Cyber-risques et conformité RGPD : obligations, sanctions et assurance

RGPD et cyber-risques : une relation indissociable

En 2024, la CNIL a traité 17 772 plaintes, un record absolu en hausse de 8 % par rapport à 2023. Dans le même temps, l'ANSSI a enregistré 831 incidents significatifs en 2025, soit 15 % de plus que l'année précédente. Parallèlement, 86 % des entreprises françaises ont été victimes d'au moins une cyberattaque en 2024, et les attaques ont bondi de +400 % depuis 2020. Ces chiffres illustrent une réalité que trop d'entreprises sous-estiment : cyber-risques et conformité RGPD sont désormais indissociables.

Toute cyberattaque touchant des données personnelles (ransomware, phishing, fuite de fichiers clients) déclenche automatiquement les obligations prévues par le Règlement Général sur la Protection des Données. L'article 32 du RGPD impose en effet des mesures de sécurité « appropriées au risque » : chiffrement, authentification forte, sauvegardes et tests réguliers. Autrement dit, le RGPD n'est pas une simple contrainte administrative : c'est un véritable cadre de gestion des cyber-risques.

Pourtant, 60 % des PME françaises ne disposent d'aucune couverture contre les cybermenaces en 2025, alors que les sanctions peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel. Le coût moyen d'une violation de données atteint désormais 3,8 millions d'euros. Pour une vue d'ensemble de la gestion des cyber-risques en entreprise, consultez notre guide complet sur les cyber-risques.

Les obligations RGPD clés en matière de cybersécurité

Le RGPD contient plusieurs articles directement liés à la sécurité des données. L'article 32 impose au responsable de traitement et à ses sous-traitants de mettre en œuvre des « mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque ».

Mesures techniques obligatoires

• Pseudonymisation et chiffrement des données personnelles, en particulier sur les supports mobiles (clés USB, ordinateurs portables).
• Authentification forte (MFA) et identifiants uniques par utilisateur : la CNIL sanctionne régulièrement les comptes partagés et les mots de passe faibles.
• Antivirus à jour, pare-feu, VPN pour les connexions distantes et mises à jour logicielles régulières.
• Sauvegardes régulières avec tests de récupération documentés.
• Tests de pénétration et audits de sécurité réguliers.
• Journalisation des accès détaillée et supervisée.

Mesures organisationnelles clés

• Registre des traitements : obligatoire pour tout traitement non occasionnel, constituant un outil de cartographie des risques indispensable.
• Analyse d'Impact sur la Protection des Données (AIPD) pour les traitements à haut risque (données de santé, profilage à grande échelle, vidéosurveillance systématique).
• Délégué à la Protection des Données (DPO) : obligatoire pour les organismes publics, les traitements à grande échelle de données sensibles ou le suivi systématique de personnes.
• Charte informatique et formation des employés : la sensibilisation du personnel est un pilier de la conformité. En 2024, la coopération entre DPO et RSSI est devenue la norme dans 9 entreprises sur 10.
• Contrôle contractuel des sous-traitants avec clauses de sécurité obligatoires.

Notification obligatoire en cas de violation

En cas de violation de données présentant un risque pour les droits et libertés des personnes, l'entreprise doit notifier la CNIL sous 72 heures après en avoir pris connaissance. La notification se fait via le téléservice notifications.cnil.fr. Si le risque est élevé, les personnes concernées doivent également être informées directement sans délai. Le non-respect de cette obligation constitue en soi un manquement sanctionnable.

Sanctions RGPD : quels risques financiers en cas de manquement ?

Les sanctions prévues par le RGPD sont dissuasives et s'appliquent sur deux niveaux :

En 2024, la CNIL a prononcé 87 sanctions pour un total de 55 millions d'euros d'amendes. En 2025, le montant cumulé a explosé à 486,8 millions d'euros, avec des sanctions emblématiques et une moyenne de 83 sanctions prononcées pour des montants considérables.

Au-delà des amendes administratives, le Code pénal prévoit des sanctions personnelles pour les dirigeants. L'article 226-17 punit l'absence de mesures de sécurité de 5 ans de prison et 300 000 € d'amende. Un constat alarmant : seulement 8 % des TPE/PME vérifient l'obligation de notification à la CNIL sous 72 heures.

NIS2 : ce que les entreprises doivent savoir en complément du RGPD

La directive NIS2 (Network and Information Security), publiée en décembre 2022, est entrée en vigueur au niveau européen le 18 octobre 2024. Sa transposition française sera applicable aux entreprises concernées dès le 26 juillet 2027 pour certaines catégories.

Qui est concerné ?

NIS2 vise uniquement les entités essentielles (énergie, santé, transports, infrastructures numériques, administration publique) et les entités importantes (services postaux, industrie alimentaire, chimie, services numériques). En France, environ 10 000 à 15 000 entités sont concernées.

Obligations principales

• 20 objectifs de sécurité imposés : chiffrement, contrôles d'accès, audits, plan de continuité, gestion des tiers.
• Notification des incidents à l'ANSSI : alerte initiale sous 24 heures, rapport détaillé sous 72 heures.
• Responsabilité des dirigeants engagée dans la gouvernance cyber, avec formation obligatoire.
• Obligations de formation : sachant que 90 % des cyberattaques réussies exploitent l'erreur humaine, NIS2 impose la sensibilisation de tous les collaborateurs.

Depuis mars 2026, l'ANSSI met à disposition le Référentiel Cyber France (ReCyF) pour accompagner les entités dans leur mise en conformité.

