Une intrusion dans un logiciel de gestion (type SaaS), des SMS frauduleux envoyés à des milliers de clients, des demandes de rançon, la menace d’une fuite de données incluant parfois des IBAN… Ce scénario n’est plus théorique : il devient malheureusement courant pour les PME, réseaux de salles de sport, commerces, organismes de formation, etc.

Dans ce type de situation, les premières 72 heures sont déterminantes :

• pour limiter les dégâts techniques,
• protéger vos clients,
• et préserver vos chances d’indemnisation (assurance cyber / multirisque).

Voici un fil conducteur concret, pensé pour une entreprise « classique » qui découvre ce type d’incident.

1) Isoler, contenir, conserver les preuves

Le premier réflexe doit être double : limiter le mal et garder de quoi comprendre et prouver ce qui s’est passé.

À faire immédiatement :

• Identifier le périmètre atteint : logiciel SaaS, messagerie, serveur interne, comptes admin, API, etc.
• Avec votre prestataire/éditeur : bloquer l’intrusion.

À ne pas négliger — la preuve. Conservez sans « nettoyer » trop vite : journaux de connexion / logs, captures d’écran (comptes frauduleux, campagnes massives), exemples de SMS/e-mails reçus par les clients, échanges avec l’attaquant (mails, SMS, messageries). Trop souvent, les données sont écrasées ou supprimées trop tôt — ce qui complique ensuite l’investigation, le dépôt de plainte et le dossier d’assurance.

2) Qualifier l’incident : système, données, volumétrie, risques

Très vite, il faut passer de la « panique » à une vision structurée : quoi, quelles données, combien, quels risques.

Les 4 questions à se poser dès les premières heures :

1. Quel système est touché ? logiciel interne, SaaS chez un prestataire (gestion clients / planning / facturation) ou simple compromission d’une boîte mail. La réponse conditionne la répartition des responsabilités et les mesures à exiger du prestataire.
2. Quelles catégories de données sont concernées ? identification (nom, prénom), coordonnées (e-mail, téléphone), données contractuelles (abonnement, historique), données bancaires limitées (IBAN). L’agrégation augmente fortement le risque de phishing, escroquerie, usurpation d’identité.
3. Quelle volumétrie (même approximative) ? 3 000 clients effectivement touchés par des SMS frauduleux, 16 000 numéros ciblés, toute la clientèle active potentiellement exposée… Des ordres de grandeur suffisent pour calibrer réponse, communication et analyse de risque.
4. Quels risques concrets pour les personnes ? Au-delà de la « fuite », évaluer : smishing / phishing, tentatives d’arnaques bancaires / social engineering, usurpation d’identité, préjudice moral (anxiété liée au risque d’usage ultérieur des données).

3) Penser tout de suite aux 72 heures : plainte et assurance

Depuis la loi dite LOPMI, le Code des assurances impose, pour que certains dommages liés à une cyberattaque soient indemnisables, qu’une plainte soit déposée dans les 72 heures à compter du moment où l’entreprise a eu connaissance de l’atteinte à son système d’information.

Ce qui fait (souvent) la différence en pratique : documenter la chronologie dès le départ — préparer un brouillon de chronologie interne, même imparfait, puis l’actualiser.

Côté assurance : relire les contrats (cyber, RC pro, multirisque), identifier les garanties, et si prévu appeler sans tarder l’assistance / le référent cyber de l’assureur.

4) Ne pas oublier le RGPD : notification CNIL et information des clients

Dès lors que des données personnelles sont concernées (base clients, coordonnées, IBAN…), l’entreprise a des obligations spécifiques :

• Notification à la CNIL si la violation présente un risque pour les personnes, en principe dans les 72 heures après en avoir eu connaissance.
• Information directe des personnes concernées lorsque le risque est élevé, de manière claire et compréhensible.

Concrètement, préparer deux livrables :

1) Projet de notification structurée : entreprise + sous-traitant (prestataire), description de l’incident, catégories de données, nombre approximatif de personnes, risques identifiés, mesures prises / envisagées, modalités d’information des clients.

