Violation de Données : Que Faire dans les 72 Heures (Guide d'Urgence)

Lundi matin, 8h30. Vous ouvrez vos emails et découvrez que votre hébergeur a été piraté. Ou pire : un collaborateur vous appelle pour vous dire qu'il a envoyé par erreur un fichier client à la mauvaise personne. Ou encore : vous recevez un message de rançon sur votre écran.

Votre cœur s'accélère. Vous pensez : "Qu'est-ce que je fais maintenant ?"

Vous n'êtes pas seul. En janvier 2026, plus de 80 millions de personnes ont été touchées par des fuites de données en France. O'tacos (29 millions de clients), l'URSSAF (12 millions de salariés), EasyCash (14 millions de clients), Relais Colis (10 millions), la Fédération Française de Volley, des agences immobilières, des centres médicaux... La liste s'allonge chaque jour.

Le RGPD vous impose de réagir vite : 72 heures maximum pour notifier la CNIL. Passé ce délai, vous êtes en infraction – même si vous êtes vous-même victime.

Ce guide vous donne exactement les étapes à suivre, heure par heure, pour gérer une violation de données correctement. Pas de jargon juridique inutile, juste ce que vous devez faire concrètement.

Ce que dit le RGPD sur les violations de données

Avant de passer à l'action, clarifions ce qu'est une "violation de données" au sens du RGPD. Ce n'est pas forcément un piratage spectaculaire à la Hollywood.

Définition légale (article 4 du RGPD)

Une violation de données personnelles, c'est toute atteinte à la sécurité entraînant :

• La destruction de données (accidentelle ou illicite)
• La perte de données
• L'altération de données
• La divulgation non autorisée
• L'accès non autorisé à des données personnelles

Exemples concrets :

• Un pirate accède à votre base clients (cyberattaque)
• Un employé envoie un fichier Excel avec des données clients au mauvais destinataire
• Vous perdez une clé USB non chiffrée contenant des informations personnelles
• Un ransomware bloque l'accès à vos données
• Un sous-traitant se fait pirater (et vos données avec)
• Un bug technique expose temporairement des données sur votre site

L'obligation des 72 heures (article 33)

Dès que vous avez connaissance d'une violation, le chronomètre démarre. Vous avez 72 heures pour notifier la CNIL, sauf si la violation n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes.

En pratique, dans 90% des cas, vous devez notifier. Un nom + un email qui fuitent = un risque de phishing = notification obligatoire.

Quand faut-il aussi prévenir les personnes concernées ? (article 34)

Si la violation présente un risque élevé pour les droits et libertés des personnes, vous devez aussi les informer directement. C'est le cas quand les données exposées peuvent permettre :

• Une usurpation d'identité (CNI, numéro de sécu, date de naissance...)
• Une fraude financière (IBAN, coordonnées bancaires...)
• Une atteinte à la réputation (données de santé, opinions politiques...)
• Des discriminations (origine ethnique, orientation sexuelle...)

Exemple récent : La fuite de la Fédération Française de Volley (janvier 2026) incluait des cartes d'identité, certificats de naissance et photos. Risque élevé évident → obligation d'informer les 1,2 million d'adhérents.

Les 7 étapes à suivre dans les 72 heures

Voici exactement ce que vous devez faire, dans l'ordre. Gardez ce guide sous la main – vous en aurez peut-être besoin un jour.

Étape 1 : Confirmer et contenir l'incident (H+0 à H+2)

Première priorité : stopper l'hémorragie.

• Confirmez qu'il s'agit bien d'une violation (pas une fausse alerte)
• Identifiez la source : piratage, erreur humaine, faille technique ?
• Contenez immédiatement : coupez l'accès compromis, changez les mots de passe, isolez les systèmes touchés
• Préservez les preuves : ne supprimez rien, faites des captures d'écran, conservez les logs

Qui mobiliser : votre responsable informatique, votre DPO si vous en avez un, votre prestataire de maintenance.

