Ce que la loi dit vraiment… et ce que beaucoup de chefs d'entreprise ignorent encore.
Dirigeant de PME ou TPE, pensez-vous vraiment que la cybersécurité est uniquement une affaire technique ? Une question de prestataire informatique, de pare-feu ou d'assurance cyber ?
En cas de cyberattaque, la première victime n’est pas toujours votre système ou vos données. Parfois, c’est vous.
Aujourd’hui, la responsabilité du dirigeant n’est plus théorique. Elle peut être civile, financière, voire pénale. Une violation de données personnelles, un manquement aux mesures de sécurité exigées par le RGPD, une absence de plan de gestion de crise… et votre responsabilité personnelle peut être engagée. Amende administrative de la CNIL, action en justice d’un client, poursuite pour négligence grave : le risque juridique est réel.
La loi impose une obligation légale de protection des données et la mise en œuvre de dispositifs de sécurité adaptés à la taille, au secteur et à l'activité de votre entreprise. En clair : ignorer la menace cyber peut constituer une faute.
La vraie question n’est plus "suis-je victime d’une attaque ?", mais :
serai-je tenu responsable juridiquement de ses conséquences ?
Il y a encore dix ans, une cyberattaque était perçue comme un événement imprévisible, presque une fatalité. Un peu comme un cambriolage : on compatissait avec la victime, on ne lui reprochait pas d'avoir été ciblée.
Aujourd'hui, les tribunaux, les assureurs et les régulateurs considèrent qu'une entreprise qui manipule des données – clients, salariés, fournisseurs – a une obligation de moyens renforcée pour les protéger.
Pas une obligation de résultat (le risque zéro n'existe pas), mais une obligation de protéger vos données de manière raisonnable et adaptée à votre activité.
Le Règlement Général sur la Protection des Données (RGPD), en vigueur depuis 2018, est explicite sur ce point. L'article 32 impose aux responsables de traitement de mettre en œuvre :
"des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque"
Concrètement, cela signifie :
Et en cas de violation de données ?
L'article 33 du RGPD vous impose de notifier la CNIL dans les 72 heures suivant le moment où vous avez pris connaissance de la violation – pas 72h après l'attaque elle-même. Le délai court à partir du moment où vous avez identifié qu'une violation de données personnelles a eu lieu (accès non autorisé, fuite, destruction…).
Si vous découvrez l'incident le mercredi à 14h, vous avez jusqu'au samedi 14h pour notifier. Si le délai ne peut être respecté, une notification initiale partielle est possible, complétée ensuite.
Source : Article 33 du RGPD – CNIL
Au-delà du RGPD, le Code civil (article 1240) et la jurisprudence récente confirment une tendance : le dirigeant qui n'a pris aucun moyen de protection face à un risque connu et documenté peut voir sa responsabilité engagée.
Les cyberattaques contre les PME font la une de l'actualité depuis des années. Les alertes de l'ANSSI, de la CNIL et des CCI se multiplient. Le risque n'est plus "imprévisible", il est devenu statistiquement significatif et documenté.
En droit, l'ignorance de la loi n'a jamais été une excuse (nul n'est censé ignorer la loi). Ce qui a changé, c'est l'appréciation des tribunaux et des régulateurs : compte tenu de la médiatisation massive des cyberrisques depuis plusieurs années, un dirigeant peut difficilement prétendre qu'il ignorait l'existence de la menace cyber ou ses obligations en matière de protection des données.
L'argument "je ne savais pas que c'était un risque" est de moins en moins crédible face à un juge ou à la CNIL.
Sources :
La responsabilité civile, c'est l'obligation de réparer un préjudice causé à un tiers. Dans le contexte d'une cyberattaque, plusieurs situations peuvent déclencher des demandes d'indemnisation :
Fuite de données clients
Vos fichiers clients se retrouvent sur le dark web. Noms, adresses, numéros de téléphone, parfois données bancaires. Vos clients subissent du phishing ciblé, voire des usurpations d'identité. Ils se retournent contre vous.
Perte d'exploitation de vos partenaires
Vous êtes sous-traitant d'une entreprise plus grande. Votre système compromis devient le point d'entrée vers leur réseau. Leur activité est paralysée pendant 5 jours. Ils chiffrent le préjudice à 200 000 €. Et ils vous envoient la facture.
