Fuite de base clients : les 72 heures qui décident de la facture finale

Un site marchand concentre exactement ce que recherche un attaquant : des données personnelles en volume (noms, adresses, e-mails, téléphones), des historiques d'achat, et souvent des traces de paiement. À cela s'ajoute une dépendance totale à la disponibilité : un site à l'arrêt, c'est un chiffre d'affaires qui tombe à zéro en temps réel. Cette combinaison fait de l'e-commerçant une proie particulièrement rentable, qu'il s'agisse d'exfiltrer une base pour la revendre, d'injecter un script de capture de cartes ou de rançonner l'accès.

Le danger n'est pas réservé aux grandes enseignes. Les boutiques de taille modeste sont au contraire perçues comme des cibles faciles : extensions non mises à jour, mots de passe d'administration faibles, absence de surveillance. L'attaquant automatise, ratisse large, et frappe là où la porte est entrouverte.

Or, au moment où la fuite est découverte, l'e-commerçant n'est pas seulement victime : il devient responsable de traitement au sens du RGPD, avec des obligations légales précises et un compte à rebours qui démarre. La suite de cet article reconstitue, étape par étape, ce qui se joue réellement — et ce que cela coûte.

Tout commence par un signal : une alerte de votre hébergeur, un client qui signale des prélèvements frauduleux après un achat chez vous, ou la découverte de votre base en vente sur un forum. À cet instant précis démarre l'obligation la plus structurante du RGPD : en cas de violation de données personnelles, vous devez la notifier à la CNIL dans un délai de 72 heures après en avoir pris connaissance (article 33 du RGPD), sauf si la violation est peu susceptible d'engendrer un risque pour les personnes.

Trois exigences se déclenchent simultanément :

• Qualifier l'incident : déterminer s'il y a bien violation, quelles catégories de données sont touchées, combien de personnes sont concernées ;
• Notifier la CNIL dans les 72 heures, en décrivant la nature de la violation, ses conséquences probables et les mesures prises ;
• Informer les personnes concernées lorsque la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés (article 34).

72 heures, ce n'est pas un délai de confort. C'est le temps qu'il faut, en pleine crise, pour comprendre ce qui s'est passé, mobiliser des experts et rédiger une notification crédible. Improviser à ce stade aggrave tout : l'exposition juridique comme la perte de confiance.

L'erreur classique consiste à temporiser, par crainte de la sanction ou par espoir que l'incident passe inaperçu. C'est exactement l'inverse qu'il faut faire : un manquement à l'obligation de notification est lui-même sanctionnable, et la dissimulation transforme un incident gérable en faute caractérisée.

Quand on évoque le coût d'une fuite, on pense aussitôt aux sanctions de la CNIL, qui peuvent atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Ce plafond est réel, mais il concerne les manquements les plus graves. Pour la plupart des e-commerçants, le coup financier vient d'ailleurs, et il frappe immédiatement.

Décomposons les postes de coût d'un incident type :

Pris isolément, chaque poste paraît absorbable. Cumulés sur quelques semaines, ils représentent une charge qui peut dépasser plusieurs dizaines de milliers d'euros pour une boutique de taille moyenne — avant même qu'une éventuelle sanction administrative n'entre en jeu. À cela s'ajoute le coût le plus insidieux : la perte de confiance. Un client dont les données ont fuité hésitera longtemps avant de recommander sa carte sur votre site.

Imaginons une boutique en ligne avec 40 000 comptes clients actifs. Une extension de paiement non mise à jour laisse passer un script malveillant qui capture, pendant trois semaines, les informations saisies au moment du règlement. L'alerte vient d'un client signalant des achats frauduleux. Voici le déroulé :

• Jour 1 : découverte. L'e-commerçant mobilise un prestataire de sécurité pour confirmer l'intrusion et stopper l'hémorragie. Le script est neutralisé, mais l'ampleur reste à mesurer.
• Jours 1 à 3 : qualification et notification à la CNIL dans le délai de 72 heures. L'analyse établit que des données de contact et des informations de paiement ont pu être exposées : le risque pour les personnes est jugé élevé.
• Jours 3 à 5 : information des 40 000 clients concernés, avec consignes (surveiller leurs comptes, faire opposition si besoin). Le support croule sous les demandes.
• Semaines suivantes : restauration et durcissement du site, communication de crise, gestion des réclamations, baisse marquée du chiffre d'affaires le temps que la confiance revienne.

Aucune amende n'est encore tombée à ce stade, et pourtant la facture s'est déjà accumulée : honoraires d'experts, conseil juridique, renfort de support, perte de ventes. C'est précisément ce que prend en charge une assurance cyber pour e-commerçant : elle finance la cellule de gestion de crise, les obligations de notification, la restauration et la perte d'exploitation, là où une trésorerie de PME atteindrait vite ses limites.

La garantie cyber n'est pas une simple ligne dans un contrat : c'est un dispositif de gestion de crise qui se déclenche au pire moment, quand l'entreprise est désorganisée et sous pression. Selon les formules, elle intervient sur plusieurs fronts complémentaires :

• Assistance d'urgence : accès à des experts (informatiques, juridiques, communication) dès la déclaration de l'incident, pour ne pas affronter la crise seul ;
• Frais de notification et de conformité : prise en charge des coûts liés à l'information de la CNIL et des personnes concernées ;
• Restauration des données et des systèmes : remise en état de votre site et de vos bases ;
• Pertes d'exploitation : compensation du chiffre d'affaires perdu pendant l'indisponibilité consécutive à l'attaque ;
• Responsabilité envers les tiers : prise en charge des réclamations de clients dont les données ont été compromises.

Cette couverture se distingue de la RC Pro, qui répond des dommages causés par votre activité au sens large : le risque numérique a sa logique propre, ses délais propres et ses experts propres. Pour un e-commerçant, dont l'activité repose entièrement sur des systèmes et des données, le volet cyber n'est pas un supplément : c'est le cœur du dispositif de protection. Pour situer ces garanties dans l'ensemble de votre couverture, consultez notre fiche assurance e-commerçant.

La gestion d'une violation de données se joue en grande partie avant qu'elle ne survienne. Quelques mesures réduisent à la fois la probabilité de l'incident et la violence de ses conséquences :

1. Tenez vos systèmes à jour. La majorité des intrusions exploitent des failles connues sur des extensions ou des modules non mis à jour. La maintenance est la première ligne de défense.
2. Cartographiez vos données. Sachez quelles données personnelles vous détenez, où elles sont stockées et qui y accède. On ne protège bien que ce que l'on a recensé, et on ne notifie correctement que ce que l'on connaît.
3. Préparez votre procédure de notification. Anticipez qui contacte la CNIL, qui mobilise les experts, qui communique : un plan écrit fait gagner un temps décisif dans les 72 heures.
4. Limitez ce que vous conservez. Moins vous stockez de données sensibles, moins une fuite est grave. La minimisation des données est un principe RGPD et une protection concrète.
5. Souscrivez une couverture cyber adaptée. Vérifiez qu'elle inclut l'assistance d'urgence, les frais de notification, la restauration et les pertes d'exploitation, et que les plafonds correspondent à votre volume de données.

Une fuite de données n'est jamais un simple problème technique : c'est une épreuve juridique, financière et réputationnelle qui se déroule en accéléré. L'enjeu n'est pas de promettre qu'elle n'arrivera jamais — aucun site n'est inviolable — mais de faire en sorte que, le jour venu, vous ayez les moyens et les bons réflexes pour traverser les 72 heures qui décident de tout.