Modèle de notification violation CNIL 72h : guide DPO 2026

L’essentiel. Toute violation de données présentant un risque pour les personnes doit être notifiée à la CNIL dans un délai maximum de 72 heures via le téléservice notifications.cnil.fr. La notification initiale peut être incomplète et complétée ultérieurement. Si le risque est élevé, les personnes concernées doivent être informées sans délai. Ce guide fournit 4 modèles de notification couvrant les scénarios usuels — cyberattaque, erreur humaine, perte de matériel, défaillance sous-traitant — et la procédure interne de réponse à activer.

Une violation de données survient un vendredi soir à 18h. Le RSSI remonte l’incident. Le DPO se pose immédiatement la question : faut-il notifier la CNIL ? Et si oui, en combien de temps ? Dans 72 heures, le délai est écoulé — et chaque heure compte. C’est précisément dans ces moments que disposer de modèles de notification prêts à l’emploi et d’une procédure interne testée fait la différence entre une réponse maîtrisée et une crise mal gérée.

Ce guide fournit les éléments légaux de référence (article 33 RGPD sur la notification à la CNIL, article 34 RGPD sur l’information des personnes), la procédure interne de réponse à activer dès la détection, et quatre modèles de notification couvrant les scénarios les plus fréquents. Pour le cadre général de la notification, voir notre guide notification violation de données CNIL.

Cadre légal : ce que l’article 33 RGPD impose

L’article 33(1) du RGPD impose la notification à l’autorité de contrôle (la CNIL) « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques ».

La logique est donc une exception à l’obligation — et non une obligation absolue. Si la violation ne présente aucun risque, la notification n’est pas requise. Mais le responsable doit pouvoir justifier cette appréciation dans son registre interne des violations.

L’article 33(3) fixe le contenu minimum de la notification :

a) Description de la violation (nature, catégories de données concernées, nombre approximatif de personnes et d’enregistrements affectés) b) Coordonnées du DPO ou du point de contact c) Description des conséquences probables de la violation d) Description des mesures prises ou envisagées (correction, remédiation, protection des personnes)

L’article 33(4) prévoit explicitement la possibilité d’une notification initiale incomplète, transmise dans le délai, suivie d’une notification complémentaire une fois l’enquête avancée. Il ne faut donc pas attendre d’avoir toutes les réponses pour notifier.

Procédure interne de réponse : H+0 à H+72

Phase 1 — Détection et qualification (H+0 à H+6)

• Isoler les systèmes compromis et bloquer la propagation
• Identifier la nature et le périmètre approximatif de la violation (données concernées, nombre de personnes)
• Activer la cellule de crise : DPO, RSSI, direction juridique, direction générale
• Premier diagnostic : confidentialité, intégrité, disponibilité

Phase 2 — Évaluation du risque (H+6 à H+24)

Les lignes directrices 09/2022 du CEPD fournissent une grille d’évaluation articulée autour de cinq paramètres :

1. Type de violation (confidentialité, intégrité, disponibilité)
2. Nature, volume et sensibilité des données : données sensibles Art. 9 → risque élevé automatique
3. Facilité d’identification des personnes concernées
4. Gravité des conséquences pour les personnes (discrimination, vol d’identité, préjudice financier, atteinte à la réputation)
5. Caractéristiques particulières du responsable ou des personnes (hôpital, mineurs, personnes vulnérables)

En pratique : si le doute subsiste, notifier. La CNIL préfère une notification « par précaution » à une notification tardive ou absente.

Phase 3 — Notification initiale (H+24 à H+72)

• Notification CNIL via téléservice notifications.cnil.fr — même si toutes les informations ne sont pas disponibles
• Documentation de l’incident dans le registre interne des violations (obligatoire, tenu par le DPO)
• Préparation de la communication aux personnes concernées si le risque est élevé
• Préparation des éventuelles communications aux partenaires, clients pro, autorités sectorielles

Phase 4 — Notification complémentaire et clôture (au-delà de H+72)

• Complétion des éléments d’enquête (causes, périmètre exact, durée, conséquences confirmées)
• Notification complémentaire à la CNIL avec les éléments consolidés
• Communication aux personnes concernées si le risque est confirmé élevé (Art. 34)
• Retour d’expérience interne et actions correctives durables

Modèles de notification CNIL selon le scénario

La notification se fait exclusivement via le téléservice CNIL. Les modèles ci-dessous proposent le contenu rédactionnel à intégrer dans les champs libres du formulaire — à adapter au contexte précis.

Modèle 1 — Cyberattaque (ransomware, intrusion, exfiltration)

Description de la violation (Art. 33.3.a) :

Le [date], à [heure approximative], notre Security Operations Center a détecté [type d’incident : intrusion, déploiement de ransomware, exfiltration]. L’attaque a touché [systèmes concernés] et a entraîné [confidentialité compromise / intégrité altérée / disponibilité dégradée] des données qu’ils traitent.

Les premières investigations indiquent que les données suivantes sont concernées : [catégories de données — identité, contact, données contractuelles, données de paiement, données sensibles le cas échéant]. Le nombre approximatif de personnes affectées est estimé à [chiffre ou fourchette]. Le nombre d’enregistrements est estimé à [chiffre].

