✅ Toute l'équipe de Déclarations Juridiques vous souhaite une excellente année 2026 !
Incident RGPD : Votre messagerie professionnelle a été piratée, que faire ?
Votre messagerie professionnelle est le centre névralgique de votre cabinet. Elle contient des centaines de dossiers locataires — relevés d’identité bancaire, pièces d’identité, bulletins de salaire, situations financières — ainsi que les coordonnées de vos copropriétaires et mandants.
Un piratage de cette boîte constitue une violation de données personnelles au sens de l’article 4 paragraphe 12 du RGPD. Il déclenche des obligations légales précises, dans des délais très courts.
Voici les quatre étapes à suivre dès la découverte de l’incident.
Étape 1 — Sécuriser la boîte compromise dans l’heure
La première action est technique. Changez immédiatement le mot de passe de la boîte compromise et activez la double authentification si ce n’est pas encore le cas.
La double-authentification est le processus qui consiste à vous demander un deuxième élément, au-delà du mot de passe, pour s’assurer qu’il s’agit bien de vous. En pratique, il s’agit souvent d’un code envoyé par SMS au propriétaire du compte concerné par la double-authentification.
Prévenez votre prestataire informatique pour qu’il audite l’étendue de la compromission : d’autres comptes ont-ils été atteints ? Des données ont-elles été exfiltrées ou modifiées ?
Pendant ce temps, listez mentalement les catégories de données personnelles contenues dans les emails accessibles depuis cette boîte.
Étape 2 — Évaluer le risque pour les personnes concernées
Toutes les violations de données ne déclenchent pas les mêmes obligations. Vous devez évaluer la gravité du risque pour les personnes dont les données ont été exposées. Trois critères guident cette évaluation : la nature des données (de simples adresses email sont moins sensibles que des RIB ou des pièces d’identité), le nombre de personnes concernées, et la probabilité que le pirate exploite ces données. Si votre boîte contenait des dossiers locataires complets, le risque est objectivement élevé.
Étape 3 — Notifier la CNIL dans les 72 heures
Si la violation est susceptible d’engendrer un risque pour les droits et libertés des personnes — et un piratage de messagerie contenant des dossiers locataires y répond dans la quasi-totalité des cas — vous avez l’obligation de notifier la CNIL dans les 72 heures suivant la découverte de l’incident, en application de l’article 33 du RGPD.
La notification se réalise directement sur le portail en ligne de la CNIL (notifications.cnil.fr). Elle doit décrire la nature de la violation, les catégories et le volume approximatif de données concernées, et les mesures prises ou envisagées.
| Attention : passé le délai de 72 heures, la non-notification constitue elle-même une infraction autonome, indépendamment de la violation initiale. |
Étape 4 — Informer directement les personnes concernées si le risque est élevé
Si le niveau de risque est qualifié d’« élevé » — notamment lorsque des données financières, des pièces d’identité ou des RIB ont été compromis —, vous devez contacter individuellement les personnes concernées, en application de l’article 34 du RGPD. Cette communication doit leur permettre de prendre des mesures de protection : faire opposition sur leur compte bancaire, surveiller leurs comptes, voire déposer plainte. Elle doit être claire, accessible, et ne pas minimiser l’incident.
Ce que personne ne vous dit sur les violations de données
Sur le papier, ces quatre étapes paraissent structurées et accessibles. Dans la réalité d’un incident, elles se déroulent rarement dans l’ordre, rarement dans le calme, et rarement sans zone d’ombre.
La découverte d’un piratage survient presque toujours au mauvais moment : un vendredi soir, en période de rush locatif, ou au milieu d’une procédure en cours. Le délai de 72 heures, lui, ne s’adapte pas aux agendas.
Se posent alors des questions auxquelles il faut répondre vite, sans se tromper : cette violation est-elle réellement « susceptible d’engendrer un risque » au sens du RGPD ? Quelles catégories de données dois-je déclarer ? Quelles mesures correctives dois-je mentionner dans la notification ? Dois-je contacter chaque locataire individuellement, et si oui, comment formuler ce message sans déclencher de panique ni engager ma responsabilité au-delà du nécessaire ?
Ces questions ne sont pas rhétoriques. Ce sont des arbitrages juridiques, avec des conséquences directes en cas de mauvaise appréciation : une notification insuffisante expose à une sanction autonome de la CNIL, indépendamment de la violation elle-même. Une communication maladroite aux personnes concernées peut aggraver la situation ou générer un contentieux.
Seul face à l’horloge
La difficulté principale n’est pas technique. Elle est humaine. En cas d’incident, vous êtes simultanément victime, responsable légal, interlocuteur de votre prestataire informatique, et potentiellement sous la pression de vos clients. Gérer cette accumulation de rôles, sous contrainte de temps, sans accompagnement, est une situation objectivement difficile — même pour des professionnels aguerris.
C’est précisément dans ces moments-là que l’absence de préparation se fait sentir le plus durement. Un professionnel qui n’a jamais formalisé son registre des traitements ne sait pas quelles données sont réellement concernées. Un professionnel qui n’a pas identifié son prestataire informatique comme sous-traitant RGPD ne dispose d’aucun levier contractuel pour exiger un audit d’urgence. Un professionnel qui n’a jamais pratiqué la procédure de notification CNIL découvre le portail notifications.cnil.fr en situation de crise.
L’accompagnement Déclarations Juridiques : préparé avant, présent pendant
Le service d’assistance de Déclarations Juridiques a été conçu précisément pour ces situations. En cas de violation de données avérée ou suspectée, votre chargé de conformité dédié intervient à vos côtés pour qualifier l’incident, évaluer le niveau de risque, vous guider pas à pas dans la procédure de notification CNIL, et vous accompagner dans la communication aux personnes concernées si nécessaire.
Ce n’est pas un service d’assistance générique. C’est un professionnel qui connaît déjà votre structure, vos activités, vos traitements de données — parce qu’il les a construits avec vous lors de votre parcours de mise en conformité. En situation d’incident, cette connaissance préalable est décisive : elle permet d’agir vite, avec précision, sans repartir de zéro.
La conformité RGPD n’est pas uniquement une démarche de prévention. C’est aussi une assurance opérationnelle, qui prend tout son sens le jour où l’incident survient — et où vous n’êtes plus seul à décider. Prenez rendez-vous avec notre équipe commerciale pour une démonstration de nos services directement grâce au lien suivant : https://calendly.com/d/crq2-742-5ss/diagnostic-rgpd-demonstration?utm_source=mailing?utm_campaign=blog
