> ## Documentation Index
> Fetch the complete documentation index at: https://docs.snakysec.com/llms.txt
> Use this file to discover all available pages before exploring further.

# 03 cnil rgpd notification

# Incident Response 03 — Notification CNIL / RGPD (sous 72h)

## 1. Cadre juridique

**RGPD art. 33** : tout responsable de traitement notifie une violation de
données personnelles à l'autorité de contrôle (CNIL en France) dans un
délai de **72 heures après en avoir pris connaissance**, sauf si la
violation n'est pas susceptible d'engendrer un risque pour les droits et
libertés des personnes physiques.

**RGPD art. 34** : si la violation est susceptible d'engendrer un **risque
élevé**, communication aux personnes concernées sans délai indu.

**Position SnakySec** : sous-traitant au sens art. 28 RGPD. En tant que
sous-traitant, art. 33 §2 impose de notifier le responsable de traitement
(notre client final) **sans délai indu**, qui à son tour notifie la CNIL.

**Conséquence pratique** : en cas de breach SnakySec, on notifie d'abord
**chaque client impacté** sous 24h, puis on assiste chaque client dans sa
propre notification CNIL. SnakySec ne notifie la CNIL **pour son propre
compte** que pour les data perso de ses propres salariés / utilisateurs
internes (Nicolas + futur staff).

## 2. Quand notifier (cas SnakySec)

| Scénario                                               | Action                                                     |
| ------------------------------------------------------ | ---------------------------------------------------------- |
| Breach data clients (audits, configurations, rapports) | Notif chaque client sous 24h, ils notifient CNIL eux-mêmes |
| Breach data utilisateurs portail client (UPN, emails)  | Idem ci-dessus                                             |
| Breach data salariés SnakySec / Nicolas                | Notif CNIL en propre sous 72h                              |
| Pas de data perso impactée                             | Pas de notif CNIL (mention dans rapport interne)           |
| Doute sur impact data perso                            | Notif sous 72h par précaution                              |

## 3. Évaluation du risque (matrice CNIL)

| Critère           | Faible                 | Moyen                             | Élevé                                                     |
| ----------------- | ---------------------- | --------------------------------- | --------------------------------------------------------- |
| Type de données   | Identifiants pseudo    | Email + nom + tenant              | Email + données techniques sensibles (audits non publics) |
| Volume            | \<10 personnes         | 10-1000 personnes                 | >1000 personnes                                           |
| Sensibilité       | Données métier neutres | Configurations techniques tenants | Indicateurs de compromission propres aux clients          |
| Ré-identification | Difficile              | Possible                          | Triviale                                                  |
| Conséquences      | Inconfort              | Atteinte réputation               | Préjudice matériel/moral significatif                     |

**Si cumul de critères "Élevé" → notif sous 72h + communication aux personnes (art. 34)**

## 4. Communication aux clients sous 24h (art. 33 §2)

```
Objet : SnakySec — Notification de violation de données potentielle (art. 28/33 RGPD)

Madame, Monsieur,

En tant que sous-traitant de vos données dans le cadre de notre prestation
MSSP de cybersécurité, nous portons à votre connaissance la situation
suivante.

CHRONOLOGIE
- Détection : YYYY-MM-DD HH:MM UTC
- Notification de votre côté : YYYY-MM-DD HH:MM UTC (sous 24h conformément à
  notre engagement contractuel et art. 33 §2 RGPD)

NATURE DE LA VIOLATION
- Type : [confidentialité / intégrité / disponibilité]
- Cause probable : [ransomware / accès non autorisé / bug / inconnu]

DONNÉES CONCERNÉES (vous concernant spécifiquement)
- Nature : [UPN, emails, configurations Entra ID, résultats d'audits, rapports GRC]
- Volume estimé : [N enregistrements / dossiers]
- Période couverte : [date_début → date_fin]

CONSÉQUENCES PROBABLES POUR VOS PERSONNES CONCERNÉES
- [Faible / Moyen / Élevé selon matrice CNIL]
- Justification : [...]

MESURES PRISES PAR SNAKYSEC
- Isolation infrastructure : OUI/NON
- Restauration depuis backups intègres : EN COURS
- Notification CSIRT-FR : OUI (réf. CERT-FR-...)
- Investigation forensique : OUI

VOS OBLIGATIONS RGPD ART. 33 §1
En tant que responsable de traitement, vous êtes tenu de notifier la CNIL
sous 72 heures à compter de la prise de connaissance de cette violation
(notre notification du jour). Lien direct : https://notifications.cnil.fr/

Nous nous tenons à votre disposition pour vous assister dans cette
notification, et vous fournirons sous 7 jours un rapport post-incident
détaillé conforme aux attentes CNIL pour annexer à votre déclaration.

VOTRE INTERLOCUTEUR DÉDIÉ
- Nicolas Schiffgens, dirigeant SnakySec
- Email : nicolas@snakysec.com
- Téléphone : [+33 X XX XX XX XX]

Cordialement,
SnakySec
```

