Chapitre 10.3 — Notifier la CNIL (72 h)
⏱️ TL;DR — Dès qu’une violation présente un risque pour les personnes (10.2), l’article 33 impose de notifier la CNIL dans les 72 h — à compter de la prise de connaissance de la violation, pas de sa survenue. Seule dispense : un risque improbable. La notification doit décrire la nature de la violation, les catégories et le nombre de personnes et d’enregistrements concernés, les conséquences probables et les mesures prises pour y remédier. Si tu ne sais pas encore tout, tu notifies en plusieurs temps : une première fois dans les délais, puis des compléments. Un cas à part : le sous-traitant ne notifie pas la CNIL — il alerte le responsable de traitement, qui décide. La notification passe par le téléservice de la CNIL.
🎯 Objectifs
- Savoir quand démarre le compte à rebours des 72 h (prise de connaissance).
- Connaître les quatre blocs d’information d’une notification (art. 33.3).
- Maîtriser la notification en plusieurs temps quand l’analyse n’est pas finie.
- Appliquer la règle sous-traitant → responsable (et pas sous-traitant → CNIL).
- Utiliser le téléservice CNIL et gérer le cas d’un retard.
Le point de départ : la « prise de connaissance »
Le délai de 72 h ne court pas à partir du moment où la violation s’est produite, mais à partir de celui où tu en as connaissance avec un degré raisonnable de certitude qu’une violation a bien eu lieu. C’est une nuance décisive :
- Une suspicion vague (« il y a peut-être eu un accès anormal ») ne déclenche pas encore le compte à rebours — mais elle t’oblige à enquêter sans traîner pour confirmer ou écarter.
- Dès que la violation est confirmée (tu sais qu’elle a eu lieu, même sans en connaître toute l’étendue), l’horloge démarre.
Le compte à rebours est en heures, week-end compris — pas en jours ouvrés. 72 h, c’est court : c’est précisément pour ça qu’on prépare la procédure avant (10.5).
⚠️ Piège — Croire que le délai part de la découverte de l’incident et attendre d’avoir « tous les détails » pour notifier. Les deux erreurs se combinent souvent : on enquête pendant une semaine « pour être sûr », et on notifie hors délai. La bonne conduite est l’inverse : dès la confirmation, on lance l’horloge et on notifie dans les temps avec ce qu’on sait, quitte à compléter ensuite (voir plus bas). Notifier tard sans justification est en soi un manquement.
Ce que contient la notification (art. 33.3)
La notification à la CNIL n’est pas un texte libre : l’article 33.3 fixe quatre blocs à renseigner. Apprends-les, c’est la trame de ta fiche de violation (10.5).
| Bloc | Ce qu’on décrit |
|---|---|
| Nature de la violation | Ce qui s’est passé, le type d’atteinte (confidentialité / intégrité / disponibilité), quand et comment c’est arrivé |
| Catégories & nombre | Les catégories et le nombre approximatif de personnes concernées, ainsi que les catégories et le nombre d’enregistrements de données concernés |
| Conséquences probables | Les effets vraisemblables de la violation pour les personnes |
| Mesures prises | Ce qui a été fait ou est proposé pour remédier à la violation et en atténuer les effets |
La notification doit aussi indiquer les coordonnées du DPO ou d’un point de contact permettant d’en savoir plus. Les nombres peuvent être approximatifs — « environ 400 élèves » est acceptable ; on n’attend pas un décompte au dossier près pour respecter le délai.
Concrètement, tu prépares un contenu structuré comme ceci (ici en JSON pour l’illustration — le téléservice CNIL est un formulaire) :
{
"nature": "Envoi par erreur d'un export CSV a un destinataire non autorise",
"typeAtteinte": ["confidentialite"],
"dateSurvenance": "2026-06-15",
"datePriseConnaissance": "2026-06-16",
"categoriesPersonnes": ["eleves mineurs", "responsables legaux"],
"nombrePersonnesApprox": 400,
"categoriesDonnees": ["identite", "classe", "resultats scolaires"],
"nombreEnregistrementsApprox": 400,
"consequencesProbables": "Divulgation de donnees scolaires a un tiers non autorise",
"mesuresPrises": [
"Rappel du message et demande de suppression au destinataire",
"Analyse des droits d'acces et correction du processus d'export",
"Information des familles concernees en cours d'evaluation"
],
"contactDPO": "dpo@formacampus.fr"
}Notifier en plusieurs temps
L’article 33 anticipe que tu ne sauras pas tout dans les 72 h — une enquête technique prend du temps. La règle : tu notifies quand même dans le délai, avec les informations disponibles, puis tu apportes les compléments au fur et à mesure, sans nouveau délai imposé.
- Notification initiale (dans les 72 h) : ce que tu sais — nature, estimation des personnes, premières mesures.
- Notification(s) complémentaire(s) : les précisions au fil de l’enquête (étendue exacte, cause racine, mesures finales).
Autrement dit, l’incertitude n’est jamais une excuse pour dépasser le délai. Elle justifie une notification progressive, pas une notification tardive.
💡 Réflexe — Prépare une fiche de violation (10.5) qui distingue déjà les champs « connus » et « à compléter ». Le jour J, tu remplis ce que tu as, tu notifies, et tu reviens compléter les cases vides. C’est infiniment plus sûr que de retenir la notification en espérant « tout boucler à temps ». La notification progressive est un droit que le texte t’accorde — sers-t’en.
Le cas du sous-traitant : il notifie le responsable, pas la CNIL
Point de vigilance majeur, surtout pour FormaCampus qui est souvent sous-traitant. Quand la violation survient chez un sous-traitant (art. 28), celui-ci ne notifie pas la CNIL. Il doit informer le responsable de traitement — et sans retard injustifié — car c’est le responsable qui porte l’obligation de notification à l’autorité et qui décide de la suite.
Le délai de 72 h du responsable court dès qu’il est informé par son sous-traitant : d’où l’importance de clauses de DPA (Partie 12) qui imposent au sous-traitant une alerte rapide et chiffrée en heures. Un sous-traitant qui prévient « quand il a le temps » fait rater le délai de son client.
🧭 Sur FormaCampus — Double casquette, double procédure. Quand la violation touche son propre traitement (sa base marketing, ses comptes internes), FormaCampus est responsable : c’est elle qui notifie la CNIL sous 72 h. Quand elle héberge les données d’une école cliente (elle est alors sous-traitant), et qu’une fuite survient de son côté, elle ne notifie pas la CNIL : elle alerte l’école au plus vite, laquelle notifiera l’autorité. Sa procédure interne doit donc trancher, dès la détection, quelle casquette elle porte pour ce traitement-là — sinon elle notifie à tort, ou pas du tout.
📚 Le texte — L’obligation de notifier l’autorité de contrôle dans les 72 h est à l’article 33 ; le contenu minimal de la notification est au 33.3 ; la possibilité de notifier de façon échelonnée est au 33.4 ; l’obligation du sous-traitant d’informer le responsable « sans retard injustifié » est au 33.2. En France, la notification se fait via le téléservice de la CNIL (
cnil.fr). Un retard au-delà de 72 h doit être motivé dans la notification elle-même.
✏️ Exercices
Exercice 1 — Quand démarre l’horloge ? Vendredi 18 h, un administrateur repère des connexions anormales, sans certitude. Samedi 14 h, l’analyse confirme qu’une base a bien été exfiltrée. À partir de quand courent les 72 h, et quelle échéance vises-tu ?
✅ Solution
L’horloge démarre à la prise de connaissance avec un degré raisonnable de certitude, c’est-à-dire samedi 14 h (confirmation), pas vendredi 18 h (simple suspicion). L’échéance des 72 h tombe donc mardi 14 h — week-end compris, le délai n’est pas en jours ouvrés. À noter : la suspicion du vendredi obligeait déjà à enquêter vite ; on ne peut pas « laisser traîner » la confirmation pour retarder artificiellement le départ du compte à rebours.
Exercice 2 — Notifier incomplet. À la 60e heure, tu sais qu’une violation a eu lieu et tu as une estimation des personnes touchées, mais l’enquête sur la cause racine n’est pas finie. Notifies-tu maintenant ou attends-tu de tout savoir ?
✅ Solution
Tu notifies maintenant, dans le délai, avec les informations disponibles (nature, estimation des personnes et des données, premières mesures). L’article 33.4 autorise la notification échelonnée : tu complètes ensuite, au fil de l’enquête, avec la cause racine et les mesures finales. Attendre « de tout savoir » et dépasser les 72 h serait un manquement, alors que l’incertitude ne l’est pas.
Exercice 3 — Qui notifie ? FormaCampus, en tant qu’hébergeur du LMS d’un lycée (sous-traitant), subit un ransomware qui touche les données des élèves de ce lycée. Qui doit notifier la CNIL, et que doit faire FormaCampus ?
✅ Solution
C’est le lycée (responsable de traitement) qui notifie la CNIL, pas FormaCampus. En tant que sous-traitant (art. 33.2), FormaCampus doit informer le lycée sans retard injustifié — idéalement en quelques heures — pour que le délai de 72 h du lycée soit tenable. Le DPA (Partie 12) doit prévoir ce délai d’alerte et le canal. FormaCampus contribue aussi en fournissant les éléments techniques (nature, étendue, mesures) dont le lycée a besoin pour sa notification.
🧠 Quiz de révision
1. À partir de quand courent les 72 h ?
À partir de la prise de connaissance de la violation (avec un degré raisonnable de certitude qu’elle a eu lieu), pas de sa survenue. Le délai est en heures, week-end compris — pas en jours ouvrés.
2. Que doit contenir la notification à la CNIL ?
Quatre blocs (art. 33.3) : la nature de la violation, les catégories et le nombre approximatif de personnes et d’enregistrements concernés, les conséquences probables, et les mesures prises pour remédier et atténuer. Plus les coordonnées du DPO / point de contact.
3. Peut-on notifier sans connaître tous les détails ?
Oui. L’article 33.4 permet une notification en plusieurs temps : une notification initiale dans les 72 h avec ce qu’on sait, puis des compléments au fil de l’enquête. L’incertitude ne justifie jamais de dépasser le délai.
4. Un sous-traitant notifie-t-il la CNIL ?
Non. Le sous-traitant informe le responsable de traitement sans retard injustifié (art. 33.2) ; c’est le responsable qui notifie la CNIL. Le délai de 72 h du responsable démarre quand son sous-traitant l’a informé — d’où l’intérêt d’un délai d’alerte serré dans le DPA.
5. Comment notifier en pratique, et que faire si on dépasse 72 h ?
Via le téléservice de la CNIL (cnil.fr). Si la notification intervient au-delà des 72 h, elle doit être accompagnée des motifs du retard. Le retard n’est pas rédhibitoire s’il est justifié, mais un retard non motivé est un manquement.
Chapitre suivant : Informer les personnes & registre — quand le risque est élevé, notifier la CNIL ne suffit plus : il faut aussi prévenir les personnes. On voit comment, avec quelles exceptions, et pourquoi le registre des violations est obligatoire même sans notification.