Quand prévenir la CNIL en cas de cyberattaque ?

La CNIL doit être prévenue dans un délai maximal de 72 heures après la prise de connaissance d’une cyberattaque dès lors que cette attaque entraîne une violation de données personnelles susceptible d’engendrer un risque pour les droits et libertés des personnes physiques. Le déclencheur n’est donc pas la cyberattaque en elle-même, mais la qualification juridique de l’incident comme “violation de données personnelles” au sens de l’article 4 du RGPD. Toute organisation confrontée à une cyberattaque doit donc procéder, dans les heures qui suivent sa détection, à une qualification rigoureuse permettant de déterminer si l’obligation de notification s’applique. En cas de doute raisonnable, le principe de précaution conduit à notifier — l’absence de notification d’une violation qui aurait dû l’être expose à des sanctions bien plus lourdes qu’une notification finalement non requise. La règle d’or : mieux vaut notifier tôt et incomplet qu’avec retard ou pas du tout.

En bref : le délai de 72 heures est probablement la disposition du RGPD la plus structurante pour la gestion d’une cyberattaque. Il impose une discipline de qualification rapide, une mobilisation de cellule de crise dans les premières heures et une coordination étroite entre experts techniques, juristes et communicants. Sa maîtrise n’est pas optionnelle : elle conditionne la légalité de la gestion de crise et expose, en cas de manquement, à des sanctions financières considérables.

Le cadre temporel précis

Avant toute analyse stratégique, comprendre rigoureusement la temporalité imposée par le RGPD.

Le point de départ : la prise de connaissance

Le délai de 72 heures court à partir de la prise de connaissance par le responsable du traitement de la violation, pas à partir du moment où la violation s’est produite. Cette distinction est centrale.

La notion de prise de connaissance est définie comme le moment où le responsable du traitement a une certitude raisonnable qu’un incident de sécurité s’est produit et qu’il a entraîné une violation de données personnelles. Elle nécessite donc :

• la détection d’un incident,
• l’analyse initiale confirmant qu’il s’agit bien d’une violation,
• l’identification d’un impact sur des données personnelles.

Cette définition introduit une marge d’appréciation sur le moment exact du déclenchement du délai. Cette marge ne doit pas être instrumentalisée pour différer artificiellement la notification : la jurisprudence et les lignes directrices européennes (notamment celles du Comité européen de la protection des données) insistent sur le fait que le responsable du traitement doit agir avec diligence raisonnable dans la qualification.

Le délai : 72 heures

72 heures calendaires, pas ouvrées. Cela signifie :

• les week-ends et jours fériés comptent dans le délai,
• une cyberattaque détectée un vendredi soir doit être notifiée au plus tard le lundi soir suivant,
• les dispositifs d’astreinte doivent permettre d’agir sans attendre les jours ouvrés.

La possibilité d’une notification “en plusieurs étapes”

Le RGPD prévoit explicitement que lorsque toutes les informations ne sont pas disponibles dans les 72 heures, la notification peut être faite en plusieurs étapes :

• notification initiale dans les 72 heures avec les éléments disponibles,
• compléments transmis ultérieurement à mesure que l’enquête progresse,
• clôture lorsque la situation est complètement documentée.

Cette possibilité encourage à notifier dès que la violation est avérée, sans attendre une enquête forensique complète qui peut prendre des semaines.

Le retard motivé

Si la notification ne peut être faite dans les 72 heures, l’article 33.1 prévoit qu’elle doit être “accompagnée des motifs du retard”. En pratique :

• une notification au-delà de 72 heures sans justification est un manquement caractérisé,
• une notification tardive avec motivation solide (événement objectif justifiant le retard) peut être acceptée par la CNIL,
• les motifs valables sont rares : difficultés exceptionnelles d’identification, impossibilité matérielle, etc.

Dans tous les cas, mieux vaut notifier tardivement avec explication que ne pas notifier du tout ou notifier sans signaler le retard analyse l’expert en communication de crise Florian Silnicki, Président Fondateur de LaFrenchCom.

Les configurations typiques de cyberattaque

Toutes les cyberattaques ne déclenchent pas l’obligation de notification. Plusieurs configurations doivent être distinguées.

