Quand dois-je signaler une violation de données ?

Vous devez signaler une violation à l'autorité de contrôle si elle est susceptible de présenter un risque pour les droits et libertés des personnes concernées.

Et si je ne respecte pas le délai de 72 heures ?

Signalez-la quand même dès que possible et expliquez pourquoi la notification a été retardée. Une notification tardive avec explication est toujours meilleure qu'aucune notification.

Dois-je aussi informer les personnes concernées ?

Seulement si la violation présente un risque élevé pour leurs droits et libertés. Par exemple, des données financières, des dossiers médicaux ou des identifiants de connexion divulgués.

Où signaler une violation de données ?

En Belgique à l'APD via leur formulaire en ligne. En France à la CNIL via leur formulaire en ligne.

Notification de Violation de Données - Modèle RGPD Gratuit

Une violation de données doit être signalée à l'autorité de contrôle dans les 72 heures. Utilisez ce modèle pour signaler rapidement et correctement.

Quand devez-vous signaler une violation de données ?

Une violation de données est toute atteinte à la sécurité entraînant la destruction, la perte, l’altération, la divulgation non autorisée ou l’accès non autorisé à des données personnelles. Exemples :

Un employé envoie un fichier avec des données clients à la mauvaise adresse e-mail
Votre ordinateur portable avec des dossiers du personnel non chiffrés est volé
Un pirate accède à votre système CRM
Une clé USB avec des données clients est égarée
Une attaque ransomware chiffre votre base de données

Toute violation ne doit pas être signalée. Vous ne signalez à l’autorité de contrôle que si la violation est susceptible de présenter un risque pour les droits des personnes concernées. En cas de doute, signalez.

Étape 1 : Notification à l’autorité de contrôle (dans les 72 heures)

Modèle : notification de violation à l'autorité

NOTIFICATION DE VIOLATION DE DONNÉES

Date de découverte : [date et heure]
Date de l'incident (si différente) : [date et heure, ou "inconnue"]

1. DESCRIPTION DE LA VIOLATION
[Décrivez ce qui s'est passé]

2. CATÉGORIES DE PERSONNES CONCERNÉES ET NOMBRE ESTIMÉ
- Catégories : [par ex. clients, employés, fournisseurs]
- Nombre estimé de personnes concernées : [nombre]
- Nombre estimé d'enregistrements de données personnelles : [nombre]

3. CATÉGORIES DE DONNÉES PERSONNELLES
[par ex. noms, adresses e-mail, numéros de téléphone, données financières]

4. CONSÉQUENCES PROBABLES
[Décrivez les conséquences possibles pour les personnes concernées]

5. MESURES PRISES
[Décrivez les mesures prises pour remédier à la violation et limiter ses conséquences]

6. COORDONNÉES
Nom de l'organisation : [nom]
Personne de contact : [nom et fonction]
Téléphone : [numéro]
E-mail : [adresse]

Étape 2 : Notification aux personnes concernées (si risque élevé)

Modèle : notification aux personnes concernées

Objet : Notification de violation de données - [nom de l'organisation]

Bonjour [nom],

Nous vous écrivons pour vous informer d'un incident de sécurité concernant vos données personnelles.

Que s'est-il passé ?
[Brève description]

Quelles données sont concernées ?
[Liste des données concernées]

Qu'avons-nous fait ?
[Mesures prises]

Que pouvez-vous faire ?
- Changez votre mot de passe si vous utilisez le même pour d'autres services
- Soyez vigilant face aux e-mails ou appels suspects mentionnant vos données personnelles
- Contactez-nous si vous remarquez quelque chose de suspect

Nous nous excusons pour le désagrément. Nous prenons la protection de vos données au sérieux.

Questions ? Contactez [personne de contact] à [e-mail] ou [téléphone].

Cordialement,
[nom de l'organisation]

Étape 3 : Documentez dans votre registre

Chaque violation doit être enregistrée dans un registre, même si vous décidez de ne pas la signaler à l’autorité de contrôle.

Où signaler

Pays	Autorité	Méthode
Belgique	APD	Formulaire en ligne sur gegevensbeschermingsautoriteit.be
France	CNIL	Formulaire en ligne sur cnil.fr
Pays-Bas	AP	Bureau de signalement sur autoriteitpersoonsgegevens.nl

auto_awesome Automatisez votre dossier RGPD

GDPRWise scanne votre site web, génère votre registre des traitements et votre politique de confidentialité. Y compris les procédures de violation de données.

Lancez votre scan gratuit