Instagram Facebook Linkedin

Violation des données personnelles : comment réagir ?

À travers une illustration pratique, la CNIL vient récemment de rappeler les actions à mener lorsque des données personnelles ont fait l’objet d’une violation. Voici la réaction appropriée à suivre, si cela devait vous arriver…

Partagez Cet article

À travers une illustration pratique, la CNIL vient récemment de rappeler les actions à mener lorsque des données personnelles ont fait l’objet d’une violation. Voici la réaction appropriée à suivre, si cela devait vous arriver…

Violation des données personnelles : rappel de la marche à suivre

Pour permettre à tous les professionnels de comprendre et de prévenir les risques d’accès à des données personnelles par des tiers, la CNIL a publié un exemple pratique à travers un vol de supports et détournements de services dans le cadre scolaire.

Au-delà de l’illustration pratique, voici la démarche à suivre pour tout entrepreneur victime d’une violation de données.

  • Étape 1 : le signalement 

La violation des données doit être remontée au délégué à la protection des données, le cas échéant, qui doit être notifiée à la CNIL dans les 72 heures qui suivent sa découverte. 

Une plainte auprès des forces de l’ordre est également à effectuer.

  • Étape 2 : la documentation 

Les informations collectées à propos de la violation doivent être documentées, notamment à l’aide des prestataires informatiques. 

C’est à cette étape que la violation des données auprès de la CNIL est formellement réalisée. 

Cette notification est faite grâce aux procédures internes de gestion des incidents.

  • Étape 3 : rétablissement des données

Il faut rétablir les données si vous disposez de sauvegarde ou d’une journalisation des actions effectuées sur l’espace victime d’une cyberattaque.

  • Étape 4 : informer les personnes concernées

Dans certaines situations, il va falloir communiquer auprès des personnes concernées que leurs données personnelles font l’objet d’une violation. 

Pour cela, il faut rédiger un message rappelant des informations obligatoires : les circonstances de l’incident, la nature des données concernées, le point de contact pour avoir des informations supplémentaires, les mesures déjà prises et envisagées et les conséquences possibles pour les personnes concernées.

  • Étape 5 : sensibilisation des équipes

Il faut réunir les collaborateurs pour leur faire part de la situation et les sensibiliser à la protection des données.

  • Étape 6 : finalisation de la notification à la CNIL

Le cas échéant, il faut faire une notification complémentaire auprès de la CNIL pour lui transmettre les nouveaux éléments : la mise à jour du nombre de personnes concernées par la violation, le nombre de personnes informées et un modèle non nominatif du message adressé à ces dernières.

  • Par la suite

Une fois ces étapes achevées, il va falloir mettre en place des actions de bonnes pratiques (si ce n’est pas déjà fait) pour éviter que la situation se reproduise :

  • sensibiliser régulièrement vos clients et vos collaborateurs aux bonnes pratiques ;
  • mettre en place des procédures de gestion des incidents ;
  • s’assurer qu’une journalisation fine des accès et des actions est mise en place sur vos applications ;
  • proposer une authentification multi-facteur ;
  • etc.

donneespersonnellesreagir
La petite histoire du jour

C’est l’histoire d’un distributeur privé de distribution…

C’est l’histoire d’un distributeur privé de distribution… Une société conclut avec une autre entreprise un contrat de distribution et une licence d’exploitation de sa marque. Quelques temps après, la société vend son fonds de commerce. Mais l’acheteur du fonds refuse d’exécuter les contrats avec le distributeur, qui réclame donc un dédommagement… Selon le distributeur, parce que le fonds de commerce inclut les marques, l’acheteur a récupéré les licences et les contrats de distribution qu’il doit donc exécuter. Ce que conteste l’acheteur qui rappelle qu’un contrat de distribution n’est transmis avec le fonds de commerce que si la vente le prévoit, ce qui n’est pas le cas ici… De plus, parce que la licence était indivisible avec le contrat de distribution, elle n’a pas, non plus, été transmise à l’acheteur… Ce que confirme le juge : si les marques sont, en effet, transmises avec le fonds de commerce, cela n’est pas le cas du contrat de distribution et de la licence indivisible, sauf clause contraire. L’acheteur ne doit donc rien au distributeur… Source : Arrêt de la Cour de cassation, chambre commerciale, du 18 février 2026, no 23-23681 La petite histoire du jour – © Copyright WebLex

avril 3, 2026
Actualités

Influenceurs : des obligations d’informations à respecter

Pour encadrer l’activité d’influence commerciale, qui s’est fortement et rapidement développée ces dernières années, les pouvoirs publics ont instauré des obligations à la charge des influenceurs, notamment en matière d’information des consommateurs. Des obligations qui viennent d’être détaillées, s’agissant spécialement des promotions faites à propos des actions de formation professionnelle financées par des fonds publics…

avril 3, 2026

En savoir plus sur Alter Conseil

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture