Cybersécurité : les obligations légales des entreprises en France

Gabriel

Une part significative des PME ayant subi une cyberattaque majeure rencontre de graves difficultés financières dans les mois qui suivent. Pourtant, la plupart des dirigeants ignorent encore les obligations légales qui s’appliquent à leur entreprise. RGPD, signalement des incidents, protection des données personnelles : voici ce que la loi exige de vous, et comment y répondre sans transformer votre quotidien en cauchemar numérique.

L’essentiel

  • Le RGPD impose à toute entreprise traitant des données personnelles de mettre en place des mesures de sécurité adaptées, sous peine de sanctions pouvant atteindre 4 % du chiffre d’affaires mondial.
  • La loi Informatique et Libertés complète le RGPD dans le droit français et s’applique à toutes les structures, quelle que soit leur taille.
  • Tout incident de sécurité affectant des données personnelles doit être notifié à la CNIL dans les 72 heures.
  • Cybermalveillance.gouv.fr est la ressource officielle gratuite pour obtenir de l’aide en cas d’attaque et trouver des prestataires labellisés.
  • Former vos collaborateurs et sécuriser vos mots de passe constituent les deux premières mesures à mettre en place, avant tout investissement technique.

Ce que la loi exige réellement de votre entreprise

Beaucoup de dirigeants pensent que la cybersécurité est une affaire de grandes entreprises ou d’administrations. La réalité juridique est différente.

Le RGPD (Règlement Général sur la Protection des Données), réglementation européenne entrée en vigueur en 2018, s’applique à toute organisation qui collecte ou traite des données personnelles, que ce soit un fichier clients, des fiches de paie ou des adresses e-mail. Pour une PME de 10 à 100 salariés, cela couvre quasiment toute l’activité. L’obligation centrale du RGPD en matière de cybersécurité est formulée à l’article 32 : vous devez mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté aux risques. La loi ne prescrit pas de solution précise, elle impose un résultat.

La loi Informatique et Libertés, dans sa version révisée, complète ce dispositif dans le droit français. Elle confie à la CNIL le pouvoir de contrôler, sanctionner et accompagner les entreprises. Les amendes peuvent atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.

Deux obligations méritent une attention particulière :

  • La notification des violations de données : si une cyberattaque expose des informations personnelles, vous avez 72 heures pour en informer la CNIL. Si les personnes concernées risquent un préjudice grave, vous devez également les prévenir directement.
  • La tenue d’un registre des activités de traitement : document interne listant quelles données vous collectez, pourquoi, combien de temps vous les conservez et quels utilisateurs y ont accès.

Cybermalveillance : les menaces qui visent les PME en 2026 ?

Les attaques informatiques ne ciblent plus seulement les grands groupes. Les PME sont devenues des cibles prioritaires, précisément parce que leurs défenses sont souvent plus légères.

Selon cybermalveillance.gouv.fr, le dispositif gouvernemental d’assistance aux victimes d’actes de cybermalveillance, les incidents les plus fréquents chez les professionnels sont le piratage de compte, le phishing (hameçonnage) et les faux ordres de virement bancaire. Ces trois menaces ont en commun de cibler d’abord les comportements humains avant les systèmes informatiques.

Le rançongiciel (ransomware) mérite une mention séparée. L’attaque fonctionne simplement : des logiciels malveillants chiffrent tous vos fichiers, et les cybercriminels réclament une rançon pour vous en rendre l’accès. Pour une PME sans sauvegarde récente, cela peut signifier l’arrêt total de l’activité pendant plusieurs jours ou semaines.

L’ingénierie sociale, elle, ne nécessite aucun outil technique sophistiqué. Un e-mail imitant votre banque, un appel téléphonique se présentant comme votre fournisseur informatique : ces attaques exploitent la confiance et l’urgence. Vos collaborateurs sont à la fois votre première ligne de défense et votre vulnérabilité principale.

Les mesures concrètes que vous devez mettre en place

La CNIL recommande une approche progressive en trois niveaux, adaptée aux moyens de chaque organisation. Voici les actions prioritaires pour une PME.

Sécurité des mots de passe et des accès

La CNIL a actualisé ses recommandations sur les mots de passe : chaque compte doit disposer d’un mot de passe unique, suffisamment long et complexe. En pratique, un gestionnaire de mots de passe comme Bitwarden ou KeePass résout ce problème pour l’ensemble de vos équipes sans ajouter de contrainte quotidienne. L’authentification à deux facteurs doit être activée sur tous les comptes critiques : messagerie, outils de comptabilité, accès aux données clients. La gestion rigoureuse des identités et des droits d’accès constitue un rempart essentiel contre les intrusions.

