Comment l’article 35 réécrit-il les règles relatives aux violations de données personnelles – et qui en paie réellement le prix ?
Il ne suffit plus de maintenir la conformité en arrière-plan. Depuis l'entrée en vigueur du Règlement (UE) 2024/2690, l'article 35 de la NIS 2 élimine la mosaïque de règles nationales divergentes, fixant les mêmes exigences pour chaque organisation, quel que soit son secteur d'activité ou son emplacement. Une violation de données personnelles est jugée selon un protocole unique ; vous devez démontrer que votre réponse est fondée sur des preuves, harmonisée entre les services juridiques, informatiques et exécutifs, et capable de résister à l'examen direct d'un auditeur. Si vous pensez que « ce n'est qu'un problème informatique » ou qu'un simple échange de courriels pour sauver la face suffira à justifier la responsabilité de votre conseil d'administration, le nouveau régime prouve le contraire.
Aujourd’hui, un enregistrement manquant dans la journalisation des incidents risque d’être soumis au même examen minutieux – et à la même amende – qu’une défaillance technique de sécurité.
Ce qui a changé, ce n'est pas seulement le rythme, mais aussi les attentes : les preuves avant l'expertise, et la démonstration par le conseil d'administration avant les solutions de contournement administratives. Auparavant, de nombreuses organisations attendaient l'avis d'un régulateur local, puis se précipitaient pour produire des comptes rendus de réunion ou des journaux d'audit après coup. Aujourd'hui, si vous ne pouvez pas démontrer une action conjointe démontrable et enregistrée par le système, de la détection à la clôture par le conseil d'administration, votre manque de preuves est devenu la brèche, et l'application des sanctions est rapide. Ce n'est pas une simple théorie : l'année dernière, plus de 40 % des amendes pour violation majeure de données personnelles dans l'UE ont été attribuées à une implication insuffisante du conseil d'administration, et non pas simplement à l'absence de documents informatiques.
La nouvelle réalité ? Le « raisonnable » n'est pas déterminé par l'intention, mais par des preuves prêtes à être auditées : délais, transferts et résultats. Si votre processus d'incident présente une lacune, si les rôles sont flous ou si les preuves enregistrées sont bloquées dans des e-mails plutôt que dans un système, l'amende est infligée en haut lieu. Pour les conseils d'administration, les DPO et les responsables informatiques, l'article 35 a transformé la préparation aux violations en un sport d'équipe où personne ne peut observer depuis les tribunes.
Pourquoi une « défaillance de processus » est-elle désormais légalement une violation de données ? Et qu’est-ce que cela signifie pour vous ?
Aux termes de l'article 35, un délai de notification manqué, un journal incomplet ou un incident non documenté constitue désormais en soi une violation notifiable du règlement- ce n'est plus un problème secondaire. Cela renforce les enjeux : ce n'est pas seulement la sécurité technique qui compte, mais votre discipline opérationnelle : le suivi précis et en temps réel des décisions, des examens et des validations.
Échec de la journalisation, de la conservation ou de l'attribution : la chaîne de confiance est rompue, quelle que soit la taille de la solution technique.
Pourquoi ? Parce que le véritable risque lié aux données personnelles ne réside pas seulement dans le piratage ou la divulgation accidentelle, mais dans l'angle mort organisationnel. Un incident « terminé », traité à la hâte sans attribution complète ni preuve horodatée, constitue désormais le premier indicateur de négligence du régulateur. S'il est impossible de le cartographier de sa détection à sa clôture, et si le conseil d'administration ne peut pas indiquer en temps réel où a débuté et où s'est terminée sa surveillance, la non-conformité est inscrite dans les annales de l'entreprise.
