Piratage en PME : le rôle de la CNIL et vos obligations

Le cadre légal en 30 secondes

Le RGPD (règlement UE 2016/679) impose deux obligations distinctes en cas de violation de données personnelles :

• Article 33 : notification de la violation à l'autorité de contrôle (la CNIL en France) dans les meilleurs délais et au plus tard 72 heures après en avoir pris connaissance, sauf si la violation n'engendre pas de risque pour les droits et libertés des personnes.
• Article 34 : communication de la violation aux personnes concernées dans les meilleurs délais lorsque la violation est susceptible d'engendrer un risque élevé.

Source : texte officiel du RGPD, articles 33 et 34, complété par les lignes directrices CNIL et CEPD (Comité européen de la protection des données).

Quand le compteur 72 heures démarre

C'est un point souvent mal compris. Les 72 heures ne courent pas à partir de l'incident lui-même, mais à partir du moment où le responsable du traitement (vous) en prend connaissance. Concrètement, c'est lorsque vous avez un degré raisonnable de certitude qu'une violation s'est produite — pas au premier soupçon, pas à la fin de toutes les investigations.

Si vous découvrez le 10 mai à 16 h 30 qu'un poste a été chiffré la veille avec exfiltration de données, votre fenêtre se termine le 13 mai à 16 h 30. Si vous découvrez plus tard que d'autres systèmes étaient touchés, vous notifiez d'abord ce que vous savez, puis complétez (la notification peut être complétée a posteriori, c'est explicitement prévu).

Que doit contenir la notification CNIL

Le portail de notification CNIL (notifications.cnil.fr) demande :

• La nature de la violation (confidentialité, intégrité, disponibilité), les catégories et nombre approximatif de personnes concernées et de fichiers touchés.
• Le nom et coordonnées du DPO ou du responsable de traitement.
• Les conséquences probables pour les personnes concernées.
• Les mesures déjà prises ou envisagées pour traiter la violation et atténuer ses effets.

Si certaines informations ne sont pas encore disponibles à 72 heures, c'est écrit explicitement dans le RGPD : vous notifiez ce que vous avez, et complétez ensuite. Ne pas notifier dans les 72 h faute d'avoir tous les détails est une erreur classique et coûteuse.

Quand faut-il prévenir les personnes concernées

L'article 34 impose la communication aux personnes uniquement si la violation est susceptible d'engendrer un risque élevé. Ce critère est apprécié au cas par cas, mais quelques exemples typiques :

• Vol de données bancaires non chiffrées d'une base clients.
• Vol d'identifiants d'accès à des comptes en ligne sensibles.
• Vol de données de santé.
• Vol de données d'identification permettant l'usurpation d'identité.

À l'inverse, si les données étaient chiffrées correctement (clé non compromise), la communication aux personnes peut ne pas être obligatoire — c'est l'un des bénéfices concrets du chiffrement au repos.

Sanctions possibles

Le RGPD prévoit des sanctions financières graduées. Pour un défaut de notification ou un manquement à la sécurité, jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu (article 83.4 du RGPD). Pour les manquements les plus graves (principes du traitement, consentement), le plafond passe à 20 millions ou 4 %.

Dans la pratique, la CNIL publie régulièrement des décisions sanctionnant des PME et grandes entreprises. Pour des montants exacts, consulter le registre public des sanctions sur cnil.fr/fr/decisions-sanctions. Les sanctions PME se chiffrent typiquement de quelques milliers à quelques dizaines de milliers d'euros, mais la perte de confiance et la communication négative coûtent souvent plus cher.

La procédure pratique en 5 étapes

Heure 0 — Isoler, ne pas éteindre

Coupez le réseau interne (débrancher les câbles ou désactiver les liens), déconnectez physiquement vos sauvegardes hors ligne. Ne coupez pas l'alimentation : la mémoire vive contient des éléments utiles à l'analyse. Voir aussi notre article Prévention du ransomware en PME.

Heure 0-2 — Mobiliser

Appelez dans cet ordre : votre prestataire IT, votre assureur cyber (s'il existe), votre CSIRT régional ou Cybermalveillance.gouv.fr. Désignez un porte-parole interne unique, idéalement le dirigeant.

Heure 2-24 — Qualifier

Déterminez le périmètre : quels systèmes, quelles données personnelles, combien de personnes concernées approximativement. Documentez tout au fur et à mesure (un document Word partagé suffit, l'essentiel est de tracer les décisions et les horodatages).

Heure 24-72 — Notifier la CNIL

Si données personnelles concernées, connectez-vous à notifications.cnil.fr et remplissez le formulaire en ligne. Soyez factuel et conservatoire : vous compléterez si nécessaire.

Au-delà — Communication, restauration

Si risque élevé : communication individuelle aux personnes concernées (email type, recommandation de changer leurs mots de passe, surveillance de leur banque, etc.). Reconstruction des systèmes à partir des sauvegardes saines, durcissement, retour d'expérience écrit.

À retenir

Ce que Scryptoura fait pour vous

Le Diagnostic Découverte inclut systématiquement la vérification de votre procédure de réponse à incident : existe-t-elle, est-elle écrite, qui sait l'appliquer, a-t-elle été testée. Notre offre Conformité & Réglementation vous accompagne pour produire et tester cette procédure.