Chapitre 10.4 — Informer les personnes & registre
⏱️ TL;DR — Notifier la CNIL protège l’autorité ; informer les personnes les protège, elles. L’article 34 l’impose quand la violation présente un risque élevé : il faut alors prévenir les personnes concernées dans un langage clair, pour qu’elles puissent se protéger (changer un mot de passe, surveiller un compte). Trois exceptions dispensent de cette communication individuelle : les données étaient déjà incompréhensibles (chiffrées), des mesures postérieures ont rendu le risque élevé improbable, ou l’information individuelle exigerait un effort disproportionné (on passe alors par une communication publique). En parallèle, un devoir permanent : le registre interne des violations (art. 33.5), qui consigne toutes les violations — y compris celles qu’on n’a pas notifiées.
🎯 Objectifs
- Savoir quand informer les personnes (risque élevé) et ce que contient le message.
- Rédiger une information claire et actionnable, orientée protection de la personne.
- Connaître les trois exceptions de l’article 34.3 et la communication publique.
- Tenir le registre interne des violations (art. 33.5) et comprendre pourquoi il couvre tout.
Quand informer : le seuil du risque « élevé »
Rappel de l’arbre (10.2) : on informe les personnes uniquement si le risque pour elles est élevé. En dessous — risque « réel » mais pas élevé —, on notifie la CNIL sans nécessairement prévenir les personnes ; risque « improbable », on journalise seulement.
La logique est protectrice, pas administrative : on prévient les gens pour qu’ils puissent agir. Si leurs identifiants ont fuité, ils doivent changer de mot de passe ; si leurs coordonnées ont fuité, ils doivent se méfier de l’hameçonnage ; si des données sensibles sont exposées, ils doivent le savoir. L’information est tardive et inutile si elle ne leur donne pas les moyens de se protéger.
La communication doit intervenir dans les meilleurs délais. Et si tu n’as pas encore informé les personnes alors que le risque est élevé, la CNIL peut te l’ordonner.
Ce que contient le message (art. 34.2)
L’information aux personnes reprend l’essentiel de la notification CNIL, moins le jargon. Elle doit décrire :
- la nature de la violation, en langage clair ;
- les coordonnées du DPO ou d’un point de contact ;
- les conséquences probables de la violation pour la personne ;
- les mesures prises et surtout celles que la personne peut prendre elle-même pour se protéger.
🔒 Côté personne concernée — Ce que la personne veut lire n’est pas « nous avons subi un incident de sécurité affectant l’intégrité de nos systèmes d’information ». C’est : « Voici ce qui a fuité vous concernant. Voici ce que ça peut faire. Voici les 2 gestes à faire maintenant (changer votre mot de passe ici, surveiller vos e-mails). Voici qui contacter. » Une bonne communication de violation est un service rendu à la personne, pas un exercice de style juridique ni un enfumage. La transparence, même quand elle est inconfortable, préserve la confiance ; la dissimulation la détruit dès qu’elle est découverte.
⚠️ Piège — Noyer la violation dans un communiqué corporate vague, sans dire ce que la personne doit faire, ou pire, la découvrir « par la presse » avant d’avoir été prévenue. Autre piège fréquent : confondre l’information des personnes (art. 34, si risque élevé) avec la notification CNIL (art. 33, dès risque réel) — ce sont deux obligations distinctes, avec des seuils différents. On peut devoir notifier la CNIL sans informer les personnes ; l’inverse est rare mais l’information des personnes ne dispense jamais de la notification.
Les trois exceptions (art. 34.3)
L’article 34.3 dispense de la communication individuelle aux personnes dans trois cas :
| Exception | Condition | Exemple |
|---|---|---|
| Données incompréhensibles | Les données étaient protégées par des mesures rendant les données inexploitables pour un tiers (ex. chiffrement robuste), la clé n’ayant pas fuité | Un ordinateur portable chiffré volé : les données sont illisibles |
| Risque neutralisé après coup | Des mesures postérieures garantissent que le risque élevé ne se matérialisera plus | Le destinataire erroné confirme avoir supprimé le fichier, sans copie |
| Effort disproportionné | L’information individuelle exigerait des efforts disproportionnés → on procède alors à une communication publique ou équivalente, tout aussi efficace | Fuite touchant un très grand nombre de personnes non contactables individuellement |
Deux garde-fous à retenir :
- Ces exceptions dispensent de l’information des personnes, jamais de la notification à la CNIL ni de la journalisation au registre.
- L’exception « données incompréhensibles » récompense directement le chiffrement au repos (Partie 9) : chiffrer, c’est aussi s’épargner une communication de crise. Le privacy by design paie à l’heure de l’incident.
💡 Réflexe — Le chiffrement des données au repos n’est pas qu’une mesure de sécurité « en amont » : c’est ta police d’assurance le jour d’une violation. Un support perdu mais chiffré peut basculer le risque de « élevé » à « improbable » — plus de communication aux personnes, moins de dégâts de réputation. Quand tu hésites à chiffrer une base ou un export, souviens-toi que tu décides aussi de ce que tu vivras le jour où elle fuitera.
Le registre interne des violations (art. 33.5)
Voici l’obligation la plus souvent oubliée — parce qu’elle s’applique même quand on ne notifie rien. L’article 33.5 impose au responsable de traitement de documenter toute violation dans un registre interne : les faits, les effets, et les mesures prises. Toutes les violations y figurent, y compris :
- celles jugées à risque improbable (non notifiées à la CNIL) ;
- celles notifiées à la CNIL mais sans information des personnes ;
- celles qui ont déclenché toutes les obligations.
Ce registre est distinct du registre des activités de traitement de l’article 30 (Partie 11). C’est un journal des incidents, tenu à disposition de la CNIL pour lui permettre de vérifier que tu as bien analysé chaque cas — notamment que ton « risque improbable » est motivé et non une commodité pour éviter de notifier.
Un modèle d’entrée de registre, minimal mais complet :
{
"id": "VIOL-2026-014",
"dateSurvenance": "2026-06-15",
"datePriseConnaissance": "2026-06-16",
"description": "Export CSV eleves envoye a un mauvais destinataire",
"typeAtteinte": ["confidentialite"],
"categoriesPersonnes": ["eleves mineurs"],
"nombrePersonnesApprox": 400,
"categoriesDonnees": ["identite", "classe", "resultats"],
"niveauRisque": "eleve",
"notificationCNIL": { "faite": true, "date": "2026-06-17" },
"informationPersonnes": { "faite": true, "date": "2026-06-18", "canal": "email" },
"mesuresCorrectives": ["Correction des droits d'export", "Formation de l'equipe"],
"justificationSiNonNotifie": null
}Le champ justificationSiNonNotifie est le plus important pour les violations non notifiées : c’est là qu’on écrit pourquoi le risque a été jugé improbable. Sans cette justification, une violation « oubliée » ressemble, aux yeux de la CNIL, à une violation dissimulée.
🧭 Sur FormaCampus — FormaCampus tient un registre des violations, alimenté à chaque incident, même bénin. Le
ccmalheureux de trois e-mails de formateurs (risque improbable) y entre, avec sa justification de non-notification. La fuite de l’export élèves y entre aussi, avec les dates de notification CNIL et d’information des familles. Ce registre est son filet d’accountability : le jour d’un contrôle, il prouve qu’elle analyse et documente systématiquement — ce qui compte souvent plus, aux yeux de la CNIL, que l’absence totale d’incident (qui n’existe pour personne).
📚 Le texte — L’obligation d’informer les personnes en cas de risque élevé est à l’article 34 ; le contenu du message au 34.2 ; les exceptions (données incompréhensibles, risque neutralisé, effort disproportionné avec communication publique) au 34.3. Le pouvoir de la CNIL d’ordonner la communication est au 34.4. Le registre interne des violations est à l’article 33.5. À ne pas confondre avec le registre des activités de traitement de l’article 30 (Partie 11).
✏️ Exercices
Exercice 1 — Faut-il informer les personnes ? Pour chaque cas, dis s’il faut informer les personnes (art. 34) : (a) un disque dur chiffré contenant des données d’élèves est perdu, la clé n’a pas fuité ; (b) 5 000 mots de passe faiblement hachés d’apprenants sont exposés ; (c) un e-mail avec 400 dossiers d’élèves part au mauvais organisme, qui confirme par écrit l’avoir supprimé sans copie.
✅ Solution
(a) Non — exception « données incompréhensibles » (chiffrement robuste, clé intacte) : le risque élevé n’existe pas pour les personnes. On notifie tout de même la CNIL ? Non, si le risque est improbable ; mais on journalise dans tous les cas. (b) Oui — risque élevé (identifiants réutilisables) : informer les personnes et les inviter à changer leur mot de passe. (c) Potentiellement non au titre de l’exception « risque neutralisé après coup » (suppression confirmée, sans copie), à documenter soigneusement — mais on reste prudent sur la fiabilité de cette confirmation. Dans les trois cas : journalisation obligatoire au registre.
Exercice 2 — Rédige l’information. Suite à une fuite d’e-mails et de mots de passe apprenants, écris les trois éléments d’action que doit contenir le message aux personnes.
✅ Solution
(1) Ce qui a fuité les concernant : leur adresse e-mail et leur mot de passe (haché) du compte FormaCampus. (2) Le geste immédiat : changer leur mot de passe FormaCampus et tout autre service où ils réutilisaient le même, se méfier des e-mails d’hameçonnage. (3) Le contact : les coordonnées du DPO (dpo@formacampus.fr) et un lien d’aide. Le tout en langage clair, sans jargon, orienté « voici quoi faire maintenant ». On y ajoute la nature de l’incident et ses conséquences probables, brièvement.
Exercice 3 — Le registre des non-notifiées. Ton équipe te dit : « On n’a pas notifié cette violation à la CNIL, donc rien à consigner. » Corrige.
✅ Solution
Faux : l’article 33.5 impose de consigner toutes les violations au registre interne, y compris celles non notifiées. Pour une violation non notifiée, on documente en plus la justification du risque improbable. C’est précisément cette trace qui distingue une violation analysée et écartée d’une violation dissimulée — la CNIL peut consulter ce registre pour vérifier le raisonnement.
🧠 Quiz de révision
1. Quand faut-il informer les personnes concernées ?
Quand la violation présente un risque élevé pour elles (art. 34), et dans les meilleurs délais. En dessous de ce seuil, on notifie éventuellement la CNIL mais on n’informe pas nécessairement les personnes. L’information vise à leur permettre de se protéger.
2. Que doit contenir le message aux personnes ?
En langage clair : la nature de la violation, les coordonnées du DPO / point de contact, les conséquences probables, et les mesures prises ainsi que celles que la personne peut prendre pour se protéger. Objectif : rendre la personne capable d’agir.
3. Quelles sont les trois exceptions à l’information des personnes ?
(1) Données rendues incompréhensibles (ex. chiffrement robuste, clé non compromise) ; (2) mesures postérieures rendant le risque élevé improbable ; (3) effort disproportionné → on procède alors à une communication publique équivalente. Aucune ne dispense de la notification CNIL ni de la journalisation.
4. Le registre des violations ne concerne-t-il que les violations notifiées ?
Non. L’article 33.5 impose de consigner toutes les violations, y compris celles non notifiées (risque improbable) — avec la justification de la non-notification. C’est un journal des incidents distinct du registre des traitements (art. 30).
5. En quoi le chiffrement au repos aide-t-il en cas de violation ?
Il peut déclencher l’exception « données incompréhensibles » (art. 34.3) : un support chiffré perdu peut faire chuter le risque, dispensant d’informer les personnes. Le chiffrement décidé en amont (privacy by design) devient une protection concrète le jour de l’incident.
Chapitre suivant : Playbook incident (atelier) — on assemble tout : détecter, contenir, évaluer, notifier, informer, documenter, corriger. Sur un cas réel FormaCampus, avec une trame de fiche et un compte à rebours de 72 h — parce qu’on ne s’improvise pas à 3 h du matin.