Pour les praticiens – juridiques, de conformité et informatiques – le message est clair. Les notes héritées, les conversations informelles ou les « exceptions » spécifiques à une juridiction sont loin d'être inutiles : elles constituent des preuves d'inattention. Au contraire, Les journaux conjoints, les flux de travail vérifiables et les rappels pilotés par le système sont devenus la baseLes dirigeants sont désormais directement responsables de démontrer que chaque violation, quel que soit le résultat, a été traitée au moyen d’un processus qui a résisté à l’examen, sans exception.
Le coût d'une erreur ? Les amendes ne sont plus uniquement calculées en fonction des enregistrements perdus, mais souvent liées à des lacunes dans la transmission, des escalades non reconnues ou à l'absence de mise à jour du journal final des retours d'expérience. Systématisez votre processus de gestion des incidents dès maintenant, sinon la prochaine défaillance de notification pourrait accélérer une intervention complète. enquête de conformité.
Maîtrisez NIS 2 sans le chaos des feuilles de calcul
Centralisez les risques, les incidents, les fournisseurs et les preuves dans une seule plateforme propre.
Comment la fragmentation expose-t-elle votre organisation à un risque direct de pénalités ?
Les violations de données personnelles ne s'arrêtent pas aux limites de votre ville, et les mesures réglementaires non plus. En vertu de l'article 35, les régulateurs à la recherche d'une cause creusent rapidement dans toute fragmentation de réponse, de rôle ou de journalL'époque où une « bonne nouvelle » en Irlande pouvait combler une lacune administrative en Allemagne est révolue. Si votre procédure de violation laisse des journaux ou des actions dispersés entre différents services ou juridictions, vous multipliez votre exposition.
Chaque retard dû à une confusion de propriété ou à un transfert manuel constitue un risque de conformité aussi réel que l’attaque initiale.
Qu'attendent désormais les auditeurs ? Une chronologie : qui savait, qui a agi, qui a signé et quand. Ce registre doit relier chaque territoire, unité opérationnelle et acteur juridique à un flux unique, sans divisions ni branches manquantes. Dès qu'un incident franchit les frontières – d'un secteur d'activité ou d'un pays –, il vous incombe de tenir un compte rendu complet et unique de la détection, de la notification et de la clôture. Toute autre démarche risque de provoquer des retards et des divulgations contradictoires, ce qui double les risques réglementaires.
La plupart des retards dans la réponse aux violations proviennent de rôles flous, d'enregistrements hors ligne et d'un suivi redondant. Des plateformes comme ISMS.en ligne Des données d'incidents réels révèlent que plus de la moitié des ralentissements du cycle de vie des incidents résultent de processus manuels multi-propriétaires (https://fr.isms.online/incident-management-platform). Le coût ? Des journées perdues, des enquêtes déclenchées, des amendes aggravées, non pas par une défaillance technique, mais par un ralentissement opérationnel.
Pour briser cette chaîne :
- Désignez des responsables d’incidents clairs et interfonctionnels dès le premier avis.
- Utilisez un journal qui suit de manière forcée chaque transfert d’activité.
- Automatisez les rappels et exigez un reçu/accusé de réception à chaque étape.
- Archiver les post-mortem comme obligatoire et non facultatif, avec un accès à la fois pour les services informatiques et juridiques.
Maîtrisez ces mécanismes et, au lieu de lutter au rythme du régulateur, vous pourrez appliquer la règle de source unique de l'article 35 pour chaque action, à chaque fois.
À quoi ressemble l'« opérationnalisation » de l'article 35 ? Discipline, preuves et gestion des délais
Il ne suffit pas d'avoir une politique ; il faut l'animer. L'article 35 demande des routines de réponse aux incidents inter-équipes qui laissent des traces vérifiables : acteurs réels, délais stricts et liens de preuves en directAffecter un département ne suffit plus ; désormais, il faut associer des personnes spécifiques à chaque étape, avec des preuves cartographiées en temps réel.
