Les cyberattaques se multiplient à une vitesse alarmante : ransomware, phishing, vols de données… En 2024, une PME sur deux a été victime d’une tentative d’intrusion informatique. Contrairement à ce que l’on croit, la cybersécurité n’est pas qu’une affaire de techniciens. C’est aussi une obligation légale pour toutes les entreprises qui traitent des données.

Que dit la loi ?

Le RGPD (encore lui) impose aux entreprises de garantir un niveau de sécurité adapté aux risques. Concrètement, cela signifie :

• Mettre en place des systèmes de protection (pare-feu, chiffrement, gestion des accès).
• Limiter l’accès aux données sensibles aux seules personnes autorisées.
• Avoir un plan de gestion des incidents en cas de fuite ou piratage.

En cas de faille de sécurité, l’entreprise doit :

• Notifier l’autorité compétente (CNIL en France, Autorité locale dans chaque pays) dans les 72h.
• Informer les clients concernés si leurs données personnelles sont en danger.

Les conséquences d’une négligence

• Sanctions financières pouvant atteindre plusieurs millions d’euros.
• Atteinte à la réputation : un client perd rarement confiance deux fois.
• Risques judiciaires en cas de préjudice subi par les utilisateurs.

Vers une gouvernance juridique de la cybersécurité

La cybersécurité ne doit pas être uniquement confiée au service IT. Les directions générales et les responsables juridiques doivent travailler ensemble pour :

• Rédiger des politiques internes de sécurité,
• Former les employés,
• Encadrer les relations avec les prestataires (clauses contractuelles sur la sécurité).

👉 Une cybersécurité solide est donc à la fois une mesure de protection technique et une obligation légale qui engage la responsabilité de l’entreprise.