Chapitre 10.5 — Playbook incident (atelier)
⏱️ TL;DR — On assemble toute la Partie 10 en une procédure exécutable sous pression : détecter → contenir → évaluer → notifier → informer → documenter → corriger. Le livrable de ce chapitre est un playbook — la fiche que ton équipe déroule le jour d’une violation, sans réfléchir de zéro. On l’éprouve sur un cas très concret de FormaCampus : un export CSV d’élèves envoyé par erreur au mauvais parent. Tu repartiras avec une trame de fiche de violation à remplir, un compte à rebours des 72 h balisé, et une conviction : tout ça se prépare avant. On ne s’improvise pas gestionnaire de crise à 3 h du matin — on déroule un plan écrit d’avance.
🎯 Objectifs
- Mémoriser la procédure incident en sept étapes.
- Dérouler ces étapes sur un cas réel FormaCampus, de la détection à la correction.
- Remplir une fiche de violation structurée (la trame réutilisable).
- Baliser le compte à rebours des 72 h heure par heure.
- Comprendre pourquoi tout se prépare avant l’incident, jamais pendant.
On ne s’improvise pas à 3 h du matin
Une violation ne prévient pas. Elle tombe un vendredi soir, un jour férié, en pleine session de formation. Si, à ce moment-là, ton équipe se demande qui décide, qui contacte la CNIL, où est le modèle de notification et comment on prévient les familles, tu as déjà perdu. Le délai de 72 h est trop court pour improviser une organisation.
La règle d’or de cette partie tient en une phrase : la conformité aux violations, ça se joue avant la violation. Concrètement, tu prépares en temps calme :
- un playbook écrit (les sept étapes ci-dessous) accessible à toute l’équipe ;
- une liste de contacts : qui alerter en interne, le DPO, la direction, le prestataire de sécurité, l’assureur cyber ;
- une trame de fiche de violation pré-remplie de tes traitements et catégories de données ;
- un accès connu au téléservice CNIL et le canal d’information des personnes prêts ;
- pour tes traitements en sous-traitance, des clauses de DPA (Partie 12) imposant l’alerte rapide.
⚠️ Piège — Découvrir la procédure pendant la crise. C’est le piège fatal : sans playbook, on panique, on perd des heures à décider qui fait quoi, on notifie en retard (ou pas du tout), on prévient les personnes trop tard, et on ne documente rien. Le RGPD sanctionne la mauvaise réaction autant que la faille. Un playbook écrit d’avance transforme une crise en checklist.
La procédure en sept étapes
Voici le cœur du playbook. Chaque étape a un objectif et un livrable.
| # | Étape | Objectif | Livrable |
|---|---|---|---|
| 1 | Détecter | Confirmer qu’une violation a bien eu lieu ; démarrer l’horloge à la prise de connaissance | Constat daté et horodaté |
| 2 | Contenir | Arrêter l’aggravation : couper l’accès, révoquer un jeton, rappeler un e-mail, isoler un serveur | Mesures conservatoires prises |
| 3 | Évaluer | Qualifier le type (10.1) et le risque pour les personnes (10.2) : improbable / réel / élevé | Niveau de risque motivé |
| 4 | Notifier la CNIL | Si risque réel ou élevé, notifier dans les 72 h via le téléservice (10.3), au besoin en plusieurs temps | Accusé de notification |
| 5 | Informer les personnes | Si risque élevé, prévenir en langage clair et actionnable (10.4), sauf exception | Message envoyé / communication publique |
| 6 | Documenter | Consigner toute violation au registre (art. 33.5), notifiée ou non, avec justification | Entrée de registre complète |
| 7 | Corriger | Traiter la cause racine pour que ça ne recommence pas ; mettre à jour la procédure | Correctif + retour d’expérience |
Les étapes ne sont pas strictement séquentielles : détecter, contenir et évaluer se chevauchent souvent dans les premières heures. Mais documenter accompagne tout le processus (on note au fil de l’eau), et corriger clôt la boucle.
