Phishing et violation de données : le lien RGPD
Un employé reçoit un email imitant sa banque professionnelle, son outil collaboratif ou son opérateur télécom. Il clique, saisit ses identifiants sur une page contrefaite, et continue sa journée. L’attaquant accède à sa messagerie, à ses fichiers partagés, à son CRM. Des centaines, parfois des milliers de données personnelles — noms, adresses, numéros de téléphone, données contractuelles, informations RH — sont exposées.
C’est une violation de données au sens de l’article 4(12) du RGPD. L’entreprise a 72 heures pour notifier la CNIL.
Ce scénario n’est pas hypothétique. En 2024, la CNIL a reçu 5 629 notifications de violations de données. Le phishing et les emails malveillants restent le vecteur d’entrée le plus fréquent : l’ANSSI confirme que les emails malveillants constituent le mode opératoire le plus répandu pour les compromissions initiales en France. Le rapport Verizon Data Breach Investigations Report 2024 mesure que 68 % des violations de données impliquent un facteur humain.
Les trois articles qui créent l’obligation
Article 32 — Sécurité du traitement. Le responsable de traitement et le sous-traitant doivent mettre en place des mesures techniques et organisationnelles appropriées. Le texte cite explicitement : la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes, mais aussi — à l’alinéa (d) — une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures de sécurité. Une simulation de phishing est précisément cela : un test régulier de l’efficacité de la protection humaine.
Article 33 — Notification à la CNIL. Toute violation susceptible d’engendrer un risque pour les droits et libertés des personnes doit être notifiée à l’autorité de contrôle dans les 72 heures suivant sa découverte. Un email de phishing compromis déclenche cette obligation dès que l’entreprise prend connaissance de l’incident.
Article 34 — Notification aux personnes concernées. Quand la violation présente un risque élevé — données bancaires, mots de passe, données de santé, données sensibles — chaque personne affectée doit être contactée individuellement, en langage clair. Pour une PME qui gère des données clients ou des données RH, cette obligation peut concerner des centaines de personnes.
La chaîne est directe : un phishing non détecté → une compromission de données personnelles → une obligation de notification → un risque de sanction si les mesures de prévention étaient absentes ou non documentées.
Ce que le RGPD attend comme mesures organisationnelles
L’article 32 ne prescrit pas une liste fermée. Il exige des mesures appropriées au risque. La CNIL et les juridictions ont progressivement précisé ce que cette exigence implique pour les entreprises françaises.
La formation et la sensibilisation : une attente documentée
La CNIL cite explicitement la formation et la sensibilisation des employés parmi les mesures organisationnelles attendues au titre de l’article 32. Ce n’est pas une obligation explicite de simuler des phishing — mais la sensibilisation régulière au phishing et au social engineering correspond exactement à ce que le texte appelle une mesure organisationnelle appropriée.
Dans sa sanction de 600 000 euros contre Accor (2022), la CNIL a relevé parmi les manquements la formation insuffisante du personnel aux enjeux de sécurité des données. Dans la sanction de 400 000 euros contre Sergic (2019), l’absence de mesures de sécurité organisationnelles adéquates a été un facteur déterminant. La jurisprudence CNIL établit un standard : une entreprise qui n’a pas formé ses employés aux risques qui mènent aux violations de données a manqué à ses obligations de l’article 32.
Le rôle explicite du DPO dans la sensibilisation
L’article 39.1.b du RGPD précise que le DPO a pour mission de sensibiliser et former le personnel participant aux opérations de traitement. Pour les entreprises qui ont désigné un DPO — obligatoire pour les organismes publics, les entreprises traitant des données sensibles à grande échelle, et recommandé par la CNIL pour les autres — c’est une attribution formelle.
En pratique, le DPO :
- Recommande un programme de simulation de phishing comme mesure de sécurité article 32
- Définit la fréquence et la portée des campagnes avec la direction et l’équipe IT
- S’assure que les résultats sont documentés (taux de clic, évolution, formations déclenchées)
- Intègre le programme au registre des traitements comme mesure de sécurité opérationnelle
- En cas de violation, évalue si la sensibilisation en place était suffisante et documente sa réponse pour la CNIL
Pour les PME sans DPO, ces responsabilités incombent au dirigeant ou au responsable IT. Les obligations RGPD en matière de sécurité et de sensibilisation s’appliquent indépendamment de la présence d’un DPO.
