La méthode en bref
En une phrase : Violation de données personnelles (cyberattaque, mais aussi incendie, vol d'ordinateur, erreur d'envoi) : tes obligations RGPD selon ta qualification, la notification à la CNIL (72 h) et l'information des personnes.
Quand on parle de violation de données, on pense hacking et fuite massive. Juridiquement, bien plus d'incidents entrent dans la définition : serveurs qui prennent feu, panne d'électricité, vol d'un ordinateur ou d'un disque dur contenant des données client, ou même un fichier RH envoyé par erreur au mauvais destinataire. Dans cet épisode de la Bold Académy, Margaud t'explique comment réagir.
Définition. Une violation de données, c'est tout incident de sécurité — malveillant ou non, intentionnel ou non — compromettant l'intégrité, la disponibilité ou la confidentialité de données personnelles (cyberattaque, indisponibilité après un incendie ou une panne, envoi par erreur…).
Ta qualification. Tout dépend de ton rôle. Le responsable de traitement détermine les finalités et les moyens du traitement (le « pourquoi » et le « comment »). Le sous-traitant traite les données au nom et pour le compte du responsable (ex. l'hébergeur). Si tu es sous-traitant, ton obligation se limite à notifier les responsables de traitement concernés (souvent tes clients) — vérifie tes contrats (ordre, délai, forme, documents). Si tu es responsable de traitement, tu peux devoir notifier la CNIL et/ou les personnes concernées, selon le risque.
Les points clés à retenir
Voici les idées à garder en tête après la vidéo. Elles servent de checklist rapide pour passer du concept à l'action.
violation de données ne se limite pas
Une violation de données ne se limite pas au piratage : incendie de serveurs, panne, vol d'un ordinateur ou envoi d'un fichier par erreur en sont aussi (atteinte à l'intégrité, la disponibilité ou la confidentialité).
Tes obligations dépendent de ta qualification
Tes obligations dépendent de ta qualification : sous-traitant (ex. hébergeur), tu notifies le responsable de traitement selon tes contrats ; responsable de traitement, tu peux devoir notifier la CNIL et/ou les personnes.
Évalue le risque : type de violation
Évalue le risque : type de violation, sensibilité et volume des données, personnes concernées, possibilité d'identification, secteur, conséquences.
Si la violation présente un risque, notifie
Si la violation présente un risque, notifie la CNIL sous 72 h via son formulaire (notification possible en deux temps ; au-delà, notifie quand même en justifiant le retard).
Si le risque est élevé (conséquences graves
Si le risque est élevé (conséquences graves + probabilité importante), informe aussi les personnes concernées (nature, conséquences, contact/DPO, mesures prises).
Dans tous les cas, documente la violation
Dans tous les cas, documente la violation dans un registre des violations — la CNIL peut en demander l'accès.
Quand l'appliquer dans ta startup ?
À reprendre dès que tu collectes, stockes, transmets ou exploites des données personnelles.
L'objectif n'est pas de tout complexifier, mais de repérer les bons réflexes : ce qu'il faut décider, ce qu'il faut documenter, et ce qu'il vaut mieux faire valider avant que le sujet ne bloque ton projet.
Pour aller plus loin
Cette vidéo fait partie de la Bold Academy. Les vidéos liées, les articles, les modèles de la contrathèque et les expertises associées te permettent de continuer le parcours sans repartir de zéro.
À retenir : Que faire en cas de violation de données personnelles ? doit t'aider à prendre une meilleure décision juridique, plus vite, avec une vision claire des risques et des prochaines étapes.
- Une violation de données ne se limite pas au piratage : incendie de serveurs, panne, vol d'un ordinateur ou envoi d'un fichier par erreur en sont aussi (atteinte à l'intégrité, la disponibilité ou la confidentialité).
- Tes obligations dépendent de ta qualification : sous-traitant (ex. hébergeur), tu notifies le responsable de traitement selon tes contrats ; responsable de traitement, tu peux devoir notifier la CNIL et/ou les personnes.
- Évalue le risque : type de violation, sensibilité et volume des données, personnes concernées, possibilité d'identification, secteur, conséquences.
- Si la violation présente un risque, notifie la CNIL sous 72 h via son formulaire (notification possible en deux temps ; au-delà, notifie quand même en justifiant le retard).
- Si le risque est élevé (conséquences graves + probabilité importante), informe aussi les personnes concernées (nature, conséquences, contact/DPO, mesures prises).
