Mise à jour de la pratique décisionnelle en matière de protection des données

Les Tables Informatique et Libertés de la CNIL résument l’essentiel de la jurisprudence et des décisions pertinentes rendues en matière de protection des données à caractère personnel. Une nouvelle édition vient de paraître.

Pour les professionnels qui veulent mieux comprendre les pratiques en matière de protection des données personnelles, les Tables Informatique et Libertés de la CNIL sont indispensables. Ce document de référence sur la doctrine réunit toutes les décisions et la jurisprudence relatives à ce thème, organisées sous forme de résumés classés par thèmes. On y trouve non seulement les décisions de la CNIL, rendues à l’occasion de mesures correctrices et du traitement des plaintes, mais aussi celles des juridictions nationales et européennes, notamment la Cour de justice de l’Union européenne, la Cour européenne des droits de l’Homme, le Conseil d’État et la Cour de cassation, ainsi que du Comité européen de la protection des données.

Une démarche de transparence

Régulièrement mises à jour, ces Tables offrent une vision d’ensemble de la protection des données, pour permettre une application homogène et cohérente, dans un monde où l’application du RGPD et de la loi Informatique et Libertés est parfois malmenée et souvent en évolution. Elles visent aussi à rendre plus accessibles des positions qui ne font pas toujours l’objet d’une publication détaillée. La publication des raisonnements et des formules juridiques utilisés participe ainsi d’une démarche de transparence.

Pour télécharger la dernière édition des Tables : www.cnil.fr

Article publié le 12 mars 2026 – © Les Echos Publishing 2026 – Crédit photo : CNIL.fr

Que doit contenir un rapport de sécurisation du système informatique ?

Dans le cadre d’une prestation de sécurisation d’un système d’information, le rapport remis par l’intervenant constitue un livrable essentiel. Cybermalveillance.gouv.fr publie une fiche de référence précisant ce qui est attendu en termes de contenu.

Cybermalveillance.gouv.fr a réalisé des fiches de référence dont l’objectif est de clarifier les attendus minimaux dans le cadre d’une intervention en cybersécurité par un prestataire, notamment dans une démarche de labellisation ExpertCyber. Ces fiches ont été rédigées par le comité de labellisation, en collaboration avec l’ANSSI, Coter Numérique, Fédération EBEN et Numeum. Elles s’adressent à tous les prestataires informatiques, mais peuvent aussi intéresser les entreprises qui ont ou vont faire appel à un prestataire.

L’importance d’une maintenance continue

La fiche sur les essentiels d’un rapport de sécurisation indique, par exemple, que le résumé des objectifs de la sécurisation et son contexte (politique de sécurité, réglementation, mise à niveau…) doivent être rappelés en introduction du rapport. La synthèse doit être compréhensible par des personnes non expertes en sécurité des systèmes d’information. Les méthodes et démarches utilisées doivent être détaillées, de même que le niveau de sécurité actuel du client et le déroulé de l’intervention. La conclusion doit lister les risques résiduels après la sécurisation et les recommandations les plus importantes, en insistant sur l’importance de la maintenance continue et des audits réguliers pour assurer une sécurité optimale.

Pour en savoir plus : www.cybermalveillance.gouv.fr

Article publié le 05 mars 2026 – © Les Echos Publishing 2026 – Crédit photo : Urupong – stock.adobe.com

Stratégie nationale de cybersécurité 2026-2030

À l’heure du tout numérique et de la montée en puissance des cybermenaces, le gouvernement vient de publier sa stratégie nationale de cybersécurité pour les années 2026 à 2030.

Dans un « contexte marqué par la multiplication et l’imbrication des menaces telles que le terrorisme, la prolifération, les cyberattaques ou les modes d’action hybrides », chaque pays, et le nôtre en particulier, doit adapter et renforcer ses dispositifs de protection. Pour faire de la France un pôle majeur de la cybersécurité mondiale, le gouvernement vient ainsi de publier sa stratégie nationale de cybersécurité. 5 piliers ont été retenus pour mettre en place cette stratégie. Le premier prévoit de faire de la France le plus grand vivier de talents cyber d’Europe. L’objectif étant d’orienter la jeunesse vers ces métiers d’avenir et de renforcer toutes les voies de formation initiale, continue et de reconversion.

