Cinq ans de données CNIL pour comprendre l'anatomie d'une crise réglementaire silencieuse — et ce que les organisations doivent changer dès maintenant.
Il est dix-huit heures, un vendredi. La responsable du système d'information d'une PME reçoit un message laconique d'un client : une URL publique renvoie une liste de fichiers. Des noms, des numéros de sécurité sociale, des relevés bancaires. Elle clique. Tout est là, en clair, accessible à quiconque connaît le lien. Elle appelle son directeur technique. Personne ne sait exactement depuis combien de temps le serveur est exposé. Le week-end commence.
Ce scénario n'est pas une fiction à usage pédagogique. C'est, dans ses grandes lignes, la trame de centaines des 5 629 violations de données notifiées à la CNIL en 2024. Ce chiffre, en hausse de vingt pour cent sur un an, traduit une réalité que les tableaux de bord de conformité peinent à saisir dans sa dimension humaine : derrière chaque notification se trouve une organisation prise de court, un délai qui court, et une décision à prendre sans filet.
La question que ce rapport se propose d'explorer n'est pas technique. Elle est organisationnelle et culturelle : pourquoi, six ans après l'entrée en application du Règlement général sur la protection des données, la moitié des organisations françaises échouent-elles encore à notifier dans le délai légal de soixante-douze heures ? Et que révèle cet échec sur notre rapport collectif à l'obligation réglementaire ?
« Le délai moyen avant la constatation d'une violation est de cent treize jours. Autrement dit, pendant près de quatre mois, la brèche existe sans que l'organisation en soit informée. »CNIL — Bilan 5 ans RGPD, 2023
Ce chiffre — cent treize jours — est peut-être le plus troublant que la CNIL ait publié. Il indique que le problème de la violation de données n'est pas seulement un problème de réponse, mais d'abord un problème de perception. On ne peut notifier ce qu'on ne sait pas. Et l'on ne sait souvent rien parce que l'on ne cherche pas.
L'article 4, paragraphe 12 du Règlement général sur la protection des données définit la violation de données comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ». Cette définition mérite d'être lue avec soin : elle ne distingue pas entre l'intention malveillante et l'erreur humaine, entre la cyberattaque sophistiquée et le fichier envoyé au mauvais destinataire.
Toute atteinte à la confidentialité, à l'intégrité ou à la disponibilité des données constitue potentiellement une violation. L'envoi d'un courriel au mauvais destinataire, la perte d'un ordinateur portable contenant des dossiers clients, l'exposition involontaire d'une base de données sur un serveur public : autant de situations qui déclenchent les mêmes obligations légales qu'une attaque par rançongiciel.
L'article 33 du RGPD impose au responsable de traitement de notifier la violation à l'autorité de contrôle compétente dans les meilleurs délais et, si possible, soixante-douze heures au plus tard après en avoir pris connaissance. Cette notification n'est pas une simple formalité administrative. Elle doit comporter la nature de la violation, les catégories et le nombre approximatif de personnes concernées, les coordonnées du délégué à la protection des données, les conséquences probables de la violation, et les mesures prises ou envisagées pour y remédier.
a) La nature de la violation, y compris les catégories et le nombre approximatif de personnes concernées et d'enregistrements touchés.
b) Les coordonnées du délégué à la protection des données ou du point de contact compétent.
c) Les conséquences probables de la violation — notamment les risques pour les droits et libertés des personnes.
d) Les mesures prises ou envisagées pour remédier à la violation, y compris les mesures pour en atténuer les éventuels effets négatifs.
La loi prévoit également, lorsque la violation est susceptible d'engendrer un risque élevé, l'obligation de communiquer directement aux personnes concernées (article 34). Et, indépendamment de toute obligation de notification externe, le responsable de traitement doit consigner toutes les violations dans un registre interne (article 33, paragraphe 5) — y compris celles dont la gravité est jugée insuffisante pour déclencher une notification à la CNIL. Cette obligation, souvent oubliée, expose à des sanctions lors des contrôles.
L'obligation de notification n'est pas automatique. Elle se déclenche lorsque la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. C'est précisément cette qualification — évaluer le risque — qui constitue le premier geste à accomplir, et le plus souvent le plus difficile. La méthodologie ENISA, adoptée comme référence par les autorités européennes, propose un calcul structuré fondé sur trois paramètres : la sensibilité des données impliquées, la facilité de ré-identification des personnes, et les facteurs contextuels aggravants.
C'est ce calcul que BRiC automatise. Mais avant d'en venir à l'outil, il convient de mesurer l'ampleur du problème qu'il cherche à résoudre.
Entre mai 2018 et mai 2023, la Commission nationale de l'informatique et des libertés a enregistré 17 483 notifications de violations de données. Ce volume, en progression constante d'une année sur l'autre, ne reflète pas seulement une augmentation du nombre d'incidents : il traduit aussi une meilleure connaissance de l'obligation de notification et, dans une certaine mesure, une amélioration des capacités de détection.
Le chiffre le plus instructif de ce bilan quinquennal est peut-être le moins commenté : seulement la moitié des notifications sont effectuées dans le délai légal de soixante-douze heures. Ce taux de conformité de cinquante pour cent — qui signifie, dans les faits, que l'autre moitié des organisations notifie en retard — ne peut s'expliquer par la mauvaise volonté des responsables de traitement. Il révèle une lacune structurelle : l'absence, dans la majorité des organisations, d'une procédure de réponse aux incidents immédiatement opérationnelle.
La CNIL précise que 75 % des violations sont néanmoins notifiées dans les onze jours suivant la qualification de l'incident. Ce dernier chiffre est rassurant dans son amplitude, mais il masque la réalité juridique : le délai légal est de soixante-douze heures, pas de onze jours. Chaque heure de retard constitue un manquement potentiellement sanctionnable.
« La moitié des notifications sont effectuées hors délai. Ce n'est pas un problème de volonté. C'est un problème de procédure. »CNIL — Bilan 5 ans RGPD (2023)
Le délai moyen de cent treize jours entre la survenance d'un incident et sa constatation mérite une analyse distincte. Il s'agit là d'une donnée qui ne concerne pas la réponse à la violation, mais sa perception. La violation existait. Elle impactait potentiellement des milliers de personnes. Et l'organisation n'en savait rien.
On notera néanmoins que 50 % des violations sont constatées en moins de dix heures — ce qui signifie une répartition extrêmement bimodale : certaines violations sont détectées très rapidement (souvent parce que leur effet est immédiat : chiffrement des systèmes par rançongiciel, signalement d'un tiers), tandis que d'autres restent invisibles pendant des mois. Ce sont précisément ces dernières — les exfiltrations silencieuses, les accès non autorisés prolongés, les erreurs de configuration persistantes — qui concentrent les risques les plus graves pour les personnes concernées.
Le bilan quinquennal dresse également un portrait sociologique des organismes notifiants. Le secteur privé représente environ les deux tiers des déclarations, dont 39 % proviennent de PME. Ce dernier chiffre est particulièrement révélateur : les petites et moyennes entreprises, souvent dépourvues de DPO dédié et de procédures formalisées, constituent une part disproportionnée des notifications. Elles sont aussi, logiquement, les plus exposées au risque de retard.
| Type d'organisation | Part des notifications | Observation |
|---|---|---|
| PME (secteur privé) | 39 % | Souvent sans DPO dédié ni procédure établie |
| Grandes entreprises | ~27 % | Ressources plus importantes, mais surface d'attaque plus large |
| Secteur public | 22 % | Administrations, collectivités, établissements publics |
| Secteur de la santé | 12 % | Données sensibles art. 9 — régime aggravé |
La géographie des violations reproduit, sans surprise, la carte économique française : l'Île-de-France concentre la majorité des déclarations, suivie des Hauts-de-France et d'Auvergne-Rhône-Alpes. Cette concentration reflète davantage la densité économique que des vulnérabilités régionales particulières.
Plus de la moitié des violations notifiées trouvent leur origine dans du piratage informatique : les rançongiciels occupent la première place, suivis par les attaques par hameçonnage. Cette domination du piratage comme vecteur principal tranche avec la représentation que l'on se fait souvent de la violation de données comme d'un événement accidentel. La réalité est que la majorité des incidents sont délibérément orchestrés, ce qui implique des délais de détection structurellement plus longs et des impacts plus étendus.
Les autres causes — équipements perdus ou volés, envois de fichiers aux mauvais destinataires, publications involontaires — constituent le solde des déclarations. Elles sont statistiquement minoritaires mais représentent des situations fréquemment sous-déclarées, en raison de leur apparente bénignité.
L'année 2024 marque une rupture dans la trajectoire des violations de données en France. 5 629 violations ont été notifiées à la CNIL, soit une progression de vingt pour cent par rapport à l'exercice précédent. Mais c'est moins la croissance du volume que la mutation qualitative des incidents qui retient l'attention.
