Depuis 2018, le Règlement Général sur la Protection des Données structure les obligations européennes en matière de données personnelles. Quand une cyberattaque entraîne une fuite ou un accès non autorisé à des données, le RGPD se déclenche : notification à la CNIL, information des personnes concernées, gestion des recours. L'assurance cyber finance et orchestre ces obligations.
Ce que le RGPD impose en cas de violation
L'article 33 impose au responsable de traitement de notifier toute violation à la CNIL dans les 72 heures dès qu'il en a connaissance, sauf si elle n'est pas susceptible d'engendrer un risque pour les personnes. L'article 34 ajoute l'obligation d'informer les personnes concernées si le risque est élevé. Ces deux notifications doivent être documentées, motivées, et conservées pendant 5 ans.
Les sanctions CNIL en France
La CNIL peut prononcer des amendes administratives jusqu'à 20 M€ ou 4 % du CA mondial, le montant le plus élevé. En 2024-2025, plusieurs PME ont été sanctionnées : 50 000 à 250 000 € sont des fourchettes courantes pour des violations PME. Point essentiel : ces amendes ne sont pas assurables en France (interdiction d'assurer une amende pénale ou administrative, code civil article 1133).
Les recours individuels et collectifs
Au-delà de la CNIL, chaque personne dont les données ont fuité peut demander réparation devant le juge civil (article 82 RGPD). Depuis 2023, les actions de groupe RGPD se multiplient en France : 50 000 à 500 000 plaignants potentiels selon la taille de la base concernée. Les transactions observées en 2024 oscillent entre 25 € et 200 € par personne. Pour une PME avec 100 000 clients touchés, l'exposition peut atteindre plusieurs millions d'euros.
Ce que l'assurance cyber prend en charge
Les frais de notification CNIL et d'information des personnes : courriers, emails, plateformes dédiées, hotline pour les questions des concernés. Les frais d'avocat spécialisé RGPD pour piloter la déclaration et défendre l'entreprise. Les frais de communication de crise. La RC cyber pour les recours individuels et collectifs des personnes concernées. L'ensemble peut représenter 50 000 à 400 000 € sur un sinistre PME — couvert par un bon contrat.
Le rôle du DPO et la coordination avec l'assureur
Si vous avez un DPO (interne ou externalisé), il est l'interlocuteur naturel de la CNIL. Mais il n'est pas formé à la gestion de crise cyber. La cellule de crise de l'assureur travaille en binôme avec le DPO : avocat cyber + DPO + forensic. Cette coordination est cruciale dans les 72 heures suivant la découverte. Une PME sans DPO peut s'appuyer sur l'avocat de l'assureur pour la phase de crise, puis sur un DPO mutualisé en relais.
Les bonnes pratiques préventives
Quatre actions réduisent significativement le risque RGPD. Cartographier les traitementset tenir un registre à jour (article 30). Minimiser les données : ne collecter et conserver que ce qui est nécessaire. Pseudonymiser ou chiffrer les bases sensibles : un attaquant qui exfiltre des données chiffrées avec clé non compromise ne déclenche pas une violation au sens RGPD. Documenter les mesures de sécurité : c'est cette documentation qui fera la différence en cas d'enquête CNIL pour décider d'une amende ou d'un simple avertissement.