Entraver l’expansion de la cybermenace

Le deuxième pilier propose de renforcer la résilience cyber de la Nation, le troisième d’entraver l’expansion de la cybermenace et le quatrième de garder la maîtrise de la sécurité de nos fondements numériques. Quant au cinquième et dernier pilier, il prévoit de soutenir la sécurité et la stabilité du cyberespace en Europe et à l’international. Toutes ces actions visent à élever le niveau global de cybersécurité, à préparer l’ensemble des acteurs aux crises et à faciliter l’accès à la cybersécurité par un accompagnement renforcé des victimes. La France entend donc mobiliser tous ses leviers – judiciaires, diplomatiques, militaires, économiques et techniques – pour entraver l’expansion de la cybermenace.

Pour en savoir plus : www.sgdsn.gouv.fr

Article publié le 26 février 2026 – © Les Echos Publishing 2026 – Crédit photo : VStudio – stock.adobe.com

Cybersécurité : le bilan 2025

Le dernier baromètre du Cesin (Club des experts de la sécurité de l’information et du numérique) met en lumière une légère baisse des cyberattaques en 2025. Des attaques dont les conséquences restent, cependant, très importantes.

Réalisé par OpinionWay pour le compte du Cesin depuis 2015, le Baromètre de la cybersécurité permet, chaque année, de dresser un bilan du combat que mènent les entreprises membres de ce club contre les cyberattaques. Des entreprises composées à 17 % de PME, à 43 % d’ETI et à 40 % de grandes entreprises. Premier enseignement de cette enquête : 40 % des sondés ont subi au moins une cyberattaque réussie en 2025, c’est-à-dire une attaque qui n’a pas pu être arrêtée par les dispositifs de protection ou de prévention. Un chiffre en repli de 7 points sur un an. Pour rappel, ce taux était de 54 % en 2021, 45 % en 2022, 49 % en 2023 et 47 % en 2024. Exception faite de 2023, la tendance s’inscrit donc à la baisse depuis maintenant 5 ans. Mais attention si le nombre d’attaques a reculé (pour 9 % des entreprises) ou s’est stabilisé (pour 74 %), pour 17 % de l’ensemble des entreprises interrogées il a, au contraire, augmenté.

Toujours le phishing

Lorsqu’on les interroge sur le type d’attaques qu’elles ont subi, le phishing est cité par 55 % des entreprises victimes. Pour rappel, le phishing (hameçonnage en français) est une technique qui permet à des pirates de se faire passer pour une banque, un fournisseur ou encore une institution publique auprès d’une entreprise ou d’un particulier afin d’obtenir des informations sensibles (coordonnées bancaires, mots de passe…) ou d’introduire un logiciel malveillant dans un système informatique. Basée sur l’usurpation de l’identité d’un tiers de confiance, cette technique d’attaque est difficile à contrer, ce qui explique son succès. Les autres vecteurs d’attaques les plus souvent évoqués par les entreprises sont les vulnérabilités logicielles ou les défauts de configuration (41 %, -6 points) utilisés par les pirates, les attaques en déni de service (35 %, -6 points) et la fameuse arnaque au président (26 %, -10 points) qui, comme son nom l’indique, consiste à se faire passer pour un dirigeant de la société afin de « forcer » un salarié de l’entreprise à mettre en œuvre un paiement qui sera détourné.

L’erreur humaine

Sur les causes des incidents constatés, le bilan dressé par les entreprises dessine le rôle important joué par le comportement des collaborateurs. Les fuites de données dues à une erreur humaine (27 %), nouvel item de l’étude, se classe directement en 4e place. On note également que 12 % des incidents constatés ont pour origine une « divulgation volontaire de données ou un sabotage par une personne ayant un accès légitime ». Autre point soulevé : la compromission d’outils non connus ou non approuvés par les DSI est la cause de 12 % des incidents. Signe que le Shadow IT (l’utilisation par un salarié d’une application ou d’un matériel informatique souvent plus convivial ou performant que les solutions fournies) continue de sévir dans les entreprises.

