RGPD et Cyberattaque : La règle des 72h pour notifier la CNIL

Cyberattaque : Le compte à rebours de 72h pour notifier la CNIL

Dans le monde numérique actuel, une cyberattaque n'est plus une question de "si" mais de "quand". L'ANSSI rapporte que les incidents cyber ont augmenté de 25% en France en 2022. Et quand le pire arrive, votre réaction immédiate peut faire toute la différence. Le Règlement Général sur la Protection des Données (RGPD) impose une obligation stricte : notifier la Commission Nationale de l'Informatique et des Libertés (CNIL) dans les 72 heures suivant la découverte d'une violation de données. Ce délai est crucial et le non-respect peut entraîner de lourdes sanctions financières (jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, selon le plus élevé des deux montants). En tant que PME, il est vital de comprendre cette procédure et de s'y préparer. Cyberutik vous guide étape par étape.

Qu'est-ce qu'une violation de données personnelles selon le RGPD ?

Avant d'agir, il faut comprendre. Une violation de données personnelles est définie par l'article 4 du RGPD comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. »

• Exemples concrets :
• Un piratage de votre serveur hébergeant des bases de données clients.
• Un rançongiciel chiffrant les fichiers contenant des informations personnelles.
• La perte d'un ordinateur portable non chiffré contenant des données sensibles.
• L'envoi par erreur d'un email contenant une liste de clients à un destinataire non autorisé.

L'important est de déterminer si cette violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Si c'est le cas, la notification est obligatoire.

Étape 1 : Le réflexe des 72h – Chronologie des actions

Le délai de 72 heures commence dès que vous prenez connaissance de la violation. Pas au moment où l'attaque a eu lieu, mais au moment où vous la découvrez et en prenez conscience. Pas une minute à perdre !

Procédure pas-à-pas pour la notification CNIL :

1. Détection et Identification (Dès la découverte) :
   • Isoler la menace : Prenez des mesures immédiates pour contenir l'incident (déconnecter des systèmes, arrêter des services).
   • Documenter : Notez l'heure de détection, les systèmes affectés, le type de données concernées. Chaque détail compte pour l'enquête post-incident et la notification.
   • Évaluer la nature des données : S'agit-il d'adresses e-mail, de numéros de téléphone, de données bancaires, de données de santé ? Plus la donnée est sensible, plus le risque est élevé.
2. Évaluation de la gravité et du risque (Dans les premières heures) :
   • Impact sur les personnes : La violation est-elle susceptible d'entraîner un risque élevé pour les droits et libertés des personnes ? (Ex: usurpation d'identité, perte financière, atteinte à la réputation, discrimination). C'est le critère clé pour décider de notifier.
   • Portée : Combien de personnes sont touchées ? Quel volume de données ?
   • Nature des données : Les données sont-elles sensibles (santé, opinions politiques, etc.) ou non ?
3. Préparation de la Notification CNIL (Dès que possible après évaluation) :
   • Rendez-vous sur le site de la CNIL : La déclaration se fait en ligne via leur formulaire dédié.
   • Informations requises (Article 33 du RGPD) :
     • La nature de la violation (ex: accès non autorisé, perte de données).
     • Les catégories et le nombre approximatif de personnes concernées.
     • Les catégories et le nombre approximatif d'enregistrements de données personnelles concernés.
     • Le nom et les coordonnées du Délégué à la Protection des Données (DPO) ou d'un autre point de contact où obtenir plus d'informations.
     • Les conséquences probables de la violation.
     • Les mesures prises ou envisagées pour remédier à la violation et, le cas échéant, pour en atténuer les éventuelles conséquences négatives.
   • Conseil d'expert : Si toutes les informations ne sont pas disponibles dans les 72h, notifiez la CNIL avec ce que vous avez et indiquez que des informations complémentaires suivront. Le respect du délai est primordial.

Étape 2 : Communiquer avec les personnes concernées – Quand et comment ?

Si la violation est susceptible d'engendrer un « risque élevé » pour les droits et libertés des personnes, vous avez également l'obligation de les en informer, sans délai injustifié (Article 34 du RGPD). Cette information doit être Claire, précise, et compréhensible.

Modèle de communication client en cas de violation de données :

Voici un modèle que vous pouvez adapter :

Objet : Information importante concernant une violation de données personnelles

Cher(e) [Nom du client ou "Client" selon le cas],

Nous vous contactons aujourd'hui pour vous informer d'un incident de sécurité impliquant vos données personnelles. Le [Date de la découverte], nous avons détecté un accès non autorisé à nos systèmes / une perte de données / un incident de [décrire l'incident brièvement et clairement].

Suite à cet incident, les données suivantes vous concernant ont pu être exposées : [Listez précisément les types de données concernées, ex. : votre nom, prénom, adresse e-mail, numéro de téléphone, date de naissance]. Nous tenons à souligner que [mentionner si des données sensibles comme bancaires ou mots de passe ont été chiffrées/pas affectées, ou explication de leur gestion].

Dès la découverte de cet incident, nous avons immédiatement mis en œuvre toutes les mesures nécessaires pour y mettre fin et renforcer la sécurité de nos systèmes. Nous avons également notifié la Commission Nationale de l'Informatique et des Libertés (CNIL) conformément à nos obligations légales.

Que devez-vous faire ?

• Nous vous recommandons de rester vigilant(e) face à d'éventuelles tentatives de hameçonnage (phishing) ou d'usurpation d'identité.
• Si votre mot de passe pour notre service était le même que celui utilisé sur d'autres sites, nous vous conseillons de le modifier sur ces plateformes.
• Surveillez attentivement l'activité de vos comptes en ligne et relevés bancaires.

Soyez assuré(e) que la protection de vos données est notre priorité absolue. Nous regrettons sincèrement les désagréments que cette situation pourrait occasionner et restons à votre entière disposition pour répondre à toutes vos questions.

Vous pouvez nous contacter à l'adresse [adresse email dédiée] ou au [numéro de téléphone].

Cordialement,

L'équipe [Nom de votre entreprise]

Conseil : Préparez ce type de message à l'avance, sous forme de brouillon. Vous gagnerez un temps précieux en cas d'incident.

Étape 3 : Pièges juridiques et bonnes pratiques pour les PME

Le RGPD est un texte complexe. Voici quelques pièges à éviter et des conseils pour une meilleure conformité :

Les pièges à éviter :

• Ignorer ou minimiser l'incident : Penser qu'une petite violation n'exige pas de notification est une erreur coûteuse. La CNIL a sanctionné des entreprises pour non-notification, même pour des incidents de moindre ampleur, si le risque était avéré.
• Retarder la notification : Le délai de 72h est un délai glissant et non extensible. Un jour férié ou un week-end n'interrompt pas ce délai.
• Manquer de documentation : Ne pas pouvoir prouver les mesures prises avant, pendant et après l'incident est un facteur aggravant pour la CNIL.
• Penser qu'une petite PME n'est pas concernée : Le RGPD s'applique à toutes les entreprises traitant des données personnelles de citoyens de l'Union Européenne, quelle que soit leur taille. Plus de 60% des cyberattaques ciblent les PME, selon Allianz.
• Négliger la formation des employés : Une grande partie des violations démarre par une erreur humaine (ex: phishing réussi).

Bonnes pratiques (Prévention et Réaction) :

• Désignez un pilote RGPD : Même sans DPO obligatoire, une personne interne doit être formée et responsable de la conformité.
• Réalisez une cartographie de vos données : Où sont stockées les données sensibles ? Qui y a accès ? C'est le fondement de votre Plan de Reprise d'Activité (PRA) ou Plan de Continuité d'Activité (PCA).
• Mettez en place des procédures IR (Incident Response) : Un plan d'action clair et testé pour gérer un incident.
• Formez vos équipes : La sensibilisation régulière est votre première ligne de défense. Selon le baromètre 2023 de Cybermalveillance.gouv.fr, la formation demeure un enjeu majeur.
• Chiffrez vos données : Surtout celles stockées sur des appareils mobiles ou des infrastructures cloud.
• Souscrivez à une cyber-assurance : En cas de cyberattaque, la cyber-assurance couvre non seulement les pertes financières, mais aussi les frais de notification, de gestion de crise, d'expertise légale et de communication. Un partenaire comme Hiscox peut vous aider à naviguer dans ce contexte.

Conclusion : Anticiper pour mieux réagir

Le délai de 72 heures n'est pas une suggestion, mais une obligation ferme du RGPD. Une bonne préparation est la clé pour transformer une situation de crise en un incident géré et maîtrisé. Ne laissez pas une violation de données compromettre la réputation et la stabilité financière de votre PME. La protection de vos données et celles de vos clients est un investissement, pas une dépense.

Avez-vous une idée précise de votre niveau d'exposition aux cyber-risques ?

Pour protéger votre entreprise des menaces cyber et vous assurer une conformité RGPD irréprochable, ne tardez plus.

Demandez un devis cyber-assurance personnalisé

Testez votre exposition aux risques cyber