2) Message(s) clients — alerter sur la fraude (ne pas cliquer, ne pas répondre, ne pas transmettre d’infos), expliquer ce qui est certain vs en cours d’investigation, garder un ton utile, transparent, maîtrisé (ni minimisation, ni auto-accusation prématurée).

5) Organiser la gestion de crise : rôles, circuits, documentation

Une cyberattaque est autant un sujet de gouvernance que de technique. Les entreprises qui s’en sortent le mieux organisent la crise dès les premiers jours.

Le « noyau dur » recommandé : dirigeant, référent IT (interne/externe), conseil juridique / RGPD, interlocuteur assurance.

Deux outils très efficaces :

• Une FAQ interne pour les équipes en contact clients (évite réponses improvisées).
• Un dossier de violation : chronologie, décisions, échanges prestataire, notifications, réponses clients.

6) Tirer les leçons : sécurité, contrat, prestataires

Une fois l’incendie maîtrisé, la vraie question devient : que change-t-on pour réduire le risque de récidive ?

Pistes à auditer : politique mots de passe + MFA, gestion des droits d’accès, détection comportements anormaux, procédures d’alerte, sauvegardes et tests de restauration.

Spécifique SaaS : demander un rapport d’incident détaillé au prestataire, vérifier le respect des engagements de sécurité contractuels.

Contrats — le point aveugle des PME : revoir clauses de sécurité, obligations de coopération en cas d’incident, responsabilités, délais et mécanismes de notification.

Transformer l’expérience en préparation : mettre à jour un plan de réponse à incident, intégrer des scénarios smishing/phishing dans la sensibilisation, tester régulièrement la capacité de réaction.

Conclusion

Face à une cyberattaque ciblant un logiciel de gestion et une base clients, une entreprise ne peut plus « éteindre le feu » en silence. Elle doit agir vite et de manière structurée : sécuriser, conserver les preuves, penser plainte + assurance (72 h), respecter le RGPD, organiser communication et gouvernance de crise.

Les entreprises qui anticipent ces réflexes — même simplement — traversent beaucoup mieux ce type d’événement que celles qui improvisent sous pression.

Vous signez des contrats tous les jours. Mais sont-ils vraiment sécurisés ?

Partenariats, prestations, licences, cessions, CGV… Dans la plupart des entreprises, les contrats s’enchaînent. Et trop souvent, ils sont signés sans véritable filet de sécurité.

👉 L’acte d’avocat change radicalement la donne.

Un contrat :

• juridiquement renforcé,
• expliqué et sécurisé par un avocat,
• beaucoup plus difficile à contester,
• engageant la responsabilité professionnelle de celui qui le contresigne.

Introduit par la loi pour renforcer la sécurité juridique des contrats, l’acte d’avocat est un acte sous signature privée contresigné par un avocat.

Et surtout :

• ✅ 100 % dématérialisé
• ✅ rapide
• ✅ adapté au rythme des entreprises

Moins de risques aujourd’hui. Moins de litiges demain.

Si le contrat est stratégique, sa signature doit l’être aussi…

L’innovation implique des choix risqués. Et le bon prestataire peut tout changer.

➡️ Agences web, studios tech, freelances en IA, intégrateurs SaaS, hébergeurs cloud, cabinets UX, développeurs d’applications, bureaux d’ingénierie… Tous vous proposent des solutions. Mais que disent leurs contrats ?

📄 Notre rôle :

• ✔️ Traduire vos attentes en clauses précises
• ✔️ Identifier les zones de risque (PI, confidentialité, responsabilité, réversibilité…)
• ✔️ Construire un contrat sur mesure, pas un copier-coller de CGV

📌 Anticiper juridiquement dès la phase de sélection, ce n’est pas freiner le projet.

• 👉 C’est protéger vos intérêts.
• 👉 C’est sécuriser la relation pour durer.

💬 Vous hésitez entre plusieurs prestataires ? Parlons-en avant de signer.

Votre nom de domaine, ce n’est pas « juste » une adresse web. C’est un actif immatériel, une porte d’entrée commerciale, et parfois le premier angle d’attaque.

On parle beaucoup de marque, de site, de SEO. Mais le nom de domaine, lui, est souvent géré « à côté » — jusqu’au jour où ça coûte (cher).

