'%3e%3cpath%20id='Tracé_681'%20d='M33.8,5.7a7.914,7.914,0,0,0-1.861-.441,6.307,6.307,0,0,0-3.795.81,9.391,9.391,0,0,0-3.255,3.29c-.156.249-.3.505-.444.762a.149.149,0,0,1-.185.1.15.15,0,0,1-.043-.021c-1.208-.525-2.383-1.117-3.547-1.732a11.571,11.571,0,0,0-3.816-1.391,5.621,5.621,0,0,0-5.579,2.385,6.072,6.072,0,0,0-1.187,3.738c0,.294.016.589.013.883,0,.153.066.189.2.174q1.478-.165,2.957-.326c.2-.022.409-.052.613-.066.122-.008.168-.02.153-.176a2.923,2.923,0,0,1,.253-1.613A1.878,1.878,0,0,1,16.524,11a9.888,9.888,0,0,1,2.381.98c1.2.638,2.418,1.248,3.669,1.784.144.062.181.107.12.267a75.489,75.489,0,0,0-2.332,7.366q-1.083,4.046-1.842,8.164c-.25,1.358-.453,2.724-.628,4.094-.02.152.013.213.19.231q1.753.179,3.5.393c.21.025.224-.092.238-.235.094-.928.244-1.849.4-2.768.385-2.305.875-4.588,1.433-6.858.659-2.684,1.416-5.34,2.333-7.949.124-.353.267-.7.385-1.055.051-.154.117-.176.267-.129a13.73,13.73,0,0,0,2.71.59,7.082,7.082,0,0,0,5.58-1.521,5.6,5.6,0,0,0,1.964-3.21,5.254,5.254,0,0,0,0-1.955,19.244,19.244,0,0,1,3.356,8.642,19.688,19.688,0,0,1-.948,9.255A19.938,19.938,0,0,1,21.736,40.362a3.1,3.1,0,0,0,.245-1.225,2.719,2.719,0,0,0-5.437.149c0,.088.009.175.02.262a2.39,2.39,0,0,0,.051.281c.052.224.053.229-.184.181a19.5,19.5,0,0,1-3.069-.889A20.038,20.038,0,0,1,2.615,29.433,19.465,19.465,0,0,1,.633,22.818c-.038-.337-.061-.673-.089-1.01,0-.036,0-.074-.044-.09V19.243a.1.1,0,0,0,.044-.094A16.5,16.5,0,0,1,.811,16.9a19.635,19.635,0,0,1,2.12-6A20.038,20.038,0,0,1,14.08,1.56,19.111,19.111,0,0,1,19.7.544c.049,0,.106.012.138-.044h1.239c.033.056.089.043.138.044a19.3,19.3,0,0,1,6.341,1.274A19.682,19.682,0,0,1,33.473,5.34a1.991,1.991,0,0,1,.354.327L33.8,5.7'%20transform='translate(23.636%20390.972)'%20fill='%236d4ae7'/%3e%3cpath%20id='Tracé_682'%20d='M52.059,18.758a8.849,8.849,0,0,1-2.209-.346c-.091-.025-.132-.045-.071-.142a5.5,5.5,0,0,1,1.979-2.06,2.42,2.42,0,0,1,2.41.023.876.876,0,0,1,.267,1.393,2.469,2.469,0,0,1-1.8,1.079C52.413,18.736,52.185,18.747,52.059,18.758Z'%20transform='translate(2.305%20384.2)'%20fill='%236d4be7'/%3e%3c/g%3e%3c/svg%3e){kind=small}
Article rédigé en mai 2026 à destination des freelances IT, consultants indépendants, développeurs et architectes en portage. Les références juridiques renvoient aux textes en vigueur à la date de publication.
Un freelance IT signe un bon de commande, accède au SI du client, livre du code. La mission paraît standard. La responsabilité ne l'est jamais.
Un bug livré en production, une fuite de données, un retard contractuel. Trois scénarios banals. L'addition se chiffre vite en dizaines voire centaines de milliers d'euros.
L'assurance d'un freelance IT repose sur trois piliers. La RC Pro IT engage la responsabilité face aux clients. La garantie cyber couvre les frais propres après incident. La défense-recours prend en charge les contentieux. Cet article détaille les garanties, les six facteurs de prime et la frontière entre profils standards et dossiers complexes.
