Introduction
Pourquoi déclarer une violation de données à la CNIL
Le Règlement Général sur la Protection des Données (RGPD) impose à tout responsable de traitement de notifier à la CNIL toute violation de données personnelles présentant un risque pour les droits et libertés des personnes concernées. Cette obligation, prévue par les articles 33 et 34 du RGPD, s'applique aux entreprises, associations et organismes publics français dès lors qu'ils traitent des données à caractère personnel.
Une violation de données personnelles (aussi appelée « data breach ») est un incident de sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données. Cela concerne aussi bien un piratage informatique qu'une erreur humaine : envoi d'un fichier client à un mauvais destinataire, perte d'une clé USB non chiffrée, accès non autorisé à un système d'information.
Le délai légal de notification est de 72 heures à compter de la constatation de la violation. Passé ce délai, le responsable de traitement doit justifier le retard. Le non-respect de cette obligation peut entraîner des sanctions administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial de l'entreprise, conformément à l'article 83(5) du RGPD.
Les différentes catégories de violations à signaler
Toutes les violations ne nécessitent pas la même réponse. Le RGPD distingue trois niveaux de risque :
- Risque négligeable : la violation n'affecte pas les droits et libertés des personnes (ex. : perte de données anonymisées). Aucune notification n'est requise, mais la violation doit être documentée en interne.
- Risque pour les droits et libertés : la violation peut affecter les personnes concernées (ex. : vol d'adresses email). Notification à la CNIL obligatoire sous 72h.
- Risque élevé : la violation peut avoir des conséquences graves (ex. : vol de données de santé, de coordonnées bancaires). Notification à la CNIL et communication aux personnes concernées obligatoires.
En cas de doute sur le niveau de risque, la CNIL recommande de notifier systématiquement. L'autorité déterminera si la communication aux personnes est nécessaire.
Le portail de notification CNIL
La déclaration s'effectue exclusivement en ligne via le portail dédié : https://notifications.cnil.fr/notifications/. Ce téléservice est réservé aux responsables de traitement (organismes publics ou privés). Les particuliers victimes d'un vol de données doivent déposer une plainte distincte auprès de la CNIL via le formulaire de réclamation.
La CNIL met à disposition un document préparatoire au format .odt (environ 741 Ko) permettant de préparer les réponses avant de les saisir en ligne. Il est recommandé de remplir ce document en amont pour ne pas dépasser le délai de 72 heures.
Les informations à documenter en interne
Même si la violation ne nécessite pas de notification, le RGPD impose de conserver une trace interne de chaque incident. Cette documentation doit inclure :
- La nature de la violation (type d'incident, vecteur d'attaque, étendue)
- Les catégories et le nombre approximatif de personnes concernées
- Les catégories et le nombre approximatif d'enregistrements de données affectés
- Les conséquences probables de la violation pour les personnes
- Les mesures prises ou envisagées pour remédier à la violation et prévenir sa récurrence
Le résumé de la notification adressée à la CNIL satisfait à cette obligation de documentation interne.
Les sanctions en cas de non-déclaration
Le RGPD prévoit des amendes administratives dissuasives pour les manquements à l'obligation de notification :
- Article 83(4) du RGPD : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial pour les violations des obligations du responsable de traitement (documentation, registre, analyse d'impact).
- Article 83(5) du RGPD : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial pour les violations des principes fondamentaux du traitement (non-respect de la notification de violation, non-respect des droits des personnes).
En pratique, la CNIL a déjà prononcé des sanctions pour défaut de notification de violation. En 2024, plusieurs mises en demeure et sanctions pécuniaires ont été prononcées à l'encontre d'organismes n'ayant pas déclaré de violations dans les délais requis. La tendance est à un durcissement des contrôles et des sanctions en 2025-2026.
Étapes à suivre7
Constater et documenter la violation
Dès la découverte de l'incident, identifiez sa nature (piratage, erreur humaine, perte de support), les données affectées (noms, emails, données de santé, coordonnées bancaires), et le nombre estimé de personnes concernées. Consignez ces éléments dans un registre interne avec date et heure de constatation.