Le ransomware avec chiffrement uniquement

Configuration où l’attaquant chiffre les données pour demander une rançon, sans nécessairement les exfiltrer.

• violation de disponibilité : oui, les données sont temporairement inaccessibles,
• violation de confidentialité : possible si l’attaquant a accédé aux données avant chiffrement,
• notification CNIL : oui, dès qu’une donnée personnelle est concernée par la perte de disponibilité ou par un accès non autorisé,
• information des personnes : selon le risque (généralement oui pour les organisations détenant des données sensibles).

Le ransomware avec double extorsion

Configuration de plus en plus fréquente : l’attaquant chiffre et exfiltre les données, en menaçant de les publier si la rançon n’est pas payée.

• violation caractérisée sur tous les plans (confidentialité, intégrité, disponibilité),
• notification CNIL : obligatoire,
• information des personnes : généralement obligatoire (risque élevé),
• vigilance sur la publication ultérieure des données par l’attaquant.

L’intrusion avec exfiltration avérée

Configuration où l’enquête confirme qu’un attaquant a accédé et copié des données.

• violation caractérisée,
• notification CNIL : obligatoire,
• information des personnes : selon le risque,
• enquête approfondie pour évaluer la portée exacte.

L’intrusion sans exfiltration confirmée

Configuration où une intrusion est détectée mais où l’enquête ne confirme pas (à ce stade) une exfiltration de données.

• qualification délicate,
• principe : si l’attaquant a eu accès aux données, considérer qu’il y a violation de confidentialité,
• notification CNIL : généralement oui, dans le doute,
• information des personnes : selon l’évaluation du risque réel.

L’attaque par déni de service (DDoS)

Configuration où l’attaque vise à rendre indisponible un service, sans accès aux données.

• violation de disponibilité uniquement,
• notification CNIL : oui si l’indisponibilité affecte les droits des personnes (incapacité d’exercer leurs droits, perte de service essentiel),
• information des personnes : généralement non, sauf cas particuliers.

Le phishing ayant compromis des comptes salariés

Configuration où des identifiants de salariés ont été obtenus par phishing.

• violation potentielle si les comptes donnent accès à des données personnelles,
• qualification dépendant de l’usage effectif des comptes par l’attaquant,
• notification CNIL : selon les données potentiellement accessibles,
• information des personnes : selon le risque.

La fuite via un sous-traitant

Configuration où la cyberattaque touche un prestataire qui détient des données pour le compte de l’organisation.

• responsabilité du responsable du traitement maintenue,
• notification CNIL par le responsable (le sous-traitant notifie le responsable, pas directement la CNIL pour les données du responsable),
• délai qui court à partir de la prise de connaissance par le responsable,
• coordination avec le sous-traitant essentielle.

L’attaque sur l’infrastructure cloud

Configuration spécifique : l’attaque touche un fournisseur cloud (AWS, Azure, Google Cloud, OVH, etc.).

• clarification des responsabilités selon le modèle de service (IaaS, PaaS, SaaS),
• coopération étroite avec le fournisseur,
• respect des clauses contractuelles spécifiques,
• notification selon les données concernées.

Les 4 phases de qualification rapide

Pour respecter le délai de 72 heures, l’organisation doit conduire une qualification rapide structurée en quatre phases.

Phase 1 — La détection (H+0 à H+6)

Premiers signaux :

• alertes des dispositifs de sécurité,
• anomalies détectées par les équipes IT,
• signalements internes ou externes,
• demande de rançon explicite,
• médias ou tiers informant l’organisation.

Actions immédiates :

• mobilisation de l’équipe technique,
• alerte du RSSI et de la DSI,
• information du DPO,
• convocation de la cellule de crise restreinte,
• collecte des premières informations factuelles.

Phase 2 — L’évaluation initiale (H+6 à H+24)

Analyse rapide pour qualifier l’incident :

• nature de l’attaque (ransomware, intrusion, phishing, etc.),
• systèmes affectés et données potentiellement concernées,
• présence ou non de données personnelles,
• probabilité d’accès non autorisé ou d’exfiltration,
• catégories de données concernées (sensibilité),
• nombre approximatif de personnes potentiellement affectées.

Cette évaluation peut nécessiter la mobilisation d’un prestataire de réponse à incident pour les analyses techniques.

