Lorsqu’une cyberattaque survient, la reaction technique n’est qu’une partie de l’equation. Les obligations de notification se sont considerablement multipliees ces dernieres annees, sous l’effet conjugue du RGPD, de la directive NIS2, du code des assurances et du droit penal. Chaque texte impose ses propres destinataires, ses propres delais et ses propres exigences de contenu. Manquer une notification, c’est ajouter une infraction juridique a un incident technique deja critique. Cet article cartographie l’ensemble des obligations de notification applicables en cas de cyberattaque et fournit une methode pratique pour s’y conformer.

I. La notification a la CNIL : violation de donnees personnelles

A. Le declencheur : la violation de donnees au sens du RGPD

L’obligation de notification a la CNIL est declenchee par une “violation de donnees a caractere personnel” au sens de l’article 33 du RGPD. Cette notion est definie a l’article 4 comme “une violation de la securite entrainant, de maniere accidentelle ou illicite, la destruction, la perte, l’alteration, la divulgation non autorisee de donnees a caractere personnel transmises, conservees ou traitees d’une autre maniere, ou l’acces non autorise a de telles donnees”.

En pratique, la quasi-totalite des cyberattaques impliquant des systemes contenant des donnees personnelles declenche cette obligation. Un rancongiciel qui chiffre une base de donnees clients constitue une violation (perte de disponibilite, et potentiellement de confidentialite si les attaquants ont exfiltre les donnees avant chiffrement). Une intrusion dans un systeme d’information contenant des donnees de salaries est une violation de confidentialite. Un defacement de site web qui compromet des donnees de formulaires est egalement couvert.

La seule exception concerne les violations qui ne sont pas “susceptibles d’engendrer un risque pour les droits et libertes des personnes physiques”. Ce seuil est bas : en cas de doute, la notification s’impose.

B. Le delai : 72 heures

Le responsable de traitement doit notifier la violation a la CNIL “dans les meilleurs delais et, si possible, 72 heures au plus tard apres en avoir pris connaissance” (article 33, paragraphe 1). Ce delai de 72 heures court a compter du moment ou le responsable de traitement acquiert un “degre raisonnable de certitude” qu’un incident de securite a affecte des donnees personnelles.

Si la notification intervient au-dela des 72 heures, elle doit etre accompagnee des motifs du retard. En pratique, dans le chaos d’une crise cyber majeure, le respect de ce delai est un defi considerable, d’ou l’importance d’avoir anticipe la procedure. La gestion des incidents de securite doit integrer cette contrainte temporelle des le depart.

La notification peut etre effectuee en plusieurs etapes : une notification initiale dans les 72 heures, meme partielle, suivie de complements d’information a mesure que l’investigation progresse.

C. Le contenu de la notification

La notification a la CNIL doit contenir au minimum (article 33, paragraphe 3) :

1. La nature de la violation, y compris les categories et le nombre approximatif de personnes concernees, ainsi que les categories et le nombre approximatif d’enregistrements de donnees affectes.
2. Le nom et les coordonnees du DPO ou d’un autre point de contact.
3. Les consequences probables de la violation.
4. Les mesures prises ou envisagees pour remedier a la violation et attenuer ses effets.

La CNIL met a disposition un teleservice de notification en ligne qui guide le declarant a travers les informations requises. Il est vivement recommande d’avoir familiarise les equipes avec cet outil avant tout incident, dans le cadre d’un exercice de crise cyber.

D. La notification aux personnes concernees

Lorsque la violation est susceptible d’engendrer un “risque eleve” pour les droits et libertes des personnes, le responsable de traitement doit egalement informer directement les personnes concernees (article 34). Cette communication doit decrire la nature de la violation, les consequences probables, et les mesures prises. Elle doit etre redigee en termes clairs et simples.

La procedure en cas de fuite de donnees doit prevoir des modeles de communication pre-rediges, adaptables aux circonstances, pour accelerer cette etape critique.

II. La notification a l’ANSSI : entites NIS2 et OIV

A. Les entites concernees

La directive NIS2 impose un systeme de notification des incidents aux autorites competentes. En France, l’ANSSI est l’autorite designee. Sont concernees les entites essentielles et les entites importantes au sens de NIS2, ainsi que les operateurs d’importance vitale (OIV) au titre de la legislation nationale.

B. Le systeme de notification en trois etapes

NIS2 prevoit un mecanisme de notification echelonne (article 23) :

1. Alerte precoce : dans les 24 heures suivant la prise de connaissance de l’incident significatif, l’entite doit transmettre une alerte precoce au CSIRT national ou a l’autorite competente. Cette alerte indique si l’incident est suspecte d’avoir ete cause par un acte malveillant et s’il est susceptible d’avoir un impact transfrontalier.