Tester l’efficacité des mesures : l’alinéa (d) de l’article 32
L’article 32.1.d est souvent négligé dans les analyses de conformité. Il impose « une procédure visant à tester, analyser et évaluer régulièrement l’efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement ». C’est la base juridique directe de la simulation de phishing comme outil de conformité.
Une simulation de phishing teste l’efficacité d’une mesure organisationnelle clé : la résistance des employés aux attaques par email. Les résultats (taux de clic, taux de signalement, évolution sur 6 et 12 mois) constituent la preuve documentable que cette procédure d’évaluation régulière existe et fonctionne.
Les sanctions CNIL pour les PME
Le risque n’est pas théorique. La CNIL sanctionne régulièrement des entreprises de toutes tailles pour des manquements à l’article 32, en particulier quand une violation de données démontre l’absence de mesures de sécurité adaptées.
Exemples documentés avec sources
Accor — 600 000 euros (2022) : La délibération CNIL SAN-2022-021 relève plusieurs manquements à la sécurité des données dont la formation insuffisante du personnel. La sanction porte sur des manquements répétés à l’article 32, incluant l’absence de mesures organisationnelles adéquates pour protéger les données clients.
Sergic — 400 000 euros (2019) : La délibération CNIL SAN-2019-005 sanctionne une agence immobilière pour une faille permettant l’accès non autorisé aux documents personnels de milliers de locataires. L’absence de mesures de sécurité organisationnelles et techniques appropriées constitue le manquement principal retenu.
Dedalus Biologie — 1,5 million d’euros (2022) : La délibération CNIL SAN-2022-012 sanctionne une fuite de données de santé de 500 000 personnes. La CNIL relève l’absence de procédure de sécurité formalisée, l’absence de chiffrement des données et une organisation insuffisante face aux risques.
La procédure simplifiée pour les PME
Depuis 2022, la CNIL dispose d’une procédure de sanction simplifiée pour les cas de moindre gravité, permettant des amendes jusqu’à 20 000 euros sans passer par la formation plénière. Pour une PME, c’est souvent cette procédure qui s’applique : délai plus court, moins de publicité, mais amende immédiate.
En 2024, la CNIL a prononcé 87 sanctions, dont 69 via la procédure simplifiée, pour un montant total de 55,2 millions d’euros. Le défaut de sécurité des données figure parmi les trois premiers motifs de sanction.
L’impact réputationnel dépasse l’amende
Une sanction CNIL est publique. Elle donne lieu à un communiqué de presse, à des articles dans la presse spécialisée, parfois à une couverture grand public. Pour une PME dont la relation client repose sur la confiance — cabinet comptable, agence immobilière, cabinet médical, studio de conseil — l’atteinte à la réputation est souvent plus coûteuse que l’amende elle-même. Des clients qui apprennent par la presse qu’une entreprise n’a pas protégé leurs données ne reviennent pas.
Notification de violation : le coût caché du phishing
Un phishing réussi ne se résume pas à la compromission immédiate. Il déclenche une chaîne d’obligations et de coûts qui s’étend sur plusieurs mois.
La chaîne de notification en 72 heures
À partir du moment où l’entreprise prend connaissance de la violation — et non à partir du moment où l’attaque s’est produite — le compteur de 72 heures commence. Dans la pratique, cela signifie qu’une entreprise bien organisée doit avoir une procédure de détection et d’escalade qui permet d’identifier rapidement si un incident de sécurité constitue une violation de données personnelles.
La notification à la CNIL doit inclure :
- La nature de la violation — quel type de données, quel accès non autorisé
- Les catégories et le nombre approximatif de personnes concernées
- Le nom et les coordonnées du DPO ou du point de contact
- Les conséquences probables de la violation pour les personnes
- Les mesures prises ou envisagées pour remédier à la violation
Si les informations ne sont pas disponibles dans les 72 heures, la CNIL accepte une notification initiale complétée ultérieurement. Mais l’absence totale de notification dans ce délai constitue un manquement distinct, sanctionnable indépendamment de la violation initiale.