1) Le nom de domaine fait partie de votre stratégie de marque. Même logique que pour une marque : cohérence, lisibilité, déclinaisons utiles, territoires clés, projets à venir.

2) Un portefeuille de noms de domaine, ça se pilote. Qui décide ? Qui achète ? Qui renouvelle ? Qui a accès au registrar ? Sans gouvernance interne, les risques explosent.

3) Les attaques ne sont pas théoriques. Cybersquatting, variantes trompeuses, détournements, sites miroirs, campagnes de phishing. La bonne approche, c’est une stratégie pragmatique : prévention + surveillance + réaction rapide.

Check-list express :

• Vos noms de domaine « cœur » sont-ils verrouillés, renouvelés automatiquement ?
• Avez-vous listé les variantes réellement utiles (et seulement celles-là) ?
• Savez-vous quoi faire si un tiers enregistre un nom proche ?

Le bon réflexe : traiter le nom de domaine comme ce qu’il est vraiment — un actif stratégique.

Vous envisagez d’intégrer une solution d’IA dans vos process : assistant conversationnel, outil de scoring, génération de contenus, analyse de données clients…

Sur le papier, tout va vite. En pratique, chaque projet IA emporte des obligations juridiques nouvelles — qui pèsent sur l’entreprise utilisatrice, et pas uniquement sur l’éditeur.

👉 L’AI Act change la donne. Depuis son entrée en application progressive, certains systèmes d’IA sont interdits, d’autres soumis à des obligations lourdes dès qu’ils sont « à haut risque ».

Les 4 réflexes à avoir avant toute intégration :

• Qualifier le système (usage général, haut risque, interdit ?)
• Cartographier les données entrantes et sortantes (RGPD, secret des affaires, PI)
• Sécuriser le contrat avec l’éditeur (responsabilité, réversibilité, transparence)
• Documenter la gouvernance interne (charte IA, formation des utilisateurs, journalisation)

📌 L’improvisation se paie cher. Un cadre clair, défini en amont, protège l’entreprise — et rassure les clients, les assureurs, les investisseurs.

Un projet IA en cours de réflexion ? Parlons-en avant le déploiement, pas après.

Vos équipes utilisent déjà ChatGPT, Copilot, Claude, Gemini. Souvent sans cadre. Parfois avec des données clients.

Interdire ? Irréaliste et contre-productif.
Laisser faire ? Inconfortable juridiquement.
La bonne réponse : un cadre clair, lisible, opérationnel.

Ce qu’une charte IA efficace doit trancher :

• ✔️ Les outils autorisés (versions entreprise, gratuites, personnelles)
• ✔️ Les données interdites de saisie (clients, RH, financières, stratégiques)
• ✔️ Les usages autorisés et interdits (brainstorming, rédaction, décision automatisée…)
• ✔️ Les règles de relecture humaine avant toute diffusion externe
• ✔️ Les obligations de transparence vis-à-vis des clients et partenaires

📌 Une charte IA bien rédigée ne freine pas l’adoption. Elle la sécurise et la légitime.

Besoin d’une charte IA adaptée à votre activité ? Nous la co-construisons avec vos équipes.

Hébergeurs, éditeurs SaaS, prestataires marketing, plateformes RH, outils CRM… Dès qu’un tiers traite des données personnelles pour votre compte, il devient sous-traitant au sens du RGPD.

Et vous ? Vous restez responsable. Y compris des manquements du prestataire.

👉 L’article 28 du RGPD impose un contrat écrit (ou DPA) avec chacun de vos sous-traitants.

Les points critiques à vérifier :

• 📄 Finalités et durée du traitement clairement définies
• 🔒 Mesures de sécurité techniques et organisationnelles précises
• 🌍 Transferts hors UE encadrés (clauses types, décisions d’adéquation)
• 🔁 Sous-traitance en cascade identifiée et autorisée
• 🚨 Notification d’incident dans un délai compatible avec vos obligations
• 🗑️ Sort des données en fin de contrat (restitution, suppression certifiée)

📌 Un DPA signé ne suffit pas. Il doit être lu, compris, et aligné avec vos obligations réelles.

