News
Retrouvez-nous au Congrès des Juristes d'entreprise le 30 et 31 mars
S’inscrire en tant qu’avocat
Se connecter
Compliance et éthique
Droit de l'énergie
Environnement & ESG
Technologie et numérique
Propriété intellectuelle
Construction
Blog
Sécurité informatique en entreprise : obligations légales (NIS2, RGPD, DORA) et cadre contractuel à maîtriser
Blog
Sécurité informatique en entreprise : obligations légales (NIS2, RGPD, DORA) et cadre contractuel à maîtriser

Sécurité informatique en entreprise : obligations légales (NIS2, RGPD, DORA) et cadre contractuel à maîtriser

Guides & Ressources pratiques
13 Mar 2026
-
13
min
Copied
Points clés de l'article
  1. Au moins 4 textes encadrent la sécurité informatique en entreprise en France : NIS2, RGPD, DORA (secteur financier), loi de programmation militaire et protection du secret des affaires.
  2. La transposition de NIS2 élargit le périmètre des entités concernées et impose des obligations de gouvernance, de notification d'incidents sous 24h/72h et des sanctions pouvant atteindre 10 M€ ou 2 % du CA mondial.
  3. Le RGPD exige des mesures techniques et organisationnelles proportionnées, une analyse d'impact pour les traitements à risque et une notification à la CNIL sous 72h en cas de violation de données.
  4. DORA impose aux acteurs financiers des tests de résilience, un registre des prestataires TIC et une supervision directe des fournisseurs critiques par les autorités européennes.
  5. Les contrats fournisseurs IT et cloud doivent intégrer des clauses de sécurité, d'audit, de réversibilité et de notification d'incidents alignées sur ces réglementations.
  6. La gouvernance interne (DPO, RSSI, COMEX) conditionne la conformité effective et engage la responsabilité civile et pénale des dirigeants.
  7. En cas d'incident cyber, une procédure juridique précise s'impose : notification CNIL, déclaration ANSSI, activation de l'assurance cyber et communication aux personnes concernées.

Besoin d'un juriste freelance ou d'un avocat ?

Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.

Trouver un avocat →En savoir plus →
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Incubateur du Barreau de Paris
Réseau Entreprendre
Prix Innovation Barreau de Paris

Sommaire

Le paysage juridique de la sécurité informatique en entreprise : cartographie des textes applicables (NIS2, RGPD, DORA, LPM, secret des affaires)

NIS2 : entités concernées, seuils et nouvelles obligations depuis la transposition française

RGPD et sécurité des données : mesures techniques et organisationnelles, analyse d'impact et notification d'incident sous 72h

DORA : exigences spécifiques pour le secteur financier en matière de résilience opérationnelle numérique

Clauses contractuelles indispensables avec les prestataires IT, cloud et sous-traitants

Gouvernance interne : articulation DPO, RSSI, COMEX et responsabilité civile et pénale des dirigeants

Réaction à un incident cyber : procédure juridique pas à pas (CNIL, ANSSI, assurance cyber, communication)

Quand mobiliser un avocat d'affaires spécialisé en cybersécurité et compliance pour sécuriser la conformité

FAQ

Pour aller plus loin

Le paysage juridique de la sécurité informatique en entreprise : cartographie des textes applicables (NIS2, RGPD, DORA, LPM, secret des affaires)

La sécurité informatique en entreprise n'est plus un sujet technique réservé aux équipes IT. Elle constitue désormais un domaine réglementé par plusieurs textes européens et français qui s'appliquent simultanément, avec des périmètres distincts et des sanctions propres. Pour un DSI, identifier précisément quelles obligations s'imposent à son organisation est un préalable indispensable.

