Dernière mise à jour : 09/04/2026
Conformément aux articles 33 et 34 du RGPD, FUTURETECH SOLUTIONS EURL a mis en place une procédure formalisée de gestion des violations de données personnelles.
Qu'est-ce qu'une violation de données ?
Une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel, ou l'accès non autorisé à de telles données (Art. 4.12 RGPD).
1. Détection et signalement interne
1.1 Sources de détection
- Alertes de sécurité automatiques (monitoring serveur OVHcloud)
- Signalement par un collaborateur ou un prestataire
- Signalement par un utilisateur ou un tiers
- Notification d'un sous-traitant (Stripe, Brevo, OVHcloud)
- Détection via les logs d'activité (ActivityLog)
1.2 Point de contact
Toute suspicion de violation doit être signalée immédiatement au DPO :
2. Évaluation de la violation
Dès la détection, le DPO évalue la violation selon les critères suivants :
| Critère |
Questions à se poser |
| Nature |
S'agit-il d'une violation de confidentialité, d'intégrité ou de disponibilité ? |
| Catégories de données |
Quelles données sont concernées ? (identité, email, paiement, santé, mineurs...) |
| Volume |
Combien de personnes sont potentiellement affectées ? |
| Gravité |
Quel est le risque pour les droits et libertés des personnes ? (usurpation d'identité, perte financière, atteinte à la réputation...) |
| Mesures existantes |
Les données étaient-elles chiffrées ? Les accès étaient-ils restreints ? |
2.1 Classification du risque
| Niveau |
Description |
Actions |
| Faible |
Pas de risque pour les droits et libertés |
Documentation interne uniquement |
| Moyen |
Risque probable pour les droits et libertés |
Notification à la CNIL sous 72h |
| Élevé |
Risque élevé pour les droits et libertés |
Notification CNIL sous 72h + notification aux personnes concernées |
3. Notification à la CNIL (Art. 33)
Délai impératif : 72 heures après avoir pris connaissance de la violation (si risque moyen ou élevé).
3.1 Contenu de la notification
La notification à la CNIL contient :
- La nature de la violation (confidentialité, intégrité, disponibilité)
- Les catégories et le nombre approximatif de personnes concernées
- Les catégories et le nombre approximatif d'enregistrements de données concernés
- Le nom et les coordonnées du DPO
- Les conséquences probables de la violation
- Les mesures prises ou proposées pour remédier à la violation et atténuer ses effets
3.2 Modalités de notification
- Téléservice CNIL : notifications.cnil.fr
- Si la notification ne peut pas être complète sous 72h, une notification initiale partielle est envoyée, complétée ultérieurement
4. Notification aux personnes concernées (Art. 34)
Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, nous les informons dans les meilleurs délais.
4.1 Contenu de la communication
- Description de la violation en des termes clairs et simples
- Coordonnées du DPO
- Conséquences probables
- Mesures prises pour remédier à la violation
- Recommandations pour se protéger (changement de mot de passe, vigilance phishing, etc.)
4.2 Moyens de communication
- Email individuel à chaque personne concernée (via Brevo)
- Bannière sur le site si l'email n'est pas possible ou si le nombre de personnes est trop important
4.3 Exceptions
La notification individuelle n'est pas requise si :
- Les données étaient chiffrées et la clé n'a pas été compromise
- Des mesures ont rendu le risque élevé non susceptible de se matérialiser
- La notification exigerait des efforts disproportionnés (communication publique à la place)
5. Mesures correctives
5.1 Actions immédiates
- Containment : isoler les systèmes affectés
- Révoquer les accès compromis
- Forcer la réinitialisation des mots de passe si nécessaire
- Activer les sauvegardes si perte de données
5.2 Actions correctives
- Corriger la vulnérabilité exploitée
- Renforcer les mesures de sécurité
- Mettre à jour les procédures si nécessaire
- Former le personnel si défaillance humaine
6. Documentation et registre
Conformément à l'article 33.5 du RGPD, nous documentons toute violation de données, quelle que soit sa gravité :
| Information documentée |
Détail |
| Date et heure de détection | Quand la violation a été découverte |
| Date et heure de la violation | Quand elle s'est produite (si connu) |
| Nature de la violation | Confidentialité / Intégrité / Disponibilité |
| Description des faits | Circonstances détaillées |
| Données concernées | Catégories et volume |
| Personnes affectées | Nombre et catégories (joueurs, organisateurs, mineurs...) |
| Évaluation du risque | Faible / Moyen / Élevé |
| Mesures prises | Actions correctives immédiates et préventives |
| Notification CNIL | Oui/Non, date, référence |
| Notification personnes | Oui/Non, date, moyen |
Ce registre est conservé au minimum 5 ans et est tenu à la disposition de la CNIL sur demande.
7. Obligations des sous-traitants
Nos sous-traitants (Stripe, Brevo, OVHcloud) sont contractuellement tenus de nous notifier toute violation de données dans les meilleurs délais (et au plus tard sous 48h) après en avoir pris connaissance, conformément à l'article 33.2 du RGPD.
8. Contact
Pour signaler une violation de données ou une suspicion d'incident :
Consulter notre Politique de Confidentialité
