📍82 Boulevard Haussmann, 75008 Paris

Demandez votre démo

Pourquoi votre entreprise a-t-elle besoin d’un Plan de Continuité d’Activité ?

Actualités RGPD

Sommaire

Le PCA n’est pas réservé aux grands groupes, voici pourquoi il vous concerne directement. 

On croit souvent que le Plan de Continuité d’Activité (PCA) est le souci des grandes entreprises disposant d’équipes informatiques dédiées. C’est une erreur qui peut coûter cher. En cas de cyberattaque, d’incendie ou de panne majeure, c’est précisément la PME qui n’a pas prévu de plan de secours qui se retrouve à l’arrêt, parfois de façon irréversible.

Une réalité que les chiffres confirment

En France, plus de 60 % des PME victimes d’une cyberattaque majeure ne s’en relèvent pas dans les 18 mois. Pourtant, la plupart auraient pu survivre à l’incident si elles avaient su comment fonctionner pendant la crise. Le problème n’est pas toujours l’attaque elle-même : c’est l’absence totale de réponse organisée face à elle.

Le RGPD, de son côté, impose aux entreprises de garantir la disponibilité et l’intégrité des données personnelles qu’elles traitent. L’article 32 exige la mise en place de « mesures techniques et organisationnelles appropriées » ce qui inclut, explicitement, la capacité à restaurer l’accès aux données en cas d’incident. Un PCA bien conçu est donc à la fois une bonne pratique opérationnelle et une exigence réglementaire.

Les informations à retenir : 

  • 60% de PME fragilisées ne se relèvent pas dans les 18 mois après une cyberattaque majeure
  • Art. 32 du RGPD impose la résilience des systèmes traitant des données personnelles
  • Délai de 72h imposé par le RGPD pour notifier une violation de données à la CNIL, même en pleine crise

Le PCA : votre « roue de secours » documentée

Un Plan de Continuité d’Activité n’est pas un document technique de 200 pages. Pour une PME, c’est avant tout un document clair et actionnable qui répond à trois questions essentielles :

  1. Quelles sont vos activités critiques

Quelles sont les fonctions sans lesquelles votre entreprise s’arrête ? La facturation, l’accès aux dossiers clients, la communication avec les fournisseurs… Ces activités doivent être identifiées par ordre de priorité. Tout ne peut pas reprendre en même temps.

  1. Quels sont vos délais de reprise acceptables

Combien de temps votre entreprise peut-elle fonctionner sans son système informatique ? 4 heures ? 24 heures ? 3 jours ? La réponse honnête à cette question détermine le niveau d’investissement nécessaire dans votre plan de secours.

  1. Quelles sont vos solutions de repli concrètes

Si votre serveur est chiffré par un ransomware demain matin, comment travaille-t-on ? Passage temporaire au papier, accès à un serveur de secours, utilisation d’une messagerie de secours, contacts téléphoniques de vos clients clés… Ces alternatives doivent être écrites noir sur blanc, testées, et connues de vos équipes.

PCA & RGPD : une articulation juridique incontournable

Le Plan de Continuité d’Activité n’est pas un simple outil de gestion opérationnelle : c’est devenu, en pratique, un instrument central de la conformité au RGPD. Cette articulation entre continuité d’activité et protection des données mérite d’être pleinement comprise par les responsables de traitement comme par les sous-traitants.

Cet article pourrait aussi vous intéresser : Bonnes résolutions RGPD en entreprise : Adoptez les bons réflexes pour protéger les données !

Le PCA est une traduction opérationnelle du principe de sécurité

L’article 32 du RGPD impose au responsable de traitement et au sous-traitant de mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Le règlement énumère explicitement quatre exigences cumulatives : la confidentialité, l’intégrité, la disponibilité et la résilience des systèmes et services de traitement.

Le PCA permet de répondre aux exigences de disponibilité et de résilience. Sans plan formalisé, comment démontrer à la CNIL, en cas de contrôle ou de violation, que l’on a anticipé la perte d’accès aux données et organisé leur rétablissement « dans des délais appropriés » ? La réponse est claire : on ne peut pas. Le PCA constitue donc, sur le plan probatoire, un élément clé du principe d’accountability posé par l’article 5.2 du RGPD.

