Obligations de cybersécurité pour les TPE/PME françaises en 2026 : ce que la loi impose vraiment

La cybersécurité n’est plus un sujet réservé aux grandes entreprises ou aux opérateurs d’importance vitale. En 2026, les TPE/PME françaises sont de plus en plus concernées par un ensemble d’obligations légales et réglementaires en matière de sécurité informatique, de protection des données et de gestion des incidents. Entre le RGPD, la directive NIS2, le Code du travail et les règles sectorielles, il devient indispensable de comprendre ce qui est réellement imposé par la loi, et ce qui relève plutôt des bonnes pratiques recommandées.

Cadre général : l’obligation de sécurité pèse aussi sur les petites entreprises

En droit français, plusieurs textes posent une obligation générale de sécurité qui s’étend aux systèmes d’information, même si le terme « cybersécurité » n’est pas toujours explicitement utilisé.

Sur le plan civil, la responsabilité de l’entreprise peut être engagée en cas de manquement à son devoir de prudence :

• Article 1240 du Code civil (responsabilité délictuelle) : toute faute ayant causé un dommage (ex. : fuite de données clients, arrêt de production dû à un rançongiciel) peut engager la responsabilité de l’entreprise.
• Responsabilité contractuelle

Sur le plan de la santé et de la sécurité au travail, le numérique est inclus dans le périmètre de protection des salariés :

• Article L.4121-1 du Code du travail : l’employeur doit prendre les mesures nécessaires pour assurer la sécurité et protéger la santé physique et mentale des travailleurs. Cela inclut la protection contre les risques numériques (perte de données de travail, stress lié aux attaques, exposition à des contenus malveillants, etc.).
• Article L.4121-2 du Code du travail : obligation de prévention, d’information et de formation des salariés sur les risques, ce qui justifie les actions de sensibilisation à la cybersécurité.

En pratique, ces obligations générales signifient que, même sans texte sectoriel spécifique, une TPE/PME doit démontrer qu’elle a pris des mesures raisonnables pour sécuriser son système d’information et limiter les risques informatiques prévisibles.

RGPD : la pierre angulaire des obligations de cybersécurité

Pour la quasi-totalité des TPE/PME, le socle juridique principal en matière de cybersécurité reste le Règlement (UE) 2016/679 dit RGPD, applicable depuis 2018 et complété en France par la loi Informatique et Libertés modifiée (loi n° 78-17 du 6 janvier 1978).

Le RGPD impose plusieurs exigences directement liées à la sécurité informatique :

• Article 5 : principe d’« intégrité et confidentialité » des données personnelles. L’entreprise doit empêcher l’accès non autorisé, la modification, l’effacement ou la divulgation des données.
• Article 32 : obligation de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque (chiffrement, pseudonymisation, politiques d’accès, journalisation, sauvegardes, etc.).
• Article 24 : obligation de démontrer la conformité (accountability). L’entreprise doit pouvoir prouver les mesures prises : politiques internes, procédures, registres, preuves de formation.
• Article 33 : en cas de violation de données personnelles (data breach), obligation de notifier la CNIL dans les 72 heures, sauf si la violation est « peu susceptible d’engendrer un risque » pour les droits et libertés des personnes concernées.
• Article 34 : si la violation est susceptible d’engendrer un risque élevé pour les personnes, obligation d’informer directement les personnes concernées (clients, salariés, utilisateurs).

Contrairement à une idée reçue, le RGPD ne réserve pas ces obligations aux grandes entreprises : toute structure traitant des données personnelles (nom, adresse e-mail, IP, données RH, CRM, etc.) est concernée, quelle que soit sa taille. La CNIL a déjà sanctionné des TPE/PME pour des insuffisances de sécurité (mots de passe trop faibles, absence de chiffrement, accès non protégés à des espaces clients).

Pour une TPE/PME française en 2026, cela implique notamment :

• maintenir un registre des traitements (adapté et simplifié pour les petites structures) ;
• mettre à jour une politique de sécurité des systèmes d’information (PSSI) même succincte, documentant les principales mesures en place ;
• prévoir une procédure de gestion des incidents incluant l’évaluation de l’impact sur les données personnelles et le déclenchement d’une notification à la CNIL si nécessaire ;
• encadrer les relations avec les prestataires (hébergeurs, SaaS, ESN) via des clauses de sous-traitance conformes à l’article 28 RGPD, incluant des exigences de sécurité.

Directive NIS2 : vers des obligations renforcées pour certains secteurs

La directive (UE) 2022/2555 dite NIS2 remplace la directive NIS de 2016 et renforce les exigences de cybersécurité pour un grand nombre d’organisations dans l’Union européenne. Les États membres devaient la transposer dans leur droit national au plus tard le 17 octobre 2024. En France, cela passe par une adaptation du Code de la défense, du Code de la sécurité intérieure et d’autres textes, sous l’égide de l’ANSSI.