Délais - les tristement célèbres délais de 24 heures et de 72 heures GDPR Les horloges ne sont pas imposées par l'espoir, mais par la technologie (https://fr.isms.online/policy-documentation). À chaque événement (détection, escalade, transfert au conseil d'administration, clôture), vous devez tenir un journal horodaté et basé sur les rôles, sans quoi les autorités de réglementation considéreront chaque écart comme une preuve de négligence. Une documentation « presque à temps », ou un rapprochement a posteriori, vous expose à une pleine autorité.
Les organisations qui documentent en temps réel, avec des alertes pilotées par le système pour chaque partie prenante, réussissent les audits et évitent les amendes, même lorsque la violation elle-même est techniquement complexe.
Pour ceux qui opèrent sous un cadre, simulez la routine de l'autre : les équipes RGPD doivent effectuer des exercices 24 heures sur 24, tandis que les opérateurs NIS 2 doivent répéter le modèle RGPD de 72 heures. Les équipes les mieux préparées normalisent les exercices d'incident entre les services, afin que chaque maillon faible soit repéré et corrigé avant qu'une faille ne survienne.
Les meilleures pratiques actuelles s'appuient sur plateformes de gestion des incidents qui permettent de vérifier les preuves du flux de travail, affectez chaque acteur et automatisez les rappels de révision avant l'échéance de conformité (https://fr.isms.online/incident-management-platform). Avec un système comme ISMS.online, les tâches sont verrouillées à la source et votre dossier d'audit reflète parfaitement l'exigence légale de l'article 35.
Tableau de correspondance ISO 27001 : Correspondance entre les obligations de l'article 35 et les contrôles opérationnels et d'audit
Ci-dessous, les exigences réglementaires de base se transforment en actions opérationnelles claires et ISO 27001 références de contrôle :
| Attente | Plateforme d'opérationnalisation | ISO 27001 / Annexe A Réf. |
|---|---|---|
| Responsable de la violation personnelle dédiée | Flux de travail des politiques avec identifiant personnel | A.5.24, A.8.13 |
| Timelapse Piste d'audit de chaque pas | Rôle enregistré par le système + chaîne d'actions | A.5.27, A.8.13 |
| Notification multi-framework bidirectionnelle | Synchronisation des listes de contrôle basées sur des règles | A.5.31, A.5.24 |
| Preuve de clôture et signature | Plateforme « banque de preuves » synchronisée avec SoA | A.5.35, A.8.13 |
Un SMSI mature place ces contrôles opérationnels au centre, vous permettant de générer une déclaration d'applicabilité (SoA) ou un pack d'auditeur avec juste un clic pour chaque examen imaginable.
Soyez prêt pour NIS 2 dès le premier jour
Lancez-vous avec un espace de travail et des modèles éprouvés : personnalisez, attribuez et c'est parti.
Pourquoi la conformité moderne exige-t-elle des « passages piétons vivants » et comment fonctionnent-ils ?
Une politique de case à cocher n'apporte aucune valeur ajoutée si elle n'est pas associée à des actions concrètes. Dans le contexte actuel de violation de données, « Les meilleures pratiques » sont ce qui est cartographié, pas seulement ce qui est écrit.Les régulateurs, et désormais la plupart des auditeurs externes, cherchent à vérifier : pour chaque notification, le déclencheur est-il lié à un contrôle ? L'approbation est-elle enregistrée avec attribution ? Sans tableau de correspondance et preuve vivante liens, votre processus est invisible et donc non conforme.
Si les preuves ne peuvent pas être révélées par une trace en direct, c'est comme si elles n'existaient pas pour les auditeurs et les régulateurs.
Considérez un incident typique : détection, attribution initiale du responsable, délai de 24 heures, transmission au DPD, clôture et examen. À chaque étape, vous devez consigner les actions dans votre SMSI. contrôles mappés-A.5.24 pour les rapports, A.8.13 pour les preuves, A.5.31 pour la notification, A.5.35 pour les examens.
