Mis à jour le 29 mars 2026

Comment réagir face à une fuite de données personnelles (RGPD)

En 2025, la CNIL a enregistré plus de 5 000 notifications de violations de données en France. Les PME représentent 43% de ces incidents. Une fuite de données personnelles déclenche des obligations légales strictes : vous disposez de 72 heures pour notifier la CNIL. Ne pas réagir correctement peut coûter jusqu’à 20 millions d’euros d’amende.

Sommaire

Qu’est-ce qu’une violation de données personnelles ?

Selon le RGPD, une violation de données personnelles est un incident de sécurité entraînant la destruction, la perte, l’altération ou la divulgation non autorisée de données personnelles.

Cela couvre des situations très variées :

  • Un ransomware qui chiffre votre base clients
  • Un email envoyé au mauvais destinataire contenant des données personnelles
  • Un ordinateur portable volé contenant des fichiers non chiffrés
  • Un ancien collaborateur qui conserve l’accès à des données après son départ
  • Une faille de sécurité sur votre site web exposant des données clients
  • Un prestataire qui subit une cyberattaque impliquant vos données

Les données personnelles incluent tout ce qui permet d’identifier une personne : nom, email, téléphone, adresse, numéro de sécurité sociale, données bancaires, mais aussi l’adresse IP ou un identifiant client.

5 000+Notifications de violations à la CNIL en 2025
72hDélai maximum pour notifier la CNIL
20M EURAmende maximale prévue par le RGPD

Vos obligations légales en cas de fuite

Le RGPD impose trois obligations principales en cas de violation de données.

1. Documenter l’incident

Quelle que soit la gravité de la violation, vous devez la consigner dans un registre interne. Ce registre doit contenir : la nature de la violation, les catégories de données concernées, le nombre de personnes affectées, les conséquences probables et les mesures prises.

2. Notifier la CNIL (dans certains cas)

Si la violation présente un risque pour les droits et libertés des personnes, vous devez notifier la CNIL dans les 72 heures. En pratique, la plupart des violations nécessitent une notification. Seules les violations mineures sans risque (ex : email interne envoyé au mauvais collègue) en sont exemptées.

3. Informer les personnes concernées (dans certains cas)

Si la violation présente un risque élevé pour les personnes (données bancaires, données de santé, identifiants compromis), vous devez les informer directement et sans délai.

Point clé : Le délai de 72 heures pour notifier la CNIL commence dès que vous avez connaissance de la violation, pas dès qu’elle s’est produite. Si vous découvrez un lundi qu’un piratage a eu lieu le vendredi précédent, le compteur démarre le lundi. Ne retardez pas la découverte : une surveillance continue de vos systèmes est essentielle.

Les étapes de réaction immédiate

Voici le protocole à suivre dès la découverte d’une fuite de données.

Heure 0 : Confinement

  1. Identifier la source de la fuite (quel système, quel accès, quelle vulnérabilité)
  2. Stopper la fuite en cours (isoler le système compromis, bloquer les accès, couper la connexion)
  3. Préserver les preuves (ne pas éteindre les serveurs, copier les logs, capturer les écrans)
  4. Alerter les responsables internes (direction, DPO, service informatique)

Heures 1-24 : Évaluation

  1. Déterminer la nature des données compromises (types, catégories, sensibilité)
  2. Estimer le nombre de personnes affectées
  3. Évaluer les conséquences potentielles (usurpation d’identité, fraude, préjudice moral)
  4. Vérifier si les données étaient chiffrées (ce qui réduit le risque)
  5. Contacter votre prestataire IT pour l’investigation technique

Heures 24-72 : Notification

  1. Notifier la CNIL via le téléservice en ligne (notifications.cnil.fr)
  2. Préparer la communication vers les personnes concernées si nécessaire
  3. Documenter toutes les actions entreprises dans le registre
  4. Informer les sous-traitants et partenaires potentiellement affectés

Après 72 heures : Remédiation

  1. Corriger la vulnérabilité à l’origine de la fuite
  2. Renforcer les mesures de sécurité pour prévenir la récurrence
  3. Compléter la notification CNIL si de nouvelles informations émergent
  4. Tirer les leçons et mettre à jour votre plan de réponse aux incidents

Notifier la CNIL et les personnes concernées

La notification doit contenir des informations précises.

