RGPD | Qui répond d'une fuite de données clients ?

Qu'est-ce qu'une fuite de données au sens juridique ?

Le RGPD est précis sur ce point. L'article 4(12)¹ définit une violation de données personnelles comme toute atteinte à la sécurité entraînant la destruction, la perte, l'altération ou la divulgation non autorisée de données. Concrètement, trois types de violations existent :

• la violation de confidentialité (accès non autorisé),
• la violation d'intégrité (altération des données),
• et la violation de disponibilité (perte d'accès aux données).

Pour un cabinet d'architecture, un bureau d'études ou un économiste de la construction, cela concerne des données bien réelles : coordonnées clients, devis, données contractuelles, IBAN, plans partagés sur des plateformes collaboratives ou stockés dans le cloud.

Ces violations peuvent avoir trois origines distinctes : une fuite intentionnelle d'un collaborateur, une simple négligence ou une cyberattaque externe. Trois scénarios auxquels aucun professionnel n'est à l'abri.

Le responsable de traitement | C'est vous

Dès lors que votre cabinet collecte et traite des données personnelles — celles de vos clients, partenaires ou collaborateurs — vous êtes juridiquement qualifié de responsable de traitement. C'est vous qui déterminez les finalités et les moyens de ce traitement. Et avec ce statut viennent des obligations.

L'article 32 du RGPD² (Règlement Général sur la Protection des Données) vous impose de mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir la sécurité de ces données. Pare-feu, chiffrement, gestion des accès, formation des équipes : rien ne doit être laissé au hasard.

Mais voici ce que beaucoup ignorent : être victime d'une cyberattaque ne vous exonère pas automatiquement. La CJUE l'a clairement établi³ — un employeur (responsable du traitement) ne peut s'affranchir de sa responsabilité au seul motif qu'un salarié a commis une faute. 

En clair : la menace peut venir de l'intérieur de votre propre cabinet.

Quelles sont les responsabilités encourues ?

En cas de fuite de données, la responsabilité ne se limite pas à une seule entité. Elle se répartit sur trois niveaux distincts.
Le cabinet d'abord. Les sanctions administratives de la CNIL sont lourdes : jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel. Des chiffres qui ne sont pas théoriques. La société Dedalus Biologie a été condamnée à 1,5 million d'euros d'amende⁴ après la fuite de données médicales de 500 000 personnes. Optical Center⁵, lui, a écopé de 250 000 euros pour défaut de contrôle de son sous-traitant.

Le dirigeant ensuite. Sa responsabilité personnelle peut être engagée en cas de négligence caractérisée, d'absence de mesures de sécurité ou de défaut de signalement. Les articles 226-17⁶ et 226-17-1⁷ du Code pénal prévoient jusqu'à 5 ans d'emprisonnement et 300 000 euros d'amende.

Le sous-traitant enfin. Sa faute ne dégage pas votre cabinet de ses obligations. Les deux parties peuvent être mises en cause simultanément. Choisir un prestataire ne transfère pas votre responsabilité.

L'obligation des 72 heures | Ce que vous devez faire

Face à une violation de données, le temps est votre premier adversaire. L'article 33 du RGPD⁹ est formel : vous disposez de 72 heures pour notifier la CNIL après avoir pris connaissance de l'incident. Attention — ce délai court à partir du moment où vous découvrez la violation, et non à partir de sa commission.

Si la violation présente un risque élevé pour les personnes concernées, l'article 34 vous impose également de les en informer directement.

Dans les premières heures, quatre réflexes s'imposent :

• Isoler les systèmes compromis pour stopper la propagation
• Conserver les preuves — logs, captures, échanges — sans nettoyer précipitamment
• Notifier la CNIL dans le délai imparti, même partiellement
• Déposer plainte auprès des autorités compétentes

Un dernier point souvent méconnu : le défaut de notification constitue une infraction pénale autonome, indépendante de la violation initiale. Autrement dit, ne pas déclarer une fuite expose à une double sanction.

Comment limiter votre responsabilité en amont ?

La justice ne vous reprochera pas d'avoir été attaqué. Elle vous reprochera de n'avoir rien fait pour l'anticiper. Voici quelques éléments concrets qui démontrent la bonne foi de votre cabinet face à un contrôle ou un litige :

• Politique de mots de passe robustes et authentification multifacteur sur tous vos accès
• Sauvegardes régulières et testées selon la règle 3-2-1 : 3 copies, sur 2 supports différents, dont 1 hors site
• Formation des collaborateurs aux risques de phishing et aux bonnes pratiques numériques
• Charte informatique signée par l'ensemble de l'équipe
• Audit de sécurité régulier réalisé par un tiers compétent
• Registre des traitements RGPD tenu à jour

L'assurance cyber | Le filet de sécurité quand la prévention ne suffit pas

Même avec toutes ces précautions, le risque zéro n'existe pas. Et quand l'incident survient, le coût moyen d'un sinistre cyber atteint 60 000 euros.

L'assurance cybersécurité proposée par la MAF est conçue pour les professionnels de la maîtrise d'œuvre. Elle ne se limite pas à une indemnisation financière : c'est un dispositif de gestion de crise complet, activable dès la première heure.

Concrètement, quatre garanties couvrent l'ensemble des conséquences d'une cyberattaque :

• Restauration des données électroniques en cas d'attaque
• Prise en charge des frais de gestion de crise
• Protection contre la cyber-extorsion
• Couverture des pertes d'exploitation consécutives à une interruption de votre réseau professionnel

Ce qui distingue cette offre, c'est aussi la réactivité. Un centre d'appel dédié fonctionne 24h/24 et 7j/7 pour déclencher les premières actions d'urgence : isolation des systèmes, évaluation de l'attaque, confinement, remédiation — selon un protocole structuré, à chaque étape !