Definition Violation de données
Une violation de données personnelles, au sens du RGPD, désigne « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, ou l’accès non autorisé à de telles données ». Cette définition couvre trois types d’atteintes : la confidentialité (accès ou divulgation non autorisés), l’intégrité (altération des données) et la disponibilité (perte ou destruction).
Les causes sont multiples. Les cyberattaques (phishing, ransomware, exploitation de vulnérabilités) constituent la principale source de violations. Mais les erreurs humaines (envoi d’un fichier au mauvais destinataire, perte d’un support non chiffré, mauvaise configuration d’un serveur) représentent une part significative des incidents déclarés. Une violation de données ne suppose pas nécessairement une intention malveillante : un accès non autorisé accidentel suffit à déclencher les obligations légales.
Sur le plan juridique, le RGPD impose à tout responsable de traitement de notifier la CNIL dans les 72 heures suivant la découverte d’une violation, dès lors qu’elle est susceptible d’engendrer un risque pour les droits et libertés des personnes concernées. Si ce risque est élevé, les personnes touchées doivent également être informées directement. Le non-respect de cette obligation expose l’organisation à des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial annuel.
Près de 10 mois pour détecter et contenir une violation
Violation de données et fuite de données : quelle différence ?
Les deux termes sont souvent confondus, mais leur périmètre diffère. Une violation de données est un incident de sécurité au sens juridique : elle déclenche des obligations de notification et peut donner lieu à des sanctions. Une fuite de données en est une conséquence possible, mais pas systématique : une violation par ransomware qui chiffre des données sans les exfiltrer constitue une violation (atteinte à la disponibilité) sans nécessairement produire de fuite au sens strict.
Dans le langage courant, le terme « fuite de données » désigne généralement l’exfiltration et la divulgation de données, souvent revendues sur des marchés clandestins ou publiées sur des forums. Les données les plus fréquemment concernées sont les identifiants de connexion, les adresses email, les numéros de téléphone, les données bancaires et, dans les cas les plus graves, les données de santé ou les numéros de sécurité sociale. Une fois publiées, ces données peuvent alimenter des campagnes de phishing ciblé, des tentatives d’usurpation d’identité ou des attaques par credential stuffing.
Comment réduire le risque de violation et limiter son impact
La prévention repose sur plusieurs couches de protection complémentaires. Le chiffrement des données au repos et en transit limite l’exploitabilité des données en cas d’accès non autorisé. L’authentification multifacteur réduit le risque de compromission des comptes, vecteur d’entrée fréquent. La gestion des accès — principe du moindre privilège, révocation rapide des droits des anciens employés — limite la surface exposée en cas d’intrusion.
La détection précoce est aussi déterminante que la prévention. Les outils de surveillance des systèmes d’information (SIEM), les audits réguliers et les tests d’intrusion permettent d’identifier les signaux faibles avant qu’une violation ne se produise ou s’aggrave. En cas d’incident avéré, la réponse doit être organisée en amont : plan de réponse aux incidents documenté, contacts établis avec l’ANSSI et la CNIL, et procédure de notification opérationnelle pour respecter le délai de 72 heures imposé par le RGPD.
