Décryptage 13 juin 2026 ⏱️ 8 min min de lecture

Fichiers mariés piratés : la bombe RGPD qui menace votre agence

Vous stockez les listes d'invités, plans de table, allergies alimentaires et numéros de portables de centaines de familles. Un seul phishing et la CNIL peut vous infliger une amende à 4 % du chiffre d'affaires.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Un organisateur de réceptions traite des données personnelles sensibles : allergies, religion, situation familiale, données bancaires d'acomptes.
Le RGPD impose la qualité de responsable de traitement, avec registre, base légale documentée et notification CNIL en 72 heures en cas de fuite.
Les rançongiciels visant les TPE événementielles ont triplé entre 2022 et 2025, avec rançon moyenne demandée autour de 28 000 €.
Une garantie cyber dédiée couvre la rançon, la notification CNIL, le forensic et les indemnités aux personnes concernées.

La nature explosive de votre base de données

L'organisateur de réceptions ne se voit pas comme un acteur du numérique. Et pourtant, le tableur partagé d'un mariage typique contient :

Les noms, prénoms, adresses postales et numéros de portable de 150 à 400 invités ;
Les allergies alimentaires et régimes particuliers (donc des données de santé, catégorie spéciale au sens de l'article 9 du RGPD) ;
Les contraintes religieuses ou philosophiques (autre catégorie spéciale) ;
Les RIB et coordonnées bancaires des mariés et de leurs parents pour les acomptes ;
Les photos d'identification pour la sécurité, parfois les plans de table avec les liens familiaux (donc structure familiale, divorces, recompositions) ;
Les noms et coordonnées des enfants mineurs.

Multipliés par 30 à 80 événements par an, cela représente un fichier d'environ 15 000 à 30 000 personnes concernées en stock chez un organisateur en activité depuis cinq ans. Vous êtes responsable de traitement au sens du RGPD, sans le savoir.

Pourquoi les cybercriminels ciblent désormais les TPE événementielles

Les attaquants ont changé de cible. Depuis 2022, ils visent moins les grandes entreprises (mieux défendues) que les TPE des services, dont les agences événementielles. Trois raisons concrètes :

Vous communiquez avec des dizaines d'inconnus chaque semaine (prestataires, fournisseurs, demandes de devis), ce qui multiplie les vecteurs d'entrée par phishing — la fausse facture du traiteur reste l'attaque numéro un.
Vos données ont une valeur de chantage immédiate : la liste d'invités d'une personnalité publique, les coordonnées des familles d'un mariage médiatisé, ou simplement la peur d'embarrasser les mariés justifient pour l'attaquant une rançon élevée.
Votre cycle de paiement est tendu : un événement dans trois jours signifie que vous payerez la rançon plus vite qu'une entreprise classique. Les attaquants calent leurs offensives sur le vendredi après-midi avant les week-ends de mariage.

Selon l'ANSSI, les TPE des services ont représenté 41 % des signalements de rançongiciel en 2024, avec une rançon moyenne demandée de 28 400 € et un coût total de remédiation (perte d'exploitation incluse) autour de 76 000 €.

Les obligations RGPD que vous ignorez probablement

L'organisateur de réceptions est responsable de traitement. Cela impose, même pour une structure d'une personne, plusieurs obligations dont l'absence est lourdement sanctionnée :

Obligation	Article RGPD	Sanction maximale
Tenir un registre des activités de traitement	Article 30	10 M€ ou 2 % CA mondial
Notifier la CNIL en 72 h en cas de violation	Article 33	10 M€ ou 2 % CA mondial
Informer les personnes concernées en cas de risque élevé	Article 34	10 M€ ou 2 % CA mondial
Obtenir le consentement explicite pour les données de santé	Article 9	20 M€ ou 4 % CA mondial
Limiter la durée de conservation au strict nécessaire	Article 5	20 M€ ou 4 % CA mondial
Encadrer les sous-traitants par contrat écrit	Article 28	10 M€ ou 2 % CA mondial

La CNIL applique le principe de proportionnalité : pour une TPE, les amendes constatées en 2023-2025 vont de 5 000 € à 90 000 €, en moyenne 18 000 € pour un défaut de registre couplé à une fuite mineure.