Sauvegardes et continuité d’activité

La règle des sauvegardes est simple : trois copies de vos données, sur deux supports différents, dont une hors site (ou dans le cloud). Cette configuration garantit qu’une attaque par rançongiciel ne vous laisse pas sans recours. Testez régulièrement la restauration de vos sauvegardes, car une sauvegarde non testée est une sauvegarde dont vous ne connaissez pas la fiabilité réelle.

Mises à jour et protection des postes de travail

Les mises à jour de sécurité corrigent des vulnérabilités connues que les cybercriminels exploitent activement. Retarder une mise à jour de quelques semaines peut suffire à exposer vos réseaux internes. Activez les mises à jour automatiques sur tous les postes et équipements réseau, et vérifiez que chaque ordinateur dispose d’un antivirus actif et à jour.

Pour les PME ne disposant pas d’équipe informatique dédiée, il peut être pertinent de faire appel à AVA6, entreprise IT afin d’auditer les risques, sécuriser les infrastructures et mettre en conformité les outils utilisés au quotidien.

Cybermalveillance.gouv.fr : votre ressource gratuite en cas d’incident

Le dispositif cybermalveillance.gouv.fr a traité plus d’un million de demandes d’assistance depuis sa création. Porté par l’ACYMA avec le soutien de la CNIL, de la CPME et de nombreux acteurs publics et privés, il offre plusieurs services gratuits directement utiles aux PME.

Le service 17Cyber permet d’obtenir un diagnostic en ligne et d’être orienté vers un prestataire qualifié près de chez vous. La plateforme Mon ExpertCyber référence des prestataires labellisés capables d’intervenir chez les professionnels. Si vous êtes victime d’une cyberattaque, c’est le premier endroit où aller avant même d’appeler votre prestataire informatique habituel.

Le service SensCyber propose une formation en ligne gratuite pour sensibiliser vos équipes aux bonnes pratiques. Accessible sans compétences techniques, elle couvre les menaces les plus courantes et les réflexes à adopter. Deux heures de formation peuvent éviter des semaines de crise.

FAQ : Les questions que vous vous posez

Le RGPD s’applique-t-il à ma PME même si je n’ai pas de service informatique dédié ?

Oui, sans exception. Le RGPD s’applique à toute organisation qui traite des données personnelles, indépendamment de sa taille ou de ses ressources techniques. L’absence de service informatique ne dispense pas de l’obligation de sécuriser vos informations et de notifier les incidents à la CNIL. Des prestataires spécialisés peuvent vous accompagner sans nécessiter de recrutement interne.

Que faire dans les premières heures si mon entreprise subit une cyberattaque ?

Déconnectez immédiatement les machines affectées du réseau pour limiter la propagation, sans les éteindre (pour préserver les traces numériques). Contactez cybermalveillance.gouv.fr via le service 17Cyber pour obtenir une assistance et un prestataire qualifié. Si des données personnelles sont compromises, vous avez 72 heures pour notifier la CNIL via son portail en ligne.

Dois-je obligatoirement nommer un délégué à la protection des données (DPO) ?

La nomination d’un DPO est obligatoire dans trois cas : si vous traitez des données à grande échelle, si votre activité principale consiste à surveiller des personnes de façon systématique, ou si vous êtes un organisme public. Pour la plupart des PME de 10 à 100 salariés, la nomination est recommandée mais pas obligatoire. Un DPO externe mutualisé reste une option accessible financièrement.

Quelles sanctions risque-t-on en cas de manquement à la sécurité des données ?

La CNIL peut prononcer des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. En pratique, les sanctions les plus fréquentes concernent l’absence de notification d’un incident dans les 72 heures ou des mesures de sécurité manifestement insuffisantes. La CNIL publie ses décisions de sanction, ce qui expose également l’entreprise à un risque de réputation.

Article en relation :

  1. ERP ou PGI : quelles différences et quel logiciel choisir pour une PME ?
  2. Quel ERP choisir pour une PME ? Guide pratique pour faire le bon choix
  3. Accès SAP mal gérés : comment reprendre le contrôle rapidement ?
  4. Comment gérer sa comptabilité en tant que PME ?