Le cadre juridique repose sur 5 piliers principaux :

Texte Périmètre Objet principal Sanction maximale
NIS2 (directive 2022/2555, transposée en France) Entités essentielles et importantes dans 18 secteurs Cybersécurité des réseaux et systèmes d'information 10 M€ ou 2 % du CA mondial
RGPD (règlement 2016/679) Tout organisme traitant des données personnelles Protection des données personnelles 20 M€ ou 4 % du CA mondial
DORA (règlement 2022/2554) Secteur financier (banques, assurances, fintech, prestataires TIC critiques) Résilience opérationnelle numérique Sanctions définies par les autorités de supervision nationales
LPM (loi de programmation militaire) Opérateurs d'importance vitale (OIV) Sécurité des systèmes d'information d'importance vitale Sanctions pénales (jusqu'à 150 000 € d'amende)
Secret des affaires (loi du 30 juillet 2018) Toute entreprise détenant des informations à valeur économique Protection des informations commerciales confidentielles Responsabilité civile (dommages et intérêts)

Ces textes ne sont pas alternatifs. Une banque française, par exemple, est simultanément soumise au RGPD, à DORA, potentiellement à NIS2 et, si elle est classée OIV, à la LPM. Le DSI doit donc raisonner par cumul d'obligations et non par exclusion.

L'articulation entre ces textes repose sur un principe de complémentarité : DORA constitue une lex specialis (règle spéciale) par rapport à NIS2 pour le secteur financier, tandis que le RGPD s'applique dès qu'un incident touche des données personnelles, quel que soit le secteur. Comprendre cette architecture est la première étape pour construire une conformité cohérente.

NIS2 : entités concernées, seuils et nouvelles obligations depuis la transposition française

La directive NIS2, entrée en application le 17 octobre 2024, remplace la directive NIS1 de 2016. Son périmètre est considérablement élargi : elle couvre désormais 18 secteurs d'activité (contre 7 pour NIS1) et distingue 2 catégories d'entités soumises à des niveaux d'exigence différents.

Qui est concerné ?

NIS2 s'applique aux entités essentielles (EE) et aux entités importantes (EI). La classification dépend du secteur d'activité et de la taille de l'organisation :

  • Entités essentielles : entreprises de plus de 250 salariés ou réalisant plus de 50 M€ de CA, opérant dans des secteurs à haute criticité (énergie, transports, santé, eau potable, infrastructures numériques, administration publique, espace).
  • Entités importantes : entreprises de plus de 50 salariés ou réalisant plus de 10 M€ de CA, dans des secteurs critiques (services postaux, gestion des déchets, chimie, agroalimentaire, fabrication de dispositifs médicaux, cloud, data centers, réseaux de diffusion de contenu).

En France, l'ANSSI estime que NIS2 concernera environ 15 000 entités, contre quelques centaines sous NIS1. Ce changement d'échelle impose à de nombreuses ETI et grandes PME de se conformer pour la première fois à un cadre de cybersécurité contraignant.

Obligations concrètes

NIS2 impose aux entités concernées :

  1. Gouvernance : l'organe de direction doit approuver les mesures de gestion des risques cyber et suivre une formation en cybersécurité. Sa responsabilité personnelle peut être engagée en cas de manquement.
  2. Mesures de sécurité : analyse de risques, gestion des incidents, continuité d'activité, sécurité de la chaîne d'approvisionnement, chiffrement, contrôle d'accès.
  3. Notification d'incidents : alerte préliminaire à l'ANSSI sous 24h, notification détaillée sous 72h, rapport final sous 1 mois.
  4. Enregistrement : déclaration auprès de l'ANSSI avec identification des systèmes d'information concernés.

Les sanctions prévues atteignent 10 M€ ou 2 % du CA annuel mondial pour les entités essentielles, et 7 M€ ou 1,4 % du CA pour les entités importantes.

La mise en conformité NIS2 nécessite une analyse juridique précise du périmètre applicable et des obligations contractuelles associées.
Consulter un avocat spécialisé en cybersécurité

RGPD et sécurité des données : mesures techniques et organisationnelles, analyse d'impact et notification d'incident sous 72h

Le RGPD impose à tout organisme traitant des données personnelles de garantir un niveau de sécurité adapté au risque. L'article 32 du règlement exige la mise en œuvre de mesures techniques et organisationnelles appropriées, sans prescrire de solutions techniques précises. C'est une obligation de moyens renforcée : l'entreprise doit démontrer qu'elle a évalué les risques et mis en place des protections proportionnées.