Phase 3 — La qualification juridique (H+24 à H+48)

Décision juridique sur :

• présence d’une violation au sens du RGPD : oui ou non,
• niveau de risque pour les personnes : faible, modéré, élevé,
• obligation de notification CNIL : oui ou non,
• obligation d’information des personnes : oui ou non,
• autres notifications obligatoires (CERT-FR, AMF, ACPR, ARS, etc. selon les cas).

Cette qualification doit être documentée rigoureusement, avec mention des éléments factuels disponibles, des analyses conduites et des arbitrages réalisés.

Phase 4 — La notification (H+48 à H+72)

Si l’obligation de notification est confirmée :

• rédaction de la notification CNIL via la plateforme dédiée,
• transmission dans le délai de 72 heures,
• préparation de l’information aux personnes (envoi dans les jours suivants selon ampleur),
• autres notifications réglementaires si nécessaires,
• coordination avec les autorités d’enquête (CERT-FR, parquet).

Tableau : la chronologie type

Heure	Action	Acteurs
H+0	Détection de l’incident	Équipes IT, RSSI
H+1 à H+3	Mobilisation cellule de crise restreinte	DG, DSI, RSSI, DPO, juridique, communication
H+3 à H+6	Confinement technique, évaluation initiale	RSSI, prestataire de réponse à incident
H+6 à H+12	Mobilisation conseils externes	Avocat RGPD, agence de communication de crise
H+12 à H+24	Première qualification, analyse de risque	DPO, juridique, RSSI
H+24 à H+48	Qualification juridique, décision de notification	Cellule de crise complète
H+24 à H+72	Alerte précoce CERT-FR si NIS 2	RSSI, juridique
H+48 à H+72	Rédaction et envoi notification CNIL	DPO, juridique
H+72 à J+7	Information des personnes concernées	DPO, communication, RH, service client
J+1 à J+30	Communication publique, gestion médias	Communication, DG
J+7 à M+1	Compléments à la CNIL si nécessaire	DPO, juridique

Les contenus de la notification CNIL

L’article 33 du RGPD précise les éléments à inclure dans la notification.

Les éléments obligatoires

• nature de la violation : ce qui s’est passé concrètement,
• catégories de données concernées : noms, emails, mots de passe, données bancaires, etc.,
• nombre approximatif de personnes affectées,
• nombre approximatif de fichiers ou enregistrements concernés,
• nom et coordonnées du DPO ou du point de contact,
• conséquences probables de la violation pour les personnes,
• mesures prises ou proposées pour remédier à la violation,
• mesures prises pour atténuer les éventuelles conséquences négatives.

Le format de la notification

En France, la notification se fait via la plateforme dédiée sur le site de la CNIL :

• formulaire structuré reprenant les éléments obligatoires,
• possibilité d’ajouter des pièces jointes,
• accusé de réception automatique,
• numéro de dossier attribué pour suivi.

Le ton et le niveau de précision

La notification est un document juridique et technique. Elle doit :

• être factuelle et précise,
• éviter les euphémismes ou minimisations,
• présenter les incertitudes assumées,
• documenter les mesures déjà prises,
• annoncer les suites prévues.

À la différence d’un communiqué de presse, la notification CNIL n’a pas vocation à rassurer ou à séduire : elle doit documenter rigoureusement la situation.

La notification “en plusieurs étapes”

Lorsque toutes les informations ne sont pas disponibles à H+72, la notification initiale doit néanmoins être envoyée. Elle peut indiquer :

• les éléments connus à ce stade,
• les incertitudes identifiées,
• les investigations en cours,
• le calendrier prévisionnel des compléments,
• l’engagement à transmettre les éléments dès leur disponibilité.

Cette notification “en plusieurs étapes” est explicitement prévue par le RGPD et bien acceptée par la CNIL, à condition que les compléments soient effectivement transmis dans des délais raisonnables.

Les notifications complémentaires

Au-delà de la CNIL, plusieurs autres notifications peuvent être obligatoires selon les configurations.

CERT-FR et NIS 2

Pour les organisations relevant de la directive NIS 2 (entités essentielles et importantes) :

• alerte précoce dans les 24 heures auprès du CERT-FR,
• notification d’incident dans les 72 heures,
• rapport final dans le mois.

