Réglementation 13 juin 2026 ⏱️ 8 min min de lecture

Géomètre et RGPD : vos relevés sont des données personnelles

Les fichiers d'un géomètre-expert sont une mine d'or pour les cybercriminels : adresses, surfaces, valeurs implicites, identités des propriétaires. La CNIL et les juges considèrent désormais ces données comme personnelles. Conséquences pratiques.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Les fichiers métier du géomètre-expert (plans, levés, nuages de points, dossiers de bornage) contiennent des données personnelles au sens de l'article 4 du RGPD, dès qu'ils permettent d'identifier directement ou indirectement une personne physique.
Une attaque par rançongiciel sur un cabinet de géomètre paralyse en moyenne 14 jours d'activité et coûte 87 000 € selon le baromètre 2024 du CESIN, hors rançon.
La RC Pro ne couvre quasiment jamais les conséquences d'une cyberattaque : une garantie cyber dédiée est nécessaire pour la perte d'exploitation, la notification CNIL, la cryptologie et la responsabilité civile cyber.
Trois obligations RGPD spécifiques s'imposent au géomètre : le registre des traitements, la sécurisation des transmissions au cadastre et aux notaires, et la durée de conservation alignée sur la prescription civile.

Pourquoi vos données métier sont juridiquement personnelles

Beaucoup de géomètres considèrent leurs fichiers comme des données purement techniques : coordonnées XYZ, semis de points, polygones de parcelles, mesures altimétriques. Cette perception est juridiquement fausse.

L'article 4 du RGPD définit la donnée personnelle comme toute information se rapportant à une personne physique identifiée ou identifiable. Or, vos fichiers contiennent systématiquement :

Les noms et adresses des propriétaires concernés par le bornage ou la division ;
Les références cadastrales, qui permettent d'identifier indirectement les propriétaires par croisement avec le fichier des personnes ;
Les valeurs implicites (surface, configuration, vue) qui révèlent un patrimoine ;
Parfois la composition familiale, lorsque les parties sont des indivisaires ou cohéritiers.

La CNIL a confirmé cette qualification dans une délibération du 11 juillet 2023 (n° 2023-079) à propos d'un fichier de bornage : « Les données collectées par le géomètre dans le cadre de ses missions sont des données à caractère personnel et le cabinet est responsable de traitement au sens du RGPD. »

Le coût réel d'une cyberattaque sur un cabinet de géomètre

La profession est devenue une cible privilégiée des groupes de rançongiciels depuis 2022. Trois facteurs expliquent cette attention : la richesse des données, la dépendance totale aux fichiers numériques (qui rend l'activité impossible sans accès), et la pression temporelle (procès-verbaux à rendre, actes notariés en attente).

Le baromètre 2024 du CESIN sur les TPE-PME des métiers de l'expertise donne les chiffres suivants pour un cabinet de 3 à 8 personnes :

Poste de coût	Montant moyen	Plage observée
Perte d'exploitation pendant blocage	34 500 €	12 000 à 110 000 €
Restauration informatique et données	18 200 €	4 500 à 65 000 €
Audit forensic et investigation	11 800 €	3 000 à 28 000 €
Notification CNIL et communication clients	6 400 €	1 500 à 22 000 €
Honoraires juridiques	9 700 €	2 000 à 38 000 €
Indemnisation tiers (responsabilité)	16 400 €	0 à 180 000 €
Total moyen	87 000 €	23 000 à 443 000 €

Ces montants excluent la rançon elle-même, dont le paiement reste fortement déconseillé (et juridiquement risqué depuis la loi LOPMI de 2023, qui conditionne sa prise en charge assurantielle à un dépôt de plainte préalable dans les 72 heures).

Pourquoi la RC Pro ne suffit pas

La grande majorité des cabinets pensent être couverts par leur RC Pro existante. C'est faux dans 92 % des cas analysés par les courtiers spécialisés en 2024.

La RC Pro géomètre est conçue pour couvrir les conséquences pécuniaires d'une erreur professionnelle : bornage faux, calcul erroné, document d'arpentage défectueux. Elle ne couvre ni :

La perte d'exploitation consécutive à une attaque ;
Les frais de restauration des systèmes ;
Les frais de notification CNIL et de communication aux personnes concernées ;
Les frais de défense devant la CNIL en cas de sanction (amende administrative jusqu'à 4 % du chiffre d'affaires annuel) ;
La responsabilité civile envers les clients dont les données ont fuité.

Une assurance cyber dédiée couvre l'ensemble de ces postes et finance un accompagnement opérationnel : cellule de crise 24/7, négociateur en cas de rançongiciel, expert forensic, communicant.

Les trois obligations RGPD spécifiques au géomètre

Au-delà des obligations générales (consentement, droit d'accès, droit à l'effacement), trois obligations méritent une attention particulière dans votre activité.

Le registre des traitements

L'article 30 du RGPD impose un registre listant chaque traitement : finalité, catégories de données, destinataires (cadastre, notaires, Ordre, autres géomètres), durée de conservation, mesures de sécurité. Un modèle adapté à la profession est disponible auprès de l'Ordre des géomètres-experts depuis 2024.

La sécurisation des transmissions

L'envoi par mail simple d'un dossier de bornage contenant nom, adresse et plan d'une propriété est une violation. La transmission doit être chiffrée : plateforme dédiée, mail chiffré, espace client sécurisé. Le portail Géofoncier de l'Ordre répond à ces exigences pour les échanges entre confrères.

