Guides & Ressources pratiques
Cerfa injonction de payer 2026 : formulaire 12946 ou 12948, mentions obligatoires et mode d'emploi pas-à-pas
Système de sécurité informatique en entreprise : définition, obligations RGPD/NIS2 et mise en œuvre
Points clés de l'article
- Un système de sécurité informatique désigne l'ensemble des mesures techniques et organisationnelles protégeant les systèmes d'information d'une entreprise, encadré juridiquement par le RGPD (article 32) et la directive NIS2.
- L'article 32 du RGPD impose une sécurité proportionnée aux risques identifiés, évaluée selon l'état de l'art, les coûts de mise en œuvre et la nature des données traitées.
- La directive NIS2, transposée en droit français avec effet au 17 octobre 2024, concerne environ 15 000 entités en France, réparties entre entités essentielles et entités importantes.
- Les obligations de notification d'incidents suivent un calendrier strict : alerte initiale sous 24h, notification détaillée sous 72h, rapport final sous 1 mois.
- La responsabilité de l'entreprise s'étend à ses prestataires IT et cloud, ce qui impose des clauses contractuelles spécifiques sur la sécurité et la notification.
- Les sanctions cumulées CNIL et ANSSI peuvent atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial (NIS2 entités essentielles), auxquelles s'ajoutent les risques contentieux civils.
Besoin d'un juriste freelance ou d'un avocat ?
Accédez en -24h à un avocat d'affaires sélectionné parmi les meilleurs, à des honoraires maîtrisés.
✓ 250+ spécialistes✓ 500+ clients satisfaits✓ -30 à -50% moins cher qu'un cabinet
Sommaire
1. Système de sécurité informatique : définition juridique et périmètre opérationnel
2. Cadre RGPD : article 32 et obligation de sécurité proportionnée aux risques
3. Directive NIS2 : entités essentielles vs importantes, qui est concerné en 2026
4. Composantes techniques et organisationnelles d'un système conforme (ANSSI, ReCyF)
5. Obligations de notification d'incidents : 24h, 72h, 1 mois
6. Sécurité des prestataires IT et cloud : clauses contractuelles et chaîne de responsabilité
7. Sanctions, contrôles et risques contentieux en cas de manquement
8. Quand mobiliser un avocat en cybersécurité pour structurer et auditer la conformité
Un système de sécurité informatique constitue aujourd'hui le socle sur lequel repose la conformité réglementaire d'une entreprise. Depuis l'entrée en application du RGPD en 2018 et la transposition de la directive NIS2 en 2024, les DSI doivent articuler deux cadres juridiques distincts au sein d'un dispositif cohérent et auditable. Sans cette articulation, l'entreprise s'expose à des sanctions administratives, à des défauts de notification dans les délais légaux et à une responsabilité contractuelle mal maîtrisée sur l'ensemble de sa chaîne de prestataires IT.
1. Système de sécurité informatique : définition juridique et périmètre opérationnel
Le système de sécurité informatique désigne l'ensemble des mesures techniques, organisationnelles et contractuelles qu'une entreprise déploie pour protéger ses systèmes d'information contre les accès non autorisés, les altérations, les pertes ou les indisponibilités. En droit français, cette notion ne fait pas l'objet d'une définition unique. Elle résulte du croisement de plusieurs textes : le RGPD (article 32), la directive NIS2 (articles 21 et 23), le référentiel de l'ANSSI et le code pénal (articles 323-1 à 323-8 sur les atteintes aux systèmes de traitement automatisé de données).
Le périmètre opérationnel couvre 4 dimensions :
- Confidentialité : restriction de l'accès aux données aux seules personnes habilitées
- Intégrité : garantie que les données et les systèmes ne sont pas altérés sans autorisation
- Disponibilité : maintien de l'accès aux systèmes dans des conditions normales d'exploitation
- Traçabilité : capacité à reconstituer les événements survenus sur le système d'information
Pour un DSI, le périmètre juridique du système de sécurité informatique ne se limite pas aux pare-feu et aux antivirus. Il englobe les politiques d'accès, la gestion des identités, les procédures de sauvegarde, les plans de continuité, la formation des collaborateurs et les clauses imposées aux sous-traitants.
