Fiche réflexe — Incident actif
Suivez les étapes dans l'ordre. Ne paniquez pas.
Vol d'ordinateur professionnel : obligations RGPD
La perte ou le vol d'un ordinateur ou smartphone professionnel constitue une violation de données au sens du RGPD si les fichiers ne sont pas chiffrés. Vous avez 72h pour notifier la CNIL — et potentiellement vos clients concernés.
Risque IT
💻 Fuite de données sur support volé
Risque business
⚖️ Violation RGPD et sanction CNIL
Signaux d'alerte
Appareil introuvable
Votre ordinateur, smartphone ou clé USB professionnel a disparu lors d'un déplacement, dans les transports ou au bureau. Même un oubli dans un taxi ou un hôtel constitue un incident à traiter sérieusement.
Absence de chiffrement
Les données du poste ne sont pas protégées par BitLocker (Windows) ou FileVault (Mac). Sans chiffrement, n'importe qui peut lire les fichiers en connectant simplement le disque à un autre ordinateur.
Accès non révoqué
Le poste a toujours accès au VPN, aux emails et aux outils professionnels après sa disparition. Chaque minute, un inconnu peut se connecter à vos systèmes avec les sessions encore ouvertes.
Données sensibles présentes
Des fichiers clients, bancaires, RH ou des mots de passe enregistrés étaient stockés localement sur l'appareil — sans synchronisation cloud chiffrée.
Connexion post-vol
Les journaux d'accès montrent une connexion à votre réseau, messagerie ou VPN après l'heure de disparition signalée.
Comment réagir
Révoquez les accès immédiatement
Coupez le VPN, les emails et tous les accès distants liés à l'appareil dès que la disparition est constatée. Chaque heure de délai est une fenêtre d'intrusion ouverte sur vos systèmes.
Changez les mots de passe
Réinitialisez le mot de passe de l'employé concerné sur tous les systèmes : messagerie, outils métier, CRM, banque en ligne. Les navigateurs enregistrent souvent les mots de passe en clair.
Évaluez les données exposées
Identifiez précisément quelles données étaient stockées : fichiers clients, RH, contrats, données bancaires. Cette analyse détermine si vous avez une obligation de notification CNIL.
Notifiez la CNIL si nécessaire
Si les données exposées présentent un risque pour les personnes concernées, déclarez la violation sur notifications.cnil.fr dans les 72h. En cas de doute, mieux vaut déclarer que risquer une sanction.
Déposez plainte
Portez plainte au commissariat ou en gendarmerie et conservez le récépissé — il est indispensable pour votre assurance et pour constituer votre dossier CNIL.
À ne pas faire
Ne retardez pas la révocation des accès en espérant que l'appareil réapparaisse : la plupart des vols de données surviennent dans les premières heures suivant la disparition.
Ne minimisez pas l'incident auprès de la CNIL : sous-déclarer ou déclarer hors délai expose à des sanctions pouvant atteindre 4% de votre chiffre d'affaires annuel.
Ne réinitialisez pas l'appareil à distance avant d'avoir évalué les données présentes : vous perdriez définitivement la possibilité d'inventorier ce qui a été exposé.
Outils recommandés pour ces 5 actions
* Liens partenaires — notre recommandation reste indépendante.