Un security group ouvert, la base clients fuite : ce que dit le RGPD
Une règle de pare-feu ouverte « le temps d'un test », et la base clients devient accessible depuis Internet. Au-delà de la technique, le RGPD vous désigne.
- Une base de données exposée à cause d'un security group ouvert ou d'un bucket public est une violation de données personnelles au sens du RGPD, avec des obligations strictes à la clé.
- En tant qu'administrateur cloud, vous êtes le plus souvent sous-traitant au sens de l'article 28 : vous traitez des données pour le compte du client, et le RGPD vous impose des obligations propres de sécurité.
- L'article 32 exige des mesures techniques adaptées au risque ; un port d'administration ouvert au monde entier est l'exemple type du manquement caractérisé.
- La notification à la CNIL sous 72 heures, l'information des personnes et le coût de gestion de l'incident relèvent d'une garantie cyber, pas d'une simple RC Pro de base.
Comment une base se retrouve « à nu » sur Internet
Le scénario est d'une banalité inquiétante. Vous intervenez sur l'infrastructure d'un client, vous devez diagnostiquer un problème de connexion à une base de données managée. Pour aller vite, vous ouvrez temporairement le security group en autorisant le port de la base depuis 0.0.0.0/0 — c'est-à-dire depuis l'intégralité d'Internet. Vous comptez refermer la règle dans la foulée. Une urgence vous interrompt, la journée file, et la règle reste ouverte.
À partir de cet instant, n'importe quel robot de scan — et il en tourne en permanence sur toutes les plages d'adresses des grands fournisseurs — peut détecter le port ouvert en quelques minutes. Si la base n'exige pas d'authentification forte, ou si un identifiant par défaut traîne, les données deviennent accessibles. Noms, e-mails, adresses, parfois numéros de carte ou données de santé : tout ce que contient la table est potentiellement aspiré.
Les variantes sont nombreuses et tout aussi fréquentes :
- un bucket de stockage objet (type S3, Blob Storage, Cloud Storage) basculé en lecture publique « le temps d'un partage » ;
- un cluster de base de données NoSQL exposé sans mot de passe sur son port par défaut ;
- une interface d'administration (tableau de bord, panneau de gestion) accessible sans restriction d'adresse IP ;
- un instantané (snapshot) de disque rendu public par mégarde, contenant une copie complète de la base.
Dans tous ces cas, l'incident n'est pas qu'un problème technique. C'est, au sens de la loi, une violation de données à caractère personnel — et cela déclenche une mécanique réglementaire que l'administrateur cloud doit absolument connaître.
Responsable de traitement, sous-traitant : où vous situez-vous ?
Le RGPD distingue deux rôles fondamentaux, et votre niveau de responsabilité en dépend directement.
Le responsable de traitement est celui qui détermine les finalités et les moyens du traitement : dans la plupart des cas, c'est votre client, l'entreprise qui collecte les données de ses propres utilisateurs.
Le sous-traitant, au sens de l'article 28 du RGPD, est celui qui traite des données personnelles pour le compte du responsable de traitement. Lorsque vous administrez l'infrastructure qui héberge, sauvegarde et fait transiter les données d'un client, vous entrez très souvent dans cette catégorie. Et c'est un point que beaucoup d'indépendants de l'IT ignorent : le statut de sous-traitant emporte des obligations propres, directement opposables par la CNIL.
Concrètement, l'article 28 impose qu'un contrat (ou un acte juridique) encadre la relation entre le responsable de traitement et son sous-traitant. Ce contrat doit préciser, entre autres, les mesures de sécurité, le sort des données en fin de prestation, et l'obligation d'assister le responsable de traitement en cas d'incident. Un administrateur cloud qui travaille sans cette base contractuelle s'expose doublement : il manque à une obligation légale, et il se retrouve sans cadre clair le jour d'une fuite.
Retenez la règle : si vous avez techniquement la main sur des données personnelles d'un client, vous êtes presque toujours sous-traitant au sens du RGPD — avec des devoirs que la loi vous impose en propre, indépendamment de ceux du client.
L'article 32 : la sécurité n'est pas une option, c'est une obligation
Le cœur du sujet tient dans l'article 32 du RGPD, consacré à la sécurité du traitement. Il impose au responsable de traitement et au sous-traitant de mettre en œuvre des mesures techniques et organisationnelles « appropriées » au regard du risque. Le texte cite explicitement la confidentialité, l'intégrité et la disponibilité des données, ainsi que la capacité à les restaurer.
Or un port de base de données ouvert au monde entier, un bucket public ou une interface d'administration sans restriction d'accès sont l'exact contraire d'une mesure appropriée. Ce sont des manquements que la CNIL qualifie sans difficulté de défaut de sécurité caractérisé. La régulatrice a déjà sanctionné, à plusieurs reprises, des organisations pour des configurations de ce type — accès non restreints, absence de chiffrement, comptes sans mot de passe robuste.
Pour l'administrateur cloud, le message est limpide : la sécurité de la configuration n'est pas un confort optionnel, c'est une obligation légale dont le non-respect peut être reproché. Les mesures attendues sont connues et documentées :
- restreindre les accès réseau au strict nécessaire (jamais
0.0.0.0/0sur un port sensible) ; - chiffrer les données au repos et en transit ;
- imposer une authentification forte sur les bases et les consoles d'administration ;
- activer la journalisation des accès et surveiller les anomalies ;
- cloisonner les environnements et appliquer le principe du moindre privilège.
