// CLUBIC — MOBILE & WEB
Que se passe-t-il légalement quand une PME se fait pirater et ne le déclare pas ?
Lorsque des pirates chiffrent vos fichiers clients, vous avez 72 heures pour prévenir la CNIL au titre du RGPD, et 72 heures pour déposer plainte si vous voulez que votre assureur vous indemnise. Si vous n'effectuez pas ces démarches, vous risquez une amende administrative et de perdre toute prise en charge.
Selon les derniers chiffres de la CNIL en 2025, il s'est produit 10% de plus de violation de données qu'en 2024, soit plus de 6 000. Elles ont touché des TPE-PME sans équipe de cybersécurité dédiée ou un système défaillant. Quand vous repérez une attaque, vous hésitez peut-être à la signaler, par crainte du régulateur ou par méconnaissance des règles. Mauvais calcul.
Dès la découverte, vous avez 72 heures pour agir. D'abord, signaler le cyberincident à la CNIL, ensuite, porter plainte au commissariat. Passé ces délais, vous risquez une amende administrative et le refus de toute prise en charge par votre assureur. Voici ce que vous devez savoir avant la première cyberattaque.
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Au titre de l'article 33 du RGPD, vous devez prévenir la CNIL dès que vous prenez connaissance d'une violation, dans les meilleurs délais et au plus tard sous 72 heures. On compte à partir de la découverte, pas de l'intrusion. Si vous repérez demain matin une intrusion vieille de six mois, alors le délai court à partir de demain matin.
Vous n'avez pas besoin d'un dossier complet pour notifier. Indiquez la nature de la violation, le nombre approximatif de personnes touchées, les conséquences probables et les mesures déjà prises. Une alerte honnête et datée suffit. La CNIL accepte d'ailleurs une notification en deux temps quand vous manquez d'éléments. Envoyez une première alerte dans le délai, puis vous complétez le dossier ensuite. Le régulateur préfère une notification partielle à l'heure plutôt qu'un rapport complet hors délai.
Quand les pirates exposent vos clients à un vol d'identité ou à une fraude bancaire, prévenez aussi les personnes concernées, au titre de l'article 34. La CNIL exempte de notification les seules violations sans risque pour les personnes. Vous documentez malgré tout chaque incident dans un registre interne, que ses contrôleurs peuvent réclamer lors d'un audit.
Si vous omettez la notification, vous exposez votre entreprise à 10 millions d'euros d'amende, ou 2% du chiffre d'affaires mondial, au titre de l'article 83 du RGPD. Au titre de l'article 32, la CNIL dispose d'un plafond deux fois plus élevé, 20 millions d'euros ou 4%, quand elle sanctionne la faille de sécurité elle-même.
Surtout, le régulateur ne néglige jamais votre silence. La CNIL y voit presque toujours une circonstance aggravante quand elle examine la faille initiale. Le législateur a même prévu une menace plus personnelle dans le code pénal. Au titre de l'article 226-17, un juge peut prononcer cinq ans de prison et 300 000 euros d'amende contre le responsable d'un défaut de sécurité des données. Vous répondez alors sur vos propres deniers, au-delà de la société.
À l'inverse, vous avez tout à gagner à déclarer vite. La CNIL tient compte de votre coopération et de votre rapidité quand elle fixe le montant. Une entreprise qui notifie vite et corrige ses failles limite l'amende. La CNIL peut se contenter d'un simple rappel à l'ordre.