Nos experts indemnisations et cyber décryptent la nouvelle loi LOPMI et vous expliquent les impacts pour les entreprises.
Cyber Risk Management
N/A
La loi n°2023-22 d’orientation et de programmation du ministère de l’Intérieur (LOPMI) du 24 janvier 2023 introduit l’article L12-10-1 dans le code des assurances français au titre des règles relatives aux assurances de dommages dans un chapitre X dédié à l’assurance des risques de cyberattaques.
La portée de l’article L12-10-1 est conséquente et implique une vigilance toute particulière à compter du 24 avril 2023, date de son entrée en vigueur.
Quel impact direct ?
Le législateur instaure une nouvelle obligation à la charge de toute victime d’une atteinte malveillante à un système de traitement automatisé de données : l’indemnisation de ses pertes et dommages au titre d’un contrat d’assurance est désormais conditionnée à un dépôt de plainte pénale dans un délai de 72 heures à compter de la connaissance de cette atteinte.
La loi ne distingue pas selon que le système de traitement automatisé de données est hébergé et/ou géré par l’assuré ou lorsque le système est externalisé (hébergement et/ou gestion du système par un prestataire de services).
Le présent article a pour but de présenter les modalités pratiques de lecture de ce texte et les mesures à prendre en cas d’atteinte du système de traitement automatisé de données en abordant les thèmes suivants :
Le caractère d’ordre public de ce texte ;
Les atteintes au système de traitement automatisé de données concernées ;
Les personnes sur lesquelles repose l’obligation du dépôt de plainte ;
Les modalités de dépôt de plainte ;
Le calcul du point de départ du délai de 72 heures ;
Les contrats d’assurance visés par l’article L12-10-1 ;
La sanction dans le cas où le délai de 72 heures n’est pas respecté.
Le caractère d’ordre public de la loi LOPMI
L’article L12-10-1 est d’ordre public, ce qui signifie :
qu’il n’est pas possible pour l’assuré et son assureur d’y déroger par convention ;
que cet article n’a pas à être reproduit dans la police d’assurance pour être applicable et invoqué par l’assureur à compter du 24 avril 2023.
Les atteintes au système de traitement automatisé de données
L’atteinte au système de traitement automatisé de données vise uniquement les infractions pénales suivantes :
Article 323-1 du code pénal :
le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données ;
lorsqu’il en résulte soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système ;
Article 323-1 du code pénal : le fait d’altérer le fonctionnement de ce système ;
Article 323-2 du code pénal : le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données ;
Article 323-3 du code pénal : le fait d'introduire frauduleusement des données dans un système de traitement automatisé, d'extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu'il contient ;
Article 323-3-1 du code pénal : le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 du code pénal.
A contrario, les atteintes accidentelles au système sont en dehors du champ de la loi.
Les personnes sur lesquelles repose l’obligation du dépôt de plainte
L’article mentionne à la fois la qualité de victime des infractions pénales visées et la qualité d’assuré au titre d’un contrat d’assurance.
Les personnes morales et les personnes physiques victimes dans le cadre de leur activité professionnelle ont l’obligation de déposer une plainte. Les particuliers et les consommateurs ne sont pas assujettis à cette obligation.
Doit déposer plainte la personne ayant la qualité pour agir auprès des autorités publiques : le représentant légal de la personne morale ou bien toute personne détentrice d’une délégation de pouvoirs, ainsi que tout avocat justifiant d’un mandat d’assistance et de représentation de son client.
Les modalités de dépôt de plainte
Il y a plusieurs moyens actuellement :
En se rendant dans un commissariat de police ou à la gendarmerie dans le délai de 72 heures. Attention, il n’est pas possible de remplir une pré-plainte en ligne concernant ces infractions.
En adressant une lettre recommandée avec accusé de réception au procureur de la République du Tribunal judiciaire du lieu de l’infraction ou du domicile de l’auteur de l’infraction afin de justifier de la démarche dans les 72 heures. Il est possible de déposer la plainte directement à l’accueil du tribunal, un récépissé sera remis dès que les services ont enregistré la plainte.
Il est possible de déposer une plainte simple ou bien une plainte avec constitution de partie civile.
Dans le cas où l’auteur de l’infraction est inconnu, la plainte doit être déposée contre X.
Le calcul du point de départ du délai de 72 heures :
L’article L12-10-1 retient que le délai court à partir du moment où la victime a connaissance de l’atteinte au système de traitement automatisé de données :
C’est à l’assuré de démontrer qu’il a bien déposé plainte dans le délai de 72 heures dès la découverte du caractère malveillant de l’atteinte au système.
