RGPD · art. 33-34 · autorité de contrôle

Notification de violation de données : que faire en 72 heures.

Une violation de données personnelles doit être notifiée à l'autorité de contrôle sous 72 heures (RGPD art. 33). Les cabinets d'avocats couvrent l'obligation ; presque personne ne couvre le volet technique : comprendre ce qui a réellement été exfiltré et collecter les preuves. Ce volet est couvert par Fortgale.

72hNotification à l'autorité
art. 33-34RGPD · personnes concernées
10 M EURSanction · ou 2 % du CA
Conformité
RGPD · art. 33-34
Autorité de contrôle
ISO/IEC 27001
Standards forensiques
MITRE ATT&CK
NIST IR
chaîne de possession
Violation de données ≠ incident NIS2

Deux obligations distinctes, souvent simultanées.

La même violation peut déclencher deux notifications différentes, à des autorités différentes, avec des délais différents. Les confondre est un risque.

RGPD ·

Autorité · données personnelles

Notification à l'autorité de contrôle sous 72 heures (art. 33), communication aux personnes si le risque est élevé (art. 34), registre des violations. Obligation du responsable de traitement.

NIS2 ·

CSIRT · incident cyber

Pour les entités essentielles et importantes : alerte précoce 24 heures au CSIRT national. Voir NIS2 expliquée.

Ensemble ·

Quand les deux s'appliquent

Une attaque ransomware avec exfiltration de données personnelles déclenche typiquement à la fois le CSIRT et l'autorité de contrôle. Elles doivent être traitées en parallèle.

Le volet que les cabinets ne couvrent pas

Une notification ne vaut que par les preuves qui la fondent.

L'autorité demande la nature de la violation, les données et personnes concernées, les conséquences et les mesures prises. Tout cela provient d'un travail technico-forensique, pas juridique.

01 ·

Quelles données exfiltrées

Analyse forensique des logs, du trafic et des artefacts pour distinguer ce qui a été copié vers l'extérieur de ce qui a seulement été chiffré ou consulté. La base factuelle de la notification.

02 ·

Preuves pour la notification

Collecte et préservation des preuves, chronologie de l'attaque, IOC, périmètre concerné : le matériel qui rend la notification exacte et défendable.

Cas réel · déterminer ce qui a été exfiltré

Lors de l'Operation Storming Tide, l'équipe Fortgale a reconstitué la chaîne multi-étapes et bloqué l'exfiltration RClone : établir ce qui a réellement été emporté est exactement ce dont une notification exacte a besoin.

Lire l'analyse →

Des clients dans 22 pays sur 3 continents →

FAQ · notification de violation de données

Les questions sur la notification.

Différence entre notifier l'autorité et le CSIRT ?

Deux obligations distinctes : autorité de contrôle (RGPD art. 33, données personnelles, 72h) et CSIRT national (NIS2, incident cyber, alerte précoce 24h). Un cas de ransomware avec exfiltration de données personnelles peut déclencher les deux. Voir NIS2 expliquée.

Sous quel délai la violation doit-elle être notifiée ?

Sous 72 heures à compter de la découverte (art. 33). Si le risque pour les personnes est élevé, elles doivent aussi être informées (art. 34). Toute violation doit être consignée dans le registre des violations.

Que fait Fortgale et que fait le DPO ou le conseil juridique ?

Fortgale couvre le volet technico-forensique : ce qui s'est passé, quelles données exfiltrées, les preuves, la containment. L'appréciation juridique et l'acte de notification restent au responsable de traitement et au DPO ou conseil juridique.

Comment déterminer ce qui a été exfiltré ?

Avec l'analyse forensique des logs, du trafic réseau et des artefacts : on reconstitue ce que l'attaquant a réellement copié vers l'extérieur, en le distinguant de ce qui a seulement été chiffré. C'est la base d'une notification défendable.

Quelles sanctions en cas de défaut de notification ?

Jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial. Une notification rapide étayée par des preuves techniques solides est aussi une forme de protection dans l'appréciation de l'autorité.

Une violation de données est-elle en cours ?

La bonne notification naît de preuves solides.

Parlez à nos analystes : nous déterminons ce qui a été exfiltré, collectons les preuves pour la notification à l'autorité de contrôle et contenons l'incident. L'appréciation juridique reste à votre DPO ou conseil juridique, nous fournissons la base technique.

Délai de réponse : < 1 jour ouvré.