Accès clients piratés : le consultant SEO face au RGPD

On résume souvent le métier de consultant SEO à des audits et des mots-clés. On oublie qu'il s'accompagne d'une réalité bien plus sensible : pour travailler, vous accumulez les accès aux outils de vos clients. Google Search Console, Google Analytics 4, le back-office du CMS (WordPress, PrestaShop, Shopify…), parfois les comptes Google Ads, l'accès FTP ou le panneau d'hébergement, les outils de suivi de positions.

Concrètement, vous détenez les clés numériques de dizaines de sites. Chacun de ces accès est une porte d'entrée. Et chacune de ces portes, mal protégée, peut se retourner contre vous comme contre votre client : un identifiant réutilisé, un poste de travail compromis, un fichier de mots de passe non chiffré, et c'est tout votre portefeuille de clients qui devient vulnérable d'un coup.

Cette concentration fait du consultant SEO une cible attractive pour les attaquants. Compromettre un seul prestataire, c'est potentiellement accéder à plusieurs dizaines de sites d'un coup — un effet de levier que les cybercriminels recherchent activement. C'est ce que l'on appelle une attaque par la chaîne d'approvisionnement (supply chain) : on ne vise pas la forteresse directement, mais le fournisseur qui en détient les clés. Le freelance qui pense être « trop petit pour intéresser un pirate » se trompe : ce n'est pas lui qu'on vise, mais l'accès qu'il détient.

Beaucoup de consultants SEO ignorent qu'ils peuvent entrer dans le champ du RGPD au titre de leur activité. La logique est la suivante : votre client, éditeur du site, est en général responsable de traitement des données personnelles de ses visiteurs. Mais dès lors que vous accédez à ces données pour son compte — par exemple via Analytics, qui traite des données de navigation, ou via un CMS contenant des bases de contacts et de commandes —, vous pouvez être qualifié de sous-traitant au sens de l'article 28 du RGPD.

Cette qualification emporte des conséquences concrètes :

• La nécessité d'un contrat de sous-traitance (ou de clauses RGPD dédiées) encadrant ce que vous avez le droit de faire des données auxquelles vous accédez.
• Une obligation de sécurité sur les traitements et les accès que vous opérez (article 32 : mesures techniques et organisationnelles appropriées).
• Le devoir de notifier sans délai votre client en cas de violation, pour qu'il puisse à son tour alerter la CNIL dans les temps.
• L'obligation de ne traiter les données que sur instruction documentée du responsable de traitement.

Ne pas être le responsable de traitement ne vous met pas à l'abri : en tant que sous-traitant, vous avez vos propres obligations et votre propre responsabilité.

La CNIL peut, en théorie, sanctionner directement un sous-traitant qui a manqué à ses obligations de sécurité. Et votre client, s'il est sanctionné à cause d'une faille venue de chez vous, se retournera contractuellement contre vous pour obtenir réparation. Le sujet RGPD n'est donc pas qu'une formalité administrative : c'est une ligne de responsabilité directe.

Imaginons qu'un attaquant prenne le contrôle de votre messagerie ou de votre gestionnaire de mots de passe. Les dégâts en cascade sont redoutables :

1. Accès au CMS d'un client : injection de pages spam, de liens cachés ou de redirections malveillantes — qui, ironie du sort, déclencheront une pénalité Google sur le site du client.
2. Exfiltration de données personnelles contenues dans le back-office : base clients, historique de commandes, formulaires de contact.
3. Détournement d'un compte publicitaire Google Ads et dépenses frauduleuses imputées au client.
4. Compromission en chaîne de plusieurs clients partageant le même point de défaillance : vous.

Dans ce cas, votre client subit une violation de données personnelles. Il doit, s'il existe un risque pour les droits et libertés des personnes concernées, la notifier à la CNIL sous 72 heures et, dans certains cas, informer directement les personnes touchées. Et il se tournera naturellement vers vous, point d'origine identifié de la fuite. Le caractère public de certains de ces incidents — un site qui se met soudain à afficher du contenu pour adultes ou des liens frauduleux est immédiatement visible — ajoute une dimension réputationnelle qui aggrave le préjudice.

Une compromission d'accès ne se solde pas par un simple changement de mot de passe. Elle déclenche une chaîne de coûts immédiats et souvent sous-estimés :

Pour un indépendant ou une petite structure, le cumul atteint vite plusieurs milliers, voire dizaines de milliers d'euros. Sans compter le coût indirect le plus douloureux : la perte de clients qui, échaudés, ne vous confieront plus leurs accès — et le bouche-à-oreille négatif dans un métier où la confiance est tout. Un incident de sécurité peut ainsi peser bien plus lourd que sa facture directe, en amputant durablement votre activité.

Face à ce risque, deux couvertures se complètent sans se substituer. La RC Professionnelle couvre votre responsabilité civile : la faute, l'erreur, l'omission, le dommage causé au client par votre prestation. Mais la gestion d'un incident de sécurité a ses spécificités — cellule d'urgence, expertise forensic, notification réglementaire, restauration des systèmes, communication de crise. C'est précisément le périmètre de l'assurance cyber, qui prend le relais là où la RC Pro s'arrête.

Pour un consultant SEO qui centralise les accès de tout son portefeuille de clients, le combo logique est clair : RC Pro pour la faute professionnelle, cyber pour piloter l'incident et en absorber les coûts. L'assurance cyber finance notamment la cellule de crise, les frais de notification et la perte d'exploitation — des postes que la RC Pro classique ne couvre pas. Aucun audit de sécurité n'est exigé pour souscrire, et les deux contrats se mettent en place en ligne en quelques minutes. Le détail figure sur notre fiche assurance consultant SEO.

Aucune mesure ne supprime totalement le risque, mais quelques réflexes en réduisent drastiquement la probabilité — et démontrent votre diligence en cas de contrôle ou de litige :

1. Activez l'authentification à deux facteurs (2FA) sur tous vos comptes et exigez-la pour les accès clients sensibles.
2. Utilisez un gestionnaire de mots de passe chiffré, jamais un fichier en clair, un tableur partagé ou des mots de passe réutilisés d'un client à l'autre.
3. Préférez les accès délégués (Search Console, GA4, Business Manager) aux partages d'identifiants : vous obtenez les droits nécessaires sans jamais connaître le mot de passe du client.
4. Révoquez systématiquement les accès à la fin de chaque mission, pour ne pas conserver des portes ouvertes inutiles.
5. Encadrez le traitement des données par des clauses RGPD claires avec chaque client, précisant vos obligations de sous-traitant.
6. Maintenez votre poste de travail à jour : système, navigateur, antivirus, car c'est souvent par là que tout commence.

Ces pratiques, peu coûteuses, transforment radicalement votre profil de risque. Couplées à une assurance cyber adaptée, elles constituent la double ligne de défense — prévention et couverture — qu'exige un métier devenu, qu'on le veuille ou non, dépositaire de données sensibles.