Dans quel délai faut-il notifier la CNIL après une violation de données ?

L'article 33 du RGPD impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance de la violation. Le délai court même si l'étendue exacte de l'incident n'est pas encore connue — une notification complémentaire peut être envoyée ensuite.

Toutes les violations de données doivent-elles être notifiées à la CNIL ?

Non. Seules les violations susceptibles d'engendrer un risque pour les droits et libertés des personnes concernées doivent être notifiées. Si aucune donnée personnelle n'a été exposée, ou si les données étaient chiffrées sans clé accessible, une documentation interne suffit.

Faut-il également prévenir les personnes dont les données ont été volées ?

Oui, si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34 RGPD). La communication doit intervenir dans les meilleurs délais et inclure des recommandations concrètes pour se protéger.

Quelles sont les sanctions en cas de non-notification à la CNIL ?

L'absence de notification dans les 72 heures constitue une infraction au RGPD exposant l'entreprise à une amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. La CNIL tient compte de la bonne foi et de la réactivité dans l'appréciation des sanctions.

RGPDPME & ETI8 min de lecture

GUIDE RGPD · ÉDITION 2026

Violation de données.
72 heures pour agir.

Pas une recommandation. Une obligation légale.

Une violation de données personnelles au sens du RGPD ne se limite pas aux piratages spectaculaires. Un ordinateur perdu, un serveur mal configuré, une base de données accessible sans authentification — tout cela déclenche l'article 33. Ce guide explique quand notifier la CNIL, quoi lui dire exactement, et comment éviter que l'incident devienne aussi une sanction.

72hdélai légal CNIL dès la prise de connaissance

10M€ou 2 % du CA — plafond sanction CNIL niveau 1

−40%de sanction en cas de notification rapide et coopération

COMPRENDRE

Ce que le RGPD appelle une violation de données

L'article 4(12) du RGPD définit la violation comme tout incident de sécurité entraînant — de façon accidentelle ou illicite — la destruction, la perte, l'altération, la divulgation ou l'accès non autorisé à des données personnelles. Trois catégories couvrent la quasi-totalité des cas rencontrés en entreprise.

🔓

Confidentialité

Accès non autorisé

Un tiers non autorisé a consulté ou copié des données personnelles — piratage, compromission de compte, perte de support physique.

Fuite de base clientsVol ou perte d'ordinateurCompte compromis

✏️

Intégrité

Modification non autorisée

Des données personnelles ont été modifiées, corrompues ou falsifiées sans autorisation de leur responsable de traitement.

Ransomware (fichiers chiffrés)Altération de base de donnéesModification de logs

🗑️

Disponibilité

Perte ou destruction

Des données personnelles ont été supprimées ou perdues de façon permanente, sans possibilité de restauration.

Suppression accidentellePanne sans sauvegardeDestruction physique de support

Cas souvent ignoré : un prestataire subit une violation qui touche des données que vous lui avez confiées. Vous restez responsable de traitement — la notification à la CNIL vous incombe, pas à votre sous-traitant.

ÉVALUER

Dois-je notifier la CNIL ? La matrice de décision

Toutes les violations ne nécessitent pas une notification à la CNIL. L'obligation dépend du niveau de risque pour les personnes concernées. En cas de doute, la CNIL préconise de notifier — une notification non requise n'est pas sanctionnée, un retard sur une notification obligatoire l'est.

Aucune donnée personnelle touchée — ou données chiffrées avec clé inaccessible

✓ CNIL non requise— Personnes non requises

Documentation interne uniquement

Exemple : chiffrement d'une base de données clients — si l'attaquant n'a pu déchiffrer aucune donnée, le risque est nul. Conserver une trace interne suffit.

Données personnelles exposées, risque limité pour les personnes

⚠ CNIL requise— Personnes non requises

Notifier la CNIL sous 72h

Exemple : fuite d'adresses email uniquement, sans données sensibles associées. La notification CNIL est requise mais l'information individuelle des personnes ne l'est pas.

Données personnelles sensibles exposées — risque élevé pour les personnes

⚠ CNIL requise⚠ Informer les personnes

CNIL 72h + informer les personnes concernées

Exemple : données bancaires, de santé, mots de passe, ou volume massif de données clients. Double obligation : notification CNIL (art. 33) ET information des personnes (art. 34).

NOTIFIER — 72H

Ce que la CNIL attend dans votre notification

La notification se fait sur notifications.cnil.fr. Le délai de 72 heures court dès votre prise de connaissance — même si l'investigation n'est pas terminée. Une notification incomplète peut être complétée ultérieurement avec la mention « complément à venir ». Mieux vaut notifier tôt avec ce que vous savez que notifier tard avec des informations complètes.