La notification aux personnes concernées
Quand la violation présente un risque élevé — c’est-à-dire quand elle est susceptible d’entraîner une discrimination, un vol d’identité, une fraude financière, une atteinte à la réputation, ou une perte de contrôle des données personnelles — l’article 34 impose de contacter chaque personne concernée individuellement, en langage clair et simple.
Pour une PME qui gère 2 000 contacts clients, cela signifie 2 000 emails ou courriers personnalisés, avec un contenu précis décrivant la violation et les mesures prises. Le coût opérationnel est immédiat. L’impact sur la confiance des clients est durable.
Prévenir coûte moins cher que remédier
Le coût moyen d’une violation de données en Europe atteint 3,5 millions d’euros selon le rapport IBM Cost of a Data Breach 2024 — coûts de détection, notification, remédiation technique, perte d’activité, amendes et honoraires juridiques combinés. Pour une PME, même un incident limité représente des dizaines de milliers d’euros en coûts directs et indirects.
Un programme de sensibilisation au phishing coûte une fraction de ce montant. Et contrairement aux coûts de remédiation, il produit un effet préventif mesurable : réduction du taux de clic, augmentation du taux de signalement, diminution des incidents réels.
Comment nophi.sh renforce votre conformité RGPD
nophi.sh intervient à trois niveaux de votre conformité RGPD : la prévention des violations, la documentation de vos mesures de sécurité, et la preuve de conformité à l’article 32.
La simulation de phishing comme mesure article 32
Lancer des campagnes de simulation de phishing régulières avec nophi.sh, c’est mettre en œuvre l’article 32.1.d du RGPD : tester, analyser et évaluer régulièrement l’efficacité des mesures de sécurité. Chaque campagne est horodatée, documentée, et produit des métriques exploitables (taux de clic, taux de signalement, taux de complétion des formations).
Ces données constituent une preuve de conformité directe, mobilisable lors d’un contrôle CNIL ou en cas de violation de données pour démontrer que l’entreprise avait mis en place une évaluation régulière de ses mesures.
La réduction mesurable du risque de violation
Les données de nophi.sh montrent une réduction du taux de clic de 60 à 70 % après six mois de simulation et formation combinées. Moins d’employés qui cliquent sur des liens frauduleux, c’est moins d’incidents, moins de violations à notifier, et une posture de sécurité documentée qui plaide en faveur de l’entreprise en cas de contrôle.
Le mécanisme est simple : chaque collaborateur qui échoue à une simulation de phishing reçoit immédiatement une micro-formation de 3 à 5 minutes adaptée au type de piège. La formation intervient au moment de l’erreur, quand l’attention est maximale. Les réflexes se construisent par l’expérience répétée, pas par une session annuelle de 45 minutes.
Les rapports de conformité prêts à l’emploi
nophi.sh génère automatiquement les rapports de conformité attendus par les auditeurs et les DPO :
- Historique complet des campagnes — dates, scénarios utilisés, populations ciblées
- Évolution du taux de clic — comparaison entre la première campagne (baseline) et les campagnes suivantes
- Taux de signalement — mesure de la capacité des équipes à détecter et remonter les tentatives
- Formations déclenchées — contenu, durée, taux de complétion par collaborateur
- Score de risque global — indicateur synthétique de la maturité de sensibilisation
Ces données s’exportent en PDF ou en CSV en un clic, dans un format lisible par un auditeur externe ou par la CNIL. Pas de manipulation de données, pas de mise en forme manuelle : le rapport est prêt le jour où vous en avez besoin.
L’intégration dans votre registre des traitements
Le DPO ou le responsable IT peut mentionner le programme de simulation nophi.sh dans le registre des traitements (article 30 du RGPD) comme mesure de sécurité opérationnelle au titre de l’article 32. La documentation fournie par nophi.sh (DPA, politique de sécurité, localisation des données) fournit les éléments nécessaires pour compléter cette entrée de registre.