Audit de vos contrats de sous-traitance : une matinée de travail, des années de tranquillité.

Un client, un salarié, un ancien prospect vous écrit :

• « Je souhaite accéder à mes données. »
• « Supprimez tout ce que vous détenez sur moi. »
• « Rectifiez cette information. »
• « Je m’oppose au traitement. »

⏱️ Vous avez 1 mois pour répondre. Prolongeable à 3 mois en cas de complexité, à condition d’en informer la personne dans le délai initial.

Ce qu’une procédure interne doit prévoir :

• ✔️ Un point d’entrée unique (adresse dédiée, formulaire, DPO)
• ✔️ Une méthode de vérification d’identité proportionnée
• ✔️ Une cartographie des données permettant de répondre vite
• ✔️ Des modèles de réponse pour chaque droit
• ✔️ Une traçabilité des demandes reçues et traitées

📌 La non-réponse est l’une des causes les plus fréquentes de plainte CNIL. Et l’une des plus évitables.

Nous vous aidons à bâtir une procédure simple, documentée et défendable.

Déposer une marque paraît simple. Les plateformes en ligne le promettent en quelques clics.

La réalité : un dépôt mal préparé fragilise votre marque — parfois définitivement.

Les 5 pièges les plus fréquents :

1. Le signe non distinctif. Descriptif, générique, élogieux : la marque sera refusée ou annulée.
2. L’absence de recherche d’antériorités. Une marque déjà déposée, même pour un secteur voisin, peut tout bloquer.
3. Le mauvais choix de classes. Trop étroit : vous n’êtes pas protégé sur vos produits. Trop large : votre dépôt sera contesté pour non-usage.
4. Le périmètre géographique inadapté. France, UE, international : à aligner sur votre stratégie réelle, pas sur une intuition.
5. L’oubli de la surveillance. Une marque non surveillée se dilue et perd en force.

📌 Une marque bien déposée est un actif. Une marque mal déposée est une illusion de protection.

Nous vous accompagnons : recherche, dépôt, surveillance, défense.

Vous découvrez qu’un concurrent utilise votre marque, copie votre modèle, reprend vos visuels, diffuse votre contenu.

Le réflexe naturel : appeler, écrire, alerter. Le bon réflexe : préparer d’abord la preuve.

Les 4 gestes à faire en premier :

1. Constater — captures d’écran horodatées, constat d’huissier, impressions des pages concernées.
2. Documenter votre titre — certificat d’enregistrement, date de création, preuves d’usage antérieur.
3. Qualifier l’atteinte — contrefaçon de marque, droit d’auteur, modèles, concurrence déloyale ? Chaque qualification ouvre des actions différentes.
4. Choisir la stratégie — mise en demeure, saisie-contrefaçon, référé, action au fond, signalement plateforme. Le bon outil dépend de l’objectif : faire cesser, obtenir réparation, dissuader le marché.

⚠️ Attention aux actions prématurées : une mise en demeure maladroite peut faire perdre l’effet de surprise d’une saisie.

📌 Quelques heures de réflexion stratégique économisent souvent des mois de procédure.

Une contrefaçon repérée ? Ne perdez pas la preuve. Appelez-nous avant d’agir.

On vous demande de signer les CGV de l’éditeur. Parfois un « order form » de deux pages. Parfois rien du tout.

Problème : ces contrats sont rédigés pour protéger le prestataire, pas vous.

Les clauses à vérifier — et à faire bouger :

1. Niveau de service (SLA) — engagements chiffrés, pénalités automatiques, exclusions
2. Réversibilité et portabilité — récupération des données en fin de contrat, formats exploitables
3. Responsabilité — plafond, exclusions, cas d’écartement du plafond
4. Sécurité et RGPD — DPA, hébergement, sous-traitants autorisés
5. Propriété intellectuelle — qui est titulaire de quoi ? Développements spécifiques, données clients, contenus générés
6. Modifications unilatérales — l’éditeur peut-il changer les conditions en cours de route ?
7. Fin de contrat — durée, tacite reconduction, sortie anticipée, préavis

📌 Un contrat SaaS se négocie. Même avec les grands éditeurs. Plus le volume est significatif, plus la marge existe.

