Aller au contenu

Modèle de notification de violation de données à caractère personnel

  • RGPD

(conforme à l’article 33 RGPD – notification à l’autorité de contrôle)

1. Informations générales

  • Responsable de traitement :
     [Nom de l’organisme]
    [Adresse complète]
    [N° SIRET]
    [Nom et coordonnées du DPO ou référent RGPD]
  • Date de la notification :
     [JJ/MM/AAAA]
  • Date et heure de la violation (ou détection) :
     [JJ/MM/AAAA – heure estimée]

2. Nature de la violation

décochée Perte de données

décochée Altération de données

décochée Accès non autorisé

décochée Divulgation accidentelle

décochée Suppression involontaire

décochée Autre : [préciser]

Description succincte :

Exemple : « Une base de données contenant les coordonnées et historiques de formation de 247 stagiaires a été exposée publiquement en raison d’une erreur de paramétrage de l’espace de stockage (Google Drive), accessible sans authentification. »

3. Données concernées

  • Catégories de données :
    ☐ Données d’identification (nom, prénom)
    ☐ Coordonnées (adresse, téléphone, mail)
    ☐ Données de formation (résultats, présence)
    ☐ Données administratives (n° sécu, justificatifs)
    ☐ Données sensibles (santé, handicap, etc.)
    ☐ Autres : [préciser]
  • Nombre estimé de personnes concernées : [xxx]

4. Conséquences probables de la violation

  • Atteinte à la confidentialité des données
  • Risque d’hameçonnage (phishing)
  • Usurpation d’identité / fraude
  • Atteinte à la réputation
  • Interruption du service / indisponibilité
  • [autres impacts éventuels]

5. Mesures prises immédiatement

Exemple :

  • Blocage de l’accès public à la ressource concernée
  • Changement des mots de passe et révocation des accès
  • Analyse des logs d’accès
  • Information des personnes concernées
  • Renforcement des mesures de sécurité

6. Notification aux personnes concernées

☐ Oui – Notification réalisée le [date]
☐ Non – Motif : [ex. : le risque n’est pas élevé pour les droits et libertés]

7. Mesures correctives et préventives prévues

  • Audit de sécurité de l’infrastructure
  • Sensibilisation des utilisateurs internes
  • Mise en place de double authentification
  • Renforcement des procédures de sauvegarde et de journalisation
  • Revue des droits d’accès et des configurations par défaut

8. Coordonnées de contact pour la CNIL (si besoin d’informations complémentaires)
Nom : [Nom du référent]
Fonction : [Fonction]
Mail : [email pro dédié]
Tél : [numéro de contact direct]

À transmettre à la CNIL via : https://notifications.cnil.fr/notifications/cnilÀ adresser aux personnes concernées dans les cas où le risque est élevé pour leurs droits et libertés (article 34 RGPD), sous une forme claire et accessible.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *