Cyberattaques : l’avocat, un acteur clé dès les premières heures de la crise

Alors que les cyberattaques se multiplient en France, la gestion des premières heures qui suivent un incident peut avoir des conséquences juridiques et financières majeures pour les entreprises. Selon Maître Djamel Belhaouci, avocat spécialisé en droit de la cybercriminalité, l’intervention d’un avocat dès le déclenchement de la crise reste pourtant largement sous-estimée par les PME.

D’après lui, environ 60 % des petites et moyennes entreprises victimes d’une cyberattaque ne disposent pas d’un avocat au sein de leur cellule de crise. Cette absence peut conduire à des plaintes incomplètes, à des refus d’indemnisation par les assureurs ou encore à une mauvaise gestion des responsabilités juridiques.

Une crise d’abord juridique avant d’être technique

Lorsqu'une entreprise est victime d'un ransomware ou d'une autre cyberattaque, les premiers réflexes consistent généralement à contacter le responsable informatique, le prestataire informatique ou l'assureur. L'avocat n'intervient souvent que plusieurs semaines plus tard.

Pour Maître Djamel Belhaouci, avocat au Barreau de Marseille spécialisé en droit de la cybercriminalité et en défense pénale, cette approche constitue une erreur. « Les entreprises pensent que la cyberattaque est d'abord un problème technique. C'est une erreur fondamentale, dès la première heure, elle est surtout un problème juridique. »

Il rappelle notamment que lorsqu'une violation de données personnelles est constatée, le Règlement général sur la protection des données (RGPD) impose une notification à la CNIL dans un délai de 72 heures. Une déclaration absente, incomplète ou tardive peut entraîner des sanctions importantes, indépendamment des conséquences de l'attaque elle-même.

« Une entreprise victime de cyberattaque a 72 heures pour notifier la CNIL d'une éventuelle fuite de données. Si cette notification est absente, mal rédigée ou tardive, les sanctions peuvent dépasser le préjudice de l'attaque elle-même. Il est de même pour le dépôt de plainte dans le cadre d’une couverture assurantielle. C'est le premier acte juridique à poser et il doit l'être par un avocat », explique-t-il.

Des erreurs qui peuvent compromettre les suites de la procédure

Selon Maître Belhaouci, plusieurs erreurs reviennent régulièrement lorsque l'entreprise ne bénéficie pas d'un accompagnement juridique immédiat.

La première concerne le dépôt de plainte. Dans l'urgence, certaines entreprises déposent des plaintes sans qualification précise des infractions, qu'il s'agisse d'accès frauduleux à un système de traitement automatisé de données (STAD), d'extorsion ou d'atteinte au secret des affaires. Une plainte incomplète peut fragiliser la procédure pénale et réduire les possibilités d'indemnisation.

La deuxième difficulté intervient dans les relations avec les assureurs. Les contrats d'assurance cyber prévoient souvent des clauses d'exclusion précises. Une déclaration réalisée avant que les preuves ne soient correctement sécurisées ou documentées peut conduire à un refus de garantie.

« J'ai vu des entreprises perdre plusieurs centaines de milliers d'euros d'indemnisation pour des déclarations maladroites faites dans les premières heures », témoigne l'avocat.

Enfin, la communication de crise constitue également un enjeu juridique. Les informations diffusées aux clients, partenaires ou médias à propos d'une fuite de données peuvent engager la responsabilité civile ou pénale de l'entreprise. L'avocat intervient alors pour sécuriser ces communications, qui bénéficient en outre du secret professionnel.

Intégrer l’avocat au plan de réponse aux incidents

Pour Maître Belhaouci, l'avocat spécialisé en cybercriminalité devrait être intégré au dispositif de gestion de crise au même titre que le responsable informatique ou le délégué à la protection des données (DPO), quelle que soit la taille de l'entreprise.

« Ce n'est pas une question de taille d'entreprise. Une PME de 20 salariés est aussi concernée qu'un groupe du CAC 40. Les cyberattaquants ne font pas de distinction », souligne-t-il.

Son intervention permet notamment d'assurer la conservation des preuves dans des conditions juridiquement recevables, de rédiger la notification à la CNIL dans les délais réglementaires, de coordonner les échanges avec les services d'enquête et le parquet spécialisé, de sécuriser les communications internes et externes et d'anticiper d'éventuels recours engagés par des tiers.

Un contexte marqué par la hausse des cyberattaques

Le cadre juridique applicable prévoit plusieurs obligations pour les entreprises. En cas de violation de données personnelles, le RGPD impose une notification à la CNIL dans un délai de 72 heures (article 33) et, lorsque le risque pour les personnes concernées est élevé, une information de celles-ci sans délai injustifié (article 34).

Les infractions susceptibles d'être retenues relèvent notamment de l'accès frauduleux à un système de traitement automatisé de données (article 323-1 du Code pénal), de l'atteinte au secret des affaires ou encore de l'extorsion (article 312-1 du Code pénal).

Dans un contexte où le nombre d'incidents déclarés à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a progressé de 30 % en 2025, Maître Belhaouci invite les dirigeants à préparer leur organisation en amont.

« Intégrez votre avocat dans votre plan de continuité d'activité avant la crise. Le moment le plus coûteux pour appeler un avocat spécialisé, c'est le lendemain de l'attaque », conclut-il.