Étape 2 : Évaluer l'ampleur des dégâts (H+2 à H+6)

Vous devez répondre à ces questions :

• Quelles données sont concernées ? (noms, emails, IBAN, données de santé...)
• Combien de personnes sont touchées ?
• Depuis quand la faille existe-t-elle ?
• Les données ont-elles été exfiltrées ou juste consultées ?
• Les données étaient-elles chiffrées ?

Cette évaluation détermine si vous devez notifier la CNIL et/ou les personnes concernées.

Grille d'évaluation du risque :

Type de données	Niveau de risque	Notification
Nom + email seuls	Modéré	CNIL uniquement
+ adresse postale, téléphone	Modéré à élevé	CNIL + personnes (selon contexte)
+ date de naissance	Élevé	CNIL + personnes
+ IBAN / carte bancaire	Très élevé	CNIL + personnes (urgent)
+ n° sécu / CNI / passeport	Très élevé	CNIL + personnes (urgent)
Données de santé	Critique	CNIL + personnes + ARS selon cas
Mots de passe (même hashés)	Élevé à critique	CNIL + personnes + forcer le changement

Étape 3 : Notifier la CNIL (avant H+72)

La notification se fait en ligne sur le site de la CNIL : notifications.cnil.fr

Vous devrez fournir :

• La nature de la violation (piratage, erreur, perte...)
• Les catégories de données concernées
• Le nombre approximatif de personnes touchées
• Les conséquences probables
• Les mesures prises ou envisagées pour y remédier
• Les coordonnées de votre DPO ou contact

Étape 4 : Informer les personnes concernées (si risque élevé)

Si votre évaluation conclut à un risque élevé, vous devez prévenir les personnes dans les meilleurs délais. La loi ne fixe pas de délai précis, mais la CNIL attend une communication rapide.

Votre message doit contenir :

• Une description claire de ce qui s'est passé
• Les types de données concernées
• Les risques possibles pour la personne
• Les mesures que VOUS avez prises
• Les mesures que LA PERSONNE peut prendre (vigilance, changement de mot de passe...)
• Un contact pour poser des questions

Ce qu'il ne faut PAS faire :

• Minimiser l'incident ("une petite fuite technique")
• Noyer l'info importante dans du jargon juridique
• Attendre des semaines en espérant que ça passe inaperçu

Exemple de ce qu'on voit trop souvent (à éviter) :

"Suite à un incident de sécurité ayant affecté l'un de nos sous-traitants, certaines de vos données ont pu être temporairement accessibles. Nous prenons très au sérieux la protection de vos données..."

Cette communication est vague, ne dit pas quelles données, ne donne pas de conseils concrets. Elle protège l'entreprise juridiquement mais n'aide pas les personnes concernées.

Étape 5 : Documenter l'incident (obligatoire dans tous les cas)

Même si vous n'avez pas à notifier la CNIL (risque faible), vous devez documenter l'incident dans un registre interne. C'est l'article 33.5 du RGPD.

Ce registre doit contenir :

• La date et l'heure de découverte
• La nature de la violation
• Les données et personnes concernées
• Les conséquences
• Les mesures correctives prises
• La justification si vous n'avez pas notifié la CNIL

La CNIL peut demander ce registre lors d'un contrôle. S'il n'existe pas ou est incomplet, c'est une infraction.

Étape 6 : Porter plainte (recommandé)

Si vous êtes victime d'une cyberattaque, déposez plainte. Ce n'est pas obligatoire au sens du RGPD, mais c'est fortement recommandé :

• Vous pouvez porter plainte en ligne sur www.masecurite.interieur.gouv.fr
• Ou au commissariat/gendarmerie
• Vous pouvez aussi saisir le procureur directement

La plainte est importante pour :

• Déclencher une enquête
• Prouver votre bonne foi
• Potentiellement obtenir réparation
• Alimenter les statistiques officielles (utile pour la société)

Étape 7 : Tirer les leçons et renforcer la sécurité (H+72 et après)

Une fois la crise passée, analysez ce qui s'est passé et corrigez les failles :

• Comment l'attaque/l'erreur a-t-elle pu se produire ?
• Quelles mesures auraient pu l'empêcher ?
• Vos procédures de détection étaient-elles efficaces ?
• Votre réaction a-t-elle été assez rapide ?

