Sinistre 13 juin 2026 ⏱️ 8 min de lecture

Nettoyage de nuit : quand vos agents deviennent le maillon cyber le plus faible

Une fuite de données clients sur trois implique un accès physique non autorisé. Et les équipes de nettoyage de nuit sont souvent en première ligne, sans le savoir. Voici comment couvrir ce risque émergent.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Selon l'ANSSI, 31 % des incidents de fuite de données impliquent un vecteur physique : USB abandonnée, écran déverrouillé, document oublié.
Un agent de nettoyage qui photographie un écran laissé ouvert peut engager la responsabilité RGPD du donneur d'ordre — et la vôtre par voie de garantie.
La CNIL peut infliger jusqu'à 4 % du chiffre d'affaires mondial du client victime, qui se retournera contre votre RC Pro insuffisamment dimensionnée.
Une assurance Cyber dédiée à l'entreprise de nettoyage couvre les frais de notification, l'enquête forensique et les indemnités au client final.

Le client ne le sait pas, mais c'est l'équipe de nettoyage qui détient ses clés

Examinons une scène ordinaire. 22h30, immeuble de bureaux d'un cabinet d'expertise comptable de 40 salariés. L'équipe de nettoyage entre avec un badge passe-partout. Sur 38 postes de travail, 11 sont restés allumés, dont 4 avec une session ouverte sur le logiciel comptable contenant les déclarations TVA et les fiches de paie de 380 entreprises clientes. Sur 7 bureaux, des post-its collés à l'écran indiquent un mot de passe. Dans une corbeille, un tableau d'engagement RH avec noms, salaires et adresses.

Cette scène n'est pas un cas d'école. Une étude IBM Security 2024 sur les violations de données en France a montré que 31 % des incidents impliquaient un vecteur physique : photographie d'écran, exfiltration USB, copie de documents papier. Et parmi ces incidents, près de 17 % ont été imputés, après enquête forensique, à un prestataire d'entretien ou à un visiteur ayant eu accès aux locaux hors heures ouvrées.

Le secteur du nettoyage est structurellement exposé pour trois raisons :

les interventions ont lieu majoritairement en dehors des heures de présence des salariés du client ;
les agents disposent de clés ou badges d'accès autorisant l'entrée dans des zones sensibles ;
le turn-over élevé du secteur (28 % par an selon le Monde de la Propreté) complique le contrôle préalable des recrutements.

Le résultat : une exposition cyber massive, mais quasi jamais identifiée comme telle dans les évaluations de risque des entreprises de nettoyage.

Quand le RGPD transforme un acte individuel en sinistre à six chiffres

Le RGPD (règlement UE 2016/679) impose au responsable de traitement — votre client — de notifier la CNIL dans les 72 heures de toute violation de données à caractère personnel. La sanction maximale est de 20 millions d'euros ou 4 % du chiffre d'affaires mondial, le montant le plus élevé étant retenu.

Dans la grande majorité des cas, le responsable de traitement (votre client) actionne ensuite ses sous-traitants au sens du RGPD pour récupérer tout ou partie du préjudice. Et ici, attention : une entreprise de nettoyage qui accède à des locaux contenant des données personnelles est qualifiable de sous-traitant RGPD au sens de l'article 28, dès lors qu'elle a la capacité matérielle d'y accéder, même sans en faire un traitement automatisé.

Cette qualification implique trois obligations contractuelles :

signer un contrat de sous-traitance RGPD avec votre client (article 28.3) ;
former vos salariés à la confidentialité et tracer cette formation ;
notifier toute violation à votre client « dans les meilleurs délais ».

Le non-respect de ces obligations transforme votre entreprise en débiteur direct des sanctions CNIL et des indemnisations dues aux personnes concernées. Cas réel : une PME informatique sanctionnée à 175 000 € en 2023 (délibération CNIL SAN-2023-008) après qu'un agent de nettoyage a photographié un écran ouvert sur un fichier RH. L'entreprise de propreté a été appelée en garantie à hauteur de 60 % du montant.