Évaluer le niveau de risque
Déterminez si la violation présente un risque pour les droits et libertés des personnes concernées. Trois niveaux existent : risque négligeable (pas de notification requise), risque (notification à la CNIL obligatoire), risque élevé (notification à la CNIL + information des personnes concernées).
Se connecter au portail notifications.cnil.fr
Accédez au téléservice officiel de notification à l'adresse https://notifications.cnil.fr/notifications/. Ce portail est exclusivement réservé aux responsables de traitement (entreprises, associations, organismes publics). Les particuliers victimes doivent utiliser le formulaire de réclamation distinct de la CNIL.
Rédiger la notification initiale dans les 72 heures
Remplissez le formulaire en ligne avec les informations suivantes : nature de la violation, catégories et nombre approximatif de personnes concernées, catégories et nombre d'enregistrements affectés, conséquences probables, mesures correctives prises ou envisagées. Si vous n'avez pas toutes les informations, soumettez une notification partielle et complétez-la ultérieurement.
Informer les personnes concernées (si risque élevé)
Si la violation présente un risque élevé pour les droits et libertés des personnes, vous devez les informer directement et sans délai excessif, conformément à l'article 34 du RGPD. L'information doit être rédigée dans un langage clair et accessible et contenir : la nature de la violation, les coordonnées du DPO, les conséquences probables et les mesures correctives prises.
Soumettre les notifications complémentaires
Si la notification initiale était partielle, transmettez les informations complémentaires à la CNIL dès qu'elles sont disponibles : résultats de l'enquête interne, nombre exact de personnes concernées, mesures correctives définitivement mises en place, conclusions de l'analyse forensique le cas échéant.
Mettre en place des mesures correctives
Après la notification, mettez en œuvre les actions correctives annoncées : renforcement de la sécurité (chiffrement, authentification multi-facteurs, segmentation du réseau), révision des procédures d'accès, formation des collaborateurs, mise à jour du registre des traitements, et le cas échéant désignation d'un DPO si ce n'est pas déjà fait.
Conseils pratiques
- Désignez un DPO (Délégué à la Protection des Données) si votre organisme traite des données sensibles à grande échelle. Le DPO est le point de contact privilégié avec la CNIL et pilote la gestion des violations.
- Préparez un plan de réponse aux incidents avant qu'ils ne surviennent : modèle de notification pré-rempli, liste des contacts internes et externes, procédure de communication de crise.
- Conservez un registre interne de toutes les violations, même celles ne nécessitant pas de notification. Ce registre peut être demandé par la CNIL lors d'un contrôle.
- Si la violation résulte d'une cyberattaque, déposez systématiquement une plainte pénale et contactez cybermalveillance.gouv.fr. Le signalement pénal renforce votre position auprès de la CNIL.
- Le chiffrement des données est un argument majeur : si les données volées étaient chiffrées de manière robuste (AES-256), le risque pour les personnes est considérablement réduit et la CNIL peut en tenir compte dans son appréciation.
Points d'attention
- Le délai de 72 heures court à partir de la constatation de la violation, pas de sa survenue. Tardif à constater ne supprime pas l'obligation de notifier rapidement.
- Ne pas notifier une violation constitue un manquement au RGPD passible d'une amende pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise.
- La notification à la CNIL ne dispense pas de l'obligation d'informer les personnes concernées lorsque le risque est élevé. Ces deux obligations sont cumulatives et indépendantes.
- Les organismes publics sont soumis aux mêmes obligations que les entreprises privées en matière de notification de violation de données.
- Même si la violation est mineure et ne nécessite pas de notification à la CNIL, elle doit être documentée en interne. La CNIL peut demander à consulter ce registre lors d'un contrôle.
Questions fréquentes6
Quel est le délai exact pour notifier une violation de données à la CNIL ?
Le délai est de 72 heures à compter de la constatation de la violation, conformément à l'article 33 du RGPD. Ce délai ne court pas à partir de la survenue de l'incident mais à partir du moment où le responsable de traitement en prend connaissance. Si la notification ne peut pas être complète dans ce délai, il est possible d'envoyer une notification initiale avec les informations disponibles, puis de compléter par des notifications ultérieures. Si le délai de 72 heures est dépassé, il faut impérativement justifier le retard dans la notification.