Mettez à jour votre politique de sécurité, formez vos équipes, renforcez vos défenses.

Les erreurs qui aggravent votre situation

En cas de violation, certaines erreurs peuvent transformer un incident gérable en catastrophe. Voici ce qu'il faut absolument éviter.

Erreur n°1 : Ne pas notifier en pensant que "personne ne saura"

C'est la pire erreur. La CNIL apprend les fuites de plusieurs façons :

• Les victimes qui se plaignent
• Les médias qui en parlent
• Les chercheurs en sécurité qui trouvent les données en ligne
• Les sites comme bonjourlafuite.eu.org qui répertorient les fuites

Si la CNIL découvre une fuite que vous n'avez pas notifiée, c'est la double peine : sanction pour la fuite + sanction pour non-notification.

Erreur n°2 : Attendre d'avoir "toutes les informations"

Le délai de 72h court dès la connaissance de l'incident, pas dès que vous avez tous les détails. Si vous attendez une semaine pour "être sûr", vous êtes en infraction.

La CNIL accepte les notifications incomplètes, avec des compléments ultérieurs. C'est prévu par le texte.

Erreur n°3 : Accuser uniquement le sous-traitant

Votre prestataire s'est fait pirater ? C'est lui le coupable technique, mais VOUS restez responsable du traitement. C'est vous qui devez notifier la CNIL et informer les personnes.

En janvier 2026, plusieurs entreprises ont été touchées via leurs sous-traitants :

• Itelis : a exposé les données de patients d'AG2R, Malakoff Humanis, ASAF, APRS...
• RDV360 : a touché les mairies de Brest, Quimper, Alfortville, Chatou...
• Weda : a exposé des données médicales de plusieurs cabinets

Chaque entreprise cliente reste responsable pour ses propres clients.

Erreur n°4 : Communiquer trop tard ou trop vaguement

Une communication tardive ou floue aggrave les dégâts :

• Les personnes ne peuvent pas se protéger (surveiller leurs comptes, changer de mot de passe...)
• Les médias et réseaux sociaux s'emparent du sujet, souvent avec des infos erronées
• Votre réputation en prend un coup plus sévère que si vous aviez été transparent

Erreur n°5 : Ne pas documenter

Même si vous gérez bien la crise, sans documentation, vous ne pouvez pas le prouver. Lors d'un contrôle CNIL, c'est votre parole contre... rien.

Cas concrets : ce qui s'est passé en janvier 2026

Pour illustrer l'ampleur du phénomène, voici quelques exemples marquants du mois de janvier 2026. Ces cas montrent que tout le monde est concerné : grandes entreprises, PME, associations, établissements publics...

O'tacos : 29 millions de clients

Données exposées : nom, prénom, email, carte de fidélité, pays, date de création du compte.

Risque principal : phishing ciblé. Avec votre nom et votre email, un pirate peut vous envoyer un faux message "O'tacos" très crédible pour récupérer vos coordonnées bancaires.

URSSAF : 12 millions de salariés

Données exposées : nom, prénom, date de naissance, SIRET de l'employeur, date d'embauche.

Risque principal : usurpation d'identité, fraude à l'emploi. Ces données permettent de créer de faux profils très réalistes.

Panorama Banques : 2,3 millions de clients

Données exposées : identité complète, nationalité, adresse, email, téléphone, statut marital, revenus, crédits en cours, loyers, banque, statut propriétaire/locataire, profession, type de contrat.

C'est une mine d'or pour les fraudeurs. Avec ces informations, ils peuvent :

• Souscrire des crédits à votre nom
• Usurper votre identité auprès d'organismes
• Monter des arnaques ultra-ciblées

Fédération Française de Volley : 1,2 million d'adhérents

Données exposées : identité, contact, mais surtout cartes d'identité, certificats de naissance, photos, signatures.

