Cyber-assurance pour les entreprises au Luxembourg : Guide 2026
Au Luxembourg, les cyberattaques touchent désormais toutes les tailles d’entreprises — des indépendants aux PME. La cyber-assurance couvre les pertes financières liées aux incidents informatiques : ransomware, violation de données, interruption d’activité, frais de notification RGPD. Le RGPD impose aux entreprises une obligation de notification à la CNPD dans les 72 heures en cas de violation. Baloise propose une extension dédiée aux risques internet dans sa RC Professionnelle. Utilisez notre comparateur pour identifier les solutions adaptées à votre profil.
Comparez les assurances professionnelles incluant la cyber
Notre comparateur vous permet d’identifier les offres d’assurance professionnelle disponibles au Luxembourg et les extensions cyber adaptées à votre secteur d’activité.
Accéder au comparateur →Qu’est-ce qu’un cyber-risque pour une entreprise ?
Un cyber-risque désigne toute menace susceptible de compromettre les systèmes informatiques, les données ou la continuité d’activité d’une entreprise via le réseau ou des supports numériques. Ces risques ne concernent plus uniquement les grandes structures : une TPE qui stocke des données clients, facture en ligne ou utilise un logiciel métier est exposée.
| Type d’incident | Description | Impact potentiel |
|---|---|---|
| Ransomware | Logiciel malveillant qui chiffre vos données et exige une rançon pour les restituer | Interruption totale d’activité, perte de données, frais de récupération et de notification |
| Violation de données personnelles | Accès non autorisé, fuite ou vol de données clients, employés ou fournisseurs | Obligation de notification à la CNPD et aux personnes concernées, amendes RGPD possibles, atteinte à la réputation |
| Phishing / ingénierie sociale | Usurpation d’identité par email ou téléphone pour extorquer des informations sensibles ou des virements bancaires | Fraude financière directe, perte de secrets d’affaires |
| Erreur humaine / accident informatique | Suppression accidentelle de données, mauvaise configuration d’un serveur, perte d’un appareil non chiffré | Perte de données, interruption d’activité, responsabilité vis-à-vis des tiers |
| Attaque DDoS | Saturation d’un site web ou d’un système pour le rendre indisponible | Perte de chiffre d’affaires, frais de remise en service |
Toute entreprise est exposée dès lors qu’elle traite des données personnelles (y compris les coordonnées de ses clients ou les fichiers de paie), utilise un logiciel métier en réseau, ou communique par email avec des tiers. L’exposition augmente avec la taille de l’entreprise et la sensibilité des données traitées.
Vous cherchez une couverture cyber adaptée à votre entreprise ? Notre comparateur vous aide à identifier les solutions disponibles au Luxembourg selon votre secteur et vos besoins.
Comparer les offres →Ce que couvre une cyber-assurance
La cyber-assurance regroupe généralement deux volets complémentaires : la couverture des dommages subis par l’entreprise elle-même (volet « dommages propres ») et la couverture de sa responsabilité vis-à-vis des tiers dont les données auraient été compromises (volet « responsabilité civile »). Les garanties précises varient selon les contrats.
Dommages propres
Frais de récupération et restauration des données, coûts de remise en état des systèmes informatiques, perte d’exploitation due à une interruption d’activité causée par un incident cyber, frais de gestion de crise (experts forensiques, communication de crise).
Responsabilité civile cyber
Prise en charge des réclamations de tiers (clients, partenaires, employés) dont les données personnelles ont été compromises, frais de notification obligatoire à la CNPD et aux personnes concernées, frais de défense juridique.
Extension ransomware
Prise en charge des frais liés à un ransomware : coûts de déchiffrement ou de reconstruction des données, éventuelle prise en charge de la rançon selon les contrats, assistance technique d’urgence 24h/24.
Ce qui n’est généralement pas couvert : les dommages résultant d’une faute intentionnelle, les pertes liées à des infractions commises par l’assuré, les amendes pénales et sanctions administratives (les amendes RGPD, par exemple, sont généralement exclues des contrats d’assurance en droit luxembourgeois). Vérifiez toujours les exclusions dans les conditions générales.
