Politique de gestion des violations de données personnelles

Dernière mise à jour : 12 mai 2026 · Version 1.0

1. Définition

Conformément à l'article 4-12 du RGPD, une « violation de données à caractère personnel » désigne une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données.

2. Procédure interne en cas de violation

Étape 1 — Détection et confinement (T+0 à T+2h)

• Détection automatique (monitoring Sentry, alertes Stripe, signaux R2 ou base de données)
• Confinement immédiat (révocation des clés API compromises, isolation des systèmes affectés, blocage des accès suspects)
• Documentation horodatée du début de l'incident

Étape 2 — Évaluation (T+2h à T+24h)

• Caractérisation de la violation (nature, données concernées, volumétrie, gravité)
• Évaluation du risque pour les droits et libertés des personnes concernées
• Identification des sous-traitants ou tiers impliqués
• Décision sur la notification CNIL (si risque pour les personnes)
• Décision sur l'information directe des personnes concernées (si risque élevé)

Étape 3 — Notification à la CNIL (T < 72h)

Toute violation présentant un risque pour les droits et libertés des personnes concernées est notifiée à la CNIL dans les 72 heuressuivant sa détection, conformément à l'article 33 du RGPD.

La notification comprend :

• La nature de la violation et les catégories de personnes et de données concernées
• Le nombre approximatif de personnes et d'enregistrements concernés
• Le nom et les coordonnées du point de contact (DPO ou responsable du traitement)
• Les conséquences probables de la violation
• Les mesures prises ou proposées pour remédier à la violation

Si la notification ne peut pas être effectuée sous 72h, elle est accompagnée d'une explication des raisons du retard.

Étape 4 — Communication aux personnes concernées (si risque élevé)

Lorsque la violation est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, ces dernières sont informées dans les meilleurs délais, conformément à l'article 34 du RGPD.

La communication comprend, en termes clairs et simples :

• La nature de la violation
• Les conséquences probables
• Les mesures prises ou proposées
• Les coordonnées du point de contact
• Les recommandations pour limiter les éventuels effets négatifs (changement de mot de passe, surveillance des comptes, etc.)

Étape 5 — Remédiation et apprentissage (T+24h et au-delà)

• Correction technique de la cause racine
• Tests de non-régression
• Mise à jour des procédures et des contrôles internes
• Documentation détaillée dans le registre interne des violations
• Revue post-mortem (analyse, leçons apprises, plan d'amélioration)

3. Registre interne des violations

Conformément à l'article 33 §5 du RGPD, STUDIOSAVORA tient un registre interne de toutes les violations de données, qu'elles aient été notifiées ou non à la CNIL. Ce registre comprend :

• Les faits concernant la violation
• Les effets sur les personnes concernées
• Les mesures prises pour y remédier
• La justification, le cas échéant, de la non-notification

Ce registre est tenu à disposition de la CNIL pour vérifier le respect du RGPD.

4. Cas particulier : violations chez un sous-traitant

En cas de violation chez un de nos sous-traitants (Stripe, Cloudflare, OVH, Resend, Twilio, etc.), STUDIOSAVORA :

• Reçoit notification du sous-traitant (obligation contractuelle DPA)
• Évalue le risque pour ses propres utilisateurs
• Notifie la CNIL et les personnes concernées si nécessaire selon les mêmes procédures

5. Signalement par les utilisateurs

Tout utilisateur qui suspecte une violation de ses données peut nous en faire part immédiatement à :

contact@keeppics.com — objet « Suspicion violation de données »

Nous répondrons sous 48h ouvrées et engagerons la procédure d'évaluation appropriée.

6. Coordonnées DPO / point de contact RGPD

Baptiste Figuière, Président de STUDIOSAVORA
Email : contact@keeppics.com
Téléphone : +33 7 69 61 74 24

7. Coordonnées de la CNIL

Commission Nationale de l'Informatique et des Libertés
3 place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07
Téléphone : 01 53 73 22 22
Web : cnil.fr/notifier-une-violation

Voir aussi : Confidentialité · EIPD biométrique · Sécurité