C'est du risque maximal. Une carte d'identité permet l'usurpation totale : ouvrir des comptes, souscrire des contrats, commettre des délits sous votre nom.

11 agences immobilières : 1,2 million de documents

Données exposées : nom, adresse, login/mot de passe, email, téléphone, quittances de loyer, factures, IBAN, carnets d'entretien, rapports financiers, CR d'AG...

Le mot du pirate : "T·O·U·T". Quand tout fuite, le risque est total.

Centre d'imagerie médicale de Puteaux : données de santé

Données exposées : identité, date de naissance, téléphone, email, adresse, nombre de rendez-vous.

Les données de santé sont particulièrement sensibles. Elles peuvent révéler des pathologies, des traitements, des vulnérabilités exploitables par des escrocs.

Checklist d'urgence : à imprimer et garder sous la main

Voici une checklist synthétique à conserver. En cas de crise, vous n'aurez pas le temps de relire tout l'article.

Comment éviter d'en arriver là : prévention de base

La meilleure gestion de crise, c'est celle qu'on n'a pas à faire. Voici les mesures de base qui réduisent drastiquement le risque de violation.

Sécurité technique minimale

• HTTPS obligatoire sur tout votre site
• Mots de passe forts et uniques pour chaque service
• Authentification à deux facteurs (2FA) sur tous les comptes sensibles
• Mises à jour régulières de tous les logiciels (CMS, plugins, serveur...)
• Sauvegardes régulières et testées, stockées séparément
• Chiffrement des données sensibles au repos

Sécurité humaine

• Former vos équipes au phishing (90% des attaques commencent par un email)
• Limiter les accès : chaque personne n'accède qu'aux données dont elle a besoin
• Procédure d'envoi : vérifier les destinataires avant d'envoyer des fichiers sensibles
• Gestion des départs : supprimer immédiatement les accès des anciens employés

Sécurité contractuelle

• Vérifier vos sous-traitants : ont-ils des mesures de sécurité adéquates ?
• Contrats conformes : clauses RGPD obligatoires (article 28)
• Droit d'audit : pouvoir vérifier la sécurité de vos prestataires

Et si vous êtes une TPE ou un indépendant ?

Vous vous dites peut-être : "Tout ça, c'est pour les grandes entreprises. Moi, j'ai un petit site vitrine avec un formulaire de contact."

Malheureusement, le RGPD ne fait pas de distinction de taille. Si vous collectez des données personnelles (même juste des emails via un formulaire de newsletter), vous êtes concerné.

La bonne nouvelle : pour une TPE, les obligations sont proportionnées au risque. Voici l'essentiel :

• Sécurisez votre site : HTTPS, CMS à jour, mots de passe solides
• Limitez les données collectées : ne demandez que ce dont vous avez vraiment besoin
• Tenez un registre simple des traitements et des incidents
• Ayez une procédure en tête : que faire si ça arrive ?
• Ayez une politique de confidentialité à jour sur votre site

💡 RGPDKit peut vous aider à générer automatiquement votre politique de confidentialité et vos mentions légales conformes, en quelques minutes. C'est une base solide pour être en règle, même sans budget avocat. Essayez gratuitement.

En résumé

Une violation de données, ça peut arriver à n'importe qui. En janvier 2026, la liste des victimes en France ressemble à un annuaire : restauration, banque, sport, santé, immobilier, administration publique...

Ce qui compte, c'est votre réaction :

• Réagissez vite : 72 heures, c'est court, mais c'est la loi
• Soyez transparent : la CNIL et les personnes concernées vous le pardonneront mieux qu'une tentative de dissimulation
• Documentez tout : c'est obligatoire et c'est votre meilleure défense
• Tirez les leçons : chaque incident doit renforcer votre sécurité

Et surtout, n'attendez pas d'être en crise pour vous préparer. Mettez en place les bases de la conformité RGPD maintenant : politique de confidentialité, mentions légales, procédures internes...

Votre site est-il conforme ? Vérifiez gratuitement avec RGPDKit : notre outil scanne votre site et génère vos documents légaux en 3 minutes.