La responsabilité des tiers

Si le rôle des collaborateurs dans les incidents est souligné par l’enquête, celui des tiers est également largement mis en avant. 30 % estiment ainsi qu’ils seraient responsables de plus de la moitié des attaques dont ils ont été victimes. Les défauts de sécurité des tiers (clients, fournisseurs…) sont cités par 34 % des personnes interrogées devant la vulnérabilité des produits et composants utilisés (32 %). 30 % des entreprises affirment, également, avoir été affectées par l’indisponibilité d’un de leurs partenaires victime d’un ransomware.

Un impact sur le business plus de 8 fois sur 10

Si dans 19 % des cas, une cyberattaque réussie n’a pas entraîné de perturbation, les autres fois, elle a eu un impact notable sur le business de l’entreprise victime. L’arrêt temporaire de la production, fréquent lors des attaques par rançongiciel (logiciel qui crypte les données informatiques, lesquelles ne pourront être déchiffrées qu’après le paiement d’une rançon), est cité par 28 % des répondants. Suivent l’impact médiatique (26 %), la compromission de données de l’entreprise (18 %), les pertes de chiffre d’affaires (18 %) ou encore l’indisponibilité du site web (17 %).

Des dispositifs de protection plus performants

88 % des entreprises interrogées estiment que les solutions et services de sécurité proposés sur le marché sont adaptés à leurs besoins. Dans le détail, les EDR (Endpoint Detection & Response) (95 %) font partie des solutions jugées comme étant les plus efficaces avec les pare-feux (98 %), les dispositifs d’authentification multi-facteurs (94 %) et les passerelles de sécurité mail (93 %).On note également que plus des deux tiers des entreprises interrogées (67 %) déclarent avoir déjà mis en place un programme d’entraînement pour faire face à une cyber-crise. Pour rappel, le taux n’était que de 62 % en 2024, 57 % en 2023 et de 51 % en 2022, signe que l’exercice prend désormais toute sa place dans les plans de reprise d’activité (PRA) établis par ces entreprises. Enfin, le budget consacré à la cybersécurité a légèrement diminué en 2025. 42 % (-6 points) des entreprises y affectent plus de 5 % de l’ensemble du budget IT et 41 % moins de 4 %. Les 17 % restant affirment ne pas avoir encore pris de décision à ce sujet. L’enquête révèle également que 71 % des entreprises interrogées ont souscrit une cyber-assurance (contre 72 % en 2024) et que 67 % d’entre elles envisagent de la renouveler, contre 16 % qui n’envisagent pas cette solution.

Article publié le 24 février 2026 – © Les Echos Publishing 2026

Dans les coulisses d’un contrôle de la CNIL

Dans la série « Les Webinaires de la Cnil », qui décryptent un sujet ou une actualité en lien avec la protection des données, le dernier épisode disponible en replay est consacré aux coulisses d’une entreprise qui va faire l’objet d’un contrôle.

Ce sont près de 120 agents de la CNIL qui sont habilités à mener un contrôle en entreprise, avec un large pouvoir d’investigation, mais astreints au secret. Quels sont les différents types de contrôle ? Comment se déroule un contrôle sur place ? Quels sont les droits et obligations des organismes contrôlés ? Quelles sont les suites d’un contrôle ? Dans l’un de ses webinaires, la CNIL répond à toutes les questions que se pose l’entreprise qui pourrait faire l’objet du contrôle.

Un accès aux programmes informatiques et aux données

Différentes modalités de contrôle peuvent, en effet, être combinées, qu’il s’agisse d’une vérification sur place, en ligne, sur pièces ou sur audition. L’objectif étant de recueillir tout renseignement ou toute justification utiles concernant la mise en œuvre de la loi et du règlement RGPD. Les agents sont habilités à se faire communiquer tout document nécessaire et à accéder aux programmes informatiques ainsi qu’aux données. Ces contrôles se déroulent le plus souvent de manière inopinée sur une journée, mais en fonction de la complexité du dossier, cela peut varier.

