News
Retrouvez-nous au Congrès des Juristes d'entreprise le 30 et 31 mars
S’inscrire en tant qu’avocat
Se connecter
Compliance et éthique
Droit de l'énergie
Environnement & ESG
Technologie et numérique
Propriété intellectuelle
Construction
Blog
Violation de données personnelles : définition, obligations et délai de notification CNIL
Blog
Violation de données personnelles : définition, obligations et délai de notification CNIL

Violation de données personnelles : définition, obligations et délai de notification CNIL

Guides & Ressources pratiques
06 Apr 2026
-
9
min
Copied
Points clés de l'article
  1. Une violation de données personnelles recouvre toute atteinte à la confidentialité, à l'intégrité ou à la disponibilité de données à caractère personnel, qu'elle soit accidentelle ou illicite.
  2. Le RGPD impose une notification à la CNIL dans un délai de 72 heures après la prise de connaissance de la violation, sauf si celle-ci ne présente aucun risque pour les personnes concernées.
  3. Lorsque le risque est élevé, l'entreprise doit également informer individuellement les personnes dont les données ont été compromises.
  4. Chaque violation, notifiée ou non, doit être consignée dans un registre interne que la CNIL peut contrôler à tout moment.
  5. Les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, auxquelles s'ajoutent des risques réputationnels et contentieux.

Besoin d'un juriste freelance ou d'un avocat ?

Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.

Trouver un avocat →En savoir plus →
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Incubateur du Barreau de Paris
Réseau Entreprendre
Prix Innovation Barreau de Paris

Sommaire

Qu'est-ce qu'une violation de données personnelles au sens du RGPD ?

Les trois types de violations : confidentialité, intégrité, disponibilité

Comment détecter une violation de données dans son organisation ?

Notification à la CNIL : quand, comment, sous quel délai ?

Information des personnes concernées : obligations et modalités

Documentation et registre des violations : ce que vérifie la CNIL

Sanctions encourues en cas de manquement aux obligations

FAQ

Pour aller plus loin

Qu'est-ce qu'une violation de données personnelles au sens du RGPD ?

L'article 4, point 12, du règlement général sur la protection des données (RGPD) définit la violation de données personnelles comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ». Cette définition est volontairement large : elle ne se limite pas aux cyberattaques. Un envoi d'e-mail contenant des données personnelles à un mauvais destinataire, la perte d'une clé USB non chiffrée ou l'effacement accidentel d'une base clients constituent autant de violations au sens du texte.

Le critère déterminant n'est pas l'intention malveillante, mais l'existence d'une atteinte à la sécurité ayant pour conséquence une perte de contrôle sur les données. Concrètement, la direction juridique doit retenir qu'un incident technique sans impact sur des données personnelles (par exemple, une panne serveur n'affectant que des données anonymisées) ne constitue pas une violation. En revanche, dès qu'une donnée permettant d'identifier directement ou indirectement une personne physique est concernée, le mécanisme de qualification s'enclenche.

En 2023, la CNIL a reçu 4 668 notifications de violations de données, soit une hausse de 14 % par rapport à 2022. Près de la moitié de ces notifications concernaient des attaques par rançongiciel ou des intrusions externes. L'autre moitié relevait d'erreurs humaines ou de défaillances internes, ce qui confirme que la violation de données ne se réduit pas à un problème de cybersécurité.

Les trois types de violations : confidentialité, intégrité, disponibilité

Le Comité européen de la protection des données (CEPD) distingue 3 catégories de violations, qui peuvent se cumuler lors d'un même incident.

Type de violationDéfinitionExemple concret
Violation de confidentialitéDivulgation ou accès non autorisé à des données personnellesUn prestataire accède à des dossiers RH sans habilitation
Violation d'intégritéAltération non autorisée ou accidentelle des donnéesUne erreur de migration modifie les coordonnées bancaires de salariés
Violation de disponibilitéPerte d'accès ou destruction de données personnellesUn rançongiciel chiffre la base de données clients sans sauvegarde exploitable

Cette classification n'est pas purement théorique. Elle conditionne directement l'évaluation du risque que la direction juridique doit mener pour déterminer si la violation doit être notifiée à la CNIL et, le cas échéant, communiquée aux personnes concernées.

