Parce qu’entreprendre des travaux de mise en accessibilité des locaux représente un investissement important, une aide financière avait été mise en place à destination des établissements recevant du public (ERP) de 5e catégorie. Sauf que le guichet de dépôt des...
Au cœur d’enjeux environnementaux et sanitaires, les substances perfluoroalkylées et polyfluoroalkylées, aussi appelées « PFAS » ou « polluants éternels », font l’objet, depuis le 1er janvier 2026, d’une recherche et d’un contrôle tout particulier dans les eaux...
Chaque année, le taux d’évolution maximum des prix des prestations d'aide et d'accompagnement à domicile délivrées par les services autonomie à domicile non habilités à intervenir auprès de bénéficiaires de l'aide sociale est défini par le Gouvernement. Quel taux est...
Alors que la loi de finances pour 2025 prévoyait d’étendre l’application des taxes sur les véhicules de tourisme à de nouveaux véhicules à compter du 1er janvier 2026, le projet de loi de finances pour 2026 envisageait de reporter cette extension en 2027. En l’état...
Depuis 2014, une association régie par la loi du 1er juillet 1901 ou par le droit local du Bas-Rhin, du Haut-Rhin et de la Moselle peut décider de se transformer en une fondation reconnue d'utilité publique sans que cette transformation donne lieu ni à dissolution, ni...
Les combustibles solides de récupération (CSR) font partie des solutions de décarbonation et de revalorisation des déchets non dangereux. Concrètement, ces derniers sont mis en forme puis incinérés pour être transformés en énergie ou en chaleur, dans des installations...
Afin d’assurer leur sécurité et leur bien-être, l’accueil des jeunes enfants fait l’objet de règles applicables au personnel encadrant. Ainsi, les professionnels autorisés à exercer ces missions sont listés par les pouvoirs publics, qui ont récemment élargi les...
La loi de finances pour 2025 a introduit une obligation déclarative pour les prestataires de crypto-actifs à compter de 2027. Les modalités d'application de cette obligation viennent d’être précisées…Obligation déclarative des prestataires de crypto-actifs : rappelsLa...
L’absence d’adoption définitive de la loi de finances pour 2026 avant le 31 décembre 2026 pose des difficultés pratiques, notamment concernant les tarifs d’accise sur l’électricité à appliquer à compter du 1er janvier 2026. Essayons d’y voir plus clair…Accise sur...
Jusqu’au 31 décembre 2025, les pourboires sont exonérés d’impôt sur le revenu et de cotisations sociales à l’instar de la prise en charge par l’employeur des frais d’abonnement aux transports publics de leurs salariés dans la limite de 75 %. Mais en l’absence de loi...
À travers une illustration pratique, la CNIL vient récemment de rappeler les actions à mener lorsque des données personnelles ont fait l’objet d’une violation. Voici la réaction appropriée à suivre, si cela devait vous arriver…
Pour permettre à tous les professionnels de comprendre et de prévenir les risques d’accès à des données personnelles par des tiers, la CNIL a publié un exemple pratique à travers un vol de supports et détournements de services dans le cadre scolaire.
Au-delà de l’illustration pratique, voici la démarche à suivre pour tout entrepreneur victime d’une violation de données.
Étape 1 : le signalement
La violation des données doit être remontée au délégué à la protection des données, le cas échéant, qui doit être notifiée à la CNIL dans les 72 heures qui suivent sa découverte.
Une plainte auprès des forces de l’ordre est également à effectuer.
Étape 2 : la documentation
Les informations collectées à propos de la violation doivent être documentées, notamment à l’aide des prestataires informatiques.
C’est à cette étape que la violation des données auprès de la CNIL est formellement réalisée.
Cette notification est faite grâce aux procédures internes de gestion des incidents.
Étape 3 : rétablissement des données
Il faut rétablir les données si vous disposez de sauvegarde ou d’une journalisation des actions effectuées sur l’espace victime d’une cyberattaque.
Étape 4 : informer les personnes concernées
Dans certaines situations, il va falloir communiquer auprès des personnes concernées que leurs données personnelles font l’objet d’une violation.
Pour cela, il faut rédiger un message rappelant des informations obligatoires : les circonstances de l’incident, la nature des données concernées, le point de contact pour avoir des informations supplémentaires, les mesures déjà prises et envisagées et les conséquences possibles pour les personnes concernées.
Étape 5 : sensibilisation des équipes
Il faut réunir les collaborateurs pour leur faire part de la situation et les sensibiliser à la protection des données.
Étape 6 : finalisation de la notification à la CNIL
Le cas échéant, il faut faire une notification complémentaire auprès de la CNIL pour lui transmettre les nouveaux éléments : la mise à jour du nombre de personnes concernées par la violation, le nombre de personnes informées et un modèle non nominatif du message adressé à ces dernières.
Par la suite
Une fois ces étapes achevées, il va falloir mettre en place des actions de bonnes pratiques (si ce n’est pas déjà fait) pour éviter que la situation se reproduise :
sensibiliser régulièrement vos clients et vos collaborateurs aux bonnes pratiques ; mettre en place des procédures de gestion des incidents ; s’assurer qu’une journalisation fine des accès et des actions est mise en place sur vos applications ; proposer une authentification multi-facteur ; etc.