Voici à quoi ressemble un « passage piéton actif » :
| Gâchette | Mise à jour des risques | Lien Contrôle / SoA | Preuves enregistrées |
|---|---|---|---|
| Violation détectée | Registre des risques noter | A.5.24 / A.8.13 | Détection + propriétaire assigné |
| Le délai de 24 heures approche | Événement de minuterie | A.5.27 (NIS 2),… | Planificateur de notifications/raisons |
| Escalade au DPO | Enregistrement de transfert | A.5.31 / A.8.13 | Accusé de réception du DPO |
| Incident résolu | Journal de révision du conseil d'administration | A.5.27 / A.5.35 | Leçons apprises + clôture |
L'exécution de ces opérations dans le cadre d'un cycle continu, automatisé par votre système de gestion des incidents, transforme chaque violation en opportunité de résilience proactive. Les organisations avant-gardistes actualisent chaque action, systématiquement, de sorte que la préparation aux audits ou aux examens réglementaires devient un sous-produit du travail quotidien, et non une course contre la montre à quelques jours d'une échéance.
Votre piste d’audit est-elle en temps réel, transparente et fondée sur des preuves, ou risque-t-elle une « conformité inactive » ?
La « conformité » ne se limite plus à la violation elle-même. Elle concerne préparation, enregistrement, révision et amélioration de chaque réponseLacunes, dossiers dispersés, journaux manuels : voilà la voie rapide vers les amendes. Il est plus prudent et plus judicieux de faire preuve d'une diligence extrême. Personne n'est jamais pénalisé pour un suivi excessif ; presque toutes les amendes importantes concernent des lacunes de documentation (https://fr.isms.online/incident-management-platform).
Chaque boucle fermée de votre piste d'audit (détection, rôle, preuve, examen) multiplie vos chances d'éviter non seulement des amendes, mais également des retombées sur votre réputation.
Aujourd'hui, les responsables de la conformité et les responsables informatiques peuvent exploiter les plateformes SMSI qui enregistrent automatiquement chaque étape et offrent un calendrier électronique immuable, pour tous les postes techniques et non techniques. Le modèle est simple : plus vous mettez en place de boucles de rétroaction, plus vous gagnez en crédibilité et en confiance, tant auprès des auditeurs qu'au sein de votre conseil d'administration. Les analyses rétrospectives, les téléchargements de preuves et les validations de la direction deviennent des opérations routinières, ce qui renforce l'assurance et réduit considérablement les coûts. préparation à l'audit.
Au lieu de craindre une enquête réglementaire, les organisations avisées traitent chaque réponse à l'incident Comme carburant pour une amélioration à long terme. Et grâce à l'automatisation, votre conformité ne s'immobilise pas : elle évolue pour se conformer à la norme avant que les autorités réglementaires ne vous obligent à la rattraper.
Tous vos NIS 2, tout en un seul endroit
Des articles 20 à 23 aux plans d’audit, exécutez et prouvez la conformité, de bout en bout.
Conformité fondée sur des preuves : créer une boucle de confiance, pas une liste de contrôle
Les leaders du marché ne sont pas définis par des manuels de processus, mais par journaux en direct et adaptatifs intégrant les preuves, l'apprentissage en équipe et la supervision du conseil d'administrationLes clients d'ISMS.online qui passent de la conformité à la « réussite de l'audit » à la « preuve d'amélioration quotidienne » voient leurs coûts, leurs délais de récupération et leurs taux d'incidents diminuer (https://fr.isms.online/case-studies/). Les journaux d'audit ne sont pas de simples tableaux de bord partagés défensifs : ils offrent à chaque directeur ou responsable la visibilité en temps réel attendue par les régulateurs.
La conformité est moins une destination qu’une rampe de lancement, que vous réinitialisez et renforcez après chaque violation, chaque exercice.