Pour en savoir plus : www.cnil.fr

Article publié le 17 février 2026 – © Les Echos Publishing 2026

État des lieux de la cybersécurité des entreprises françaises

Le baromètre annuel du CESIN, effectué avec OpinionWay, vient de paraître. Réalisé auprès des Directeurs Cybersécurité et Responsables Sécurité des Systèmes d’Information (RSSI), il dévoile les grandes tendances de la cybersécurité en entreprise.

Quelle est la réalité concrète du risque cyber en entreprise ? C’est ce qu’analyse le baromètre annuel du CESIN, ce club réunissant des responsables de la cybersécurité venant d’entreprises de tous secteurs d’activités et d’administrations. Il ne prend en compte que les cyberattaques significatives, celles qui ont entraîné un impact réel sur l’activité, les données, la conformité réglementaire ou l’image de l’entreprise. Il indique qu’en 2025, 40 % des entreprises interrogées ont subi au moins une cyberattaque significative, un chiffre en baisse continue depuis plusieurs années.

Des enjeux de souveraineté numérique et de cloud de confiance

Cette diminution des cyberattaques ne veut toutefois pas dire que la menace est en recul, mais plutôt que les entreprises s’améliorent dans leur détection, leur prévention et leur réaction. 81 % d’entre elles estiment d’ailleurs que l’attaque a eu un impact sur leur business (perturbations de production, pertes d’image, compromission ou vol de données…). Fait notable qui ressort du baromètre : dans un contexte géopolitique de plus en plus instable, plus d’une entreprise sur 2 se déclare concernée par les enjeux de souveraineté numérique et de cloud de confiance, une hausse significative par rapport à l’an dernier.

Pour consulter le baromètre : https://cesin.fr/

Article publié le 12 février 2026 – © Les Echos Publishing 2026

Visio, le logiciel de visioconférence français qui veut remplacer les outils américains

Pour assurer la souveraineté de la France et sortir de la dépendance aux outils américains, le gouvernement vient d’annoncer la généralisation de Visio, un outil de visioconférence conçu en France et destiné à l’ensemble des services de l’État d’ici 2027.

Développé par la direction interministérielle du numérique (DINUM), Visio pourrait rapidement remplacer les Teams, Zoom, GoTo Meeting et autres Webex auprès des agents de l’État. C’est déjà en partie le cas pour les agents et chercheurs du Centre national de la recherche scientifique (CNRS). Visio permettrait alors de réaliser plusieurs millions d’euros d’économies par an, actuellement dépensés dans l’achat de licences à des acteurs non-européens.

Intégré dans la Suite numérique de l’État

Concrètement, Visio dispose d’une interface simple et efficace pour lancer la visioconférence. Une fonction permet, en outre, de sous-titrer en direct les échanges et de rédiger un résumé de la conversation grâce à des technologies françaises. Le logiciel est intégré dans la Suite numérique de l’État, qui comprend également une messagerie instantanée, Tchap, ainsi qu’un drive pour stocker et modifier ses fichiers. L’arrivée d’une IA souveraine, en partenariat avec Mistral, est également prévue d’ici la fin de l’année.

Pour en savoir plus : https://lasuite.numerique.gouv.fr/produits/visio

Article publié le 05 février 2026 – © Les Echos Publishing 2026

Un podcast pour savoir utiliser l’IA en entreprise

Le podcast « Les PME & l’IA : histoires vécues » propose, en 40 minutes deux fois par mois, de découvrir des cas d’usages concrets de l’Intelligence artificielle en entreprise, au travers de témoignages d’entrepreneurs et d’experts qui les accompagnent.