Vérifiez aussi la sécurité technique de votre domaine email : SPF, DKIM et DMARC mal configurés permettent à n’importe qui d’envoyer des emails en vous imitant. Notre test de sécurité email gratuit analyse votre configuration en 30 secondes.
nophi.sh et la conformité RGPD de la plateforme elle-même
Utiliser un outil de simulation de phishing implique de lui confier des données sur vos collaborateurs : noms, adresses email professionnelles, résultats de campagne. Ces données sont des données personnelles au sens du RGPD. Pour votre DPO ou votre direction, les garanties de la plateforme elle-même sont un point d’évaluation.
Hébergement 100 % en France
Les données traitées par nophi.sh sont hébergées intégralement en France, sur des infrastructures certifiées. Aucun transfert de données vers un pays hors de l’Union européenne n’est effectué. Pour les entreprises soumises à des contraintes de souveraineté numérique — sous-traitants de la défense, collectivités, acteurs du secteur de la santé — cette localisation franco-française répond aux exigences les plus strictes.
La différence entre hébergement EU et hébergement France n’est pas anodine : un hébergement en Irlande ou en Finlande reste soumis à des juridictions différentes et peut poser question lors d’un audit sectoriel. Avec nophi.sh, les données de vos collaborateurs restent sur le sol français, soumises au droit français et européen.
Contrat de traitement des données (DPA) disponible
nophi.sh est un sous-traitant au sens de l’article 28 du RGPD : la plateforme traite des données personnelles pour le compte de vos entreprises clientes (responsables de traitement). Un contrat de traitement des données (Data Processing Agreement — DPA) est disponible sur demande et formalise :
- Les finalités et la durée du traitement
- Les catégories de données concernées (données d’identification des collaborateurs, résultats de campagne)
- Les obligations de sécurité du sous-traitant
- Les conditions de suppression des données en fin de contrat
- Les modalités d’audit
Ce contrat est structuré pour répondre aux exigences de l’article 28 et peut être annexé à votre registre des traitements pour documenter la relation contractuelle avec nophi.sh.
Minimisation des données et droit à l’effacement
nophi.sh collecte uniquement les données nécessaires au fonctionnement du service : noms, adresses email professionnelles, département ou groupe d’appartenance, résultats de campagnes. Aucune donnée comportementale externe, aucun profilage publicitaire, aucune revente de données.
Le droit à l’effacement (article 17 du RGPD) est pris en charge : un collaborateur qui quitte l’entreprise peut être supprimé de la plateforme, ce qui entraîne la suppression de ses données personnelles dans les délais prévus par le contrat.
Ce que le DPO doit vérifier avant de valider l’outil
Voici les éléments que votre DPO demandera lors de l’évaluation de nophi.sh, et les réponses que nous fournissons :
| Critère | Réponse nophi.sh |
|---|---|
| Localisation des données | France (100 %) |
| Transfert hors UE | Aucun |
| DPA disponible | Oui, sur demande |
| Durée de conservation | Définie contractuellement, suppression à la résiliation |
| Droit à l’effacement | Pris en charge |
| Sous-traitants ultérieurs | Liste disponible sur demande |
| Certifications sécurité | Documentation disponible sur demande |
Ces garanties font de nophi.sh un outil évaluable dans le cadre d’une démarche de conformité RGPD rigoureuse, pas seulement un service à déployer en urgence.
Pour aller plus loin sur votre démarche de conformité globale et comprendre comment intégrer nophi.sh dans votre programme de sécurité, consultez notre page conformité. Si votre entreprise est également concernée par NIS2, les exigences de sensibilisation et de documentation se recoupent avec le RGPD — la même plateforme répond aux deux cadres.
Sources : RGPD — Règlement (UE) 2016/679, texte complet (EUR-Lex) | CNIL — bilan d’activité 2024 | CNIL — sanction Accor SAN-2022-021 | CNIL — sanction Sergic SAN-2019-005 | CNIL — sanction Dedalus Biologie SAN-2022-012 | ANSSI — Panorama de la cybermenace 2024 | IBM Cost of a Data Breach Report 2024 | Verizon DBIR 2024
Questions fréquentes
La simulation de phishing est-elle une mesure de conformité RGPD ?