La CNIL note dans son rapport annuel que le nombre de violations touchant plus d'un million de personnes a doublé en un an, passant d'une vingtaine à une quarantaine d'incidents majeurs. Parmi les cas cités : des opérateurs du tiers payant, France Travail, l'opérateur Free. Ces violations ne sont pas seulement plus nombreuses ; elles sont plus larges, plus profondes, et touchent des acteurs dont la base de données représente une fraction significative de la population française.
Cette tendance à la massification des violations s'explique par trois facteurs convergents identifiés par la CNIL : la compromission de données de connexion comme vecteur d'entrée privilégié, l'absence de détection des intrusions avant leur exploitation commerciale sur des marchés clandestins, et l'implication croissante de sous-traitants dans la chaîne des incidents. Ce dernier point est particulièrement préoccupant : le sous-traitant qui traite vos données pour votre compte peut devenir le maillon faible de votre sécurité, tout en vous laissant seul responsable au regard de la loi.
Aux termes de l'article 28 du RGPD, le responsable de traitement demeure pleinement responsable des traitements effectués en son nom par ses sous-traitants. Un incident chez un prestataire cloud, un éditeur de logiciel ou un hébergeur constitue une violation de données imputable au donneur d'ordre — avec les mêmes obligations de notification et les mêmes risques de sanction.
La CNIL identifie cette chaîne de responsabilité comme l'un des angles morts les plus fréquents dans la gestion des incidents de 2024.
La difficulté particulière à laquelle font face les organisations françaises depuis 2024 tient à la superposition de cinq régimes réglementaires distincts, chacun doté de ses propres délais, de ses propres autorités compétentes, et de ses propres définitions de l'incident notifiable. Une banque victime d'une fuite de données clients peut simultanément se trouver soumise au RGPD, à DORA et, selon les services exposés, à eIDAS2. Un hôpital intégrant des systèmes de diagnostic assisté par intelligence artificielle peut devoir conjuguer les obligations du RGPD, de NIS2 et de l'AI Act.
| Régime | Champ d'application | Délai clé | Autorité |
|---|---|---|---|
| RGPD | Toute violation de données personnelles | 72 heures | CNIL |
| DORA | Incidents TIC dans le secteur financier | 4 heures (alerte initiale) | ACPR / AMF |
| NIS2 | Entités essentielles et importantes | 24 heures (alerte précoce) | ANSSI |
| eIDAS2 | Prestataires de services de confiance | 24 heures | ANSSI |
| AI Act | Incidents graves liés à l'IA haut risque | 15 jours ouvrés | DGCCRF |
Entré en application en janvier 2025, le Règlement sur la résilience opérationnelle numérique du secteur financier impose aux établissements bancaires, aux compagnies d'assurance et aux prestataires de services d'investissement un calendrier de notification particulièrement contraignant. L'alerte initiale doit parvenir à l'ACPR ou à l'AMF dans les quatre heures suivant la classification de l'incident comme majeur — et, en tout état de cause, dans les vingt-quatre heures suivant sa prise de connaissance. Un rapport intermédiaire est dû sous soixante-douze heures, et le rapport final sous trente jours.
La coexistence de DORA avec le RGPD crée une situation juridiquement délicate : une même violation de données dans un établissement financier déclenche deux horloges distinctes, adressées à deux autorités différentes, selon des formats différents. L'absence de coordination entre ces deux obligations constitue l'un des risques les plus fréquents identifiés par les juristes spécialisés.
La directive NIS2, transposée en droit français en 2024, étend considérablement le périmètre de son prédécesseur. Là où NIS 1 ne concernait qu'un nombre limité d'opérateurs de services essentiels, NIS2 introduit une classification en deux catégories — entités essentielles et entités importantes — qui englobe des secteurs entiers : énergie, eau, transport, santé, administration publique, infrastructure numérique.
Pour ces entités, l'alerte précoce à l'ANSSI sous vingt-quatre heures s'accompagne d'une notification formelle sous soixante-douze heures et d'un rapport final dans le mois suivant. Les sanctions potentielles sont significatives : jusqu'à dix millions d'euros ou deux pour cent du chiffre d'affaires annuel mondial pour les entités essentielles, et jusqu'à sept millions d'euros ou un virgule quatre pour cent du chiffre d'affaires pour les entités importantes.
