Cyberattaque chez un sous-traitant : la CNIL publie son scénario type pour les DPO et RSSI

27/5/26
👈 les autres actualités

La CNIL publie le 27 mai 2026 un nouveau cas typique de violation de données : celui du sous-traitant cloud victime d'une cyberattaque qui expose les données de l'ensemble de ses clients. Derrière la fiction d'Alice (RSSI) et Charles (DPO), l'autorité de contrôle pose un cadre opérationnel sur la double notification — celle du sous-traitant pour lui-même, et celle qu'il doit organiser pour ses clients responsables de traitement.

Ce qui s'est passé

Dans la publication mise en ligne sur cnil.fr, la CNIL met en scène une attaque devenue classique : un pirate exploite l'ingénierie sociale pour faire exécuter un code malveillant à un employé négligent, gagne l'accès au système d'information d'un prestataire cloud et exfiltre, sans détection immédiate, les données du sous-traitant comme celles de ses sociétés clientes. La RSSI Alice détecte l'incident pendant une pause estivale, déclenche la procédure de gestion de crise et plonge l'environnement en "blackout" — interrompant le service pour tous les clients.

Le cas, présenté comme générique, condense les enseignements des incidents notifiés à la CNIL ces dernières années : l'attaque cible un maillon de la chaîne de traitement, mais ses conséquences touchent simultanément plusieurs responsables de traitement. Le sous-traitant doit gérer à la fois sa propre violation et l'obligation d'accompagner ses clients dans la leur.

Pourquoi c'est important

La publication arrive dans un contexte où la CNIL est saturée par les violations de données notifiées et où la chaîne de sous-traitance est devenue le vecteur d'attaque privilégié des cybercriminels. Le RGPD oblige le sous-traitant à informer "sans délai" son donneur d'ordre (article 33.2), mais c'est bien le responsable de traitement qui doit notifier la CNIL dans le délai de 72 heures fixé par l'article 33 du RGPD. Sans organisation claire, ce délai est intenable.

L'article 28 du RGPD structure cette relation : le contrat de sous-traitance doit prévoir précisément l'assistance que le prestataire apporte à son client en cas d'incident — y compris la fourniture des éléments techniques nécessaires à la notification et à l'analyse du risque. Et les contentieux récents sur les fuites de prestataires rappellent que la responsabilité solidaire de l'article 82 reste un risque financier et réputationnel direct pour le donneur d'ordre, même lorsque la faille est strictement technique.

Ce que ça change pour les organisations

La CNIL invite les DPO et RSSI à anticiper trois éléments avant l'incident, pas pendant. D'abord, la cartographie : savoir qui détient quelles données, sur quels environnements, avec quelles natures de traitement. Sans cette base, l'analyse de risque exigée à chaque notification reste un exercice approximatif. Notre guide sur l'audit des sous-traitants détaille la méthodologie complète d'évaluation contractuelle et technique des prestataires.

Ensuite, la documentation interne de crise. La CNIL valorise explicitement le "guide pas-à-pas" qu'a rédigé Charles, à destination de ses clients, pour les aider à notifier eux-mêmes — avec une référence au numéro de notification déposé par le sous-traitant, ce qui permet à l'autorité de regrouper les dossiers. Ce type d'outil ne s'improvise pas le jour de l'incident.

Enfin, les mesures de sécurité elles-mêmes. La publication rappelle implicitement les obligations de l'article 32 du RGPD sur les mesures techniques et organisationnelles : authentification forte, chiffrement, supervision, tests réguliers — autant d'éléments que la CNIL examine désormais en priorité lors de ses contrôles post-violation. Notre guide sur la réaction à une violation de données reprend pas à pas les étapes à suivre : qualification de l'incident, analyse de risque, notification, information des personnes.

Côté communication, la CNIL valide une approche par questions-réponses pour informer les personnes ("Que s'est-il passé ?", "Quelles données sont concernées ?", "Quelles sont nos recommandations ?") — une trame que les DPO peuvent reprendre dans leurs propres modèles de communication aux personnes concernées.

Ce que Leto pense de cette décision

Cette publication n'apporte pas de doctrine nouvelle, mais elle est précieuse parce qu'elle met enfin de l'opérationnel sur ce que les DPO de sous-traitants vivent depuis des années. Le message implicite est limpide : la CNIL n'attend plus seulement une notification dans les 72 heures, elle attend une organisation de crise documentée, des supports prêts pour les clients, une coordination claire entre RSSI et DPO. Les sous-traitants qui pensaient pouvoir se contenter d'un email d'alerte à leurs clients vont devoir muscler sérieusement leur dispositif — et leurs clients, en miroir, devraient exiger contractuellement cette assistance précise dans leurs DPA. C'est aussi un appel discret aux donneurs d'ordre : auditer son sous-traitant ne se limite plus à un questionnaire annuel, il faut tester ensemble la chaîne de notification, idéalement avant l'incident réel.

Sources : CNIL — Cyberattaque : le sous-traitant au centre de la crise (27 mai 2026)

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026