2. Notification d’incident : dans les 72 heures suivant la prise de connaissance, une notification plus detaillee doit etre transmise. Elle actualise les informations de l’alerte precoce et fournit une evaluation initiale de la severite et de l’impact de l’incident, ainsi que les indicateurs de compromission disponibles.

3. Rapport final : au plus tard un mois apres la notification d’incident, un rapport final doit etre soumis. Il contient une description detaillee de l’incident, le type de menace ou la cause profonde, les mesures de remediation appliquees, et l’impact transfrontalier le cas echeant.

C. La notion d’incident significatif

L’obligation de notification ne porte que sur les incidents “significatifs”. Un incident est considere comme significatif s’il a cause ou est susceptible de causer une perturbation operationnelle grave des services ou des pertes financieres pour l’entite, ou s’il a affecte ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages materiels ou immateriels considerables.

La qualification de l’incident est une etape critique qui doit etre integree dans les procedures de gestion des incidents. En cas de doute, il est recommande de notifier plutot que de s’abstenir.

III. Le depot de plainte penale

A. L’obligation issue de la loi LOPMI

La loi d’orientation et de programmation du ministere de l’interieur (LOPMI) du 24 janvier 2023 a introduit une obligation de depot de plainte dans un delai de 72 heures a compter de la connaissance de l’atteinte pour que la victime d’une cyberattaque puisse beneficier de l’indemnisation par son assurance au titre de la garantie cyber (article L. 12-10-1 du code des assurances). Cette disposition, entree en vigueur le 24 avril 2023, lie desormais directement le droit a indemnisation au depot de plainte dans les delais.

B. Les infractions applicables

Les cyberattaques peuvent constituer plusieurs infractions penales :

• Acces ou maintien frauduleux dans un systeme de traitement automatise de donnees (articles 323-1 a 323-8 du code penal) : puni de 3 ans d’emprisonnement et 100 000 euros d’amende, aggrave a 5 ans et 150 000 euros lorsque l’acces a entraine la modification ou la suppression de donnees.
• Extorsion (article 312-1 du code penal) : applicable en cas de rancongiciel avec demande de rancon.
• Atteinte aux donnees personnelles (articles 226-16 a 226-24 du code penal).

Le depot de plainte peut etre effectue aupres du commissariat ou de la gendarmerie, ou directement aupres du procureur de la Republique. Pour les attaques complexes, la sous-direction de la lutte contre la cybercriminalite (SDLC) et la section cyber du parquet de Paris sont les interlocuteurs specialises.

IV. Les autres notifications obligatoires

A. Notification aux partenaires contractuels

De nombreux contrats, en particulier dans les secteurs reglementes, contiennent des clauses de notification d’incident imposant au prestataire d’informer ses clients en cas d’incident de securite affectant leurs donnees ou systemes. Le non-respect de ces clauses peut engager la responsabilite contractuelle. Les contrats de sous-traitance RGPD (article 28) imposent au sous-traitant de notifier le responsable de traitement “dans les meilleurs delais” apres avoir constate une violation de donnees.

B. Notification au titre du reglement DORA

Pour les entites du secteur financier, le reglement DORA impose un regime de notification specifique des incidents TIC majeurs. Le delai de notification initiale est de 4 heures apres classification de l’incident et de 24 heures pour un rapport intermediaire. Ce regime se superpose aux obligations NIS2.

C. Notification a l’assureur

Au-dela de l’obligation LOPMI liee au depot de plainte, le contrat d’assurance cyber prevoit generalement un delai de declaration de sinistre (souvent 5 jours ouvrables). Le non-respect de ce delai peut entrainer la decheance de la garantie. Il est essentiel de contacter l’assureur des les premieres heures de la crise, y compris pour beneficier de l’assistance technique et juridique souvent incluse dans les polices cyber.

V. Methode pratique : le tableau de notification

A. La matrice de notification

Pour ne manquer aucune obligation, il est recommande de constituer une matrice de notification adaptee au profil de l’organisation. Cette matrice recense, pour chaque texte applicable :

Destinataire	Texte	Declencheur	Delai	Contenu minimal
CNIL	RGPD art. 33	Violation de donnees personnelles	72 heures	Nature, categories, consequences, mesures
Personnes concernees	RGPD art. 34	Risque eleve pour les personnes	Sans delai injustifie	Nature, consequences, mesures, contact DPO
ANSSI	NIS2 art. 23	Incident significatif	24h (alerte), 72h (notification), 1 mois (rapport)	Selon l’etape
Parquet / police	LOPMI	Cyberattaque (condition assurance)	72 heures	Faits, prejudice, elements techniques
Assureur	Contrat	Sinistre couvert	Selon contrat (5 jours typ.)	Declaration de sinistre
Clients/partenaires	Contrats	Selon clauses	Selon clauses	Selon clauses