Mesures attendues par la CNIL

La CNIL précise dans ses recommandations les mesures considérées comme un socle minimal :

  • Chiffrement des données en transit et au repos
  • Pseudonymisation lorsque le traitement le permet
  • Gestion des habilitations avec revue régulière des droits d'accès
  • Journalisation des accès et des opérations sur les données
  • Sauvegardes régulières et testées
  • Cloisonnement des environnements (production, test, développement)

Analyse d'impact (AIPD)

Lorsqu'un traitement est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes, l'article 35 du RGPD impose une analyse d'impact relative à la protection des données (AIPD). C'est le cas, par exemple, pour la vidéosurveillance à grande échelle, le profilage automatisé ou le traitement de données de santé. L'AIPD doit décrire le traitement, évaluer sa nécessité, identifier les risques et détailler les mesures d'atténuation.

Notification de violation sous 72h

En cas de violation de données personnelles (accès non autorisé, exfiltration, destruction accidentelle), le responsable de traitement doit notifier la CNIL dans un délai de 72h après en avoir pris connaissance (article 33 du RGPD). Si la violation présente un risque élevé pour les personnes concernées, celles-ci doivent également être informées directement (article 34).

En 2023, la CNIL a reçu 4 668 notifications de violations de données, soit une augmentation de 14 % par rapport à 2022. Les sanctions prononcées pour défaut de sécurité représentent une part significative des amendes RGPD : en janvier 2024, la CNIL a infligé une amende de 10 M€ à une entreprise française pour insuffisance de mesures de sécurité sur les données clients.

Le DSI est directement impliqué dans la mise en œuvre de ces obligations, en coordination avec le DPO. La documentation des mesures de sécurité et la traçabilité des décisions constituent des éléments de preuve en cas de contrôle.

DORA : exigences spécifiques pour le secteur financier en matière de résilience opérationnelle numérique

Le règlement DORA (Digital Operational Resilience Act), applicable depuis le 17 janvier 2025, crée un cadre harmonisé de résilience opérationnelle numérique pour le secteur financier européen. Il s'applique à plus de 22 000 entités financières dans l'UE : banques, compagnies d'assurance, sociétés de gestion, établissements de paiement, plateformes de trading, mais aussi aux prestataires tiers de services TIC considérés comme critiques.

5 piliers de DORA

Pilier Contenu
Gestion des risques TIC Cadre de gouvernance, identification et classification des actifs, stratégie de résilience
Gestion des incidents TIC Classification, notification aux autorités compétentes, analyse post-incident
Tests de résilience Tests réguliers (annuels) et tests de pénétration avancés (threat-led penetration testing) tous les 3 ans pour les entités significatives
Gestion des risques liés aux tiers TIC Registre des prestataires, clauses contractuelles obligatoires, stratégie de sortie
Partage d'informations Échange volontaire de renseignements sur les cybermenaces entre entités financières

Registre des prestataires et clauses contractuelles

DORA impose la tenue d'un registre exhaustif de tous les accords contractuels avec des prestataires TIC tiers. Ce registre doit être communiqué aux autorités de supervision sur demande. Les contrats doivent inclure des clauses précises sur les niveaux de service, les droits d'audit, la localisation des données, les obligations de notification d'incidents et les conditions de résiliation.

Pour les prestataires TIC jugés critiques au niveau européen (désignés par les autorités européennes de surveillance), un régime de supervision directe est prévu. Les hyperscalers cloud (AWS, Azure, Google Cloud) sont les premiers visés par ce dispositif.

Le DSI d'un établissement financier doit donc cartographier l'ensemble de ses prestataires TIC, vérifier la conformité contractuelle de chaque relation et organiser des tests de résilience intégrant ces tiers.

DORA impose des exigences contractuelles et de gouvernance qui nécessitent une expertise juridique croisée entre droit financier et droit du numérique.
Identifier un avocat spécialisé en cybersécurité et compliance

Clauses contractuelles indispensables avec les prestataires IT, cloud et sous-traitants

La sécurité informatique d'une entreprise dépend en grande partie de ses prestataires IT, hébergeurs cloud et sous-traitants. Or, en cas d'incident, la responsabilité juridique reste portée par le responsable de traitement (au sens du RGPD) ou par l'entité régulée (au sens de NIS2 ou DORA). Le contrat constitue donc le levier principal pour transférer les obligations opérationnelles et organiser les responsabilités.