Avant de signer un contrat SaaS stratégique, 2 heures d’analyse juridique peuvent tout changer.

Vous commandez un logiciel, une application, un site, un module sur mesure. Vous payez. Vous pensez être propriétaire.

Erreur fréquente : en droit français, le paiement d’une prestation ne transfère pas les droits d’auteur sur le code.

👉 Sans clause de cession écrite, précise et conforme au Code de la propriété intellectuelle, le prestataire reste titulaire des droits.

Ce que la cession doit impérativement préciser :

• 📋 Les droits cédés (reproduction, adaptation, traduction, modification, commercialisation…)
• 🌍 Le périmètre géographique (France, monde entier)
• ⏱️ La durée (durée légale des droits d’auteur)
• 💰 La destination et la rémunération de la cession
• 🧩 Les briques tierces (open source, licences, composants pré-existants)

⚠️ Les clauses standard type « le client est propriétaire » ne suffisent pas. Un juge peut les invalider faute de précision.

📌 Vérifier ce point avant la signature coûte peu. Le corriger après la rupture coûte très cher.

Contrat de développement en cours ? Faites relire la clause de cession avant signature.

La loi Sapin II impose un programme anticorruption complet à certaines entreprises. Mais beaucoup s’estiment à tort hors du champ.

Les deux critères cumulatifs :

• 👥 500 salariés ou plus
• 💶 100 millions d’euros de chiffre d’affaires (consolidé le cas échéant)

⚠️ Le seuil s’apprécie au niveau consolidé du groupe — pas seulement sur l’entité juridique française. Une filiale de 80 salariés appartenant à un groupe international dépasse souvent le seuil.

Les 8 mesures exigées :

• Code de conduite
• Dispositif d’alerte interne
• Cartographie des risques de corruption
• Procédures d’évaluation des tiers
• Contrôles comptables
• Dispositif de formation
• Régime disciplinaire
• Dispositif de contrôle et évaluation

📌 L’AFA (Agence française anticorruption) contrôle, sanctionne — jusqu’à 1 M€ pour la personne morale. Et le juge pénal prend le relais si un fait de corruption est révélé.

Un doute sur votre situation ? Un diagnostic rapide vaut mieux qu’un contrôle surprise.

Textes, visuels, codes, musiques, maquettes : l’IA produit chaque jour des contenus que les entreprises utilisent, diffusent, commercialisent.

Une question revient : qui est titulaire des droits ?

Les règles à connaître :

1. Une IA n’est pas un auteur. Le droit français réserve le droit d’auteur aux personnes physiques. Un contenu 100 % IA, sans intervention humaine créative, n’est pas protégé.
2. L’intervention humaine peut faire basculer. Prompts détaillés, sélection, retouches, montage : selon le degré d’apport créatif, une protection peut naître — sur l’ensemble final, pas sur la production brute de l’IA.
3. Les CGU des outils encadrent l’usage. Chaque plateforme fixe ses règles (licence, usage commercial, attribution). À lire avant tout déploiement professionnel.
4. Les données d’entraînement soulèvent leurs propres questions. Contrefaçon, exception de fouille de textes, droits voisins : le sujet est en pleine construction jurisprudentielle.

Les bons réflexes pour l’entreprise :

• Documenter qui fait quoi sur chaque contenu IA produit
• Clarifier par écrit la titularité des productions des collaborateurs
• Vérifier les CGU des outils utilisés — et les mises à jour
• Encadrer l’usage dans vos contrats clients et prestataires

📌 Sans cadre, vous risquez de vous croire titulaire de contenus que vous ne pouvez ni protéger, ni céder, ni défendre.

Vous produisez ou diffusez du contenu IA ? Sécurisons ensemble votre chaîne de titularité.

Vos procédés, vos méthodes, vos listes clients, vos algorithmes, vos formules : autant d’actifs qui font la valeur de votre entreprise.

Mais attention : le secret des affaires n’est protégé que si vous le protégez.

👉 La loi exige trois conditions cumulatives. Si une seule manque, aucune protection.