Ces obligations s’ajoutent à celles du RGPD pour les organisations concernées (énergie, transport, santé, banque, fournisseurs numériques, etc.).

L’ANSSI

Pour les opérateurs d’importance vitale (OIV) et opérateurs de services essentiels (OSE) :

• obligations de notification spécifiques à l’ANSSI,
• coopération renforcée avec les services de l’État,
• éventuelle mobilisation de moyens nationaux.

L’AMF

Pour les sociétés cotées, si la cyberattaque est susceptible d’affecter le cours :

• information privilégiée à communiquer selon les règles de l’AMF,
• communiqué financier approprié,
• anticipation des conséquences boursières.

L’ACPR

Pour les acteurs financiers (banques, assurances) :

• notifications spécifiques selon DORA et le règlement européen,
• délais spécifiques (souvent plus courts que le RGPD),
• autorité chef de file identifiée.

Les autorités sectorielles

• ANS et ARS pour le secteur santé,
• Arcom pour l’audiovisuel,
• DGCCRF dans certains cas de fraude,
• CNIL comme autorité chef de file pour la protection des données.

Le dépôt de plainte

Indépendamment des notifications réglementaires, un dépôt de plainte auprès du procureur de la République ou des services spécialisés (sous-direction de la lutte contre la cybercriminalité, J3 du parquet de Paris, gendarmerie nationale) est généralement déposé :

• ouvre une enquête susceptible d’identifier les auteurs,
• préserve les droits de l’organisation en tant que victime,
• constitue un élément de la stratégie de communication.

La coordination entre notifications

Toutes ces notifications doivent être coordonnées :

• calendriers différents,
• canaux distincts,
• contenus parfois différents,
• interlocuteurs identifiés pour chaque autorité.

Cette coordination exige une gouvernance robuste et des procédures testées en amont.

Tableau : ce qu’il faut faire vs ce qu’il faut éviter

À faire	À éviter
Mobilisation immédiate de la cellule de crise	Attendre une analyse complète avant de mobiliser
Qualification juridique rapide	Hésitation à qualifier de “violation”
Notification CNIL dans les 72h, même incomplète	Attendre un dossier complet au-delà du délai
Notification “en plusieurs étapes” assumée	Silence pendant l’enquête forensique
Coopération avec la CNIL	Posture défensive face à l’autorité
Coordination avec les autres notifications	Notifications dispersées et contradictoires
Documentation rigoureuse de la chronologie	Décisions verbales non tracées
Cellule de crise multidisciplinaire	Gestion par les seules équipes techniques
Conseils externes mobilisés rapidement	Improvisation en interne sans expertise
Préparation de l’information aux personnes	Notification CNIL puis silence vers les victimes

Les erreurs classiques à proscrire

1. Le retard de qualification

Considérer pendant plusieurs jours qu’on n’est pas certain d’être face à une violation, et différer ainsi le déclenchement du délai. Conséquences :

• risque que la CNIL conteste rétrospectivement le moment de prise de connaissance,
• manquement caractérisé,
• affaiblissement de la posture en cas de procédure.

2. La sous-qualification volontaire

Considérer qu’un incident n’est pas une violation pour éviter les obligations. Conséquences :

• risque de requalification ultérieure,
• sanctions aggravées si la dissimulation est démontrée,
• destruction de la crédibilité.

3. La notification incomplète sans mention des compléments

Envoyer une notification minimale en espérant que la CNIL n’y verra que du feu, sans annoncer de compléments. Conséquences :

• insuffisance de la notification,
• demandes de compléments par la CNIL,
• suspicion d’une organisation peu coopérative.

4. La gestion par les seules équipes techniques

Laisser la qualification et la notification aux équipes IT, sans intégration du DPO, du juridique et de la communication. Conséquences :

• qualification technique non alignée avec les exigences juridiques,
• notification mal calibrée,
• incohérence avec les autres communications.

5. La notification publique avant la notification CNIL

Communiquer publiquement (presse, réseaux sociaux) avant d’avoir notifié l’autorité de contrôle. Conséquences :

• impact sur la qualité de la notification (rédaction sous pression médiatique),
• non-respect de l’ordre logique des communications,
• complications avec la CNIL.

