Retour au Blog
LegalTech & IA

Incident de sécurité : communiquer ou pas ? Le dilemme juridique qui peut vous coûter cher

Comité de Rédaction NakedPact
Reviewer: Carmelo G.
Comitato Editoriale NakedPact
9 juillet 2026
10 min de lecture
Incident de sécurité : communiquer ou pas ? Le dilemme juridique qui peut vous coûter cher

Faut-il communiquer un incident de sécurité ? Le dilemme juridique expliqué

La résolution CD/ANPD n° 15/2024 au Brésil impose des délais stricts pour signaler les incidents de sécurité. Ne pas communiquer peut entraîner des sanctions sévères, mais une communication prématurée expose à des risques juridiques. Découvrez comment naviguer ce dilemme pour rester conforme à la LGPD.

Le silence est d'or, mais pas toujours légal

Vous venez de subir une fuite de données. Votre premier réflexe ? Appeler votre avocat. Le second ? Vous demander si vous devez prévenir l'ANPD. La nouvelle Résolution CD/ANPD n° 15/2024 vient de trancher : oui, et vite. Mais attention, communiquer trop tôt peut aussi vous exposer à des risques. Alors, que faire ?

La résolution qui change la donne

Publiée en 2024, cette résolution établit des critères clairs et des délais stricts pour la communication des incidents de sécurité à l'Autorité Nationale de Protection des Données (ANPD). Fini le flou artistique : les entreprises doivent désormais signaler tout incident susceptible de présenter un risque pour les droits et libertés des personnes concernées dans un délai de 72 heures. Mais ce n'est pas tout. La résolution détaille aussi les informations à fournir, les exceptions possibles et les conséquences d'un défaut de communication.

Pourquoi c'est un casse-tête pour les DPO

Imaginez : vous êtes DPO et vous recevez un rapport d'incident à 17h un vendredi. Vous devez décider si l'incident est « susceptible de présenter un risque ». C'est un peu comme choisir entre une pizza et une salade quand vous avez faim : les deux options ont leurs avantages, mais l'une peut vous coûter cher. Communiquer un incident mineur peut sembler excessif, mais ne pas communiquer un incident grave peut entraîner des amendes salées (jusqu'à 2% du chiffre d'affaires au Brésil).

Les critères de la résolution : un guide pas à pas

La résolution liste des critères objectifs pour évaluer la gravité d'un incident : nature des données, volume, durée, mesures de protection déjà en place, etc. Par exemple, une fuite de mots de passe hashés est moins grave qu'une fuite de données bancaires en clair. Mais attention : même les incidents apparemment bénins peuvent devenir graves si les données sont recoupées avec d'autres sources. Le conseil : documentez chaque décision, même celle de ne pas communiquer.

Les pièges à éviter

Ne pas communiquer un incident qui s'avère finalement grave peut vous valoir une amende pour non-coopération. À l'inverse, communiquer trop tôt sans avoir tous les faits peut nuire à votre réputation et déclencher des enquêtes inutiles. La solution ? Mettez en place une procédure interne de gestion des incidents, avec des seuils de décision clairs et une équipe dédiée. Et surtout, formez vos équipes à reconnaître un incident de sécurité dès les premiers signes.

L'impact sur votre conformité LGPD

La LGPD brésilienne impose déjà des obligations strictes en matière de protection des données. Cette résolution vient renforcer le volet réactif : il ne suffit plus d'avoir des mesures techniques, il faut aussi savoir réagir vite et bien. Les entreprises qui ne se préparent pas risquent non seulement des amendes, mais aussi une perte de confiance de leurs clients. Et comme le dit le proverbe : « La confiance se gagne en gouttes et se perd en litres. »

Pour en savoir plus, consultez le texte officiel de la Résolution CD/ANPD n° 15/2024.

Agissez maintenant

Ne laissez pas un incident de sécurité devenir un cauchemar juridique. Revoyez dès aujourd'hui votre plan de réponse aux incidents, testez-le avec un exercice de simulation, et assurez-vous que votre DPO a les outils pour prendre la bonne décision. Parce qu'en matière de protection des données, le temps, c'est de l'argent – et parfois, de la liberté.

FAQ

Quels sont les délais imposés par la résolution CD/ANPD n° 15/2024 ?

La résolution exige que les incidents de sécurité soient signalés à l'ANPD dans un délai de 8 jours ouvrables à compter de la prise de connaissance. Ce délai court à partir du moment où le responsable du traitement a connaissance de l'incident, et non de sa confirmation.

Quels sont les risques juridiques d'une communication tardive ?

Une communication tardive expose à des amendes pouvant atteindre 2% du chiffre d'affaires au Brésil, plafonnées à 50 millions de reais par infraction. De plus, l'ANPD peut imposer des mesures correctives et une publicité négative.

Comment décider s'il faut communiquer immédiatement ou attendre ?

Il est recommandé de communiquer dès que possible après avoir évalué l'impact sur les données personnelles. Une communication rapide démontre la bonne foi, mais doit être accompagnée d'une analyse juridique pour éviter des admissions de responsabilité prématurées.

Checklist : Décision de communication à l'ANPD

L'incident implique-t-il des données sensibles (santé, biométrie, etc.) ?
Le volume de données affectées est-il important (> 1000 personnes) ?
Les données ont-elles été chiffrées ou pseudonymisées ?
Y a-t-il un risque de fraude ou d'usurpation d'identité ?
L'incident est-il déjà public ou médiatisé ?

Si vous avez coché au moins 2 cases, communiquez à l'ANPD dans les 72h.

NakedPact Logo

Comité de Rédaction NakedPact

Article conçu par la rédaction de NakedPact. Notre mission est d'analyser, de simplifier et de révéler les clauses abusives et les risques cachés dans les contrats du quotidien pour protéger les citoyens et les consommateurs.

Êtes-vous propriétaire d'un site Web?

Êtes-vous propriétaire d'un site Web?

Vous souhaitez communiquer à vos utilisateurs votre transparence dans le traitement des données ? Utilisez dynamiquement notre badge et affichez la conformité de votre plateforme.

🛡️ Protégez vos droits en un clic

Ne risquez pas de signer des clauses abusives. Installez l'extension gratuite NakedPact pour Chrome ou Firefox et analysez instantanément n'importe quel contrat sur le web.

Ne faites pas confiance, vérifiez.

Maintenant que vous connaissez les risques, ne signez pas aveuglément. Téléchargez votre contrat e laissez l'IA trouver les clauses cachées. C'est 100% gratuit.

Analysez votre contrat maintenant

Rispettiamo la tua privacy

Usiamo i cookie per migliorare la tua esperienza e personalizzare gli annunci. Scopri di più.

NakedPact Logo

Estensione Chrome

Analizza i contratti e i Termini di Servizio direttamente sul tuo browser con l'estensione NakedPact.