Notification de breche : procedures et delais

Quand et comment notifier une breche

La notification de breche est l’une des obligations les plus contraignantes du paysage reglementaire europeen. Les delais sont courts, les consequences d’une notification tardive sont significatives, et les exigences varient selon le cadre applicable. Une organisation dans les secteurs financiers et soumise au RGPD peut etre soumise simultanement a trois obligations de notification avec des delais differents.

Preparer les procedures de notification AVANT un incident est indispensable : quand une breche survient, la pression operationnelle est intense, l’information est incomplete, et chaque heure compte. Sans procedure predefinie, les organisations perdent un temps precieux a determiner quoi faire pendant que les delais s’ecoulent.

Comparaison des delais

ReglementAutoriteDelaiPersonnes concernees
RGPDCNIL72 heures”Sans delai” si risque eleve
NIS2ANSSI24h (alerte) + 72h + 1 moisNon requis
DORAAutorite financiere4 heuresSelon l’impact

Note importante : ces delais sont calcules depuis la prise de connaissance de la breche, pas depuis sa survenance effective. La question de “quand avons-nous pris connaissance” est donc critique et doit etre documentee precisement dans le registre des incidents.

Procedure RGPD (72 heures)

  1. Detection et qualification : determiner s’il s’agit d’une violation de donnees personnelles
  2. Evaluation du risque : le risque pour les personnes est-il faible, moyen ou eleve ?
  3. Notification a la CNIL : via le teleservice en ligne, sous 72 heures apres la prise de connaissance
  4. Notification aux personnes : si risque eleve, dans les meilleurs delais
  5. Documentation : consigner l’incident dans le registre des violations

Qualification de la violation : toutes les breches de donnees personnelles ne doivent pas necessairement etre notifiees a la CNIL. La notification est requise sauf si la violation “n’est pas susceptible d’engendrer un risque pour les droits et libertes des personnes physiques.” En pratique, tout doute doit conduire a notifier : le cout d’une notification non necessaire est negligeable compare au risque d’une non-notification.

Notification aux personnes : elle est obligatoire uniquement en cas de risque eleve pour les personnes (usurpation d’identite probable, risque de violence physique, discrimination, prejudice financier significatif). Un faible risque ne declenche pas cette obligation, mais la bonne pratique est d’informer les personnes affectees.

Ce que doit contenir la notification

  • Nature de la violation (confidentialite, integrite, disponibilite)
  • Categories et nombre approximatif de personnes concernees
  • Consequences probables
  • Mesures prises ou envisagees pour y remedier
  • Coordonnees du DPO ou point de contact

Information incomplete : il est possible (et meme frequent) de notifier la CNIL avec des informations incompletes dans les 72 heures, puis de completer la notification progressivement. Il ne faut pas attendre d’avoir l’analyse complete pour notifier ; une notification partielle dans les delais vaut mieux qu’une notification complete hors delais.

Procedure NIS2

La procedure NIS2 est plus structuree et sequentielle :

Alerte precoce (24 heures) :

  • Notifier l’ANSSI (ou le CSIRT national)
  • Information tres preliminaire : l’incident a eu lieu, nature generale, mesures d’urgence
  • Pas besoin d’analyse complete

Notification d’incident (72 heures) :

  • Evaluation initiale de l’incident
  • Gravite et impact
  • Indicateurs de compromission (si disponibles)
  • Mise a jour des mesures prises

Rapport final (1 mois) :

  • Description complete de l’incident
  • Cause profonde identifiee
  • Mesures correctives implementees
  • Lecons apprises

Double notification RGPD et NIS2 : un incident peut declencher simultanement les obligations NIS2 et RGPD. Les autorites ont mis en place des mecanismes pour eviter la duplication, mais les organisations doivent s’assurer que les deux procedures sont suivies independamment.

Procedure DORA (secteur financier)

DORA impose le delai le plus contraignant : 4 heures pour la notification initiale en cas d’incident majeur. Les criteres de classification “incident majeur” sont definis par les autorites de surveillance (BCE, EBA, EIOPA, ESMA selon le type d’entite).

Classification DORA :

  • Incident majeur : impact significatif sur les operations, clients, ou systeme financier
  • Cybermenace significative : menace detectee mais pas encore materalisee en incident

Les entites DORA doivent maintenir un registre des incidents qui documente tous les incidents, meme ceux non classes comme majeurs.

Erreurs courantes

  • Attendre d’avoir toutes les informations : notifiez dans les delais meme si l’enquete est en cours (complement possible)
  • Sous-estimer le nombre de personnes : donnez une estimation, pas un chiffre exact
  • Ne pas documenter : meme les incidents non notifies doivent etre consignes au registre
  • Oublier la communication interne : informez votre direction et votre DPO immediatement
  • Confondre “violation” et “incident” : un acces non autorise sans exfiltration peut quand meme etre une violation RGPD si des donnees personnelles etaient accessibles
  • Notifier trop tard apres la detection : si une enquete interne dure deux semaines avant la notification, la CNIL peut considerer que la prise de connaissance a eu lieu au debut de l’enquete

Preparer les procedures en avance

Checklist de preparation :

  • Identifier les membres de l’equipe de gestion de crise et leurs suppleants
  • Preparer des templates de notification pour chaque autorite (CNIL, ANSSI)
  • Tester le teleservice CNIL avant un incident reel
  • Documenter le processus de qualification (arbre de decision : est-ce une violation RGPD ?)
  • Predefinir les seuils de declenchement de la notification aux personnes concernees
  • Prevoir les contacts externes : juriste specialise, expert forensique, assureur cyber

Exercices de simulation : un tabletop exercise incluant un scenario de breche avec notification permettra de tester la procedure, d’identifier les lacunes et de former les participants. La CNIL et l’ANSSI publient des scenarios de simulation utilisables comme base.

Conservation des preuves : documenter precisement les actions prises et leur horodatage, les decisions et leur justification, les communications avec les autorites. Ces documents seront necessaires lors d’une enquete de l’autorite de controle et doivent etre conserves au minimum 3 ans.

Publicité