Fichier prospects piraté : quand l'apporteur d'affaires devient responsable de la fuite RGPD
Un apporteur d'affaires manipule des fichiers prospects qui valent de l'or — et que les attaquants ciblent en priorité. Reconstitution chiffrée d'un sinistre type : fuite de 3 200 contacts B2B, sanction CNIL, perte de bénéficiaires, et facture finale de 87 000 €.
- Un apporteur d'affaires est responsable de traitement RGPD à part entière dès qu'il constitue et utilise une base prospects.
- Une fuite de fichier prospects expose à 3 sanctions cumulatives : CNIL (jusqu'à 4 % du CA), actions civiles des personnes fichées, rupture des contrats d'apport.
- Sinistre type chiffré : 3 200 contacts B2B exfiltrés, 87 000 € de coût final (CNIL + notifications + perte clients + frais de réponse à incident).
- Une garantie Cyber dédiée prend en charge la réponse à incident, les notifications CNIL, la défense juridique et la perte d'exploitation.
Le scénario : un Excel sur un portable volé
Marc est apporteur d'affaires indépendant en SaaS B2B depuis 4 ans. Il travaille avec 6 éditeurs partenaires et gère une base prospects qu'il a constituée en 4 ans de prospection : 3 200 décideurs (directeurs SI, RH, marketing) avec emails professionnels, numéros de mobile, notes de qualification, historiques d'échanges. Cette base est son actif principal. Elle vit dans un fichier Excel stocké sur OneDrive, dupliqué sur son MacBook et synchronisé avec son CRM Pipedrive.
Un lundi matin, son MacBook est dérobé dans un train. Le disque n'est pas chiffré (FileVault désactivé pour « ne pas ralentir la machine »), la session OneDrive est ouverte en permanence. Marc déclare le vol à la police le jour même mais ne prévient ni la CNIL, ni ses prospects, ni ses bénéficiaires : « le voleur revendra l'ordinateur, il ne s'intéressera pas aux fichiers », pense-t-il.
Trois semaines plus tard, plusieurs de ses prospects reçoivent des emails de phishing extrêmement ciblés, citant leur fonction exacte, leur projet en cours et le nom de Marc. Un client le contacte, furieux. La fuite est avérée. Le calvaire commence.
L'apporteur est responsable de traitement, pas sous-traitant
Première surprise pour Marc : il pensait être un simple intermédiaire et donc juridiquement « caché » derrière ses bénéficiaires. C'est faux. Selon le RGPD (article 4.7), est responsable de traitement quiconque détermine les finalités et les moyens du traitement. Marc a constitué la base, choisi les contacts, fixé les critères de qualification, décidé du logiciel utilisé. Il est responsable de traitement à part entière, indépendamment de ses bénéficiaires.
Conséquences immédiates au sens du RGPD :
- Obligation de notifier la CNIL dans les 72 heures (article 33). Marc a 21 jours de retard.
- Obligation de notifier les personnes concernées si le risque est élevé (article 34). 3 200 personnes à contacter individuellement.
- Obligation de tenir un registre des activités de traitement (article 30). Marc n'en a aucun.
- Obligation de mettre en œuvre des mesures techniques appropriées (article 32). Le disque non chiffré et le mot de passe OneDrive faible sont des manquements caractérisés.
La facture finale, ligne par ligne
Voici le décompte réel d'un sinistre comparable, sur lequel les assureurs cyber se basent pour tarifer la garantie :
| Poste | Coût |
|---|---|
| Forensic et réponse à incident (cabinet expert 5 jours) | 18 000 € |
| Notification individuelle des 3 200 personnes (lettre RAR + email) | 12 000 € |
| Hotline dédiée pendant 30 jours | 4 500 € |
| Sanction CNIL (amende administrative, après procédure) | 25 000 € |
| Avocat RGPD (procédure CNIL + actions civiles) | 9 500 € |
| Perte de 3 contrats d'apport (sur 6) suite à rupture pour faute | 15 000 € (manque à gagner 6 mois) |
| Refonte sécurité (audit, chiffrement, MFA, formation) | 3 000 € |
| Total | 87 000 € |
Pour un apporteur dont le CA annuel dépasse rarement 150 000 €, ce sinistre représente plus de 6 mois de chiffre d'affaires net. Sans garantie Cyber, c'est la fin de l'activité.
Pourquoi la CNIL frappe fort sur les apporteurs
La CNIL a publié plusieurs lignes directrices ciblant explicitement la prospection B2B et les intermédiaires. Deux raisons :
- Le consentement est rarement valable. Les bases prospects sont souvent constituées par scraping LinkedIn, achat de fichiers, ou collecte indirecte. Le RGPD impose pourtant une base légale claire (intérêt légitime motivé, ou consentement explicite). Marc n'avait pas formalisé sa base légale.
- Les mesures de sécurité sont souvent négligées. La CNIL considère que les apporteurs et freelances « manipulent des volumes de données sans niveau de sécurité proportionné ». L'absence de chiffrement de disque est devenue, depuis 2023, un motif quasi-automatique de sanction.
