Et si on arrêtait (enfin) de remplir trois formulaires de notification pour un seul incident cyber ?

"Et si on arrêtait (enfin) de remplir trois formulaires de notification pour un seul incident cyber ?"

Les entreprises françaises évoluent dans un véritable maquis réglementaire, marqué par la multiplication des obligations de notification aux autorités compétentes.

Par exemple, une violation de données personnelles entraîne l'obligation de notification à la CNIL en application du RGPD. Les opérateurs d'importance vitale (OIV) doivent, quant à eux, alerter  l'ANSSI dès qu'un incident affecte leurs systèmes d'information critiques. Au niveau européen, la directive NIS impose aux entités concernées de notifier certains incidents de sécurité (des dispositions ren ceforcées et étendues par la nouvelle directive NIS 2). De même, le règlement eIDAS encadre strictement les prestataires de services de confiance, tandis que le secteur financier se prépare à l'entrée en vigueur prochainedu règlement DORA. À cela s'ajoutent enfin des régimes sectoriels  (santé, services de paiement, etc.).

Les RSSI, DPO et autres praticiens savent qu'en pleine gestion de crise cyber, devoir courir après les formulaires  ajoute une couche de bureaucratie kafkaïenne à une situation déjà critique. L'initiative de la Commission vise donc à alléger ce fardeau sans nuire à la sécurité collective.

Le 16 septembre 2025, la Commission européenne a lancé un appel à contributions pour simplifier ces obligations de signalement des incidents et des violations en matière cyber.

Elle reconnaît (enfin) que les entreprises supportent une charge trop importante liée à la multiplicité de ces notifications, et se fixe pour objectif de minimiser les coûts en simplifiant et en harmonisant les processus de notification.

Pourquoi toutes ces obligations de notification existent-elles ?

Malgré leur lourdeur, les notifications ou signalements poursuivent des objectifs d'intérêt général.

En obligeant les entreprises à déclarer les attaques subies et les failles découvertes, les autorités peuvent collecter des données précieuses sur le paysage de la menace, les modes d'attaque, les secteurs les plus touchés, etc. Cela permet notamment d'améliorer la coordination entre autorités et on aide d'autres entités à anticiper des attaques similaires.

Par exemple, un opérateur du secteur de l'énergie qui notifie une tentative d'intrusion va alerter l'ensemble de son secteur via l'autorité compétente, ce qui pourra empêcher la propagation de l'attaque.

De plus, certaines notifications bénéficient directement aux citoyens : la notification aux personnes concernées (prévue par le RGPD ou eIDAS) permet à ces dernières de prendre des mesures pour se protéger (changer leurs mots de passe, surveiller leurs comptes bancaires, etc.) suite à un incident.

Cependant, le cumul des régimes décrits plus haut engendre une lourde charge administrative. Chaque cadre a son périmètre, son format, ses critères...

Pour les groupes internationaux, la situation se complique encore, avec des obligations potentiellement différentes selon les pays.

Pour les PME et acteurs moins dotés en moyens, cette complexité peut devenir décourageante : il est coûteux de maîtriser l'ensemble des textes, de mettre en place les processus internes et les outils pour s'y conformer. 

En somme, trop de notifications tue la notification.

La démarche initiée par la Commission européenne de simplification et d'harmonisation des règles est donc accueillie très favorablement par notre cabinet d'avocats.

Que pourrait-on changer ?

La complexité actuelle des obligations de notification en cybersécurité résulte d'une construction progressive, par empilement de normes visant chacune un aspect (données personnelles, continuité des services, stabilité financière, confiance numérique...).

Si chaque obligation prise isolément se justifie, leur accumulation est devenue un problème systémique.

L'appel à contributions de la Commission européenne, ouvert jusqu'au 14 octobre 2025, est une occasion unique pour les acteurs  de faire entendre leur voix sur ce sujet : quelles notifications pourraient être fusionnées ? quels délais ajuster ? comment éviter les redondances entre RGPD/NIS/DORA ?

Une idée pourrait être, par exemple, qu'une entreprise puisse, via un guichet unique, signaler un incident en remplissant un seul rapport, lequel serait routé aux autorités pertinentes (CNIL, ANSSI, régulateurs sectoriels...) selon la nature de l'incident, sans doublonner les informations. Ce type de mutualisation réduirait la charge administrative tout en maintenant le niveau d'information requis pour chaque autorité.

Bien sûr, la mise en place d'un tel système commun pose des défis juridiques et techniques (interopérabilité des plateformes de signalement, base légale pour le partage d'infos entre autorités, etc.), mais l'initiative actuelle de la Commission ouvre la voie à ces discussions.

Chez Entropy, nous suivons de près cette évolution et nous nous tenons prêts à vous accompagner dans la rédaction de vos observations pour cette consultation.

Après tout, il serait dommage de subir la complexité des textes sans saisir l'opportunité de les simplifier - et, qui sait, d'enfin arrêter de remplir trois formulaires pour un seul incident...

‍

À propos de l'auteur

Jocelyn Pitet est avocat au barreau de Paris et cofondateur d’Entropy, un cabinet d'avocats dédié aux nouvelles technologies. Sa pratique se concentre sur des domaines tels que la cybersécurité, la protection des données personnelles, les contrats informatiques, la blockchain, l'intelligence artificielle et d'autres technologies de rupture. Depuis plus de dix ans, Jocelyn accompagne les startups innovantes, les entreprises technologiques de pointe ainsi que les grandes groupes internationaux dans la gestion des défis juridiques complexes liés au numérique et à l'innovation.

En parallèle de son activité au cabinet, Jocelyn Pitet assure des fonctions d'enseignement à l'Université Paris Panthéon-Assas et à l'Institut Léonard de Vinci. Il y dispense des cours sur le droit de la blockchain, le droit des données à caractère personnel et le droit de la cybersécurité.