Quelles assurances pour un freelance IT ou consultant : obligations légales et garanties recommandées
Aucune loi française n'impose une RC Pro universelle au freelance IT. Mais l'obligation contractuelle suffit. Les grands donneurs d'ordre exigent une attestation RC Pro avant signature dans 80 % des cas : ESN, banques, mutuelles, secteur public, éditeurs SaaS B2B.
Plusieurs cadres légaux s'appliquent selon le secteur. L'article 32 du RGPD impose au sous-traitant les mesures techniques et organisationnelles appropriées de sécurité. La directive NIS2 (UE) 2022/2555 étend les obligations de cybersécurité aux opérateurs essentiels et à leurs sous-traitants. La loi de programmation militaire (LPM) encadre les prestations sur SI sensibles de la défense. Pour la santé, l'hébergement des données patient relève de la certification HDS.
Trois statuts coexistent. L'auto-entreprise sous 77 700 € de prestation de services. L'EI ou la SASU au-delà. Le portage salarial convertit les honoraires en salaire. Chaque statut déclenche une mécanique d'assurance distincte.
Au-delà des obligations, quatre garanties méritent d'être systématiquement incluses. La RC Pro IT avec extension dommages immatériels consécutifs. La garantie cyber couvrant les frais propres après incident. La défense-recours pour les contentieux clients. La protection juridique pour les litiges fournisseurs et URSSAF.
Les 5 risques principaux du métier
Le freelance IT cumule des expositions techniques et contractuelles. Cinq risques structurent la sinistralité.
Bug code ou livrable défectueux. Premier sinistre RC Pro IT en fréquence. Commit fautif en production, migration mal préparée, script de déploiement qui efface la prod. Coût moyen : 8 000 à 200 000 € par incident.
Violation de données personnelles. Endpoint non sécurisé, fuite via repo Git public, laptop non chiffré volé. Le sous-traitant engage sa responsabilité au sens de l'article 28 du RGPD. Sanction CNIL possible jusqu'à 10 millions d'euros ou 2 % du CA mondial.
Retard de livraison engageant pénalités. Les contrats grands comptes intègrent des pénalités de retard à 0,5 à 2 % par semaine. Sur une mission à 60 000 €, un retard d'un mois pèse 4 800 € à 19 200 €.
Atteinte à la propriété intellectuelle. Dépendance sous licence GPL incompatible avec l'usage commercial du client, code copié sans crédit, modèle IA entraîné sur données non libres. Plafond mobilisé : 100 000 à 500 000 €.
Atteinte à la réputation. Manquement déontologique sur conseil M&A, divulgation involontaire d'informations confidentielles. Risque rare mais coûteux : 30 000 à 150 000 € de préjudice.
Garanties à intégrer absolument dans le contrat
Cinq extensions sont non négociables pour un freelance IT correctement assuré.
La RC Pro IT couvre les dommages matériels et immatériels consécutifs causés au donneur d'ordre. Plafond minimum recommandé : 1 500 000 € par sinistre pour un développeur web. 2 000 000 à 3 000 000 € pour un architecte logiciel ou un consultant senior. L'extension dommages immatériels non consécutifs reste un point dur de négociation.
La garantie cyber couvre les frais propres après incident : forensic, notification CNIL sous 72 heures, communication aux personnes concernées, gestion de crise. Plafond standard : 250 000 à 1 000 000 € par sinistre.
La défense-recours prend en charge les honoraires d'avocat en cas de contestation client. Seuil de déclenchement à 500 € de litige, plafond annuel 20 000 à 50 000 €.
La protection juridique élargit le champ aux litiges fournisseurs, URSSAF et baux.
La couverture matériel nomade indemnise le laptop, le téléphone et les accessoires en cas de vol, perte ou casse. Plafond 2 000 à 5 000 €. Sans elle, le vol du laptop reste à la charge du freelance.
Tarification : les 6 facteurs qui jouent
La prime annuelle d'une RC Pro IT freelance oscille entre 350 et 2 500 €. Six facteurs expliquent l'essentiel des écarts entre devis.
Chiffre d'affaires HT déclaré. Premier déterminant. Un développeur à 60 000 € de CA paie 350 à 500 €. À 120 000 €, la prime grimpe vers 700 à 1 000 €. Au-delà de 200 000 €, étude individualisée.
TJM moyen pratiqué. Un consultant à 800 € TJM ne déclenche pas le même barème qu'un architecte à 1 800 €. Au-dessus de 1 500 € TJM, les compagnies basculent sur des grilles dédiées avec plafond à 3 000 000 €.
