Les coachs, thérapeutes et praticiens du bien-être sont exposés aux cyberattaques au même titre que n’importe quel professionnel indépendant qui gère des données personnelles sensibles. Piratage de compte, hameçonnage, rançongiciel : ces menaces touchent toutes les tailles d’entreprise, y compris les solo-entrepreneurs. Selon le rapport d’activité 2025 de Cybermalveillance.gouv.fr, publié en mars 2026, le dispositif national a franchi le cap de 500 000 victimes assistées en un an, avec une hausse de 20% par rapport à 2024 et les entreprises sont parmi les publics les plus touchés.
Face à ces risques, Houjo, plateforme spécialisée dans la conformité juridique des professionnels de l’accompagnement, rappelle deux règles non négociables : adopter une hygiène informatique de base et mettre en place une conformité RGPD effective avant qu’un incident survienne.
En cas d’attaque impliquant des données clients, une obligation légale s’applique : notifier la CNIL sous 72 heures, conformément au RGPD.
Cet article détaille les menaces à connaître, les bons réflexes à adopter et les étapes à suivre si vous êtes victime d’une cyberattaque.
Quelles sont les cybermenaces les plus fréquentes pour les professionnels indépendants ?
Chaque année, le dispositif public Cybermalveillance.gouv.fr publie un état des lieux des attaques subies par les professionnels en France. Son rapport d’activité 2025 publié en mars 2026 identifie trois menaces principales pour les entreprises et associations.
- Le piratage de compte prend la première place avec 21% des parcours d’assistance pour les professionnels, en croissance de 52% par rapport à 2024. Vos accès e-mail, réseaux sociaux ou outils de gestion sont des cibles directes, avec une recrudescence des attaques ciblant les messageries professionnelles.
- L’hameçonnage (phishing) arrive en deuxième position avec 16% des diagnostics (+29%). De faux e-mails ou SMS imitant des administrations, des partenaires ou des plateformes connues vous incitent à cliquer sur un lien malveillant ou à communiquer vos identifiants. C’est la première menace tous publics confondus, en hausse de 70%.
- La fraude au virement fait son entrée dans le top 3 des menaces professionnelles avec 13,5% des assistances, en progression de 93% par rapport à 2024. Un message usurpant l’identité d’un client ou d’un partenaire vous demande un virement urgent, souvent rendu crédible par le piratage préalable d’une messagerie.
- Le rançongiciel (ransomware) reste une menace notable : un logiciel malveillant bloque l’accès à vos fichiers jusqu’au paiement d’une rançon et cette menace touche particulièrement les professionnels.
En 2025, plus de 500 000 victimes ont sollicité Cybermalveillance.gouv.fr (+20% en un an). Le rapport anticipe pour 2026 de nouvelles vagues d’hameçonnage toujours plus personnalisées, alimentées par les données issues des fuites massives.
Que faire si vous êtes victime d’une cyberattaque ?
Si cela vous arrive, voici les étapes à suivre sans tarder.
- Faites un diagnostic en ligne
Rendez-vous sur Cybermalveillance.gouv.fr pour obtenir une orientation personnalisée selon le type d’attaque subi. Le dispositif peut vous mettre en relation avec un prestataire de confiance.
- Sauvegardez immédiatement vos données
Avant toute intervention, sécurisez ce qui peut encore l’être : données clients, documents comptables, logiciels installés.
- Ne payez jamais la rançon
En cas de rançongiciel, le paiement ne garantit pas la récupération de vos données. Il finance les cybercriminels et vous expose à de nouvelles demandes.
- Notifiez la CNIL si des données personnelles sont concernées
Si l’attaque a compromis des données personnelles de vos clients (noms, e-mails, informations de santé, etc.), vous avez l’obligation légale de le déclarer à la CNIL dans un délai de 72 heures via notifications.cnil.fr. C’est une obligation issue du RGPD (article 33), pas une option.
- Portez plainte
Déposez une plainte auprès de votre commissariat, gendarmerie ou en ligne via thesee.interieur.gouv.fr. Cela permet d’ouvrir une enquête et de documenter l’incident.
Comment protéger votre activité en amont ?
Pas besoin d’être expert en informatique pour adopter les bons réflexes.
Deux piliers fondamentaux suffisent à réduire considérablement vos risques.
1. Soignez votre hygiène informatique
- Utilisez un antivirus à jour sur tous vos appareils professionnels.
- Créez des mots de passe robustes et uniques pour chaque service (un gestionnaire de mots de passe comme Bitwarden ou 1Password facilite grandement la chose).
- Activez la double authentification sur vos comptes sensibles : e-mail, outils de prise de rendez-vous, hébergement de site.
- Faites des sauvegardes régulières de vos données sur un support externe ou dans le cloud.
2. Respectez votre politique de confidentialité, vraiment
Votre politique de confidentialité n’est pas « juste » un document à publier sur votre site. C’est un ensemble de règles concrètes qui définissent comment vous collectez, conservez et protégez les données personnelles de vos clients et prospects. Vous devez d’ailleurs en disposer même si vous n’avez pas de site internet.
Respecter ces règles, c’est aussi vous protéger. En cas de violation de données, votre responsabilité sera beaucoup mieux protégée si vous pouvez démontrer que vous avez appliqué les principes du RGPD au quotidien : consentement, durée de conservation limitée, stockage sécurisé, réponse aux demandes d’accès dans le délai d’un mois.
En cas de manquement, les sanctions peuvent atteindre 4% de votre chiffre d’affaires annuel, sans compter les poursuites civiles.
Pour un coach ou un thérapeute, la meilleure protection contre les conséquences juridiques d’une cyberattaque, c’est d’avoir mis en place sa conformité RGPD avant que quoi que ce soit n’arrive.
Ce que comprennent les packs juridiques Houjo
Chez Houjo, nous accompagnons les coachs, thérapeutes et praticiens du bien-être dans la mise en conformité juridique de leur activité. Tous nos packs juridiques intègrent un volet cybersécurité et RGPD, avec les documents prêts à l’emploi : politique de confidentialité, mentions légales et les clauses adaptées à votre situation. Parce que la conformité juridique, c’est d’abord une question de protection, la vôtre et celle de vos clients.
Découvrir les packs juridiques Houjo.
Questions fréquentes
Un coach indépendant peut-il vraiment être victime d’une cyberattaque ?
Oui. Les cybercriminels ciblent rarement les profils, ils ciblent les failles. Un e-mail professionnel non sécurisé, un site WordPress non mis à jour ou un mot de passe faible suffisent à ouvrir une brèche.
Est-ce que je dois vraiment notifier la CNIL si mes données clients ont été volées ?
Oui, c’est une obligation légale issue du RGPD (article 33). Toute violation de données personnelles doit être notifiée à la CNIL dans les 72 heures suivant sa découverte. En cas de risque élevé pour les personnes concernées, vous devez également les en informer directement.
Quelle est la différence entre hygiène informatique et conformité RGPD ?
L’hygiène informatique concerne la sécurité de vos outils : antivirus, mots de passe, sauvegardes. La conformité RGPD concerne la façon dont vous traitez les données personnelles de vos clients. Les deux sont complémentaires : l’une sans l’autre laisse des failles importantes.
Dois-je payer si je reçois une demande de rançon suite à un rançongiciel ?
Non. Les autorités françaises, dont l’ANSSI, déconseillent formellement le paiement : il ne garantit pas la récupération des données et finance les cybercriminels. Contactez Cybermalveillance.gouv.fr et portez plainte.