La notion de connaissance est matérialisée dès lors qu’une personne de l’entreprise est avertie du caractère malveillant de l’atteinte au système d’information. Par exemple, si la Direction des Systèmes d’Information (DSI) est avertie lors des investigations sur le système que l’atteinte est malveillante mais omet de prévenir le directeur des risques et des assurances du groupe, le délai légal commencera néanmoins à courir.
Dès lors, nous recommandons aux directions assurances ou toute direction en charge des assurances (direction juridique, direction financière, etc.) de sensibiliser leur DSI sur la nécessité de les avertir de toute atteinte malveillante entrant dans le champ d’application de la loi pour que le dépôt de plainte soit fait dans le délai.
WTW recommande également de déposer plainte quels que soient le montant du sinistre ou le montant de la franchise applicable dans le contrat d’assurance.
Les contrats d’assurance visés par la loi LOPMI
L’article L12-10-1 est inséré dans le titre II du code des assurances qui règlemente les assurances de dommages. Ainsi, le législateur viserait donc toute garantie de dommages souscrite par l’assuré victime d’une atteinte malveillante au système.
Sont alors concernés les contrats d’assurance cyber et tous les contrats d’assurance contenant des garanties silencieuses liées à une attaque cyber (« silent cyber coverage ») dans les contrats d’assurance dommages et de responsabilité civile à condition que l’assureur indemnise les pertes et dommages subis par l’assuré (« first party coverage »).
Il semblerait que soient exclus du champ d’application de la loi les garanties responsabilité civile de l’assuré envers les tiers puisque l’objet de ces garanties est la réparation du préjudice du tiers (« third party coverage »). Dans l’attente de confirmation par la jurisprudence, WTW recommande à ses clients de déposer plainte dès connaissance du caractère malveillant de l’atteinte au système.
Au titre d’un contrat d’assurance cyber, les garanties de gestion d’incident restent sujettes à interprétation dans la mesure où elles ont pour vocation à prendre en charge les opérations d’assistance qui n’ont pas un caractère indemnitaire pour l’assuré. WTW recommande cependant par précaution de déposer plainte lorsqu’il s’agit de bénéficier de la garantie gestion d’incident.
Comment procéder avec un programme d’assurance master et des polices locales ?
Tout contrat d’assurance de droit français est soumis automatiquement à l’article L12-10-1.
Un contrat d’assurance master de droit français est soumis à l’article L12-10-1 quelque soit la localisation du sinistre, la plainte doit être déposée auprès des autorités compétentes du pays où l’infraction est constatée par l’assuré victime.
On peut envisager les trois cas suivants où une indemnisation de l’assuré est due au titre d’un contrat d’assurance master :
Application en LPS : la filiale victime assurée doit déposer plainte auprès des autorités locales compétentes dans les 72 heures.
Application en DIC/DIL de la police locale : se pose l’application des garanties indemnitaires de l’assuré lorsque le sinistre survient sur une police locale du programme d’assurance. A partir du moment où le contrat d’assurance master de droit français est potentiellement mobilisable, l’entité victime assurée doit respecter l’obligation du dépôt de plainte auprès des autorités locales compétentes.
Dans ces deux hypothèses, il serait prudent pour la société souscriptrice du programme d’assurance master français de doubler cette démarche auprès des autorités françaises dans le même délai de 72 heures.
Indemnisation au titre d’une clause FINC : l’indemnisation étant versée à la société souscriptrice de la police master, il est vivement recommandé que celle-ci dépose plainte dans le délai de 72 heures pour tout sinistre survenu dans l’une de ses filiales assurées sur un territoire « non admis » et que cette entité dépose une plainte localement.
Toutefois, bien que l’article L12-10-1 impose le dépôt d’une plainte auprès des autorités compétentes dans les 72 heures, la garantie n’est pas subordonnée au fait que la plainte soit jugée recevable.
La sanction dans le cas où le délai de 72 heures n’est pas respecté
L’assureur serait en droit d’invoquer une déchéance de garantie si la plainte n’est pas déposée dans les 72h de la connaissance de l’infraction pénale conformément à l’article L. 12-10-1 du code des assurances.
Pour aller plus loin
Les équipes WTW restent mobilisées auprès de leurs clients pour leur apporter plus d’information sur l’impact de la loi LOPMI sur l’application de leurs contrats d’assurance, n'hésitez pas à nous contacter.