Secteurs des clients. Coefficient sur la prime de base. Banque ou assurance régulée : ×1,5 à ×2. Santé sous HDS : ×1,5 à ×2,5. Défense sous LPM : ×2 à ×3. Secteur public non sensible : ×1,1.
Antécédents sinistres. Trois ans sans sinistre : bonification 0,9. Un sinistre RC Pro indemnisé dans les trois ans relève la prime de 20 à 50 %.
Plafond souscrit. Le passage de 1 500 000 € à 3 000 000 € majore la prime de 25 à 40 %.
Franchise. Une franchise de 1 500 € au lieu de 500 € allège la prime de 10 à 15 %.
Profils standards vs profils atypiques dans ce secteur
La frontière entre profil souscriptible en ligne et dossier sur-mesure est imposée par les compagnies.
Le profil standard correspond au freelance classique. TJM sous 1 500 €, CA sous 150 000 €, missions web/SaaS standards, clients privés non régulés. Pas de mission défense, pas d'HDS, pas d'infogérance H24. Aucun sinistre majeur dans les trois ans. Ce profil passe en souscription algorithmique. Le devis sort en quelques minutes.
Le profil complexe regroupe les dossiers refusés ou tarifés à un niveau dissuasif. Architecte sur projet bancaire PCI-DSS, consultant IA sur données de santé HDS, prestataire LPM en défense, conseil M&A avec recommandations financières, infogérance H24 avec SLA contractuel à 99,95 %, réseau de sous-traitants offshore piloté par le freelance.
Tutassur s'appuie sur un réseau de 270 cabinets partenaires ORIAS. La voie extranet traite les profils standards en quelques minutes, l'étude sur-mesure mobilise les inspecteurs sur les dossiers atypiques.
Souscription en ligne pour profils standards
Pour un freelance IT classique, la souscription se fait en ligne via l'extranet Tutassur. Le parcours est balisé en six étapes : identité et statut juridique, description de l'activité, secteurs clients, CA HT et TJM moyen, antécédents sinistres sur cinq ans, garanties et plafonds. Signature électronique en fin de parcours.
Le devis sort entre deux et cinq minutes. Le contrat prend effet sous 48 heures après signature et paiement. L'attestation nominative est délivrée immédiatement, transmissible au donneur d'ordre sans délai.
Trois prérequis conditionnent l'éligibilité au parcours en ligne. CA HT inférieur à 150 000 € et TJM moyen sous 1 500 €. Aucun sinistre RC Pro significatif dans les trois ans. Pas de mission sensible (banque cœur, HDS, LPM, M&A conseil financier).
Votre freelance IT / consultant mérite la bonne couverture
Tutassur conçoit RC Pro IT, cyber, défense-recours et vous met en relation avec un courtier partenaire immatriculé ORIAS ou notre agence directe à Grenoble.
Tutassur conçoit les produits et oriente vers un réseau de courtiers partenaires immatriculés ORIAS pour la souscription.
Le tarif obtenu en ligne est ferme. Il intègre les six facteurs décrits plus haut. Extension cyber, défense-recours et matériel nomade restent modifiables. L'impact tarifaire s'affiche en temps réel avant validation finale.
Étude sur-mesure pour profils complexes
Pour les dossiers atypiques, l'étude sur-mesure mobilise un inspecteur de souscription. Il constitue un dossier complet, l'envoie à plusieurs porteurs spécialisés (Hiscox, Beazley, AIG, Markel) et négocie les conditions au cas par cas.
Cas concret. Un architecte logiciel parisien intervenant sur une plateforme de paiement PCI-DSS d'une banque mutualiste, TJM 1 700 €, CA prévisionnel 240 000 €, a été refusé par trois compagnies en ligne. L'étude sur-mesure Tutassur a structuré le dossier en isolant la mission bancaire dans un avenant dédié et en relevant le plafond à 3 000 000 €. Le contrat a été placé en six jours auprès d'un porteur fintech, surprime bancaire à 1,8.
Le dossier comprend sept pièces : statuts ou Kbis, CV technique et certifications (AWS, Azure, ISO 27001, habilitation défense le cas échéant), liste des missions sur trois ans avec secteurs et montants, contrats-cadres en cours, bilans des deux derniers exercices, historique des sinistres sur cinq ans, attestation de formation continue. Délai standard cinq à dix jours ouvrés. La proposition comporte deux à quatre devis comparatifs.