En 2026, sous réserve des textes français définitifs, les conséquences prévisibles pour les TPE/PME sont les suivantes :

• Certaines PME, même de taille modeste, pourront être qualifiées d’entités essentielles ou importantes si elles opèrent dans des secteurs sensibles (énergie, transport, santé, eau, services numériques, cloud, fournisseurs de services de confiance, infrastructures numériques, etc.).
• Ces entités devront respecter des obligations de cybersécurité plus détaillées : mesures techniques, gestion des risques, sécurité de la chaîne d’approvisionnement, notification d’incidents significatifs, audit et éventuellement contrôles par l’autorité compétente.

La directive NIS2 impose notamment (article 21) un ensemble minimal de mesures telles que :

• politiques de sécurité et de gestion des risques ;
• gestion des incidents (détection, réponse, reprise) ;
• continuité d’activité et plan de reprise ;
• sécurité de la chaîne d’approvisionnement et des relations avec les fournisseurs ;
• politiques de gestion des identités et des accès (IAM, MFA, principe du moindre privilège) ;
• utilisation de solutions cryptographiques appropriées ;
• formation et sensibilisation à la cybersécurité.

Les détails pour la France (liste des secteurs, seuils de taille, modalités de déclaration) sont fixés par les textes de transposition et les décrets d’application publiés après 2024. Les TPE/PME concernées devront surveiller les communications de l’ANSSI et les textes publiés au Journal officiel pour connaître leurs obligations exactes.

Obligations liées aux sites web, e-commerce et services en ligne

De nombreuses TPE/PME disposent d’un site vitrine, d’une boutique en ligne ou d’une plateforme SaaS. Plusieurs textes s’appliquent alors en matière de sécurité et de protection des données :

• Loi pour la confiance dans l’économie numérique (LCEN) n° 2004-575 du 21 juin 2004 : impose des obligations d’information, de coopération avec les autorités, et engage la responsabilité des éditeurs et hébergeurs en cas de contenu illicite. La sécurité du site et la protection des utilisateurs sont des éléments de cette responsabilité.
• Directive ePrivacy (2002/58/CE) et sa transposition en France : obligations en matière de cookies et traceurs, bandeau d’information, recueil du consentement lorsque nécessaire. Une mauvaise gestion des cookies (outils d’analyse, pixels publicitaires) peut combiner risque CNIL et risque de fuite de données.
• Obligation d’information et de loyauté envers le consommateur (Code de la consommation) : un site marchand doit informer de manière claire sur l’utilisation des données, les mesures de sécurité et les conditions de service, notamment lorsqu’il manipule des données de paiement (même si la plupart des TPE/PME délèguent cela à des PSP comme Stripe, PayPal, etc.).

Pour un site web de TPE/PME, les exigences minimales impliquent en pratique :

• utiliser un certificat TLS (HTTPS) valable, avec une configuration à jour ;
• maintenir le CMS (WordPress, Joomla, PrestaShop, etc.), les thèmes et les plugins à jour ;
• protéger les interfaces d’administration (mots de passe robustes, double authentification, restriction d’accès IP le cas échéant) ;
• documenter dans la politique de confidentialité les traitements de données et les mesures de sécurité principales ;
• mettre en place un plan de sauvegardes régulières (fichiers et bases de données), testé en restauration ;
• choisir des hébergeurs conformes au RGPD et, si possible, certifiés (ISO 27001, SecNumCloud, etc. selon le niveau de sensibilité).

Rôle des prestataires, sous-traitants et fournisseurs de services cloud

La plupart des TPE/PME externalisent une partie de leurs fonctions informatiques : hébergement, maintenance, messagerie, sauvegarde, sécurité managée, etc. D’un point de vue juridique, cela ne les décharge pas de leurs obligations.

Le RGPD (article 28) impose à l’entreprise cliente (responsable de traitement) de :

• choisir uniquement des sous-traitants présentant des garanties suffisantes en matière de sécurité et de confidentialité ;
• formaliser la relation par un contrat de sous-traitance précisant les obligations de sécurité, de confidentialité, d’assistance en cas d’incident, de suppression ou restitution des données en fin de contrat ;
• contrôler, au moins a minima, que le prestataire respecte ses engagements (certifications, audits, attestations, etc.).

En 2026, avec la montée en puissance de la directive NIS2 et des exigences de résilience numérique, les TPE/PME ont tout intérêt à :

• intégrer des clauses de cybersécurité dans leurs contrats fournisseurs ;
• demander des preuves de conformité (certificat ISO 27001, label SecNumCloud pour les services cloud sensibles, attestations de pentest, etc.) ;
• prévoir des clauses d’assistance en cas de cyberattaque (priorité de support, délais d’intervention, restauration des données).

