Procédure de violation de données personnelles

Articles 33 & 34 du RGPD - Règlement (UE) 2016/679. Délai de notification CNIL : 72 heures maximum après détection.

⚠️ Rappel critique. Toute violation de données personnelles doit être documentée, même si elle n'est pas notifiée à la CNIL. Le défaut de notification est passible d'une amende administrative pouvant atteindre 10 M€ ou 2 % du chiffre d'affaires mondial (art. 83.4).

1. Qu'est-ce qu'une violation de données ?

Une violation de données personnelles est une violation de la sécurité entraînant, de manière accidentelle ou illicite :

Destruction : perte irréversible de données (incendie, crash sans sauvegarde…).
Perte : données rendues inaccessibles (clé de chiffrement perdue, rançongiciel…).
Altération : modification non autorisée (corruption volontaire, vandalisme…).
Divulgation non autorisée : fuite à un tiers non habilité (piratage, envoi par erreur, publication accidentelle…).
Accès non autorisé : consultation par une personne non habilitée (compte compromis, partage de mot de passe…).

2. Exemples concrets pour notre association

🔴 Critique : compromission de la base MySQL ou vol de la clé .doc_key (qui déchiffre les documents sensibles).
🟠 Important : partage accidentel d'un export de données, fuite d'un bulletin d'adhésion rempli par erreur à une mauvaise personne, compte admin compromis.
🟡 Mineur : e-mail de mailing envoyé en clair à la mauvaise liste, perte temporaire de l'accès admin, bug affichant les données d'un membre à un autre.
⚪ À évaluer : téléphone admin perdu avec session active, clé USB contenant un export perdue, capture d'écran de l'app publiée par erreur sur les réseaux.

3. Procédure - Les 4 étapes

Détection & confinement (H+0 à H+1)
Toute personne qui constate ou suspecte une violation doit immédiatement alerter le Président par courriel à contact@missmisteroi.com ou par téléphone. Objectif : arrêter l'hémorragie.
- Changer immédiatement le mot de passe des comptes concernés.
- Révoquer les sessions actives (via le panel Hostinger ou en forçant un redémarrage PHP).
- Isoler les éventuels fichiers compromis (renommer, retirer du web-root).
- Ne rien supprimer : conserver les logs et traces pour l'analyse.
Qualification & documentation (H+1 à H+24)
Le Président, avec l'aide du responsable technique, qualifie la violation et remplit une fiche d'incident (modèle en §4) contenant :
- Date et heure de détection, date probable de l'incident.
- Nature : destruction / perte / altération / divulgation / accès non autorisé.
- Catégories de données concernées (identité, contact, photos, documents sensibles chiffrés…).
- Nombre approximatif de personnes concernées.
- Conséquences probables (usurpation, discrimination, préjudice financier, atteinte à la réputation…).
- Mesures déjà prises et mesures envisagées.
Notification à la CNIL (≤ 72 h après détection)

Si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes, notifier à la CNIL via le téléservice : cnil.fr/fr/notifier-une-violation-de-donnees-personnelles

Si la notification dépasse 72 h, elle doit être motivée. Si tous les éléments ne sont pas encore connus, faire une notification initiale puis compléter ultérieurement.

Si pas de risque (ex. données publiques, pseudonymisées correctement) : notification non requise, mais l'incident doit être consigné dans le registre interne.
Information des personnes concernées (sans délai, si risque élevé)
Si le risque est élevé (divulgation de pièces d'identité, de coordonnées bancaires…), informer individuellement chaque personne concernée par un courriel clair (modèle en §5) expliquant :
- La nature de la violation.
- Les données concernées.
- Les conséquences probables.
- Les mesures prises et à prendre par la personne.
- Le contact de l'association.
L'information peut être remplacée par une communication publique si un contact individuel demande un effort disproportionné.

4. Modèle de fiche d'incident interne

=== FICHE D'INCIDENT - VIOLATION DE DONNÉES ===

Date de détection         : __/__/____  __h__
Date probable de l'incident : __/__/____  __h__
Détecté par               : [nom]
Qualifié par              : [nom]

1. NATURE
[ ] Destruction   [ ] Perte   [ ] Altération
[ ] Divulgation   [ ] Accès non autorisé

2. PÉRIMÈTRE
Source          : [base MySQL / uploads / compte admin / mailing / autre]
Données exposées : [identité / contact / mot de passe / photos / doc sensible / finance / autre]
Personnes concernées : ____ (approx.)

3. CAUSE PRÉSUMÉE
[ ] Attaque externe (piratage, bruteforce, phishing)
[ ] Erreur humaine
[ ] Défaillance technique
[ ] Sous-traitant
[ ] Autre : ____________________

4. IMPACT ESTIMÉ
Gravité      : [ ] Mineure   [ ] Modérée   [ ] Importante   [ ] Critique
Risque       : [ ] Faible   [ ] Moyen   [ ] Élevé
Conséquences : ______________________________________

5. MESURES IMMÉDIATES PRISES
- _______________________________________________
- _______________________________________________

6. DÉCISIONS
[ ] Notification CNIL requise (risque pour droits & libertés) → délai 72 h
[ ] Information des personnes requise (risque élevé)
[ ] Notification non requise → consigner ici uniquement

Date notification CNIL    : __/__/____  Référence : ________
Date information membres  : __/__/____

7. SUIVI
Mesures correctives de long terme :
- _______________________________________________
Clôture : __/__/____   Visa Président : ________

5. Modèle d'e-mail d'information aux personnes concernées

Objet : Information importante concernant vos données personnelles

Bonjour [Prénom],

Dans le cadre de notre engagement de transparence et en application
de l'article 34 du RGPD, nous vous informons qu'une violation de
données personnelles est survenue le [DATE] concernant notre
application interne.

Nature de l'incident :
[Décrire brièvement et factuellement]

Données concernées vous concernant :
[Liste précise]

Conséquences possibles :
[Usurpation, spam, etc.]

Mesures prises par l'association :
- [Mesures techniques et organisationnelles immédiates]
- [Audit de sécurité en cours]

Ce que vous pouvez faire :
- Changer votre mot de passe sur l'application.
- Rester vigilant aux e-mails inhabituels.
- Nous contacter à contact@missmisteroi.com pour toute question.

Vous pouvez également introduire une réclamation auprès de la CNIL :
www.cnil.fr/fr/plaintes

Nous vous prions d'accepter nos sincères excuses pour cet incident.

HORN Teddy
Président - Dynamyk Océan Indien
contact@missmisteroi.com

6. Registre interne des violations

Toutes les violations doivent être consignées dans un registre interne (même si non notifiées à la CNIL), incluant :

Date, nature, conséquences de la violation.
Mesures prises pour y remédier.
Justification des décisions prises (notifier ou non la CNIL, informer ou non les personnes).

Ce registre est conservé pendant toute la durée d'existence de l'association et présenté à la CNIL sur demande.

Emplacement du registre : Un dossier chiffré /rgpd/incidents/ sur le poste du Président, sauvegardé mensuellement. Chaque incident = 1 fiche PDF signée + pièces jointes (logs, captures, courriels).

7. Contacts utiles

CNIL - Notifications
Téléservice : cnil.fr/notifier-une-violation-de-donnees-personnelles
Téléphone : 01 53 73 22 22
Adresse : 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07

ANSSI - Cybermalveillance.gouv.fr (pour les particuliers victimes)
www.cybermalveillance.gouv.fr

Hostinger - Support urgence
Chat 24/7 depuis le hPanel - signaler "potential security breach"

Version 1.0 - 24/04/2026