Entré progressivement en application depuis 2024, le Règlement sur l'intelligence artificielle introduit une obligation de notification des incidents graves dans les systèmes d'IA à haut risque. La définition d'un incident grave — mort d'une personne, préjudice grave pour la santé, perturbation d'une infrastructure critique, violation grave des droits fondamentaux — trace un périmètre exigeant.
Le délai de notification à l'autorité nationale de surveillance est de quinze jours ouvrés dans le cas général, mais peut être ramené à deux jours ouvrés lorsque la gravité de l'incident le justifie. Cette obligation, encore mal connue des équipes conformité, sera progressivement renforcée à mesure que les systèmes d'IA à haut risque se déploient dans les organisations.
La progression des sanctions prononcées par la CNIL dessine une courbe qui ne laisse plus de place à l'ambiguïté sur la direction prise par le régulateur. 21 sanctions en 2022. 42 en 2023. 87 en 2024, pour un montant total de 55,2 millions d'euros. En deux ans, le nombre de sanctions a quadruplé.
« Le nombre de sanctions a quadruplé en deux ans. Ce n'est pas une coïncidence : c'est une politique. »Analyse BRiC d'après CNIL — Rapports annuels 2022, 2023, 2024
Cette accélération ne résulte pas d'une malveillance institutionnelle à l'égard des entreprises. Elle traduit une montée en maturité du régulateur, qui dispose désormais des outils procéduraux — notamment la procédure simplifiée, dont le recours a triplé en 2024 — pour traiter un volume croissant de dossiers. La CNIL a par ailleurs expressément indiqué que la cybersécurité constitue l'un des quatre axes prioritaires de son plan stratégique 2025-2028.
La sanction administrative est la partie visible du coût d'une violation mal gérée. Elle en constitue rarement la partie la plus lourde. Les coûts indirects — honoraires juridiques, frais de notification individuelle aux personnes concernées, coûts de remédiation technique, perte de chiffre d'affaires, dégradation de la réputation — dépassent souvent de plusieurs fois le montant de l'amende éventuelle.
La communication aux personnes concernées, imposée par l'article 34 lorsque le risque est élevé, représente à elle seule une opération logistique et financière significative pour les violations touchant plusieurs milliers de personnes. Rédiger une notification claire, la diffuser par des canaux appropriés, répondre aux demandes des personnes inquiètes : ces opérations mobilisent des ressources humaines et des compétences que la plupart des PME ne possèdent pas en interne.
2022 : 21 sanctions · Montant non communiqué de manière agrégée
2023 : 42 sanctions · Procédure simplifiée introduite (23 décisions)
2024 : 87 sanctions · 55,2 M€ au total · Procédure simplifiée : 69 décisions (×3)
La procédure simplifiée permet à la CNIL de traiter des dossiers de manière accélérée, sans séance plénière, pour des manquements identifiés.
La première erreur que commettent les organisations confrontées à un incident est de confondre constatation et qualification. Constater que quelque chose s'est produit est une condition nécessaire mais pas suffisante pour déclencher les bonnes actions. Il faut d'abord qualifier l'incident : s'agit-il d'une violation au sens du RGPD ? Quelles catégories de données sont impliquées ? Combien de personnes sont concernées ? Quel est le niveau de risque pour leurs droits et libertés ?
C'est cette étape de qualification — rapide, structurée, documentée — qui conditionne la suite. Elle détermine si la notification à la CNIL est obligatoire, si la communication aux personnes est requise, et quels autres régimes (DORA, NIS2, eIDAS2, AI Act) entrent en jeu. Elle produit aussi la documentation indispensable au registre interne de violations.
L'Agence de l'Union européenne pour la cybersécurité a développé une méthodologie de calcul de la gravité des violations de données — le Severity Estimation Score — qui est devenue la référence partagée par les autorités de contrôle européennes. Elle repose sur trois paramètres :
DPC (Data Processing Context) — La sensibilité des données impliquées, sur une échelle de 1 à 4 : de l'identité simple (niveau 1) aux données sensibles au sens de l'article 9 du RGPD comme les données de santé, biométriques ou génétiques (niveau 4).
EI (Ease of Identification) — La facilité avec laquelle les données exposées permettent de ré-identifier les personnes concernées. Une base de données contenant uniquement des identifiants techniques présente un risque de ré-identification négligeable ; une base contenant nom, numéro de sécurité sociale et coordonnées bancaires présente un risque maximal.
CB (Contextual Boosters) — Les facteurs aggravants liés au contexte de la violation : atteinte à la confidentialité, à l'intégrité ou à la disponibilité, caractère malveillant de l'incident, présence de personnes vulnérables parmi les personnes concernées.
