PickleDeckPickleDeckSécurité

Conformité RGPD · Articles 33 et 34

Procédure de notification de violation

Dernière mise à jour : 12 avril 2026

Vous suspectez une violation impliquant vos données ?

Contactez immédiatement notre DPO : dpo@pickledeck.com ou 06 24 37 93 07. Vous pouvez aussi utiliser notre formulaire dédié /securite/disclosure.

1. Objet

Cette procédure formalise l'engagement de PickleDeck en matière de notification des violations de données personnelles, conformément aux Articles 33 et 34 du RGPD et aux Lignes directrices CEPD WP 250 rév. 01.

2. Sources de détection

Une violation peut être détectée via plusieurs canaux :

  • Alertes automatiques de monitoring (Supabase, Vercel)
  • Signalement par un collaborateur interne
  • Signalement par un utilisateur via le formulaire /securite/disclosure
  • Notification reçue d'un sous-traitant (Stripe, Resend, etc.)
  • Détection par analyse des logs sécurité & audit (conservés 1 an)

3. Critères d'évaluation

Chaque violation détectée fait l'objet d'une évaluation structurée :

NatureConfidentialité, intégrité ou disponibilité des données
CatégoriesDonnées concernées (identifiantes, sensibles, mineurs, financières...)
VolumeNombre de personnes affectées
GravitéConséquences potentielles pour les personnes concernées
Mesures existantesChiffrement, anonymisation, contrôles d'accès en place réduisant le risque

4. Classification du risque

L'évaluation aboutit à une classification en 3 niveaux :

Faible

Critère : Données non sensibles, volume restreint, conséquences mineures

Action : Documentation interne, mesures correctives, pas de notification CNIL

Moyen

Critère : Données identifiantes ou volume significatif, conséquences possibles mais limitées

Action : Notification CNIL dans les 72h via téléservice, pas de communication aux personnes

Élevé

Critère : Données sensibles (santé, financières, mineurs), volume important, conséquences graves

Action : Notification CNIL dans les 72h + communication sans délai aux personnes concernées (Art. 34)

5. Notification à la CNIL

La notification à la CNIL est effectuée via le téléservice officiel :

notifications.cnil.fr
  • Délai : 72 heures après prise de connaissance de la violation
  • Notification partielle autorisée par l'Art. 33.4 si l'information complète n'est pas disponible sous 72h : on notifie ce qui est connu et on complète au fur et à mesure

6. Communication aux personnes concernées (Art. 34)

Lorsque le risque est qualifié élevé, les personnes concernées sont informées sans délai injustifié. La communication contient :

  • Description claire de la nature de la violation
  • Coordonnées du DPO (dpo@pickledeck.com, 06 24 37 93 07)
  • Conséquences probables de la violation
  • Mesures prises ou proposées pour limiter les effets

Exceptions à la communication individuelle (Art. 34.3) :

  • Données chiffrées rendant l'accès incompréhensible aux tiers
  • Mesures ultérieures rendant le risque non matérialisable
  • Effort disproportionné par rapport au volume → communication publique à la place (page dédiée + email aux contacts publics connus)

7. Documentation interne (Art. 33.5)

Toutes les violations sont documentées dans un registre interne, même celles qui ne déclenchent pas de notification CNIL. Ce registre contient les faits, les effets et les mesures correctives prises. Cette documentation est obligatoire au titre de l'Art. 33.5.

8. Mesures correctives

  • Isolation immédiate du composant compromis
  • Révocation des tokens et rotation des secrets potentiellement exposés
  • Application des correctifs nécessaires (patch, configuration, RLS)
  • Post-mortem documenté avec actions de prévention

9. Conservation

Le registre interne des violations est conservé 5 ans après la résolution de l'incident, conformément aux préconisations CNIL.

Référentiels invoqués : RGPD Art. 33, Art. 34, Art. 33.4, Art. 33.5, Art. 34.3, Lignes directrices CEPD WP 250 rév. 01.