Violation de données personnelles : comment réagir et se protéger

4/6/2026
Tous les guides
🛡️ Sécurité

Violation de données : définition juridique et obligations RGPD

Le terme de « violation de données » - ou data breach - est au cœur du RGPD depuis son entrée en vigueur. Défini précisément à l'article 4 du règlement, il englobe bien plus que ce que l'on imagine communément : toute destruction accidentelle, toute perte, altération ou divulgation non autorisée de données personnelles constitue une violation - qu'il y ait ou non une intention malveillante.

Ce guide juridique vous explique comment le RGPD définit et qualifie une violation de données, quelles sont les trois catégories reconnues par le droit, et quelles obligations précises s'imposent à votre organisation : notification à la CNIL dans les 72 heures, information des personnes concernées, documentation dans le registre des violations. Vous trouverez aussi plus bas une checklist opérationnelle des 72 heures, pensée pour le DPO confronté à un incident en cours.

💡 Si vous êtes confronté à un incident en cours et recherchez la procédure de réaction étape par étape avec des exemples récents (Free, Bouygues Telecom, France Travail), consultez notre guide pratique sur les fuites de données personnelles.

Qu'est-ce qu'une violation de données personnelles ?

Définition juridique selon le RGPD

Le terme de violation de données à caractère personnel est précisément défini à l'article 4 du RGPD comme "une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données".

Concrètement, une violation des données à caractère personnel correspond à tout incident de sécurité entraînant, de manière intentionnelle ou non, la destruction, la perte, la divulgation ou l'accès non autorisé à des informations personnelles. Il s'agit d'un incident qui peut aussi bien provenir d'une malveillance externe (piratage informatique, cyberattaque) que d'un accident interne (incident technique, erreur humaine, négligence).

Les trois types de violation

La violation est caractérisée lorsque l'un des trois piliers de la sécurité des données est compromis :

Violation de la confidentialité : Divulgation ou accès non autorisé de données à des personnes non habilitées. C'est le type le plus fréquent : un employé envoie des données clients par email à la mauvaise personne, un hacker accède à une base de données, un document confidentiel est publié par erreur en ligne.

Violation de l'intégrité : Altération non autorisée ou accidentelle des données. Par exemple, un ransomware modifie ou chiffre des données médicales, un employé mal intenté falsifie des données financières, une erreur de migration entraîne la corruption de données clients.

Violation de la disponibilité : Perte ou destruction des données, temporaire ou définitive. Une attaque DDoS rendant inaccessible une base de données, un incendie détruisant un serveur sans sauvegarde, ou une défaillance système entraînant la perte irrécupérable de données constituent des violations de disponibilité.

Une même violation peut combiner plusieurs types : une cyberattaque par ransomware viole simultanément la confidentialité (données exfiltrées vers les pirates), l'intégrité (données chiffrées) et la disponibilité (accès bloqué).

Exemple récent de violations massives en France

Free : une amende record de 42 millions d'euros

Fin 2024, l'opérateur Free a subi une fuite massive de données : une cyberattaque survenue entre fin septembre et octobre 2024 a permis à un attaquant d'accéder aux données de 24 millions de contrats d'abonnés, dont des IBAN. Le 13 janvier 2026, la CNIL a prononcé deux sanctions (délibérations SAN-2026-001 et SAN-2026-002) pour un total de 42 millions d'euros : 27 millions d'euros pour Free Mobile et 15 millions d'euros pour Free, un record absolu en France. La CNIL a notamment relevé l'insuffisance des mesures de sécurité (absence d'authentification multi-facteur sur les accès critiques, supervision insuffisante des accès) et la conservation excessive de données d'anciens abonnés (plus de 2,8 millions de contrats résiliés depuis plus de dix ans encore conservés). L'instruction a été alimentée par plus de 2 500 plaintes de personnes concernées.

Nexpublica : 1,7 million d'euros pour une sécurité insuffisante

Plus récent et plus parlant pour une ETI : par une délibération du 22 décembre 2025 (SAN-2025-015), la CNIL a sanctionné l'éditeur de logiciel Nexpublica France à hauteur de 1,7 million d'euros sur le fondement de l'article 32 du RGPD. Fin novembre 2022, des clients avaient eux-mêmes notifié à la CNIL une violation : des usagers d'un portail accédaient à des documents concernant des tiers, dont des données sensibles révélant un handicap. Le contrôle a révélé que les mesures techniques et organisationnelles étaient insuffisantes et que les vulnérabilités, connues avant l'incident, n'avaient été corrigées qu'après. Le message de la CNIL est clair : la connaissance d'une faille sans action proactive est un facteur aggravant.

France Travail : des millions de demandeurs d'emploi exposés

En mars 2024, France Travail (anciennement Pôle emploi) a subi une violation massive exposant potentiellement les données de 43 millions de personnes inscrites ou ayant été inscrites depuis 20 ans : nom, prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postales, numéros de téléphone. Cette violation illustre les risques spécifiques liés aux organismes publics gérant de très grandes bases de données, et la difficulté à sécuriser des systèmes vieillissants contenant des données accumulées sur des décennies.