Éléments requis — Article 33 RGPDCochez au fil de votre préparation

Nature de la violation (confidentialité, intégrité, disponibilité)

Précisez le type exact — accès non autorisé, chiffrement, suppression — et le vecteur probable si identifié.

Catégories de données concernées (nom, email, données de santé…)

Listez tous les types de données touchés. En cas de doute, partez du périmètre large et affinez ensuite.

Volume estimé de personnes concernées

Un ordre de grandeur est acceptable si l'estimation précise n'est pas encore connue. La CNIL accepte les notifications incomplètes.

Coordonnées du DPO ou du responsable de traitement

Personne à contacter pour toute question de la CNIL. Doit être joignable rapidement après la notification.

Conséquences probables pour les personnes concernées

Risques identifiés : usurpation d'identité, préjudice financier, discrimination, atteinte à la réputation des personnes.

Mesures prises ou en cours pour contenir la violation

Actions déjà engagées : isolation des systèmes, réinitialisation des accès, investigation forensique mandatée.

La CNIL accepte les notifications partielles. Si vous ne connaissez pas le nombre exact de personnes concernées à H+48, notifiez quand même. Le non-respect du délai de 72h est une infraction distincte du fond de la violation et est systématiquement sanctionné.

ARTICLE 34 RGPD

Quand faut-il prévenir directement les personnes concernées ?

Au-delà de la CNIL, l'article 34 du RGPD impose d'informer directement les personnes dont les données ont été violées — mais uniquement si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. La communication doit intervenir dans les meilleurs délais, sans formulation vague ou technique.

Notification obligatoire

Données bancaires ou cartes de paiement exposées en clair
Données de santé ou biométriques volées ou divulguées
Mots de passe en clair ou facilement déchiffrables
Données permettant une usurpation d'identité immédiate
Personnes vulnérables concernées (mineurs, patients, personnes âgées)

Notification non requise

Données chiffrées avec une clé demeurée inaccessible à l'attaquant
Adresses email uniquement, sans données sensibles associées
Données rendues anonymes de façon irréversible après l'incident
Mesures correctives mises en place immédiatement et efficacement
Risque résiduel évalué faible par le DPO ou un expert juridique

La communication aux personnes doit être claire, en français, sans jargon technique. Elle doit décrire la nature de la violation, ses conséquences probables, et les mesures concrètes que la personne peut prendre pour se protéger. Des modèles prêts à adapter sont disponibles dans notre guide sur le vol de données.

SANCTIONS

L'échelle des sanctions CNIL — et comment les réduire

La CNIL dispose de deux niveaux de sanctions administratives. Dans les deux cas, les facteurs atténuants — notification rapide, coopération, mesures correctives immédiates — réduisent significativement le montant final. Aucune PME française n'a à ce jour reçu une sanction maximale pour un seul incident bien géré et déclaré.

Niveau 1 — Manquement procéduraljusqu'à 10 M€ ou 2 % du CA annuel mondial

Non-notification à la CNIL dans les 72h, registre des violations absent, absence de DPO quand obligatoire, mesures de sécurité insuffisantes sans incident grave.

Niveau 2 — Manquement grave aux principes RGPDjusqu'à 20 M€ ou 4 % du CA annuel mondial

Traitement illicite de données personnelles, absence de base légale, violation des droits des personnes (accès, rectification, effacement), transfert illégal hors Union européenne.

Facteurs atténuants reconnus par la CNIL

⏱Notification rapideNotifier avant 72h ou dans les premières heures après découverte réduit systématiquement les sanctions.

🤝Coopération activeFournir toutes les informations demandées sans délai est reconnu comme facteur atténuant par la CNIL.

🛡️Mesures correctivesChiffrement renforcé, remédiation rapide et plan d'action documenté réduisent l'exposition sanction.

📋Registre tenu à jourUn registre des violations conforme allège les sanctions de procédure même en cas de manquement technique.

CyberUrgence met en relation avec des experts certifiés capables de préparer et transmettre la notification CNIL, de rédiger le rapport d'incident et d'accompagner la communication aux personnes concernées. Forfait violation de données : 800–2 000 €. Diagnostic de départ gratuit.

Diagnostic initial gratuit — un expert qualifie votre situation en quelques minutes et évalue la criticité. Vous ne payez que si vous décidez de poursuivre.

Diagnostic gratuit

← Tous les guides