Étape 1 : Définir Vos Besoins Réels (Avant de Demander un Devis)

Le Questionnaire d'Auto-Évaluation France Épargne

Avant de contacter le moindre assureur, répondez précisément à ces 10 questions. Vos réponses constitueront la base de votre cahier des charges.

1. Volume et Nature des Données

Question : Combien d'enregistrements de données personnelles traitez-vous ?

☐ Moins de 1 000
☐ 1 000 - 10 000
☐ 10 000 - 50 000
☐ 50 000 - 100 000
☐ Plus de 100 000

Question : Quel est le niveau de sensibilité maximal ?

☐ Coordonnées standard (nom, email, téléphone)
☐ Données financières (IBAN, CB)
☐ Données de santé
☐ Autres données sensibles RGPD (religion, politique, orientation sexuelle)

💡 Impact : Ces deux réponses détermineront à elles seules 60-70% du montant de votre prime et le plafond de garantie minimum nécessaire.

2. Secteur et Réglementation

Question : Votre secteur impose-t-il des obligations spécifiques ?

☐ Santé (ARS, HAS, Ordre)
☐ Finance (ACPR, Banque de France)
☐ Hébergement données santé (certification HDS)
☐ Opérateur service essentiel (NIS 2)
☐ Professions réglementées (avocat, expert-comptable)
☐ Aucune obligation sectorielle spécifique

Impact : Certains secteurs nécessitent des garanties spécifiques (ex: plafonds minimums, assistance juridique sectorielle).

3. Maturité Cybersécurité

Questionnaire de maturité (1 point par réponse OUI) :

Avez-vous un RSSI ou responsable sécurité dédié ?
Authentification multi-facteurs (MFA) généralisée ?
Chiffrement des données sensibles au repos et en transit ?
Sauvegardes régulières testées (backup/restore) ?
Plan de réponse aux incidents cyber formalisé ?
Formation annuelle collaborateurs (phishing, etc.) ?
Audits de sécurité externes réguliers (annuels minimum) ?
Certifications sécurité (ISO 27001, SOC 2, etc.) ?

Score :

0-2 points : Maturité faible → Surprime 30-50% OU refus couverture
3-5 points : Maturité moyenne → Tarif standard
6-8 points : Maturité élevée → Réduction prime 15-25%

🎯 Conseil : Si votre score < 3, investissez d'abord dans la cybersécurité de base avant de chercher une assurance. Beaucoup d'assureurs refuseront de vous couvrir ou appliqueront des exclusions drastiques.

4. Historique et Sinistralité

Question : Avez-vous déjà subi un incident cyber ?

☐ Jamais aucun incident
☐ Tentatives d'attaques bloquées (phishing, scans, etc.)
☐ Incident mineur sans fuite données (< 100 personnes ou données non sensibles)
☐ Violation significative (100-10 000 personnes)
☐ Violation majeure (> 10 000 personnes)

Impact tarifaire :

Historique	Surprime	Conditions
Aucun incident	0%	Tarif de référence
Tentatives bloquées	+5-10%	Preuve mesures correctives
Incident mineur	+20-40%	Franchise majorée
Violation significative	+50-100%	Audit obligatoire avant souscription
Violation majeure (< 2 ans)	Refus ou +150%	Marché difficile

5. Capacité Financière et Appétence au Risque

Question : Quel montant votre entreprise peut-elle absorber en urgence ?

☐ Moins de 25 000€
☐ 25 000 - 100 000€
☐ 100 000 - 500 000€
☐ Plus de 500 000€

Traduction en franchise recommandée :

< 25 K€ → Franchise 0 ou 1 000€ (prime plus élevée)
25-100 K€ → Franchise 2 500-5 000€ (optimale pour PME)
100-500 K€ → Franchise 5 000-10 000€
> 500 K€ → Franchise 10 000-25 000€ (grandes entreprises)

Comparez les RC Pro adaptées à votre activité

Étape 2 : Comparer les Offres Méthodiquement

Le Tableau Comparatif à 12 Critères

Ne comparez jamais uniquement le prix. Utilisez cette grille pour évaluer chaque offre :