La CNIL a d’ailleurs précisé dans son guide de la sécurité des données personnelles que la mise en place de procédures de sauvegarde et de continuité fait partie des mesures de sécurité attendues, quelle que soit la taille de l’organisme. L’argument du « nous sommes une petite structure » ne tient juridiquement pas.

Ce que doit contenir un PCA conforme au RGPD

Au-delà des aspects opérationnels classiques, un PCA réellement aligné avec le RGPD doit intégrer plusieurs composantes juridiques spécifiques :

Une cartographie des traitements critiques. Le registre des traitements prévu à l’article 30 doit être croisé avec les activités vitales identifiées dans le PCA. Tous les traitements ne présentent pas le même niveau de risque pour les personnes concernées : un traitement RH ou un traitement de données de santé exigent un niveau de protection et de reprise très supérieur à un fichier de prospection commerciale.

Une procédure de notification structurée. L’article 33 impose au responsable de traitement de notifier toute violation de données à la CNIL dans un délai de 72 heures après en avoir pris connaissance. L’article 34 ajoute, lorsque la violation est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes, l’obligation de communiquer cette violation aux personnes concernées dans les meilleurs délais. Ces délais ne sont pas suspendus parce que l’entreprise est paralysée. Le PCA doit donc prévoir :

  • L’identification de la personne en charge de la notification (DPO, responsable juridique, dirigeant) ;
  • Un canal de communication alternatif avec la CNIL si la messagerie professionnelle est hors service;
  • Un accès dégradé mais opérationnel au registre des traitements et à la documentation de sécurité ;
  • Des modèles de notification prérédigés pour ne pas perdre un temps précieux le jour J.

Une gestion contractuelle des sous-traitants. L’article 28 du RGPD encadre strictement les relations avec les sous-traitants (hébergeurs, prestataires SaaS). Le contrat doit prévoir leurs obligations en matière de sécurité, de notification des violations et d’assistance au responsable de traitement. Un PCA solide intègre les engagements de niveau de service (SLA) de ces prestataires, leurs propres PCA/PRA et les clauses de réversibilité permettant de récupérer les données en cas de défaillance grave.

Une articulation avec le PRA (Plan de Reprise d’Activité). Souvent confondus, le PCA et le PRA sont complémentaires. Le PRA est centré sur la restauration technique du système d’information. Le PCA, plus large, organise la continuité de l’ensemble des activités humaines et fonctionnelles. Sur le plan du RGPD, les deux sont nécessaires : le PRA permet de rétablir la disponibilité technique des données, le PCA permet de continuer à exercer les droits des personnes même en mode dégradé.

En sommes, le PCA et le RGPD sont intrinsèquement lié. Le processus de mise en conformité, tel que l’élaboration d’une AIPD, permet d’envisager les scénarios de perte de disponibilité et documenter les mesures de mitigation. Le PCA quant à lui permet d’apporter une réponse d’atténuation aux risque identifié par le RGPD.  

Le cas particulier des données sensibles

Lorsque le traitement porte sur des données dites « sensibles » au sens de l’article 9 du RGPD, données de santé, données biométriques, opinions politiques, orientation sexuelle, origine ethnique, ou sur des données relatives à des condamnations pénales (article 10), les exigences se renforcent considérablement.

Le PCA doit alors prévoir des mesures spécifiques : chiffrement renforcé des sauvegardes, cloisonnement strict des accès en mode dégradé, journalisation des opérations effectuées pendant la crise, et procédure d’information renforcée des personnes concernées si la confidentialité a été compromise.

De plus, certains secteurs sont soumis à des obligations sectorielles cumulatives : 

  • Hébergement de données de santé (certification HDS)
  • Secteur bancaire (recommandations de l’ACPR)
  • Opérateurs d’importance vitale (OIV) et opérateurs de services essentiels (OSE) au titre de la directive NIS 2 transposée en droit français.

