Documentation Index
Fetch the complete documentation index at: https://snakysec.mintlify.app/llms.txt
Use this file to discover all available pages before exploring further.
Incident Response 03 — Notification CNIL / RGPD (sous 72h)
1. Cadre juridique
RGPD art. 33 : tout responsable de traitement notifie une violation de
données personnelles à l’autorité de contrôle (CNIL en France) dans un
délai de 72 heures après en avoir pris connaissance, sauf si la
violation n’est pas susceptible d’engendrer un risque pour les droits et
libertés des personnes physiques.
RGPD art. 34 : si la violation est susceptible d’engendrer un risque
élevé, communication aux personnes concernées sans délai indu.
Position SnakySec : sous-traitant au sens art. 28 RGPD. En tant que
sous-traitant, art. 33 §2 impose de notifier le responsable de traitement
(notre client final) sans délai indu, qui à son tour notifie la CNIL.
Conséquence pratique : en cas de breach SnakySec, on notifie d’abord
chaque client impacté sous 24h, puis on assiste chaque client dans sa
propre notification CNIL. SnakySec ne notifie la CNIL pour son propre
compte que pour les data perso de ses propres salariés / utilisateurs
internes (Nicolas + futur staff).
2. Quand notifier (cas SnakySec)
| Scénario | Action |
|---|
| Breach data clients (audits, configurations, rapports) | Notif chaque client sous 24h, ils notifient CNIL eux-mêmes |
| Breach data utilisateurs portail client (UPN, emails) | Idem ci-dessus |
| Breach data salariés SnakySec / Nicolas | Notif CNIL en propre sous 72h |
| Pas de data perso impactée | Pas de notif CNIL (mention dans rapport interne) |
| Doute sur impact data perso | Notif sous 72h par précaution |
3. Évaluation du risque (matrice CNIL)
| Critère | Faible | Moyen | Élevé |
|---|
| Type de données | Identifiants pseudo | Email + nom + tenant | Email + données techniques sensibles (audits non publics) |
| Volume | <10 personnes | 10-1000 personnes | >1000 personnes |
| Sensibilité | Données métier neutres | Configurations techniques tenants | Indicateurs de compromission propres aux clients |
| Ré-identification | Difficile | Possible | Triviale |
| Conséquences | Inconfort | Atteinte réputation | Préjudice matériel/moral significatif |
4. Communication aux clients sous 24h (art. 33 §2)
Objet : SnakySec — Notification de violation de données potentielle (art. 28/33 RGPD)
Madame, Monsieur,
En tant que sous-traitant de vos données dans le cadre de notre prestation
MSSP de cybersécurité, nous portons à votre connaissance la situation
suivante.
CHRONOLOGIE
- Détection : YYYY-MM-DD HH:MM UTC
- Notification de votre côté : YYYY-MM-DD HH:MM UTC (sous 24h conformément à
notre engagement contractuel et art. 33 §2 RGPD)
NATURE DE LA VIOLATION
- Type : [confidentialité / intégrité / disponibilité]
- Cause probable : [ransomware / accès non autorisé / bug / inconnu]
DONNÉES CONCERNÉES (vous concernant spécifiquement)
- Nature : [UPN, emails, configurations Entra ID, résultats d'audits, rapports GRC]
- Volume estimé : [N enregistrements / dossiers]
- Période couverte : [date_début → date_fin]
CONSÉQUENCES PROBABLES POUR VOS PERSONNES CONCERNÉES
- [Faible / Moyen / Élevé selon matrice CNIL]
- Justification : [...]
MESURES PRISES PAR SNAKYSEC
- Isolation infrastructure : OUI/NON
- Restauration depuis backups intègres : EN COURS
- Notification CSIRT-FR : OUI (réf. CERT-FR-...)
- Investigation forensique : OUI
VOS OBLIGATIONS RGPD ART. 33 §1
En tant que responsable de traitement, vous êtes tenu de notifier la CNIL
sous 72 heures à compter de la prise de connaissance de cette violation
(notre notification du jour). Lien direct : https://notifications.cnil.fr/
Nous nous tenons à votre disposition pour vous assister dans cette
notification, et vous fournirons sous 7 jours un rapport post-incident
détaillé conforme aux attentes CNIL pour annexer à votre déclaration.
