Actualités

Régulateurs et autorités : coopérer sans se livrer

mediatraining-formation-prise-de-parole-en-public

Dans la galerie des publics d’une crise, le régulateur occupe une place que nul autre ne partage : il a des pouvoirs. Il enquête, il sanctionne, il enjoint, il publie. Il impose ses délais — 72 heures ici, 24 heures là, 4 heures ailleurs — que la crise ne suspend jamais. Et il archive tout : chaque mot qu’on lui adresse est opposable, pour des années. Face à lui, la tentation oscille entre deux erreurs symétriques : le silence, qui est souvent une infraction, et l’épanchement, qui livre plus que le droit n’exige. La bonne posture tient dans le titre de cet article : coopérer sans se livrer.

Cet article poursuit le volet opérationnel de notre dossier, public par public. Précision de périmètre : les principes — pourquoi le secret se paie (« Le coût de l’opacité »), pourquoi nier est ruineux (« Le coût du déni ») — restent dans leurs articles. Ici, nous traitons la pratique : la carte des notifications obligatoires et leurs délais chiffrés, le point de départ contesté des horloges légales, la posture de déclaration et d’inspection, la traçabilité — et le retournement final : comment une coopération bien menée transforme l’autorité en atout.

Qu’est-ce que la communication avec les régulateurs en crise ? (Définition)

La communication avec les régulateurs et autorités en crise désigne le volet du dispositif de crise qui gère les obligations légales de notification (violations de données, incidents cyber, accidents, produits dangereux), les échanges avec les autorités de contrôle pendant l’événement, la posture en cas d’inspection, la traçabilité de toutes les déclarations et la cohérence entre ce qui est dit aux autorités et ce qui est dit au public analyse l’expert en communication de crise Florian Silnicki, Président Fondateur de l’agence LaFrenchCom.

L’idée centrale tient à un changement de statut de la parole. Vis-à-vis des médias, une déclaration maladroite coûte de la réputation ; vis-à-vis d’une autorité, une déclaration fausse, tardive ou incomplète constitue un manquement autonome — sanctionnable indépendamment de la crise elle-même. Le droit a multiplié ces obligations : une même cyberattaque peut déclencher simultanément une notification à la CNIL, une alerte à l’ANSSI, un dépôt de plainte conditionnant l’assurance et une information des marchés. La question n’est donc pas « voulons-nous parler aux autorités ? », mais « quelles horloges viennent de se déclencher, et qui chez nous les tient ? ».

Cette définition emporte une règle d’organisation : la qualification réglementaire — quelles obligations cette situation active-t-elle ? — appartient à la première heure de toute cellule de crise, au même rang que la sécurité des personnes et, pour les cotées, que la question de l’information privilégiée traitée dans le volet investisseurs de cette série.

Ce qui rend ce public unique : quatre traits

Il a des pouvoirs. Enquête sur pièces et sur place, injonctions, sanctions pécuniaires — et l’arme réputationnelle ultime : la publication de la sanction. Une décision publiée est une crise dans la crise, datée, sourcée, indexée pour toujours.

Il impose le tempo. Avec les autres publics, on choisit son heure ; avec l’autorité, la loi la fixe. Les délais courent en heures calendaires — le vendredi 18 h compte comme le mardi 10 h — et la crise n’accorde aucun sursis : c’est la fenêtre d’or devenue obligation, avec sanction à la clé.

Il archive tout. Chaque notification, chaque courrier, chaque réponse en audition est conservée et confrontable — aux déclarations suivantes, aux communiqués publics, aux pièces saisies. On n’écrit pas à une autorité comme on parle à un journaliste : on écrit pour le dossier, c’est-à-dire pour les années à venir.

Il travaille en réseau. Les autorités se parlent — entre elles et par-delà les frontières. Ce qui est déclaré à l’une peut ressurgir chez l’autre ; une incohérence entre deux guichets devient un grief. Mais ce trait a son revers favorable : l’autorité est aussi le tiers crédible par excellence — celui dont la validation, au sens de « L’asymétrie de la preuve », vaut plus que toutes les autodéfenses. Nous y reviendrons.

