BRiC Breach Risk Incident Companion · by Triads / Brightworks
Connexion…
⏱ Simulation complète · ~3 minutes

Violation de données ?
Connaissez vos obligations en 3 minutes.

BRiC analyse votre incident en temps réel, calcule votre niveau de gravité ENISA et identifie automatiquement vos obligations légales — RGPD, DORA, NIS2, eIDAS2 et AI Act — avec les délais à respecter.

Qu'est-ce qu'une violation de données ?
Une violation de données à caractère personnel désigne toute violation de la sécurité entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès non autorisé à des données personnelles transmises, conservées ou traitées. Elle peut être accidentelle (mauvaise configuration, erreur humaine) ou malveillante (cyberattaque, exfiltration, ransomware).

Dès lors qu'un tel événement est susceptible d'engendrer un risque pour les droits et libertés des personnes, le responsable de traitement est tenu de le notifier à la CNIL dans un délai de 72 heures après en avoir pris connaissance — et ce n'est souvent que la première obligation parmi d'autres.
— RGPD art. 4 §12 et art. 33
1 sur 2
Notifications CNIL envoyées
hors délai légal de 72h
5 629
Violations notifiées à la CNIL
en 2024 · +20 % en un an
113 j
Délai moyen avant
constatation d'un incident
Aucune inscription requise · Résultat immédiat · SIREN suffit pour démarrer
Sources : CNIL — Bilan 5 ans RGPD (2023) · CNIL — Rapport annuel 2024

5 régimes réglementaires couverts

BRiC identifie en une seule simulation quels textes s'appliquent à votre incident et dans quels délais vous devez agir.

🇪🇺
RGPD
Toute violation impliquant des données à caractère personnel de personnes physiques dans l'UE. S'applique à 95 % des incidents.
72h → CNIL
🏦
DORA
Incidents liés aux TIC dans le secteur financier — banques, assurances, prestataires de paiement, gestionnaires d'actifs.
4h alerte initiale
🏗
NIS 2
Entités essentielles et importantes opérant dans les secteurs critiques : énergie, eau, transport, santé, numérique.
24h alerte précoce
🔏
eIDAS 2
Prestataires de services de confiance qualifiés — certificats, signatures électroniques, horodatage, identité numérique.
24h → ANSSI
🤖
AI Act
Incidents graves impliquant des systèmes d'IA à haut risque — santé, infrastructure, éducation, sécurité des personnes.
15j ouvrés · 2j si grave
Pourquoi plusieurs régimes peuvent s'appliquer simultanément ?
Un même incident peut déclencher plusieurs obligations en parallèle. Exemple : une banque victime d'une fuite de données clients doit notifier la CNIL sous 72h (RGPD), transmettre une alerte à l'ACPR sous 4h (DORA) et, si elle opère des services de paiement qualifiés, notifier l'ANSSI sous 24h (eIDAS2). Manquer l'une de ces échéances expose à des sanctions cumulables. BRiC les identifie toutes en une seule simulation.

La méthodologie ENISA — comment BRiC évalue la gravité

BRiC s'appuie sur la méthodologie officielle publiée par l'Agence de l'Union européenne pour la cybersécurité (ENISA), référence reconnue par la CNIL et le Comité européen de la protection des données.

L'ENISA a développé une formule standardisée permettant d'évaluer objectivement la gravité d'une violation de données, indépendamment du secteur ou de la taille de l'organisation. Cette méthode est celle que les autorités de protection des données européennes utilisent comme référence lors des contrôles.

Formule ENISA — Severity Estimate
SE
Severity Estimate
=
DPC
Sensibilité des données
×
EI
Facilité d'identification
+
CB
Facteurs aggravants
Source : ENISA — Recommendations for a methodology of the assessment of severity of personal data breaches
DPC
Data Processing Context
Traduit la nature des données compromises en score numérique. Les données simples (nom, adresse) ont un impact moindre que les données sensibles au sens de l'art. 9 RGPD — santé, biométrie, origine raciale, opinions politiques, orientation sexuelle.
EI
Ease of Identification
Mesure le risque d'identification réelle d'une personne à partir des données exposées — de négligeable (re-identification quasi impossible) à maximal (identification directe et immédiate). Un chiffrement robuste en place réduit cet indicateur.
CB
Contextual Boosters
Intègre les facteurs aggravants contextuels que DPC et EI ne capturent pas seuls : atteinte à la confidentialité, à l'intégrité ou à la disponibilité des données, et intention malveillante avérée (attaque ciblée, revente…).
Les 4 niveaux de sévérité ENISA
Faible
SE < 2
Risque limité — notification CNIL probablement non requise
Moyen
SE 2 – 3
Impact modéré — notification CNIL à examiner au cas par cas
Élevé
SE 3 – 4
Notification CNIL requise sous 72h — art. 33 RGPD
Très élevé
SE ≥ 4
Notification CNIL + information des personnes — art. 33 & 34 RGPD
Pourquoi cette méthodologie fait autorité ?
Le CEPD (Comité européen de la protection des données) et plusieurs autorités nationales dont la CNIL font explicitement référence à la méthodologie ENISA dans leurs guides pratiques. Documenter que l'évaluation a été conduite selon cette méthode constitue un élément de démonstration de conformité au titre du principe d'accountability (art. 5(2) RGPD) — un atout défensif précieux en cas de contrôle.

