En 2025, la CNIL a recensé 6 167 violations de données personnelles notifiées, soit 9,5 % de plus qu’en 2024. Un incident sur deux déclaré relève d’un piratage. La CNIL a prononcé 83 sanctions pour un montant total de 487 millions d’euros. Dès qu’une faille informatique touche des données personnelles, vous avez 72 heures pour notifier la CNIL.
En plus de l’augmentation du nombre de violations de données, la CNIL précise qu’un incident sur deux déclaré relève d’un piratage, selon son rapport annuel 2025. Pourtant, beaucoup de dirigeants de PME traitent encore une cyberattaque comme un incident purement technique, sans déclencher simultanément leurs obligations au titre du RGPD. L’article 33 du RGPD vous impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance d’une violation de données personnelles, quelle que soit la taille de votre entreprise, quelle que soit la cause de l’incident.
Offre partenaire
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Offre partenaire
Une faille informatique ne déclenche pas automatiquement une obligation de notification à la CNIL
L’article 4 du RGPD définit la violation comme toute destruction, perte, altération ou divulgation non autorisée de données personnelles, accidentelle ou malveillante. Tant qu’une faille n’expose pas de données à caractère personnel, vous n’avez rien à notifier.
Prenez un ransomware qui chiffre vos machines de production sans exfiltrer aucun fichier client. Techniquement, c’est un incident grave. Juridiquement, vous n'avez rien à déclarer à la CNIL. Mais dès qu'une intrusion touche une messagerie professionnelle, une base clients ou un dossier salarié, vous entrez dans le périmètre du RGPD.
En pratique, vous aurez du mal à établir rapidement cette distinction. Les modes opératoires les plus fréquents dans les incidents notifiés, usurpation d’identifiants et compromission d’un sous-traitant, touchent presque systématiquement des données personnelles, même quand l’objectif initial de l’attaquant était financier.
Par ailleurs, ce n’est pas parce que vous venez de subir une cyberattaque que vous tombez automatiquement sous le coup du RGPD. En revanche, une clé USB perdue sans chiffrement ou un email adressé au mauvais destinataire avec une liste clients en pièce jointe exposent des données personnelles. Dans ce cas, vous devez notifier la CNIL pour éviter une infraction au règlement.
Vous avez 72 heures pour signaler une violation à la CNIL dès l’identification de l’incident
Quoi que vous fassiez, le compteur tourne. L’article 33 du RGPD fixe le point de départ du délai au moment où vous avez acquis un degré de certitude raisonnable qu’une violation a eu lieu. Si vous découvrez le mercredi à 14h qu’un accès non autorisé à vos fichiers clients s’est produit, vous avez jusqu’au samedi 14h pour notifier.
La CNIL accepte une notification initiale incomplète, complétée ultérieurement. Une déclaration partielle vaut mieux qu'une absence de déclaration, car un retard non justifié constitue un manquement distinct que l’autorité instruit indépendamment de la violation elle-même.
Vous devez y faire figurer la nature de la violation, les catégories de données touchées, le nombre approximatif de personnes concernées, les coordonnées d’un point de contact et les mesures déjà prises.
Si votre hébergeur ou votre éditeur de logiciel antivirus subit une attaque qui touche vos données clients, c’est vous qui notifiez la CNIL. Le RGPD impose au sous-traitant de vous alerter, mais vous gardez l’obligation de notifier l’autorité. Vérifiez que vos contrats prestataires prévoient explicitement un délai de remontée d’information, souvent 24 heures, pour conserver une marge sur les 72 heures réglementaires.
Une cyberattaque subie ne vous dispense pas automatiquement d’une sanction CNIL
Lors d’un contrôle après incident, la CNIL évalue la proportionnalité des mesures de sécurité que vous aviez mises en place avant l’attaque, puis la qualité de votre réaction après.L’an passé, la CNIL a prononcé 83 sanctions pour un montant total de 487 millions d’euros. Pour les PME, les amendes prononcées dans le cadre de la procédure simplifiée plafonnent à 20 000 euros par manquement et ne font pas l’objet d’une publication. Vous ne saurez donc pas si un concurrent a déjà écopé d'une sanction pour les mêmes lacunes que les vôtres.
Les articles 226-17 et 226-17-1 du Code pénal disposent qu’un manquement grave aux obligations de sécurité ou de notification expose une personne physique à cinq ans d’emprisonnement et 300 000 euros d’amende. La personnalité morale de votre société ne vous protège pas personnellement de façon automatique.
Avant tout incident, préparez votre registre, vos contrats prestataires et la cartographie de vos données
Faites un état des lieux de vos données
Cartographiez d’abord précisément les données personnelles que votre entreprise stocke, fichiers clients, données RH, carnets d’adresses et sauvegardes, ainsi que leur emplacement exact. Sans ce recensement, vous ne pouvez pas évaluer en 72 heures quelles données ont été touchées.
Ouvrez ensuite un registre interne des violations
L’article 33(5) du RGPD l’exige pour tout incident, qu’il soit ou non notifié à la CNIL. La CNIL recommande de conserver ces éléments pendant au moins cinq ans, durée correspondant au délai de prescription des sanctions administratives.
Relisez enfin vos contrats prestataires
Un contrat de sous-traitance doit préciser le délai dans lequel votre hébergeur ou votre éditeur de solution de cybersécurité vous alerte en cas de violation, les informations transmises et ses obligations de coopération pendant la gestion de la crise. Sans cette clause, vous dépendez de sa bonne volonté, mais n’oubliez pas : le temps ne se met pas en pause, la CNIL n’attend pas.