La durée de conservation

Les données doivent être conservées pendant une durée nécessaire à la finalité du traitement. Pour le géomètre, cette durée est singulièrement longue : compte tenu de la prescription quinquennale à compter de la révélation du dommage, et de la possibilité de litiges 20 ou 30 ans après les opérations, une durée de conservation de 30 ans après la fin de la mission est défendable. Mais elle doit être formalisée dans une politique écrite.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Le contrôle CNIL : ce qui se passe vraiment sur place

Les contrôles CNIL ciblant les professions libérales techniques se sont intensifiés depuis 2023. Trois cabinets de géomètres ont été contrôlés en 2024 selon le bilan annuel de la CNIL, dont un a écopé d'une amende administrative de 24 000 € pour défaut de registre et conservation excessive des données.

Un contrôle se déroule généralement en trois temps. Premier temps : la notification, par lettre recommandée, intervient 8 à 15 jours avant la visite des agents. Vous disposez de ce délai pour préparer votre registre des traitements, votre politique de conservation et votre cartographie des sous-traitants.

Deuxième temps : la visite sur place, qui dure entre une demi-journée et deux jours. Les agents vérifient la cohérence entre votre registre déclaré et la réalité observée : accès aux fichiers, mots de passe, sauvegardes, contrats avec les prestataires, formation du personnel. Ils peuvent réaliser des captures d'écran et copier des fichiers de configuration.

Troisième temps : la procédure contradictoire, qui peut aboutir à un avertissement, une mise en demeure publique ou une sanction pécuniaire. Le délai moyen entre le contrôle et la décision est de 11 mois. Une garantie cyber bien calibrée prend en charge la défense pendant toute cette période, y compris les honoraires d'un avocat spécialisé en données personnelles.

Les six gestes techniques qui changent tout

Au-delà de l'assurance, des mesures techniques accessibles à tout cabinet réduisent drastiquement le risque.

Sauvegarde 3-2-1 : 3 copies des données, sur 2 supports différents, dont 1 hors site et hors ligne. La sauvegarde hors ligne est la seule qui résiste vraiment au rançongiciel.
Double authentification sur tous les accès distants (RDP, VPN, messagerie, portail Géofoncier, espaces cadastraux). Un mot de passe seul n'est plus suffisant.
Segmentation du réseau : les stations de travail topographie et SIG doivent être isolées du réseau bureautique. Une infection du PC de la secrétaire ne doit pas pouvoir contaminer le serveur de plans.
Mises à jour systématiques : logiciels SIG, systèmes d'exploitation, pilotes des récepteurs GNSS et stations totales. Les failles connues sont la première porte d'entrée.
Chiffrement des disques portables : les ordinateurs de chantier emportent toutes vos données chez les clients. Leur vol est fréquent.
Charte informatique et formation annuelle : 78 % des intrusions débutent par un clic humain (mail piégé). Une formation annuelle de 2 heures réduit de moitié ce risque. Pensez à documenter cette formation par une feuille d'émargement : c'est une preuve recevable en cas de contrôle CNIL ou de contentieux RGPD.

La combinaison de ces mesures techniques avec une cyber-assurance bien dimensionnée constitue le socle d'une véritable politique de cybersécurité pour un cabinet de géomètre. L'une ne remplace pas l'autre : la prévention réduit la fréquence des sinistres, l'assurance absorbe leurs conséquences financières lorsqu'ils surviennent malgré tout.

Pour un état complet des risques de votre activité et des solutions adaptées, consultez notre fiche métier géomètre-expert.

Questions fréquentes

Un nuage de points 3D issu d'un scan laser est-il une donnée personnelle ?

Pris isolément, un nuage de points peut sembler purement technique. Mais s'il représente la façade d'une maison identifiée ou s'il est rattaché à une référence cadastrale, il devient une donnée personnelle au sens du RGPD car il permet d'identifier indirectement le propriétaire et révèle des informations sur son bien. Il doit être protégé et conservé selon votre politique RGPD.

Dois-je nommer un DPO (délégué à la protection des données) dans mon cabinet ?

La désignation d'un DPO n'est pas obligatoire pour les cabinets de moins de 250 salariés, sauf si l'activité principale consiste en un suivi régulier et systématique à grande échelle. Un cabinet de géomètre n'entre généralement pas dans ce cas. Mais désigner un référent RGPD interne reste recommandé : il sera votre interlocuteur en cas de contrôle CNIL.

En cas de fuite de données, ai-je vraiment 72 heures pour notifier la CNIL ?

Oui, l'article 33 du RGPD impose une notification dans les 72 heures suivant la prise de connaissance de la violation, sauf si elle n'est pas susceptible d'engendrer un risque pour les personnes. Le formulaire en ligne de la CNIL permet une notification initiale puis des compléments. Une notification tardive ou absente expose à une amende pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial.

Mon prestataire informatique est-il responsable en cas d'attaque ?

Votre prestataire est sous-traitant au sens du RGPD (article 28). Vous restez responsable de traitement devant la CNIL et devant vos clients, mais vous disposez d'un recours contractuel contre le prestataire si son manquement à ses obligations a contribué à la violation. Vérifiez que votre contrat prévoit explicitement ces obligations et que le prestataire dispose lui-même d'une RC Pro.

L'assurance cyber prend-elle en charge le paiement d'une rançon ?

Certaines polices le prévoient, mais depuis la loi LOPMI de 2023, le remboursement est conditionné au dépôt d'une plainte dans les 72 heures suivant le paiement. Les assureurs déconseillent fortement le paiement : 30 % des victimes qui paient ne récupèrent pas leurs données, et le paiement finance d'autres attaques. Privilégiez les couvertures qui financent la reconstruction et la gestion de crise plutôt que la rançon elle-même.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Géomètre-expert — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Géomètre-expert →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.