15 juin 2026Sécurité

Notification d'incident au PFPDT : délais, contenu obligatoire et pièges à éviter

Depuis le 01.09.2023, la nLPD impose une notification au PFPDT dans les 72 heures suivant la découverte d'une violation de données présentant un risque élevé. Connaître le seuil de déclenchement, le contenu requis et les sanctions évite des erreurs coûteuses.

Par ZRS-Holding Sàrl·9 min de lecture·364 lectures
Partager

Une horloge qui tourne dès la découverte, pas dès l'incident

Un ransomware chiffre vos serveurs à 02h00 un dimanche. Votre équipe IT le détecte à 08h00 le lundi matin. Le délai de 72 heures commence à courir à 08h00, pas à 02h00 — c'est la découverte qui déclenche le compte à rebours, non l'intrusion elle-même. Cette nuance, mal comprise, est la première cause de notification tardive dans les PME romandes.

Depuis l'entrée en vigueur de la nouvelle Loi fédérale sur la protection des données (nLPD) le 01.09.2023, toute violation de données personnelles présentant un risque élevé pour les personnes concernées doit être annoncée au Préposé fédéral à la protection des données et à la transparence (PFPDT). Voici ce que cela signifie concrètement pour une organisation de 20 à 150 collaborateurs.

Cadre légal : ce que dit réellement la nLPD

Article 24 nLPD — le texte de référence

L'article 24 nLPD oblige le responsable du traitement (le controller dans la terminologie RGPD) à notifier le PFPDT le plus tôt possible dès qu'il constate qu'une violation de données personnelles est susceptible d'entraîner un risque élevé pour la personnalité ou les droits fondamentaux de la personne concernée. Le texte ne fixe pas 72 heures comme délai absolu dans la loi elle-même — c'est l'Ordonnance sur la protection des données (OPDo) qui précise ce délai dans son article 15 : la notification doit intervenir dans les 72 heures suivant la découverte, si les éléments nécessaires sont disponibles.

Deux conditions cumulatives déclenchent l'obligation :

  1. Une violation de données personnelles : accès non autorisé, destruction, perte, modification, divulgation — accidentelle ou intentionnelle.
  2. Un risque élevé pour les personnes physiques concernées : atteinte à la réputation, discrimination, préjudice financier, mise en danger physique, usurpation d'identité.

Si le risque est faible ou résiduel (ex. : ordinateur portable chiffré perdu, sans données sensibles non chiffrées), la notification n'est pas obligatoire. En revanche, le responsable doit documenter l'incident dans son registre interne et justifier l'absence de notification — cette traçabilité est elle-même une exigence de la nLPD.

Sous-traitants : la chaîne de responsabilité

Un sous-traitant (prestataire IT, hébergeur cloud, fiduciaire externalisée) qui détecte une violation doit en informer le responsable du traitement sans délai. Le délai de 72 heures court ensuite pour le responsable. Si votre MSP découvre l'incident à 10h00 et vous le communique à 14h00, il vous reste 58 heures pour notifier le PFPDT — pas 72. Contractualisez cette obligation dans vos SLA avec les tiers : une clause de notification sous 4 heures est un standard raisonnable.

Contenu obligatoire de la notification

Les six éléments minimaux

L'article 15 OPDo liste le contenu minimal. Une notification incomplète n'est pas valide et peut être considérée comme une non-notification. Les six éléments sont :

  1. Nature de la violation : type d'incident (fuite, accès non autorisé, chiffrement ransomware, erreur d'envoi), vecteur initial si connu (phishing, credential stuffing, vulnérabilité CVE), date et heure de survenance estimées.
  2. Catégories et volume de données concernées : données de santé, données financières, numéros AVS, données d'identification — avec une estimation du nombre de personnes touchées (ex. : ~1 200 clients, ~85 employés).
  3. Conséquences probables : risques identifiés pour les personnes (usurpation, préjudice financier, atteinte à la réputation).
  4. Mesures prises ou envisagées : confinement (isolation réseau, révocation de credentials), remédiation, communication aux personnes concernées.
  5. Coordonnées du délégué à la protection des données (DPD) si désigné, ou du contact interne responsable du dossier.
  6. Référence au registre des activités de traitement : quel traitement est impacté (ex. : CRM clients, paie RH, dossiers médicaux).