2. Cadre RGPD : article 32 et obligation de sécurité proportionnée aux risques
L'article 32 du RGPD impose au responsable de traitement et à ses sous-traitants de mettre en œuvre des mesures techniques et organisationnelles « appropriées » pour garantir un niveau de sécurité adapté au risque. Le texte ne prescrit pas de solution technique précise. Il fixe un standard d'évaluation fondé sur 4 critères cumulatifs :
| Critère | Contenu |
|---|---|
| État de l'art | Technologies et pratiques de sécurité disponibles au moment de l'évaluation |
| Coûts de mise en œuvre | Proportionnalité entre l'investissement et le risque couvert |
| Nature, portée et contexte du traitement | Type de données (sensibles, financières, santé), volume, finalité |
| Risques pour les personnes | Probabilité et gravité des atteintes aux droits et libertés |
L'article 32 cite explicitement le chiffrement, la pseudonymisation, la capacité à rétablir la disponibilité des données et les procédures de test régulier. La CNIL a sanctionné à plusieurs reprises des entreprises pour des manquements à cette obligation. En 2023, elle a prononcé une amende de 800 000 euros contre une société dont les mots de passe étaient stockés en clair et les accès administrateurs non segmentés.
Le DSI doit documenter l'analyse de risques, les mesures retenues et les tests réalisés. Cette documentation constitue la preuve de conformité en cas de contrôle.
Articuler les exigences de l'article 32 du RGPD avec un dispositif de sécurité opérationnel suppose un cadrage juridique précis, adapté à chaque organisation.
Consulter un avocat spécialisé en cybersécurité
3. Directive NIS2 : entités essentielles vs importantes, qui est concerné en 2026
La directive NIS2 (UE 2022/2555), dont la transposition en droit français devait intervenir au 17 octobre 2024, élargit considérablement le périmètre des organisations soumises à des obligations de cybersécurité. L'ANSSI estime qu'environ 15 000 entités sont concernées en France, contre 500 sous la directive NIS1.
NIS2 distingue 2 catégories d'entités :
| Catégorie | Critères | Exemples de secteurs |
|---|---|---|
| Entités essentielles | +250 salariés ou CA > 50 M€ dans un secteur hautement critique | Énergie, transports, santé, eau potable, infrastructures numériques, administration publique |
| Entités importantes | +50 salariés ou CA > 10 M€ dans un secteur critique | Services postaux, gestion des déchets, chimie, agroalimentaire, fabrication de dispositifs médicaux, cloud, data centers |
Les obligations portent sur la gouvernance de la cybersécurité (responsabilité de la direction), l'analyse de risques, la sécurité de la chaîne d'approvisionnement, la gestion des incidents et la continuité d'activité. La direction de l'entreprise doit approuver les mesures de gestion des risques et peut voir sa responsabilité personnelle engagée en cas de manquement.
En pratique, le calendrier de mise en conformité s'étend jusqu'en 2026 pour les entités qui doivent s'enregistrer auprès de l'ANSSI et démontrer l'effectivité de leurs mesures.
4. Composantes techniques et organisationnelles d'un système conforme (ANSSI, ReCyF)
Un système de sécurité informatique conforme aux exigences cumulées du RGPD et de NIS2 repose sur des composantes techniques et organisationnelles documentées. L'ANSSI publie des guides de référence, notamment le guide d'hygiène informatique (42 mesures) et le référentiel ReCyF (Référentiel de Cybersécurité pour les Fournisseurs) qui structure les exigences applicables aux prestataires.
Les composantes techniques incluent :
- Gestion des identités et des accès (IAM) : authentification multifacteur, principe du moindre privilège, revue périodique des droits
- Détection et réponse aux incidents : SOC (Security Operations Center), SIEM (Security Information and Event Management), EDR (Endpoint Detection and Response)
- Chiffrement : données au repos et en transit, gestion centralisée des clés
- Segmentation réseau : isolation des environnements critiques, cloisonnement des flux
- Sauvegardes : règle 3-2-1 (3 copies, 2 supports, 1 hors site), tests de restauration documentés
Les composantes organisationnelles comprennent :
- Politique de sécurité des systèmes d'information (PSSI) validée par la direction
- Plan de continuité d'activité (PCA) et plan de reprise d'activité (PRA) testés annuellement
- Programme de sensibilisation des collaborateurs avec exercices de phishing simulé
- Registre des incidents de sécurité avec classification par gravité
La conformité d'un système de sécurité informatique repose autant sur l'architecture technique que sur la documentation juridique qui l'encadre.