La carte des notifications obligatoires : les horloges et leurs délais

Le cœur opérationnel de ce sujet est une cartographie. Chaque organisation doit connaître, avant la crise, les régimes de notification que ses scénarios de risque activent. Voici les principaux, avec leurs délais.

Données personnelles : la CNIL sous 72 heures. L’article 33 du RGPD impose de notifier toute violation de données susceptible d’engendrer un risque pour les personnes, dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance — via le téléservice dédié. Trois précisions changent tout en pratique. D’abord, la notification par étapes est explicitement prévue : une notification initiale incomplète, complétée ensuite, vaut mieux que le dépassement du délai au motif qu’on attendait d’en savoir plus — la CNIL a sanctionné des notifications tardives, y compris par des mises en demeure récentes, indépendamment de la gravité de la violation elle-même. Ensuite, le doute se résout par la notification : la sanction d’une notification finalement non requise est nulle ; celle d’une absence de notification peut être considérable. Enfin, même lorsque la notification n’est pas requise (absence de risque), l’appréciation doit être documentée au registre interne des violations — dont l’absence constitue en soi un manquement. S’y ajoute l’article 34 : si le risque pour les personnes est élevé, elles doivent être informées directement et sans retard injustifié — ce qui rejoint le playbook clients de cette série. Et dans la chaîne de sous-traitance, le sous-traitant alerte le responsable « dans les meilleurs délais », mais c’est le responsable de traitement qui demeure seul redevable de la notification.

Cyber : la NIS2 en trois temps. Pour les entités essentielles et importantes, l’incident significatif déclenche un régime en cascade auprès de l’autorité nationale (l’ANSSI, via le CERT-FR) : une alerte précoce sous 24 heures (l’incident est-il vraisemblablement malveillant ? a-t-il un impact transfrontière ?), une notification sous 72 heures avec évaluation initiale, puis un rapport final sous un mois (causes profondes, impact, remédiation). Ces obligations se cumulent avec le RGPD : notifier la CNIL ne dispense pas de notifier l’ANSSI, et réciproquement.

Finance : DORA en 4 heures. Le secteur financier vit sous le régime le plus rapide : la notification des incidents TIC majeurs aux superviseurs (ACPR, AMF) se compte en heures. Et pour les sociétés cotées, toute crise pose en parallèle la question de l’information privilégiée — traitée dans le volet « Investisseurs et marchés » de cette série.

Assurance : la plainte sous 72 heures. Depuis la loi LOPMI, l’indemnisation par la cyber-assurance des pertes liées à une attaque est conditionnée au dépôt de plainte dans les 72 heures. L’oubli de ce réflexe judiciaire peut coûter l’intégralité de la couverture — un préjudice auto-infligé.

Travail : l’accident mortel sous 12 heures. L’employeur doit informer l’inspection du travail de tout accident du travail mortel immédiatement, et au plus tard dans les douze heures suivant sa connaissance du décès — l’un des délais les plus courts du droit français, souvent ignoré des dispositifs de crise.

Produits, alimentaire, environnement. Le rappel d’un produit dangereux emprunte les canaux officiels de signalement et de publication (dont la plateforme publique de rappels) auprès des autorités de la consommation et, pour l’alimentaire, des services sanitaires — sans délai. Les installations classées doivent porter à la connaissance du préfet et de l’inspection, dans les meilleurs délais, tout accident ou incident significatif.

La leçon transversale : personne ne peut retrouver tout cela à 3 heures du matin. D’où l’outil central du dispositif : la matrice de notification — pour chaque scénario de risque cartographié : quelles obligations, quelle autorité, quel délai, quel canal, quel gabarit pré-rédigé, quel responsable interne. Construite à froid, testée en exercice.

Le point de départ des horloges : la « prise de connaissance »

Tous ces délais partagent un point de départ subtil et disputé : la prise de connaissance. La doctrine est constante : le délai court à compter du moment où l’organisation acquiert un degré raisonnable de certitude qu’un incident relevant de l’obligation s’est produit — ni la simple alerte technique (qui peut être un faux positif), ni l’achèvement de l’investigation forensique (qui prendrait des semaines).

