Décryptage 13 juin 2026 ⏱️ 8 min de lecture

RGPD et entreprise 3D : votre registre d'intervention est-il une donnée sensible ?

Une entreprise de désinsectisation-dératisation collecte chaque jour des données qui valent de l'or pour un cambrioleur, un concurrent ou un journaliste : plans, codes d'accès, photos. Voici comment sécuriser tout cela, juridiquement et techniquement.

Par Sami Hami Courtier responsable · ORIAS 22001730

⚡ L'essentiel

Le registre d'intervention 3D contient des données à caractère personnel et stratégique : plans, codes, photos d'intérieurs, identités des occupants.
Une violation de données peut déclencher une amende CNIL jusqu'à 4 % du CA mondial et une obligation de notification dans les 72 heures.
La RC Pro classique ne couvre pas les frais de notification, l'expertise forensique ni la rançon en cas de ransomware.
Une assurance cyber dédiée à 25-60 €/mois sécurise le passage au digital (logiciels de gestion d'intervention, application mobile, photos cloud).

Pourquoi un registre 3D vaut plus qu'un fichier client classique

Sur le papier, votre registre d'intervention paraît anodin. En réalité, il concentre quatre catégories d'informations qui, combinées, en font une cible de choix pour la cybercriminalité et un dossier sensible au regard du RGPD :

Données d'identification : nom, prénom, adresse, téléphone, parfois date de naissance du donneur d'ordre — y compris pour les particuliers traités à domicile
Données de géolocalisation fine : plans de caves, sous-sols, locaux techniques, chambres froides, parfois codes d'accès digicode ou badge
Données économiques : volume de stockage alimentaire, configuration des cuisines professionnelles, équipements industriels — précieuses pour la concurrence
Données réputationnelles : photos d'infestations, notes de l'opérateur sur l'état d'hygiène d'un restaurant ou d'un commerce

Une fuite de ce registre n'est pas un incident IT banal. C'est un événement qui peut détruire la confiance avec votre clientèle agroalimentaire, déclencher une vague de résiliations et provoquer des actions en justice individuelles de la part de clients dont l'image publique est atteinte.

Le RGPD appliqué à la 3D : ce qui est obligatoire depuis 2018

Toute entreprise 3D, même unipersonnelle, est soumise au RGPD (règlement UE 2016/679) dès lors qu'elle traite des données de personnes physiques identifiables. Les obligations clés :

Registre des traitements (article 30 RGPD) — obligatoire si vous avez plus de 250 salariés ou si le traitement présente un risque pour les personnes. Concrètement, dès que vous photographiez l'intérieur d'un domicile, vous tombez dans la deuxième catégorie.
Information des personnes (articles 13-14) — votre devis et votre contrat doivent mentionner la finalité, la durée de conservation et les droits des personnes concernées.
Durée de conservation justifiée — la CNIL retient 5 ans après la fin de la relation commerciale comme maximum raisonnable, alignée sur la prescription civile.
Sécurité technique et organisationnelle (article 32) — chiffrement des sauvegardes, authentification forte, journalisation des accès.
Notification d'une violation (article 33) — sous 72 heures à la CNIL, en cas de risque pour les droits des personnes.

Le manquement est lourdement sanctionné : la CNIL peut prononcer une amende administrative jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial annuel (le plus élevé des deux). Pour une PME 3D, le simple coût de mise en conformité après contrôle dépasse couramment 35 000 €.

Le scénario cyber que vous n'avez peut-être pas anticipé

Imaginez : votre logiciel métier de planification d'interventions est hébergé chez un éditeur SaaS. Un opérateur clique sur un lien de phishing imitant un mail de votre éditeur. Ses identifiants sont siphonnés. L'attaquant accède à l'intégralité du planning des 18 prochains mois, télécharge le registre clients et chiffre vos sauvegardes locales. La demande de rançon arrive : 28 000 € en cryptomonnaie.

Décortiquons l'addition réelle d'un tel incident, observée sur les sinistres déclarés à l'ANSSI et au panel des assureurs cyber en 2024 :

Poste	Coût moyen PME 3D
Expertise forensique (origine, périmètre)	8 500 €
Reconstruction du SI	14 200 €
Notification CNIL et clients concernés	3 800 €
Cellule de crise communication	6 500 €
Perte d'exploitation (10 jours moyens)	22 000 €
Frais juridiques / assistance DPO	9 100 €
Rançon (déconseillée mais parfois payée)	28 000 €
Total potentiel	92 100 €

Et la RC Pro classique ne couvre quasiment rien de tout cela. Elle est calibrée pour les dommages corporels et matériels causés à un tiers, pas pour la reconstruction d'un SI ni pour les notifications réglementaires.

🔒

Besoin d'une Assurance Cyber ? Devis en 2 minutes, dès 19,90€/mois. Attestation immédiate, sans engagement.

