Cyberattaque : l’indemnisation par l’assurance conditionnée par le dépôt préalable d’une plainte pénale

État des lieux de l'indemnisation des cyberattaques et création d'un régime par la LOPMI.

La Loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) a été promulguée le 24 janvier 2023[1]. Face à l’importance et de l’explosion des enjeux liés aux cyberattaques, la loi prévoit une hausse du budget du ministère de l'Intérieur de 15 milliards d'euros sur les cinq prochaines années.
L’objectif poursuivi est d’investir dans le numérique, d’avoir une plus grande proximité des services et de mieux prévenir les menaces et les crises.
Au titre des apports de cette loi, un nouveau chapitre du Code des assurances est créé sur l’indemnisation par les assurances des risques de cyberattaques.

L’indemnisation des cyberattaques, un chantier jusqu’alors purement contractuel

Jusqu’à l’intervention de la loi LOPMI, les conséquences liées à la réalisation d’une cyberattaque, et notamment les garanties financières, ne faisaient l’objet d’aucune position légale, tant sur le principe même de l’indemnisation, que sur ses modalités. Il appartenait ainsi aux organismes d’auditer le cas échéant, leur contrat de cyber assurance et d’en apprécier les modalités de mise en œuvre (étant entendu, les contrats pouvant d’ores et déjà prévoir des conditions de mise en œuvre de la garantie).

Toutefois, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), en sa qualité de référent en matière de cybersécurité, à formuler des recommandations pour indiquer comment réagir face aux cyberattaques. Elle a toujours préconisé notamment de ne jamais payer les rançons[2].

La création législative de la LOPMI

La LOPMI contient un article 5[3] qui crée dans le Code des assurances le chapitre X composé d’un article unique fixant un régime juridique applicable à l’assurance des cyberattaques. Ledit article prévoit que les assurés sont dans l’obligation de porter plainte auprès des autorités compétentes, au plus tard 72h après avoir eu connaissance de la cyberattaque, pour pouvoir obtenir une somme en application d’un contrat d’assurance visant à les indemniser « des pertes et dommages » liés à différentes infractions visant les atteintes aux systèmes de traitement automatisé de données[4].

Cette obligation prendra effet à partir du 24 avril 2023 pour les personnes morales et les personnes physiques dans le cadre de leur activité professionnelle uniquement.

Le rapport annexé de la LOPMI précise également les modalités de dépôt de la plainte : les victimes de cyberattaques pourront utiliser l’application mobile « Ma sécurité » pour déposer plainte en ligne.

Les interrogations à propos de l’indemnisation des conséquences financières des cyberattaques par les assurances

Comme évoqué ci-dessus, la LOPMI conditionne l’indemnisation par l’assurance des pertes et dommages subis par l’assuré au dépôt d’une plainte dans les 72 heures à compter de la connaissance de la cyberattaque. Plusieurs interrogations devront être prochainement tranchées.

En premier lieu, cette création législative semble réintroduire le débat autour du paiement des rançongiciels[5]. L’on note à cet effet que le rapport annexé à la LOPMI prévoit que « aux fins de casser le modèle économique des cyber-délinquants, les clauses de remboursement des rançons par les assurances cyber seront mieux encadrées et les paiements de rançons devront être déclarés aux forces de sécurité ou à l’autorité judicaire, afin que les services compétents disposent des informations nécessaires pour poursuivre les auteurs de l’infraction. »

En l’état, l’interprétation de l’article précité par la jurisprudence permettra de déterminer le sens qui sera donné aux « pertes et dommages » et notamment la question de savoir si le paiement par l’entreprise de la rançon est susceptible de faire l’objet d’une indemnisation par l’assurance.  Une articulation devra peut-être être également effectuée avec l’article 421-2-2[6] du code pénal qui incrimine le financement d’une entreprise terroriste, mais aussi la gestion des fonds, des valeurs ou des biens dans ce but[7].

En second lieu, la question du point de départ du délai pour déposer plainte fera nécessairement l’objet d’une interprétation. L’expression « après la connaissance de l'atteinte par la victime » est le seul indicateur précisé par la loi.

Cette interrogation nous conduit à faire une analogie avec la procédure d’une violation de données à caractère personnel auprès de l’autorité de contrôle lors d’une violation de données à caractère personnel. En effet, pour mémoire, conformément à l’article 33 du RGPD, le responsable de traitement doit notifier la violation à l’autorité de contrôle « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance »[8]. A cet effet, les lignes directrices du Comité européen de la protection des données (anciennement G29) indiquent que « un responsable de traitement devrait être considéré comme ayant pris « connaissance » lorsqu’il est raisonnablement certain qu’un incident de sécurité s’est produit et que cet incident a compromis des données à caractère personnel »[9]. Il y a fort à parier que de nombreux contentieux émergeront s’agissant du point de départ de l’obligation de déposer plainte, au regard des conséquences lourdes sur l’indemnisation par l’assurance.