Le coût réel d'une fuite, hors rançon

La rançon n'est qu'une partie de la facture. Voici les postes systématiquement déclenchés par une violation de données chez un organisateur d'événements :

Forensic informatique (analyse de l'attaque pour identifier les données exfiltrées) : 6 000 à 22 000 €.
Notification CNIL et conseil juridique RGPD : 2 500 à 8 000 €.
Lettres de notification aux personnes concernées (frais postaux et plateforme de notification certifiée) : 1,80 à 4 € par personne, soit 12 000 € pour 4 000 invités notifiés.
Cellule de crise et communication auprès des clients en cours : 4 000 à 15 000 €.
Reconstitution de la base à partir des sauvegardes, si elles existent et sont saines : 3 000 à 10 000 € de temps technique.
Perte d'exploitation sur les événements perturbés ou annulés : très variable, souvent 15 000 à 50 000 € pour une agence faisant 40 événements par an.
Indemnisations individuelles aux personnes concernées en cas d'action en justice (préjudice moral) : 200 à 1 500 € par requérant.

Une RC Pro classique ne couvre aucun de ces postes. Seule une garantie cyber dédiée prend en charge la rançon (quand sa négociation est légalement autorisée), le forensic, la notification, la communication de crise et la perte d'exploitation.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Cinq mesures concrètes à mettre en place avant le prochain mariage

Activez l'authentification à deux facteurs sur la messagerie professionnelle, le drive et tous les outils SaaS (CRM, facturation, comptabilité). C'est gratuit et bloque 99 % des compromissions par phishing selon Microsoft.
Mettez en place une sauvegarde hors ligne hebdomadaire de la base clients, déconnectée du réseau (disque externe roulant entre deux semaines). Un rançongiciel chiffre toutes les sauvegardes en ligne.
Rédigez un registre des traitements simple en deux pages (un tableau Excel suffit) listant : finalité, base légale, données collectées, durée de conservation, destinataires, mesures de sécurité.
Faites signer une clause RGPD par chaque sous-traitant qui accède à vos données invités : traiteur, plan de table en ligne, prestataire d'envoi d'invitations. Le sous-traitant doit s'engager à ne pas utiliser les données à ses fins.
Purgez automatiquement les données invités six mois après l'événement, sauf demande écrite de conservation du client. La limitation de durée est la première chose vérifiée par la CNIL en cas de contrôle.

Pour le détail des risques propres à votre métier, consultez la page organisateur de réceptions.

Le piège de l'absence de DPO et des sanctions CNIL pour les TPE

Beaucoup d'organisateurs pensent qu'ils n'ont pas besoin de DPO (délégué à la protection des données) parce qu'ils sont une petite structure. C'est presque vrai : le DPO n'est obligatoire que pour le traitement à grande échelle de catégories particulières. Pour un organisateur classique, il ne l'est pas.

En revanche, l'absence de DPO n'exonère en rien des autres obligations. La CNIL est sans complaisance vis-à-vis des TPE qui invoquent leur taille. Délibération SAN-2023-019 : sanction de 75 000 € à un photographe événementiel pour absence de registre, durée de conservation indéterminée et défaut de sécurisation des sauvegardes en ligne.

Le critère de la CNIL n'est pas votre chiffre d'affaires, c'est le volume et la sensibilité des données traitées. Un organisateur qui collecte allergies, enfants mineurs et plans de table familiaux entre dans la catégorie sensible.

Questions fréquentes

Je travaille avec des tableurs partagés Google Sheets, est-ce conforme RGPD ?

Oui, à condition de paramétrer correctement les droits d'accès (jamais en lien public), d'utiliser un compte professionnel Workspace et de signer le DPA avec Google. Le tableur grand public ouvert à tous est non conforme et constitue à lui seul un manquement à l'article 32.

Dois-je signaler la fuite si seuls les noms et téléphones ont été exposés ?

Oui, à la CNIL dans les 72 heures. Le seuil de notification est très bas. L'information aux personnes concernées dépend du risque pour leurs droits et libertés : pour des noms et téléphones, elle peut être recommandée si l'attaquant peut s'en servir pour du phishing ciblé.

Mon assurance cyber paie-t-elle la rançon si je décide de payer ?

Cela dépend du contrat. Beaucoup d'assureurs ne paient plus la rançon depuis 2023 mais financent la négociation, le forensic et la remédiation. La loi LOPMI conditionne le remboursement à un dépôt de plainte dans les 72 heures. Lisez votre clause cyber-extorsion.

Combien de temps puis-je conserver les données des invités d'un mariage ?

Le principe est de purger dès que la finalité est atteinte. Pour un mariage : six mois après l'événement est une durée admise pour gérer les éventuelles réclamations. Au-delà, vous devez justifier d'une obligation légale (comptabilité) ou d'un consentement explicite.

Les amendes CNIL sont-elles couvertes par l'assurance cyber ?

Non, les amendes administratives ne sont jamais assurables en France (principe d'ordre public). L'assurance cyber couvre les coûts de défense face à la CNIL, le forensic, la notification, la rançon et les dommages aux tiers, mais pas la sanction elle-même.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Organisateur de réceptions — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Organisateur de réceptions →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.