RGPD, NIS2, DORA, secret professionnel, exigences assureurs : la sécurité informatique se croise désormais en permanence avec le droit. Voici comment nous y répondons techniquement.
Toute entreprise traitant des données personnelles est concernée. Le RGPD impose la mise en œuvre de mesures techniques et organisationnelles adaptées au risque : chiffrement, contrôle d'accès, sauvegardes, journalisation.
En cas de violation de données, vous avez 72 heures pour notifier la CNIL. Encore faut-il que vous ayez une infrastructure capable de détecter qu'une violation s'est produite.
Sources : CNIL · Rapport d'activité 2024 (publié 29 avril 2025) · Bilan 2024 des sanctions
NIS2 fait l'objet d'une transposition en droit français en cours via le projet de loi Résilience. L'adoption finale est attendue mi-2026 et les décrets d'application suivront.
Surtout, vos clients ou partenaires soumis à NIS2 (collectivités, banques, hôpitaux, opérateurs essentiels) peuvent contractualiser des exigences de sécurité avec leurs prestataires. C'est cet effet en cascade, déjà à l'œuvre, qui justifie d'anticiper.
Concrètement : si vous êtes prestataire informatique, expert-comptable, cabinet juridique, sous-traitant industriel d'une entité NIS2, on va vous demander de prouver votre niveau de sécurité.
Source : ANSSI · cyber.gouv.fr (consulté mars 2026)
Le règlement DORA est applicable depuis le 17 janvier 2025. Il impose la résilience numérique aux banques, assurances, sociétés de gestion, prestataires de paiement : et à leurs prestataires informatiques.
Concerné indirectement : tout cabinet d'expertise comptable, avocat ou prestataire IT qui travaille pour une entité financière. Si c'est votre cas, on va vous demander des preuves de résilience.
Les professions réglementées sont soumises à des obligations spécifiques en plus du RGPD. Nous les connaissons.
Ce n'est pas une obligation légale, mais c'est devenu un argument économique fort. Les assureurs exigent désormais MFA, sauvegardes externes, plan de continuité et audit récent comme conditions de souscription ou de renouvellement.
Notre rapport est conçu pour répondre à leurs questionnaires. Il vous permet souvent de négocier votre prime à la baisse : l'audit peut s'amortir sur la prime annuelle.
Source : rapport LUCY 2024 sur le marché de la cyberassurance : seules 1,2 % des PME françaises sont aujourd'hui couvertes.
Audit technique et organisationnel à la lumière du cadre réglementaire applicable à votre activité.
Mise en œuvre des mesures techniques manquantes ou insuffisantes : chiffrement, MFA, journalisation, segmentation.
Production des éléments de preuve attendus par les autorités de contrôle, les assureurs et les donneurs d'ordre.
Surveillance continue et revue périodique. La conformité technique se gagne dans la durée.
Non. Nous sommes un prestataire technique. Nous mettons en œuvre les mesures que vos obligations impliquent. Pour l'analyse juridique de votre situation et les contrats, nous travaillons avec votre avocat ou pouvons vous orienter vers des cabinets spécialisés en droit du numérique.
La conformité RGPD recouvre des dimensions techniques (que nous traitons : chiffrement, contrôle d'accès, journalisation, sauvegardes…) et juridiques (registre des traitements, contrats sous-traitance, mentions, base légale). Nous couvrons la première. La seconde relève de votre DPO ou de votre conseil juridique.
Probablement pas en application directe si vous êtes une PME hors secteur critique. Mais vos clients soumis à NIS2 vont contractualiser des exigences de sécurité avec leurs prestataires. C'est cet effet en cascade qu'il faut anticiper.
Aucun audit ne « met à l'abri ». L'audit documente vos mesures techniques. En cas de contrôle ou de violation, il vous permet de prouver votre diligence : ce qui pèse significativement sur le quantum d'une éventuelle sanction.