Checklist notification CNIL 72h

En situation de violation avérée, le DPO joue contre la montre : le délai de 72 heures de l'article 33 du RGPD court dès que le responsable de traitement a connaissance de l'incident. Voici les 6 étapes à dérouler, dans l'ordre, pour sécuriser la procédure.

  1. Détecter et caractériser la violation : confirmer qu'il s'agit bien d'une violation de données personnelles, identifier le type atteint (confidentialité, intégrité, disponibilité), la nature des données et le moment de prise de connaissance qui fait courir le délai de 72h.
  2. Évaluer le risque pour les personnes : apprécier la gravité et la probabilité d'un risque pour les droits et libertés (usurpation d'identité, préjudice financier lié à un IBAN, atteinte à des données sensibles). Cette évaluation conditionne la notification à la CNIL puis l'information des personnes. En cas de risque potentiellement élevé, s'appuyer sur une analyse d'impact (AIPD) existante pour cadrer l'analyse.
  3. Documenter dans le registre des violations : consigner les faits, les catégories et le volume de données et de personnes concernées, les effets probables et les mesures prises. Cette documentation est obligatoire même quand la violation n'a pas à être notifiée.
  4. Préparer la notification : rassembler la nature de la violation, le nombre approximatif de personnes et d'enregistrements concernés, les coordonnées du DPO, les conséquences probables et les mesures correctives. Si tout n'est pas connu, prévoir une notification par phases.
  5. Notifier la CNIL dans les 72h via le téléservice : déposer la notification sur le téléservice dédié de la CNIL avant l'échéance des 72 heures, même de manière partielle, en signalant qu'un complément suivra. Le respect du délai pour la première notification prime.
  6. Informer les personnes concernées si le risque est élevé : lorsque la violation est susceptible d'engendrer un risque élevé (article 34 du RGPD), communiquer directement et en langage clair la nature de la violation, ses conséquences et les mesures à prendre pour se protéger.

Cette checklist gagne à être anticipée plutôt que découverte le jour J. Un audit RGPD régulier permet d'identifier en amont les failles de sécurité et de tenir à jour le registre des violations, deux prérequis pour tenir le délai de 72h. Des outils comme la plateforme Leto aident à documenter et piloter ces notifications en temps réel.

Les obligations du responsable de traitement en cas de violation

Documenter la violation dans le registre interne

Dès qu'une violation de données est identifiée, le responsable de traitement doit la documenter dans un registre interne des violations. Cette obligation, prévue par l'article 33 du RGPD, est absolue : également lorsque la violation ne nécessite pas de notification à la CNIL.

Ce registre doit contenir :

  • Les faits concernant la violation (nature, date de détection, date probable de l'incident)
  • Ses effets et les données concernées
  • Les mesures prises pour y remédier
  • L'analyse des risques et la décision sur la notification

Ce registre doit être tenu à disposition de la CNIL en cas de contrôle. Son absence ou son incomplétude constitue un manquement en soi, indépendamment de la violation initiale.

Notifier la CNIL dans les 72 heures

Si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes, l'article 33 du RGPD impose de la notifier à la CNIL dans les 72 heures suivant sa découverte. Ce délai court à partir du moment où le responsable de traitement a connaissance de la violation - pas nécessairement à partir du moment où elle s'est produite.

La notification doit inclure :

  • La nature de la violation (confidentialité, intégrité, disponibilité)
  • Les catégories et le nombre approximatif de personnes concernées
  • Les catégories et le nombre approximatif d'enregistrements de données concernés
  • Les coordonnées du DPO ou d'un autre point de contact
  • Les conséquences probables de la violation
  • Les mesures prises ou envisagées pour y remédier

Si toutes ces informations ne sont pas disponibles dans le délai de 72 heures (ce qui est fréquent en début d'investigation), il est possible de notifier par phases, en complétant la notification au fur et à mesure que les informations deviennent disponibles. Le délai de 72h doit être respecté pour la première notification, même partielle.

Attention : certaines violations à « risque négligeable » n'ont pas à être notifiées à la CNIL. Mais cette exception est interprétée strictement : elle suppose que la violation ne peut entraîner aucun effet néfaste sur les personnes concernées (ni discrimination, ni préjudice financier, ni atteinte à la réputation, etc.). En cas de doute, il est conseillé de notifier.

Informer les personnes concernées si le risque est élevé

L'article 34 du RGPD impose d'informer directement les personnes concernées lorsque la violation est « susceptible d'engendrer un risque élevé pour les droits et libertés » de ces personnes. Cette obligation est distincte de la notification à la CNIL : le seuil est plus élevé (risque élevé, contre simple risque pour la notification à la CNIL).

L'information des personnes doit être : directe (email, courrier, SMS), réalisée dans les meilleurs délais, claire et compréhensible (sans jargon technique), et inclure au minimum la description de la violation, les coordonnées du DPO, les conséquences probables, et les mesures que la personne peut prendre pour se protéger.

