En bref
Une fuite de données impose la notification de la CNIL sous 72 heures. Les sanctions atteignent 20 millions d'euros ou 4 % du chiffre d'affaires mondial. Les victimes disposent de recours administratifs, civils et pénaux.
Définition juridique et cadre normatif de la violation de données
Art. 4, point 12, RGPD (Règl. UE 2016/679)
« Constitue une « violation de données à caractère personnel » toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles transmises, conservées ou traitées. »
Source : RGPD — article consolidé
Art. 226-17 C. pén.
« Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures de sécurité prescrites est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. »
Source : Code pénal — article consolidé
Notification obligatoire à la CNIL dans les 72 heures
Art. 33 RGPD (Règl. UE 2016/679)
« Le responsable de traitement notifie la violation de données à l'autorité de contrôle compétente dans les 72 heures au plus tard après en avoir pris connaissance. La notification décrit la nature de la violation et les mesures prises. »
Source : RGPD — article consolidé
Le point de départ des 72 heures est la prise de connaissance, non la confirmation technique
Le décompte du délai de 72 heures débute dès que le responsable de traitement a un degré raisonnable de certitude qu'un incident a compromis des données, et non à compter de la conclusion de l'enquête technique interne.
Besoin d'un dossier juridique ?
Générez votre dossier complet en 3 minutes — mise en demeure personnalisée, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Information des personnes concernées en cas de risque élevé
Préparer un modèle de communication de crise en amont
Rédigez et faites valider par le DPO un modèle de communication aux personnes concernées avant tout incident. Ce document prêt à l'emploi permet de respecter le délai d'information et d'éviter les approximations en situation de crise.
Régime des sanctions administratives, pénales et civiles
Art. 83 RGPD (Règl. UE 2016/679)
« Les manquements aux obligations de notification sont passibles d'amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Les violations des principes fondamentaux exposent à 20 millions d'euros ou 4 %. »
Source : RGPD — article consolidé
Violations notifiées annuellement
Nombre de notifications de violations de données personnelles reçues par la CNIL au cours de l'année 2022, en hausse constante depuis l'entrée en application du RGPD en mai 2018.
Source : CNIL — rapport annuel d'activité 2022
Droits et voies de recours des victimes
Documenter le préjudice dès la découverte de la fuite
Conservez toute preuve de l'incident et de ses conséquences : notifications reçues, relevés bancaires, captures d'écran, échanges avec l'organisme concerné. Ce dossier probatoire est indispensable pour toute action en indemnisation devant les juridictions civiles ou pénales.
Prévention et obligations de sécurité du responsable de traitement
Un simple antivirus ne constitue pas une mesure de sécurité appropriée
La CNIL a sanctionné à plusieurs reprises des organismes dont la politique de sécurité se limitait à des outils basiques. L'article 32 du RGPD exige une approche globale et proportionnée : chiffrement, gestion des accès, détection d'intrusion et tests réguliers.
Questions fréquentes
Quel est le délai légal pour notifier une fuite de données à la CNIL ?
Le responsable de traitement doit notifier la violation à la CNIL dans un délai maximal de 72 heures après en avoir pris connaissance, conformément à l'article 33 du RGPD. En cas de retard, il doit joindre à la notification les motifs justifiant le dépassement du délai.
Quelles sanctions encourt une entreprise en cas de fuite de données personnelles ?
Les sanctions administratives peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les manquements aux obligations de notification, et 20 millions d'euros ou 4 % pour les violations des principes fondamentaux. Des poursuites pénales sont également possibles, avec des peines allant jusqu'à cinq ans d'emprisonnement.
Comment une victime peut-elle obtenir réparation après une fuite de données ?
La victime peut déposer une réclamation gratuite auprès de la CNIL, saisir les juridictions civiles pour obtenir l'indemnisation de son préjudice matériel et moral sur le fondement de l'article 82 du RGPD, ou se constituer partie civile dans le cadre d'une procédure pénale.
Faut-il toujours informer les personnes concernées par une fuite de données ?
L'information individuelle n'est obligatoire que lorsque la violation engendre un risque élevé pour les droits et libertés des personnes, conformément à l'article 34 du RGPD. Si le risque est faible ou si des mesures de chiffrement efficaces protégeaient les données, le responsable de traitement en est dispensé.
Engager une procédure près de chez vous
Tribunaux judiciaires et commissaires de justice dans les principales juridictions
- Procédure à Saint Etienne
- Procédure à Le Havre
- Procédure à Toulon
- Procédure à Grenoble
- Procédure à Dijon
Votre ville n'est pas listée ? Voir toutes les juridictions (100+ villes) →
Vous êtes dans cette situation ?
Générez votre dossier complet en 3 minutes — mise en demeure, chronologie des faits, plan de relances, signée par Me Sandy Lacroix.
Générer mon dossier juridiqueÀ partir de 14,90 € · paiement sécurisé · satisfait ou remboursé 14 jours