Clauses à intégrer systématiquement

Tout contrat avec un prestataire IT ou cloud doit comporter au minimum les clauses suivantes :

  • Obligations de sécurité : description précise des mesures techniques exigées (chiffrement, cloisonnement, gestion des accès), avec référence à un standard reconnu (ISO 27001, SOC 2, SecNumCloud).
  • Notification d'incidents : délai de notification au client (idéalement inférieur à 24h), contenu de la notification, obligation de coopération dans l'investigation.
  • Droit d'audit : possibilité pour le client ou un tiers mandaté de réaliser des audits de sécurité, y compris des tests d'intrusion, avec une fréquence minimale définie.
  • Localisation et transfert des données : identification des pays d'hébergement, interdiction de transfert hors UE sans garanties adéquates (clauses contractuelles types, décision d'adéquation).
  • Sous-traitance ultérieure : obligation d'information préalable, droit d'opposition, responsabilité solidaire du prestataire principal.
  • Réversibilité : conditions de restitution des données en fin de contrat, format, délai et destruction certifiée.
  • Pénalités contractuelles : mécanisme de pénalités en cas de non-respect des SLA de sécurité ou de retard de notification.

Erreurs fréquentes

Plusieurs pratiques exposent l'entreprise à un risque juridique élevé :

  1. Accepter les conditions générales standard d'un fournisseur cloud sans négociation des clauses de sécurité.
  2. Ne pas vérifier la chaîne de sous-traitance (un hébergeur peut lui-même recourir à des sous-traitants dans des juridictions non conformes).
  3. Omettre la clause de réversibilité, ce qui crée une dépendance technique (vendor lock-in) incompatible avec les exigences de continuité d'activité.

La revue contractuelle de l'ensemble des relations fournisseurs IT est un chantier structurant. Elle doit être menée conjointement par le DSI, la direction juridique et, le cas échéant, le DPO.

Gouvernance interne : articulation DPO, RSSI, COMEX et responsabilité civile et pénale des dirigeants

La conformité en matière de sécurité informatique ne repose pas uniquement sur des outils techniques. Elle exige une organisation interne claire, avec des rôles définis, des lignes de reporting identifiées et une implication documentée de la direction générale.

Rôles et responsabilités

Fonction Rôle en matière de sécurité informatique Rattachement recommandé
RSSI (Responsable de la Sécurité des Systèmes d'Information) Définit et met en œuvre la politique de sécurité, pilote les mesures techniques et organisationnelles Direction générale ou DSI
DPO (Data Protection Officer) Veille à la conformité RGPD, conseille sur les analyses d'impact, interface avec la CNIL Indépendant fonctionnellement
DSI Gère l'infrastructure IT, met en œuvre les mesures de sécurité décidées par le RSSI Direction générale
COMEX / Direction générale Approuve la stratégie de cybersécurité, alloue les budgets, engage sa responsabilité

Responsabilité des dirigeants

NIS2 introduit une nouveauté significative : la responsabilité personnelle des membres de l'organe de direction. Ceux-ci doivent approuver les mesures de gestion des risques cyber et suivre une formation adaptée. En cas de manquement, leur responsabilité civile et pénale peut être engagée.

En droit français, la responsabilité pénale du dirigeant peut être recherchée sur le fondement de l'article 121-3 du Code pénal (mise en danger délibérée, faute d'imprudence ou de négligence). La jurisprudence reconnaît également la responsabilité civile du dirigeant pour insuffisance de mesures de sécurité ayant contribué à un préjudice (perte de données clients, interruption d'activité).

Le DSI joue un rôle central dans cette gouvernance : il est souvent le premier interlocuteur opérationnel et doit être en mesure de documenter les décisions prises, les budgets alloués et les arbitrages réalisés. Cette traçabilité constitue un élément de défense en cas de mise en cause.