Comment ça se passe aujourd'hui — sans BRiC

NovaTech Solutions SAS — éditeur RH, 1 200 entreprises clientes, 320 000 fiches salariales exposées suite à un bucket S3 mal configuré. Scénario fictif — profil représentatif des 39 % de PME notifiantes selon la CNIL.

❌ Sans BRiC — Le vendredi soir de l'enfer
Ven. 18h
Un client signale une URL publique renvoyant un CSV de 320 000 salariés — noms, salaires, IBAN, contrats. Le DSI est en week-end.
Sam. matin
Réunion de crise improvisée. "C'est grave ? On notifie ? On appelle l'avocat ?" Personne ne sait répondre. Le bucket est coupé.
Lun. matin
Première réunion avec le cabinet d'avocats. 4h à 350 €/h pour qualifier l'incident. Conclusion : il fallait notifier la CNIL sous 72h.
Mardi (J+4)
72h dépassées. La notification CNIL est envoyée avec 60h de retard. DORA s'applique aussi (clients bancaires) — personne n'y avait pensé. L'ACPR n'a pas été alertée.
J+45
Mise en demeure CNIL + ouverture d'une procédure de sanction pour notification tardive et insuffisance des mesures correctives. Trois clients majeurs résiliés.
Notification tardive · Sanction possible jusqu'à 10 M€ ou 2 % du CA · Perte de confiance clients
Ce profil est représentatif : selon la CNIL, 1 notification sur 2 est effectuée hors du délai de 72h et 87 sanctions ont été prononcées en 2024 pour un total de 55,2 M€.
Source : CNIL Rapport annuel 2024
✅ Avec BRiC — Le même vendredi soir
Ven. 18h03
Simulation BRiC lancée depuis le smartphone du DPO. SIREN renseigné, données saisies en 2 min. Score ENISA : TRÈS ÉLEVÉ · SE = 4.25.
18h08
Résultat immédiat. RGPD art. 33 + DORA art. 19 déclenchés. Échéances affichées : CNIL avant dim. 18h, ACPR avant sam. 22h.
18h35
Brouillon CNIL téléchargé (.md), mesures correctives cochées, rapport archivé. Notification CNIL envoyée. Dans les 72h.
19h12
Alerte ACPR transmise. Toutes les obligations du soir sont couvertes. L'équipe se retrouve le lendemain pour les mesures correctives, guidées.
Sam. matin
Un représentant Triads prend en charge le dossier pour la suite : communication aux 320 000 personnes, plan correctif, suivi procédure CNIL.
Temps de réaction : 32 minutes · Zéro retard · Zéro sanction prévisible
Rapport analytique · BRiC / Triads · Brightworks

La France face aux violations de données :
le silence des 72 heures

5 ans de données CNIL analysées en profondeur — les chiffres qui ne trompent pas, la cartographie des cinq régimes réglementaires, l'anatomie d'une crise silencieuse et les premiers réflexes à acquérir. Exclusivement sourcé CNIL.

Lire le rapport → ⬇ Télécharger PDF
📄 PDF
~8 pages
Gratuit
Commencez maintenant

Votre simulation prend 3 minutes.
Une sanction CNIL peut durer des mois.

Renseignez votre SIREN ou SIRET et répondez à quelques questions sur l'incident. BRiC génère votre rapport et votre brouillon de déclaration CNIL.

Gratuit · Sans inscription · Confidentiel
1
Identification
2
Évaluation
3
Résultats
4
Rapport
5
Suite

Auto-évaluation Data Breach

Obtenez en moins de 3 minutes une analyse de vos obligations réglementaires en cas de violation de données — RGPD, DORA, NIS2, eIDAS2 et AI Act.