## 5. Notification CNIL (cas data perso SnakySec interne)

### 5.1 Voie nominale

Formulaire en ligne : [https://notifications.cnil.fr/notifications/index](https://notifications.cnil.fr/notifications/index)

### 5.2 Champs obligatoires

```
RESPONSABLE DE TRAITEMENT
- Raison sociale : SnakySec SAS / SASU
- SIREN : [XXX XXX XXX]
- Adresse : [...]
- DPO : [Nicolas en V1, externalisé Phase 1]

VIOLATION
- Date de prise de connaissance : YYYY-MM-DD HH:MM
- Date de la violation (si connue) : YYYY-MM-DD HH:MM
- Statut : [terminée / en cours / inconnu]
- Nature : [confidentialité / intégrité / disponibilité]
- Catégories de personnes : [salariés / utilisateurs internes / N personnes]
- Catégories de données : [identification / contact / professionnelles]
- Volume : [N enregistrements]

CONSÉQUENCES
- Risque pour les personnes : [faible / moyen / élevé]
- Justification : [...]

MESURES
- Mesures techniques : [restauration backups, rotation secrets, isolation]
- Mesures organisationnelles : [revue policy, formation, audit externe planifié]
- Communication aux personnes (art. 34) : [oui si risque élevé / non]

DOCUMENTS JOINTS
- Rapport post-incident (PDF)
- Référence CERT-FR : [CERT-FR-AVI-YYYY-NNNN]
```

## 6. Communication aux personnes (art. 34, si risque élevé)

```
Objet : Information importante — Sécurité de vos données

[Nom personne],

Conformément à l'article 34 du RGPD, nous vous informons d'un incident de
sécurité survenu le YYYY-MM-DD ayant pu impacter vos données personnelles.

NATURE DE L'INCIDENT
[description en langage clair, non technique]

DONNÉES CONCERNÉES VOUS CONCERNANT
- [Liste précise]

CONSÉQUENCES POSSIBLES POUR VOUS
- [Liste explicite des risques]

MESURES PRISES
- [Restauration, sécurisation, etc.]

CE QUE VOUS POUVEZ FAIRE
- Surveiller vos comptes pour activité inhabituelle pendant les prochains 30 jours
- Changer votre mot de passe SnakySec
- Activer la double authentification si pas déjà actif
- Nous signaler toute anomalie : contact@snakysec.com

VOS DROITS RGPD
Vous disposez d'un droit d'accès, rectification, effacement, opposition.
Pour exercer : dpo@snakysec.com (Phase 1+) ou nicolas@snakysec.com (V1).
Recours possible auprès de la CNIL : https://www.cnil.fr/

Cordialement,
SnakySec
```

## 7. Registre des violations (art. 33 §5)

Toute violation, **notifiée ou non**, doit être consignée dans un registre
interne accessible à la CNIL en cas de contrôle.

Format : fichier `docs/dr/registre-violations.md` (ou table dédiée Phase 2).

```markdown theme={null}
| Date | Type | Cause | Données | Volume | Notif CNIL | Notif personnes | Mesures | Statut |
|---|---|---|---|---|---|---|---|---|
| 2026-04-26 | Tentative intrusion (échouée) | Brute-force SSH | aucune | 0 | NON | NON | fail2ban renforcé | Clos |
| ... | | | | | | | | |
```

## 8. Erreurs à ne pas commettre

| Erreur                                                            | Conséquence                                                   |
| ----------------------------------------------------------------- | ------------------------------------------------------------- |
| Notifier la CNIL au lieu de notifier les clients (sous-traitance) | Confusion juridique, risque double notif                      |
| Ne pas notifier dans les 72h                                      | Sanction RGPD jusqu'à 10 M€ ou 2% CA mondial (art. 83 §4)     |
| Sous-évaluer le risque pour éviter la notif                       | Sanction RGPD si découvert (intentionnalité aggravante)       |
| Notifier sans rapport post-incident                               | CNIL demande complément, multipliant les échanges             |
| Communication aux personnes en langage trop technique             | Sanction art. 34 §2 (informations claires et compréhensibles) |

## 9. Validation du runbook

Testé annuellement (Q4) avec rédaction d'une notif fictive — pas d'envoi
réel à la CNIL. Mention "TEST DR Q4 — DO NOT PROCESS" en première ligne.

| Version | Date       | Auteur             |
| ------- | ---------- | ------------------ |
| 1.0     | 2026-04-26 | Nicolas Schiffgens |