Incidents Cyber : quelles obligations de notification ?

Propriété intellectuelle - Tech - Data

News — 13 novembre 2025

Pauline DUCOIN
Associé

En cas de cyberattaque, les entreprises françaises doivent composer avec un enchevêtrement d'obligations de notification. Selon leur secteur d'activité et la nature de l'incident, elles disposent de délais allant de 4 heures à un mois pour alerter diverses autorités : CNIL, ANSSI, ACPR, ARS... Entre le RGPD, la directive NIS 2 et le règlement DORA, cette complexité réglementaire exige une vigilance accrue pour éviter les sanctions et protéger efficacement les données.

Entre la CNIL, l’ANSSI, l’ACPR ou encore l’ARS, les obligations en cas d’incident cyber se multiplient et se complexifient.

Avec les règlements NIS 2, DORA, Cyber Résilience Act et l’AI Act (pour ne citer qu’eux), les délais se resserrent et les obligations de transparence s’étendent à tous les secteurs.

Pauline Ducoin, avocat associé du bureau de Lyon, fait le point complet sur qui doit notifier, quoi, à qui et sous quel délai.

[SWIPE] Notifications Cyber Télécharger