Votre fichier clients vaut plus que votre coffre : RGPD et cyber-risque pour bijoutiers

Pensez à ce que contient votre logiciel de caisse ou votre CRM bijoutier : nom, adresse personnelle, numéro de téléphone, historique d'achat avec descriptif des pièces, valeur facturée, parfois une photo de la pièce livrée, la date de livraison à domicile, le mode de paiement, et — pour les clients VIP — les anniversaires de mariage, prénoms des enfants, événements à venir.

Pour un cybercriminel ou un réseau organisé de cambriolage, ce fichier vaut bien plus qu'un coffre de stock. Pourquoi ? Parce qu'il révèle où se trouvent les bijoux après la vente. Un cambrioleur qui sait qu'une bague de 28 000 euros a été livrée le 12 février à une adresse précise, et qui dispose d'un plan d'agglomération avec les horaires de présence, dispose d'un actif criminel d'une valeur considérable.

Les autorités constatent depuis 2022 une montée en puissance des cambriolages ciblés par exploitation de fuites bijoutiers. Le scénario type : intrusion dans le système informatique du bijoutier, exfiltration silencieuse du fichier, revente sur des forums dark web spécialisés, puis exploitation à 3-9 mois pour brouiller la piste.

L'article 9 du RGPD ne classe pas explicitement les habitudes d'achat de bijoux comme des données sensibles au sens strict (qui visent santé, opinions, religion, orientation sexuelle). Mais l'article 35 impose une analyse d'impact relative à la protection des données (AIPD) dès qu'un traitement présente un risque élevé pour les personnes concernées.

La CNIL, dans sa liste des traitements soumis à AIPD obligatoire (délibération du 11 octobre 2018), inclut explicitement les traitements de « données croisées avec des éléments permettant d'identifier le patrimoine ou les biens des personnes ». Un fichier de bijoutier qui croise identité, adresse et valeur des bijoux livrés tombe dans cette catégorie.

Concrètement, un bijoutier dont la base dépasse quelques centaines de clients VIP doit :

• Réaliser une AIPD documentée avant la mise en œuvre du traitement.
• Désigner un délégué à la protection des données (DPO) ou un référent identifié.
• Tenir un registre des traitements à jour, exigible à tout contrôle.
• Notifier la CNIL et les personnes concernées en cas de violation susceptible d'engendrer un risque pour leurs droits — délai de 72 heures à compter de la prise de connaissance.

Le manquement à ces obligations est sanctionné par une amende administrative pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Pour un atelier réalisant 800 000 euros de CA, l'exposition théorique est de 32 000 euros — mais la CNIL applique le principe de proportionnalité et a déjà sanctionné des PME pour 8 000 à 40 000 euros sur des cas similaires.

Le scénario, anonymisé mais réel, est devenu un cas d'école parmi les RSSI spécialisés artisanat. Un atelier joaillier reçoit fin mars 2024 un email apparemment légitime d'un client présentant une « photo de la bague à expertiser » sous forme d'archive ZIP. L'apprenti ouvre la pièce jointe. Un rançongiciel chiffre en 47 minutes la totalité du serveur, y compris la base CRM, les photos d'inventaire et les bons de livraison numérisés sur 7 ans.

Le bijoutier paye 9 800 euros en cryptomonnaies pour récupérer ses données. Il restaure son activité en 4 jours. Il ne déclare ni à la CNIL ni à la police, pensant l'incident clos.

Trois semaines plus tard : cambriolage à domicile de deux clientes VIP ayant acheté chacune une pièce de plus de 35 000 euros au cours des 18 derniers mois. Les cambrioleurs vont droit au coffre, aux pièces concernées, et ne touchent à rien d'autre. La police remonte la piste, l'enquête révèle que la liste des cibles a été publiée sur un forum dark web 11 jours après l'attaque rançongiciel chez le bijoutier.

La CNIL, saisie par les victimes, ouvre une procédure : défaut de notification de violation, AIPD inexistante, mesures de sécurité insuffisantes (pas de sauvegarde déconnectée, antivirus de base, formation des salariés inexistante). Sanction : 23 000 euros. Les deux clientes assignent en outre le bijoutier au civil pour défaut de sécurisation, demandent 180 000 euros au total. Procédure en cours.

Une police cyber-risque calibrée pour un bijoutier doit comporter au minimum sept volets :

1. Frais de gestion de crise : intervention d'un expert forensic dans les 24 heures, ligne d'urgence 24/7, communication de crise.
2. Frais de restauration des données et du système (souvent 80 000 à 250 000 euros plafond pour une PME).
3. Cyber-extorsion : prise en charge négociée du paiement de rançon, avec analyse préalable de légalité (paiement à un acteur sanctionné = délit).
4. Notification CNIL et clients : prise en charge des frais d'avocat, de courrier, parfois de hotline d'assistance aux clients touchés.
5. RC vis-à-vis des tiers : couverture des actions civiles intentées par les personnes dont les données ont fuité.
6. Amendes administratives dans la limite légale (toutes les juridictions n'admettent pas l'assurabilité des amendes — vérifier les exclusions).
7. Pertes d'exploitation : indemnisation du manque à gagner pendant l'interruption d'activité, généralement après une franchise de 24 à 72 heures.

Attention aux exclusions classiques : actes de guerre cyber, attaques attribuables à un État, absence de mesures de sécurité élémentaires (pas d'antivirus, pas de sauvegarde, mots de passe par défaut). Ces clauses peuvent vider le contrat de sa substance si vous n'avez pas un minimum de discipline.

Sans verser dans la paranoïa, voici les mesures que tout bijoutier devrait mettre en place — ce sont aussi les conditions habituellement exigées par les assureurs cyber avant de garantir :

• Sauvegardes 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site et déconnectée du réseau. Test de restauration trimestriel obligatoire.
• Antivirus EDR (Endpoint Detection and Response) sur tous les postes, pas un simple antivirus gratuit. Coût ~5 à 9 euros par poste et par mois.
• Authentification forte (MFA) sur l'accès au CRM, à la messagerie, au compte bancaire, et à tous les accès distants.
• Cloisonnement réseau : votre caisse et votre CRM ne doivent pas être sur le même réseau Wifi que les visiteurs de la boutique.
• Formation des salariés aux tentatives de phishing : une session annuelle de 2 heures suffit à diviser par 5 le taux de clics malveillants.
• Plan de réaction écrit, testé une fois par an : qui appeler, comment isoler les machines, comment notifier la CNIL, comment communiquer avec les clients.

Ces mesures sont non seulement bonnes pour votre activité, elles conditionnent désormais la prise en charge par votre assureur. Un sinistre cyber sans MFA active sur les comptes critiques se solde de plus en plus souvent par un refus d'indemnisation pour faute lourde de l'assuré.

Le sinistre cyber chez un bijoutier mobilise potentiellement trois contrats distincts :

• La police cyber pour la gestion de crise, la restauration, l'extorsion et les amendes RGPD.
• La RC Pro pour les actions des clients invoquant un défaut de sécurisation de leurs données — la violation du RGPD peut être analysée comme une inexécution contractuelle ou un manquement professionnel.
• La multirisque professionnelle pour les conséquences matérielles indirectes : si des cambriolages à domicile sont liés à votre fuite et qu'une clause de subrogation joue, la coordination des contrats devient critique.

Pour un panorama complet des couvertures adaptées à votre métier, consultez notre page assurance bijoutier-joaillier. Le bon réflexe : faire auditer la cohérence de vos trois contrats par un courtier qui connaît la matière — ce n'est pas l'addition de trois polices génériques qui vous protège, c'est leur articulation.