inqase
Estimer ma prime
guides

RGPD et Cyberattaque : Obligations des PME Belges

Par InQase Team

Introduction au RGPD et cyber-risques

Le Règlement Général sur la Protection des Données (RGPD) impose des obligations strictes aux entreprises belges en matière de cybersécurité et de gestion des incidents.

Vos obligations en cas de cyberattaque

1. Notification à l’Autorité de Protection des Données (APD)

Vous devez notifier l’APD belge dans les 72 heures suivant la découverte d’une violation de données personnelles si celle-ci présente un risque pour les personnes concernées.

Que notifier ?

  • Nature de la violation
  • Catégories et nombre de personnes concernées
  • Types de données compromises
  • Mesures prises ou envisagées
  • Coordonnées du DPO (si applicable)

2. Notification aux personnes concernées

Si la violation présente un risque élevé pour les droits des personnes, vous devez les informer sans délai :

  • Clients
  • Employés
  • Partenaires
  • Toute personne dont les données ont été compromises

3. Documentation de l’incident

Le RGPD exige de tenir un registre des violations comprenant :

  • Date et heure de découverte
  • Chronologie des événements
  • Données concernées
  • Actions entreprises
  • Conséquences observées

Amendes et sanctions RGPD

Montants des amendes

Les sanctions peuvent atteindre :

  • Niveau 1 (moins grave) : jusqu’à 10M€ ou 2% du CA annuel mondial
  • Niveau 2 (plus grave) : jusqu’à 20M€ ou 4% du CA annuel mondial

Facteurs d’aggravation

  • Absence de notification dans les délais
  • Mesures de sécurité insuffisantes
  • Non-coopération avec l’APD
  • Violations répétées
  • Catégories sensibles de données (santé, origine, religion)

Exemples de sanctions en Belgique

  • 2025 : PME informatique, fuite 15 000 dossiers clients → 180 000€
  • 2024 : E-commerce, ransomware non notifié → 95 000€
  • 2024 : Cabinet médical, backup non sécurisé → 125 000€

Critères d’évaluation du risque

Risque standard (notification APD uniquement)

  • Données peu sensibles
  • Nombre limité de personnes
  • Données chiffrées
  • Impact financier faible

Risque élevé (notification APD + personnes)

  • Données sensibles (santé, bancaires)
  • Grand nombre de personnes
  • Données en clair
  • Risque d’usurpation d’identité
  • Impact financier ou réputation important

Comment se préparer ?

1. Désigner un responsable

Identifiez qui sera chargé de :

  • Détecter les incidents
  • Évaluer le risque
  • Effectuer les notifications
  • Coordonner la réponse

2. Préparer un modèle de notification

Créez à l’avance les templates pour :

  • Notification APD
  • Email aux personnes concernées
  • Communication de crise

3. Mettre en place des mesures techniques

  • Chiffrement des données sensibles
  • Sauvegardes régulières déconnectées
  • Surveillance des accès
  • Logs d’activité

4. Former les équipes

  • Procédure de signalement d’incident
  • Premiers gestes en cas d’attaque
  • Escalation hiérarchique

Rôle de l’assurance cyber

Une assurance cyber adaptée vous accompagne sur :

Conformité RGPD

  • Assistance pour la notification à l’APD
  • Rédaction des communications aux personnes concernées
  • Coordination avec le DPO

Protection financière

  • Prise en charge des amendes RGPD (selon contrat)
  • Frais de notification aux personnes concernées
  • Coûts de l’enquête interne

Assistance juridique

  • Accompagnement lors de contrôles APD
  • Défense en cas de contentieux
  • Conseil en conformité RGPD

Procédure détaillée de notification

Étape 1 : Détection (Jour J)

  • Identification de l’incident
  • Isolation des systèmes concernés
  • Documentation initiale

Étape 2 : Évaluation (J+1)

  • Analyse de l’impact
  • Identification des données concernées
  • Évaluation du risque pour les personnes

Étape 3 : Notification APD (Jour J+72h max)

  • Envoi du formulaire de notification
  • Transmission des informations disponibles
  • Engagement sur informations complémentaires

Étape 4 : Notification personnes (si risque élevé)

  • Communication claire et transparente
  • Conseils pratiques de protection
  • Point de contact pour questions

Étape 5 : Suivi

  • Mise à jour du registre des violations
  • Actions correctives
  • Reporting à la direction

Erreurs courantes à éviter

1. Sous-estimer l’incident

Ne pas notifier par crainte ou ignorance expose à des sanctions plus lourdes.

2. Dépasser le délai de 72h

Commencez le comptage dès la découverte, pas la résolution.

3. Communication inadaptée

Évitez le jargon technique. Soyez clair sur les risques et mesures prises.

4. Absence de suivi

L’incident doit être documenté et suivi d’actions correctives.

Cas pratique : Ransomware dans une PME

Situation

PME de 30 employés victime d’un ransomware ayant chiffré la base clients (5 000 contacts incluant noms, emails, téléphones, historique d’achats).

Actions obligatoires

  1. J+0 : Isolation des systèmes, documentation
  2. J+1 : Évaluation du risque → Risque élevé (données clients + possibilité de phishing)
  3. J+2 : Notification APD via formulaire en ligne
  4. J+3 : Email à tous les clients concernés
  5. J+7 : Mise à jour registre violations + actions correctives

Coût sans assurance

  • Frais juridiques notification : 3 500€
  • Communication clients : 1 800€
  • Investigation technique : 5 000€
  • Amende APD potentielle : 15 000€ à 50 000€
  • Total : 25 000€ à 60 000€

Avec assurance cyber InQase

  • Franchise : 2 500€
  • Reste pris en charge par l’assurance
  • Total à charge : 2 500€

Conclusion

Le RGPD transforme la cyberattaque en double peine : l’incident technique ET l’obligation de notification avec risque d’amende. Une préparation adéquate et une assurance cyber adaptée permettent de gérer sereinement ces obligations tout en limitant l’impact financier et réputationnel.