Un client manipulant des données de santé sensibles de l'UE a mené des exercices de détection de violations interjuridictionnelles sur ISMS.online. Chaque mission, publication de preuves, notification et étape d'analyse était centralisée ; chaque enseignement était immédiatement disponible pour le cycle suivant. À l'arrivée des auditeurs, le conseil d'administration a présenté un rapport simple : aucune exception, aucun lien manquant, aucune panique. Résultat ? Aucune constatation, une confiance accrue des clients et un conseil d'administration jugé « prêt pour le marché » face à la prochaine vague d'exigences réglementaires.
Pour atteindre ce niveau : centralisez votre piste d’audit, automatisez les transferts, pilotez les revues de direction et mettez à jour votre manuel d’incident après chaque violation, réelle ou simulée. Ainsi, lorsque le prochain défi ou régime se présentera, la résilience sera déjà opérationnelle.
Quelle est la prochaine étape : de l’article 35 au spectre de résilience complet : votre système est-il prêt ?
L'article 35 est un avant-goût, et non la conclusion. Avec DORA, les cadres sectoriels et l'émergence Loi de l'UE sur l'IA, La conformité fondée sur des preuves et une plateforme est déjà une attenteLes nouveaux mandats multiplieront les échéanciers, les transferts de responsabilités et les chevauchements de responsabilités. En fin de compte, ce ne sont pas l'ambition, mais la répétabilité et la preuve qui définissent l'excellence.
Votre capacité à démontrer des améliorations en direct (exercices trimestriels, mise à jour des manuels de jeu, évaluations du conseil d'administration) est déjà un facteur de différenciation.
Intégrez dès aujourd'hui à votre SMSI des rythmes d'analyse, de journalisation des améliorations et de simulation des prochaines menaces (https://fr.isms.online/policy-documentation). Les conseils d'administration sont désormais suivis en fonction des actions qu'ils approuvent, et non des diapositives qu'ils consultent. Soyez prêt à ancrer chaque discussion sur les risques stratégiques dans des données concrètes : présentez vos journaux d'exercices et vos cycles d'amélioration comme un système vivant.
Les entreprises résilientes et prêtes à l'audit lient les bonus et la stratégie du conseil d'administration aux données probantes, et non à l'ambition. Elles visualisent les cycles de conformité comme des tableaux de bord de performance, et non comme des casse-têtes annuels. Et le marché les observe : les acheteurs et investisseurs réglementés apprécient les organisations qui anticipent les menaces futures avant d'être contraintes de réagir.
Le modèle ISMS.online : conformité permanente, résilience vérifiable, amélioration fiable
Aucune organisation ne parvient à la résilience grâce à la paperasserie ou à la mémoire musculaire. À notre époque, la conformité signifie une disponibilité permanente, systématisée et riche en preuves. Des flux de travail d'incident à signature du conseil d'administrations, ISMS.online fournit une plateforme auditée et fiable tout au long du cycle de vie : réponse aux incidents, gestion des violations de données personnelles et amélioration continue (https://fr.isms.online/incident-management-platform).
Les incidents ne sont pas ponctuels ; votre système de gestion évolue avec chaque événement. Qu'il s'agisse de mettre à jour l'état des contrôles, d'accompagner un nouveau responsable ou d'assimiler les retours d'audit, le registre des preuves ISMS.online est dynamique, unifié et consultable par toute autorité, à tout moment.
Les organisations qui ancrent la conformité en temps réel dans leurs pratiques démontrent leur valeur non pas par leur ambition, mais par leur pratique. Les preuves ne sont pas un fardeau, mais un bouclier. Lorsque l'article 35 ou la prochaine vague législative tombera, votre équipe pourra se prévaloir non pas de bonnes intentions, mais de résultats concrets.
L'excellence opérationnelle ne naît pas après coup ; elle s'inscrit au quotidien dans les journaux, les analyses et les tableaux de bord en temps réel. Lorsque vos preuves évoluent aussi vite que les menaces, la résilience est automatique.