Lancé par Jean-François Deldon, président de Yakadata, Ambassadeur Osez l’IA et Activateur France Num, le podcast « Les PME & l’IA : histoires vécues » donne la parole à ceux qui soutiennent l’entrée de l’IA dans les entreprises. Pas de langue de bois dans ce podcast, l’objectif est de ne rien cacher des réussites, mais aussi des échecs de l’intégration de l’IA dans les TPE-PME. À travers des échanges avec des dirigeants et salariés de TPE-PME ou encore avec des organismes qui aident les entreprises à se lancer dans l’IA, on en apprend plus sur combien coûte un projet IA, comment financer son projet ou encore comment embarquer les équipes.

Les freins des dirigeants

Le dernier épisode, en date du 9 janvier 2026, est, par exemple, consacré à « comment passer à l’action dans ses projets numériques & IA avec France Num ». L’invité est Alexandre Streicher, Chef de projet au sein de l’initiative France Num, le dispositif public qui accompagne les TPE et PME dans leur digitalisation. Dans ce podcast sont notamment abordés les missions de France Num, les freins des dirigeants : temps, compétences, confiance, financement, ou encore les aides et financements disponibles (subventions, prêts, dispositifs régionaux).

Pour en savoir plus : https://yakadata.com/podcast-les-pme-lia-histoires-vecues/

Article publié le 29 janvier 2026 – © Les Echos Publishing 2026 – Crédit photo : demaerre

Comment sécuriser le télétravail dans les TPE-PME

Parce que le télétravail expose les entreprises à des risques cyber accrus, France Num propose un webinaire, le 29 janvier 2026 à 12 heures, pour apprendre aux TPE-PME qui le pratiquent à mieux se protéger.

France Num propose régulièrement des webinaires durant lesquels des experts apportent aux entreprises des conseils avisés pour déployer au mieux le numérique, améliorer la gestion de leur entreprise et faire croître leur activité. Le prochain en date sera consacré au télétravail. S’il permet plus de flexibilité et de productivité pour les salariés, il expose également l’entreprise à plus de risques comme du hameçonnage, des fuites de données ou encore des rançongiciels.

Sensibiliser ses équipes

Accessible en ligne gratuitement sur inscription, ce webinaire proposera aux TPE-PME d’en savoir plus sur comment sécuriser leurs accès, protéger leurs équipements ou encore sensibiliser leurs équipes. Il abordera également les obligations légales à respecter, les solutions économiques à mettre en œuvre et la façon de réagir en cas d’incident. Un temps d’échange permettra de répondre aux questions.

Pour en savoir plus : www.francenum.gouv.fr

Article publié le 22 janvier 2026 – © Les Echos Publishing 2026 – Crédit photo : Westend61 / Uwe Umstätter

Renforcement du dispositif national de cybersécurité

Face à une menace cyber en constante évolution, la mise en place de centres de réponse à incident (CSIRT), notamment territoriaux et sectoriels, permet d’améliorer les actions de prévention, de détection et d’assistance.

Issus du plan France Relance 2021, les CSIRT territoriaux (Computer Security Incident Response Team) permettent d’apporter des réponses aux incidents cyber émanant des PME, des ETI, des collectivités territoriales et des associations implantées sur leurs territoires. Ils fournissent ainsi localement un service de premier niveau gratuit et personnalisé, complémentaire de celui proposé par des prestataires, la plate-forme Cybermalveillance.gouv.fr ou les services du CERT-FR. Le dispositif est, à ce jour, constitué de 14 CSIRT territoriaux.

Répondre aux incidents de secteurs d’activité spécifiques

Des CSIRT sectoriels ont été ajoutés. Ces centres de réponse aux incidents cyber sont associés à un secteur d’activité spécifique (santé, portuaire, maritime, aéronautique, défense…). Ils traitent les demandes d’assistance des acteurs de leur secteur. Enfin, des CSIRT ministériels analysent la menace pesant sur les systèmes d’information ministériels, complétant ainsi le dispositif de cybersécurité de l’État.

Pour en savoir plus : www.cert.ssi.gouv.fr

Article publié le 13 janvier 2026 – © Les Echos Publishing 2026 – Crédit photo : Cravetiger