Une violation de confidentialité portant sur des données de santé ou des données bancaires présente, par nature, un risque élevé. À l'inverse, une violation de disponibilité temporaire, résolue en quelques heures grâce à une sauvegarde intacte, peut ne générer aucun risque pour les personnes. La qualification précise du type de violation est donc la première étape du processus décisionnel.

Qualifier correctement une violation de données suppose une connaissance fine du cadre RGPD et de la doctrine de la CNIL.
Consultez un avocat spécialisé en protection des données

Comment détecter une violation de données dans son organisation ?

Le délai de 72 heures imposé par le RGPD court à partir du moment où le responsable de traitement « prend connaissance » de la violation. La question de la détection est donc opérationnellement décisive : plus elle est tardive, plus le risque de dépasser le délai légal augmente.

Trois leviers organisationnels permettent de structurer la détection :

  • Canaux de remontée internes : chaque collaborateur doit savoir à qui signaler un incident susceptible d'impliquer des données personnelles. Un formulaire interne ou une adresse dédiée (type dpo@entreprise.fr) réduit le temps de latence entre l'incident et sa qualification.
  • Outils de surveillance technique : les systèmes de détection d'intrusion (IDS/IPS), les journaux d'accès et les alertes automatisées sur les flux de données anormaux permettent d'identifier rapidement une exfiltration ou un accès non autorisé.
  • Clauses contractuelles avec les sous-traitants : l'article 33, paragraphe 2, du RGPD impose au sous-traitant de notifier toute violation au responsable de traitement « dans les meilleurs délais ». En pratique, il est recommandé de fixer contractuellement un délai maximal de 24 à 48 heures pour cette notification.

La CNIL considère qu'un responsable de traitement est réputé avoir pris connaissance d'une violation dès lors qu'il dispose d'un degré de certitude raisonnable qu'un incident de sécurité a compromis des données personnelles. Une simple suspicion ne déclenche pas le délai, mais elle impose de diligenter une vérification sans attendre.

Notification à la CNIL : quand, comment, sous quel délai ?

L'article 33 du RGPD impose au responsable de traitement de notifier la CNIL dans un délai de 72 heures après avoir pris connaissance d'une violation de données, sauf si celle-ci n'est pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques.

Évaluation du risque : notifier ou non ?

La décision de notifier repose sur une grille d'analyse du risque qui prend en compte :

  • La nature et la sensibilité des données concernées (données de santé, données financières, numéro de sécurité sociale, etc.)
  • Le volume de données et le nombre de personnes affectées
  • La possibilité d'identifier les personnes à partir des données compromises
  • Les conséquences potentielles pour les personnes (usurpation d'identité, perte financière, atteinte à la réputation)
  • Les mesures de protection en place au moment de la violation (chiffrement, pseudonymisation)

Si l'analyse conclut à l'absence de risque — par exemple, des données chiffrées avec un algorithme robuste dont la clé n'a pas été compromise — la notification n'est pas obligatoire. En revanche, la violation doit quand même être documentée dans le registre interne.

Procédure de notification

La notification s'effectue en ligne sur le téléservice dédié de la CNIL. Elle doit contenir :

Information requiseDétail
Nature de la violationType (confidentialité, intégrité, disponibilité), catégories de données, nombre approximatif de personnes concernées
Coordonnées du DPOOu du point de contact désigné
Conséquences probablesÉvaluation des impacts pour les personnes
Mesures prisesActions correctives déjà mises en œuvre ou envisagées

Lorsque l'ensemble des informations n'est pas disponible dans les 72 heures, le RGPD autorise une notification en deux temps : une notification initiale dans le délai, complétée ultérieurement. Tout retard au-delà de 72 heures doit être justifié par écrit.

