La question revient régulièrement dans les conversations que nous avons avec des chefs d’entreprise ou lors de conférences que nous donnons : « La cybersécurité, c’est obligatoire pour moi ? » La réponse courte est oui — mais pas pour les raisons que l’on croit, et pas de la même façon selon la taille de votre structure. Tour d’horizon des obligations réelles, sans jargon ni catastrophisme.
Une TPE — moins de 10 salariés, moins de 2 millions d’euros de chiffre d’affaires — n’est pas visée par NIS2, ni par la plupart des réglementations sectorielles en cybersécurité. Aucune loi ne lui impose explicitement un « niveau de sécurité informatique minimum ». Et pourtant, l’absence de texte dédié ne signifie pas l’absence d’obligation.
Trois corpus juridiques créent des exigences indirectes mais contraignantes.
Le RGPD d’abord. Dès lors que vous traitez des données personnelles — ce que fait toute entreprise qui gère une base clients, des fiches salariés ou des formulaires de contact — l’article 32 vous impose de mettre en place des « mesures techniques et organisationnelles appropriées » pour garantir la sécurité de ces données. Pas de liste exhaustive, mais une obligation de résultat proportionnée aux risques. En cas de violation de données mal sécurisées, la CNIL peut sanctionner même une micro-entreprise.
Le droit commun de la responsabilité ensuite. Si une négligence dans la sécurité de votre système d’information cause un préjudice à un tiers — un client dont les données sont volées, un partenaire dont le système est infecté via le vôtre — votre responsabilité civile peut être engagée sur le fondement de l’article 1242 du Code civil. La jurisprudence commence à se constituer sur ces sujets.
Le droit du travail enfin. En tant qu’employeur, vous avez une obligation générale de protection de vos salariés, qui s’étend à leur environnement numérique de travail. Un salarié victime d’une usurpation d’identité professionnelle ou d’une intrusion dans ses outils de travail peut se retourner contre l’employeur si celui-ci n’a pris aucune précaution élémentaire.
PMI : des obligations plus structurées selon le secteur
Une PMI — jusqu’à 250 salariés, moins de 50 millions d’euros de CA — se trouve dans une situation plus balisée. Si elle dépasse les seuils de NIS2 (50 salariés ou 10 millions d’euros de CA) et opère dans l’un des 18 secteurs couverts, elle entre dans le périmètre réglementaire décrit dans notre série précédente. Mais même hors NIS2, plusieurs obligations s’appliquent.
Les normes contractuelles constituent aujourd’hui la principale source de contrainte pour les PMI industrielles. Travailler pour un donneur d’ordre dans l’automobile, l’aéronautique ou la défense implique quasi systématiquement de respecter des référentiels de sécurité : TISAX pour l’automobile, EN 9100 pour l’aéronautique, les exigences DITP pour les marchés publics sensibles. Ces obligations ne découlent pas de la loi directement — elles s’imposent par le contrat. Mais refuser de s’y conformer, c’est perdre le marché.
La loi de programmation militaire (LPM), dans sa version 2024, a également renforcé les exigences pour les sous-traitants de la base industrielle et technologique de défense (BITD). Une PMI qui fournit, même indirectement, des composants à un acteur de défense est potentiellement soumise à des contrôles de sécurité renforcés.
Enfin, les obligations sectorielles spécifiques s’appliquent dans certains domaines : les PMI du secteur de la santé (fabricants de dispositifs médicaux, prestataires d’hébergement de données de santé) sont soumises à la certification HDS et aux exigences de l’Agence du numérique en santé. Les PMI qui traitent des données de paiement doivent respecter la norme PCI-DSS.
Ce que ça signifie concrètement
Pour un dirigeant de TPE, les obligations minimales non négociables se résument à trois actions : chiffrer et sauvegarder les données personnelles traitées, documenter les mesures de sécurité dans un registre de traitement RGPD, et notifier la CNIL en cas de violation de données dans les 72 heures.
Pour un dirigeant de PMI, il faut y ajouter : identifier les référentiels contractuels imposés par ses clients, vérifier son périmètre NIS2, et mettre en place une politique de sécurité formalisée couvrant a minima les accès, les sauvegardes et la gestion des incidents.
L’obligation légale stricto sensu est peut-être limitée pour les plus petites structures. Mais la responsabilité, elle, est totale — et les juges ne font pas de cadeau aux dirigeants qui n’ont « rien mis en place ».