TPE & professions libérales : la check-list CNIL cybersécurité 2026… en 60 minutes

16 janvier 2026

TPE & professions libérales : la check-list CNIL cybersécurité 2026… en 60 minutes

Check list Cnil

Entre les rançongiciels, les fuites de données et les erreurs humaines, la cybersécurité n’est plus un sujet “pour les grands groupes”. En 2026, une TPE, un cabinet médical, un avocat, un expert-comptable ou un architecte a deux priorités simples :

 

  1. réduire le risque avec des mesures de base,

     

  2. pouvoir prouver qu’on protège correctement les données (RGPD).

     

La CNIL met justement à disposition des ressources très pratico-pratiques (thématique TPE-PME, check-lists, guide de sécurité). (CNIL)

 

Voici une check-list pour se mettre en conformité en 60 minutes orientée terrain — et, surtout, le point souvent oublié : la fin de vie des supports (PC, disques durs, SSD, NAS, sauvegardes).

 

 

Ce que la CNIL attend :

 

Le RGPD impose de mettre en place des mesures techniques et organisationnelles adaptées au risque. La CNIL publie un Guide de la sécurité des données personnelles pour aider les organisations à choisir des mesures concrètes. (CNIL)
La CNIL a aussi fait de la cybersécurité un axe majeur de son plan stratégique 2025-2028, dans un contexte de multiplication des violations de données. (CNIL)

 

 

La check-list “CNIL” en 60 minutes - spéciale TPE & professions libérales

 

1) Faites l’inventaire minimal (10 minutes)

 

  • Où sont vos données sensibles ? (PC, serveur/NAS, messagerie, cloud, disques externes, logiciel métier)

     

  • Qui y accède ? (vous, assistant(e), prestataire IT)

     

  • Quelles données “à risque” ? (santé, juridique, finance, RH, pièces d’identité)

     

Objectif : savoir quoi protéger et où ça fuit potentiellement.

 

2) Activez une authentification solide (10 minutes)

 

  • Activez le MFA (double facteur) partout où c’est possible (mail, cloud, admin du site web, outils métier).

     

  • Supprimez/fermez les comptes inutilisés (anciens stagiaires, prestataires).

     

     

3) Mettez à jour ce qui ouvre les portes (5 minutes)

 

  • Activez les mises à jour automatiques (OS, navigateur, suite bureautique).

     

  • Vérifiez les mises à jour du site web (CMS + plugins) si vous gérez un site.

     

4) Sauvegardez “comme il faut” (10 minutes)

 

La CNIL recommande la règle 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors ligne. (CNIL)

 

  • Exemple TPE : Cloud + disque externe + copie déconnectée (ou coffre numérique spécialisé).

     

  • Faites un test rapide : “Est-ce que je sais restaurer un fichier aujourd’hui ?”

 

 

5) Sécurisez vos accès et vos droits (5 minutes)

 

  • Un compte “admin” uniquement quand nécessaire.

     

  • Pas de mots de passe partagés sur un Post-it : utilisez un gestionnaire.

 

 

6) Chiffrez le minimum vital (5 minutes)

 

  • Activez le chiffrement du disque (sur PC portable notamment).

     

  • Protégez les exports (Excel, PDF) contenant des données sensibles.

 

 

7) Préparez le plan “incident” (5 minutes)

 

  • Qui appeler si attaque ? (prestataire IT, assurance, hébergeur)
     
  • Où sont vos sauvegardes ?
  • Qui décide d’arrêter les systèmes / prévenir les personnes ?

     

(Même une procédure d’1 page vaut mieux que rien.)

 

Le point oublié des TPE : les vieux disques durs et SSD

 

Dans la vraie vie, le risque vient souvent de :

  • l’ancien PC “stocké au bureau”,

     

  • des disques externes de sauvegarde,

     

  • un NAS remplacé,

     

  • du matériel confié à un prestataire sans traçabilité.

     

Or, si ces supports contiennent des données personnelles, les laisser sortir sans traitement sérieux, c’est prendre un risque inutile (fuite, revente, perte, vol).

 

La CNIL rappelle aussi des mesures essentielles de sécurité (notamment contrôle des accès, sécurisation, hygiène) dans ses consignes de sécurité. (CNIL)


Pour une TPE, le geste le plus simple et le plus “défendable” est souvent :
réduire le stock de supports sensibles et détruire avec preuve ceux qui doivent sortir.

 

La partie “preuve” : ce qui vous sauve en cas de contrôle ou d’incident

 

Même si vous faites bien les choses, il faut pouvoir le démontrer. Gardez :

 

  • une procédure interne “fin de vie des supports” (même 1 page),

     

  • un registre simple des supports sortis (date, type, quantité),

     

  • et surtout un justificatif de destruction.

     

C’est exactement ce que permet un service spécialisé commandable en ligne : organiser la destruction de disques durs/SSD et obtenir un certificat associé à l’opération (utile en audit, en litige, ou après incident). (Sur destruction-disques-durs.com, l’idée est de rendre cette démarche simple et rapide via commande en ligne.)
 

 

Mini-guide : “grand ménage cybersécurité” en 1 fois / an (spécial professions libérales)
 

  1. Trier : ce qui doit être conservé vs ce qui doit être détruit
  2. Isoler les supports à détruire
  3. Programmer l’intervention (ou la prestation)
  4. Obtenir le certificat
  5. Archiver le certificat dans votre dossier conformité (avec vos procédures)
     

FAQ :

Combien de temps pour être “à niveau” sur la base CNIL ?
En 60 minutes, vous pouvez mettre en place un socle : MFA, mises à jour, sauvegarde 3-2-1, droits, plan incident. Le guide CNIL aide ensuite à approfondir selon votre activité. (CNIL)

La suppression de fichiers suffit-elle avant de revendre un PC ?
Souvent non : la suppression n’efface pas forcément les données de façon irréversible. Pour des supports contenant des données sensibles, la destruction avec preuve est une option très robuste (surtout pour professions réglementées).

Pourquoi un certificat de destruction est important ?
Parce qu’il matérialise la traçabilité : c’est un élément concret pour prouver votre démarche de protection, notamment en cas d’incident ou de demande de conformité.

 

Conclusion

En 2026, la cybersécurité des TPE et professions libérales n’est pas une usine à gaz : un socle de 7 actions + une gestion propre de la fin de vie des supports.
 

Check list Cnil
Retour aux actus