Cette estimation est provisoire et sera précisée dans une notification complémentaire à l’issue des investigations menées avec l’appui de [prestataire forensique / équipe interne].

Conséquences probables (Art. 33.3.c) :

En l’état des éléments disponibles, les risques identifiés pour les personnes concernées sont : [vol d’identité / fraude bancaire / atteinte à la vie privée / risque réputationnel / risque physique si données sensibles]. Le risque est qualifié de [faible / modéré / élevé] sur la base des critères des Lignes directrices 09/2022 du CEPD.

Mesures prises (Art. 33.3.d) :

Mesures de confinement : isolation des systèmes compromis, réinitialisation des accès, blocage des comptes potentiellement compromis. Mesures correctives engagées : analyse forensique en cours, restauration depuis sauvegardes, renforcement des mécanismes d’authentification. Mesures envisagées : information des personnes concernées si le risque est confirmé élevé, communication transparente, accompagnement des personnes affectées.

Modèle 2 — Erreur humaine (envoi mauvais destinataire, exposition accidentelle)

Description de la violation :

Le [date], un collaborateur du service [service] a [envoyé un email à un mauvais destinataire / exposé temporairement un fichier sur un espace partagé non sécurisé / publié par erreur des données sur le site web]. L’incident a entraîné une exposition non autorisée de données personnelles.

Les données concernées sont : [catégories]. Le nombre de personnes affectées est de [chiffre précis si connu]. La durée d’exposition a été d’environ [durée], jusqu’à la détection et le retrait.

Conséquences probables :

Les risques pour les personnes concernées sont [détailler]. La probabilité d’exploitation malveillante est qualifiée de [faible / modérée / élevée] compte tenu de [contexte — destinataire identifié, exposition brève, environnement professionnel restreint, etc.].

Mesures prises :

Mesures immédiates : [retrait du contenu, demande de suppression au destinataire avec confirmation, suppression des journaux d’accès]. Mesures correctives : sensibilisation des équipes, mise à jour des procédures, mise en œuvre de contrôles techniques (DLP, vérification destinataires email).

Modèle 3 — Perte ou vol de matériel

Description de la violation :

Le [date], un [type d’équipement : ordinateur portable, smartphone, clé USB, disque externe, badge] de [type d’utilisateur — collaborateur, prestataire] a été [perdu / volé] dans les circonstances suivantes : [contexte bref]. L’équipement contenait ou donnait accès à des données personnelles de [catégories de personnes].

Les données concernées sont estimées à : [catégories]. Le nombre approximatif de personnes affectées est de [chiffre]. L’équipement [était / n’était pas] chiffré.

Conséquences probables :

Si l’équipement était chiffré conformément à notre politique : risque résiduel faible compte tenu de [mécanisme — chiffrement intégral du disque, authentification forte, possibilité d’effacement à distance]. Si l’équipement n’était pas chiffré ou si le chiffrement peut être contourné : risque [modéré / élevé] de divulgation des données en cas d’accès par un tiers.

Mesures prises :

Mesures immédiates : blocage à distance des accès, effacement à distance si possible, révocation des certificats et clés, signalement aux autorités compétentes [le cas échéant]. Mesures correctives : renforcement des politiques de chiffrement, déploiement de MFA, sensibilisation au signalement immédiat des pertes.

Modèle 4 — Violation chez un sous-traitant

Description de la violation :

Le [date], notre sous-traitant [nom] nous a notifié, conformément à l’article 28(3)(f) du RGPD, la survenue d’une violation de données affectant les traitements qu’il opère pour notre compte. La violation est intervenue le [date initiale] et a été détectée par le sous-traitant le [date détection]. Notre organisation a été informée le [date notification].

Selon les éléments communiqués par le sous-traitant, la violation a consisté en [nature] et a affecté les données suivantes : [catégories]. Le nombre approximatif de nos personnes concernées est de [chiffre estimé par le sous-traitant ou par notre analyse interne].

Conséquences probables :

Évaluation conjointe avec le sous-traitant : risque [niveau]. Les conséquences possibles pour les personnes sont [détail].

Mesures prises :

Mesures du sous-traitant : [détailler les mesures déjà mises en œuvre par le sous-traitant]. Mesures de notre organisation : audit complémentaire des mesures du sous-traitant, revue contractuelle, évaluation de la nécessité de notifier directement les personnes concernées, examen des actions correctives proposées. Selon les engagements de l’article 28, nous suivons la mise en œuvre des mesures correctives par le sous-traitant.

Information des personnes concernées : Art. 34 RGPD

L’article 34 impose d’informer les personnes concernées sans délai lorsque la violation présente un risque élevé pour leurs droits et libertés. La communication doit être faite « en des termes clairs et simples » et contenir :

• Une description de la nature de la violation
• Les coordonnées du DPO
• Les conséquences probables
• Les mesures prises ou proposées

Exceptions à l’obligation d’information (Art. 34(3)) :

• Données chiffrées de manière à les rendre incompréhensibles
• Mesures ultérieures rendant le risque très improbable
• Effort disproportionné — dans ce cas, communication publique ou mesure équivalente

Modèle de communication aux personnes (risque élevé confirmé)

Madame, Monsieur,

Nous vous écrivons pour vous informer d’un incident de sécurité ayant affecté vos données personnelles, en application de l’article 34 du Règlement Général sur la Protection des Données.