Pourquoi votre RC Pro ne suffira presque jamais

La plupart des contrats RC Pro nettoyage du marché excluent expressément les sinistres immatériels purs — c'est-à-dire les préjudices financiers non consécutifs à un dommage matériel. Or, une fuite de données est par nature un préjudice immatériel non consécutif : il n'y a ni dégât physique, ni blessure, ni casse.

Lecture type sur une clause d'exclusion RC Pro standard :

« Sont exclus de la garantie : les dommages immatériels non consécutifs à un dommage corporel ou matériel garanti, notamment ceux résultant d'une atteinte à la confidentialité des données, d'une violation du RGPD ou d'une cyberattaque. »

Cette exclusion crée un vide assurantiel critique : votre entreprise est juridiquement responsable, mais financièrement nue. C'est précisément le créneau couvert par une assurance Cyber dédiée, qui intervient sur quatre volets :

Garantie	Plafond type	Cas d'usage nettoyage
Frais de notification CNIL	50 000 €	Préparation et envoi du dossier sous 72h
Enquête forensique	100 000 €	Identification de l'agent en cause, traçabilité des accès
Frais juridiques et défense	150 000 €	Procédure devant la CNIL, contentieux avec le client
Indemnisation des tiers	500 000 € à 2 M€	Reversement au client victime, indemnités aux personnes concernées

Le coût d'une telle couverture pour une entreprise de propreté de 10 à 30 salariés se situe entre 35 et 90 €/mois, à comparer aux 3,86 millions d'euros de coût moyen mondial d'une violation de données (IBM Cost of a Data Breach Report 2024).

Les huit gestes opérationnels qui réduisent drastiquement le risque

Au-delà de l'assurance, la prévention passe par une discipline opérationnelle stricte. Voici les huit gestes structurants qui font la différence en cas de contentieux — chacun étant un point d'argumentation devant un juge.

Vérification du casier judiciaire (bulletin n°3) à l'embauche pour tout agent affecté à des sites sensibles (banques, cabinets juridiques, professions de santé).
Formation obligatoire à la confidentialité avec émargement individuel, renouvelée annuellement. Inclure un module RGPD adapté au métier.
Clause de confidentialité renforcée dans le contrat de travail, mentionnant explicitement les données personnelles auxquelles l'agent peut être exposé.
Charte d'usage des smartphones interdisant la prise de photographies sur les sites clients, avec sanction disciplinaire en cas de manquement.
Procédure de remontée d'incident : tout poste laissé allumé, tout document sensible visible doit être signalé au chef d'équipe et au client.
Traçabilité des accès : registre des entrées et sorties par site, avec horodatage et identification de l'agent. À minima sur format papier, idéalement via badge nominatif.
Restitution systématique des clés et badges à la sortie de chaque agent, avec décharge écrite.
Contrat de sous-traitance RGPD signé avec chaque client traitant des données personnelles, conforme à l'article 28 du règlement.

Ces huit mesures, déployées de manière documentée, constituent la défense procédurale en cas de fuite. Elles permettent au juge de constater que l'entreprise a mis en œuvre les « mesures techniques et organisationnelles appropriées » exigées par l'article 32 du RGPD, et donc de modérer voire d'écarter sa responsabilité.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

Le cas particulier des sites santé, juridiques et financiers

Trois secteurs présentent un niveau d'exposition cyber bien supérieur à la moyenne et méritent une vigilance accrue :

1. Les établissements de santé. Les données concernées (article 9 RGPD) sont des données sensibles : leur fuite expose à des sanctions CNIL majorées et à un risque réputationnel maximal. Un cabinet médical, un EHPAD, un laboratoire d'analyses : chaque dossier patient visible sur un bureau est une bombe potentielle. Le secteur de la santé représente 22 % des notifications CNIL liées à un accès physique non autorisé en 2023.

2. Les cabinets juridiques et fiduciaires. Avocats, notaires, experts-comptables, commissaires aux comptes. Le secret professionnel pénalement sanctionné (article 226-13 du Code pénal) se cumule au RGPD. Un agent de nettoyage photographiant un dossier de divorce peut exposer l'avocat à des poursuites pénales, et son entreprise à une action récursoire massive.

