Cybersecurite TPE
Signaler un incident cyber a la CNIL : la procedure pour TPE
Comment notifier la CNIL en cas de violation de donnees personnelles. Delai de 72h, contenu de la notification, procedure.
Si tu subis une violation de donnees personnelles (vol de base clients, piratage de compte, ransomware avec exfiltration), tu as 72 heures pour notifier la CNIL si l'incident presente un risque pour les personnes concernees.
Quand notifier
Tu DOIS notifier la CNIL si :
- des donnees personnelles ont ete compromises (acces non autorise, vol, perte, destruction) ;
- ET l'incident presente un risque pour les droits et libertes des personnes (vol d'identite, discrimination, perte financiere).
Tu n'as PAS besoin de notifier si :
- aucune donnee personnelle n'est concernee (panne technique sans fuite) ;
- les donnees etaient chiffrees et la cle n'a pas ete compromise ;
- le risque pour les personnes est negligeable.
Le delai
72 heures apres avoir pris connaissance de l'incident. Pas 72h apres l'incident lui-meme — 72h apres que tu l'as decouvert.
Si tu ne peux pas tout notifier en 72h, tu peux faire une notification initiale partielle, puis completer dans les jours qui suivent.
La procedure
1. Sur le site de la CNIL
Va sur notifications.cnil.fr et remplis le formulaire en ligne. C'est la methode officielle.
2. Les informations a fournir
- Nature de la violation (confidentialite, integrite, disponibilite).
- Categories et nombre de personnes concernees.
- Categories et nombre de donnees concernees.
- Consequences probables.
- Mesures prises pour remedier et limiter les effets.
- Coordonnees du responsable du dossier.
3. Notifier les personnes concernees
Si le risque est ELEVE pour les personnes (ex : vol de numeros de carte bancaire, de donnees de sante), tu dois aussi notifier directement les personnes concernees.
Le message doit etre clair :
- ce qui s'est passe ;
- quelles donnees sont concernees ;
- ce que tu fais pour remedier ;
- ce que la personne peut faire (changer ses mots de passe, surveiller ses comptes).
Modele de notification interne
Prepare ce modele AVANT l'incident :
NOTIFICATION INCIDENT — [NOM DE L'ENTREPRISE]
Date de decouverte : [date]
Date estimee de l'incident : [date]
Nature : [acces non autorise / ransomware / perte / vol / autre]
Donnees concernees : [types]
Nombre de personnes concernees : [nombre ou estimation]
Mesures prises : [liste]
Notification CNIL : [oui/non, date]
Notification personnes : [oui/non, date]Les erreurs
- Ne pas notifier parce que "c'est une petite TPE". La taille ne change pas l'obligation.
- Attendre d'avoir tous les details pour notifier. Notifie d'abord, complete ensuite.
- Minimiser l'incident dans la notification. La CNIL comprend les incidents — elle sanctionne les dissimulations.
- Oublier de documenter l'incident meme si tu ne notifies pas la CNIL (tu dois garder un registre des violations).
CTA
Prepare-toi avant l'incident avec la checklist cybersecurite TPE et le plan de continuite d'activite.
Documentation operationnelle. Ne constitue pas un audit cyber ni un conseil personnalise. Verifie les sources officielles ANSSI/Cybermalveillance/CNIL selon ton contexte.