Erreurs fréquentes à éviter dans le devis
Cinq erreurs reviennent dans les dossiers mal préparés.
Sous-déclarer le CA HT prévisionnel. Beaucoup déclarent le CA N-1 plutôt que le prévisionnel N. En cas de sinistre, la règle proportionnelle de l'article L. 121-5 du Code des assurances s'applique : indemnisation réduite au prorata. Mieux vaut déclarer haut et régulariser à la baisse en fin d'exercice.
Omettre les secteurs sensibles. Mission ponctuelle en banque, santé ou défense pratiquée dans l'année doit être déclarée à la souscription. Sans déclaration, le sinistre n'est pas couvert au titre de l'aggravation non déclarée (article L. 113-2 alinéa 3).
Ignorer l'extension cyber. Le socle RC Pro IT ne couvre pas les frais propres après incident. Une fuite sans extension cyber laisse 15 000 à 50 000 € de frais à la charge du freelance.
Refuser la défense-recours. Économie apparente de 80 à 150 € par an. Coût réel d'un avocat sur un contentieux client : 4 000 à 12 000 €.
Ne pas mettre à jour le contrat après évolution. Changement de statut, basculement vers des missions sensibles, embauche d'un salarié : chaque changement doit être déclaré sous 15 jours par lettre recommandée.
Pour anticiper ces points, consulter le guide MRP TPE. Pour les textes légaux, Légifrance référence le Code des assurances. La CNIL publie des fiches pratiques RGPD pour les sous-traitants. L'ANSSI référence les guides cybersécurité applicables aux prestataires sensibles.
Foire aux questions
Les sept questions ci-dessus répondent aux interrogations fréquentes des freelances IT et consultants : bug en production, plafond exigé, fuite RGPD, statut juridique, portage salarial, projets régulés et vol du laptop. Chaque réponse est calibrée sur les pratiques du marché courtier en 2026.
Questions fréquentes
Bug dans le code en production qui coûte 50 000 € au client : la RC Pro IT est-elle engagée ?
Oui, sous réserve d'une rédaction contractuelle correcte. La RC Pro IT couvre les dommages immatériels consécutifs à une faute professionnelle au sens de l'article 1231-1 du Code civil. Un bug livré en production qui provoque une interruption de service, une perte de chiffre d'affaires ou une corruption de données chez le donneur d'ordre entre dans le périmètre. Le freelance déclare le sinistre sous 5 jours ouvrés conformément à l'article L. 113-2 du Code des assurances. L'assureur expertise la chaîne causale : commit fautif, absence de tests unitaires, défaut de relecture. L'indemnisation atteint le plafond contractuel, généralement 1 500 000 € à 3 000 000 € par sinistre. Trois exclusions classiques : faute intentionnelle, non-respect d'un cahier des charges écrit signé, dépassement de périmètre de mission. La conservation du contrat de prestation, des comptes rendus et du repo Git versionné fait la différence en expertise.
Donneur d'ordre exige attestation RC Pro avant signature : quel plafond demander ?
Le plafond dépend du secteur du donneur d'ordre. Pour une ESN ou un éditeur SaaS classique, 1 500 000 € par sinistre suffit dans 80 % des cas. Pour une mission directe en banque, assurance ou santé, le seuil exigé monte à 2 000 000 € voire 3 000 000 €. Les grands comptes intègrent une clause d'assurance dans le contrat-cadre fournisseur. Elle précise le plafond minimum, l'étendue de la couverture (RC Pro IT + cyber + données personnelles) et la franchise maximale acceptée. Le freelance fournit une attestation nominative à jour, datée de moins de 30 jours, mentionnant l'année d'exercice en cours. Sans cette attestation, la signature du bon de commande est bloquée. Le délai d'émission par l'assureur est de 24 à 72 heures après souscription. Anticiper avant la prospection commerciale évite de perdre une mission.
Fuite de données personnelles côté freelance : cyber ou RC Pro IT ?
