Quand des données fuient, plusieurs juridictions s'activent en parallèle : la CNIL pour le RGPD, le juge civil pour les recours, parfois le procureur si des infractions pénales accompagnent la fuite. Chacune a ses délais, ses sanctions, et son traitement par l'assurance.
La responsabilité RGPD
Le responsable de traitement (généralement l'entreprise) est tenu d'une obligation de moyens renforcée sur la sécurité des données (article 32 RGPD). En cas de violation, il doit notifier la CNIL sous 72h (article 33) et les personnes concernées si le risque est élevé (article 34). Les sanctions de la CNIL peuvent atteindre 20 M€ ou 4 % du CA mondial. Ces amendes ne sont jamais assurables en France.
La responsabilité civile
Article 82 RGPD : toute personne ayant subi un dommage matériel ou moral du fait d'une violation peut obtenir réparation. La jurisprudence française admet désormais le préjudice moral résultant du simple risque de fraude ou d'usurpation, sans preuve de dommage effectivement subi. Les transactions individuelles oscillent entre 25 et 250 € par personne, les actions collectives multipliant l'exposition.
La responsabilité pénale
Plusieurs infractions peuvent être poursuivies : collecte déloyale ou traitement non conforme (article 226-16 et suivants code pénal, jusqu'à 5 ans et 300 000 €). Atteinte au secret professionnel (226-13). Atteinte aux STAD (323-1 à 323-7) si la fuite résulte d'un défaut grave de sécurité. Les amendes pénales et les peines prononcées contre des dirigeants à titre personnel ne sont pas assurables.
Ce que couvre l'assurance
L'assurance cyber couvre les frais et indemnisations qui peuvent être assurés : frais de notification CNIL et clients, expertise forensic, avocat RGPD pour piloter la déclaration, communication de crise, transactions ou condamnations civiles versées aux personnes lésées, défense pénale du dirigeant (frais d'avocat). Plafond typique pour cette « data breach liability » : 500 000 € à 3 M€ selon la taille de l'entreprise et la base concernée.
Le rôle du responsable de traitement vs sous-traitant
Si la fuite vient d'un sous-traitant (hébergeur, SaaS, infogérant), la responsabilité juridique reste d'abord celle du responsable de traitement. Vous pourrez ensuite vous retourner contre le sous-traitant via le DPA (data processing agreement). C'est pourquoi les contrats avec sous-traitants doivent prévoir des engagements précis : niveau de sécurité, notification rapide, indemnisation, RC cyber attestée. À défaut, la PME assume seule.
Les bonnes pratiques de défense
Quatre éléments protègent juridiquement. Documentation des mesures de sécuritéprises avant l'incident : la CNIL apprécie la diligence. Notification rapide et complète sous 72h : retarder ou minimiser aggrave la sanction. Coopération transparente avec la CNIL : un échange constructif réduit l'amende. Mesures correctives immédiates : démontrer qu'on a tiré les leçons. Une assurance cyber avec avocat dédié pilote ces étapes — c'est une valeur ajoutée majeure.
Le cas Solar Wind / chaîne d'approvisionnement
Quand une fuite résulte d'une compromission d'un fournisseur (cas SolarWinds, Kaseya, MOVEit), la responsabilité se partage. Vous restez responsable vis-à-vis de vos clients, mais pouvez vous retourner contre le fournisseur. La pratique 2026 montre que les assureurs cyber prennent en charge cette « supply chain liability » à condition que le DPA contienne des clauses adéquates. À vérifier dans votre contrat de souscription.