Baloise : l’extension « Risques internet » dans la RC Professionnelle
Au Luxembourg, Baloise Assurances propose dans le cadre de sa RC Professionnelle une extension facultative dédiée aux risques liés à l’utilisation d’internet et des systèmes informatiques. Cette garantie optionnelle s’ajoute à la couverture standard RC Professionnelle.
| Baloise — RC Professionnelle | Couverture |
|---|---|
| Responsabilité civile contractuelle | ✓ Incluse de base |
| Responsabilité civile extra-contractuelle | ✓ Incluse de base |
| Dommages aux objets confiés et existants | ✓ Incluse de base |
| Pollution accidentelle | ✓ Incluse de base |
| Défense et Recours | ✓ Incluse de base |
| Responsabilité liée aux risques internet | Extension facultative |
| Droits intellectuels | Extension facultative |
| Recouvrement d’honoraires | Extension facultative |
| Insolvabilité des tiers responsables | Extension facultative |
Source : IPID Baloise — Assurance Responsabilité Civile Professionnelle (Baloise Assurances Luxembourg S.A.).
La RC Professionnelle Baloise couvre la responsabilité civile contractuelle dans les pays membres de l’Union Européenne et en Suisse, et la responsabilité civile extra-contractuelle dans le monde entier hors USA et Canada. En cas de sinistre, la déclaration doit être effectuée dans un maximum de 8 jours. Les paiements peuvent être mensuels, trimestriels ou semestriels.
L’extension « risques internet » de Baloise s’adresse particulièrement aux professions libérales et intellectuelles (consultants, développeurs, agences, professions médicales, avocats…) qui gèrent des données clients ou réalisent des prestations via des outils numériques. Les plafonds de garantie sont définis aux conditions particulières du contrat.
Comment souscrire l’extension risques internet Baloise ? Cette extension s’ajoute à la RC Professionnelle Baloise lors de la souscription ou en cours de contrat. Les conditions exactes (montant assuré, franchise, périmètre précis) sont définies aux conditions particulières. Utilisez notre comparateur pour obtenir un devis adapté à votre activité.
RGPD, CNPD et obligations légales au Luxembourg
Le Règlement Général sur la Protection des Données (RGPD), applicable au Luxembourg comme dans toute l’Union Européenne, impose aux entreprises des obligations strictes en cas de violation de données personnelles. La Commission Nationale pour la Protection des Données (CNPD), autorité indépendante instituée par la loi du 2 août 2002, est l’autorité de contrôle RGPD compétente au Grand-Duché. Les notifications de violation doivent être transmises à [email protected] via le formulaire officiel disponible sur cnpd.public.lu.
Notification à la CNPD sous 72 heures
En cas de violation de données personnelles présentant un risque pour les droits et libertés des personnes, l’entreprise doit notifier la CNPD dans les 72 heures suivant la découverte de l’incident (article 33 RGPD). Une notification tardive peut constituer une infraction supplémentaire.
Information des personnes concernées
Lorsque la violation est susceptible d’engendrer un risque élevé pour les personnes concernées, celles-ci doivent être informées sans délai injustifié (article 34 RGPD). Cette obligation génère des frais de communication et de gestion potentiellement importants.
Responsabilité civile vis-à-vis des tiers
Les personnes dont les données ont été compromises peuvent réclamer des dommages-intérêts à l’entreprise responsable (article 82 RGPD). Cette responsabilité civile peut être couverte par une cyber-assurance ou une extension RC Professionnelle.
Sanctions administratives de la CNPD
La CNPD peut prononcer des amendes administratives allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel pour les infractions les plus graves (article 83 RGPD). Ces amendes, considérées comme des sanctions à caractère pénal ou quasi-pénal en droit luxembourgeois, ne sont pas assurables — un avis juridique publié par l’ACA (Association des Compagnies d’Assurances) le confirme : le droit luxembourgeois consacre l’inassurabilité de principe des sanctions pénales.