Foire aux questions
Qu’est-ce qui déclenche une « infraction entraînant une violation de données à caractère personnel » au sens de l’article 35 de la NIS 2 ?
Tout manquement aux obligations fondamentales de la NIS 2 entraînant la compromission de données personnelles – que ce soit par perte, accès non autorisé ou divulgation illégale – constitue une « infraction entraînant une violation de données personnelles » au sens de l'article 35. Il est crucial de noter que cette violation peut être déclenchée non seulement par des cyberattaques, mais aussi par des défaillances des procédures de sécurité, des notifications tardives, des attributions de rôles floues, des journaux manquants ou une documentation incomplète. Si de tels manquements conduisent directement à une violation de données, l'autorité compétente de la NIS 2 doit signaler l'incident à l'autorité de protection des données (APD). Cette double exposition implique lacunes en matière de conformité en cours, tenue de registres ou réponse à l'incident soumettez votre organisation à la fois à la NIS 2 et au RGPD examen réglementaire.
Des délais manqués, des rôles vagues ou des dossiers médiocres peuvent transformer une erreur de routine en une violation légale, plaçant votre équipe sous les projecteurs de deux régulateurs, et non d'un seul.
Principaux déclencheurs d'une violation réglementaire
- Contrôles non testés, obsolètes ou incomplets, imposés par le NIS 2 (par exemple, vulnérabilités non corrigées ou évaluations des risques ignorées).
- En retard ou manquant notifications d'incident- surtout si elle n'est pas envoyée dans les 24 heures.
- Ne pas désigner les personnes désignées pour le signalement, l’escalade ou la documentation.
- Dépendance à des preuves non structurées : feuilles de calcul, journaux dispersés, chaînes de courrier électronique.
- Négliger la documentation des « quasi-accidents » et des incidents répétés de faible intensité.
Les régulateurs, y compris l’ENISA, traitent les lacunes de processus entraînant une perte de données comme des violations à grande échelle, renforçant ainsi la demande de conformité systématique attribuée aux rôles.
Comment l’article 35 (NIS 2) et le RGPD interagissent-ils en matière de notification et de sanction ?
L'article 35 intègre étroitement la NIS 2 et le RGPD en exigeant une double notification immédiate en cas de violation de données personnelles résultant d'un manquement à la NIS 2. Cela signifie que vous êtes tenu d'informer l'autorité compétente NIS 2 dans les 24 heures et l'APD dans les 72 heures, chacune au moyen de procédures et de formulaires officiels. Les autorités coordonnent leurs enquêtes, mais l'application des sanctions et les sanctions sont harmonisées : si l'APD vous inflige une amende en vertu du RGPD, l'autorité NIS 2 ne peut pas également vous infliger de sanction financière pour la même violation, mais elle peut émettre des avertissements ou exiger des mesures correctives.
Le processus de notification conjointe, étape par étape
- Heures 24: Avis initial à l'autorité NIS 2 (même si les faits sont incomplets).
- Heures 72: Rapport détaillé à l'APD dans le cadre du RGPD.
- Transfrontalier ?: Les autorités de chaque juridiction concernée sont impliquées, ce qui impose une harmonisation de vos notifications et de vos enregistrements.
- Pas de double amende, mais une surveillance renforcée : Le NIS 2 peut ordonner des changements de processus, suspendre des certifications ou exiger de nouveaux audits, même lorsque l'amende provient uniquement de la DPA (NIS 2, art. 35(4)).
Les autorités attendent non seulement des preuves d'action, mais aussi la preuve d'une organisation en temps réel et basée sur les rôles. L'automatisation et la rigueur des processus ne sont plus un simple atout : elles sont désormais obligatoires.
Quel est le processus étape par étape du SMSI pour la détection et le signalement des violations en vertu de l'article 35 et du RGPD ?