Critère	Offre A	Offre B	Offre C	Pondération
1. Plafond global garantie				⭐⭐⭐ (Critique)
2. Couverture frais notification				⭐⭐⭐
3. Couverture amendes CNIL				⭐⭐⭐
4. Assistance juridique RGPD				⭐⭐
5. Gestion de crise 24/7				⭐⭐
6. Interruption d'activité				⭐⭐ (si applicable)
7. Franchise				⭐⭐
8. Exclusions				⭐⭐⭐
9. Délai intervention				⭐⭐
10. Extension territoriale				⭐ (si international)
11. Prime annuelle TTC				⭐⭐
12. Réputation assureur				⭐

Détail des 12 Critères à Vérifier

1. Plafond Global de Garantie

Minimum TPE : 500 000€
Minimum PME (< 50 sal.) : 1 000 000€
Minimum PME (50-250 sal.) : 2 000 000€
Minimum ETI : 5 000 000€

⚠️ Piège : Certains contrats affichent un "plafond global" mais avec des sous-plafonds drastiques par garantie. Exemple :

Plafond global : 2 M€ (affiché en gros)
Mais notification : 200 K€ max
Amendes CNIL : 100 K€ max
Total réel utile : 300 K€ (pas 2 M€ !)

Question à poser : "Quel est le montant cumulé maximum que je peux percevoir si TOUTES les garanties sont activées sur un même sinistre ?"

2. Couverture Frais de Notification

Vérifiez :

✅ Notification CNIL incluse ? (frais légaux, conseil)
✅ Notification personnes concernées : quel plafond ?
✅ Centre d'appel dédié inclus ? Durée ?
✅ Sous-plafond ou intégré au plafond global ?

Benchmark :

Insuffisant : < 250 K€ (couvre seulement ~1 400 personnes à 180€/pers)
Correct : 500 K€ - 1 M€
Bon : > 1 M€ ou "frais réels dans limite plafond global"

3. Couverture Amendes CNIL

⚠️ Critical : C'est LE point de divergence majeur entre contrats.

Type Offre	Couverture Amendes CNIL
Entrée de gamme	❌ Exclues ou max 50 K€
Standard	✅ 250-500 K€
Premium	✅ 1-5 M€
Entreprise	✅ Jusqu'à plafond global

Exclusions systématiques (même formules premium) :

Violations intentionnelles
Non-respect délibéré RGPD
Amendes pour infractions autres que RGPD

Question piège à poser : "Si la CNIL qualifie notre violation de 'négligence grave' plutôt que 'involontaire', suis-je couvert ?" → Beaucoup de contrats excluent la "négligence grave".

4. Assistance Juridique RGPD

Vérifiez le périmètre exact :

✅ Couverture complète :

Conseil pré-notification CNIL
Représentation procédure CNIL
Défense actions personnes concernées
Défense litiges partenaires/clients
Honoraires avocats pris en charge
Aucun sous-plafond (dans limite globale)

⚠️ Couverture limitée :

Uniquement "conseil téléphonique"
Sous-plafond 20-50 K€ (insuffisant si contentieux)
Exclusion actions collectives

Benchmark : Un contentieux CNIL complet = 40-120 K€ d'honoraires. Sous-plafond < 50 K€ = insuffisant.

5. Gestion de Crise et Communication 24/7

Différences majeures entre offres :

Critère	Offre Basique	Offre Premium
Disponibilité hotline	9h-18h jours ouvrés	24/7/365
Délai intervention	24-48h	< 2h
Expert dédié	Pool partagé	Expert dédié nominatif
Communication crise	Liste prestataires	Prestation incluse
Monitoring e-réputation	❌ Exclu	✅ 6 mois inclus

Pour qui la version 24/7 est critique ?

E-commerce (activité continue)
Services essentiels / santé
B2C avec forte exposition médiatique
Données très sensibles (santé, mineurs)

Pour qui la version 9h-18h suffit ?