B. Les reflexes des premieres heures

Dans les premieres heures suivant la decouverte d’une cyberattaque, les actions suivantes doivent etre declenchees en parallele de la reponse technique :

1. Heure H : activation de la cellule de crise, qualification preliminaire de l’incident.
2. H+4 : evaluation initiale de l’impact sur les donnees personnelles, premiere determination du perimetre.
3. H+12 : decision sur la necessite de notification CNIL et ANSSI, preparation des notifications.
4. H+24 : transmission de l’alerte precoce ANSSI (si entite NIS2), depot de plainte initie.
5. H+48 : finalisation de la notification CNIL, poursuite de l’investigation.
6. H+72 : delai limite pour la notification CNIL et la notification detaillee ANSSI, delai pour le depot de plainte LOPMI.

Un audit RGPD prealable permet de verifier que l’organisation a bien identifie l’ensemble de ses obligations de notification et que les procedures sont operationnelles.

C. La documentation

Chaque etape du processus de notification doit etre documentee de maniere rigoureuse. Le RGPD impose au responsable de traitement de documenter “toute violation de donnees a caractere personnel, en indiquant les faits concernant la violation, ses effets et les mesures prises pour y remedier” (article 33, paragraphe 5). Cette documentation est un element de preuve essentiel en cas de controle ulterieur.

La tenue d’une main courante de crise, consignant chronologiquement toutes les actions, decisions et communications, est indispensable. Elle servira de base pour les rapports de notification successifs et pour le retour d’experience.

VI. Consequences du defaut de notification

Le non-respect des obligations de notification expose a des consequences significatives :

• RGPD : l’absence de notification a la CNIL est sanctionnee d’une amende pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial (article 83, paragraphe 4, point a). La CNIL a deja prononce des sanctions specifiquement pour defaut de notification dans les delais.
• NIS2 : les sanctions NIS2 pour non-respect des obligations de notification sont alignees sur le regime general de sanctions de la directive.
• LOPMI : l’absence de depot de plainte dans les 72 heures entraine la perte du droit a indemnisation par l’assurance cyber. Ce mecanisme peut representer un prejudice financier considerable.
• Contrats : le defaut de notification contractuelle peut engager la responsabilite civile et justifier la resiliation du contrat aux torts exclusifs du prestataire defaillant.

La preparation est la cle. Les organisations qui ont anticipe leurs obligations de notification par un travail de cartographie, de redaction de procedures et d’entrainement par des exercices de crise sont celles qui respectent effectivement les delais en situation reelle. La conformite a la checklist NIS2 et les recommandations de l’ENISA constituent des points de depart solides pour structurer cette preparation.

FAQ

Faut-il notifier la CNIL meme si l’on n’est pas certain que des donnees personnelles sont concernees ?

Lorsque l’investigation est encore en cours et qu’il existe un doute raisonnable sur l’implication de donnees personnelles, la prudence commande de proceder a une notification initiale dans les 72 heures, quitte a la completer ou a la retirer ulterieurement. La CNIL admet explicitement les notifications par etapes. En revanche, l’absence de notification justifiee par un defaut d’investigation diligente ne sera pas acceptee comme excuse valable.

Le delai de 72 heures court-il a partir de la decouverte de l’attaque ou de la confirmation de la fuite ?

Le delai court a partir du moment ou le responsable de traitement a acquis un “degre raisonnable de certitude” que la violation a eu lieu. Ce n’est pas necessairement le moment de la premiere alerte technique (qui peut etre un faux positif), mais ce n’est pas non plus le moment ou l’investigation forensique est terminee. Il s’agit du moment ou l’organisation sait, avec un degre raisonnable de certitude, qu’un incident de securite a affecte des donnees personnelles.

Peut-on etre sanctionne deux fois pour le meme incident (CNIL et autorite NIS2) ?

Le RGPD et NIS2 prevoient des mecanismes de coordination pour eviter la double sanction. L’article 35 de NIS2 dispose que lorsqu’une autorite NIS2 constate qu’une entite n’a pas respecte ses obligations de notification et que ce non-respect implique une violation de donnees personnelles notifiable au titre du RGPD, elle s’abstient d’imposer une amende si l’autorite de protection des donnees a deja sanctionne ce manquement. Toutefois, les deux notifications restent obligatoires – seule la sanction fait l’objet d’une coordination.

Le depot de plainte est-il toujours obligatoire ?

Le depot de plainte n’est pas une obligation legale generale. Il devient une condition indispensable pour beneficier de l’indemnisation de l’assurance cyber depuis la loi LOPMI. En dehors de ce contexte assurantiel, il reste fortement recommande : il permet de beneficier de l’assistance des services de police specialises et contribue au renseignement sur la menace cyber. Pour les entites publiques, le signalement aupres de l’ANSSI et le depot de plainte sont des reflexes essentiels.