Pour rester conforme et prêt pour les audits, votre système de gestion des incidents (ISMS) doit orchestrer étroitement la réponse dès qu'une violation est suspectée, en particulier lorsque des expositions de processus sont impliquées :
Flux de travail des incidents par étapes
- Journalisation des événementsEnregistrez la violation de manière sécurisée dans votre SMSI. Enregistrez l'heure, le déclarant, les systèmes affectés, l'impact et l'évaluation initiale du risque (ISO 27001 : A.5.24, A.8.13).
- Activation du flux de travail: Déclencheur pré-approuvé manuels d'incidents avec un horodatage précis et une affectation individuelle pour chaque étape.
- Notifier l'autorité NIS 2:Utilisez le portail dédié du pays ou le canal prescrit dans les 24 heures, quel que soit l'état de l'enquête.
- Informer la DPA:Fournissez tous les détails de violation et de contexte requis par le RGPD dans les 72 heures, y compris les types de données, le nombre de personnes concernées et les menaces qui en découlent.
- Attribuer des rôles nommés:Documentez clairement qui est responsable des activités d’enquête, de communication (interne et externe) et d’atténuation.
- Communiquer avec les personnes concernées:Si la violation présente des risques pour les droits des personnes concernées, informez-les rapidement et enregistrez toutes les communications.
- Centraliser les dossiers:Suivez chaque mise à jour, conversation, modification du système et action d’atténuation dans un système sécurisé et à l’épreuve des audits (A.5.27, A.5.35).
- Examen et amélioration post-incident: Organisez une séance de partage des leçons apprises, reliez les résultats aux mises à jour des risques et des contrôles et mettez à jour votre déclaration d'applicabilité (SoA).
Aperçu de la traçabilité
| Événement déclencheur | Mise à jour des risques | Référence Contrôle/SoA | Preuves enregistrées |
|---|---|---|---|
| Le SOC signale un accès non autorisé | Risque accru | A.5.24, A.8.13 | Registre des incidents du SMSI |
| Délai de 24 heures manqué | Non-conformité déposée | A.5.35 | Journal d'audit, alerte par e-mail |
| Notifications envoyées aux autorités | Incident clos | A.5.27, A.5.31 | Flux de travail et journaux de révision |
Un enregistrement d’incident entièrement enregistré, attribué à un rôle et immuable constitue votre meilleure défense contre les risques réglementaires et l’exposition aux audits.
Pouvez-vous être condamné à une amende en vertu de la NIS 2 et du RGPD pour la même violation, et comment les sanctions sont-elles calibrées ?
L'article 35(4) de la NIS 2 et le RGPD consacrent le principe de non-double incrimination pour les amendes pécuniaires liées à une même violation. La sanction de l'APD bloque les amendes NIS 2 concurrentes pour l'incident, mais l'autorité NIS 2 peut toujours imposer des mesures non pécuniaires : avertissements, mesures correctives obligatoires, suspensions et audits futurs renforcés. Les sanctions dépendent de la classification de votre entité :
| Entité | Sanction financière maximale | Référence légale |
|---|---|---|
| Les Essentiels | 10 M€ ou 2 % du chiffre d'affaires mondial | NIS 2 / RGPD |
| Important | 7 M€ ou 1.4 % du chiffre d'affaires mondial | NIS 2 / RGPD |
- Les amendes sont plus sévères lorsque les incidents ne sont pas signalés, les délais ne sont pas respectés ou les dossiers sont incomplets, en retard ou manuels.
- Un enregistrement systématique et une réponse rapide et complète réduisent ou anticipent systématiquement les sanctions maximales (Skillcast, 2025).
- Les mesures non monétaires, comme l’exigence de nouveaux audits ou la suspension des certifications, sont des compléments courants si des défaillances de processus sont constatées.
Ce qui compte le plus n’est pas seulement de réparer la faille, mais aussi la rapidité, la transparence et la systématiquement avec lesquelles vous prouvez votre processus aux yeux des deux autorités.
