🚨 Notre engagement

Cap'Évol prend la sécurité de vos données très au sérieux. En cas de violation de données personnelles, nous suivons une procédure stricte pour limiter l'impact et vous en informer conformément aux Articles 33 et 34 du RGPD.

🔍 Qu'est-ce qu'une violation de données ?

Une violation de données personnelles est une « violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel » (Art. 4.12 RGPD).

Exemples concrets :

Confidentialité

Accès non autorisé, piratage, vol de base de données

Intégrité

Modification non autorisée, altération des données

Disponibilité

Perte, destruction accidentelle, ransomware

⚙️ Notre procédure en 5 étapes

Détection & Confinement

Délai : Immédiat (dès détection)

Identification de la violation
Évaluation de la gravité (faible, moyenne, élevée, critique)
Mesures immédiates de confinement (blocage accès, rotation clés, etc.)
Préservation des preuves (logs, captures)

Documentation & Analyse

Délai : Dans les 24 heures

Documentation complète de l'incident (qui, quoi, quand, comment)
Identification des données concernées (nature, volume, personnes)
Évaluation des risques pour les personnes (usurpation d'identité, discrimination, etc.)
Recherche de la cause racine

Notification CNIL (si nécessaire)

Délai : 72 heures maximum (Art. 33 RGPD)

Critères de notification obligatoire :

Si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes concernées (ex : données de santé, coordonnées bancaires, etc.)

Notification via le téléservice CNIL
Description de la nature de la violation
Catégories et nombre de personnes/enregistrements concernés
Mesures prises ou envisagées
Coordonnées du DPO

Information des personnes concernées

Délai : Dans les meilleurs délais (Art. 34 RGPD)

Critères de notification individuelle :

Si la violation est susceptible d'engendrer un risque élevé pour les droits et libertés (ex : données de santé sensibles, risque d'usurpation d'identité)

Email individuel ou courrier recommandé
Description claire et simple de la violation
Conseils pratiques (changement mot de passe, surveillance compte bancaire, etc.)
Coordonnées du DPO pour questions
Droit de réclamation auprès de la CNIL

Correction & Amélioration

Délai : Continu

Correction de la faille de sécurité
Mise en place de mesures préventives
Mise à jour du registre des violations
Formation du personnel si nécessaire
Audit de sécurité complet

📋 Registre des violations

Conformément à l'Article 33.5 du RGPD, Cap'Évol tient un registre de toutes les violations de données personnelles (qu'elles soient notifiées à la CNIL ou non), comprenant :

Les faits relatifs à la violation
Les effets de la violation
Les mesures prises pour y remédier

Ce registre est disponible sur demande auprès de notre DPO ou de l'autorité de contrôle (CNIL).

✅ État actuel

À ce jour (22 octobre 2025), Cap'Évol n'a JAMAIS connu de violation de données personnelles.

Nous mettons tout en œuvre pour maintenir ce niveau de sécurité grâce à nos mesures techniques et organisationnelles (chiffrement, accès restreint, audits réguliers, etc.).

🔐 Signaler une vulnérabilité

Vous avez détecté une faille de sécurité dans notre système ? Nous vous remercions de nous la signaler de manière responsable :

Contactez immédiatement notre DPO

dpo@cap-evol.fr

Décrivez la vulnérabilité en détail (sans l'exploiter publiquement)

Nous nous engageons à vous répondre sous 24h et à corriger la faille rapidement

Cap'Évol remercie chaleureusement les chercheurs en sécurité qui contribuent à la protection des données de nos utilisateurs.

Pour toute question sur cette procédure :

📧 Contacter le DPO

Procédure en cas de Violation de Données