Directive NIS2 : nouvelles obligations en cours de transposition
La directive européenne NIS2 (2022/2555), en cours de transposition en droit luxembourgeois via le projet de loi 8364 (attendu début 2026), étendra les obligations de cybersécurité et de notification d’incidents à de nouvelles catégories d’entreprises dans les secteurs critiques. L’Institut Luxembourgeois de Régulation (ILR) sera l’autorité de contrôle compétente pour la plupart des secteurs. Si votre entreprise opère dans un secteur réglementé (santé, énergie, numérique, transport…), vérifiez dès maintenant si vous êtes concerné.
Les amendes RGPD prononcées par la CNPD ne sont pas assurables en droit luxembourgeois. En vertu du principe d’inassurabilité des sanctions pénales consacré en droit luxembourgeois (confirmé par des analyses juridiques publiées notamment par l’ACA), les amendes CNPD — qui ont un caractère effectif, proportionné et dissuasif au sens de l’article 83 RGPD — ne peuvent pas faire l’objet d’une couverture assurantielle. En revanche, les frais de défense juridique devant la CNPD, les frais de notification aux personnes concernées, les frais d’experts et de gestion de crise, ainsi que les dommages-intérêts civils accordés aux victimes sur le fondement de l’article 82 RGPD peuvent être couverts par une cyber-assurance.
Qui a besoin d’une cyber-assurance au Luxembourg ?
Il n’existe pas d’obligation légale générale de souscrire une cyber-assurance au Luxembourg. Cependant, certaines entreprises présentent une exposition particulièrement élevée aux cyber-risques et ont tout intérêt à s’en protéger.
| Profil | Niveau d’exposition | Couverture recommandée |
|---|---|---|
| IT, développement, SaaS | Très élevé | RC Pro avec extension risques internet (ou cyber-assurance dédiée) — couverture des dommages causés aux clients par des défaillances logicielles ou des failles de sécurité |
| Conseil, finance, expertise comptable | Très élevé | Extension risques internet sur RC Pro — données financières et confidentielles à forte valeur |
| Médical et paramédical | Très élevé | Cyber-assurance ou extension dédiée — données de santé ultra-sensibles, obligation de sécurité renforcée |
| E-commerce, commerce avec paiements en ligne | Élevé | Couverture violation de données et fraude en ligne — risques liés aux transactions et aux données de paiement |
| Professions libérales (avocats, architectes, notaires) | Élevé | Extension risques internet sur RC Pro — données clients confidentielles, risques de violation ou de phishing |
| Commerce, artisanat, HORESCA | Modéré | Couverture de base recommandée — gestion de données clients (fidélité, réservations), risque ransomware sur caisses et logiciels métier |
| Indépendant sans données clients sensibles | Faible à modéré | Extension légère ou couverture minimale — évaluer en fonction des données traitées et des outils utilisés |
Critères clés pour évaluer votre exposition : le volume de données personnelles que vous gérez, la criticité de vos systèmes informatiques pour votre activité (arrêt = perte de CA immédiate ?), et le fait que vous soyez sous-traitant de données pour d’autres entreprises — ce qui vous expose également à leur responsabilité.
Coût d’une cyber-assurance : fourchettes indicatives
Le tarif d’une cyber-assurance dépend de plusieurs facteurs : la taille de l’entreprise, le secteur d’activité, le volume de données traitées, le chiffre d’affaires, les mesures de sécurité déjà en place et les garanties souscrites. Les fourchettes ci-dessous sont des estimations indicatives pour le marché luxembourgeois.
| Profil | Extension RC Pro | Cyber-assurance autonome |
|---|---|---|
| Indépendant / Freelance | Incluse dans la RC Pro globale — tarif variable selon contrat | ~200 – 600 €/an |
| TPE (2–10 salariés) | Option sur RC Pro | ~500 – 2 000 €/an |
| PME (10–50 salariés) | Option sur RC Pro | ~1 500 – 6 000 €/an |
| Secteur IT / données sensibles | Option sur RC Pro — surcoût selon exposition | ~2 000 – 10 000+ €/an |
Estimations indicatives basées sur les fourchettes du marché européen — Juin 2026. Les tarifs réels dépendent de votre profil spécifique. Demandez un devis personnalisé.
