En cas de violation de données, savez-vous que vous avez 72h pour notifier la CNIL ?
En bref — ce que vous devez retenir
En cas de violation de données personnelles présentant un risque pour les personnes concernées, vous avez 72 heures pour notifier la CNIL. C'est un délai très court — avoir une procédure documentée en amont est indispensable pour ne pas dépasser ce délai sous pression.
Glossaire
Commission Nationale de l'Informatique et des Libertés
Autorité française indépendante qui protège les données personnelles. Elle contrôle les entreprises, répond aux plaintes des citoyens et peut infliger des amendes en cas de manquement.
Une "violation de données" au sens RGPD couvre un large spectre : vol de données suite à un ransomware, perte d'un ordinateur portable non chiffré, envoi d'emails à de mauvaises adresses, accès non autorisé à une base de données.
72 heures, c'est très court — moins de 3 jours. Sans procédure préparée, les entreprises passent les premières 48 heures à comprendre ce qui s'est passé et à chercher qui prévenir. Le délai expire avant que quiconque ait pensé à notifier la CNIL.
Vol d'un ordinateur portable non chiffré contenant des données de santé. L'équipe a mis 5 jours à notifier la CNIL (délai de 72h dépassé). Amende de 40 000 € dont une partie directement liée au dépassement du délai de notification.
"On a eu une fuite de données un vendredi soir. Grâce à notre procédure et notre compte CNIL pré-créé, on a notifié en 18 heures. L'instruction CNIL s'est bien passée — la rapidité de notification a joué en notre faveur."
Obtenez votre score cybersécurité en 25 minutes et un plan d'action concret.