Notification en plusieurs temps : le mécanisme des phases

Si, dans les 72 heures, vous ne disposez pas encore de toutes les informations (forensique en cours, périmètre exact non déterminé), vous pouvez soumettre une notification initiale partielle dans le délai, puis compléter avec une notification complémentaire dès que les éléments manquants sont disponibles. Le PFPDT accepte cette approche en deux phases, à condition que la notification initiale soit honnête sur ce qui est connu et ce qui est encore en cours d'investigation.

Ne pas notifier en attendant d'avoir toutes les réponses est une erreur fréquente et risquée. Mieux vaut une notification partielle à H+48 qu'une notification complète à H+96.

Seuil de risque élevé : comment l'évaluer rapidement

Critères d'aggravation du risque

L'évaluation du niveau de risque doit être documentée. Les critères suivants augmentent la probabilité qu'un incident franchisse le seuil « risque élevé » :

  • Données sensibles au sens de l'art. 5 lit. c nLPD : santé, origine ethnique, convictions religieuses, données biométriques, dossier judiciaire, données d'aide sociale.
  • Numéros AVS ou équivalents d'identification nationaux exposés.
  • Volume supérieur à ~100 personnes concernées (seuil indicatif — aucun chiffre fixe dans la loi).
  • Données exfiltrées vers un tiers inconnu ou publiquement accessibles (paste site, dark web).
  • Population vulnérable : mineurs, patients, bénéficiaires d'aide sociale.
  • Combinaison de données permettant une usurpation d'identité (prénom, nom, date de naissance, adresse, IBAN).

Critères d'atténuation

  • Chiffrement AES-256 des données au repos ET en transit, avec clés non compromises.
  • Accès limité à un nombre restreint d'employés disposant d'une habilitation documentée.
  • Données non sensibles (préférences utilisateur, logs d'accès anonymisés).
  • Incident détecté et contenu avant toute exfiltration confirmée.

Une matrice risque × volume documentée en interne est la meilleure protection en cas de contrôle ultérieur du PFPDT.

Sanctions et posture du PFPDT

La nLPD prévoit des amendes pénales jusqu'à CHF 250 000, prononcées contre les personnes physiques responsables (direction, DPD, responsable IT), non contre l'entité juridique. Le PFPDT peut ouvrir une enquête, émettre des recommandations contraignantes et rendre ses décisions publiques — ce dernier point constitue un risque réputationnel significatif pour les PME dont la clientèle est locale.

À ce jour (mi-2025), le PFPDT adopte une posture pédagogique envers les PME de bonne foi qui ont notifié tardivement pour des raisons documentées. En revanche, l'absence totale de notification d'un incident ayant causé un préjudice avéré à des personnes est traitée différemment. La documentation du NCSC sur la réponse aux incidents complète utilement l'approche PFPDT.

Cas pratique : fiduciaire vaudoise de 35 collaborateurs

Contexte

Fiduciaire Blanc & Associés SA, Lausanne, 35 collaborateurs, 420 dossiers clients actifs (particuliers et PME). Parc : 38 postes Windows 11 23H2, 4 serveurs Windows Server 2022, solution de gestion fiscale hébergée on-premise, accès RDP exposé sur le port TCP 3389 pour le travail à distance (erreur de configuration identifiée après coup).

Chronologie de l'incident

  • Vendredi 14.03.2025 à 23h45 — intrusion via credential stuffing sur le compte RDP d'un associé (mot de passe réutilisé). L'attaquant exfiltre un répertoire contenant 2 300 fichiers PDF (bilans, déclarations fiscales, correspondances bancaires) vers un serveur C2 en dehors de la Suisse.
  • Lundi 17.03.2025 à 07h30 — alerte SIEM sur trafic sortant anormal détectée par le MSP. Découverte confirmée à 09h00 après analyse des logs.
  • H+0 = lundi 17.03.2025 à 09h00 — le délai de 72 heures commence.

