Fuite de données

Signaler une fuite de données sous 72 heures : le plan d'action complet

27 février 2026 · 8 min de lecture · DeSnipperaar

Un ordinateur portable volé, un e-mail mal adressé, un carton d'archives qui disparaît en route, une base de données piratée. Une fuite de données peut arriver à toute organisation, et le compte à rebours démarre dès l'instant où vous en avez connaissance. L'article 33 du RGPD donne 72 heures pour informer l'autorité néerlandaise de protection des données (AP). L'article 34 couvre les cas où vous devez aussi informer les personnes concernées. Cet article est un plan d'action opérationnel pour les trois premiers jours après la découverte.

Public. DPO, RSSI, coordinateurs vie privée et toute personne directement impliquée dans les incidents.

Qu'est-ce qu'une fuite de données au sens du RGPD ?

L'article 4(12) la définit comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».

Cela signifie que tout incident de sécurité de l'information n'est pas automatiquement une fuite de données. Des données personnelles doivent être en jeu. Une attaque DDoS sans perte de données n'est pas une fuite de données. Un ordinateur portable volé avec des données chiffrées et un mot de passe fort est douteux, mais souvent pas une fuite de données parce que les données sont illisibles.

Heure 0 à 4 : constater et isoler

1. Recevez le signalement (d'un employé, client, fournisseur, autorité de contrôle, média).
2. Notez l'heure et la source. C'est votre T-0.
3. Activez l'équipe de réponse aux incidents (DPO, IT, communication, juridique).
4. Évaluez dans les grandes lignes. Des données personnelles sont-elles concernées ?
5. Isolez la fuite. Bloquez les comptes, coupez les connexions réseau, scellez les emplacements physiques.
6. Préservez les preuves. Réalisez des copies forensiques ou des images dès que possible.

Le compte à rebours démarre à « la prise de connaissance », pas à « la pleine clarté ». Attendre que tout soit clair est une erreur coûteuse.

Heure 4 à 24 : déterminer l'impact

1. Quelles données personnelles sont concernées ? Noms, adresses, BSN, données médicales, financières ?
2. Combien de personnes concernées ? Estimez largement au début, affinez plus tard.
3. Quelles catégories particulières (art. 9 RGPD) sont touchées ?
4. Quelles conséquences sont envisageables pour les personnes concernées ? Fraude à l'identité, chantage, discrimination, perte financière, diffamation ?
5. Les données sont-elles chiffrées ou autrement protégées ? Cela peut conduire à conclure qu'aucune notification n'est requise.
6. Informez les parties prenantes internes (direction, conseil de surveillance, audit).

Heure 24 à 48 : décider et rédiger

Vient maintenant la décision centrale. Notifier l'AP ou non ?

• Ne pas notifier. Autorisé s'il est improbable que la fuite présente un risque pour les droits et libertés des personnes concernées. Consignez cette évaluation par écrit dans le registre des traitements (art. 33(5) RGPD). En cas de doute, notifiez.
• Notifier. Auprès de l'autorité néerlandaise de protection des données via autoriteitpersoonsgegevens.nl. Formulaire numérique.

Dans la notification, vous indiquez.

1. La nature de la fuite (vol, transmission, piratage, perte)
2. Les catégories et le nombre de personnes concernées
3. Les catégories et le nombre d'éléments de données personnelles
4. Les conséquences probables
5. Les mesures prises
6. Les coordonnées du DPO ou du responsable du traitement

Toutes les informations ne sont pas encore prêtes ? C'est permis. Vous soumettez une notification par étapes. Première notification avec les informations disponibles sous 72 heures, compléments plus tard. C'est explicitement permis par l'art. 33(4) du RGPD.

Informer les personnes concernées : quand ?

L'article 34 vous impose d'informer les personnes concernées si la fuite présente un risque élevé. En pratique, cela signifie.

• BSN, pièces d'identité, données de carte de crédit en jeu. Oui.
• Données médicales ou financières en jeu. Oui.
• Adresses e-mail seules, sans mots de passe et sans contexte sensible. Souvent non.
• Données chiffrées, clé inconnue. Souvent non.

L'information aux personnes concernées contient. La nature de la fuite, les conséquences attendues, les mesures que vous prenez, une personne de contact, des conseils pour la personne concernée (par exemple changer ses mots de passe, alerter sa banque).

Heure 48 à 72 : soumettre et communiquer

1. Soumettez la notification à l'AP.
2. Si nécessaire, informez les personnes concernées par courrier, e-mail ou publication.
3. Communication interne. Ce que le personnel peut et ne peut pas partager.
4. Concertation avec les sous-traitants impliqués dans la fuite. Vérifiez la responsabilité dans l'accord de traitement.
5. Préparation à une éventuelle attention médiatique.
6. Tenez un journal de toutes les décisions et actions.

Après l'heure 72 : suivi et apprentissage

Une notification de fuite de données n'est pas un point final. L'AP peut poser des questions supplémentaires, ouvrir une enquête, imposer des amendes. Assurez-vous de.

• Disposer d'un rapport d'impact sous 7 jours pour un usage interne
• Mener une analyse des causes profondes sous 30 jours
• Mettre en œuvre sous 60 jours des mesures qui empêchent la récidive
• Ajouter l'incident à votre registre des traitements et l'inclure dans votre archive prête pour l'audit comme annexe « incident »

Scénarios spécifiques autour de la destruction

Les fuites de données dues à une mauvaise destruction arrivent régulièrement.

Cartons de papier dans les vieux papiers

Un employé pose accidentellement des cartons d'archives près du conteneur à papier. Dès que quelqu'un trouve des données lisibles, c'est une fuite de données. Action directe. Essayez de récupérer les cartons, analysez l'incident, notifiez, renforcez la politique.

Ordinateur portable non chiffré volé

Ordinateur portable avec des données d'entreprise non chiffrées. Une fuite, sauf s'il peut être prouvé que le voleur n'a obtenu aucun accès (rare). Notifiez et informez les personnes concernées.

Conteneur de destruction perdu pendant le transport

Un conteneur non scellé disparaît en route entre le client et l'installation centrale de broyage. Dans ce cas, demandez les numéros de scellés sur le certificat de destruction. Une fuite. C'est pourquoi la destruction sur site a du sens. Ainsi rien ne quitte les lieux avant d'être détruit. Voir déchiquetage sur site face au hors site.

Clé USB oubliée

Une clé avec des données client dans un taxi, un restaurant, un train. Sauf si elle est chiffrée, c'est une fuite. Voir notre article sur l'élimination sûre des clés USB et cartes SD.

Point de signalement interne et playbook

Une organisation sans playbook perd des heures dans la première phase. Recommandations.

1. Une adresse e-mail comme datalek@votreentreprise.nl, surveillée 24h/24 et 7j/7.
2. Un playbook avec les rôles, les numéros de téléphone et les voies d'escalade.
3. Un modèle de notification pour l'AP avec des champs fixes.
4. Un plan de communication pour les personnes concernées et les médias.
5. Un exercice annuel d'un incident fictif.

Risque d'amende

L'AP a imposé à plusieurs reprises des amendes de 500 000 à 1 million d'euros pour notification tardive ou pour la fuite elle-même. En 2020, Booking.com a été condamnée à 475 000 euros parce qu'un incident n'avait été signalé qu'après 22 jours. Principal reproche. Le non-respect du délai de 72 heures. La leçon. Notifiez trop tôt plutôt que trop tard.

---

Prévenir une fuite par la destruction sur site ? Appelez-nous ou demandez un devis via desnipperaar.nl. Nous sommes joignables 24h/24 et 7j/7 pour les missions urgentes.