MON PORTAIL

Registre des incidents (B)

Qu'est-ce qu'une violation de données à caractère personnel ?

Pour qu'il y ait violation, 3 conditions doivent être réunies :

  1. Vous avez mis en œuvre un traitement de données personnelles.
  2. Ces données ont fait l’objet d'une violation (destruction, perte, altération, divulgation ou un accès non autorisé à des données personnelles, de manière accidentelle ou illicite).
  3. Cette violation est intervenue dans le cadre de votre activité de fourniture de services de communications électroniques(par exemple, lors de la fourniture de votre service de téléphonie ou d'accès à d'internet).

Que va faire la CNIL ?

Dès réception, la CNIL va instruire la notification. La procédure relative à la violation notifiée pourra être clôturée si la CNIL constate que :

  • La violation ne porte pas atteinte aux données personnelles ou à la vie privée des personnes (pour vous permettre d'auto-évaluer le niveau de gravité de la violation, la CNIL met à votre disposition un outil d'analyse).

  • Vous avez correctement informé les personnes concernées.

  • Vous avez mis en place, préalablement à la violation, des mesures techniques de protection appropriées.

La CNIL pourra vous imposer d'informer les personnes concernées si elle constate que :

  • Vous ne les avez pas correctement informées.

  • Les mesures techniques de protection que vous avez mises en place préalablement à la violation ne sont pas appropriées.

La CNIL dispose d'un délai de 2 mois pour vérifier le caractère approprié ou non de ces mesures techniques. En l'absence de retour de la CNIL dans ce délai, vous devrez considérer que les mesures ne sont pas appropriées et vous devrez immédiatement informer les personnes de la violation. Si vous essayez d'écrire pour une audience large et générale, votre histoire sonnera fausse et fade. Personne ne sera intéressé. Ecrivez-la pour une personne. Si elle est authentique pour une personne, elle le sera pour les autres. 

Identification du responsable de traitement

Personne à contacter pour obtenir des informations complémentaires

Type de notification


Date de la violation

Date de constatation de la violation

Circonstances de la violation (cocher au moins une case)

Nature et teneur des données à caractère personnel concernées:

Mesures techniques et organisationnelles appliquées par le responsable de traitement à la violation de données à caractère personnel

Mesures de protection technologiques appropriées mises en oeuvre, préalablement à la violation, pour rendre les données

incompréhensibles à toute personne non autorisée à y avoir accès :

(décrire ces mesures et les dispositions prises pour leur conférer une pleine efficacité)

Le cas échéant, références du dossier de formalités accomplies auprès de la CNIL préalablement à la mise en oeuvre du traitement et dans lequel ces mesures sont décrites :

Autres mesures préventives mises en oeuvre :

Mesures prises par le responsable de traitement en réaction immédiate à la violation :

Recours à un tiers pour fournir le service concerné par la violation


Informations sur la violation

Lieu de la violation :

Supports des données concernées par la violation (serveur, poste fixe, ordinateur portable, disque de sauvegarde,

document papier...)

Nombre de personnes concernées par la violation

Conséquences potentielles en cas de perte de confidentialité: :

Les données ont été, ou pourraient vraisemblablement être (il est possible de cocher plusieurs cases) :

Conséquences potentielles en cas de perte d’intégrité: :

Les données ont été, ou pourraient vraisemblablement être (il est possible de cocher plusieurs cases) :

Conséquences potentielles en cas de perte de disponibilité :

Les données ont été, ou pourraient vraisemblablement être (il est possible de cocher plusieurs cases) :

Préjudices potentiels (impacts sur les personnes concernées)

Estimation du niveau de la gravité (choisir le niveau le plus approprié au vu de la description et des exemples) :

NégligeableLimitéImportantMaximal
Description du niveau
Préjudices potentiels représentatifs du niveau

Mesure techniques et organisationnelles prises par le responsable de traitement suite à la violation:

Autres mesures prises ou prévues pour réduire l’impact sur les personnes concernées :

Mesures prises ou prévues pour revenir à une situation normale :

Mesures prises ou prévues pour éviter que la violation se reproduise :


Information des personnes concernées par la violation:

Contenu de l’information fournie aux personnes concernées:

Moyen de communication utilisé pour informer les personnes concernées:

Nombre de personnes informées

Violations concernant des personnes localisées dans d’autres pays de l’Union européenne (UE)

Observations