La formule SE = DPC × EI + CB produit un score dont la valeur détermine le niveau de gravité : faible (inférieur à 2), moyen (entre 2 et 3), élevé (entre 3 et 4), très élevé (supérieur ou égal à 4). C'est ce score qui guide la décision de notification et oriente les mesures correctives.
« La qualification de l'incident — avant toute notification — est le geste le plus important que puisse accomplir une organisation dans les premières heures. Tout le reste en découle. »Analyse BRiC / Brightworks
Le délai de soixante-douze heures commence à courir au moment de la prise de connaissance, et non de la survenance de l'incident. Cette distinction est importante : elle laisse théoriquement une marge aux organisations pour qualifier l'incident avant de notifier. Dans la pratique, cette marge est rarement exploitée, faute de procédure préétablie.
Les organisations les mieux préparées sont celles qui disposent, avant tout incident, d'une procédure de premier niveau : qui appeler dans les premières heures, quelle information collecter, comment évaluer la gravité, qui a l'autorité pour déclencher la notification. Cette procédure n'a pas besoin d'être complexe. Elle a besoin d'exister.
Les tendances identifiées dans les données CNIL de 2024 — massification des violations, implication croissante des sous-traitants, superposition des régimes réglementaires — ne sont pas conjoncturelles. Elles dessinent le paysage dans lequel les organisations françaises opéreront jusqu'à la fin de la décennie.
La convergence réglementaire européenne va s'approfondir. Les travaux en cours autour d'un potentiel RGPD révisé, la mise en œuvre progressive de l'AI Act, l'extension du champ d'application de NIS2 à de nouveaux secteurs, et la montée en puissance de la régulation des données non personnelles (Data Act, Data Governance Act) vont créer un environnement où la conformité n'est plus un projet ponctuel mais une capacité organisationnelle permanente.
L'intelligence artificielle représente le prochain grand terrain de friction entre innovation et protection. Les systèmes de traitement automatisé des données personnelles à des fins de profilage, de scoring ou de décision individuelle — déjà encadrés par l'article 22 du RGPD — feront l'objet d'une surveillance renforcée à mesure que l'AI Act entre pleinement en vigueur. Les organisations qui traitent des données personnelles par des systèmes algorithmiques devront justifier de la transparence, de la proportionnalité et de la contrôlabilité humaine de ces traitements.
Les autorités de contrôle, enfin, vont continuer leur montée en puissance opérationnelle. La CNIL a expressément inscrit la cybersécurité parmi les quatre axes de son plan stratégique 2025-2028. La coordination renforcée entre autorités européennes dans le cadre du Comité européen de la protection des données (CEPD) permettra des procédures transfrontalières plus rapides et des sanctions plus lourdes pour les acteurs opérant à l'échelle européenne.
Détection en temps réel — Les organisations devront être capables d'identifier et de qualifier un incident de sécurité en quelques heures, et non en quelques semaines. Les cent treize jours de délai moyen documentés en 2023 seront inacceptables dans un contexte réglementaire durci.
Orchestration multi-régimes — La gestion d'un incident impliquera la coordination simultanée de plusieurs obligations réglementaires, adressées à plusieurs autorités, dans des délais différents. Les outils de qualification automatisée deviendront une nécessité opérationnelle, non un confort.
Traçabilité et documentation continues — Le registre interne de violations, aujourd'hui souvent tenu de manière rétrospective et lacunaire, devra devenir un outil de pilotage en temps réel, auditable à tout moment par les autorités de contrôle.
Face à ces exigences croissantes, les organisations qui auront investi dans des procédures de réponse aux incidents structurées — et dans les outils permettant de les exécuter rapidement — disposeront d'un avantage concurrentiel réel. Non pas parce que la conformité est une fin en soi, mais parce qu'elle est le signe d'une organisation qui sait gérer ses risques.
C'est dans cet esprit que BRiC a été conçu : non comme un substitut au conseil juridique, mais comme le premier réflexe opérationnel qui permet de gagner les premières heures — celles qui décident de la suite.
Ce rapport s'appuie exclusivement sur des sources primaires publiées par les autorités compétentes. Aucune donnée estimative ou interne n'a été utilisée.
BRiC calcule votre score ENISA, identifie vos obligations réglementaires et génère votre brouillon de déclaration CNIL — gratuitement, sans inscription.
Lancer ma simulation →