🔒 Ces informations servent uniquement à personnaliser votre rapport CNIL. Aucune donnée n'est transmise à des tiers.
Votre incident ressemble-t-il à l'un de ces profils ?
4 typologies établies d'après les données CNIL. Sélectionnez le profil le plus proche — les champs pré-remplis sont prêts, ajustez uniquement les champs ⚙ variables.
🔒
Rançongiciel
1er vecteur de piratage en France · CNIL Bilan 5 ans
RGPD NIS2
C Confidentialité I Intégrité D Disponibilité
Pré-rempli
Source : SOC
CIA : C + D
Identité · logs
Clients + employés
À ajuster
Volume personnes
Secteur (NIS2 ?)
Données sensibles
Utiliser ce profil
👁
Exfiltration silencieuse
Délai moy. détection : 113 jours · CNIL Bilan 5 ans
RGPD DORA
C Confidentialité I Intégrité D Disponibilité
Pré-rempli
Source : tiers / audit
CIA : C seul
EI : maximal
Identité · financier
À ajuster
Volume (souvent large)
Durée d'exposition
Secteur DORA ?
Utiliser ce profil
📤
Divulgation accidentelle
Envois indus · publications involontaires · sous-déclaré
RGPD
C Confidentialité I Intégrité D Disponibilité
Pré-rempli
Source : collaborateur
CIA : C seul
EI : significatif
Identité uniquement
À ajuster
Volume (souvent faible)
Données sensibles ?
Récupération possible ?
Utiliser ce profil
🔗
Incident sous-traitant
Vecteur en forte hausse 2024 · CNIL Rapport annuel
RGPD DORA NIS2
C Confidentialité I Intégrité D Disponibilité
Pré-rempli
Source : tiers (ST)
CIA : C + I
EI : maximal
Clients · B2B · employés
À ajuster
Données traitées par ST
Périmètre exact
Secteur du donneur
Utiliser ce profil
Aucun profil ne correspond exactement ? Remplissez directement le formulaire ci-dessous.
A — Contexte de détection
B — Nature de la violation
C — Catégories de données impliquées
Données personnelles — RGPD art. 4/9
Données commerciales / IP — Data Act · DORA
Données techniques / systèmes — AI Act · NIS2 · Data Act
Données classifiées / réglementées
CNIL Plan stratégique 2025-2028 — Axes IA & Quotidien numérique
D — Personnes concernées & volumétrie
Catégories de personnes — RGPD
Personnes vulnérables — aggravation automatique
Entités / profils sensibles — DORA · NIS2 · secret pro
E — Panorama des risques — Considérant 75 RGPD · ENISA
Sélectionnez les risques plausibles pour les personnes concernées. Chaque axe est qualifié par le Considérant 75 du RGPD et la méthodologie ENISA. Les risques cochés alimentent le diagramme et le coefficient CB du score de sévérité.
Cliquez "Lancer l'analyse" pour continuer
Analyse en cours…
📄

Téléchargez votre rapport

Exportez l'analyse complète pour vos archives, votre DPO ou votre conseil juridique.

📃
Texte brut
Format .txt — lisible partout, idéal pour les archives
📝
Markdown
Format .md — structuré, compatible Notion, Obsidian, GitHub
🖨
Imprimer / PDF
Impression directe ou export PDF via le navigateur
Mesures correctives — art. 33 §3 d) · Incluses dans l'export
Cochez les mesures déjà prises ou planifiées pour les inclure dans le brouillon de déclaration CNIL exporté.
Mesures déjà prises
Mesures envisagées / en cours
Votre analyse est prête — la suite dépend de vous.
Un incident RGPD déclenche des obligations légales sous 72 heures. Nos experts vous accompagnent de la notification à la CNIL jusqu'à la mise en conformité durable.
Ce que nous pouvons faire pour vous
📋
Déclaration CNIL assistée
Rédaction et dépôt sur notifications.cnil.fr dans les délais légaux, avec suivi de la procédure.
🛡
Mesures correctives
Mise en place des actions correctives prioritaires : isolation, révocation d'accès, audit sécurité.
📢
Communication aux personnes
Rédaction des notifications individuelles (art. 34 RGPD) adaptées à votre secteur et audience.
Conformité multi-régimes
Coordination des notifications DORA, NIS2, eIDAS2 ou AI Act si plusieurs régimes s'appliquent.

Être recontacté par un représentant de Triads