Oui. L'article 32 du RGPD impose des mesures techniques et organisationnelles appropriées, incluant explicitement la capacité à 'tester, analyser et évaluer régulièrement l'efficacité des mesures de sécurité' (article 32.1.d). Une simulation de phishing est une évaluation concrète de l'efficacité des mesures humaines. La CNIL cite le défaut de sensibilisation du personnel parmi les manquements retenus dans ses sanctions les plus récentes. Les résultats documentés d'un programme de simulation constituent une preuve directe de conformité à l'article 32.
Quelles sanctions la CNIL applique-t-elle aux PME pour défaut de sécurité ?
Le RGPD prévoit des amendes jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial. Pour les PME, la CNIL utilise depuis 2022 une procédure simplifiée permettant des amendes jusqu'à 20 000 euros pour les cas de moindre gravité, et la procédure ordinaire pour les montants supérieurs. En 2024, la CNIL a prononcé 87 sanctions pour 55,2 millions d'euros cumulés. Des exemples documentés : Accor (600 000 euros), Sergic (400 000 euros), Dedalus Biologie (1,5 million d'euros). Le défaut de sécurité des données figure parmi les trois premiers motifs de sanction. Au-delà de l'amende, la sanction est publique : l'impact réputationnel pour une PME dépasse souvent le montant financier.
Combien de temps a-t-on pour notifier la CNIL après un phishing ?
72 heures à compter du moment où l'entreprise a connaissance de la violation de données. Ce délai court dès que l'incident est découvert, pas à partir du moment où il s'est produit. La notification se fait via le téléservice de la CNIL (notifications.cnil.fr) et doit décrire la nature de la violation, les catégories de données concernées, le nombre approximatif de personnes touchées, les conséquences probables et les mesures prises. Le non-respect du délai constitue un manquement distinct, sanctionnable indépendamment de la violation elle-même. En 2024, la CNIL a reçu 5 629 notifications de violations de données.
Un phishing qui ne vole 'que' des identifiants email constitue-t-il une violation RGPD ?
Oui, dans la grande majorité des cas. Une boîte email professionnelle contient des données personnelles : noms et adresses d'interlocuteurs, contenus contractuels, données RH, pièces jointes. L'accès non autorisé à ces données constitue une violation de confidentialité au sens de l'article 4(12) du RGPD. Si la compromission est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées — ce qui est presque toujours le cas pour une messagerie professionnelle — l'obligation de notification à la CNIL s'applique dans les 72 heures.
Quel est le rôle du DPO dans un programme de simulation de phishing ?
L'article 39.1.b du RGPD confie au DPO la mission de 'sensibiliser et former le personnel participant aux opérations de traitement'. En pratique, le DPO recommande la mise en place d'un programme de simulation, définit la fréquence avec la direction et l'équipe IT, vérifie que les résultats sont documentés, et intègre le programme au registre des traitements comme mesure de sécurité au titre de l'article 32. En cas de violation de données, le DPO évalue si les mesures de sensibilisation étaient suffisantes. Pour les PME sans DPO, ces responsabilités incombent au dirigeant ou au responsable IT — les obligations RGPD s'appliquent indépendamment.
Comment documenter la sensibilisation au phishing pour un contrôle CNIL ?
Conservez les éléments suivants : calendrier des campagnes de simulation (dates, scénarios, populations ciblées), résultats mesurables (taux de clic avant/après, évolution sur 6 et 12 mois, taux de signalement), attestations de complétion des formations déclenchées après chaque échec, et mention du programme dans le registre des traitements comme mesure de sécurité article 32. Ces documents démontrent que l'entreprise remplit l'obligation de l'article 32(1)(d) : tester, analyser et évaluer régulièrement l'efficacité des mesures de sécurité. En cas de contrôle ou de violation, ils constituent une preuve tangible que l'organisation a pris des mesures organisationnelles appropriées.
nophi.sh est-il lui-même conforme au RGPD ?
Oui. Les données traitées par nophi.sh sont hébergées en France, sans transfert hors de l'Union européenne. Un contrat de traitement des données (DPA) est disponible sur demande et formalise les responsabilités respectives du responsable de traitement (votre entreprise) et du sous-traitant (nophi.sh). La plateforme applique les principes de minimisation des données et de limitation de la conservation. Le droit à l'effacement est pris en charge. Pour les DPO qui évaluent l'outil, ces éléments sont documentés et communicables lors d'un audit.