Non-respect des engagements contractuels
Vos contrats prévoient une clause de confidentialité sur les données échangées. Cette confidentialité a été compromise. Vos clients peuvent invoquer une rupture de contrat.
Actions collectives
Encore rares en France, mais en développement : des groupes de personnes dont les données ont fuité s'organisent pour demander réparation collectivement. Les montants peuvent vite devenir significatifs.
Entreprise X, cabinet de recrutement de 25 personnes à Lille. Base de données : 15 000 CV avec coordonnées, parcours professionnels, parfois numéros de sécurité sociale pour les candidats en cours de placement.
En mars 2025, ransomware. L'entreprise refuse de payer. Les hackers publient la base sur un forum spécialisé. 15 000 personnes reçoivent un email les informant que leurs données personnelles circulent librement.
Trois mois plus tard, un collectif de 847 personnes dépose une plainte et demande 1 500 € par personne au titre du préjudice moral. Total réclamé : 1,27 million d'euros.
L'enquête révèle que l'entreprise :
Le tribunal retient une faute de gestion caractérisée : absence totale de mesures de protection alors que le risque était connu et les solutions accessibles. Dans ce cas précis, la faute a été considérée comme détachable des fonctions du dirigeant – les juges ont estimé qu'un dirigeant normalement diligent aurait pris des mesures minimales.
L'assureur invoque une clause d'exclusion pour "défaut manifeste de mesures de sécurité élémentaires" et conteste la prise en charge. Après expertise, le litige se conclut par un refus partiel d'indemnisation – l'assureur acceptant de couvrir les frais de gestion de crise mais pas les dommages aux tiers.
Précision juridique : La responsabilité personnelle du dirigeant n'est pas automatique. Les tribunaux exigent une "faute détachable des fonctions" – autrement dit, une négligence tellement grave qu'un dirigeant normalement prudent ne l'aurait jamais commise. C'est cette gravité qui fait la différence entre "l'entreprise paie" et "le dirigeant paie de sa poche".
Sources :
La responsabilité pénale du dirigeant en matière de cybersécurité reste relativement rare. Mais elle n'est pas théorique. Plusieurs infractions du Code pénal peuvent s'appliquer :
Article 226–17 du Code pénal (modifié par la loi n° 2018–493 du 20 juin 2018)
"Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l'article 99 de la loi n° 78–17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende."
Article 226–17‑1 du Code pénal
"Le fait pour un responsable de traitement de ne pas procéder à la notification d'une violation de données à caractère personnel à la CNIL […] est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende."
Important : Ces peines sont des maximums légaux. Leur application suppose que le ministère public caractérise une infraction pénale, ce qui implique un élément intentionnel ou une négligence grave et délibérée. En pratique, les poursuites pénales restent rares et concernent des manquements caractérisés, pas de simples insuffisances. La plupart des affaires se règlent sur le terrain administratif (amendes CNIL) ou civil.
Source : Article 226–17 du Code pénal – Légifrance
La justice pénale s'intéresse aux cas où la négligence dépasse le simple "manque de moyens" :
Négligence grave et documentée
Aucune mesure de protection alors que le risque était connu et les moyens disponibles. Par exemple : aucun antivirus, aucune sauvegarde, mots de passe par défaut sur les équipements.
Défaut de mise à jour volontaire
Un éditeur publie un correctif de sécurité critique. Vous êtes informé. Vous ne l'appliquez pas pendant 6 mois. La faille est exploitée.
Non-déclaration à la CNIL
Une violation de données se produit. Vous décidez de ne pas la déclarer pour "éviter la mauvaise publicité". La CNIL l'apprend autrement. C'est une infraction en soi, indépendante de la violation initiale.
Entrave à l'enquête
Vous détruisez des logs, modifiez des preuves, ou refusez de coopérer avec les autorités.
Les condamnations pénales de dirigeants pour défaut de cybersécurité restent rares en France. La plupart des affaires se règlent sur le terrain civil ou administratif (amendes CNIL).
Mais la tendance est à la responsabilisation croissante. Et un dossier pénal, même s'il n'aboutit pas à une condamnation, représente des mois de procédure, des frais d'avocat, et un impact réputationnel considérable.
Beaucoup de dirigeants pensent qu'une assurance cyber règle le problème. "Si on se fait attaquer, l'assurance paiera." C'est partiellement vrai. Et partiellement risqué.
