L’assurance des risques des sous-traitants techniques du RGPD

exchange

Publication de la CNIL du guide des sous-traitants techniques

Avec l’application du nouveau règlement européen sur la protection des données (RGPD) applicable le 25 mai 2018, les sous-traitants qui traitent des données personnelles pour le compte de leurs clients verront leurs obligations et corrélativement leur responsabilité renforcées.

En publiant le 27 septembre 2017, « le guide du sous-traitant technique », la CNIL nous apporte un éclairage sur la notion de sous-traitant technique et sur la portée des obligations mises à leur charge.
Les sous-traitants sont toutes les entités qui traitent des données personnelles pour le compte d’un autre organisme, dans le cadre d’un service ou d’une prestation. Il s’agit des prestataires informatiques, éditeurs de logiciels, prestataires en sécurité informatique, prestataires en marketing, communication et publipostage.

Nous nous limiterons à deux grandes catégories de risques. (1) Les risques de mise en cause par des clients et des tiers, à savoir le risque de responsabilité civile couvert par les contrats d’assurance de responsabilité civile exploitation et professionnelle (RC Pro). Puis, (2) les risques des sanctions pécuniaires administratives dites « amendes CNIL » et de procédure CNIL couverts avec les contrats d’assurance Cyber Risques.

(1) L’assurance de RCPro

Le RGPD met de nouvelles obligations à la charge des sous-traitants techniques : la responsabilité conjointe (article 26§3 du règlement), des obligations spécifiques en matière de sécurité, de confidentialité et de documentation de leur activité. Ces nouvelles obligations ne posent pas de difficulté sur le plan des assurances de RC Pro classiques.

La grande majorité des RC Pro qui sont souscrites en France stipulent des exclusions portant sur les conséquences des engagements qui alourdissent la responsabilité ou les responsabilités solidaires ou conjointes. Ces exclusions ne s’appliquent pas lorsque ces engagements sont imposés par la loi ou les règlements en vigueur, ce qui est bien le cas en l’espèce.

En revanche, les exclusions qui portent sur les conséquences de la violation de la législation sur la protection des données personnelles nous semblent plus problématiques.
L’existence de ces exclusions pourrait empêcher les sous-traitants techniques de bénéficier des garanties de leur RC Pro s’agissant de leurs risques liés au RGPD.
Or la majorité des contrats de RC Pro des prestataires informatiques et donc des sous-traitants techniques contiennent de telles exclusions.
Le contrat de RC Pro développé par NeoTech Assurances pour Syntec Numérique Assurances couvre le volet responsabilité civile (RC) et de Gestion de Cyber Crise.

Dès lors, à moins d’avoir souscrit une police RC Pro avec NeoTech Assurances ou une police d’Assurance Cyber Risques avec le volet de responsabilité civile, les prestataires informatiques et sous-traitants techniques ne sont pas correctement assurés et donc n’ont pas transféré leurs risques.

(2) L’Assurance Cyber Risques

Pour les sous-traitants techniques particulièrement exposés, il nous paraît indispensable de souscrire les garanties spécifiques offertes par les Assurances Cyber Risques pour couvrir : le risque de responsabilité civile des Cyber Risques (s’il n’était pas couvert dans la RC Pro), le volet Dommages aux biens et pertes financières dit « DAB » (s’il ne l’était pas couvert dans la DAB) mais surtout une garantie Gestion de Cyber Crise.

La garantie Gestion de Cyber Crise permet de couvrir les frais de défense, les frais d’expert, les frais de représentation devant la CNIL, les frais d’instruction, les frais de décontamination, les frais de notification, les sanctions pécuniaires administratives, les rançons et d’avoir accès à une plateforme de Gestion de Cyber Crise. Pour les sanctions pécuniaires administratives dites « amendes CNIL », il faut noter que seules les amendes qui sanctionnent des fautes non intentionnelles sont assurables (cf notre article dans legalis.net/legaltech et sur notre site). La décision du 18 juillet 2017 de la CNIL à encontre de la société Hertz France confirme le caractère assurable des amendes CNIL.
NeoTech Assurances a conçu et négocié un contrat d’Assurance Cyber Risques (texte courtier et sans questionnaire de souscription) et déployé une place forme de Gestion de Cyber Crise.

Si vous souhaitez un audit ou si vous avez des questions, vous pouvez nous contacter.

Pour télécharger le guide sous-traitant technique de la CNIL

Lire notre article sur l’assurabilité des sanctions pécuniaires administratives (legalis.net/legaltech)

Lire notre article sur la décision de la CNIL du 18/07/2017 à l’encontre de la société Hertz France