Les organismes devront ainsi mettre en place une méthodologie visant à anticiper et gérer leur cellule de crise afin de répondre aux délais – courts – qui sont imposés dans le cadre de leurs obligations de notification et de plainte. La sensibilisation et la formation des équipes sont également indispensables afin d’une part d’identifier un incident de sécurité, et d’autre part, de faire remonter celui-ci aux personnes idoines dans des délais très courts.

L‘obligation de sécurité du responsable de traitement

En toute hypothèse, pour mémoire, conformément à l’article 32 du RGPD, le responsable de traitement et le sous-traitant doivent mettre en œuvre des mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque. Pour cette raison, il est déterminant pour les responsables de traitement d’auditer les contrats avec leurs prestataires, notamment informatiques, afin de déterminer si les garanties en matière de sécurité sont suffisantes, les notifications des incidents sont envisagées dans des délais acceptables et les modalités d’indemnisation correctes. En effet, la réalisation d’un incident de sécurité pourrait être en pratique le résultat d’un manquement de l’un de ses acteurs à leurs obligations en matière de sécurité.

Dès lors, la réalisation d’un incident de sécurité tel que visé par la loi LOPMI est susceptible de mettre en lumière un manquement de la part du responsable de traitement et/ou du sous-traitant à l’article précité. Or, un tel manquement est susceptible de donner lieu à une sanction financière de la part de la CNIL d’un montant de 10 millions d’euros ou de 2% du chiffre d’affaires annuel mondial total de l’exercice précédent[10], outre le droit à réparation des personnes concernées[11] et l’engagement de la responsabilité pénale[12].

En conclusion, les organismes doivent déployer une documentation contractuelle aux fins d’anticipation et de réponse aux incidents cyber (cellule de crise, PRA / PCA), outre la mise en place de mesures de sécurité adéquates et plus globalement, la mise à jour continue de leur conformité. Au surplus, les organismes doivent auditer leurs contrats d’assurance afin de déterminer les préjudices pris en charge dans le cadre d’une cyberattaque ainsi que toute condition contractuelle supplémentaire qui déterminerait les modalités de recours à l’assurance.

À retenir :

L’indemnisation par l’assurance des pertes et dommages subis en cas de cyberattaque est conditionnée au dépôt d’une plainte de la victime dans les 72 heures après avoir eu connaissance de l’atteinte.

Cette nouvelle obligation sera effective à partir du 24 avril 2023.

La documentation opérationnelle doit être déployée par les organismes et une sensibilisation effectuée pour anticiper et répondre de façon rapide et pragmatique aux incidents de sécurité.

L’équipe IP/IT – DATA

Les avocats de notre Pôle Data sont à votre disposition pour vous accompagner aux fins de sensibilisation de vos équipes, mise en place de la documentation opérationnelle et juridique idoine et revue des contrats avec vos prestataires.

[1] « LOI n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur (1) », 2023-22, 2023.

[2] BONNET Eric, « Loi LOMPI en matière de cybercriminalité », sur Lexing Alain Bensoussan Avocats [en ligne], publié le 6 janvier 2023, [consulté le 6 février 2023]..

[3] LOI n° 2023-22 du 24 janvier 2023, article 5 : «  I.- Le titre II du livre Ier du code des assurances est complété par un chapitre X ainsi rédigé :

« Chapitre X

« L'assurance des risques de cyberattaques

« Art. L. 12-10-1.-Le versement d'une somme en application de la clause d'un contrat d'assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d'une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l'atteinte par la victime.

« Le présent article s'applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »

II.- Le I entre en vigueur trois mois après la promulgation de la présente loi. »

[4] Articles 323- à 323-3-1 du code pénal.

[5]  M. HYPPÖNEN, « Payer la rançon en cas de cyberattaque », sur Forbes France [en ligne], publié le 30 janvier 2023.

[6] Code Pénal, article 421-2-2 : « Constitue également un acte de terrorisme le fait de financer une entreprise terroriste en fournissant, en réunissant ou en gérant des fonds, des valeurs ou des biens quelconques ou en donnant des conseils à cette fin, dans l'intention de voir ces fonds, valeurs ou biens utilisés ou en sachant qu'ils sont destinés à être utilisés, en tout ou partie, en vue de commettre l'un quelconque des actes de terrorisme prévus au présent chapitre, indépendamment de la survenance éventuelle d'un tel acte. »

[7] G. MORÉAS, Cyberattaques : faut-il payer la rançon ?, Le Monde, publié le 26 septembre 2022

[8] A moins que la violation en question ne soit pas susceptible d’engendre un risque pour les droits et libertés des personnes physiques.

[9] Lignes directrices sur la notification de violations de données à caractère personnel en vertu du règlement (UE) 2016/679 18/FR, WP250 rev.01.

[10] Article 83 du RGPD.

[11] Article 82 du RGPD.

[12] Article 226-17 du Code pénal.