Les 3 conditions :

1. L’information doit être secrète. Non connue, non accessible facilement à des personnes du même secteur.
2. Elle doit avoir une valeur commerciale. Parce qu’elle est secrète. Économique, technique, stratégique.
3. Elle doit faire l’objet de mesures de protection raisonnables. C’est ici que la majorité des entreprises échouent.

Ce que « mesures raisonnables » veut dire concrètement :

• Clauses de confidentialité dans les contrats (salariés, prestataires, partenaires)
• Accès restreints aux données sensibles (droits informatiques, coffres-forts)
• Marquage des documents confidentiels
• Formation et sensibilisation des équipes
• Traçabilité des accès et des transferts

📌 Sans preuve de protection active, un juge refusera de sanctionner l’atteinte. Votre secret n’en est plus un.

Audit de votre dispositif secret des affaires : un investissement modeste pour un actif majeur.

Un partenariat se profile, une levée de fonds, une acquisition, une discussion technologique. On vous tend un NDA. Vous signez.

Erreur : beaucoup de NDA sont déséquilibrés, mal rédigés, ou inadaptés au projet réel.

Les 5 points à vérifier systématiquement :

1. Le périmètre de l’information protégée. Trop large : vous vous engagez sur tout. Trop étroit : vous ne protégez rien.
2. Le caractère unilatéral ou mutuel. Qui divulgue ? Qui reçoit ? Un NDA unilatéral signé par les deux parties est un piège courant.
3. La durée de l’obligation. 2 ans ? 5 ans ? Illimitée ? Adaptée à la nature de l’information — un savoir-faire technique n’a pas la même temporalité qu’un budget.
4. Les exceptions. Information déjà publique, développée indépendamment, obtenue légitimement par un tiers : à préciser.
5. La sanction. Juridiction compétente, loi applicable, clause pénale, référé possible : un NDA sans dents n’intimide personne.

📌 Un NDA de 2 pages bien rédigé protège mieux qu’un NDA de 10 pages mal calibré.

Avant toute négociation sensible, faites relire votre NDA — ou demandez-nous d’en rédiger un à votre main.

Vos équipes et vos prestataires utilisent quotidiennement des composants open source. C’est moderne, efficace, économique.

C’est aussi risqué. Parce que l’open source n’est pas « libre de droits » : c’est un logiciel sous licence, avec des obligations précises.

Les grandes familles de licences :

• Licences permissives (MIT, Apache, BSD) — peu contraignantes, compatibles avec un usage commercial propriétaire.
• Licences copyleft faible (LGPL, MPL) — obligations limitées aux modifications du composant.
• Licences copyleft fort (GPL, AGPL) — tout logiciel les intégrant peut devoir être distribué sous la même licence. Impact majeur sur la valeur de votre code.

Les risques concrets :

• Obligation de publier votre code source propriétaire
• Perte de valorisation en cas de levée de fonds ou de cession (due diligence)
• Action en contrefaçon du titulaire de la licence
• Non-respect des mentions d’attribution

Les bons réflexes :

• Inventorier les composants open source utilisés (logiciels SCA)
• Adopter une politique interne d’usage de l’open source
• Imposer à vos prestataires un reporting des licences intégrées
• Anticiper l’audit avant toute opération stratégique

📌 Un investisseur sérieux auditera votre stack open source. Mieux vaut le faire avant lui.

Diagnostic open source de votre code : une démarche courte, des conséquences durables.

Designer, développeur, rédacteur, chef de projet, ingénieur : vos salariés créent chaque jour.

Idée reçue : « puisque c’est fait pendant le temps de travail, c’est à l’entreprise ».

En droit français, c’est faux. Le droit d’auteur naît sur la tête du créateur — le salarié — sauf exceptions précises.

Les règles à connaître :

1. Principe : le salarié reste titulaire de ses droits d’auteur sur ses créations.
2. Exception logiciel : le code développé dans l’exercice des fonctions appartient automatiquement à l’employeur (article L. 113-9 CPI).
3. Exception œuvre collective : sous conditions strictes, l’œuvre créée à l’initiative et sous la direction d’une entreprise lui appartient.
4. Pour le reste : il faut une cession écrite, précise, conforme au Code de la propriété intellectuelle.