- Dans tous les cas, documente la violation dans un registre des violations — la CNIL peut en demander l'accès.
Si je te dis « violation de données », tu penses sûrement à des serveurs hackés et des millions de données personnelles dévoilées. Légalement, beaucoup plus d'incidents entrent dans la définition : tes serveurs ont pris feu, tu as subi une panne d'électricité, ou on t'a volé l'ordinateur ou le disque dur contenant des données client. Tout cela, ce sont des violations de données. Voyons comment réagir.
Qu'est-ce qu'une violation de données ? Tout incident de sécurité, malveillant ou non, intentionnel ou non, ayant pour conséquence de compromettre l'intégrité, la disponibilité ou la confidentialité des données personnelles. Exemple d'atteinte à la confidentialité et à l'intégrité : la cyberattaque (un tiers s'introduit dans ta base, subtilise et modifie tes données). Atteinte à la disponibilité : ton hébergeur subit un incendie, ou une panne d'électricité rend tes données indisponibles. Cela peut aussi être un employé qui envoie par erreur à un collègue un fichier contenant les noms, adresses et rémunérations de tous les salariés. Dans ces cas, tu as des obligations au titre du RGPD.
Responsable de traitement ou sous-traitant ? Tout dépend de ta qualification. Le responsable de traitement détermine les finalités et les moyens du traitement (le pourquoi du comment) — souvent la boîte qui collecte des données pour son activité. Le sous-traitant traite les données au nom et pour le compte du responsable ; l'exemple type est l'hébergeur. Si tu es sous-traitant, ton unique obligation est de notifier les responsables de traitement concernés (souvent tes clients) : vérifie tes contrats pour identifier l'ordre, le délai, le biais et les documents à transmettre. Si tu es responsable de traitement, tu peux devoir notifier la CNIL et/ou les personnes concernées, selon que la violation présente un risque — et selon que ce risque est élevé.
La notification à la CNIL. Elle est obligatoire uniquement si la violation présente un risque pour les droits et libertés des personnes. Dans ce cas, tu dois notifier dans un délai de 72 heures à compter de la prise de connaissance (le moment où tu es certain qu'un incident concernant des données personnelles a eu lieu). Mais évalue d'abord le risque, selon plusieurs éléments : le type de violation (intégrité, disponibilité, confidentialité), la sensibilité des données (données de santé ?), leur volume, le type de personnes concernées (enfants, patients, salariés), la facilité de les identifier (données chiffrées ou en clair), leur nombre, les caractéristiques du responsable (secteur santé, bancaire…), et les conséquences possibles (usurpation d'identité, détournement de coordonnées bancaires). Si tu conclus à un risque, notifie la CNIL dans les 72 heures via le formulaire disponible sur son site (lien en description), avec les éléments requis. Si tu ne disposes pas de tout dans les 72 heures, pas de panique : tu peux notifier en deux temps (une première fois avec les infos disponibles, puis un complément dans un nouveau délai de 72 heures). Et si tu as dépassé le délai, notifie quand même, en justifiant le retard.
L'information des personnes concernées. Si ton analyse révèle un risque élevé — conséquences graves et probabilité importante (par exemple données sensibles + personnes vulnérables + grand nombre de personnes) —, tu dois informer les personnes concernées. Cette information doit contenir, en termes clairs : la nature de la violation, ses conséquences probables, les coordonnées de la personne à contacter (ton DPO ou le référent), et les mesures prises pour y remédier et en limiter les conséquences. C'est le fameux e-mail que tu as peut-être déjà reçu de certaines compagnies. Tu peux y ajouter des recommandations (changer de mot de passe, sauvegarder ses données, vérifier leur intégrité).
Checklist. 1) Identifie l'origine et la nature de la faille : des données personnelles sont-elles touchées, de quelle nature, quelles conséquences, quelles mesures de remédiation ? 2) Selon ta qualification : sous-traitant, tu notifies le responsable de traitement selon les délais de tes contrats (d'où l'importance de bien les négocier) ; responsable de traitement, tu évalues le risque — s'il existe, tu notifies la CNIL sous 72 h ; s'il est élevé, tu informes aussi les personnes. 3) Dans tous les cas, documente la violation dans le registre des violations (la CNIL peut en demander l'accès). Si cette vidéo t'a plu, abonne-toi ou contacte-nous pour en savoir plus. À très vite !



.jpg)

.jpg)
.jpg)


.jpg)








.avif)


.avif)


