À propos de cette veille
Cette veille juridique analyse les obligations légales des TPE/PME face aux cybermenaces. Dans un contexte où les cyberattaques explosent, les dirigeants d'entreprise engagent leur responsabilité personnelle en cas de négligence. Cette veille s'appuie sur des textes officiels (RGPD, NIS 2, Loi Godfrain) et un cas réel survenu en mars 2026 dans une structure où j'ai effectué mon stage.
Pourquoi les TPE/PME sont des cibles
des organisations françaises ont subi au moins une cyberattaque réussie au cours de l'année écoulée
coût moyen d'une cyberattaque pour une entreprise française
délai légal pour notifier la CNIL (RGPD Art. 33)
des PME victimes d'une attaque majeure ferment dans les 18 mois
ou 4% du CA mondial — amende maximale RGPD
Le cadre légal
| Texte de loi | Domaine | Sanction / Obligation |
|---|---|---|
| Loi Godfrain 1988 | Criminalité informatique | Accès frauduleux = 2 ans + 60 000€ |
| RGPD Art. 32 | Sécurité des données | Mesures techniques obligatoires |
| RGPD Art. 33 | Notification incidents | 72h pour notifier la CNIL |
| NIS 2 (2024) | Infrastructures critiques | Continuité + gestion des incidents |
Les 3 obligations principales
Sécuriser
- ✓Chiffrement des données
- ✓Contrôle des accès
- ✓Sauvegardes régulières
- ✓Mises à jour systèmes
Documenter
- ✓Registre des traitements
- ✓Politique de sécurité
- ✓Traçabilité des incidents
- ✓Charte informatique
Notifier
- ✓CNIL sous 72h
- ✓Personnes concernées
- ✓ANSSI si NIS 2
- ✓Dépôt de plainte
Responsabilité personnelle du dirigeant
Responsabilité PÉNALE en cas de négligence prouvée
NIS 2 : interdiction temporaire d'exercer possible
Amende jusqu'à 20M€ ou 4% du CA mondial
Application concrète dans mes stages
Sauvegarde13
Proxmox Backup Server
Solution de sauvegarde automatisée avec déduplication 71x. Répond directement à l'obligation de sauvegardes régulières des données.
CPRPF
Déploiement de secours WDS/MDT
Serveur de déploiement de secours garantissant la continuité du service. Répond à l'obligation de résilience des systèmes informatiques.
Sources
Tableau de suivi de la veille
Synthèse curatée de 10 articles couvrant le cadre RGPD / NIS 2 / Loi Godfrain et la jurisprudence des sanctions CNIL.
Thème
Cybersécurité TPE/PME — RGPD / NIS 2 / Godfrain
Période
Jan. 2024 — Mars 2026
Articles analysés
10
Sources officielles
CNIL, ANSSI, Legifrance, cybermalveillance.gouv.fr
Tableau Excel complet
Résumés et analyses critiques détaillées au format .xlsx
Articles couverts dans le tableau
- 1Jan. 2024RapportRapport 2023 — TPE/PME premières victimes des cyberattaques
- 2Mars 2024RapportGuide CNIL — RGPD et sécurité des données pour les entreprises
- 3Juin 2024RapportPanorama de la cybermenace 2024 — PME dans le viseur des ransomwares
- 4Oct. 2024LoiDirective NIS 2 — transposition dans l'UE en octobre 2024
- 5Nov. 2024SanctionBilan des sanctions CNIL 2024 — 55 M€ d'amendes, +20 % de violations
- 6Jan. 2025LoiLoi Godfrain (Art. 323-1 CP) — responsabilité pénale des techniciens IT
- 7Mars 2025LoiNIS 2 — interdiction d'exercer possible pour les dirigeants négligents
- 8Mars 2025RapportBaromètre national maturité cyber TPE-PME 2025 (CPME / MEDEF / U2P)
- 9Déc. 2025SanctionSanction 1,7 M€ contre Nexpublica France — Art. 32 RGPD (action sociale)
- 10Mars 2026RapportPanorama de la cybermenace 2025 — PME = 48 % des victimes de ransomware
Résumés et analyses critiques détaillées disponibles dans le tableau Excel téléchargeable ci-dessus.
Actualités Cybersécurité en temps réel
Les dernières actualités sur la cybersécurité des entreprises, mises à jour automatiquement