6. L’absence de coordination avec NIS 2 ou autres obligations

Pour les organisations concernées par NIS 2, négliger l’alerte précoce au CERT-FR dans les 24 heures. Conséquences :

• manquement spécifique à NIS 2,
• sanctions complémentaires,
• perte du soutien des services de l’État.

7. La défaillance documentaire

Ne pas tracer rigoureusement la chronologie, les décisions et les analyses. Conséquences :

• incapacité à démontrer la conformité,
• sanction quasi automatique en cas de contrôle,
• affaiblissement de la défense.

L’articulation avec les enquêtes pénales

Dans la plupart des cyberattaques, plusieurs procédures se déroulent en parallèle.

Le dépôt de plainte

L’organisation dépose généralement plainte :

• pour accès et maintien frauduleux dans un système informatique (article 323-1 du Code pénal),
• pour extorsion dans le cas du ransomware (article 312-1),
• pour atteinte à un système de traitement automatisé de données.

Les services d’enquête

L’enquête peut être conduite par :

• la sous-direction de la lutte contre la cybercriminalité (police nationale),
• la C3N (Centre de lutte contre les criminalités numériques) de la gendarmerie,
• le J3 (section J3 – cybercriminalité) du parquet de Paris,
• les JIRS pour les affaires importantes,
• le PNCC (Parquet National Cybercriminalité) selon les configurations.

La coordination entre CNIL et enquêteurs

La notification CNIL et l’enquête pénale poursuivent des objectifs distincts :

• la CNIL vise la conformité et la protection des personnes,
• les enquêteurs visent l’identification et la poursuite des auteurs.

Mais elles peuvent interagir :

• partage d’informations entre autorités,
• nécessité de préserver les preuves pour l’enquête,
• vigilance sur ce qui est communiqué publiquement,
• coordination des calendriers.

La préservation des preuves

Pendant la gestion de crise, l’organisation doit préserver les éléments susceptibles de servir à l’enquête :

• logs systèmes,
• échantillons de codes malveillants,
• traces d’intrusion,
• communications avec les attaquants (pour le ransomware),
• chronologie détaillée.

Cette préservation peut entrer en tension avec les besoins de remédiation rapide. Une coordination entre RSSI, prestataire de réponse à incident et enquêteurs est essentielle.

Cas particuliers fréquents

La cyberattaque détectée par un tiers

Configuration où l’organisation est informée par un journaliste, un chercheur en sécurité, une plateforme ou un client :

• vérification rapide de la réalité,
• temps de notification qui court à la prise de connaissance,
• gestion de la temporalité de l’information du tiers,
• coordination avec le tiers (notamment pour les chercheurs en sécurité responsables).

La cyberattaque dont l’ampleur évolue

Configuration où la qualification et l’ampleur changent au fil de l’enquête :

• notification initiale sur la base des éléments connus,
• compléments réguliers,
• réévaluation de l’obligation d’informer les personnes,
• transparence sur l’évolution.

La cyberattaque transfrontalière

Configuration où la violation affecte des données dans plusieurs pays européens :

• autorité chef de file identifiée selon l’établissement principal,
• mécanisme du guichet unique européen,
• coopération entre autorités nationales,
• notification principalement à l’autorité chef de file.

La cyberattaque via la chaîne d’approvisionnement

Configuration de plus en plus fréquente : l’attaque transite par un prestataire ou un logiciel tiers :

• complexité de l’identification,
• coordination entre l’organisation et son prestataire,
• chaîne de notifications en cascade,
• enjeux contractuels sur la responsabilité.

La cyberattaque pendant un week-end ou jours fériés

Configuration fréquente : les attaquants choisissent les périodes de moindre vigilance.

• dispositifs d’astreinte indispensables,
• mobilisation rapide des équipes et conseils,
• respect des délais malgré le contexte,
• outils de notification accessibles 24/7.

La cyberattaque révélée par les attaquants eux-mêmes

Configuration où les attaquants publient des données ou se manifestent publiquement avant que l’organisation n’ait pu réagir :

• gestion d’une temporalité contrainte,
• notification CNIL accélérée,
• information publique nécessaire rapidement,
• coordination entre médias et autorités.

