Violation de données — que faire dans les 72 heures

Pourquoi 72 heures ?

Il est 23h. Vous recevez un email d'alerte : votre base de données membres vient d'être exposée. Que faites-vous ? Si vous n'avez pas de procédure prête, vous allez improviser. Et improviser sous pression, c'est exactement là que les erreurs coûteuses se produisent.

La LPD révisée (RS 235.1, art. 24) impose une notification au PFPDT sans délai excessif — en pratique, 72 heures. Ce délai court dès le moment où vous avez connaissance de la violation, pas dès qu'elle s'est produite.

Ce qui constitue une violation

Trois catégories définies par l'art. 24 LPD :

• Perte de confidentialité : données visibles par des tiers non autorisés
• Perte d'intégrité : données modifiées sans autorisation
• Perte de disponibilité : données rendues inaccessibles

Un laptop volé, un envoi de newsletter à la mauvaise liste, une base de données mal configurée — tout cela compte.

Qui dois-je notifier ?

• Le PFPDT (obligatoire) : si la violation présente un risque élevé pour les droits et libertés. Formulaire disponible sur edoeb.admin.ch.
• Les personnes concernées (obligatoire si préjudice direct) : vol d'identité, discrimination, atteinte à la réputation.

La procédure en 5 étapes

Étape 1 — Contenir (H+0)
Coupez l'accès, changez les mots de passe, déconnectez les systèmes compromis du réseau.

Étape 2 — Évaluer (H+1 à H+4)
Combien de personnes sont concernées ? Quelles données ? Des données sensibles sont-elles impliquées ?

Étape 3 — Documenter (dès H+0, en continu)
Consignez tout : heure de détection, nature des données, systèmes affectés, actions prises.

Étape 4 — Notifier (avant H+72)
Soumettez la notification au PFPDT avec : nature de la violation, catégories et volume de données, coordonnées du responsable, mesures prises. Un formulaire incomplet dans les délais vaut mieux qu'un formulaire parfait en retard.

Étape 5 — Analyser et prévenir la récidive
Post-mortem obligatoire. Formez vos bénévoles. Corrigez la faille.

Le facteur humain

Les recherches de Verizon (DBIR 2025) confirment que 74 % des violations impliquent un élément humain. La procédure technique ne sert à rien sans la sensibilisation des personnes.

Exercice pratique

✅ À faire maintenant : rédigez un document d'une page «Que faire en cas de violation de données». Désignez une personne responsable. Notez le lien vers le formulaire PFPDT. Ce document doit être accessible hors ligne — en cas de cyberattaque, votre infrastructure peut être indisponible.