B2B avec clients professionnels
Volumes données modestes (< 10 K)
Faible exposition médiatique

6. Interruption d'Activité

Paramètres à comparer :

Paramètre	À Vérifier	Benchmark
Durée indemnisation	Combien de jours max ?	90-180 jours (optimal)
Franchise temporelle	Combien de jours avant déclenchement ?	24-48h (acceptable)
Calcul indemnité	Quelle formule ?	CA - charges variables
Taux indemnisation	% de la perte calculée ?	80-100%

Exemple calcul :

Votre e-commerce subit une violation paralysant l'activité 30 jours :

CA mensuel moyen : 400 K€
Marge brute : 35%
Perte réelle : 400K × 35% = 140 K€

Contrat A :

Durée max : 90 jours ✅
Franchise : 48h ✅
Taux : 80%
Indemnité : 140K × 80% = 112 K€

Contrat B :

Durée max : 30 jours ⚠️
Franchise : 5 jours ⚠️
Taux : 100%
Jours indemnisables : 30-5 = 25 jours
Indemnité : (140K / 30) × 25 = 116 K€

→ Contrat B semble donner plus (100% vs 80%) mais couvre moins de jours. Au-delà de 30 jours, vous n'êtes plus couvert.

7. Franchise : L'Arbitrage Prix vs Protection

Impact franchise sur prime annuelle (exemple PME, plafond 2 M€) :

Franchise	Prime Annuelle Estimée	Économie	Risque Personnel
0€	5 400€	Référence	0€
2 500€	3 900€	-1 500€/an	2 500€
5 000€	3 200€	-2 200€/an	5 000€
10 000€	2 700€	-2 700€/an	10 000€

Calcul ROI de la franchise :

Franchise 5 000€ économise 2 200€/an.

Seuil rentabilité : 5 000 / 2 200 = 2,3 ans
Si aucun sinistre en 3 ans, vous économisez : 2 200 × 3 - 5 000 = 1 600€

Recommandation France Épargne :

TPE : Franchise 2 500-5 000€ (équilibre optimal)
PME : Franchise 5 000€ (sweet spot)
ETI+ : Franchise 10 000-25 000€ (capacité absorption)

8. Exclusions : Le Diable se Cache dans les Détails

10 exclusions courantes à EXIGER en détail :

Violations connues avant souscription → Normal, accepté
Non-respect mesures de sécurité minimales → Définir précisément les mesures
Dépassement délai notification CNIL (72h) → Négociable, chercher souplesse
Violations intentionnelles → Normal
Cyber-guerre / attaques d'États → Acceptable si bien défini
Amendes non-RGPD → Normal (concurrence, fiscal, etc.)
Fraude interne dirigeants → Acceptable si limité aux dirigeants, pas tous salariés
Perte de propriété intellectuelle → Hors scope data breach, normal
Réclamations antérieures au contrat → Normal
Non-respect recommandations post-audit → Vérifier si audit obligatoire

⚠️ Exclusions RED FLAG (inacceptables) :

❌ "Exclusion de toute violation liée à un collaborateur" → Trop large, 90% violations impliquent erreur humaine ❌ "Exclusion si absence de certification ISO 27001" → Discriminatoire pour PME ❌ "Exclusion si attaque sophistiquée" → Flou juridique dangereux ❌ "Exclusion si plusieurs systèmes compromis" → Absurde, c'est la nature même des attaques

9. Délai d'Intervention (SLA - Service Level Agreement)

Question cruciale : "Sous combien de temps un expert me contacte après déclaration sinistre ?"

SLA	Offre Type	Commentaire
< 1 heure	Premium 24/7	Optimal (RGPD = 72h, chaque heure compte)
< 2 heures	Premium standard	Très bon
< 4 heures	Standard	Acceptable
24-48h	Entrée gamme	Trop lent (RGPD contraignant)
"Dans les meilleurs délais"	⚠️ Fuyez	Aucun engagement = problème garanti

Impact réel : Avec 72h CNIL, chaque heure perdue en H0 = stress et risque procédural. Un expert disponible en < 2h peut faire gagner 12-24h sur la notification.

10. Extension Territoriale

Si votre activité est 100% France : Extension mondiale inutile (économie 20-30% prime).

Si clients/activité UE : Extension UE incluse généralement (RGPD = règlement européen).

Si clients hors UE (US, UK, Asie, etc.) :

Vérifiez couverture notifications dans ces pays
Lois locales différentes (CCPA Californie, UK GDPR, etc.)
Coût extension : +25-40% prime

11. Prime Annuelle TTC (Enfin !)

C'est évidemment un critère, mais il arrive en 11e position volontairement.