Que comprend une « enquête parallèle » typique après une violation de l’article 35 ?
L’application moderne de la loi conduit presque toujours à une enquête à la fois technique et procédurale : les régulateurs exigent de voir non seulement comment la violation s’est produite, mais également comment votre système de réponse a fonctionné en temps réel.
- Méta-plateformes : a été condamné à une amende de 91 millions d'euros après qu'une faille de sécurité a été aggravée par des notifications lentes et fragmentées et des journaux manquants.
- TIC Tac: a reçu une pénalité de 530 millions d'euros, combinant des manquements au transfert avec un manque de tenue de registres systématisée.
- Vodafone Allemagne : (45 millions d'euros) a été cité pour manque de conformité documentée des processus transfrontaliers et mauvaise attribution des rôles de réponse aux incidents.
L'examinateur d'audit en direct se concentre
- Examen de chaque transfert : à qui a été assigné quoi et quand.
- Demande d’enregistrements de flux de travail immuables et attribués à des rôles.
- Examen des outils : les feuilles de calcul et les fragments de courrier électronique invitent systématiquement à des analyses plus approfondies.
- Examen du flux de données techniques et de la chaîne de procédures, avec des lacunes « douces » élevées au rang de constatations graves.
Dans le monde réglementaire d'aujourd'hui, la première chose remise en question est la clarté et l'exhaustivité de votre piste d'audit : un contexte manquant ou des journaux tardifs sont des signaux d'alarme immédiats qui nécessitent un double examen.
Quels cadres et outils vous permettent de rester conforme et résilient après l’article 35 ?
- Automatisation des incidents : Utilisez un système dédié de gestion des incidents et des enregistrements qui intègre les attributions de rôles, les notifications automatisées, l'escalade des flux de travail et les journaux en temps réel directement mappés aux contrôles ISO 27001/Annexe A ((https://fr.isms.online/incident-management-platform)).
- Centralisation: Stockez tous les journaux d'événements, de flux de travail et de révision dans un emplacement central et immuable, sans fichiers dispersés ni traces de courrier électronique.
- Cartographie en direct : Liez chaque obligation réglementaire à vos manuels opérationnels et à votre déclaration d’applicabilité (SoA) pour la traçabilité.
- Exercices de routine : Exécutions trimestrielles des cycles « violation + notification », mettant à jour les contrôles et les pratiques à l’aide de résultats réels (ENISA, 2024).
- Devoir individuel : Pour chaque phase d’incident (détection, signalement, communication, clôture), nommez la personne responsable, pas seulement le service.
- Amélioration continue: Examens post-incident doivent s'intégrer directement dans vos mises à jour SoA et examens des risques, prouvant que vous apprenez et que vous vous adaptez.
Pont ISO 27001 : attente → opérationnalisation → référence d'audit
| Attente | Opérationnalisation | Référence ISO 27001/Annexe A |
|---|---|---|
| Notifications réglementaires 24h/72h | Automatisation des flux de travail, délais suivis | A.5.31, A.5.24, A.5.35 |
| Piste d'audit spécifique au rôle | Journaux immuables, personnel affecté | A.5.27, A.8.13 |
| Engagement à double autorité | Les preuves se connectent à SoA | A.5.31, A.5.35 |
| Les leçons apprises, contrôles améliorés | Examen documenté, SoA/journalisation des risques | A.5.27, A.5.35 |
Progressez en faisant de votre SMSI la première ligne de défense technique et de résilience procédurale, de sorte que chaque notification, examen et transfert soit déjà cartographié avant même que les auditeurs ne le demandent.
Identité : Pour les dirigeants, les gestionnaires des risques et les responsables du SMSI, la véritable conformité à l'article 35 n'est pas une question de réussite ou d'échec. C'est la marque d'un système où processus, preuves et responsabilité fonctionnent en parfaite synergie, garantissant ainsi la défense de votre réputation avant tout incident.
