Dans quel délai faut-il notifier la CNIL après une violation de données ?

L'article 33 du RGPD impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance de la violation. Le délai court même si l'étendue exacte de l'incident n'est pas encore connue — une notification complémentaire peut être envoyée ensuite.

Toutes les violations de données doivent-elles être notifiées à la CNIL ?

Non. Seules les violations susceptibles d'engendrer un risque pour les droits et libertés des personnes concernées doivent être notifiées. Si aucune donnée personnelle n'a été exposée, ou si les données étaient chiffrées sans clé accessible, une documentation interne suffit.

Faut-il également prévenir les personnes dont les données ont été volées ?

Oui, si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 RGPD). La communication doit intervenir dans les meilleurs délais et inclure des recommandations concrètes pour se protéger.

Quelles sont les sanctions en cas de non-notification à la CNIL ?

L'absence de notification dans les 72 heures constitue une infraction au RGPD exposant l'entreprise à une amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. La CNIL tient compte de la bonne foi et de la réactivité dans l'appréciation des sanctions.

Violation de données RGPD : notifier la CNIL dans les 72 heures

Votre entreprise vient de subir une fuite ou un vol de données. L'article 33 du RGPD impose une obligation légale immédiate : notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation de données. Ce délai court même si vous ne connaissez pas encore l'étendue exacte de l'incident — une notification complémentaire peut être envoyée ensuite.

Qu'est-ce qu'une violation de données au sens du RGPD ?

— Contenu à rédiger —

Les 72 heures : comment ce délai se calcule concrètement

— Contenu à rédiger —

Ce que doit contenir la notification à la CNIL (article 33 RGPD)

— Contenu à rédiger —

Faut-il aussi notifier les personnes concernées ? (article 34 RGPD)

— Contenu à rédiger —

Sanctions CNIL en cas de non-notification ou de notification tardive

— Contenu à rédiger —

Comment un expert en réponse à incident peut vous aider dans les 72h

— Contenu à rédiger —