Que s’est-il passé ? Le [date], notre organisation a subi [nature de l’incident — cyberattaque, fuite, exposition accidentelle]. L’incident a entraîné [conséquence — accès non autorisé / divulgation / perte] de certaines de vos données personnelles.

Quelles données vous concernant sont concernées ? [Lister précisément : nom, email, téléphone, données de paiement, données sensibles le cas échéant. Ne pas minimiser.]

Quelles sont les conséquences possibles pour vous ? [Détailler honnêtement : risque de phishing utilisant ces données, risque de vol d’identité, risque de fraude bancaire, etc.]

Que faisons-nous ? Nous avons immédiatement [actions de remédiation]. Nous avons notifié la CNIL conformément à nos obligations. Nous travaillons actuellement à [actions complémentaires].

Que pouvez-vous faire ? [Recommandations concrètes : vigilance sur les emails suspects, surveillance des comptes bancaires, changement de mots de passe sur d’autres services utilisant les mêmes identifiants, etc.]

Pour toute question : Vous pouvez contacter notre Délégué à la Protection des Données à [email DPO]. Si vous estimez vos droits non respectés, vous pouvez introduire une réclamation auprès de la CNIL : https://www.cnil.fr/fr/plaintes.

Nous vous prions de croire, Madame, Monsieur, à l’expression de nos regrets pour cet incident et à nos meilleures salutations.

[Signature]

Tenue du registre interne des violations

L’article 33(5) impose au responsable de traitement de documenter toute violation — y compris celles qui ne donnent pas lieu à notification. Ce registre est tenu par le DPO et doit pouvoir être présenté en cas de contrôle CNIL.

Pour chaque incident, le registre doit comporter :

• Date et heure de survenance et de détection
• Nature et description de la violation
• Catégories et nombre approximatif de personnes concernées
• Catégories et volume approximatif d’enregistrements concernés
• Conséquences probables
• Mesures prises pour remédier à la violation
• Mesures prises pour atténuer les éventuelles conséquences négatives
• Décision de notifier ou non (avec justification dans les deux cas)
• Décision d’informer ou non les personnes concernées (avec justification)

Erreurs fréquentes sanctionnées par la CNIL

Cinq manquements récurrents au regard des articles 33-34 :

1. Notification tardive au-delà des 72 heures sans justification recevable
2. Notification omise par mauvaise qualification du risque (sous-évaluation)
3. Absence de communication aux personnes alors que le risque était élevé
4. Registre interne des violations absent ou incomplet
5. Procédure de réponse inexistante : la CNIL relève souvent l’absence de procédure formalisée comme manquement aggravant lors de l’instruction d’une violation

Ces manquements relèvent du plafond haut de l’article 83(5)(a) : jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial.

FAQ : notification CNIL 72h

Le délai de 72h court-il à partir de l’incident ou de la détection ?

À partir de la prise de connaissance par le responsable de traitement — c’est-à-dire le moment où le responsable acquiert un degré de certitude suffisant qu’un incident de sécurité a eu lieu et a affecté des données personnelles. La simple suspicion ne déclenche pas le délai ; la confirmation par enquête initiale le déclenche.

Le délai est-il calendaire ou ouvré ?

Calendaire. 72 heures = 3 jours, y compris week-ends et jours fériés. Aucune suspension pour vendredi soir ou jour férié.

Peut-on notifier sans certitude sur le nombre exact de personnes ?

Oui. L’article 33(4) prévoit la notification incomplète complétée ultérieurement. Le formulaire CNIL accepte des fourchettes et permet la complétion en plusieurs étapes.

Faut-il informer le CSE en cas de violation ?

Non obligatoire au titre du RGPD, mais relève des bonnes pratiques en cas de violation affectant les salariés (données RH). Le CSE peut être informé via l’instance de dialogue social habituelle.

Que faire si l’incident vient d’un sous-traitant ?

Le sous-traitant doit notifier au responsable de traitement « dans les meilleurs délais » selon l’article 33(2). Le responsable de traitement reste seul redevable de la notification à la CNIL et de l’information des personnes. Le délai de 72h court à partir de votre prise de connaissance, pas de celle du sous-traitant.

Faut-il déposer plainte en cas de cyberattaque ?

Oui, fortement recommandé. Le dépôt de plainte au commissariat ou en ligne (Pré-Plainte en ligne) est une bonne pratique en cas d’intrusion malveillante, et un préalable à certaines démarches assurantielles. Il est distinct de la notification CNIL et ne s’y substitue pas.

Pour structurer la procédure de gestion des violations et tenir le registre conforme à l’article 33(5), un logiciel RGPD permet de centraliser les incidents, suivre les délais et générer la documentation attendue par la CNIL.