💡 Réflexe — Documente pendant, pas après. Ouvre la fiche de violation dès l’étape 1 et remplis-la en temps réel : heure de prise de connaissance, mesures de containment, raisonnement sur le risque. À chaud, ces détails sont frais ; une semaine plus tard, ils sont perdus. La fiche remplie au fil de l’eau est ta preuve d’accountability et le brouillon de ta notification CNIL.
Atelier — Le scénario FormaCampus
La situation. Lundi 10 h 12, un gestionnaire de scolarité de FormaCampus répond à la demande d’un parent qui voulait le bulletin de son enfant. Il joint le mauvais fichier : un export CSV de toute la classe — nom, prénom, classe, moyennes et appréciations de 28 élèves — et l’envoie à un seul parent, qui n’aurait dû recevoir que les données de son propre enfant. À 10 h 40, un collègue s’en aperçoit.
Déroulons le playbook.
1. Détecter. À 10 h 40, la violation est confirmée : un fichier de 28 élèves est parti à un destinataire non autorisé. Type d’atteinte : confidentialité (10.1). Le compte à rebours des 72 h démarre à cet instant : échéance jeudi 10 h 40.
2. Contenir. Dans l’heure : on rappelle le message si le serveur le permet, on contacte le parent destinataire pour lui demander de supprimer le fichier sans le diffuser ni en garder de copie, et on vérifie qu’aucun autre envoi n’est parti. On note tout.
3. Évaluer. On croise les facteurs (10.2) : des mineurs, des données scolaires nominatives (identité, moyennes, appréciations), 28 personnes, ré-identification directe. Ce ne sont pas des données de santé (art. 9), mais les appréciations restent sensibles au sens commun et touchent des enfants. Conclusion motivée : risque réel, à la frontière de l’élevé. Décision : on notifie la CNIL ; sur l’information des familles, on tranche selon la réponse du destinataire (a-t-il supprimé ? diffusé ?).
4. Notifier la CNIL. On rédige la notification (les quatre blocs de l’art. 33.3) et on la dépose via le téléservice CNIL, bien avant l’échéance de jeudi 10 h 40. Si l’enquête n’est pas close, on notifie avec ce qu’on sait et on complétera (art. 33.4).
5. Informer les personnes. Le destinataire confirme par écrit avoir supprimé le fichier sans copie ni diffusion : le risque élevé est atténué. On peut se placer sous l’exception « risque neutralisé après coup » (10.4) pour l’information individuelle — décision documentée. Par prudence et transparence, FormaCampus choisit tout de même d’informer les 28 familles en langage clair. (Si le destinataire avait rediffusé le fichier, l’information serait devenue obligatoire.)
6. Documenter. On complète la fiche de violation et on l’inscrit au registre (art. 33.5) : faits, type, risque motivé, notification CNIL, décision sur l’information, mesures.
7. Corriger. Cause racine : l’export « classe entière » est trop facile à joindre par erreur. Correctifs : désactiver l’export complet côté gestionnaire de scolarité, imposer une confirmation du destinataire avant tout envoi de fichier, former l’équipe, et mettre à jour le playbook. On clôt par un court retour d’expérience.
🧭 Sur FormaCampus — Ce scénario n’a rien d’un piratage : un humain, une pièce jointe, un mauvais destinataire. C’est le cas le plus fréquent — et c’est exactement pour lui qu’un playbook est utile. Remarque comme la décision d’informer les familles a basculé sur un seul fait : la confirmation de suppression par le destinataire. Sans playbook, on aurait perdu un temps précieux à débattre de tout ça à froid ; avec, on a suivi les cases et pris des décisions traçables.
La trame de fiche de violation
Voici le modèle à préparer d’avance et à remplir dès l’étape 1. Il couvre les besoins des articles 33 et 34, sert de brouillon à la notification, et devient l’entrée du registre.
