← Retour au site
Procédure de notification de violation de données
Document interne — Version 1.0 — Mars 2026
Obligation légale : Toute violation de données personnelles doit être notifiée à la CNIL dans un délai de 72 heures après en avoir eu connaissance (Article 33 du RGPD).
1. Définition
Une violation de données personnelles est une faille de sécurité entraînant, de manière accidentelle ou illicite :
- La destruction, la perte ou l'altération de données personnelles
- La divulgation non autorisée de données personnelles
- L'accès non autorisé à des données personnelles
2. Détection
Les violations peuvent être détectées via :
- Logs de sécurité GolemAuth : événements suspicious_activity, login_failed massifs, token_reuse
- Audit logs DocuMeet : accès non autorisés, actions anormales
- Monitoring serveur : accès SSH suspects, modifications de fichiers
- Signalement : par un utilisateur, un client, ou un tiers
3. Procédure en cas de violation
T+0 : Détection & qualification
- Identifier la nature de la violation (accès, fuite, destruction)
- Estimer le nombre de personnes concernées
- Identifier les types de données affectées
- Isoler le système compromis si possible
T+4h : Mesures d'urgence
- Révoquer toutes les sessions suspectes via GolemAuth
- Changer les mots de passe/clés compromis
- Bloquer l'accès au vecteur d'attaque (IP ban, désactivation endpoint, etc.)
- Sauvegarder les preuves (logs, screenshots, dumps)
T+24h : Évaluation du risque
- Déterminer si la violation présente un risque pour les droits et libertés des personnes
- Documenter l'incident : chronologie, causes, conséquences, mesures prises
- Décider de la nécessité de notifier la CNIL et les personnes concernées
T+72h maximum : Notification CNIL
- Notifier la CNIL via le téléservice CNIL
- Contenu de la notification :
- Nature de la violation
- Catégories et nombre approximatif de personnes concernées
- Catégories et nombre approximatif de données concernées
- Conséquences probables
- Mesures prises ou envisagées
- Coordonnées du DPO ou point de contact
Si risque élevé : Notification aux personnes concernées
- Informer individuellement les personnes concernées (email via GolemAuth/DocuMeet SMTP)
- Contenu : nature de la violation, conséquences possibles, mesures prises, conseils (changer son mot de passe, surveiller ses comptes)
- Langage clair et simple, pas de jargon technique
4. Registre des violations
Chaque violation doit être documentée dans un registre interne incluant :
- Date et heure de détection
- Nature de la violation
- Données concernées
- Nombre de personnes impactées
- Conséquences
- Mesures correctives appliquées
- Date de notification CNIL (si applicable)
- Date de notification aux personnes (si applicable)
5. Contacts d'urgence
- Responsable technique : contact@golemtech.ovh
- CNIL : www.cnil.fr — Téléservice notifications
- Hébergeur OVH : Support OVH
6. Prévention
- Audits de sécurité réguliers des logs GolemAuth
- Mises à jour de sécurité du serveur et des dépendances
- Rotation périodique des clés de chiffrement
- Tests de pénétration annuels
- Formation de l'équipe aux bonnes pratiques