Télécharger Mozilla Firefox 
Télécharger Google Chrome Les 10 conséquences de la loi LOPMI pour l'assurance des risques cyber
1. Il n’est pas nécessaire d’inclure l’article L12-10-1 dans les polices d’assurances cyber
L'article L12-10-1 est d'ordre public, ce qui signifie que l'assuré et l'assureur ne peuvent y déroger par convention. Ainsi, cet article n'a pas besoin d'être inclus dans la police d'assurance pour être applicable et invoqué par l'assureur.
a. Obligation de dépôt de plainte
La loi impose aux victimes d'attaques informatiques malveillantes de porter plainte pour préserver leur droit à indemnisation au titre de leur contrat d'assurance. Cette obligation s'applique aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. La loi ne distingue pas les cas des systèmes de traitement automatisé de données hébergé ou géré par l’assuré des cas de systèmes externalisés (hébergé ou géré par un prestataire de services).
b. Délai de 72 heures
La loi prévoit un délai de 72 heures (calendaires) à compter de la connaissance par la victime de l'atteinte informatique pour déposer plainte. La charge de la preuve pèse sur l'assuré.
La loi LOPMI fait peser une nouvelle contrainte sur l’assuré, mais dans un but d’intérêt général : mieux recenser les différentes atteintes afin de permettre aux autorités publiques d’arrêter les acteurs malveillants. Cette clarification règlementaire permet également de lever des zones grises en matière d’assurabilité.
2. Les atteintes concernées par l'obligation de dépôt de plainte
L'obligation de dépôt de plainte s'applique uniquement aux atteintes malveillantes, telles que définies aux articles 323-1 à 323-3-1 du code pénal. Les atteintes accidentelles du système d'information ne sont pas concernées par cette obligation.
3. Les contrats d'assurance impactés par la loi LOPMI
L'article L12-10-1 vise toute indemnité versée à un assuré en réparation des pertes et dommages causés par une atteinte malveillante. Les contrats d'assurance concernés incluent :
- Contrats d'assurance cyber,
- Contrats de fraude,
- Contrats dommages couvrant les dommages consécutifs à une atteinte cyber,
- Contrats Kidnap & Ransom (K&R).
La loi semble exclure les garanties de responsabilité civile (contrats RC Générale, RC Professionnelle, volet RC des polices cyber), mais par précaution, il est recommandé de procéder au dépôt de plainte.
4. Les entités concernées par l'obligation de dépôt de plainte
L'article L12-10-1 s'applique aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. Les entités étrangères victimes d'une atteinte et assurées par un contrat d'assurance de droit français sont également concernées.
Il est recommandé aux clients de diffuser des instructions pertinentes à leurs entités en France et à l'étranger couvertes par une police d'assurance de droit français avant le 24 avril 2023.
5. Les modalités de dépôt de plainte
Le dépôt de plainte peut se faire auprès de la police ou de la gendarmerie, ou auprès du Procureur de la République (lettre recommandée avec accusé de réception). Un pré-dépôt de plainte dans le délai de 72 heures ne permet pas de satisfaire à la condition imposée par la LOPMI.
6. La détermination du délai de 72 heures
La loi prévoit un délai de 72 heures à compter de la connaissance par la victime de l'atteinte informatique malveillante. La notion de "connaissance" n'étant pas définie par la LOPMI, il est considéré qu'il s'agit du moment où l'entité a la confirmation certaine de l'existence d'une atteinte au système de traitement automatisé de données.
7. Les conséquences en cas de non-respect du délai de 72 heures
L'assureur serait en droit d'invoquer une déchéance de garantie si la plainte n'est pas déposée dans les 72 heures de la connaissance de l'infraction pénale, conformément à l'article L. 12-10-1 du code des assurances.
8. Les programmes d'assurance master et les polices locales
Les contrats d'assurance de droit français sont soumis automatiquement à l'article L12-10-1. Pour les contrats d'assurance master de droit français, la plainte doit être déposée auprès des autorités compétentes du pays où l'infraction est constatée par l'assuré victime.
Cependant, que l’indemnisation soit en LPS, en DIC/DIL d’une police locale ou au titre d’une clause FINC, il est plus prudent pour la société souscriptrice du programme d’assurance master français de doubler cette démarche auprès des autorités françaises dans ce même délai de 72 heures.
9. Les garanties de gestion d'incident
Les garanties de gestion d'incident ont pour vocation de prendre en charge les opérations d'assistance qui n'ont pas un caractère indemnitaire pour l'assuré. Il est toutefois recommandé de déposer plainte lorsqu'il s'agit de bénéficier de la garantie gestion d'incident.
Le dépôt de plainte sous 72h doit maintenant être intégré à la stratégie de réponse à incident Cyber des organisations. La rationalisation des procédures techniques des entreprises en cas d’incident et du service d’assistance inclus dans les polices d’assurances Cyber n’a jamais été aussi important qu’aujourd’hui.
10. Les conseils pour se conformer à la loi LOPMI
Les entreprises doivent prendre plusieurs mesures pour se conformer à la loi LOPMI en matière de cyber risques :
- Sensibiliser la Direction des Systèmes d'Information (DSI) sur la nécessité d’avertir la direction des assurances de toute atteinte malveillante,
- Déposer plainte dans le délai de 72 heures, quel que soit le montant du sinistre ou de la franchise applicable,
- Adapter les procédures internes pour être en conformité avec la loi.
La loi LOPMI a des conséquences importantes pour les entreprises en matière d’assurance cyber, et il est essentiel de prendre les mesures nécessaires pour se conformer à cette réglementation. La Direction générale du Trésor organise des groupes de travail qui doivent définir un référentiel « d’audit » de sécurité dans les entreprises pour identifier les niveaux de maturité face au risque cyber. Cela permettra à la fois aux assureurs de mieux évaluer le risque pour déterminer les conditions d’assurance et aux entreprises d’accroître leur niveau de protection pour accéder plus facilement à l’assurance du risque cyber. Ce référentiel devrait être présenté en septembre 2023.
Nos équipes d'experts en assurance sont mobilisées pour apporter davantage d'informations et de conseils sur l'impact de cette loi sur l'application des contrats d'assurance.
Newsletter