À retenir
- RGPD : notification à la CNIL sous 72 h (art. 33) ; NIS2 ajoute 24 h / 72 h.
- Ordre : contenir, qualifier, notifier, documenter.
- Se préparer à froid change tout — et prouve votre diligence.
Le jour d'un incident, l'horloge tourne. Le RGPD (article 33) impose de notifier la CNIL dans les 72 heures dès qu'une violation susceptible d'engendrer un risque est connue. NIS2 ajoute, pour les entités concernées, une alerte précoce sous 24 h puis une notification sous 72 h.
L'ordre des opérations
- Contenir : isoler les systèmes touchés, préserver les preuves (ne pas tout effacer).
- Qualifier : quelles données, combien de personnes, quel risque ?
- Notifier : la CNIL sous 72 h ; informer les personnes si le risque est élevé.
- Documenter : tenir un registre de l'incident et des mesures prises.
Pourquoi la préparation change tout
72 heures, c'est très court quand on découvre la procédure le jour J. Les organisations qui s'en sortent ont préparé le scénario à froid : qui décide, qui rédige, quelles preuves sont déjà disponibles. C'est aussi ce qui démontre votre diligence et limite le risque de seconde peine.
Avec Léo
Notre tableau de bord garde les preuves et le reporting prêts — pour décider vite et prouver votre diligence le jour où ça compte.
Sources : RGPD, article 33 ; Directive (UE) 2022/2555 (NIS2), obligations de signalement ; ANSSI.
Questions fréquentes
Sous combien de temps notifier une violation de données ?
Au plus tard 72 heures après en avoir pris connaissance, lorsqu'elle est susceptible d'engendrer un risque pour les personnes (RGPD art. 33).
Faut-il informer les personnes concernées ?
Oui si la violation présente un risque élevé pour leurs droits et libertés ; l'information doit être claire et rapide.
Que faire dans les premières heures ?
Contenir l'incident, préserver les preuves, qualifier les données et le nombre de personnes, puis notifier — sans tout effacer.