# Fiche de violation — VIOL-2026-021
## 1. Détection
- Date/heure de survenance (estimée) : 2026-06-15 10:12
- Date/heure de prise de connaissance : 2026-06-15 10:40 ← DÉBUT DES 72 h
- Échéance de notification (72 h) : 2026-06-18 10:40
- Détectée par / comment : collègue scolarité, e-mail sortant repéré
## 2. Nature (art. 4.12)
- Type d'atteinte : [x] Confidentialité [ ] Intégrité [ ] Disponibilité
- Description : export CSV de 28 élèves envoyé au mauvais parent
- Cause probable : mauvaise pièce jointe (erreur humaine)
## 3. Périmètre
- Catégories de personnes : élèves mineurs
- Nombre approximatif de personnes : 28
- Catégories de données : identité, classe, moyennes, appréciations
- Données sensibles (art. 9) ? : non
## 4. Évaluation du risque (10.2)
- Facteurs : mineurs, ré-identification directe, volume 28
- Niveau retenu : réel (frontière élevé)
- Justification : ...
## 5. Décisions
- Notification CNIL : oui — déposée le 2026-06-16
- Information des personnes : oui (transparence) / exception envisagée : risque neutralisé
- Notification en plusieurs temps ? : non
## 6. Mesures
- Containment : rappel du message, demande de suppression au destinataire
- Correctives : désactivation export complet, confirmation destinataire, formation
## 7. Suivi
- Responsable du dossier : DPO
- Statut : clos le 2026-06-20🔒 Côté personne concernée — Pour le parent qui reçoit les données de 27 autres enfants, comme pour les 28 familles concernées, ce qui compte n’est pas la perfection technique de ta réaction, mais son honnêteté et sa rapidité : qu’on reconnaisse l’erreur, qu’on agisse vite pour la contenir, et qu’on prévienne franchement plutôt que de dissimuler. Une violation bien gérée peut même renforcer la confiance — parce qu’elle prouve que, le jour où quelque chose déraille, tu es à la hauteur.
Le compte à rebours des 72 h
Pour rendre le délai tangible, voici comment baliser les 72 h à partir de la prise de connaissance (H0). Ce ne sont pas des obligations horaires du texte, mais un rythme de travail qui garantit de tenir le délai sans précipitation.
| Repère | Objectif |
|---|---|
| H0 | Prise de connaissance confirmée → l’horloge démarre, on ouvre la fiche |
| H0 à H+4 | Contenir (étape 2) et alerter en interne (DPO, direction) |
| H+4 à H+24 | Évaluer le risque (étape 3), décision motivée de notifier ou non |
| H+24 à H+48 | Rédiger et déposer la notification CNIL si risque (étape 4) |
| H+48 à H+72 | Informer les personnes si risque élevé (étape 5), marge de sécurité |
| Au-delà de H+72 | Compléments (art. 33.4), documentation finale, correction (étapes 6-7) |
L’idée : viser la notification bien avant H+72, pour garder une marge. Si tu déposes à H+70, la moindre difficulté te fait déraper hors délai. Un bon playbook vise H+48.
📚 Le texte — Ce chapitre ne crée aucune règle nouvelle : il orchestre l’article 4.12 (qualifier), l’évaluation du risque (art. 33 et 34), la notification sous 72 h (art. 33, contenu au 33.3, échelonnement au 33.4), l’information des personnes en cas de risque élevé (art. 34), et le registre interne (art. 33.5). La CNIL met à disposition son téléservice de notification et des fiches pratiques sur la gestion des violations : garde-les dans ton playbook, à jour.
✏️ Exercices
Exercice 1 — Ordonne le playbook. On te donne ces actions en désordre : informer les familles, rappeler l’e-mail, confirmer que la violation a eu lieu, déposer la notification CNIL, corriger le processus d’export, évaluer le risque pour les élèves, inscrire au registre. Remets-les dans l’ordre des sept étapes.