Faire auditer sa conformité cybersécurité
5. Obligations de notification d'incidents : 24h, 72h, 1 mois
Le RGPD et la directive NIS2 imposent des obligations de notification distinctes mais potentiellement cumulatives lorsqu'un incident de sécurité affecte des données personnelles et un système d'information critique.
| Étape | Délai | Destinataire | Contenu |
|---|---|---|---|
| Alerte initiale (NIS2) | 24h après détection | ANSSI (CSIRT national) | Nature de l'incident, impact potentiel, premières mesures prises |
| Notification détaillée (NIS2 + RGPD) | 72h après détection | ANSSI + CNIL (si données personnelles) | Évaluation de la gravité, périmètre affecté, mesures correctives |
| Rapport final (NIS2) | 1 mois après la notification détaillée | ANSSI | Cause racine, impact définitif, mesures de remédiation, enseignements |
En cas de violation de données personnelles présentant un risque élevé pour les personnes, le RGPD impose en outre une notification aux personnes concernées dans les meilleurs délais (article 34).
Le non-respect de ces délais constitue un manquement autonome, sanctionnable indépendamment de la gravité de l'incident lui-même. Le DSI doit disposer d'une procédure de notification pré-rédigée, testée et connue des équipes opérationnelles.
6. Sécurité des prestataires IT et cloud : clauses contractuelles et chaîne de responsabilité
L'article 28 du RGPD et l'article 21 de la directive NIS2 étendent la responsabilité de l'entreprise à l'ensemble de sa chaîne de sous-traitance IT. Le DSI ne peut pas déléguer sa responsabilité en externalisant un traitement ou un service.
Les clauses contractuelles à intégrer dans les contrats avec les prestataires IT et cloud couvrent notamment :
- Niveau de sécurité exigé : référence explicite aux mesures de l'article 32 du RGPD et aux exigences NIS2
- Droit d'audit : possibilité pour le donneur d'ordre de vérifier la conformité du prestataire, sur site ou via un tiers
- Notification d'incidents : obligation du prestataire de notifier tout incident dans un délai compatible avec les obligations légales de l'entreprise (en pratique, sous 12h pour permettre le respect du délai de 24h)
- Localisation des données : identification des pays de stockage et de traitement, conformité aux décisions d'adéquation
- Réversibilité : conditions de récupération des données en fin de contrat, format et délais
- Sous-traitance ultérieure : autorisation préalable et écrite, mêmes obligations imposées en cascade
Un contrat cloud qui ne contient pas ces clauses expose l'entreprise à un risque de non-conformité, même si le prestataire est certifié ISO 27001 ou qualifié SecNumCloud.
La sécurisation contractuelle des prestataires IT constitue un levier de conformité souvent sous-estimé par les directions des systèmes d'information.
Structurer ses contrats IT avec un avocat en cybersécurité
7. Sanctions, contrôles et risques contentieux en cas de manquement
Les manquements aux obligations de sécurité informatique exposent l'entreprise à 3 types de risques juridiques distincts.
Sanctions administratives :
| Cadre | Autorité | Plafond de sanction |
|---|---|---|
| RGPD | CNIL | 20 M€ ou 4 % du CA mondial (le plus élevé) |
| NIS2 – entités essentielles | ANSSI | 10 M€ ou 2 % du CA mondial |
| NIS2 – entités importantes | ANSSI | 7 M€ ou 1,4 % du CA mondial |
Ces sanctions sont cumulables : un incident affectant des données personnelles hébergées sur un système d'information critique peut déclencher un contrôle simultané de la CNIL et de l'ANSSI.
Responsabilité civile : les clients, partenaires ou personnes concernées peuvent engager la responsabilité contractuelle ou délictuelle de l'entreprise pour obtenir réparation du préjudice subi. Les tribunaux français retiennent de plus en plus fréquemment le défaut de mesures de sécurité comme fondement de la faute.
Responsabilité pénale : l'article 226-17 du code pénal sanctionne le défaut de sécurité des données personnelles de 5 ans d'emprisonnement et 300 000 euros d'amende. NIS2 prévoit en outre la possibilité de suspendre temporairement les fonctions de direction en cas de manquement grave et répété.
8. Quand mobiliser un avocat en cybersécurité pour structurer et auditer la conformité
Le recours à un avocat en cybersécurité se justifie à plusieurs étapes du cycle de conformité, et pas uniquement en situation de crise.