Deux conséquences pratiques. D’abord, horodater la qualification : documenter précisément quand et sur quels éléments l’organisation a conclu à la matérialité de l’incident — car ce point de départ sera examiné, et sa contestation est l’un des terrains classiques du contentieux de la notification tardive. Ensuite, ne pas jouer avec l’horloge : retarder artificiellement la qualification pour gagner du temps est une stratégie perdante — l’absence d’investigation diligente n’est pas une excuse recevable, et l’ancienneté réelle de l’incident finit toujours par apparaître au dossier.

La posture : coopérer sans se livrer

Les obligations posées, reste la manière. Elle tient en deux disciplines complémentaires.

Coopérer. La coopération n’est pas une politesse : c’est un facteur de modération des sanctions expressément prévu — le degré de coopération avec l’autorité figure parmi les critères de fixation de l’amende dans le régime des données personnelles, et la même logique irrigue les autres régimes répressifs, jusqu’aux procédures formalisées de clémence du droit de la concurrence. Coopérer signifie : tenir les délais, désigner un interlocuteur unique (avec suppléant) qui centralise tous les échanges, répondre de manière complète aux demandes, et pratiquer la proactivité — notifier dans le doute, annoncer soi-même ce que l’autorité découvrirait, transmettre les compléments sans attendre la relance. L’organisation qui se fait tirer chaque pièce transforme un contrôle en enquête.

Sans se livrer. Coopérer n’est pas s’épancher. Quatre règles protègent sans entraver. Déclarer des faits vérifiés — et seulement eux : chaque affirmation adressée à une autorité doit pouvoir être soutenue pièce en main ; ce qui n’est pas établi se déclare comme tel (« à ce stade de nos investigations », « sous réserve de confirmation »), car qualifier l’incertitude n’est pas un aveu de faiblesse, c’est une précision juridique. Ne pas spéculer par écrit : les hypothèses internes, les auto-accusations prématurées, les « on aurait dû » couchés dans un courriel deviennent des pièces — l’analyse des causes se conduit dans un cadre maîtrisé, avec l’avocat dans la boucle dès la première heure. Corriger vite : si une déclaration s’avère inexacte à mesure que l’investigation avance, la rectification proactive est la seule voie — maintenir sciemment une déclaration devenue fausse transforme une erreur en tromperie. Distinguer les registres : ce que la loi impose (l’obligation), ce que l’autorité demande (la requête, à traiter loyalement), et ce que personne n’exige (le zèle, à éviter) — trois périmètres que le juriste trace en continu.

Et une règle chapeau, non négociable : jamais deux versions. L’autorité lit vos communiqués de presse, vos emails clients, vos publications — toute divergence entre le discours public et les déclarations qui lui sont faites signifie qu’un mensonge existe quelque part, et c’est elle qui choisira où. C’est le principe du « Coût de l’incohérence narrative » porté à son enjeu maximal : ici, l’incohérence n’est pas seulement une faute de communication, c’est une pièce à charge.

L’inspection : le protocole de la visite

Contrôle sur place, perquisition, visite domiciliaire : la crise amène souvent l’autorité dans les murs. Le protocole se prépare et s’affiche.

Accueillir sans obstruer. L’obstruction — retarder l’accès, faire disparaître, faire écran — constitue une infraction autonome, souvent plus lourde de conséquences que le grief initial. La leçon transversale de tout ce dossier s’applique ici en droit pur : la dissimulation coûte toujours plus cher que la faute qu’elle couvre.

Vérifier et cadrer. Identité des agents, base légale, périmètre de la mission : la vérification est un droit, exercé courtoisement. Le contrôle s’exécute dans son périmètre — ni au-delà, ni entravé en deçà.

Accompagner en binôme. Chaque équipe de contrôle est accompagnée d’un binôme interne — un juriste et un opérationnel du domaine — qui assiste, éclaire et consigne. Personne ne « laisse faire » seul dans un bureau.

Tout tracer, rien détruire. Copie ou inventaire de chaque pièce remise, registre horodaté des échanges et des lieux visités. Et l’interdit absolu : aucune destruction, altération ou « nettoyage » — de documents comme de données — dès lors qu’un contrôle est engagé ou prévisible. C’est l’infraction qui transforme un dossier défendable en dossier perdu.