Structurer un processus de notification conforme nécessite souvent un accompagnement juridique adapté à la taille et au secteur de l'entreprise.
Trouvez un avocat en protection des données sur Swim Legal

Information des personnes concernées : obligations et modalités

L'article 34 du RGPD prévoit une obligation distincte de la notification à la CNIL : lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, le responsable de traitement doit les en informer directement.

Le seuil de « risque élevé » est plus exigeant que le simple « risque » déclenchant la notification à la CNIL. Il suppose des conséquences graves et probables : risque concret d'usurpation d'identité, de discrimination, de perte financière ou d'atteinte significative à la vie privée.

La communication aux personnes doit être rédigée en termes clairs et simples. Elle doit contenir :

  • La nature de la violation
  • Les coordonnées du DPO ou du point de contact
  • Les conséquences probables de la violation
  • Les mesures prises pour y remédier et les recommandations pour que les personnes se protègent (changement de mot de passe, surveillance de comptes bancaires, etc.)

Trois exceptions dispensent de cette communication individuelle :

  1. Les données étaient protégées par des mesures techniques rendant leur lecture impossible (chiffrement robuste)
  2. Le responsable de traitement a pris des mesures ultérieures supprimant le risque élevé
  3. L'information individuelle exigerait des efforts disproportionnés — dans ce cas, une communication publique est requise

En pratique, la CNIL a déjà sanctionné des entreprises non pas pour la violation elle-même, mais pour l'absence ou le retard d'information des personnes concernées. En 2022, elle a infligé une amende de 800 000 euros à une société pour avoir tardé plusieurs mois à informer les utilisateurs d'une fuite de données.

Documentation et registre des violations : ce que vérifie la CNIL

L'article 33, paragraphe 5, du RGPD impose de consigner toute violation de données dans un registre interne, y compris celles qui n'ont pas fait l'objet d'une notification à la CNIL. Ce registre constitue un outil de preuve de conformité (accountability) que l'autorité de contrôle peut demander à consulter lors d'un contrôle.

Le registre doit contenir, pour chaque incident :

  • Les faits relatifs à la violation (date, circonstances, données concernées)
  • Les effets de la violation
  • Les mesures correctives prises
  • La décision de notifier ou non la CNIL, avec la justification

La CNIL vérifie en priorité 3 éléments lors de ses contrôles :

  1. L'exhaustivité du registre : toutes les violations, même mineures, doivent y figurer. Un registre vide sur plusieurs années éveille la suspicion.
  2. La cohérence des délais : le temps écoulé entre la détection, la qualification et la notification doit être documenté et justifiable.
  3. La qualité de l'analyse de risque : la CNIL attend une évaluation formalisée expliquant pourquoi une violation a été notifiée ou non.

Un registre bien tenu démontre la maturité du dispositif de conformité. À l'inverse, l'absence de registre ou un registre lacunaire constitue en soi un manquement sanctionnable, indépendamment de la gravité de la violation.

La tenue du registre des violations et la formalisation des analyses de risque sont des points de contrôle récurrents de la CNIL.
Faites-vous accompagner par un avocat en protection des données

Sanctions encourues en cas de manquement aux obligations

Le non-respect des obligations liées aux violations de données personnelles expose l'entreprise à plusieurs niveaux de sanctions.

Sanctions administratives

Le RGPD prévoit des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial du groupe, le montant le plus élevé étant retenu. Ce plafond s'applique aux manquements aux obligations de notification (article 33) et d'information des personnes (article 34).

En France, la CNIL a prononcé en 2024 une amende de 250 000 euros à l'encontre d'une entreprise pour défaut de notification dans le délai de 72 heures et absence de registre des violations. Le montant des sanctions dépend de plusieurs critères : la gravité de la violation, le nombre de personnes affectées, le degré de coopération avec l'autorité et les mesures correctives adoptées.