Et c'est là que ça se complique. Lisez les petites lignes :
Exclusion pour "défaut de mesures de sécurité de base"
Si l'enquête révèle que vous n'aviez pas d'antivirus à jour, pas de sauvegarde, pas de pare-feu… l'assureur peut contester la prise en charge.
Exigence d'un audit préalable
Certains contrats imposent un audit de sécurité avant la souscription. Si vous avez menti ou omis des informations, le contrat peut être annulé.
Plafonds d'indemnisation
Une couverture de 500 000 € peut sembler confortable. Jusqu'à ce que les frais réels atteignent 1,5 million.
Délais de carence
Certains contrats ne couvrent pas les sinistres survenant dans les 90 premiers jours.
Les assureurs cyber sont devenus beaucoup plus exigeants. Face à l'explosion des sinistres, ils ont durci leurs conditions :
Précision importante : En pratique, les refus d'indemnisation ne sont pas systématiques. Ils font souvent l'objet de négociations, d'expertises contradictoires, voire de contentieux. Mais les clauses d'exclusion pour "négligence grave" ou "non-respect des prérequis de sécurité" sont de plus en plus fréquentes dans les contrats cyber.
Une assurance ne remplace pas une stratégie de sécurité. Elle la complète, à condition que vous ayez fait le travail en amont.
Source : Rapport LUCY/AMRAE 2024 sur le marché de l'assurance cyber en France – amrae.fr
Si vous êtes mis en cause après une cyberattaque par un client, un partenaire, la CNIL ou un tribunal alors, la question centrale sera :
"Qu'avez-vous fait, concrètement, pour protéger les données et les systèmes dont vous aviez la charge ?"
Votre réponse doit être documentée, datée, vérifiable.
Idéalement annuel, réalisé par un tiers compétent. Il identifie les vulnérabilités, propose des actions correctives, et surtout : il prouve que vous avez cherché à savoir où vous en étiez.
Politique de mots de passe, procédure de sauvegarde, charte informatique signée par les collaborateurs, registre des traitements RGPD… Ces documents montrent que la sécurité n'est pas un sujet ignoré.
Avoir des sauvegardes, c'est bien. Avoir vérifié qu'elles fonctionnent, c'est mieux. Un PV de test de restauration daté vaut de l'or en cas de litige.
Le facteur humain reste la première faille. Montrer que vous avez investi dans la formation de vos salariés est un élément clé : simulations de phishing, sessions de sensibilisation régulières, politique interne claire sur l'usage des mails et des sites web suspects.
Si vous n'avez pas de RSSI en interne (ce qui est le cas de la majorité des TPE-PME), documentez au moins qui est référent sur ces sujets et quelles sont ses missions.
Que se passe-t-il si tout s'arrête ? Qui fait quoi ? En combien de temps peut-on redémarrer ? Un PRA documenté montre que vous avez anticipé le pire.
En cas de violation, la notification dans les 72h suivant la prise de connaissance est obligatoire. Mais au-delà de l'obligation, elle démontre votre bonne foi et votre réactivité.
La justice ne vous reprochera pas de ne pas avoir eu les moyens d'un grand groupe. Elle vous reprochera de n'avoir rien fait alors que des mesures accessibles existaient.
Quand une entreprise subit une cyberattaque, la gestion de crise doit s'enclencher immédiatement :
Déconnecter les systèmes compromis du réseau pour éviter la propagation. Ne pas éteindre les machines (les logs sont précieux pour l'enquête).
Réunir les décideurs clés : direction, RSSI ou référent informatique, prestataire de sécurité, et si nécessaire un avocat spécialisé en cybercriminalité.
Quelles données sont touchées ? Quels systèmes d'information sont compromis ? Y a‑t-il une fuite de données personnelles ?
Si des données personnelles sont concernées : notification CNIL sous 72h. Si l'attaque impacte des tiers (clients, partenaires), une communication en crise doit être préparée.
Contacter la police ou la gendarmerie (brigade numérique). Conserver toutes les preuves. Cette étape est essentielle pour l'assurance et d'éventuelles poursuites.
Si vous en avez un. Sinon, c'est le moment où son absence se fait sentir.
Face à une attaque, la tentation est de minimiser ou de se taire. C'est souvent une erreur. Une communication transparente et maîtrisée (envers les clients, les salariés, les partenaires) limite l'atteinte à la réputation et démontre votre sérieux dans la gestion de la crise.