Fourchettes de prix France 2025 (pour référence) :

Profil	Plafond	Prime Annuelle Estimée
TPE 5 salariés, 2 K données	500 K€	1 000 - 1 500€
TPE 10 salariés, 5 K données	1 M€	1 200 - 2 000€
PME 30 salariés, 15 K données	2 M€	2 500 - 4 000€
PME 100 salariés, 50 K données	5 M€	5 000 - 8 000€
ETI 300 salariés, 200 K données	10 M€	15 000 - 25 000€

Si un devis sort totalement de ces fourchettes :

50% moins cher : Vérifiez exclusions et sous-plafonds (probablement couverture faible)
50% plus cher : Soit surprime sinistralité/secteur, soit arnaque

12. Réputation et Solidité Financière de l'Assureur

Vérifiez :

Rating S&P ou Moody's : minimum A- (solidité financière)
Ancienneté sur cyber-risques : > 5 ans (expertise réelle)
Ratio sinistres/primes : < 70% (pérennité)
Avis clients : cherchez retours sur gestion sinistres (pas juste souscription)

Assureurs cyber reconnus France/Europe :

AXA, Allianz, Generali (grands généralistes avec branches cyber)
Hiscox, Beazley, Coalition (spécialistes cyber pure-players)
Chubb, Zurich, AGCS (haut de gamme)

Étape 3 : Négocier et Optimiser Votre Contrat

Les 5 Points Négociables (Même si l'Assureur Dit le Contraire)

1. La Franchise

Marge de négociation : ±50%

Si l'assureur propose franchise 5 000€, vous pouvez souvent :

Négocier 2 500€ moyennant prime +15%
Ou monter à 7 500€ pour prime -12%

Argument : "J'ai une très bonne trésorerie et peux absorber 10 K€, pouvez-vous recalculer avec franchise 10 K€ ?"

2. Les Garanties Optionnelles

Tactique : Demandez prix à la carte de chaque option.

Exemple :

Offre packagée : 4 200€/an
Détail :
- Base : 2 800€
- Amendes CNIL : +800€
- Interruption activité : +400€
- Cyber-extorsion : +200€

Si vous n'avez pas besoin d'interruption activité (activité peu dépendante digital), économisez 400€ en la retirant.

3. Les Exclusions

Certaines exclusions sont négociables, particulièrement :

Délai notification CNIL : "Si je notifie à 75h au lieu de 72h pour raisons exceptionnelles, puis-je être couvert ?"
Définition "mesures de sécurité minimales" : Listez précisément les mesures, négociez si certaines sont inaccessibles à votre structure

Argument : "Je ne pourrai jamais avoir un RSSI dédié en tant que TPE, pouvez-vous adapter cette exclusion ?"

4. Le Montant de Prime (Direct)

Marge de négociation réelle : 5-15% maximum (marché cyber competitive).

Techniques :

Multi-équipement : "Si je souscris aussi mon assurance cyber-générale chez vous, quel prix final ?"
Engagement pluriannuel : "Si je m'engage 3 ans, quelle réduction ?"
Concurrence : "J'ai une offre à 3 200€ pour garanties équivalentes, pouvez-vous aligner ?" (avoir réellement l'offre)

5. Les Services Additionnels Gratuits

Les assureurs ont souvent des budgets marketing pour services "offerts" :

🎁 Audit cybersécurité gratuit (valeur 500-1 500€)
🎁 Formation collaborateurs anti-phishing (valeur 300€)
🎁 Toolkit RGPD (templates, guides)
🎁 Veille réglementaire personnalisée

Demandez systématiquement : "Quels services complémentaires incluez-vous pour accompagner la souscription ?"

Entreprise française protégée contre les violations de données

Votre RC Pro est-elle adaptée ?

Responsabilité civile, cyber-risques, protection juridique : comparez les garanties et tarifs des meilleures RC Pro.

Comparer les RC Pro

Étape 4 : Les Erreurs Fatales à Éviter

Erreur #1 : Souscrire Trop Vite sous Pression

Scénario classique :

Votre client grand compte exige preuve d'assurance cyber pour renouveler contrat
Vous paniquez et souscrivez la première offre venue en 48h
Vous découvrez 6 mois plus tard que la couverture est inadaptée

Solution : Anticipez. Même sans urgence immédiate, lancez un benchmark annuel pour avoir des offres prêtes.

Erreur #2 : Mentir ou Omettre des Informations

Tentation : Minimiser un incident passé ou embellir votre niveau de sécurité pour obtenir meilleure prime.

