Cyberattaque et obligations légales consécutives

Les cyberattaques se multiplient et chaque acteur, quels que soit sa taille ou son domaine d’activité, peut être ciblé.

Ces cyberattaques peuvent entraîner une perte de données en cas d’attaque par rançongiciel (ransomware) mais aussi une fuite de données à la suite d’un défaut de sécurité, telle qu’une authentification par un mot de passe trop faible.

Selon les termes du règlement général sur la protection des données (« RGPD »), une violation de données est constituée en cas de perte de disponibilité, d’intégrité ou de confidentialité des données, et ce que ce soit de manière accidentelle ou illicite.

Ainsi, même une perte de disponibilité, suite à une attaque par rançongiciel ou à un incendie par exemple, qui n’aurait donc pas donné lieu à une interception ou à une fuite de données, constitue bien une violation de données au sens du RGPD.

Suite à une violation de données, les entreprises victimes sont tenues de :

• Porter plainte afin de pouvoir être indemnisées, notamment en cas de perte d’exploitation suite à l’indisponibilité des données. Depuis le 24 avril 2023, l’indemnisation d’un assuré ayant subi des pertes et dommages causés par une cyberattaque est subordonnée au dépôt d’une plainte par la victime, dans les 72 heures après la prise de connaissance de l’attaque.


• Notifier la violation de données à la CNIL (ou à son autorité de contrôle compétente), dans ce même délai de 72 heures. La notification se fait directement en ligne sur le site de la CNIL ou de l’autorité compétente via le formulaire dédié.


• Notifier si nécessaire les personnes concernées : en cas de risques élevés pour les personnes concernées, le responsable de traitement devra également informer les personnes dont les données ont été interceptées de manière non autorisée afin de limiter l’impact sur leur vie privée.

Le cabinet Daphnée Spinetti Avocat se tient à votre disposition pour vous accompagner dans la mise en place d’une gestion de crise en cas de violation de données.