Loi d’Orientation et de Programmation du Ministère de l’Intérieur 2023
Evolution réglementaire relative à l’application des garanties d’assurance des risques cyber – nécessaire dépôt de plainte dans les 72h en cas d’atteinte malveillante
La Loi d’Orientation et de Programmation du Ministère de l’Intérieur 2023 (LOPMI), publiée au Journal Officiel le 24 janvier 2023, ajoute un article L 12-10-1 (1) dans le Code des Assurances dédié à l’assurance des risques cyber. Cet article, entré en vigueur le 24 avril 2023, introduit une condition nouvelle, à la charge de l’assuré, pour être indemnisé par l’assureur des conséquences d’une atteinte malveillante au système de traitement automatisé de données. L’assuré devra désormais déposer plainte dans les 72 heures.
Art. L. 12-10-1 : « Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime. Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »
Points clés :
- Le dépôt de plainte par l’assuré doit être fait au plus tard 72 heures après qu’il a eu connaissance de l’atteinte au système de traitement automatisé de données.
- Il est nécessaire si l’atteinte est d’origine malveillante. Le texte vise une atteinte « mentionnée aux articles 323-1 à 323-3-1 du code pénal », à savoir :
- 323-1 : Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données.
- 323-2 : Le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données.
- 323-3 : Le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient.
- 323-3-1 : Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3.
- Il n’est pas fait référence dans l’article à la seule prise en charge par l’assureur de la rançon, contrairement au projet de loi initial. Cette obligation de dépôt de plainte s’applique donc pour la mise en jeu de l’assurance suite à toute attaque cyber / malveillance informatique qu’il y ait ou non demande de rançon.
- L’article vise tout contrat d’assurance susceptible d’indemniser l’assuré des pertes et dommages causés par l’atteinte malveillante.
- Sont concernées les personnes morales et les personnes physiques dans le cadre de leur activité professionnelle.
Enjeu pour les entreprises assurées :
Le dépôt de plainte par l’assuré, au plus tard dans les 72 heures après la constatation de l’atteinte malveillante, devient une condition à l’indemnisation par l’assureur.
Cette obligation s’applique qu’elle soit ou non écrite dans le texte du contrat.
A défaut de précision sur ce point dans le code des assurances, il faut considérer que cette obligation de dépôt de plainte s’applique aux contrats souscrits en France / relevant du droit français, donc même si l’entité victime de l’intrusion malveillante est une filiale étrangère d’un groupe assuré sur le marché français.
Garanties et contrats d’assurance sont concernés
Le nouvel article du code des assurances ne vise pas spécifiquement les contrats d’assurance cyber. On peut donc penser que la disposition s’applique, au-delà des contrats cyber, à tout contrat d’assurance qui accorde une garantie des pertes et dommages causés à l’assuré pour ce type d’incident cyber d’origine malveillante. Sont donc notamment concernés :
- le contrat d’assurance cyber
- le contrat d’assurance Fraude
- le contrat d’assurance Dommage avec volet de garantie pour les dommages consécutifs à une attaque cyber
L’application des garanties de Responsabilité civile du contrat d’assurance cyber (mise en cause de l’assuré suite à atteinte ou vol de données personnelles, ou suite à transmission de virus à un tiers par exemple) ne semble pas conditionnée à cette obligation de dépôt de plainte : l’article L. 12-10-1 du code des assurances a été positionné dans le Titre II « Règles relatives aux assurances de dommages » du code des assurances, et le texte fait référence à l’indemnisation de l’assuré des pertes et dommages causés par l’évènement cyber. Toutefois, en pratique, un sinistre qui apparaîtrait comme relevant de garanties de responsabilité civile (reprenons l’exemple du vol de données personnelles) pourra avoir aussi occasionné des pertes pour l’assuré qui seraient découvertes dans un second temps. De même, quid des frais engagés par l’assuré suite à la découverte du vol de données (frais de conseil juridique, frais de forensic, frais de communication), ne constituent-ils pas des pertes et dommages pour l’assuré ? Pour ces raisons, nous préconisons le dépôt de plainte y compris si l’intrusion malveillante, au moment ou elle est découverte, ne semble pas avoir causé de dommage à l’assuré.
Modalités du dépôt de plainte
Le dépôt de plainte peut être réalisé dans un commissariat de police nationale ou auprès de la Gendarmerie nationale. Vous pouvez également adresser un courrier recommandé avec accusé de réception au Procureur de la République auprès du Tribunal de Grande Instance compétent.
Verlingue se tient à votre disposition pour toute précision