L'organisation de la gouvernance cybersécurité engage directement la responsabilité des dirigeants et nécessite un cadre juridique formalisé.
Structurer votre gouvernance avec un avocat en cybersécurité

Réaction à un incident cyber : procédure juridique pas à pas (CNIL, ANSSI, assurance cyber, communication)

Lorsqu'un incident cyber survient (ransomware, exfiltration de données, compromission de comptes), la réaction juridique doit être aussi rapide que la réponse technique. Plusieurs obligations légales s'imposent simultanément, avec des délais contraints.

Procédure en 7 étapes

  1. Qualification de l'incident (H0 à H+6) : déterminer la nature de l'incident (violation de données personnelles, atteinte à un système d'information régulé, les deux). Cette qualification conditionne les obligations de notification.

  2. Activation de la cellule de crise (H0 à H+6) : réunir le RSSI, le DPO, la direction juridique, la direction générale et, si nécessaire, un avocat spécialisé. Documenter chaque décision dès le début.

  3. Notification à la CNIL (H+72 maximum) : si l'incident constitue une violation de données personnelles, le responsable de traitement doit notifier la CNIL via le téléservice dédié. La notification doit décrire la nature de la violation, les catégories de données concernées, le nombre approximatif de personnes affectées et les mesures prises.

  4. Déclaration à l'ANSSI (H+24 pour l'alerte préliminaire NIS2) : si l'entité est soumise à NIS2, une alerte préliminaire doit être transmise à l'ANSSI sous 24h, suivie d'une notification détaillée sous 72h.

  5. Information des personnes concernées : si la violation présente un risque élevé pour les droits et libertés des personnes, celles-ci doivent être informées directement, dans un langage clair et accessible.

  6. Déclaration à l'assureur cyber : activer la police d'assurance cyber dans les délais contractuels (généralement 48h à 5 jours). Depuis la loi LOPMI du 24 janvier 2023, le dépôt de plainte dans les 72h suivant la connaissance de l'incident est une condition préalable à l'indemnisation par l'assureur.

  7. Dépôt de plainte : plainte auprès du procureur de la République ou sur la plateforme THESEE. Ce dépôt est obligatoire pour activer la garantie d'assurance cyber et permet l'ouverture d'une enquête judiciaire.

Erreurs à éviter

  • Communiquer publiquement avant d'avoir qualifié l'incident et mesuré son périmètre.
  • Payer une rançon sans analyse juridique préalable (risque de financement du terrorisme, absence de garantie de restitution des données).
  • Négliger la conservation des preuves numériques (forensics), indispensable pour l'enquête et la défense en cas de contentieux.

La préparation en amont, via un plan de réponse à incident formalisé et testé, réduit considérablement le risque juridique et opérationnel. Ce plan doit être révisé au moins annuellement.

Quand mobiliser un avocat d'affaires spécialisé en cybersécurité et compliance pour sécuriser la conformité

Le cadre juridique de la sécurité informatique se caractérise par sa densité, son évolution rapide et l'imbrication de textes européens et français. Un consultant technique ou un auditeur ISO peut accompagner la mise en œuvre opérationnelle, mais plusieurs situations exigent une expertise juridique spécialisée.

Situations nécessitant un avocat spécialisé

  • Qualification du périmètre réglementaire : déterminer si l'entreprise relève de NIS2 (entité essentielle ou importante), de DORA, de la LPM, et identifier les obligations cumulatives applicables.
  • Revue contractuelle fournisseurs IT/cloud : négocier ou renégocier les clauses de sécurité, d'audit, de notification et de réversibilité avec les prestataires, en intégrant les exigences de chaque réglementation applicable.
  • Structuration de la gouvernance : formaliser les rôles et responsabilités (RSSI, DPO, COMEX), rédiger les politiques de sécurité et les procédures de gestion d'incidents dans un cadre juridiquement opposable.
  • Gestion de crise cyber : piloter la réponse juridique en cas d'incident (notifications CNIL/ANSSI, communication, dépôt de plainte, activation de l'assurance), sous le bénéfice du secret professionnel de l'avocat, qui protège les échanges et analyses réalisés pendant la crise.
  • Contentieux et responsabilité : défendre l'entreprise ou ses dirigeants en cas de mise en cause par la CNIL, l'ANSSI, un client ou un partenaire commercial.