Contenu de la notification CNIL

  • La nature de la violation (confidentialité, intégrité, disponibilité)
  • Les catégories et le nombre approximatif de personnes concernées
  • Les catégories et le nombre approximatif de données concernées
  • Le nom et les coordonnées du DPO ou du contact
  • Les conséquences probables de la violation
  • Les mesures prises ou envisagées pour remédier à la violation

Information des personnes concernées

Si le risque est élevé, vous devez informer les personnes dans un langage clair et simple :

  • Ce qui s’est passé
  • Quelles données sont concernées
  • Ce que vous faites pour y remédier
  • Ce que les personnes peuvent faire pour se protéger (changer de mot de passe, surveiller les comptes)
  • Comment vous contacter pour plus d’informations

Prévenir les futures violations

La meilleure réponse est la prévention.

Mesures techniques

  • Chiffrement des données sensibles au repos et en transit
  • Sauvegardes régulières et testées
  • Mises à jour de sécurité appliquées sans délai
  • Contrôle d’accès strict avec le principe du moindre privilège
  • Authentification multi-facteurs sur tous les accès sensibles
  • Surveillance continue des systèmes (SIEM, EDR)

Mesures organisationnelles

  • Nommer un DPO (obligatoire pour certaines entreprises, recommandé pour toutes)
  • Former les collaborateurs au RGPD et à la sécurité des données
  • Rédiger un plan de réponse aux incidents et le tester régulièrement
  • Réaliser des analyses d’impact (AIPD) pour les traitements à risque
  • Auditer les prestataires qui traitent des données personnelles
  • Tenir le registre des traitements à jour
Questions fréquentes
3 questions
Le non-respect de l’obligation de notification est passible d’une amende pouvant atteindre 10 millions d’euros ou 2% du chiffre d’affaires mondial. Au-delà de l’amende, la CNIL peut rendre publique sa décision, ce qui nuit gravement à votre réputation. En pratique, la CNIL est plus compréhensive avec les entreprises qui notifient tardivement mais de bonne foi qu’avec celles qui tentent de dissimuler une violation.
Oui, si l’email contient des données personnelles. C’est une violation de confidentialité. La gravité dépend du contenu : un email avec un prénom est moins critique qu’un email avec des données de santé ou bancaires. Dans tous les cas, l’incident doit être consigné dans votre registre interne. La notification à la CNIL dépend du niveau de risque pour les personnes concernées.
En France, l’assurabilité des amendes administratives est discutée juridiquement. La plupart des assurances cyber couvrent les frais de gestion de crise (investigation, notification, communication), les frais juridiques et les dommages et intérêts, mais pas les amendes CNIL elles-mêmes. Vérifiez les termes exacts de votre contrat avec votre assureur.

Besoin d’accompagnement ?

Plan de réponse aux incidents, notification CNIL, mise en conformité RGPD et audit de sécurité : Odyssix vous accompagne avant, pendant et après une violation de données.

Contactez nos experts

Services associés

Odyssix peut vous accompagner

Odyssix

Rédigé par l'équipe Odyssix

Experts IT, Cybersécurité & Digital depuis 2018

Odyssix accompagne les PME dans leur transformation numérique et la sécurisation de leur système d'information. Nos experts certifiés (CEH, OSCP, ISO 27001) partagent leur expérience terrain à travers nos articles de blog.

Besoin d'en savoir plus ?

Contactez nos experts pour une démonstration personnalisée.

Nous contacter