Obtenir mon devis →

L'assurance cyber : la couverture méconnue qui complète votre RC Pro 3D

Une assurance cyber dédiée prend le relais là où la RC Pro s'arrête. Les garanties à viser pour une entreprise 3D digitalisée :

Reconstruction des données et systèmes — prise en charge de la restauration des sauvegardes et des prestations forensiques
Pertes d'exploitation cyber — indemnisation du chiffre d'affaires manqué pendant l'indisponibilité
Frais de notification — courrier postal aux personnes concernées, mise en place d'une hotline, communication CNIL
Cyber-extorsion — accompagnement en cas de demande de rançon, sans obligation de payer
Responsabilité civile cyber — pour les actions des tiers (clients) dont les données ont fuité
Cellule de crise 24/7 — accès immédiat à des experts techniques, juridiques et communication

Pour une entreprise 3D de moins de 10 salariés, comptez 25 à 60 €/mois selon le chiffre d'affaires et la volumétrie de données traitées. L'assurance cyber Insurio est souscrivable en ligne en complément de la RC Pro 3D, avec un audit de maturité cyber inclus la première année pour structurer vos sauvegardes et votre politique de mots de passe.

Cinq mesures gratuites à mettre en place dès cette semaine

Avant même la souscription d'une cyber-assurance, cinq actions sans budget réduisent drastiquement votre exposition :

Authentification à deux facteurs (2FA) sur tous les comptes professionnels — messagerie, logiciel métier, cloud photos. Une mesure qui bloque 99 % des tentatives de phishing selon Microsoft.
Sauvegarde 3-2-1 — 3 copies de vos données, sur 2 supports différents, dont 1 hors site (cloud ou disque déconnecté). Indispensable contre les ransomwares.
Mention RGPD sur devis et factures — ajoutez un paragraphe type indiquant les durées de conservation et le droit d'opposition. Modèle disponible gratuitement sur le site de la CNIL.
Désignation d'un référent données — pas forcément un DPO certifié (non obligatoire en PME 3D sauf cas particuliers), mais une personne identifiée qui centralise les demandes.
Charte d'usage pour les opérateurs — pas de photo client sur smartphone personnel, pas de partage WhatsApp non chiffré, pas de réutilisation des mots de passe.

Ces cinq mesures, conjuguées à une RC Pro adaptée et une cyber-assurance, constituent le socle de résilience d'une entreprise 3D moderne. Le digital a transformé votre métier ; il a aussi transformé vos risques. Les couvrir n'est plus un luxe, c'est une condition de pérennité.

Questions fréquentes

Suis-je obligé de désigner un DPO si je suis une PME 3D ?

Non, sauf si votre activité principale consiste en un suivi régulier et systématique à grande échelle, ou si vous traitez des données sensibles à grande échelle. Une PME 3D classique n'a pas cette obligation, mais doit désigner un référent et tenir un registre des traitements.

Puis-je conserver indéfiniment les photos d'intervention pour mes archives ?

Non. La CNIL recommande une conservation alignée sur la prescription civile (5 ans) ou la prescription pénale en cas de mise en cause possible. Au-delà, vous devez soit supprimer, soit anonymiser (flouter visages, plaques, numéros).

Une fuite de données déclenche-t-elle automatiquement une amende CNIL ?

Non. La CNIL applique une approche graduelle : avertissement, mise en demeure, sanction. L'amende n'intervient qu'en cas de manquement grave ou de récidive. Mais la notification obligatoire dans les 72 heures, elle, est systématique en cas de risque pour les personnes.

L'assurance cyber couvre-t-elle le paiement de la rançon ?

Certains contrats incluent une garantie cyber-extorsion qui peut couvrir le paiement, mais l'autorité française ANSSI déconseille fermement le paiement. La cellule de crise de l'assureur évalue alors les alternatives techniques (restauration des sauvegardes) avant toute négociation.

Mes salariés peuvent-ils utiliser leur smartphone personnel pour les photos d'intervention ?

Juridiquement risqué. Cela crée un risque de fuite (perte du téléphone, sauvegarde cloud personnel non chiffrée) et complique la suppression à la fin de la relation. Une charte BYOD claire et un MDM (gestion de flotte mobile) sont fortement recommandés, ou idéalement la fourniture de smartphones professionnels.

Souscrivez votre assurance pro en 2 minutes

Toutes nos protections pour votre activité de Désinsectisation-dératisation (3D) — attestation immédiate, sans engagement.

🛡️ RC Professionnelle dès 9,90€/mois* Souscrire → En savoir plus

🏢 Multirisque Pro dès 14,90€/mois* Souscrire → En savoir plus

Recommandé pour vous 🔒 Assurance Cyber dès 19,90€/mois* Souscrire → En savoir plus

💻 Matériel IT dès 7,90€/mois* Souscrire → En savoir plus

* Tarifs indicatifs « à partir de », selon votre profil, votre activité et les garanties choisies. · Voir la fiche Désinsectisation-dératisation (3D) →

Article rédigé et vérifié par l'équipe Insurio — Tutassûr, courtier en assurance immatriculé à l'ORIAS sous le n° 22001730. Information à caractère général ne se substituant pas aux conditions de votre contrat.