Le secret professionnel de l'avocat constitue un avantage décisif par rapport à un consultant : les analyses de vulnérabilité, les rapports d'incident et les échanges stratégiques réalisés sous couvert du secret ne sont pas saisissables et ne peuvent être produits contre l'entreprise dans un contentieux ultérieur.

Face à la complexité du cadre réglementaire cyber, un accompagnement juridique spécialisé permet de sécuriser la conformité et de protéger les dirigeants.
Trouver un avocat d'affaires spécialisé en cybersécurité

FAQ

Une PME de 60 salariés peut-elle être concernée par NIS2 ?

Oui. NIS2 s'applique aux entreprises de plus de 50 salariés ou réalisant plus de 10 M€ de CA, dès lors qu'elles opèrent dans l'un des 18 secteurs couverts par la directive. Une PME fournissant des services cloud, gérant des data centers ou intervenant dans la chaîne d'approvisionnement d'une entité essentielle peut être qualifiée d'entité importante.

Quel est le délai exact de notification à la CNIL en cas de violation de données ?

Le responsable de traitement dispose de 72h après avoir pris connaissance de la violation pour notifier la CNIL (article 33 du RGPD). Ce délai court à partir du moment où l'entreprise a une certitude raisonnable qu'un incident de sécurité a affecté des données personnelles. Si la notification ne peut être complète dans ce délai, elle peut être effectuée en plusieurs temps.

DORA s'applique-t-il aux prestataires IT qui travaillent avec des banques ?

Oui. DORA couvre non seulement les entités financières, mais aussi les prestataires tiers de services TIC jugés critiques. Les fournisseurs cloud, les éditeurs de logiciels bancaires et les prestataires d'infrastructure qui servent le secteur financier peuvent être soumis à un régime de supervision directe par les autorités européennes.

Le dépôt de plainte est-il obligatoire après une cyberattaque ?

Depuis la loi LOPMI du 24 janvier 2023, le dépôt de plainte dans les 72h suivant la connaissance de l'atteinte est une condition préalable à l'indemnisation par l'assureur au titre d'une police d'assurance cyber. Sans dépôt de plainte dans ce délai, l'entreprise perd son droit à indemnisation.

Quelle est la différence entre le RSSI et le DPO en matière de sécurité informatique ?

Le RSSI définit et met en œuvre la politique de sécurité des systèmes d'information dans sa globalité (disponibilité, intégrité, confidentialité). Le DPO veille spécifiquement à la conformité au RGPD et conseille l'organisation sur la protection des données personnelles. Les 2 fonctions sont complémentaires : le RSSI traite la sécurité technique, le DPO assure la conformité juridique relative aux données personnelles.

Pour aller plus loin

Guide d'hygiène informatique - ANSSI

Sécurité des données personnelles - CNIL

Loi Informatique et Libertés - Légifrance

SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.

Télécharger la ressource

Plateforme de mise en relation d’avocats d’affaires
Copied
Ressources

Derniers articles

Découvrir plus de contenu
Guides & Ressources pratiques
Régime réel d'imposition : guide pratique pour choisir et mettre en place le bon régime fiscal
04 Jan 2026
-
10
Guides & Ressources pratiques
Statut juridique entreprise : guide pour choisir la forme idéale en 2026
04 Jan 2026
-
10
Guides & Ressources pratiques
Temps de présence et travail effectif : différence, calcul et enjeux juridiques
11 Jan 2026
-
8
SWIM n’est pas un cabinet d’avocats, ne fournit pas de services juridiques, ni de conseils juridiques ou de représentation légale.



Nous ne sommes pas une agence de travail temporaire ni de référencement d’avocats.
Aperçu
Vous êtes une entrepriseVous êtes un cabinetVous êtes un indépendantRessourcesNous contacterDéposer une mission
Légal
CVGUCookiesConfidentialitéDonnées personnelles
Réseaux
Linkedin
© 2025. SWIM Legal