La sanction maximale du RGPD est de 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial (article 83), le plus élevé des deux. En pratique, la CNIL applique un barème proportionné, mais les sanctions inférieures à 30 000 € pour les indépendants se multiplient depuis 2024.
La rupture des contrats d'apport pour faute
Deuxième dégât collatéral souvent sous-estimé : les bénéficiaires de Marc ont activé la clause de rupture pour faute prévue dans leurs contrats d'apport. Pourquoi ? Parce que la fuite de la base prospects de Marc inclut les contacts qu'il a apportés à ces bénéficiaires. Leur réputation commerciale est entachée, leurs prospects sont harcelés par phishing, et ils risquent eux-mêmes une mise en cause RGPD en tant que destinataires des données fuitées.
3 contrats d'apport sur 6 sont rompus, sans préavis et sans indemnité. La clause d'audit et de confidentialité du contrat d'apport sert ici de motif de rupture. Marc perd non seulement ses commissions futures, mais aussi les commissions d'imputation sur les contacts déjà apportés (les bénéficiaires invoquent la clause de déchéance pour faute grave).
Ce qu'une garantie Cyber prend en charge
La garantie Cyber Insurio dédiée aux apporteurs d'affaires couvre, pour une cotisation de quelques dizaines d'euros mensuels :
- Réponse à incident : intervention sous 4 heures d'un expert forensic agréé, prise en charge des frais d'investigation et de remédiation.
- Notifications réglementaires : prise en charge des coûts de notification à la CNIL et aux personnes concernées (envois, hotline, communication de crise).
- Défense juridique RGPD : honoraires d'avocat pour la procédure CNIL, les actions civiles et les négociations avec les bénéficiaires.
- Sanctions assurables : prise en charge des amendes administratives dans la limite des plafonds légaux assurables (l'amende elle-même n'est pas toujours couverte, mais les frais annexes le sont systématiquement).
- Perte d'exploitation : indemnisation de la baisse de CA liée à l'incident (perte de contrats, interruption d'activité).
- Cyber-extorsion : en cas de rançongiciel, prise en charge des négociations et, sous conditions, du paiement de la rançon.
Les 5 gestes à mettre en place ce soir
Indépendamment de l'assurance, voici les mesures de sécurité qui auraient évité 90 % du sinistre de Marc, applicables en moins de 2 heures :
- Activer le chiffrement de disque (FileVault sur Mac, BitLocker sur Windows) : un ordinateur volé devient inutilisable.
- Imposer la double authentification sur tous les comptes cloud (OneDrive, Google Drive, Pipedrive, HubSpot).
- Migrer la base prospects vers un CRM avec gestion des accès, journalisation et purge automatique des contacts inactifs depuis 3 ans.
- Rédiger un registre RGPD (modèle CNIL gratuit) qui formalise la base légale, les finalités, la durée de conservation.
- Souscrire une garantie Cyber couplée à la RC Pro Apporteur d'affaires : c'est l'un des rares postes où l'assurance coûte moins de 1 % du sinistre potentiel.
Pour une simulation immédiate adaptée à votre activité, rendez-vous sur la page Insurio dédiée aux apporteurs d'affaires.
Questions fréquentes
Oui, sans aucun seuil. Le RGPD s'applique dès qu'une personne traite des données à caractère personnel à des fins professionnelles, quel que soit son statut (micro-entreprise, SASU, indépendant). Le mythe du « seuil de 250 salariés » ne concerne que la dispense de registre, dispense elle-même très encadrée.
Oui. La CNIL considère qu'un email professionnel nominatif est une donnée personnelle car il permet d'identifier directement une personne physique. Toutes les obligations RGPD s'appliquent : information, droit d'opposition, sécurité, registre.
Oui dès qu'il y a perte de confidentialité, même sans preuve d'exploitation effective. Le RGPD impose la notification sous 72 heures dès qu'une violation est susceptible d'engendrer un risque pour les droits des personnes. Un fichier exfiltré, même non lu, déclenche cette obligation.
Oui, la garantie Cyber Insurio inclut la cyber-extorsion : prise en charge des frais de négociation avec les attaquants, restauration des systèmes, et, sous conditions strictes encadrées par la loi LOPMI de 2023, paiement éventuel de la rançon (sous réserve de dépôt de plainte préalable dans les 72 heures).
Non, pas seul. Le prestataire CRM est sous-traitant au sens du RGPD, vous restez responsable de traitement. En cas de fuite chez votre prestataire, vous demeurez en première ligne face à la CNIL et aux personnes concernées. Vous pouvez ensuite vous retourner contractuellement contre le prestataire, mais la responsabilité initiale reste la vôtre.
Souscrivez votre assurance pro en 2 minutes
Toutes nos protections pour votre activité de Apporteur d'affaires — attestation immédiate, sans engagement.
* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Apporteur d'affaires →
Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.