Le jour d'un contrôle ou d'un incident, c'est l'écart entre ces bonnes pratiques et votre configuration réelle qui détermine si une faute vous est imputable.
Les 72 heures qui suivent la découverte de la fuite
Une fois la violation constatée, le RGPD déclenche un compte à rebours. L'article 33 impose au responsable de traitement de notifier la violation à la CNIL dans les meilleurs délais, et si possible dans les 72 heures après en avoir pris connaissance, sauf si la violation est peu susceptible d'engendrer un risque pour les personnes. L'article 34 ajoute l'obligation d'informer les personnes concernées lorsque le risque pour leurs droits et libertés est élevé.
En tant que sous-traitant, vous n'êtes pas celui qui notifie la CNIL — c'est le rôle du responsable de traitement — mais l'article 33 vous oblige à informer le client sans délai injustifié dès que vous avez connaissance de la violation. Autrement dit, si vous découvrez la fuite, vous devez prévenir immédiatement votre client pour lui permettre de tenir le délai de 72 heures. Tarder, c'est exposer le client à un manquement supplémentaire… dont il pourra ensuite vous tenir rigueur.
Ce que beaucoup sous-estiment, c'est le coût de gestion d'un tel incident, bien au-delà d'une éventuelle sanction administrative :
| Poste de coût après une fuite de données | Ce qu'il recouvre |
|---|---|
| Investigation technique (forensic) | Identifier la faille, l'étendue de la fuite, les données touchées |
| Notification et information | Constitution du dossier CNIL, courriers aux personnes concernées |
| Frais juridiques | Conseil sur la qualification, la défense, les relations avec la CNIL |
| Gestion de crise et communication | Limiter l'atteinte à la réputation du client et la vôtre |
| Réclamations des personnes | Demandes d'indemnisation des personnes dont les données ont fuité |
Additionnés, ces postes atteignent vite plusieurs dizaines de milliers d'euros, indépendamment de toute amende. Et c'est précisément ce type de frais qu'une garantie cyber est conçue pour absorber.
Pourquoi une RC Pro classique ne suffit pas ici
Beaucoup d'indépendants pensent, à tort, que leur responsabilité civile professionnelle couvre tout. Une RC Pro prend en charge les conséquences d'une faute causant un préjudice à un tiers — c'est essentiel, mais ce n'est pas calibré pour la mécanique très particulière d'une violation de données.
Une fuite de données déclenche des besoins spécifiques : une investigation forensic en urgence, l'assistance à la notification CNIL, la gestion de crise, parfois le recours à des experts en cybersécurité et en communication, ainsi que la prise en charge des réclamations des personnes concernées. Ces volets relèvent d'une garantie cyber dédiée, qui agit comme une cellule de crise mobilisable dès les premières heures.
C'est ce que propose l'assurance cyber pour administrateur cloud d'Insurio : la prise en charge des frais de gestion d'une violation de données — investigation, notification, assistance juridique, gestion de crise — et de votre responsabilité à l'égard du client et des personnes concernées, dans le cadre du contrat souscrit. Couplée à votre RC Professionnelle, elle ferme la brèche que la seule responsabilité civile laisse ouverte sur le volet données.
Pour comprendre l'ensemble des risques liés à votre activité d'infrastructure, consultez notre page assurance ingénieur DevOps. Le bon réflexe avant chaque mission sensible : un contrat écrit de sous-traitance conforme à l'article 28, des configurations conformes à l'article 32, et une couverture cyber prête à se déclencher si, malgré tout, une règle reste ouverte une fois de trop.
Questions fréquentes
Oui, votre responsabilité peut être engagée. En tant qu'administrateur cloud, vous êtes le plus souvent sous-traitant au sens de l'article 28 du RGPD, avec une obligation propre de sécurité au titre de l'article 32. Un port d'administration ouvert à 0.0.0.0/0 est un manquement caractérisé. Le client, mais aussi la CNIL, peuvent vous opposer ce défaut de sécurité.
Le responsable de traitement (généralement votre client) décide des finalités et des moyens. Le sous-traitant traite les données pour son compte : c'est votre cas quand vous hébergez, sauvegardez ou faites transiter les données du client. Ce statut vous impose des obligations directes — contrat de sous-traitance, mesures de sécurité, assistance en cas d'incident — opposables par la CNIL.
Si vous découvrez la violation, vous devez informer votre client sans délai injustifié, car c'est lui qui doit notifier la CNIL dans les 72 heures au titre de l'article 33. Plus vous tardez à le prévenir, plus vous l'exposez à un manquement qu'il pourra ensuite vous reprocher. En parallèle, il faut contenir la fuite, lancer l'investigation et documenter l'incident.
Une RC Pro couvre les conséquences d'une faute, mais elle n'est pas conçue pour la mécanique d'une violation de données : investigation forensic, notification CNIL, gestion de crise, réclamations des personnes concernées. Ces frais relèvent d'une garantie cyber dédiée. Pour un administrateur cloud manipulant des données sensibles, coupler RC Pro et cyber est la bonne approche.
L'assurance cyber Insurio démarre à 19,90 €/mois, en complément d'une RC Pro à partir de 12,90 €/mois pour un admin cloud. Le tarif dépend de votre chiffre d'affaires, de la sensibilité des données manipulées et des plafonds choisis. Le devis se fait en ligne en 2 minutes, avec attestation immédiate.
Souscrivez votre assurance pro en 2 minutes
Toutes nos protections pour votre activité de Administrateur Cloud — attestation immédiate, sans engagement.
* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Administrateur Cloud →
Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.