Les deux peuvent intervenir, mais les périmètres diffèrent. La RC Pro IT couvre la responsabilité civile face au donneur d'ordre : recours du client final, pénalités contractuelles, dommages immatériels. La garantie cyber couvre les frais propres du freelance après incident : forensic, notification CNIL sous 72 heures (article 33 RGPD), communication aux personnes concernées (article 34 RGPD), gestion de crise. L'article 32 RGPD impose au freelance les mesures techniques et organisationnelles appropriées. Une fuite consécutive à un manquement (absence de chiffrement, mot de passe faible, ordinateur non verrouillé) engage la responsabilité du sous-traitant au sens de l'article 28 RGPD. La sanction CNIL peut atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les manquements à l'article 32. La cyber rembourse les frais de défense et de notification, pas les amendes administratives lorsque le caractère intentionnel ou la négligence grave est retenu.
Auto-entrepreneur, SASU ou portage : différence sur la souscription RC Pro ?
Le statut juridique change la mécanique mais pas la nécessité. En auto-entreprise, la RC Pro est souscrite au nom de la personne physique, avec son numéro SIRET. La prime annuelle démarre à 350 € pour un développeur web classique. En SASU, le contrat est nominatif à la société avec extension au dirigeant. Le plafond demandé par les grands comptes étant souvent plus élevé, la prime monte à 600-900 €. Le bilan annuel sert de référence pour l'ajustement de prime. En portage salarial, la société de portage couvre le consultant porté via son contrat-cadre. Cette couverture suffit pour les missions standards. Pour les projets sensibles (banque, défense, santé), certaines sociétés de portage exigent une RC Pro nominative complémentaire. Le freelance vérifie le plafond, l'étendue géographique et la durée de garantie subséquente (5 ans minimum recommandés) du contrat porteur.
Portage salarial : suis-je déjà couvert par la société de portage ?
Partiellement. Le contrat-cadre de la société de portage inclut une RC Pro collective pour ses consultants portés. Le plafond standard est de 1 500 000 € par sinistre, parfois 3 000 000 € chez les portages premium. Trois limites doivent être vérifiées. Premièrement, l'étendue géographique : missions hors UE souvent exclues sans avenant. Deuxièmement, la garantie subséquente : durée pendant laquelle le consultant reste couvert après la fin du contrat de portage, généralement 5 ans. Troisièmement, le périmètre des secteurs critiques : certaines polices excluent défense, santé HDS et banque réglementée. Pour ces missions, le consultant souscrit une RC Pro nominative complémentaire, à sa charge ou refacturée au client final. La société de portage délivre une attestation à chaque ordre de mission. Le consultant la transmet au donneur d'ordre avant le démarrage.
Projet banque, santé ou défense : surprime ou contrat dédié ?
Les deux scénarios coexistent selon la criticité. Pour une mission ponctuelle en banque ou santé sur du non-critique (intranet, projet RH, dashboard interne), une surprime de 30 à 80 % sur la prime de base suffit. Le contrat standard reste applicable avec extension secteurs régulés. Pour une mission cœur de métier (PCI-DSS sur infrastructure de paiement, HDS pour hébergement données de santé, projet LPM en défense), un contrat dédié est nécessaire. Les compagnies spécialisées (Hiscox, Beazley, AIG, Markel) tarifient au cas par cas avec plafond porté à 3 à 10 millions d'euros. La franchise monte à 5 000 € minimum. Le délai de souscription passe à 8-15 jours ouvrés. Le secret défense impose en plus une habilitation Confidentiel Défense ou Secret Défense. Le freelance fournit alors son attestation d'habilitation à l'inspecteur. Sans elle, aucun contrat n'est mobilisable sur projets LPM.
Vol du laptop avec code client et données sur le disque : quelle garantie ?
Trois garanties s'articulent. Le vol du matériel relève de l'assurance multirisque pro ou de l'extension matériel nomade : indemnisation en valeur de remplacement, plafond 2 000 à 5 000 € par sinistre. La garantie cyber couvre les frais d'investigation, de notification CNIL et de communication aux personnes concernées si des données personnelles sont exposées. La RC Pro IT couvre les recours du donneur d'ordre pour fuite du code source ou des données client (préjudice commercial, atteinte à l'image, pénalités contractuelles). Trois conditions techniques sont quasi systématiques pour déclencher la cyber : chiffrement intégral du disque (BitLocker, FileVault, LUKS), mot de passe fort sur la session, sauvegarde chiffrée hors site récente. Sans ces mesures, l'assureur peut invoquer un manquement à l'article 32 RGPD et réduire l'indemnité. Le freelance déclare le vol sous 48 heures à la police, puis sous 5 jours ouvrés à l'assureur, et notifie la CNIL sous 72 heures si des données personnelles sont concernées.