Briefer les équipes. Les collaborateurs sollicités répondent avec exactitude sur les faits qu’ils connaissent, sans spéculer sur ceux qu’ils ignorent — « je ne sais pas, je vous oriente vers X » est une réponse parfaitement légitime. Ce brief, comme le reste, se prépare en temps de paix : une organisation qui découvre le protocole le matin du contrôle l’improvise mal.

La traçabilité : le registre unique des échanges

Toutes les interactions avec toutes les autorités — notifications, courriers, appels, auditions, pièces transmises — se consignent dans un registre unique : qui a dit quoi, à qui, quand, avec quelles pièces. Trois raisons l’imposent. La durée : les procédures s’étirent sur des années, les équipes tournent — le registre est la mémoire qui garantit que la déclaration de l’an trois ne contredira pas celle du jour un. La preuve : en cas de contestation, le registre établit la réalité et la loyauté de la coopération — c’est la bonne foi documentée. Le retour d’expérience : après la crise, il permet de reconstituer et d’améliorer le dispositif de notification lui-même.

Le retournement : l’autorité comme tiers crédible

Bien menée, la relation avec l’autorité cesse d’être un risque pour devenir un actif. Le mécanisme est celui du tiers crédible établi par « L’asymétrie de la preuve » : dans le débat public, la parole de l’organisation vaut peu — celle de l’autorité vaut beaucoup. Pouvoir dire, preuves à l’appui, « nous avons notifié les autorités compétentes dans les délais et coopérons pleinement avec elles » est l’un des éléments de langage les plus rassurants d’une communication de crise : il place la gestion sous le regard d’un arbitre que nul ne soupçonne de complaisance. Et à l’arrivée, une procédure close sans suite, une sanction modérée au motif exprès de la coopération, ou un satisfecit de conformité sont des pièces publiques qui valent tous les communiqués. L’organisation qui traite l’autorité en adversaire s’en fait un procureur ; celle qui la traite en interlocuteur loyal peut s’en faire, sinon un allié, du moins un témoin.

Les notifications obligatoires en chiffres

Obligation Délai Cadre
Violation de données personnelles → CNIL 72 h (calendaires) après prise de connaissance ; notification par étapes admise RGPD, art. 33
Information des personnes concernées si risque élevé sans retard injustifié RGPD, art. 34
Incident significatif (entités essentielles/importantes) → ANSSI 24 h alerte précoce · 72 h notification · 1 mois rapport final Directive NIS2, art. 23
Incident TIC majeur, secteur financier → superviseurs de l’ordre de 4 h Règlement DORA
Dépôt de plainte conditionnant l’assurance cyber 72 h Loi LOPMI
Accident du travail mortel → inspection du travail immédiatement, au plus tard 12 h Code du travail (décret 2023)
Sanction du défaut/retard de notification (données) jusqu’à 10 M€ ou 2 % du CA mondial ; coopération = critère de modération RGPD, art. 83

Ce tableau est moins une synthèse qu’un avertissement : ces horloges tournent simultanément, en heures calendaires, à partir d’un point de départ que l’autorité examinera. Aucune ne s’improvise à chaud — toutes se gagnent à froid, par la matrice, les gabarits et l’exercice.

Le playbook (Méthode)

Sept disciplines résument la préparation et l’exécution. La matrice de notification par scénario — obligations, autorités, délais, canaux, gabarits, responsables — construite avant, testée en exercice. L’horodatage de la prise de connaissance : documenter quand et sur quoi l’organisation a qualifié l’incident, car c’est le point de départ de toutes les horloges. L’interlocuteur unique par autorité, avec suppléant, seul canal des échanges. Les gabarits pré-approuvés : trames de notification par régime, validées juridiquement en temps de paix — la nuit venue, on remplit, on ne rédige pas. Le registre unique des échanges, tenu au fil de l’eau. Le protocole de visite, affiché, connu, exercé — binômes désignés, brief des équipes prêt. La revue de cohérence : avant chaque communiqué public, une relecture croisée avec les déclarations faites aux autorités — une seule vérité, partout.

Cet article et le dossier conceptuel

Ce playbook applique aux autorités les concepts établis par ailleurs, cités sans redite : la transparence dont « Le coût de l’opacité » montre la nécessité devient ici une obligation datée ; le déni dont « Le coût du déni » chiffre les dégâts devient, face à une autorité, un manquement autonome — sa version la plus chère ; les délais légaux sont « La fenêtre d’or » codifiée par le droit ; la règle des deux versions interdites prolonge « Le coût de l’incohérence narrative » ; et le retournement final — l’autorité en témoin — est l’application la plus puissante du tiers crédible de « L’asymétrie de la preuve ».

