# Notification violation de données (breach) - Procédure 72h CNIL

```mermaid
sequenceDiagram
    participant Monitoring as Monitoring (Sentry/Grafana)
    participant Equipe as Équipe Technique
    participant DPO as DPO
    participant DB as Base de données
    participant CNIL as CNIL
    participant Users as Utilisateurs impactés

    Note over Monitoring: H+0 - Détection

    Monitoring->>Equipe: Alerte breach détecté
    Equipe->>Equipe: Confinement immédiat
    Equipe->>DB: Bloquer accès compromis
    Equipe->>DPO: Notification breach

    Note over DPO,Equipe: H+0 à H+24 - Évaluation

    DPO->>DB: Investigation périmètre
    DB->>DPO: Données compromises
    DPO->>DB: Liste utilisateurs impactés
    DB->>DPO: X utilisateurs

    DPO->>DPO: Évaluation gravité
    Note over DPO: - Type données (GPS, email, etc.)<br/>- Nombre utilisateurs<br/>- Risque pour droits/libertés

    alt Risque pour utilisateurs
        Note over DPO: H+24 à H+48 - Préparation notification CNIL

        DPO->>DPO: Rédaction rapport breach
        Note over DPO: - Nature violation<br/>- Catégories/nb données<br/>- Conséquences probables<br/>- Mesures prises/envisagées

        DPO->>CNIL: Notification sous 72h (email + formulaire en ligne)
        CNIL->>DPO: Accusé réception

        alt Risque élevé pour utilisateurs
            Note over DPO: H+48 à H+72 - Notification utilisateurs

            DPO->>Users: Email notification breach
            Note over Users: - Nature violation<br/>- Coordonnées DPO<br/>- Mesures prises<br/>- Recommandations (changer mdp, etc.)

            DPO->>Users: Notification in-app
        end
    else Risque faible (mesures techniques suffisantes)
        DPO->>DPO: Documentation interne uniquement
        Note over DPO: Pas de notification CNIL requise
    end

    Note over DPO: Post-incident

    DPO->>Equipe: Audit sécurité complet
    DPO->>DB: Enregistrement incident (registre violations)
    DPO->>DPO: Plan correctif
```

**Légende** :
- **H+0 à H+24** : Détection, confinement, évaluation périmètre
- **H+24 à H+48** : Évaluation gravité, préparation rapport
- **H+48 à H+72** : Notification CNIL (si risque) + utilisateurs (si risque élevé)
- Délai CNIL : **72h maximum** (Article 33 RGPD)
- Notification utilisateurs obligatoire si **risque élevé** pour droits/libertés (Article 34 RGPD)