Un particulier victime d'un vol de données peut-il notifier la CNIL ?
Non, le portail notifications.cnil.fr est exclusivement réservé aux responsables de traitement (organismes publics ou privés). Les particuliers victimes d'un vol de leurs données personnelles doivent déposer une réclamation auprès de la CNIL via le formulaire en ligne sur cnil.fr, ou adresser une plainte au procureur de la République. Ils peuvent aussi contacter l'organisme responsable du traitement pour obtenir des informations sur la violation et les mesures prises.
Quelles sanctions risque-t-on en cas de non-notification d'une violation ?
Le RGPD prévoit des sanctions administratives pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial de l'entreprise (article 83(5) du RGPD). En pratique, la CNIL prononce des mises en demeure, des sanctions pécuniaires et peut ordonner la limitation ou l'interdiction du traitement. Le montant de la sanction est déterminé en fonction de la gravité du manquement, du nombre de personnes concernées, de la coopération avec la CNIL et des mesures correctives mises en place. En 2024-2025, la CNIL a renforcé ses contrôles et ses sanctions pour défaut de notification.
Faut-il informer les personnes concernées en plus de la CNIL ?
Oui, lorsque la violation présente un risque élevé pour les droits et libertés des personnes, l'article 34 du RGPD impose de les informer directement et sans délai excessif. L'information doit être claire et accessible, et contenir : la nature de la violation, les coordonnées du DPO, les conséquences probables pour les personnes et les mesures correctives prises. Il existe des exceptions : si les données étaient protégées par un chiffrement robuste, si informer les personnes nécessiterait un effort disproportionné, ou si la notification compromettrait des enquêtes en cours.
Les données chiffrées volées nécessitent-elles une notification ?
Oui, la notification à la CNIL reste obligatoire même si les données étaient chiffrées. Cependant, le chiffrement constitue un facteur atténuant important dans l'évaluation du risque. Si le chiffrement est robuste (AES-256 par exemple) et que les clés n'ont pas été compromises, la CNIL peut considérer que le risque pour les personnes est faible ou négligeable. Dans ce cas, l'obligation d'informer les personnes concernées peut être levée, mais la notification à la CNIL reste nécessaire pour documenter l'incident.
Quelles informations faut-il fournir dans la notification à la CNIL ?
La notification doit contenir : la nature de la violation (type d'incident, vecteur d'attaque), les catégories et le nombre approximatif de personnes concernées, les catégories et le nombre approximatif d'enregistrements de données affectés, les conséquences probables de la violation pour les personnes, et les mesures prises ou envisagées pour remédier à la violation et prévenir sa récurrence. Si toutes les informations ne sont pas encore disponibles, une notification partielle peut être envoyée dans le délai de 72 heures, puis complétée ultérieurement.
Guides Technologie & IA
Voir toutConstruire un chatbot local avec Ollama et Python en 30 minutes
Utiliser DeepSeek V4 en 2026 pour améliorer la recherche
Utiliser Claude Opus 4.7 en 2026 pour améliorer la productivité
Comment créer et gérer ses mots de passe de manière sécurisée en 2026
Comment utiliser Ollama en 2026
Poursuivez votre lecture
Multi-catégoriesDéclaration impôts 2026 : comment remplir les cases EHPAD (7CD, 7CE) pour réduire vos taxes
Comment déclarer une pension de retraite étrangère aux impôts en France en 2026
Déclaration de revenus 2026 : guide détaillé
Comment faire déclaration revenus expatrié
Comment déclarer comptes bancaires étrangers en 2026
Impôts 2026, cette évolution de la case 7DB pourrait modifier le montant final de votre déclaration
Équipe éditoriale GuidePratiquefr
Rédacteurs spécialisés en droit, fiscalité et finances
Rédigé et vérifié par notre équipe de rédacteurs spécialisés. Sources officielles consultées : service-public.fr, legifrance.gouv.fr, impots.gouv.fr, ameli.fr. Dernière vérification : 17 mai 2026.
Sources officielles consultées
Les informations contenues dans ce guide sont fournies à titre indicatif et ne remplacent pas un conseil professionnel personnalisé.