Violations de données personnelles : comprendre l’augmentation des incidents et maîtriser la notification à la CNIL
DPO Consulting Rejoint Grant Thornton
Depuis quelques temps, il ne se passe quasiment pas une semaine sans que la presse ne révèle qu’une organisation a subi une cyberattaque provoquant une violation de données. Des sites comme https://bonjourlafuite.eu.org/ ou des hackers éthiques tel que https://x.com/_SaxX_ les répertorient régulièrement et l’observation principale est que la fréquence a considérablement augmenté depuis ces dernières années.
Le constat est également observé du côté de la CNIL qui a vu son nombre de notifications s’accroître. Dans le baromètre des fuites de données personnelles édition 2026 faite par le Forum INCYBER1 réutilisant les données de la CNIL accessibles en open data, entre septembre 2024 et septembre 2025, 8613 violations de données ont été notifiées à la CNIL contre 5919 un an plus tôt (45% de hausse). Cela représente presque 24 notification par jour (sur 365 jours).
Le but de cet article n’est pas d’essayer d’analyser les causes des violations ni d’avoir un regard d’expert sur la cybersécurité mais de donner quelques conseils pour anticiper les principales failles, et de faire un focus sur la notification à la CNIL.
Pour commencer, le RGPD définit la violation de données, dans son article 42 comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ».
L’un des points qui peut surprendre au moment de notifier, dans cette définition, il y a 5 types d’atteintes entrainant une violation de données : destruction, perte, altération, divulgation non autorisée et accès non autorisé. Or lors de la notification, il n’y a que 3 natures de violations possibles : perte de confidentialité, perte d’intégrité et/ou perte de disponibilité.
La destruction et la perte sont réunis dans la perte de disponibilité. En effet, que les données soient effacées ou que le support stockant les données disparaissent, la conséquence est l’impossibilité immédiate, temporaire ou permanente, d’accéder à la donnée en question.
L’altération va correspondre à la perte d’intégrité. Les deux étant des antonymes, par définition une donnée perd son intégrité dès qu’elle subit une altération.
Enfin, la divulgation non autorisée et l’accès non autorisée vont logiquement correspondre à la perte de confidentialité. Une donnée envoyée à un mauvais destinataire ou le fait qu’une personne accède à des données sans y être habilitée, la confidentialité va être compromise.
Pour contrer la perte de disponibilité, d’intégrité ou de confidentialité, les mesures pouvant soit éviter des risques soit faire en sorte d’en réduire les conséquences vont être :
Avoir une sauvegarde robuste. Un bon moyen mnémotechnique est celle du 3-2-1(-1-0) : 3 copies des données (les données de production plus 2 copies) ; 2 supports différents (serveur, disque dur externe, cloud, …) ; dont 1 hors site ; le deuxième 1 correspond à une sauvegarde coupée du réseau, les attaquants connaissent également ces règles et vont vouloir empêcher la restauration de données. Enfin, le 0 correspond à 0 erreurs lors des tests de restauration (et donc suppose de faire des tests récurrents).
Mettre en place un contrôle des accès pour empêcher qu’une personne non autorisé ait accès à des données. Que ce soit dans le numérique mais également en papier, les documents comportant des données doivent être sécurisés.
Mettre des mots de passe forts et privilégier l’authentification multifactorielle. Voir la recommandation de l’ANSSI faite en collaboration avec la CNIL sur le sujet3
Mettre à jour les éléments de sécurité, antivirus, pare-feu, éléments du site internet, … Des failles de sécurité sont sans cesse découvertes et sans cesse corriger (tant qu’un support existe), ces mises à jour et autres patchs de sécurité sont essentiels pour s’assurer que les fuites identifiées ne puissent être exploitées.
Le chiffrement des supports ou des fichiers lors de transmission va permettre de réduire le risque que les personnes accèdent aux données présentes sur les supports perdus ou interceptés.
Enfin, et le plus essentiel, sensibiliser les équipes. L’humain, dans sa nature, va chercher la facilité, il veut accéder tout de suite à son poste, à l’endroit où il veut aller. Sauf que les mesures de sécurité vont lui en empêcher ou le ralentir (mot de passe, badge ou porte qui ne s’ouvre que dans un sens, …). Il va donc chercher à les contourner (toujours le même mot de passe, partage d’informations avec ces collègues, mettre une cale pour empêcher la porte de se fermer derrière lui, …). Les mesures mises en place ainsi que les principaux biais d’attaque auxquels sont confrontés les personnes (phising, fraude au président, …) doivent être expliquées notamment avec des illustrations simples et concrètes.
Pour commencer, il convient de rappeler que toute violation n’a pas obligatoirement à être notifier à la CNIL, seules celles entrainant un risque pour les personnes concernées. Cependant, toute violation de données doit être répertoriée dans un registre en interne.
La CNIL a mis à disposition un document préparatoire4 récapitulant les différentes étapes.
La première est sur le choix de la notification : complète, initiale ou complémentaire. Il est souvent préférable, de faire une notification initiale pour respecter les délais de 72h et de compléter plus tard notamment avec les mesures mises en place suite à la violation pour éviter que cela se reproduise.
La deuxième est l’identification de l’organisme déclarant. Il peut arriver qu’un sous-traitant fasse la notification pour le compte du responsable de traitement selon les contrats et les situations.
La troisième étape va se concentrer sur la violation, quand cela s’est passé, quand cela a été découvert (pourquoi la notification est en retard le cas échéant), que s’est-il passé, est-ce un acte accidentel, malveillant, interne ou externe à l’organisme, les données concernées, les personnes concernées et leur nombre et si des mesures de sécurité avaient été mises en place pour diminuer les risques ?
La quatrième étape se concentre sur les conséquences pour les personnes concernées, avec une estimation du niveau de gravité. Enfin, est-ce que la notification va être suivie d’une information des personnes et si le traitement va également être notifié à d’autres autorités européennes, en cas de traitement transfrontalier.
Avec l’entrée en vigueur du règlement NIS 2, des questions sont encore en suspens s’il faudra ou non déclarer les incidents de sécurité à plusieurs entités (ANSSI et CNIL + ARS pour le secteur santé ?). La CEPD, lors de l’étude du projet Omnibus, a par exemple demandé une harmonisation entre les différents règlements et directives sur les délais de notification et qu’il puisse y avoir un point d’entrée unique permettant en une seule notification de répondre à plusieurs obligations en même temps.
DPO Consulting peut vous accompagner pour identifier le niveau de risque et lors de la notification de violations de données et possède un Pôle Cyber pouvant vous aider à mettre en place des mesures de sécurité adéquates.
Prenez rendez-vous avec un des nos experts : https://www.dpo-consulting.com/fr-fr/contact
.png)
.svg)