Le coût de l’inaction est souvent sous-estimé : un incident cyber pour une PME engendre des coûts multiples — récupération des données, frais d’experts forensiques, frais juridiques, notification des personnes concernées, perte de chiffre d’affaires pendant l’interruption d’activité. Ces coûts peuvent rapidement dépasser plusieurs dizaines de milliers d’euros, parfois plus selon la taille de l’entreprise et la sensibilité des données compromises. Une prime annuelle bien calibrée représente une fraction de ce risque.
Comment choisir sa couverture cyber : les points à vérifier
Avant de souscrire une cyber-assurance ou une extension risques internet, évaluez précisément votre exposition et comparez les points suivants dans les offres disponibles.
Périmètre de la couverture : dommages propres ET responsabilité civile
Vérifiez que le contrat couvre à la fois vos propres pertes (interruption d’activité, restauration des données) et votre responsabilité vis-à-vis des tiers (clients, partenaires, personnes dont les données ont été compromises).
Plafonds de garantie et franchises
Les plafonds doivent être proportionnels à votre exposition réelle : volume de données, chiffre d’affaires, criticité de vos systèmes. Une franchise trop élevée peut rendre le contrat peu utile en pratique pour les petits incidents.
Couverture RGPD : frais de notification inclus ?
Les frais de notification à la CNPD et aux personnes concernées peuvent être significatifs. Vérifiez s’ils sont inclus dans le contrat, et dans quelle limite.
Assistance en cas de crise
Les meilleurs contrats incluent une assistance technique d’urgence (experts forensiques, hotline 24/7) et une assistance juridique pour gérer la crise dès les premières heures — crucial pour limiter l’impact d’un incident.
Extension vs contrat dédié : que choisir ?
Pour un indépendant ou une TPE avec une exposition limitée, l’extension « risques internet » sur une RC Pro (comme celle proposée par Baloise) peut suffire. Les entreprises avec une forte dépendance aux systèmes informatiques ou traitant de nombreuses données sensibles bénéficieront davantage d’un contrat cyber autonome avec des garanties plus larges.
Extension RC Pro
- Ajout simple sur un contrat existant
- Couverture de la responsabilité cyber
- Intégré à la RC Pro globale
- Budget maîtrisé
- Périmètre souvent plus limité
- Moins adapté aux entreprises très exposées
Cyber-assurance dédiée
- Couverture dommages propres étendue
- Assistance technique d’urgence incluse
- Frais de notification RGPD couverts
- Plafonds de garantie plus élevés
- Prime plus élevée
- Contrat supplémentaire à gérer
Guides liés à l’assurance professionnelle
Questions fréquentes sur la cyber-assurance
Ma RC Professionnelle couvre-t-elle déjà les cyber-risques ?
Pas automatiquement. Une RC Professionnelle standard couvre les dommages causés à des tiers dans le cadre de votre activité professionnelle, mais ne prévoit pas systématiquement de garantie spécifique aux incidents cyber. Chez Baloise, la couverture des risques internet est proposée comme extension facultative à la RC Professionnelle. Vérifiez les conditions de votre contrat et demandez l’ajout d’une extension si nécessaire.
Suis-je obligé de souscrire une cyber-assurance au Luxembourg ?
Il n’existe pas d’obligation légale générale de souscrire une cyber-assurance au Luxembourg. Cependant, certaines réglementations sectorielles peuvent imposer des mesures de sécurité des données ou des couvertures spécifiques (secteur financier, médical…). Par ailleurs, le RGPD impose des obligations de sécurité et de notification que la cyber-assurance permet de mieux gérer financièrement, sans qu’elle soit formellement obligatoire.
