Première règle : ne pas paniquer, mais agir vite
Une fuite de données n’est pas une fin en soi. Ce qui compte, c’est la réactivité et la traçabilité des mesures prises.
Le RGPD impose de notifier la CNIL dans les 72 heures lorsque la violation présente un risque pour les droits et libertés des personnes.
Les 5 étapes de réponse
1. Contenir la fuite
- Couper l’accès compromis.
- Changer les mots de passe concernés.
- Révoquer les permissions si nécessaire.
2. Évaluer l’impact
- Quelles données ont été exposées ?
- Combien de personnes sont concernées ?
- Quel est le risque réel (usurpation, harcèlement, fraude) ?
3. Documenter
- Date et heure de découverte.
- Nature de la violation.
- Mesures prises.
- Personnes concernées.
4. Notifier si nécessaire
- CNIL sous 72h si risque avéré.
- Personnes concernées si risque élevé.
5. Corriger et prévenir
- Analyser la cause racine.
- Mettre à jour les procédures.
- Former les équipes.
Exemples de fuites courantes en PME
- Email envoyé à la mauvaise adresse.
- Fichier partagé publiquement par erreur.
- Perte ou vol d’un ordinateur portable.
- Compte piraté par phishing.
- Base de données exposée en ligne.
Outils et modèles
- Formulaire de notification CNIL en ligne.
- Modèle de registre des violations.
- Assurance cyber pour certaines PME.
Automatisation possible
- Alerte si un fichier sensible est partagé publiquement.
- Workflow de signalement interne.
- Génération automatique d’un brouillon de notification.
Point d’action cette semaine
Créez une fiche réflexe fuite de données avec les numéros utiles (CNIL, contact interne DSI/IT, avocat, assurance).