La cyberattaque massive avec millions de personnes concernées

Configuration où l’ampleur dépasse plusieurs millions de personnes :

• logistique considérable d’information individuelle,
• dispositifs de communication massive (emails massifs, plateforme dédiée, FAQ étendue),
• cellule d’écoute dimensionnée pour absorber le volume,
• communication publique large pour relayer l’information,
• coordination étroite avec la CNIL sur les modalités.

La cyberattaque sans certitude sur l’exfiltration

Configuration délicate : intrusion détectée mais sans confirmation immédiate d’exfiltration de données.

• principe de prudence : notifier dans le doute,
• qualification comme accès non autorisé même sans exfiltration confirmée,
• information des personnes selon le risque réel évalué,
• mises à jour au fur et à mesure de l’enquête.

L’arbitrage final : notifier ou non

Pour les configurations délicates, plusieurs critères guident l’arbitrage final.

Les critères favorables à la notification

• présence confirmée de données personnelles dans les systèmes affectés,
• possibilité d’accès non autorisé même sans exfiltration confirmée,
• données sensibles (santé, bancaires, opinions, données de mineurs),
• nombre élevé de personnes potentiellement affectées,
• conséquences possibles graves (usurpation, fraude, discrimination),
• médiatisation probable de l’incident,
• doute raisonnable sur la nature de l’incident.

Les critères défavorables à la notification

• absence confirmée de données personnelles dans les systèmes affectés,
• chiffrement robuste des données rendant impossible l’accès,
• incident purement technique sans impact sur les données,
• mesures correctives immédiates rendant le risque très faible,
• éléments factuels solides documentant l’absence de violation.

Le principe de précaution

Dans les configurations doutées, le principe est clair : notifier. Les conséquences d’une notification non requise sont infiniment moindres que celles d’une absence de notification d’une violation qui aurait dû l’être :

• pas de sanction pour notification “abusive”,
• éventuellement quelques questions complémentaires de la CNIL,
• crédibilité renforcée par la transparence,
• documentation de la diligence.

À l’inverse, l’absence de notification d’une violation expose à :

• sanctions financières lourdes,
• mise en cause de la responsabilité personnelle des dirigeants,
• impact réputationnel durable,
• contentieux civils des personnes concernées.

La documentation du choix

Quel que soit l’arbitrage, il doit être documenté :

• éléments factuels disponibles,
• analyses conduites,
• argumentation juridique,
• décision et ses motifs,
• mises à jour ultérieures.

Cette documentation prépare un éventuel contrôle CNIL et alimente la défense de l’organisation.

Préparer en amont la capacité à notifier dans les 72 heures

La capacité à respecter le délai de 72 heures se prépare en temps de paix.

La cellule de crise prête à activer

• composition prédéfinie (DG, DSI, RSSI, DPO, juridique, communication),
• dispositif d’astreinte 24/7,
• circuits de décision rapides,
• outils de communication sécurisés,
• lieu de réunion identifié (physique ou virtuel).

Les conseils externes pré-engagés

• avocat RGPD sous contrat-cadre,
• prestataire de réponse à incident (PRIS) pré-engagé,
• agence de communication de crise disponible,
• expert en analyse forensique,
• éventuels négociateurs spécialisés (ransomware).

Les procédures documentées

• arbre de décision pour la qualification rapide,
• modèles de notification CNIL,
• modèles d’information aux personnes,
• éléments de langage pour la communication publique,
• dispositifs de notification aux autres autorités.

Les exercices de simulation

Tester régulièrement les procédures :

• simulation de cyberattaque réaliste,
• mobilisation de la cellule de crise,
• rédaction d’une notification dans le délai contraint,
• coordination entre acteurs internes et externes,
• exercices conjoints avec les conseils externes.

Les outils techniques

• plateforme sécurisée d’échange de documents en cas de crise,
• canaux alternatifs de communication si la messagerie est compromise,
• outils de notification massive prêts à activer,
• dark site activable rapidement,
• dispositifs de cellule d’écoute mobilisables.

La formation et la sensibilisation

• formation régulière des dirigeants aux enjeux RGPD et NIS 2,
• sensibilisation des équipes à la détection rapide,
• entraînement du DPO à la rédaction sous contrainte temporelle,
• media training spécifique pour la communication post-cyberattaque.

La gestion post-notification

Après la notification dans les 72 heures, plusieurs étapes restent à conduire.

Les compléments d’information

La CNIL peut demander des compléments :

• précisions sur la nature de l’incident,
• documentation des mesures prises,
• analyse de risque détaillée,
• engagements sur les transformations.

L’organisation doit coopérer pleinement et fournir les éléments dans des délais raisonnables.

L’information des personnes

Si l’obligation d’information directe s’applique, l’envoi se fait généralement dans les jours suivant la notification CNIL :

• email direct aux personnes concernées,
• courrier postal pour les personnes sans email,
• SMS pour les violations sécuritaires urgentes,
• espace dédié sur le site avec FAQ.

La communication publique

Selon les configurations :

• communiqué public si l’incident est susceptible d’être médiatisé,
• page dédiée sur le site corporate,
• réponses aux médias,
• gestion des réseaux sociaux.

Le suivi de l’enquête

Pendant les semaines et mois qui suivent :

• enquête forensique approfondie,
• identification complète de la chaîne d’attaque,
• mesures correctives structurelles,
• éventuelles transformations organisationnelles,
• investissements en cybersécurité.

La gestion d’un éventuel contrôle CNIL

La CNIL peut, à tout moment après une notification, engager un contrôle :

• demandes de compléments d’information,
• contrôles documentaires à distance,
• contrôles sur place,
• auditions,
• procédures de sanction si manquements caractérisés.

L’organisation doit coopérer pleinement, fournir les éléments demandés, et démontrer la conformité de sa gestion.

FAQ

Faut-il notifier la CNIL dans le doute, ou attendre des éléments solides ? Notifier dans le doute est presque toujours la meilleure stratégie. Le RGPD prévoit explicitement la possibilité de notifier “en plusieurs étapes” avec compléments ultérieurs. La sanction pour notification non justifiée est nulle ; la sanction pour absence de notification d’une violation peut être considérable. Le principe de précaution doit prévaloir.

Peut-on notifier après le délai de 72 heures sans sanction ? Oui, à condition de motiver le retard. L’article 33 du RGPD prévoit explicitement cette possibilité. Mais le retard doit être justifié objectivement (difficultés exceptionnelles d’identification, impossibilité matérielle, etc.), pas par une simple insuffisance de préparation. Un retard non motivé ou faiblement motivé est un manquement caractérisé.

Que faire si l’enquête forensique prend des semaines ? Notifier dans les 72 heures avec les éléments disponibles, puis transmettre des compléments réguliers à mesure que l’enquête progresse. La notification “en plusieurs étapes” est explicitement prévue par le RGPD et bien acceptée par la CNIL. L’enquête forensique complète peut effectivement prendre plusieurs semaines, ce qui n’exonère pas du délai initial.

Faut-il notifier la CNIL avant ou après le dépôt de plainte ? Les deux démarches sont indépendantes et n’ont pas d’ordre obligatoire. En pratique :

• la notification CNIL est souvent prioritaire (délai de 72 heures vs absence de délai pour la plainte),
• le dépôt de plainte intervient dans les jours qui suivent,
• la coopération entre les deux suivis est utile.

Pour les cyberattaques importantes, les deux démarches sont systématiquement engagées.

Que faire si on découvre rétrospectivement une violation passée non notifiée ? Notifier immédiatement avec explication du retard. Le RGPD impose la notification dès la prise de connaissance. Une découverte rétrospective relance le délai à partir du moment de cette découverte. Mais l’organisation doit aussi expliquer pourquoi la violation n’avait pas été détectée plus tôt et quelles mesures sont prises pour améliorer la détection.

Votre organisation est-elle préparée à qualifier rapidement une cyberattaque, à notifier la CNIL dans le délai de 72 heures et à coordonner l’ensemble des notifications réglementaires (NIS 2, ANSSI, autorités sectorielles) tout en gérant la communication publique ? LaFrenchCom accompagne dirigeants, DPO et RSSI dans la préparation et la gestion en temps réel des cyberattaques, en coordination étroite avec les avocats spécialisés en droit du numérique et les prestataires de réponse à incident. [Contactez notre cellule de crise →]