// CLUBIC — CYBERSECURITY
RGPD et cybersécurité : le lien que beaucoup de PME n'ont toujours pas compris
En 2025, la CNIL a recensé 6 167 violations de données personnelles notifiées, soit 9,5 % de plus qu’en 2024. Un incident sur deux déclaré relève d’un piratage. La CNIL a prononcé 83 sanctions pour un montant total de 487 millions d’euros. Dès qu’une faille informatique touche des données personnelles, vous avez 72 heures pour notifier la CNIL.
En plus de l’augmentation du nombre de violations de données, la CNIL précise qu’un incident sur deux déclaré relève d’un piratage, selon son rapport annuel 2025. Pourtant, beaucoup de dirigeants de PME traitent encore une cyberattaque comme un incident purement technique, sans déclencher simultanément leurs obligations au titre du RGPD. L’article 33 du RGPD vous impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance d’une violation de données personnelles, quelle que soit la taille de votre entreprise, quelle que soit la cause de l’incident.
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
L’article 4 du RGPD définit la violation comme toute destruction, perte, altération ou divulgation non autorisée de données personnelles, accidentelle ou malveillante. Tant qu’une faille n’expose pas de données à caractère personnel, vous n’avez rien à notifier.
Prenez un ransomware qui chiffre vos machines de production sans exfiltrer aucun fichier client. Techniquement, c’est un incident grave. Juridiquement, vous n'avez rien à déclarer à la CNIL. Mais dès qu'une intrusion touche une messagerie professionnelle, une base clients ou un dossier salarié, vous entrez dans le périmètre du RGPD.
En pratique, vous aurez du mal à établir rapidement cette distinction. Les modes opératoires les plus fréquents dans les incidents notifiés, usurpation d’identifiants et compromission d’un sous-traitant, touchent presque systématiquement des données personnelles, même quand l’objectif initial de l’attaquant était financier.
Par ailleurs, ce n’est pas parce que vous venez de subir une cyberattaque que vous tombez automatiquement sous le coup du RGPD. En revanche, une clé USB perdue sans chiffrement ou un email adressé au mauvais destinataire avec une liste clients en pièce jointe exposent des données personnelles. Dans ce cas, vous devez notifier la CNIL pour éviter une infraction au règlement.
Quoi que vous fassiez, le compteur tourne. L’article 33 du RGPD fixe le point de départ du délai au moment où vous avez acquis un degré de certitude raisonnable qu’une violation a eu lieu. Si vous découvrez le mercredi à 14h qu’un accès non autorisé à vos fichiers clients s’est produit, vous avez jusqu’au samedi 14h pour notifier.
La CNIL accepte une notification initiale incomplète, complétée ultérieurement. Une déclaration partielle vaut mieux qu'une absence de déclaration, car un retard non justifié constitue un manquement distinct que l’autorité instruit indépendamment de la violation elle-même.
Vous devez y faire figurer la nature de la violation, les catégories de données touchées, le nombre approximatif de personnes concernées, les coordonnées d’un point de contact et les mesures déjà prises.