Lorsque des pirates chiffrent vos fichiers clients, vous avez 72 heures pour prévenir la CNIL au titre du RGPD, et 72 heures pour déposer plainte si vous voulez que votre assureur vous indemnise. Si vous n'effectuez pas ces démarches, vous risquez une amende administrative et de perdre toute prise en charge.
Selon les derniers chiffres de la CNIL en 2025, il s'est produit 10% de plus de violation de données qu'en 2024, soit plus de 6 000. Elles ont touché des TPE-PME sans équipe de cybersécurité dédiée ou un système défaillant. Quand vous repérez une attaque, vous hésitez peut-être à la signaler, par crainte du régulateur ou par méconnaissance des règles. Mauvais calcul.
Dès la découverte, vous avez 72 heures pour agir. D'abord, signaler le cyberincident à la CNIL, ensuite, porter plainte au commissariat. Passé ces délais, vous risquez une amende administrative et le refus de toute prise en charge par votre assureur. Voici ce que vous devez savoir avant la première cyberattaque.
La solution tout-en-un pour protéger votre entreprise
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Dans les 72 heures, deux priorités. Notifier la CNIL et porter plainte
Au titre de l'article 33 du RGPD, vous devez prévenir la CNIL dès que vous prenez connaissance d'une violation, dans les meilleurs délais et au plus tard sous 72 heures. On compte à partir de la découverte, pas de l'intrusion. Si vous repérez demain matin une intrusion vieille de six mois, alors le délai court à partir de demain matin.
Vous n'avez pas besoin d'un dossier complet pour notifier. Indiquez la nature de la violation, le nombre approximatif de personnes touchées, les conséquences probables et les mesures déjà prises. Une alerte honnête et datée suffit. La CNIL accepte d'ailleurs une notification en deux temps quand vous manquez d'éléments. Envoyez une première alerte dans le délai, puis vous complétez le dossier ensuite. Le régulateur préfère une notification partielle à l'heure plutôt qu'un rapport complet hors délai.
Quand les pirates exposent vos clients à un vol d'identité ou à une fraude bancaire, prévenez aussi les personnes concernées, au titre de l'article 34. La CNIL exempte de notification les seules violations sans risque pour les personnes. Vous documentez malgré tout chaque incident dans un registre interne, que ses contrôleurs peuvent réclamer lors d'un audit.
La CNIL alourdit la sanction quand vous ne déclarez pas l'attaque
Si vous omettez la notification, vous exposez votre entreprise à 10 millions d'euros d'amende, ou 2% du chiffre d'affaires mondial, au titre de l'article 83 du RGPD. Au titre de l'article 32, la CNIL dispose d'un plafond deux fois plus élevé, 20 millions d'euros ou 4%, quand elle sanctionne la faille de sécurité elle-même.
Surtout, le régulateur ne néglige jamais votre silence. La CNIL y voit presque toujours une circonstance aggravante quand elle examine la faille initiale. Le législateur a même prévu une menace plus personnelle dans le code pénal. Au titre de l'article 226-17, un juge peut prononcer cinq ans de prison et 300 000 euros d'amende contre le responsable d'un défaut de sécurité des données. Vous répondez alors sur vos propres deniers, au-delà de la société.
À l'inverse, vous avez tout à gagner à déclarer vite. La CNIL tient compte de votre coopération et de votre rapidité quand elle fixe le montant. Une entreprise qui notifie vite et corrige ses failles limite l'amende. La CNIL peut se contenter d'un simple rappel à l'ordre.
En décembre dernier, la CNIL a infligé 1,7 million d'euros à l'éditeur Nexpublica France, après des signalements de clients sur des accès indus à des dossiers de tiers. Ses contrôleurs avaient relevé des failles connues de l'entreprise, jamais corrigées avant la fuite. À l'échelle européenne, les régulateurs ont prononcé 1,15 milliard d'euros d'amendes RGPD en 2025.
Sans plainte sous 72 heures, votre assureur refusera de vous indemniser
Depuis avril 2023, le législateur conditionne votre dédommagement à une démarche pénale. Au titre de l'article L12-10-1 du code des assurances, vous déposez une plainte sous 72 heures après la découverte de l'attaque, sinon votre assureur refuse tout versement. Le législateur réserve cette règle aux personnes morales et aux professionnels, indépendants compris.
Vous devez donc effectuer deux démarches distinctes. D'abord notifier la CNIL en ligne, et ensuite déposer une plainte au commissariat ou à la gendarmerie. Un pré-dépôt ne suffit pas. La plainte formelle doit partir dans les 72 heures.
En amont, l'État met plusieurs ressources à votre disposition. Sur cybermalveillance.gouv.fr, vous trouvez des prestataires référencés et les services de l'État compétents. L'ANSSI et la CNIL publient des guides gratuits sur la réponse à incident. Votre assureur prend ensuite en charge la remise en route du système et la perte d'exploitation, frais juridiques compris, à condition que vous respectiez le délai de plainte. Pensez aussi au DPO, délégué à la protection des données, même mutualisé entre plusieurs petites entreprises, pour plus d'efficacité. Il connaît les procédures et prend en charge les notifications le jour de l'attaque.
En pratique, mieux vaut prévenir que payer l'amende. Dotez-vous d'un antivirus professionnel, mais aussi d'un outil de journalisation des accès et de sauvegarde régulière de vos données. Sur l'hygiène numérique, Gaston Gautreneau, ingénieur expert à la CNILinterviewé par Clubic, recommande l'authentification multifacteur, un mot de passe différent pour chaque service, un gestionnaire de mots de passe, le chiffrement du disque de votre ordinateur portable et des mises à jour systématiques.
Il faut aussi préciser qui est concerné par ces obligations. Seules les entités importantes, à partir de 50 salariés ou 10 millions d'euros de chiffre d'affaires dans des secteurs sensibles, entrent dans le champ de NIS2. La plupart des TPE-PME échappent donc à NIS2, mais elles relèvent toujours du RGPD.
Autrement dit, avec dix salariés et une base de données clients, vous sortez du champ de NIS2 mais vous devez prévenir la CNIL sous 72 heures dès la fuite de données.
Le Parlement doit voter la loi Résilience, transposition française de NIS2, au cours de cet été.
