations en fonction des leçons apprises
Mettez à jour votre registre des violations

Le registre des violations

L’article 33(5) vous oblige à documenter toutes les violations de données personnelles — pas seulement celles que vous avez signalées à l’APD. Votre registre des violations doit enregistrer :

Les faits de la violation (ce qui s’est passé, quand, comment)
Les effets (quelles données ont été affectées, combien de personnes concernées)
Les mesures correctives prises
Votre évaluation des risques et vos décisions de notification (y compris le raisonnement si vous avez décidé de ne pas notifier)

Ce registre sert de preuve de votre responsabilité. Lorsqu’une autorité de contrôle audite votre gestion des violations, elle voudra voir ce dossier.

Obligations du sous-traitant en cas de violation

Si vous êtes un sous-traitant et que vous découvrez une violation affectant les données du responsable du traitement, l’article 33(2) vous oblige à notifier le responsable du traitement « dans les meilleurs délais ». Votre DPA devrait préciser un délai plus précis.

En tant que sous-traitant, vous ne notifiez généralement pas directement l’APD — c’est la responsabilité du responsable du traitement. Mais vous devez :

Informer le responsable du traitement rapidement
Fournir toutes les informations dont le responsable du traitement a besoin pour sa notification
Assister dans l’investigation et la remédiation
Documenter la violation dans vos propres registres

Comment GRCTrail aide à la réponse aux violations

GRCTrail fournit l’infrastructure pour une réponse aux violations organisée et documentée :

Suivi des incidents. Enregistrez les violations avec des données structurées — type, portée, calendrier, catégories de données affectées — et suivez-les à travers l’investigation, la notification et la résolution.

Gestion des preuves. Chaque action pendant la réponse à une violation est horodatée et enregistrée. Constituez un dossier auditable de votre réponse sans avoir à rassembler les emails et messages de chat après coup.

Piste d’audit. Démontrez aux autorités de contrôle exactement ce que vous avez fait, quand vous l’avez fait et pourquoi vous avez pris les décisions que vous avez prises. Le principe de responsabilité exige des preuves documentées, pas seulement de bonnes intentions.

Connecté à votre programme de conformité. Votre réponse aux violations est connectée à votre RAT, vos DPA et vos évaluations des risques. Comprendre quelles activités de traitement et quels fournisseurs sont impliqués dans une violation est immédiat.

Construisez votre capacité de réponse aux violations →

Guides connexes

Checklist de conformité RGPD — Le cadre de conformité complet
Amendes et sanctions du RGPD — Ce que coûte la non-conformité
Analyse d’Impact relative à la Protection des Données (AIPD) — Identifier les risques avant que les violations ne surviennent
Accords de Traitement de Données (DPA) — Obligations de notification de violation des sous-traitants

Commencez avec GRCTrail →

Cookie Name	Purpose	Duration
grctrail_consent	Stores your cookie preferences	1 year
grctrail_user_id	Maintains your session state	1 year

Cookie Name	Purpose	Duration
_ga	Google Analytics - Distinguishes unique users	2 years
_ga_*	Google Analytics 4 - Maintains session state	2 years
_gid	Google Analytics - Distinguishes users	24 hours