À éviter : communiquer sur les réseaux sociaux de manière improvisée, ou nier une fuite qui sera révélée plus tard.
Depuis 2020, nous accompagnons des PME des Hauts-de-France sur ces sujets. Et nous constatons un décalage persistant :
Ce n'est pas de l'inconscience. C'est souvent un manque de temps, de visibilité sur les priorités, ou simplement l'idée que "ça n'arrive qu'aux autres".
Sauf que quand ça arrive, la question n'est plus "pourquoi moi ?" mais "qu'est-ce que je peux prouver ?".
Chez CAPEONI, nous accompagnons les dirigeants de PME des Hauts-de-France dans cette démarche de mise en conformité et de sécurisation. Pas pour vous vendre de la peur, mais pour vous donner les moyens de répondre sereinement si la question se pose un jour.
Notre diagnostic de conformité sécurité comprend :
Première étape ? Un échange de 30 minutes pour comprendre votre contexte et identifier vos priorités.
→ Demander un diagnostic de conformité
Oui. Le RGPD s'applique dès que vous traitez des données personnelles – ce qui est le cas de quasiment toutes les entreprises (fichier clients, paie, contacts fournisseurs…). La taille ne vous exonère pas. En revanche, les mesures attendues sont proportionnées à vos moyens et à la sensibilité des données traitées.
Non. Vous restez responsable en tant que donneur d'ordre et responsable de traitement au sens du RGPD. Vous pouvez vous retourner contre votre prestataire en cas de faute de sa part (action récursoire), mais face à vos clients ou à la CNIL, c'est vous qui êtes en première ligne. D'où l'importance de choisir un prestataire sérieux et de formaliser ses engagements par contrat (article 28 du RGPD sur les sous-traitants).
Voici ce que dit la loi : le simple fait d'utiliser un logiciel cracké est passible de 3 ans d'emprisonnement et 300 000 euros d'amende. Pour une personne morale (votre entreprise), cette amende peut être multipliée par cinq, soit jusqu'à 1,5 million d'euros.
Dans les faits, les entreprises font le plus souvent face à une régularisation immédiate, mais coûteuse, bien avant toute procédure judiciaire.
Mais ce n'est pas tout. L'éditeur victime peut également réclamer des dommages et intérêts pour compenser le préjudice subi. Un audit déclenché par un auteur comme microsoft peut révéler des années d'utilisation illégale et entraîner des poursuites rétroactives.
Les TPE et PME pensent souvent passer sous les radars, mais elles sont souvent contrôlées. La faute d'un seul employé ayant installé une copie non officielle engage la responsabilité de l'entreprise tout entière.
Non, elle n'est pas légalement obligatoire (contrairement à la RC Pro pour certaines professions). Mais elle est fortement recommandée. Attention toutefois : elle ne vous protège que si vous avez mis en place un minimum de mesures de sécurité. Les contrats comportent de plus en plus de prérequis techniques.
Les sanctions administratives de la CNIL varient selon la nature de la violation :
Le montant le plus élevé entre le pourcentage et la somme fixe s'applique. Pour les PME, les amendes prononcées sont généralement plus modestes (quelques milliers à quelques dizaines de milliers d'euros), mais le préjudice réputationnel et les frais de mise en conformité s'ajoutent.
Source : Article 83 du RGPD – EUR-Lex
C'est précisément l'objet d'un audit de sécurité. Un regard externe, méthodique, qui identifie les failles, hiérarchise les risques et propose un plan d'action réaliste. C'est aussi le meilleur moyen de documenter votre démarche et de constituer un dossier de "bonne foi" en cas de contrôle ou de litige.
Un employé télécharge une version "gratuite" de microsoft office. Quelques mois plus tard, l'entreprise reçoit une amende de 150 000 euros*. Chaque année, des TPE et PME découvrent que l'utilisation de logiciels piratés constitue un délit passible d'emprisonnement et de sanctions financières importantes.
Un clic. Une erreur humaine. Un ransomware. C’est tout ce qu’il faut pour mettre une entreprise à genoux. Pas besoin d’un hacker en hoodie dans un bunker russe. Juste un email bien ficelé, un logo qui semble légitime, et un collaborateur qui ne se méfie pas.