Conséquence : En cas de sinistre, l'assureur enquête en profondeur. S'il découvre la fausse déclaration :

❌ Déchéance de garantie (aucune indemnisation)
❌ Résiliation immédiate contrat
❌ Remboursement primes perçues (!)
❌ Inscription fichiers assureurs (difficulté se réassurer)

Principe : Transparence totale, quitte à payer surprime. Mieux vaut payer 500€/an de plus que perdre 2 M€ de couverture au sinistre.

Erreur #3 : Ne Pas Lire les Conditions Générales

Réalité : 90% souscripteurs ne lisent jamais les CG (50-80 pages jargon juridique).

Conséquence : Découverte d'exclusions majeures au sinistre.

Solution minimale : Faites lire les CG par :

Votre courtier (s'il est compétent et indépendant)
Votre DPO ou responsable conformité
Un avocat spécialisé cyber (coût : 500-1 000€, rentable vs risque)

Points à faire surligner :

Toutes les exclusions (section "Exclusions")
Définition "sinistre" et "découverte" (déclenchement garantie)
Obligations assuré (délais déclaration, mesures conservatoires)

Erreur #4 : Oublier de Mettre à Jour le Contrat

Réalité : Votre entreprise évolue, votre exposition aussi.

Scénarios fréquents :

Vous aviez 5 000 clients lors souscription (contrat adapté)
2 ans après : 35 000 clients (contrat devenu inadapté)
Sinistre touchant 35 000 clients → plafond insuffisant

Solution : Révision annuelle obligatoire de votre couverture.

Checklist annuelle :

☐ Volume données traitées a-t-il significativement augmenté ? (+30%)
☐ Nouveaux types de données (notamment sensibles) ?
☐ Nouveaux marchés géographiques (hors France/UE) ?
☐ Incident cyber survenu dans l'année ?
☐ Évolution réglementaire impactant mon secteur ?

Si OUI à 1+ questions → réévaluer couverture.

Erreur #5 : Choisir Uniquement sur le Prix

Cas réel anonymisé :

Entreprise X (PME 60 sal., e-commerce) :

Offre A : 4 200€/an, plafond 2 M€, assureur reconnu
Offre B : 2 800€/an, plafond 2 M€, assureur inconnu

→ Choix : Offre B (économie 1 400€/an)

18 mois après : Violation 22 000 clients

Déclaration sinistre à assureur B
Instruction dossier : 6 semaines (vs 48h promis)
Assureur découvre exclusion "e-commerce à forte croissance" dans CG (page 67, alinéa 3)
Refus prise en charge totale
Entreprise X assume seule : 2,1 M€
Dépôt de bilan 8 mois après

Leçon : 1 400€/an économisés = 2,1 M€ perdus. ROI catastrophique.

Cas Pratique : Simuler Votre Besoin en 5 Minutes

Profil Exemple : PME Services Informatiques

Caractéristiques :

35 salariés
8 500 clients B2B
Données traitées : coordonnées + données contractuelles (dont infos financières)
CA : 6,5 M€
Pas de certification ISO 27001
Pas d'incident dans les 3 dernières années
MFA activée, sauvegardes quotidiennes, formation annuelle collaborateurs

Étape 1 : Calcul Exposition

Volume personnes :

Clients : 8 500
Salariés actuels + anciens : ~120
Prospects base marketing : 15 000
Total : 23 620 enregistrements

Coût notification estimé :

23 620 × 180€ = 4,25 M€ (si 100% base touchée)
Réaliste (50% compromis) : 2,12 M€

Étape 2 : Détermination Plafond Minimum

Formule :

Notification : 2,12 M€
Frais investigation/légal/crise : 500 K€
Interruption activité (30j) : 400 K€
Marge sécurité : 500 K€

Plafond recommandé : 3,5 M€ → Arrondi à 5 M€ pour confort

Étape 3 : Choix Garanties

Garantie	Nécessaire ?	Justification
Notification CNIL + personnes	✅ OUI	Obligatoire
Amendes CNIL	✅ OUI	Données financières = risque
Assistance juridique	✅ OUI	Clients B2B = risques contractuels
Gestion crise 24/7	⚠️ MOYEN	B2B moins urgent que B2C, 9h-18h acceptable
Interruption activité	✅ OUI	Services = CA dépend continuité
Cyber-extorsion	❌ NON	Pas prioritaire, coût/bénéfice faible
Surveillance crédit victimes	❌ NON	B2B, moins pertinent que B2C