FAQ : régulateurs et autorités en crise

Quelles sont les principales notifications obligatoires en cas de crise ? Selon la nature de l’incident : la CNIL sous 72 h pour une violation de données (RGPD art. 33), l’ANSSI en trois temps pour les entités NIS2 (24 h / 72 h / 1 mois), les superviseurs financiers sous environ 4 h pour un incident majeur (DORA), le dépôt de plainte sous 72 h conditionnant l’assurance cyber (LOPMI), l’inspection du travail sous 12 h pour un accident mortel — plus les régimes produits, alimentaire et environnement. D’où la nécessité d’une matrice de notification par scénario.

Quand le délai de notification commence-t-il à courir ? À la « prise de connaissance » : le moment où l’organisation acquiert un degré raisonnable de certitude que l’incident s’est produit — ni la première alerte technique, ni la fin de l’investigation forensique. Les délais courent en heures calendaires, week-ends compris. Il faut horodater cette qualification, et ne jamais la retarder artificiellement : ce n’est pas une excuse recevable.

Faut-il notifier dans le doute ? Oui, presque toujours : la notification par étapes est explicitement admise (une notification initiale incomplète, complétée ensuite), la sanction d’une notification finalement non requise est nulle, celle d’une absence de notification peut atteindre 10 M€ ou 2 % du chiffre d’affaires mondial. Et même sans notification, l’appréciation doit être documentée au registre interne.

Faut-il tout dire au régulateur ? Il faut dire loyalement tout ce que la loi impose et répondre complètement à ses demandes — mais en déclarant des faits vérifiés, en qualifiant explicitement l’incertitude, sans spéculer par écrit ni s’auto-accuser au-delà des faits établis, avec l’avocat dans la boucle dès la première heure. Et corriger proactivement toute déclaration devenue inexacte : la maintenir serait transformer une erreur en tromperie.

Comment se comporter lors d’un contrôle ou d’une inspection ? Accueillir sans obstruer (l’entrave est une infraction autonome), vérifier identité, base légale et périmètre, accompagner chaque équipe d’un binôme juriste-opérationnel, tracer et copier tout ce qui est remis, ne rien détruire ni « nettoyer », et briefer les équipes : répondre exactement sur ce qu’on sait, orienter sur ce qu’on ignore.

La coopération réduit-elle vraiment les sanctions ? Oui : le degré de coopération avec l’autorité est un critère exprès de fixation des amendes en matière de données personnelles, et la même logique traverse les autres régimes, jusqu’aux procédures de clémence. Une coopération documentée — délais tenus, proactivité, registre des échanges — pèse à la baisse ; et elle fournit au passage le meilleur élément de langage public : « nous avons notifié et coopérons pleinement ».

Conclusion : l’autorité juge la crise — et la manière

Face aux régulateurs, une organisation en crise est jugée deux fois : sur les faits, qu’elle ne peut plus changer — et sur la manière, qui lui appartient entièrement. Les faits déclenchent les horloges ; la manière décide de presque tout le reste : notification dans les délais ou manquement autonome, coopération créditée ou obstruction aggravante, déclarations cohérentes ou pièce à charge, autorité-procureur ou autorité-témoin.

La leçon pour les dirigeants tient en une inversion de calendrier : la relation avec les autorités ne se joue pas pendant la crise — elle s’y révèle. La matrice de notification, les gabarits approuvés, l’interlocuteur désigné, le protocole de visite, le registre : tout cela se construit à froid, quand aucune horloge ne tourne. Car le jour venu, entre l’organisation qui cherche l’adresse du téléservice à 3 heures du matin et celle qui déroule une procédure exercée, l’autorité verra exactement ce que chacune est : la première subit son contrôle — la seconde vient de gagner un témoin.

Vous souhaitez construire votre matrice de notification, vos gabarits réglementaires et votre protocole d’inspection — ou piloter une relation autorité en situation sensible ? Échangez avec nos experts en communication de crise et affaires réglementaires.