La cyber-assurance couvre-t-elle les amendes RGPD infligées par la CNPD ?
Non. En droit luxembourgeois, les amendes administratives prononcées par la CNPD sont considérées comme des sanctions à caractère pénal ou quasi-pénal et ne sont donc pas assurables — le droit luxembourgeois consacrant le principe d’inassurabilité des sanctions pénales. C’est d’ailleurs la position confirmée par des analyses juridiques publiées par l’ACA (Association des Compagnies d’Assurances au Luxembourg). En revanche, la cyber-assurance peut couvrir les frais de défense juridique devant la CNPD, les frais de notification aux personnes concernées, les frais d’experts forensiques et de gestion de crise, ainsi que les dommages-intérêts civils accordés aux victimes sur le fondement de l’article 82 RGPD.
Quelle différence entre l’extension « risques internet » de Baloise et une cyber-assurance autonome ?
L’extension « responsabilité liée aux risques internet » proposée par Baloise s’ajoute à la RC Professionnelle et couvre principalement la responsabilité civile de l’assuré en lien avec l’usage d’internet et des systèmes informatiques. Une cyber-assurance autonome offre généralement une couverture plus large : elle inclut en plus les dommages propres (coûts de récupération des données, frais de remise en état, interruption d’activité), l’assistance technique d’urgence, et des plafonds spécifiquement calibrés pour les cyber-risques.
Qu’est-ce qu’un ransomware et comment l’assurance peut-elle m’aider ?
Un ransomware est un logiciel malveillant qui chiffre vos données et réclame une rançon pour les restituer. L’impact peut être une interruption totale d’activité de plusieurs jours ou semaines. Une cyber-assurance peut couvrir les frais d’experts pour récupérer ou reconstruire vos données, les pertes d’exploitation pendant la période d’arrêt, les frais de notification si des données clients ont été compromises, et dans certains contrats, le paiement de la rançon (sous conditions strictes). La prévention (sauvegardes régulières, mises à jour, formations) reste la première ligne de défense.
Mon entreprise doit-elle déclarer un incident cyber à la CNPD ?
Si l’incident implique une violation de données personnelles (accès non autorisé, fuite, perte de données clients ou employés) susceptible d’engendrer un risque pour les droits et libertés des personnes, vous avez l’obligation de notifier la CNPD dans les 72 heures suivant la découverte de l’incident (article 33 RGPD). La notification se fait via le formulaire officiel disponible sur cnpd.public.lu, transmis à [email protected]. En cas de doute, il vaut mieux notifier : une absence ou un retard de notification constitue une infraction supplémentaire passible de sanction.
Qu’est-ce que la directive NIS2 et concerne-t-elle mon entreprise au Luxembourg ?
La directive européenne NIS2 (2022/2555) renforce les obligations de cybersécurité pour les entreprises opérant dans des secteurs critiques (santé, énergie, eau, transports, finance, numérique, infrastructure publique…). Au Luxembourg, sa transposition via le projet de loi 8364 est attendue début 2026. Elle s’appliquera principalement aux entreprises dites « essentielles » (plus de 250 salariés, CA > 50 M€ ou bilan > 43 M€) et aux entités « importantes » dans les secteurs concernés. Elle imposera notamment une notification d’incident sous 24 heures à l’ILR, un rapport d’incident dans les 72 heures, et un rapport final sous un mois. Si votre entreprise opère dans un secteur réglementé, consultez le portail NIS2 de l’ILR pour vérifier si vous êtes concerné.
Comment comparer les couvertures cyber disponibles au Luxembourg ?
Les éléments clés à comparer sont : le périmètre de garantie (dommages propres + responsabilité civile), les plafonds de garantie et franchises, la couverture des frais de notification RGPD, l’assistance technique d’urgence incluse, et les exclusions. Utilisez notre comparateur d’assurance professionnelle pour identifier les offres adaptées à votre profil au Luxembourg.