Obligation de formation et de sensibilisation des salariés

Les textes ne parlent pas toujours explicitement de « formation cybersécurité », mais plusieurs bases légales permettent de considérer cette formation comme une obligation implicite :

• Code du travail – articles L.4121-1 et L.4121-2 : l’employeur doit adapter les mesures de prévention et donner aux salariés les instructions nécessaires pour assurer leur sécurité. Dans un environnement numérique, cela inclut la sensibilisation aux risques cyber (phishing, utilisation des mots de passe, gestion des données sensibles, utilisation des outils SaaS).
• RGPD – article 32 : l’organisation doit tenir compte de la « sensibilisation et de la formation du personnel participant aux traitements » dans sa politique de sécurité.

Pour une TPE/PME, l’exigence raisonnable en 2026 pourrait inclure :

• une sensibilisation de base annuelle à la cybersécurité pour tous les salariés (présentiel, e-learning, supports internes) ;
• des formations plus poussées pour les profils à risque : administrateurs, comptables, commerciaux manipulant des données sensibles, dirigeants ;
• la traçabilité des actions de formation (feuilles de présence, attestations, modules complétés) pour être en mesure de prouver sa démarche en cas de contrôle ou de contentieux.

Notification des incidents et coopération avec les autorités

En fonction de leur activité, les TPE/PME peuvent être soumises à des obligations spécifiques de notification d’incidents :

• RGPD : notification des violations de données personnelles à la CNIL et, si nécessaire, aux personnes concernées (articles 33 et 34).
• NIS2 (pour les entités essentielles/importantes) : notification aux autorités compétentes (en France, l’ANSSI pour les secteurs concernés) dans des délais précis, avec plusieurs niveaux d’alerte (notification précoce, notification détaillée, rapport final).

Indépendamment de ces obligations, en cas de cyberattaque (rançongiciel, fraude, compromission de messagerie, escroquerie), il est recommandé :

• de déposer plainte auprès des services de police ou de gendarmerie (référents cyber, plateformes dédiées) ;
• de conserver les éléments de preuve (journaux, e-mails, captures d’écran, fichiers chiffrés) ;
• de solliciter, si nécessaire, un prestataire spécialisé en réponse à incident.

Assurance cyber et gestion du risque financier

La souscription d’une assurance cyber n’est pas, à ce jour, une obligation légale pour les TPE/PME en France. Cependant, elle peut constituer un élément de la stratégie globale de gestion des risques.

Le Code des assurances et la jurisprudence imposent en revanche de respecter les conditions du contrat. Cela signifie que si la police d’assurance cyber prévoit des exigences minimales de sécurité (sauvegardes régulières, authentification forte, mises à jour), leur non-respect peut entraîner un refus de prise en charge en cas de sinistre.

En 2026, il est probable que les assureurs exigent de plus en plus :

• une évaluation préalable du niveau de sécurité (questionnaires, audits simplifiés) ;
• la mise en œuvre de mesures techniques de base (MFA, EDR, sauvegardes hors-ligne) ;
• des preuves de sensibilisation des équipes.

Bonnes pratiques recommandées par l’ANSSI et la CNIL pour les TPE/PME

Au-delà des textes obligatoires, les autorités françaises publient des guides qui, s’ils ne sont pas juridiquement contraignants, servent souvent de référence pour évaluer ce qu’est une « mesure de sécurité appropriée » :

• ANSSI – Guide d’hygiène informatique : liste de mesures prioritaires (gestion des correctifs, sauvegardes, filtrage, segmentation, journalisation, etc.).
• ANSSI – Guides sectoriels et fiches pratiques : pour les collectivités, les établissements de santé, les PME, etc.
• CNIL – Guide de la sécurité des données personnelles : recommandations concrètes (politique de mots de passe, sécurisation des postes de travail, chiffrement, anonymisation).

En cas de contrôle, de contentieux ou de sinistre, ces recommandations peuvent servir de référentiel implicite pour apprécier si l’entreprise a raisonnablement sécurisé ses systèmes et ses données.

En 2026, même une petite structure qui n’entre pas dans les catégories les plus réglementées a intérêt à :

• formaliser une PSSI adaptée à sa taille ;
• mettre en œuvre les mesures de base (inventaire des actifs, sauvegardes, contrôle des accès, mises à jour, antivirus/EDR, segmentation minimale du réseau) ;
• documenter ses actions (politiques, procédures, preuves de formation, comptes rendus d’incident) afin de pouvoir démontrer sa bonne foi et son sérieux face aux autorités, partenaires et assureurs.

Les TPE/PME françaises se trouvent ainsi au croisement de plusieurs exigences : protection des données personnelles (RGPD), résilience des services numériques (NIS2), sécurité des salariés (Code du travail), loyauté vis-à-vis des clients et partenaires. La cybersécurité devient une composante incontournable de la conformité juridique et de la compétitivité, même pour les structures de petite taille.