Le PCA doit alors être conçu comme un document chapeau qui articule l’ensemble de ces exigences.

Cet article pourrait aussi vous intéresser : Que faire en cas de violation de données personnelles ?

Par où commencer ? Les premières actions concrètes

1. Listez vos logiciels et traitements vitaux

Faites le tour de vos outils numériques et identifiez ceux dont l’indisponibilité bloquerait immédiatement votre activité : ERP, CRM, messagerie, logiciel de paie, outils métier spécifiques. Croisez cette liste avec votre registre des traitements RGPD pour identifier les traitements qui présentent un double enjeu : criticité opérationnelle et sensibilité des données. Chaque outil doit avoir un responsable identifié en interne et un contact fournisseur à jour.

2. Auditez vos contrats de sous-traitance

Vos contrats avec les hébergeurs, éditeurs SaaS et prestataires informatiques contiennent-ils les clauses exigées par l’article 28 du RGPD ? Prévoient-ils des engagements précis sur les délais de rétablissement, les sauvegardes, la notification des incidents et la réversibilité des données ? Si ces clauses sont absentes ou floues, c’est la première chose à corriger. Un PCA s’appuie nécessairement sur la solidité contractuelle de votre écosystème.

3. Interrogez votre prestataire informatique

Posez-lui cette question directement : « Si tout plante demain matin, en combien de temps et comment on redémarre ? ». Demandez-lui un document écrit précisant les engagements de service, en particulier les obligations de RTO (Recovery Time Objective) et RPO (Recovery Point Objective). Vérifiez la fréquence des sauvegardes, leur localisation géographique et leur chiffrement. Ces points sont essentiels, notamment au regard des transferts hors UE encadrés par les articles 44 et suivants du RGPD.

4. Testez vos sauvegardes dès aujourd’hui

Une sauvegarde non testée est une sauvegarde dont on ne peut pas garantir le fonctionnement. Demandez une restauration test sur un fichier ou une base de données non critique. Documentez ce test avec la date, le périmètre, la durée, le résultat. Cette traçabilité sera précieuse en cas de contrôle de la CNIL ou de contentieux. La doctrine européenne (notamment les lignes directrices du CEPD sur la notification des violations) considère qu’une mesure de sécurité non testée équivaut, en pratique, à une mesure inexistante.

Conclusion

Le Plan de Continuité d’Activité n’est plus seulement un outil de bonne gestion : c’est devenu une obligation juridique implicite découlant directement du RGPD, et un élément central de la démonstration de conformité attendue par la CNIL. Il croise des enjeux techniques, organisationnels, contractuels et réglementaires que seule une approche transversale permet de traiter sérieusement.

Pour une PME ou une ETI, l’enjeu est double : 

  • Préserver la pérennité économique face à des menaces telles que des cyberattaques, sinistres, défaillances de prestataires 
  • Sécuriser sa conformité au RGPD pour éviter des sanctions administratives lourdes et des contentieux civils ruineux. 

La directive NIS 2, dont les obligations s’étendent désormais à un large périmètre d’entités essentielles et importantes, ne fait que renforcer cette exigence.

Construire un PCA n’est pas un projet réservé aux DSI : c’est une démarche pluridisciplinaire qui doit associer la direction, le DPO, le service juridique, les responsables métier et les prestataires techniques. Il se construit par étapes, se teste régulièrement, et se met à jour à chaque évolution significative de l’organisation ou des traitements.

Confiez-nous votre conformité
on saura la faire passer de 😡 à 😎
Prendre RDV maintenant
Partager le post

Articles connexes

Diogo Morais Gomes
Diogo Morais Gomes
Newsletter S'inscrire

Recevez nos derniers articles et actualités directement dans votre boîte de réception !

Votre e-mail est en sécurité 🔒. En entrant votre e-mail, vous acceptez de recevoir nos newsletter et des informations sur nos services. Vos données sont traitées conformément à notre Politique de Confidentialité et vous pouvez vous désinscrire à tout moment.