Les situations qui nécessitent un accompagnement juridique spécialisé :
- Cartographie réglementaire : déterminer si l'entreprise relève de NIS2 (entité essentielle ou importante), identifier les obligations applicables et les délais de mise en conformité
- Audit de conformité : vérifier l'adéquation entre les mesures techniques déployées et les exigences légales, identifier les écarts documentaires
- Rédaction et revue contractuelle : sécuriser les contrats avec les prestataires IT, cloud et éditeurs de logiciels
- Gestion de crise : piloter les notifications ANSSI et CNIL dans les délais légaux, coordonner la communication avec les personnes concernées
- Contentieux : défendre l'entreprise en cas de contrôle administratif ou d'action en responsabilité
L'intervention d'un avocat spécialisé permet de transformer un dispositif technique en un système juridiquement opposable, documenté et auditable. Cette structuration réduit le risque de sanction et renforce la position de l'entreprise en cas de litige.
FAQ
Un système de sécurité informatique conforme au RGPD suffit-il à respecter NIS2 ?
Non. Le RGPD couvre la protection des données personnelles, tandis que NIS2 porte sur la sécurité des réseaux et systèmes d'information dans leur ensemble. Les 2 cadres se recoupent partiellement (chiffrement, gestion des incidents), mais NIS2 impose des obligations supplémentaires : gouvernance au niveau de la direction, sécurité de la chaîne d'approvisionnement, notification en 24h. Un système conforme au RGPD constitue un socle, pas une conformité NIS2 complète.
Comment savoir si mon entreprise est une entité essentielle ou importante au sens de NIS2 ?
Le classement dépend de 2 critères cumulatifs : le secteur d'activité (18 secteurs listés dans les annexes I et II de la directive) et la taille de l'entreprise (effectif et chiffre d'affaires). Les entités essentielles comptent plus de 250 salariés ou réalisent un CA supérieur à 50 M€ dans un secteur hautement critique. Les entités importantes dépassent 50 salariés ou 10 M€ de CA dans un secteur critique. L'ANSSI met à disposition un outil d'auto-évaluation sur son site.
Que se passe-t-il si l'entreprise ne notifie pas un incident dans les délais légaux ?
Le défaut de notification constitue un manquement autonome, sanctionnable indépendamment de la gravité de l'incident. Sous NIS2, l'ANSSI peut prononcer des amendes allant jusqu'à 10 M€ pour les entités essentielles. Sous le RGPD, la CNIL peut sanctionner le retard de notification jusqu'à 10 M€ ou 2 % du CA mondial. Les 2 sanctions sont cumulables.
La certification ISO 27001 d'un prestataire cloud dispense-t-elle de clauses contractuelles spécifiques ?
Non. La certification ISO 27001 atteste d'un système de management de la sécurité de l'information, mais elle ne couvre pas les obligations spécifiques du RGPD (article 28) ni celles de NIS2 (article 21). Le contrat doit prévoir des clauses sur la notification d'incidents, le droit d'audit, la localisation des données et la réversibilité, indépendamment de toute certification.
Quel budget prévoir pour la mise en conformité NIS2 d'une ETI ?
Le budget varie selon le niveau de maturité existant. L'ANSSI estime que les coûts de mise en conformité représentent entre 1 % et 3 % du budget IT annuel pour les entreprises disposant déjà d'une PSSI structurée. Pour une ETI partant d'un niveau de maturité faible, l'investissement initial peut atteindre 200 000 à 500 000 euros, incluant l'audit, les outils de détection, la formation et l'accompagnement juridique.
Pour aller plus loin
Guide de la sécurité des données personnelles - CNIL
Cybersécurité pour les TPE/PME en 13 questions - ANSSI
SWIM LEGAL est une alternative au cabinet d’avocats traditionnel pour les besoins juridiques des entreprises. Incubé par le Barreau de Paris, SWIM a reçu le Prix de l’Innovation pour sa solution permettant à toute entreprise, quelle que soit sa taille ou sa localisation, d’accéder rapidement via la plateforme à des avocats d’affaires expérimentés. Les entreprises peuvent déposer leur besoin — qu’il s’agisse d’un dossier, d’une consultation ou d’un renfort temporaire — de manière confidentielle et recevoir des propositions d’avocats pour répondre rapidement à leur demande.