VOTRE INTERLOCUTEUR DÉDIÉ
- Nicolas Schiffgens, dirigeant SnakySec
- Email : nicolas@snakysec.com
- Téléphone : [+33 X XX XX XX XX]
Cordialement,
SnakySec
5. Notification CNIL (cas data perso SnakySec interne)
5.1 Voie nominale
Formulaire en ligne : https://notifications.cnil.fr/notifications/index
5.2 Champs obligatoires
RESPONSABLE DE TRAITEMENT
- Raison sociale : SnakySec SAS / SASU
- SIREN : [XXX XXX XXX]
- Adresse : [...]
- DPO : [Nicolas en V1, externalisé Phase 1]
VIOLATION
- Date de prise de connaissance : YYYY-MM-DD HH:MM
- Date de la violation (si connue) : YYYY-MM-DD HH:MM
- Statut : [terminée / en cours / inconnu]
- Nature : [confidentialité / intégrité / disponibilité]
- Catégories de personnes : [salariés / utilisateurs internes / N personnes]
- Catégories de données : [identification / contact / professionnelles]
- Volume : [N enregistrements]
CONSÉQUENCES
- Risque pour les personnes : [faible / moyen / élevé]
- Justification : [...]
MESURES
- Mesures techniques : [restauration backups, rotation secrets, isolation]
- Mesures organisationnelles : [revue policy, formation, audit externe planifié]
- Communication aux personnes (art. 34) : [oui si risque élevé / non]
DOCUMENTS JOINTS
- Rapport post-incident (PDF)
- Référence CERT-FR : [CERT-FR-AVI-YYYY-NNNN]
6. Communication aux personnes (art. 34, si risque élevé)
Objet : Information importante — Sécurité de vos données
[Nom personne],
Conformément à l'article 34 du RGPD, nous vous informons d'un incident de
sécurité survenu le YYYY-MM-DD ayant pu impacter vos données personnelles.
NATURE DE L'INCIDENT
[description en langage clair, non technique]
DONNÉES CONCERNÉES VOUS CONCERNANT
- [Liste précise]
CONSÉQUENCES POSSIBLES POUR VOUS
- [Liste explicite des risques]
MESURES PRISES
- [Restauration, sécurisation, etc.]
CE QUE VOUS POUVEZ FAIRE
- Surveiller vos comptes pour activité inhabituelle pendant les prochains 30 jours
- Changer votre mot de passe SnakySec
- Activer la double authentification si pas déjà actif
- Nous signaler toute anomalie : contact@snakysec.com
VOS DROITS RGPD
Vous disposez d'un droit d'accès, rectification, effacement, opposition.
Pour exercer : dpo@snakysec.com (Phase 1+) ou nicolas@snakysec.com (V1).
Recours possible auprès de la CNIL : https://www.cnil.fr/
Cordialement,
SnakySec
7. Registre des violations (art. 33 §5)
Toute violation, notifiée ou non, doit être consignée dans un registre
interne accessible à la CNIL en cas de contrôle.
Format : fichier docs/dr/registre-violations.md (ou table dédiée Phase 2).
| Date | Type | Cause | Données | Volume | Notif CNIL | Notif personnes | Mesures | Statut |
|---|---|---|---|---|---|---|---|---|
| 2026-04-26 | Tentative intrusion (échouée) | Brute-force SSH | aucune | 0 | NON | NON | fail2ban renforcé | Clos |
| ... | | | | | | | | |
8. Erreurs à ne pas commettre
| Erreur | Conséquence |
|---|
| Notifier la CNIL au lieu de notifier les clients (sous-traitance) | Confusion juridique, risque double notif |
| Ne pas notifier dans les 72h | Sanction RGPD jusqu’à 10 M€ ou 2% CA mondial (art. 83 §4) |
| Sous-évaluer le risque pour éviter la notif | Sanction RGPD si découvert (intentionnalité aggravante) |
| Notifier sans rapport post-incident | CNIL demande complément, multipliant les échanges |
| Communication aux personnes en langage trop technique | Sanction art. 34 §2 (informations claires et compréhensibles) |
9. Validation du runbook
Testé annuellement (Q4) avec rédaction d’une notif fictive — pas d’envoi
réel à la CNIL. Mention “TEST DR Q4 — DO NOT PROCESS” en première ligne.
| Version | Date | Auteur |
|---|
| 1.0 | 2026-04-26 | Nicolas Schiffgens |