Étape 4 : Arbitrage Franchise

Capacité trésorerie : 180 K€ disponibles sous 48h

Franchise envisageable : 10 000€ (gestion sinistre = coût administratif OK)

Étape 5 : Estimation Prime Annuelle

Avec paramètres :

Plafond : 5 M€
Garanties : notification + amendes + juridique + interruption
Franchise : 10 000€
Maturité cyber : moyenne (score 5/8)
Pas d'historique sinistre

Estimation Prime : 6 500 - 9 000€/an

Offre réelle obtenue (3 devis) :

AXA : 8 200€/an ✅
Hiscox : 8 900€/an
Allianz : 7 600€/an ✅ (meilleure offre)

→ Choix : Allianz, 7 600€/an

Êtes-vous correctement couvert ?

Nos courtiers spécialisés analysent votre activité et identifient les garanties RC Pro indispensables.

Être rappelé sous 6h

Le Rôle du Courtier : Indispensable ou Superflu ?

Courtier vs Souscription Directe

Critère	Direct Assureur	Via Courtier Indépendant
Prix	Identique (commission intégrée)	Identique
Choix offres	1 seul assureur	10-20 assureurs comparés
Expertise conseil	Vendeur (objectif : vendre)	Conseiller (objectif : adapter)
Négociation	Limitée	Forte (effet volume courtier)
Gestion sinistre	Seul face assureur	Accompagnement courtier
Suivi annuel	Aucun	Révision proactive

Conclusion : Pour une couverture data breach (complexe, enjeux élevés), le courtier indépendant est fortement recommandé.

Comment Choisir Votre Courtier ?

5 questions à poser :

"Combien d'assureurs comparez-vous réellement pour l'assurance data breach ?"
- < 3 : Insuffisant
- 3-7 : Correct
- 8-15 : Excellent
- > 15 : Vérifier faisabilité (process industrialisé ?)
"Avez-vous une expertise RGPD certifiée dans votre équipe ?"
- Recherchez : DPO certifiés, avocats partenaires spécialisés RGPD
"Quel est votre processus de gestion de sinistre data breach ?"
- Le courtier doit avoir un protocole formalisé (pas d'improvisation)
"Puis-je parler à un client ayant eu un sinistre data breach géré par vos soins ?"
- Référence client = preuve d'expertise réelle
"Quelle est votre rémunération exacte sur ce contrat ?"
- Transparence totale = gage de confiance
- Commission : 10-20% prime (standard)
- Méfiance si > 25% (incitation survendre)

Conclusion : Votre Checklist Avant Souscription

Avant de signer votre contrat d'assurance data breach, vérifiez ces 10 points non-négociables :

☐ Plafond global ≥ (Volume données × 180€) + 1 M€
☐ Couverture amendes CNIL ≥ 500 K€ (PME) ou 1 M€ (ETI)
☐ Frais notification : sous-plafond ≥ 500 K€ OU "frais réels"
☐ Assistance juridique RGPD complète (pas que conseil téléphonique)
☐ SLA intervention < 4h (idéalement < 2h)
☐ Franchise adaptée à votre trésorerie (2 500-10 000€ PME)
☐ Exclusions lues et comprises (faire valider par DPO/avocat)
☐ Assureur rating ≥ A- (solidité financière)
☐ Conditions Générales lues (au moins sections clés)
☐ Comparaison ≥ 3 offres réalisée (pas de souscription impulsive)

Prêt à comparer les meilleures offres du marché ?

Chez France Épargne, nous comparons 15+ assureurs et négocions pour vous les meilleures conditions. Notre expertise RGPD certifiée et notre approche patrimoniale globale font la différence.

Comparer 15+ offres gratuitement → Audit cyber offert (valeur 500€) → Télécharger le comparateur Excel →

Articles liés :

2 391 mots

Recommandation

Votre RC Pro est-elle adaptée à votre activité ?

Responsabilité civile, cyber-risques, protection juridique : comparez les garanties et tarifs des meilleures RC Pro du marché.

Comparer les RC Pro