15 janvier 2019

Comment évaluer le niveau de risque en cas de violation de données personnelles ?

Quelles obligations du responsable du traitement en cas de violation de données personnelles ? En cas de violation de données personnelles, le responsable du traitement est soumis à plusieurs obligations (articles 33 et 34 du RGPD) : Réagir de manière appropriée en mettant fin à la violation ou en atténuant ses conséquences Documenter la […]

CNILdata privacyprotection des donnéesprotection des données personnellesRGPD
Logo

1- Quelles obligations du responsable du traitement en cas de violation de données personnelles ?

En cas de violation de données personnelles, le responsable du traitement est soumis à plusieurs obligations (articles 33 et 34 du RGPD) :

  • Réagir de manière appropriée en mettant fin à la violation ou en atténuant ses conséquences
  • Documenter la violation
  • Notifier la violation à la Cnil en cas de risque pour les personnes
  • Informer les personnes concernées en cas de risque élevé pour ces dernières
  • Tirer les conséquences de la violation

2- Quelle gradation des actions en fonction du niveau de risque pour les personnes concernées ?

Pour connaitre l’étendue de ses obligations, le responsable du traitement doit déterminer le niveau de risque que la violation fait encourir aux personnes concernées. Plus le niveau de risque sera élevé, plus le nombre d’actions à mettre en œuvre sera important.

  • Une violation ne faisant pas courir de risque aux personnes concernées devra simplement être documentée en interne ;
  • Une violation faisant courir un risque aux personnes doit être documentée en interne et notifiée à la Cnil ;
  • Une violation faisant courir un risque élevé aux personnes doit être documentée, notifiée à la Cnil et faire l’objet d’une information auprès des personnes concernées.

3- Comment évaluer le niveau de risque de la violation pour les personnes concernées ?

L’appréciation du niveau de risque engendré par la violation pour les personnes concernées doit être réalisée au cas par cas.

Elle dépendra des critères suivants :

  • Le type de violation :
    • Mise en cause de l’intégrité des données
    • Rupture de la confidentialité
    • Perte de la disponibilité des données
  • La nature de données affectées, notamment :
    • Données sensibles
    • Données relatives aux infractions et condamnations
    • Données à caractère hautement personnel
  • Le volume de données ou de personnes concernées
  • La facilité d’identifier les personnes concernées grâce aux données faisant l’objet d’une violation
  • Les conséquences possibles pour ces personnes (gravité et vraisemblance)
  • Les catégories de personnes concernées, notamment :
    • Personnes vulnérables

La Cnil ajoute les caractéristiques du responsable du traitement. Pourtant, en ce qui concerne l’appréciation du risque pour les personnes concernées par la violation, la nature de l’organisme ne semble pas avoir d’incidence prédominante.

4- Quel outil pour évaluer rapidement le niveau de risque de la violation ?

Lorsqu’une violation de données comporte un risque pour les personnes et nécessite sa notification à la Cnil, le responsable dispose d’un délai de 72h à compter de sa prise de connaissance pour réaliser cette notification (Téléservice de la CNIL).

Le G29 précise que le moment de la « prise de connaissance » est celui où le responsable de traitement est « raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel ».

Le responsable du traitement a donc tout intérêt à définir, à l’avance, une matrice de qualification des risques en fonction des traitements qu’il met en œuvre. Cette matrice peut proposer une notation des différents critères entrant en ligne de compte pour l’évaluation du niveau de risque. Elle peut être construite sur la base du modèle suivant :

  • Description de la violation élément par élément
  • Notation du risque sur la base des éléments décrits

Des exemples d’impact sur les personnes ou d’évaluation des niveaux de risque sont présentés dans les Guides de la Cnil relatifs à l’analyse d’impact.

5 – Les résultats de l’évaluation

  • Un résultat combiné supérieur ou égal à 6 pourra être considéré comme un risque élevé pour les personnes :

    Dans ces conditions, la violation fera l’objet d’une communication auprès des personnes concernées, directement ou, le cas échéant, par voie d’information publique. Elle devra également être notifiée à la Cnil et faire l’objet d’une documentation interne.
  • Un résultat égal à 4 ou 5 pourra être considéré comme un risque réel mais limité pour les personnes : dans ce cas, une notification à la Cnil sera nécessaire ainsi qu’une documentation interne.
  • Un résultat inférieur à 4 pourra être considéré comme négligeable : La violation sera documentée en interne mais ne fera pas l’objet de notification à la Cnil, ni d’information des personnes concernée.

6 – Six mois après l’entrée en application du RGPD

1 000 notifications de violations de données personnelles reçues par la Cnil dans les six mois suivant l’entrée en application du RGPD, soit environ sept par jour.

Pour en savoir plus :

Blog

Nos actualités cybersécurité

Cybersécurité

Sécuriser chaque agent IA : le défi cybersécurité de 2026

L’IA générative s’impose désormais dans les usages professionnels les plus courants. Entre les résumés d’e-mails, l’automatisation de tâches complexes et l’assistance à la décision stratégique, chaque agent IA cybersécurité devient un collaborateur numérique à part entière. Cependant, à mesure que ces outils se diffusent à une vitesse inédite dans nos infrastructures, nous constatons que les entreprises peinent à garder une vision claire de ce qui est réellement déployé dans leurs systèmes. Le risque n’est plus seulement théorique : il est actif, souvent invisible, et logé au cœur même de nos processus métier automatisés.

13 février 2026

Privacy

Sanctions RGPD : ce que révèle le milliard d’euros d’amendes de 2025

330 amendes. 1,15 milliard d’euros. C’est le bilan RGPD de l’année 2025, selon les données consolidées par Surfshark. Derrière ce chiffre spectaculaire se cache une réalité plus complexe : pour certains acteurs, ces sanctions restent un simple coût d’exploitation. Pour d’autres, elles menacent l’existence même de l’entreprise.

5 février 2026

Privacy

Mise en conformité RGPD en 2026 : exigences de preuve et convergence réglementaire

Le RGPD a huit ans. Les grandes lignes n’ont pas changé, mais la manière dont les autorités vérifient leur application, elle, a considérablement évolué. Les déclarations de bonne intention ne suffisent plus. La CNIL et ses homologues européens veulent des preuves : des logs, des rapports d’audit, des attestations techniques. Ajoutez à cela l’entrée en application de l’AI Act et du Data Act, et vous obtenez un environnement réglementaire où la conformité RGPD ne peut plus se gérer en silo. Cet article fait le point sur ce qui a changé, ce qui se durcit et ce que ça implique concrètement pour les RSSI, DPO et directions juridiques.

4 février 2026
Découvrez tous les articles

informations

Contactez-nous

Une question ou un projet en tête ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

*Informations obligatoires

Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

Index