✅ Solution
- Détecter = confirmer que la violation a eu lieu. 2. Contenir = rappeler l’e-mail. 3. Évaluer = évaluer le risque pour les élèves. 4. Notifier la CNIL = déposer la notification CNIL. 5. Informer les personnes = informer les familles. 6. Documenter = inscrire au registre. 7. Corriger = corriger le processus d’export. Rappel : documenter se fait en réalité au fil de l’eau, pas seulement en 6e position.
Exercice 2 — La décision bascule. Reprends le scénario, mais cette fois le parent destinataire refuse de répondre et poste une capture du fichier dans un groupe WhatsApp de parents. Qu’est-ce que ça change à l’étape 5, et pourquoi ?
✅ Solution
L’exception « risque neutralisé après coup » (10.4) tombe : les données sont diffusées, hors de tout contrôle, à un public non maîtrisé. Le risque pour les 28 enfants devient élevé (divulgation large, ré-identification directe, mineurs). L’information des familles devient donc obligatoire (art. 34), en langage clair, sans délai. On met aussi à jour la notification CNIL (art. 33.4) pour refléter l’aggravation, et le containment doit tenter de faire retirer les copies diffusées.
Exercice 3 — Prépare avant. Ton équipe n’a aucun playbook. Cite quatre éléments à préparer maintenant, en temps calme, pour ne pas improviser le jour J.
✅ Solution
Par exemple : (1) le playbook écrit des sept étapes, accessible à tous ; (2) la liste de contacts d’urgence (DPO, direction, prestataire sécurité, assureur cyber) et qui décide de notifier ; (3) la trame de fiche de violation pré-remplie des traitements et catégories de données ; (4) l’accès connu au téléservice CNIL et un canal prêt pour informer les personnes. Bonus : des clauses DPA imposant à chaque sous-traitant une alerte rapide, et un exercice de simulation annuel pour rôder la procédure.
🧠 Quiz de révision
1. Quelles sont les sept étapes du playbook incident ?
Détecter → contenir → évaluer → notifier la CNIL → informer les personnes → documenter → corriger. Détecter/contenir/évaluer se chevauchent souvent ; documenter se fait au fil de l’eau ; corriger clôt la boucle en traitant la cause racine.
2. Pourquoi tout se prépare-t-il avant l’incident ?
Parce que le délai de 72 h est trop court pour improviser une organisation. Sans playbook écrit, liste de contacts, trame de fiche et accès connus, on perd des heures à décider qui fait quoi, on notifie en retard et on ne documente rien. « On ne s’improvise pas gestionnaire de crise à 3 h du matin. »
3. Dans le scénario, qu’est-ce qui a fait basculer la décision d’informer les familles ?
La réponse du destinataire : sa confirmation d’avoir supprimé le fichier sans copie ni diffusion a atténué le risque (exception possible de l’art. 34.3). S’il avait rediffusé le fichier, le risque serait devenu élevé et l’information des familles obligatoire.
4. À quoi sert la fiche de violation, et quand la remplir ?
Elle structure les informations des articles 33 et 34, sert de brouillon à la notification CNIL et d’entrée au registre. On la remplit dès l’étape 1 et au fil de l’eau : à chaud, les détails (heures, mesures, raisonnement) sont frais et deviennent la preuve d’accountability.
5. Pourquoi viser la notification à H+48 plutôt qu’à H+70 ?
Pour garder une marge de sécurité. Le délai légal est 72 h, mais viser H+48 protège des imprévus (enquête qui traîne, indisponibilités, week-end) : à H+70, le moindre obstacle fait déraper hors délai. Un bon playbook vise bien avant l’échéance.
Chapitre suivant : Partie 11 — Documenter & piloter la conformité — la gestion des violations débouche sur un thème plus large : prouver sa conformité au quotidien. Registre des traitements (art. 30), AIPD, rôle du DPO, pilotage — l’accountability devient un système, pas une réaction d’urgence.