Ce que doit contenir une clause de cession valable :

• Énumération précise des droits cédés
• Destination de l’exploitation
• Périmètre géographique et durée
• Rémunération distincte du salaire pour certaines exploitations

⚠️ Une clause générique « toutes les créations appartiennent à l’entreprise » est largement insuffisante et régulièrement invalidée.

📌 Audit de vos contrats de travail : un réflexe stratégique avant toute cession, levée ou partenariat.

Nous révisons vos clauses de PI dans les contrats de travail — salariés actuels et modèles pour l’avenir.

Photos de salariés sur le site, témoignages clients en vidéo, captation d’un événement, contenu tourné par un prestataire : chaque image implique un cadre juridique.

Principe : toute personne a un droit exclusif sur son image. Sa diffusion suppose son autorisation.

Les points à sécuriser avant toute publication :

• 📝 Une autorisation écrite — signée, datée, nominative
• 🎯 Une finalité précise — site web, réseaux sociaux, campagnes publicitaires, presse, plaquettes…
• ⏱️ Une durée définie — pas d’autorisation illimitée par défaut
• 🌍 Un périmètre géographique — usage local, national, international
• 🔁 Une possibilité de retrait — la personne peut revenir sur son accord, le contrat doit l’anticiper

Les cas particuliers :

• Mineurs : autorisation des deux parents
• Salariés : autorisation distincte du contrat de travail
• Foules et événements publics : règles spécifiques, encadrement à prévoir
• Personnes publiques dans l’exercice de leur fonction : régime plus souple, mais pas illimité

📌 Une photo diffusée sans cadre juridique valable peut coûter cher : dommages-intérêts, retrait contraint, risque réputationnel.

Modèles d’autorisation d’image adaptés à votre activité : nous les rédigeons et les tenons à jour.

Un site marchand n’est pas qu’une vitrine : c’est un établissement juridique, soumis à des obligations précises.

Manquer une obligation, c’est s’exposer à des sanctions DGCCRF, CNIL, parfois pénales — et offrir à vos clients des arguments de contestation.

Les piliers à respecter :

1. Les mentions légales. Identification de l’éditeur, SIRET, capital, hébergeur, directeur de publication.
2. Les CGV. Prix, caractéristiques essentielles, modalités de paiement et de livraison, droit de rétractation, garanties, médiateur de la consommation.
3. La politique de confidentialité. Traitement des données, finalités, bases légales, durées, droits des personnes, DPO le cas échéant.
4. Le bandeau cookies. Consentement préalable, granularité, refus aussi simple que l’acceptation.
5. Le parcours de commande. Récapitulatif, double clic, confirmation, facture.
6. Les obligations sectorielles. Produits réglementés (alimentaire, santé, alcool, cosmétiques), normes environnementales, étiquetage.

📌 Copier les CGV d’un concurrent est une fausse économie : en plus du risque de contrefaçon, vous héritez de ses erreurs.

Audit complet de votre site e-commerce : conformité, solidité contractuelle, performance juridique.

Vous collectez des données clients depuis des années. Factures, emails, historiques de commande, fiches CRM, support client, prospects inactifs.

Combien de temps avez-vous le droit de les conserver ? La plupart des entreprises ne savent pas — et gardent tout, indéfiniment.

👉 Le RGPD impose une durée de conservation limitée, adaptée à la finalité. Conserver « au cas où » est illicite.

Les grandes durées à retenir :

• Prospects non transformés : 3 ans maximum après le dernier contact
• Clients actifs : durée de la relation contractuelle
• Clients inactifs : 3 ans après la fin de la relation, sauf finalité spécifique
• Données comptables : 10 ans (obligation fiscale)
• Données RH : durées variables selon les pièces et obligations sociales

La distinction à maîtriser :

• Base active — données utilisables au quotidien.
• Archivage intermédiaire — accès restreint, finalité probatoire, durée légale.
• Archivage définitif ou suppression — à l’échéance.

📌 Une politique de purge documentée est la meilleure défense en cas de contrôle CNIL. Et souvent la plus simple à mettre en place.