Sanctions complémentaires

Au-delà des amendes, la CNIL peut prononcer :

  • Une mise en demeure publique, avec un impact direct sur la réputation de l'entreprise
  • Une injonction de mise en conformité sous astreinte
  • Une limitation temporaire ou définitive du traitement concerné

Risques contentieux

Les personnes dont les données ont été compromises peuvent engager une action en réparation sur le fondement de l'article 82 du RGPD. Les actions de groupe en matière de données personnelles, rendues possibles en France par la loi du 18 novembre 2016, amplifient ce risque. Plusieurs procédures collectives sont en cours devant les juridictions françaises à la suite de fuites de données massives.

La direction juridique doit donc intégrer que le coût d'une violation ne se limite pas à l'amende administrative. Il inclut les frais de gestion de crise, les honoraires de conseil, les mesures correctives techniques et le préjudice réputationnel, dont l'impact financier dépasse souvent le montant de la sanction elle-même.

FAQ

Une tentative d'intrusion sans accès effectif aux données constitue-t-elle une violation au sens du RGPD ?

Non. Le RGPD exige qu'une atteinte effective à la sécurité ait entraîné une destruction, une perte, une altération ou un accès non autorisé à des données personnelles. Une tentative bloquée par les dispositifs de sécurité ne constitue pas une violation, mais elle doit être documentée dans le cadre de la politique de sécurité de l'entreprise.

Le délai de 72 heures inclut-il les week-ends et jours fériés ?

Oui. Le délai de 72 heures court en heures calendaires, sans interruption pour les week-ends ou jours fériés. C'est pourquoi la CNIL recommande de mettre en place une procédure d'astreinte permettant de qualifier et notifier une violation même en dehors des horaires de bureau.

Que se passe-t-il si l'entreprise ne dispose pas de toutes les informations dans les 72 heures ?

Le RGPD prévoit explicitement la possibilité d'une notification en deux temps. L'entreprise effectue une notification initiale dans le délai de 72 heures avec les informations disponibles, puis la complète dès que les éléments manquants sont réunis. Le retard dans la transmission des compléments doit être justifié.

Le sous-traitant peut-il notifier directement la CNIL en cas de violation ?

Non. L'obligation de notification incombe au responsable de traitement. Le sous-traitant doit informer le responsable de traitement dans les meilleurs délais après avoir pris connaissance de la violation. Le responsable de traitement décide ensuite de la notification à la CNIL et de l'information des personnes.

Une violation portant sur des données pseudonymisées doit-elle être notifiée ?

La pseudonymisation réduit le risque mais ne l'élimine pas, car les données restent des données personnelles au sens du RGPD. La notification dépend de l'analyse de risque : si la ré-identification est techniquement difficile et que les données complémentaires nécessaires n'ont pas été compromises, le risque peut être jugé faible. Chaque cas doit être évalué individuellement.

Pour aller plus loin

Violations de données personnelles : les règles à suivre - CNIL

Notifier une violation de données personnelles - CNIL

Chapitre IV - Responsable du traitement et sous-traitant (RGPD) - CNIL

SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
Télécharger la ressource

Plateforme de mise en relation d’avocats d’affaires
Copied
Ressources

Derniers articles

Découvrir plus de contenu
Guides & Ressources pratiques
Temps de travail : durée légale, maximums et obligations
26 Jan 2026
-
10
Guides & Ressources pratiques
Définition des marchés publics : principes, types et seuils 2026
27 Feb 2026
-
8
Parole d'Expert
Recruter un salarié à l’étranger ou en France sans structure locale : quels risques sociaux et juridiques ?
02 Apr 2026
-
10 min.
SWIM n’est pas un cabinet d’avocats, ne fournit pas de services juridiques, ni de conseils juridiques ou de représentation légale.



Nous ne sommes pas une agence de travail temporaire ni de référencement d’avocats.
Aperçu
Vous êtes une entrepriseVous êtes un cabinetVous êtes un indépendantRessourcesNous contacterDéposer une mission
Légal
CVGUCookiesConfidentialitéDonnées personnelles
Réseaux
Linkedin
© 2025. SWIM Legal