Procédure suivie — étape par étape

  1. 09h00 — Confinement immédiat (DSI + MSP) : isolation du segment réseau concerné, révocation des credentials RDP compromis, fermeture du port TCP 3389 en attente de migration vers VPN avec MFA.
  2. 09h30 — Activation de la cellule de crise (Direction + DSI + juriste externe) : convocation en visioconférence, désignation d'un responsable incident unique, ouverture du journal d'incident horodaté.
  3. 10h00–14h00 — Forensique initiale (MSP) : analyse des logs Windows Event ID 4624/4625/4648, identification du compte compromis, estimation du volume exfiltré (~780 Mo, ~2 300 fichiers), inventaire des types de données (données fiscales, IBAN, numéros AVS pour 312 personnes physiques identifiées).
  4. 14h30 — Évaluation du risque (DSI + juriste) : données sensibles au sens nLPD (données financières, AVS), 312 personnes physiques concernées, exfiltration confirmée → seuil risque élevé atteint, notification obligatoire.
  5. 15h00 — Notification initiale au PFPDT (juriste + DSI) : soumission via le formulaire en ligne du PFPDT avec les éléments disponibles. Mention explicite : « forensique en cours, volume exact et liste complète des personnes concernées à préciser dans notification complémentaire sous 5 jours ouvrables ».
  6. 17h00 — Communication interne (Direction) : information des associés et des collaborateurs concernés, consignes de confidentialité.
  7. 20.03.2025 — Notification complémentaire (juriste) : périmètre exact confirmé (312 personnes physiques, données fiscales 2020–2024, IBAN, numéros AVS), mesures de remédiation finalisées (MFA activé, RDP désactivé, audit de tous les comptes).
  8. 21.03.2025 — Communication aux personnes concernées : courrier postal recommandé pour les 312 clients identifiés, description de l'incident, données exposées, mesures recommandées (surveillance bancaire, veille identité).

Résultat

Notification initiale à H+6, dans le délai légal. Le PFPDT a accusé réception et demandé des précisions sur les mesures préventives futures. Aucune sanction prononcée. Coût total de l'incident : CHF 38 000 (forensique MSP CHF 8 500, juriste CHF 6 200, communication clients CHF 3 800, remédiation technique CHF 12 400, perte de productivité estimée CHF 7 100).

Récapitulatif opérationnel

  1. Horodatez la découverte : le délai de 72 heures commence à cet instant précis. Consignez-le dans votre journal d'incident avec le nom de la personne qui a détecté.
  2. Évaluez le risque immédiatement : données sensibles ? Volume > 100 personnes ? Exfiltration confirmée ? Si oui à l'un de ces critères, présumez que la notification est obligatoire.
  3. Notifiez partiellement plutôt que tardivement : une notification initiale honnête et incomplète dans les 72 heures vaut mieux qu'une notification complète à J+4.
  4. Utilisez le formulaire officiel du PFPDT : gardez l'URL du formulaire en ligne dans votre runbook de réponse aux incidents — ne cherchez pas ce lien pendant la crise.
  5. Contractualisez la notification sous-traitants : toute violation détectée par un tiers doit vous être communiquée sous 4 heures maximum (SLA à écrire dans les contrats de traitement des données).
  6. Documentez les décisions de non-notification : si vous concluez que le risque est faible, rédigez un mémo daté justifiant cette décision. Le PFPDT peut vous demander cette justification lors d'un contrôle.
  7. Préparez un modèle de notification : les six champs obligatoires de l'art. 15 OPDo remplis à blanc, à compléter sous stress — 30 minutes de préparation aujourd'hui évitent 6 heures de chaos à 03h00.
  8. Communiquez aux personnes concernées en parallèle : la notification au PFPDT n'exclut pas l'obligation de communiquer aux individus si le risque est élevé. Les deux démarches peuvent être simultanées.
  9. Archivez pendant 2 ans minimum : conservez la notification, les accusés de réception, la correspondance avec le PFPDT et le journal d'incident complet.
  10. Testez votre procédure annuellement : un exercice tabletop de 2 heures, une fois par an, réduit drastiquement le temps de réponse réel lors d'un incident.

SynGuard accompagne les PME romandes dans la structuration de leur runbook de réponse aux incidents et la mise en conformité nLPD de leurs parcs d'endpoints.

Sources

Noter cet article

Pas encore de note