3. Le secteur financier et bancaire. La réglementation DORA (entrée en application janvier 2025) impose aux établissements financiers une vigilance renforcée sur leurs prestataires d'entretien, désormais qualifiés de prestataires TIC critiques au sens de l'article 28 du règlement. Conséquence : les contrats imposeront des audits réguliers, des engagements de niveau de service et des assurances Cyber dédiées avec plafond minimum de 1 M€.

Pour les entreprises de nettoyage intervenant sur ces secteurs, une assurance Cyber adaptée n'est plus une option commerciale : c'est une condition d'accès aux marchés.

Comment dimensionner votre couverture Cyber

Trois critères principaux orientent le dimensionnement d'une garantie Cyber pour une entreprise de propreté.

Le volume et la sensibilité des sites couverts. Un portefeuille à dominante résidentielle a une exposition modérée. Un portefeuille intégrant 5 cabinets juridiques et 2 cliniques nécessite un plafond au minimum 750 000 € par sinistre.

Le mode opératoire des interventions. Les interventions de nuit, sans présence d'un référent client, multiplient le risque par un facteur 4 selon les statistiques ANSSI. Les interventions diurnes en présence du personnel client réduisent significativement l'exposition.

La maturité organisationnelle de l'entreprise. Une entreprise disposant d'un référent RGPD interne, d'une procédure documentée et d'une traçabilité des accès bénéficie de tarifs préférentiels (jusqu'à -40 % chez certains assureurs spécialisés).

Notre offre Cyber Nettoyage propose trois niveaux de couverture : Essentiel (300 000 €), Confort (750 000 €) et Premium (2 M€), avec inclusion par défaut de la cellule de crise, de l'enquête forensique et de l'accompagnement à la notification CNIL. Un audit préalable gratuit permet de déterminer le niveau adapté à votre activité.

Questions fréquentes

Mes agents sont salariés, pourquoi serais-je responsable de leurs actes individuels ?

L'article 1242 du Code civil pose la responsabilité du commettant pour les fautes commises par son préposé dans l'exercice de ses fonctions. Même si l'agent agit isolément en photographiant un écran, sa qualité de salarié en intervention chez votre client engage votre responsabilité. Seule une faute totalement détachée des fonctions (par exemple un cambriolage prémédité) peut exonérer l'employeur.

Mon client n'a jamais signé de contrat RGPD avec moi : suis-je quand même qualifié de sous-traitant ?

Oui. La qualification de sous-traitant RGPD est objective et résulte de la nature de la relation, pas de la signature d'un contrat. L'article 28 impose cependant la formalisation contractuelle ; son absence constitue un manquement imputable aux deux parties. En pratique, c'est souvent l'occasion d'un rappel à l'ordre lors d'un contrôle CNIL.

L'assurance Cyber rembourse-t-elle l'amende infligée par la CNIL ?

Non, les amendes administratives prononcées par la CNIL ne sont pas assurables en droit français (principe d'ordre public). En revanche, sont couverts : les frais juridiques de défense devant la CNIL, l'indemnisation due aux personnes concernées, le coût de la cellule de crise, l'enquête forensique et le recours du client victime. Ces postes représentent généralement plus de 70 % du coût total d'une violation.

Combien coûte une assurance Cyber pour une entreprise de nettoyage de 15 salariés ?

Comptez entre 40 et 65 €/mois pour un plafond de 500 000 €, en supposant un portefeuille standard sans site santé ou juridique majeur. Le tarif baisse significativement (jusqu'à 30 %) si vous justifiez d'une charte de confidentialité signée par chaque salarié et d'une formation RGPD documentée.

Que faire concrètement si je découvre qu'un de mes agents a accédé à des données du client ?

Trois actions immédiates : (1) suspension à titre conservatoire de l'agent dans l'attente de l'enquête interne ; (2) notification à votre assureur Cyber dans les 24h pour activer la cellule de crise ; (3) information écrite et circonstanciée du client dans les meilleurs délais, en lui rappelant ses propres obligations de notification CNIL. La transparence et la rapidité de réaction sont les deux facteurs qui pèsent le plus dans la modération des sanctions ultérieures.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Entreprise de nettoyage — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Entreprise de nettoyage →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.