Fiche réflexe — Incident actif
Suivez les étapes dans l'ordre. Ne paniquez pas.
Fuite de données RGPD : notifier la CNIL en 72h
Des données personnelles de vos clients ou collaborateurs ont été accédées, modifiées ou divulguées sans autorisation. En tant que professionnel, vous devez notifier la CNIL sous 72h et, selon le risque, informer directement les personnes concernées.
Risque IT
🗄️ Compromission de la base clients
Risque business
⚖️ Sanction CNIL jusqu’à 4% du CA
Signaux d'alerte
Client alerte d'un email frauduleux
Un client vous contacte car il a reçu un email frauduleux contenant ses données personnelles — numéro de commande, adresse, téléphone. Signe que votre base de données a été exfiltrée.
Connexions inhabituelles à la base de données
Vos journaux système signalent des accès à votre base de données depuis des adresses IP inconnues ou à des heures anormales. L'exfiltration peut avoir duré plusieurs jours sans alerte visible.
Données publiées en ligne
Vous découvrez vos fichiers clients publiés sur un forum spécialisé ou mis en vente sur un marché illicite. À ce stade, les données ont déjà quitté votre système depuis un certain temps.
Support amovible perdu
Une clé USB ou un disque dur contenant des données clients a disparu lors d'un déplacement ou d'un déménagement de bureau. Sans chiffrement, toutes les données sont lisibles par n'importe qui.
Email collectif envoyé par erreur
Un email contenant une liste de clients — en copie visible (CC) plutôt qu'en copie cachée (BCC) — a été envoyé par erreur. C'est une violation de données RGPD à part entière.
Comment réagir
Stoppez la fuite immédiatement
Bloquez l'accès compromis — révoquez les identifiants, coupez les API exposées, mettez le système affecté hors ligne si nécessaire. Chaque minute supplémentaire aggrave le volume de données exposées.
Évaluez précisément le périmètre
Identifiez quelles données ont été exposées (noms, emails, adresses, données bancaires, données de santé) et combien de personnes sont concernées. Cette analyse détermine votre obligation de notification.
Notifiez la CNIL sous 72h
Déclarez la violation sur notifications.cnil.fr. Le délai de 72h court dès que vous avez connaissance de l'incident, pas depuis sa découverte tardive. En cas de doute, notifiez.
Informez les personnes concernées
Si le risque pour les individus est élevé (données bancaires, mots de passe, données sensibles), vous devez les informer directement et leur indiquer les mesures à prendre pour se protéger.
Déposez plainte
Portez plainte au commissariat ou en gendarmerie avec les preuves disponibles. Conservez logs, captures et toute trace de l'incident — ils constituent votre dossier de conformité RGPD.
À ne pas faire
Ne tardez pas à notifier la CNIL : le délai de 72h est impératif et court dès votre connaissance de l'incident — pas depuis la correction du problème.
Ne minimisez pas le périmètre des données exposées dans votre déclaration : sous-déclarer engage votre responsabilité et peut aggraver les sanctions en cas de contrôle ultérieur.
Ne supprimez pas les logs ou preuves avant la plainte : c'est une destruction de preuves pénalement risquée et cela compromet votre dossier d'assurance.
Outils recommandés pour ces 5 actions
* Liens partenaires — notre recommandation reste indépendante.