Nous vous aidons à bâtir une matrice de conservation claire, sectorielle, défendable.

Une entreprise porte plusieurs noms. Chacun protège quelque chose de différent — ou ne protège rien du tout.

L’erreur classique : croire que déposer sa société au RCS, ou acheter son nom de domaine, suffit à protéger le nom.

Les quatre signes distincts :

1. La dénomination sociale. Le nom de la personne morale au RCS. Donne des droits sur le territoire national, contre d’autres sociétés. Ne protège pas contre l’usage commercial d’un tiers.
2. Le nom commercial. Le nom sous lequel vous exploitez. Protégé par l’usage, dans sa zone de rayonnement effective. Fragile dès qu’on sort du local.
3. Le nom de domaine. Premier arrivé, premier servi. N’emporte aucun droit de propriété intellectuelle en soi.
4. La marque. Le seul véritable titre de propriété. Territorial, limité aux classes déposées, opposable à tous.

👉 Seule la marque permet d’agir en contrefaçon, d’interdire efficacement un concurrent, de valoriser un actif.

📌 Beaucoup d’entreprises exploitent un nom depuis des années sans aucune marque. Un concurrent peut le déposer — et les obliger à changer d’identité.

Faire le point sur votre portefeuille de signes distinctifs : une démarche indispensable, souvent révélatrice.

La loi impose un dispositif de recueil des alertes à de plus en plus d’entreprises. Pas seulement aux grands groupes.

Seuil désormais abaissé : 50 salariés pour les entités soumises à la loi Waserman, en application de la directive européenne sur la protection des lanceurs d’alerte.

Ce qu’un dispositif conforme doit permettre :

• 🔒 Un canal de signalement confidentiel (écrit, oral, physique, en ligne)
• 🛡️ Une protection du lanceur d’alerte contre toute représaille
• ⏱️ Des délais de traitement (accusé réception sous 7 jours, retour sous 3 mois)
• 🧾 Une traçabilité des signalements, des suites, des décisions
• 👤 Un référent ou service désigné formé et indépendant

Les erreurs fréquentes :

• Utiliser une simple boîte mail générique
• Déléguer le traitement à un manager hiérarchique
• Ignorer les alertes « mineures » ou ambiguës
• Ne pas documenter les décisions prises

⚠️ L’absence de dispositif, ou son dysfonctionnement, peut entraîner des sanctions — et surtout, prive l’entreprise d’un outil précieux de détection des risques internes.

📌 Un dispositif d’alerte bien pensé est un instrument de gouvernance, pas une formalité administrative.

Nous concevons des dispositifs adaptés à votre taille, votre culture, votre secteur.

Vous avez souscrit une cyber-assurance. Vous vous croyez couvert.

Au moment de la crise, vous découvrez que telle garantie ne joue pas, que telle condition n’a pas été remplie, que tel délai a été dépassé.

👉 Un contrat cyber se lit à froid, quand tout va bien. Pas sous pression, à 3 heures du matin, avec une rançon qui tombe.

Les points à vérifier dans votre police :

• ✔️ Le périmètre couvert — attaques, erreurs humaines, défaillances prestataires, atteintes aux données
• ✔️ Les garanties activables — frais de gestion de crise, réparation, perte d’exploitation, cyber-rançon, reconstitution de données
• ✔️ Les plafonds et franchises — souvent très en dessous des coûts réels d’une crise
• ✔️ Les exclusions — actes de guerre, négligence grave, non-respect des obligations de sécurité
• ✔️ Les obligations déclaratives — notification à l’assureur, délais, pièces exigées
• ✔️ Le lien avec la plainte 72 h — imposée par la loi LOPMI pour certaines indemnisations

Les pré-requis pour être indemnisé :

• Mesures de sécurité déclarées effectivement en place
• Sauvegardes testées et fonctionnelles
• Procédures internes documentées
• Formation régulière des équipes

📌 Lire sa cyber-assurance à froid, c’est la moitié du travail de gestion de crise déjà fait.

Analyse juridique de votre contrat cyber : ce qu’il couvre vraiment, ce qu’il ne couvre pas, les négociations à rouvrir.