Cette obligation peut être allégée si : les données étaient chiffrées de manière robuste (rendant les données inutilisables), des mesures ultérieures ont éliminé le risque élevé, ou l'information individuelle représente un effort disproportionné (possible de passer par une communication publique dans ce cas).

Le rôle du sous-traitant en cas de violation

Si la violation est détectée chez un sous-traitant (prestataire Cloud, éditeur de logiciel, agence de traitement de données), l'article 28 du RGPD impose au sous-traitant de notifier la violation à son responsable de traitement « dans les meilleurs délais », après en avoir pris connaissance. Cette obligation doit impérativement être formalisée dans le Data Processing Agreement (DPA).

La chaîne de notification en cas de violation chez un sous-traitant :

  1. Le sous-traitant détecte la violation
  2. Il notifie immédiatement son responsable de traitement (le délai des 72h court pour le responsable à partir de ce moment)
  3. Le responsable de traitement analyse les risques
  4. Il notifie la CNIL si nécessaire (dans les 72h)
  5. Il informe les personnes concernées si le risque est élevé

Un DPA bien rédigé doit prévoir : un délai maximal de notification du sous-traitant au responsable (souvent 24h pour laisser une marge sur les 72h), les informations que le sous-traitant doit fournir, et les obligations de coopération dans la gestion de la violation.

Les sanctions en cas de manquement

Le non-respect des obligations liées aux violations de données expose à des sanctions significatives. La CNIL peut prononcer des amendes administratives pouvant atteindre :

  • 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les violations procédurales (notification tardive, registre incomplet, information insuffisante des personnes)
  • 20 millions d'euros ou 4% du chiffre d'affaires mondial pour les violations des principes fondamentaux (sécurité insuffisante des données ayant causé la violation)

En pratique, la CNIL évalue : la gravité de la violation, les mesures de sécurité en place, la rapidité de réaction, la coopération avec l'autorité, et les mesures correctives prises. Une organisation qui réagit rapidement, notifie dans les délais et met en place des mesures correctives bénéficiera d'une appréciation plus clémente que celle qui dissimule ou minimise l'incident.

Outre les sanctions administratives, une violation peut engager la responsabilité civile de l'organisme vis-à-vis des personnes concernées (dommages et intérêts), voire pénale dans les cas les plus graves.

Comment se préparer à la gestion des violations

Mettre en place un plan de réponse aux incidents

La préparation est la clé d'une gestion efficace des violations. Un plan de réponse aux incidents (Incident Response Plan) doit décrire précisément :

  • Les procédures de détection et d'escalade interne (qui alerte qui, dans quels délais)
  • L'équipe de réponse (CISO, DPO, juriste, communication, direction)
  • Les critères d'évaluation du risque
  • Le processus de notification (CNIL, personnes concernées)
  • Les modèles de communication (interne et externe)
  • Les contacts d'urgence (CNIL, prestataires de sécurité, avocats)

Former et tester régulièrement

Un plan non testé est un plan inefficace. La gestion des violations nécessite une formation des équipes concernées (DPO, IT, direction), la désignation d'une équipe de crise, des tests réguliers (exercices de simulation), et l'utilisation d'outils permettant de gérer et documenter les violations en temps réel avec notification automatisée à la CNIL.

Questions fréquemment posées

Qu'est-ce qu'une violation de données personnelles selon le RGPD ?

Une violation de données personnelles est une atteinte à la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles. Elle peut résulter d'une cyberattaque, d'une erreur humaine, d'un vol de matériel ou d'une défaillance technique.

Quand faut-il notifier une violation à la CNIL ?

Toute violation susceptible d'engendrer un risque pour les personnes concernées doit être notifiée à la CNIL dans les 72 heures suivant sa découverte (article 33 du RGPD). Les violations sans risque pour les personnes doivent simplement être documentées en interne.

Faut-il informer les personnes concernées d'une violation de données ?

Oui, si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes. La communication doit se faire dans les meilleurs délais, en langage clair, en décrivant la nature de la violation, ses conséquences probables et les mesures prises.

Quelles sanctions risque-t-on en cas de violation non déclarée ?

Ne pas notifier une violation dans les délais expose à des sanctions pouvant atteindre 10 millions d'euros ou 2 % du CA mondial. En 2025, la CNIL a sanctionné plusieurs entreprises pour défaut ou retard de notification.

Comment se préparer à une violation de données ?

La préparation passe par : un plan de réponse aux incidents documenté, des procédures internes de détection et d'escalade, la désignation d'une équipe de crise, des tests réguliers (exercices de simulation), et des outils permettant de gérer et documenter les violations en temps réel.

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

SOC 2 : Définition et Checklist de Conformité pour les Entreprises Tech
14/5/2025
Optimiser la sécurité des données : le guide ultime
18/10/2023
Anonymisation des données RGPD : guide complet 2026
21/3/2023
RGPD : Les enjeux de la pseudonymisation des données
30/3/2023
Comment identifier un piratage de vos données personnelles ?
26/7/2023
Tout savoir sur l’anonymisation de données
28/5/2024

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026