Complémentarité RGPD et NIS2

Les deux textes s'appliquent simultanément pour les entités dans les secteurs visés par NIS2. Un incident NIS2 constitue souvent aussi une violation RGPD dès lors que des données personnelles sont touchées. La CNIL reste l'autorité compétente pour le RGPD, tandis que l'ANSSI supervise le volet NIS2. Les mesures de sécurité requises par NIS2 correspondent largement aux exigences de l'article 32 du RGPD, ce qui permet aux entreprises de mutualiser leurs efforts de conformité.

Assurance cyber et RGPD : ce que couvre votre contrat (et ce qu'il ne couvre pas)

L'assurance cyber ne remplace pas la conformité RGPD : elle prend le relais pour gérer l'après-crise et limiter les impacts financiers d'un incident. La conformité RGPD et l'assurance cyber sont complémentaires.

Garanties couvertes par les assureurs

Le point critique : l'inassurabilité des amendes RGPD

C'est un point souvent méconnu des entreprises : les amendes administratives prononcées par la CNIL sont généralement inassurables en droit français. En vertu de l'article L.113-1 du Code des assurances, les sanctions de nature quasi-pénale ne peuvent pas être couvertes par un contrat d'assurance. Seuls les frais de défense juridique et les indemnisations de tiers (clients victimes d'une fuite, par exemple) sont pris en charge. Hiscox propose une garantie « enquêtes et sanctions » couvrant les frais de défense et les amendes « légalement assurables », mais cette formulation exclut explicitement les amendes administratives pures.

Critères d'éligibilité à une bonne police cyber

Les assureurs conditionnent de plus en plus la souscription et le niveau de couverture à la démonstration d'une hygiène cyber minimale :

• Authentification multifacteur (MFA) déployée
• Solution EDR (Endpoint Detection and Response) en place
• Sauvegardes régulières et testées
• Conformité RGPD documentée (registre des traitements, AIPD le cas échéant)

Point essentiel : la plupart des assureurs exigent que l'entreprise ait mis en place des mesures de sécurité conformes au RGPD pour activer les garanties. Un défaut de sauvegardes, l'absence de MFA ou un registre des traitements inexistant peuvent entraîner un refus d'indemnisation. Par ailleurs, l'article L.12-10-1 du Code des assurances impose un dépôt de plainte sous 72 heures pour bénéficier de la couverture. Le marché français de l'assurance cyber représentait 317 millions d'euros de primes en 2024. Si 95 % des grandes entreprises sont couvertes, la pénétration reste très faible chez les PME et ETI, alors qu'elles sont les premières cibles des cybercriminels.

Découvrez comment choisir une assurance cyber adaptée à votre niveau de conformité RGPD et à la taille de votre entreprise.

5 étapes pratiques pour aligner cybersécurité et conformité RGPD

Voici un plan d'action concret pour les entreprises souhaitant structurer leur démarche :

Étape 1 : Cartographier les traitements de données. Créez ou mettez à jour votre registre des traitements (article 30). Identifiez les données collectées, les supports, les flux et les sous-traitants impliqués.

Étape 2 : Évaluer les risques. Réalisez une AIPD si vos traitements présentent un risque élevé. Même en dehors de cette obligation, une analyse de risques permet de prioriser les actions de sécurité.

Étape 3 : Sécuriser les données. Déployez les mesures techniques concrètes exigées par l'article 32 :

• Activation du MFA sur tous les accès sensibles
• Chiffrement des données au repos et en transit
• Mise en place de contrôles d'accès RBAC
• Journalisation et surveillance des accès
• Sauvegardes régulières, testées et stockées hors site

Étape 4 : Mettre en place une procédure de gestion des incidents. Préparez un plan de réponse incluant la notification CNIL sous 72 heures, un registre interne des violations et une cellule de crise activable rapidement.

Étape 5 : Former et sensibiliser le personnel en continu. La majorité des incidents cyber impliquent une erreur humaine. Des sessions régulières de sensibilisation réduisent considérablement l'exposition aux risques.

Conclusion : une approche combinée pour une résilience complète

La gestion des cyber-risques et de la conformité RGPD ne peut plus se limiter à un seul levier. Les entreprises françaises doivent articuler trois niveaux de protection complémentaires : la conformité RGPD (article 32, notification, AIPD), les exigences NIS2 pour les entités concernées, et une couverture assurantielle cyber adaptée pour absorber les impacts financiers d'un incident.

Chez AssurancesLabs, nous aidons les particuliers et professionnels à comprendre, comparer et choisir leurs assurances en France. Nos guides complets, comparatifs et conseils d'experts vous accompagnent pour naviguer dans un paysage réglementaire en constante évolution. Notre engagement : un contenu pédagogique et transparent pour vous permettre de prendre les meilleures décisions en matière de couverture, y compris face aux cyber-risques et aux risques de non-conformité RGPD.

Références

1. Digitemis, « Violations de données personnelles : 2024 est une année noire »
2. CNIL, Quand faut-il notifier une violation de données à la CNIL ?
3. CNIL, Guide de la sécurité des données personnelles 2024 (PDF)
4. Flandre Assurances, « Cybersécurité & RGPD : Pourquoi la cyberassurance est devenue indispensable »
5. Service-public.fr, « Obligations en matière de protection des données personnelles (RGPD) »
6. CNIL, « Sanctions et mesures correctrices : bilan 2025 »
7. CNIL, « Les violations de données personnelles »
8. ANSSI, « La directive NIS 2 »
9. Swim Legal, « Sécurité des données : obligations RGPD et NIS2 pour les entreprises »
10. Hiscox, « Cyberassurance et RGPD : êtes-vous vraiment couvert face aux sanctions ? »
11. FranceNum, Baromètre de la conformité RGPD des TPE et PME 2024
12. Scope Cyber, RGPD et cybersécurité : obligations pour les entreprises françaises
13. Institut Leges, « Cybersécurité : les obligations légales des entreprises en France »