Retour aux actualités
    Incidents & Urgence

    Signalement incident cybersécurité : obligations ANSSI et CNIL pour les entreprises

    Vous avez subi une cyberattaque ou détecté une violation de données. Devez-vous le déclarer ? À qui ? Dans quel délai ? Les obligations légales de notification sont nombreuses, mal connues et les sanctions pour non-déclaration sont lourdes. Ce guide fait le point sur toutes vos obligations : ANSSI (NIS2), CNIL (RGPD) et secteurs spécifiques.

    Les deux obligations de notification distinctes

    En France, deux régimes de notification coexistent et peuvent s'appliquer simultanément au même incident. Il est crucial de les distinguer car les destinataires, les délais et les contenus diffèrent :

    Notification ANSSI (NIS2)

    • Qui : Entités essentielles et importantes NIS2
    • Quoi : Tout incident significatif (disponibilité, intégrité, confidentialité)
    • Quand : 24h → 72h → 1 mois
    • Où : Portail de notification ANSSI
    • Sanction : Jusqu'à 10 M€ ou 2 % du CA

    Notification CNIL (RGPD)

    • Qui : Tout responsable de traitement
    • Quoi : Violation de données personnelles
    • Quand : 72h après prise de connaissance
    • Où : Portail notifications.cnil.fr
    • Sanction : Jusqu'à 20 M€ ou 4 % du CA

    Un ransomware qui chiffre des données personnelles (dossiers clients, RH) déclenche simultanément l'obligation ANSSI (si vous êtes entité NIS2) ET l'obligation CNIL. Les deux notifications sont indépendantes.

    Les délais NIS2 : le calendrier en 3 étapes

    Dans les 24h

    Alerte préliminaire

    • Signaler que vous avez connaissance d'un incident significatif
    • Indiquer s'il est potentiellement malveillant
    • Préciser si l'incident pourrait avoir un impact transfrontalier
    • Contenu minimal — pas besoin d'investigation complète à ce stade
    • Via le portail de notification ANSSI ou par téléphone pour les urgences
    📋
    Dans les 72h

    Notification d'incident

    • Mise à jour de l'alerte préliminaire avec évaluation initiale
    • Nature et gravité de l'incident
    • Indicateurs de compromission (si disponibles)
    • Mesures d'atténuation appliquées ou prévues
    • Estimation de l'impact sur les services
    📊
    Dans le mois

    Rapport final

    • Description détaillée de l'incident
    • Cause racine identifiée
    • Mesures correctives mises en place
    • Impact réel sur les services et les utilisateurs
    • Leçons apprises et améliorations prévues

    Délai CNIL : les 72h et la notification aux personnes concernées

    Le RGPD (article 33) impose de notifier la CNIL dans les 72 heures après avoir pris connaissance d'une violation de données personnelles. Ce délai court non pas à partir de l'incident, mais à partir du moment où votre entreprise en a connaissance. Si vous n'êtes pas sûr à 72h, notifiez quand même en précisant que l'investigation est en cours.

    Quand faut-il notifier les personnes concernées ?

    L'article 34 du RGPD impose une notification directe aux personnes concernées (clients, salariés, etc.) sans délai lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés. Exemples :

    • Vol de données financières (RIB, numéro de carte)
    • Exposition de données de santé ou données biométriques
    • Fuite de mots de passe non chiffrés
    • Vol d'identifiants pouvant mener à une usurpation d'identité
    • Données de mineurs compromises

    Si la CNIL estime que vous auriez dû notifier les personnes concernées et que vous ne l'avez pas fait, elle peut l'ordonner et infliger une sanction supplémentaire.

    Préparer sa notification avant l'incident

    En situation de crise, le stress et la précipitation mènent aux erreurs. Préparez votre procédure de notification à froid, avant tout incident :

    Créer un compte sur notifications.cnil.fr

    La procédure d'inscription prend du temps. Faites-le maintenant, pas en pleine crise.

    Désigner un DPO ou responsable notification CNIL

    Qui appelle la CNIL en cas d'incident ? Cette personne doit être connue de tous et joignable 24/7.

    Préparer un modèle de notification ANSSI

    Rédigez à l'avance un template avec les champs requis. En crise, vous n'aurez qu'à compléter les données de l'incident.

    Documenter votre registre des traitements

    La CNIL exige que vous identifiiez rapidement les données personnelles potentiellement touchées. Sans registre à jour, c'est impossible en 72h.

    Rédiger une procédure de réponse à incident (IRP)

    Qui fait quoi, dans quel ordre, avec quels outils. La notification aux autorités est une étape de cette procédure.

    Sanctions pour non-notification : les risques réels

    La CNIL n'hésite plus à sanctionner les entreprises qui n'ont pas notifié une violation dans les délais. Quelques exemples récents :

    • Hôtel (2022) : 600 000 € pour notification tardive d'une violation affectant 1,5 million de clients
    • Prestataire RH (2023) : 200 000 € pour absence de notification d'un incident touchant des données de salariés
    • E-commerçant (2024) : 525 000 € incluant un manquement à l'obligation de notification

    Sous NIS2, les sanctions pour non-notification s'ajoutent à celles pour les manquements aux mesures de sécurité. Une entreprise qui subit un incident et ne le signale pas s'expose à un double risque : l'amende pour les lacunes de sécurité ayant permis l'incident, plus l'amende pour la non-notification.

    Préparez votre procédure de notification maintenant

    Nos experts vous aident à rédiger votre procédure de gestion et notification d'incidents, conforme NIS2 et RGPD, avant qu'une crise ne survienne.

    Préparer ma procédure de notification

    Abonnez-vous à notre newsletter cybersécurité

    Recevez nos actualités, guides pratiques, alertes de sécurité et invitations aux événements directement dans votre boîte mail.

    Consultez notre politique de confidentialité pour plus d'informations.