Les dispositions portant sur les assurances des risques de cyberattaques de la loi n° 2023-22 d’orientation et de programmation du ministère de l’Intérieur (LOPMI) qui a été promulguée le 24 janvier 2023 sont entrées en vigueur le 24 avril 2023.
« Art. L. 12-10-1.-Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du Code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.
Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle.
L’entrée en vigueur trois mois après la promulgation de la présente loi. »
Le législateur avait choisi de différer (rapport de la commission mixte paritaire du 1er décembre 2022 ) de trois mois l’entrée en vigueur de ces nouvelles dispositions afin de laisser le temps aux assurés de prendre connaissance de leurs obligations.
Quelle est la portée de cette nouvelle obligation ?
1. Qui est concerné par cette obligation ?
Cette obligation s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle, et donc pas aux consommateurs.
2. Une obligation qui concerne toutes les garanties des risques des cyberattaques
L’obligation de faire un dépôt de plainte adoptée dans ce nouvel article du code des assurances concerne toutes les garanties des risques des cyberattaques y compris l’assurance du paiement des rançongiciels.
En effet, c’est volontairement que le législateur (rapport 436 de l’Assemblée nationale du 4 novembre 2022 ) a supprimé la référence spécifique « au paiement des rançons » du premier projet de loi pour lui substituer la formulation « des pertes et dommages causés par une atteinte à un système de traitement automatisé de données… »
La commission des lois de l’Assemblée nationale a adopté trois amendements identiques de Mme Le Hénanff (CL417) et de MM. Latombe (CL488) et Belhamiti (CL605) visant à élargir le champ du dispositif à l’ensemble des remboursements assurantiels faisant suite à une atteinte à un système de traitement automatisé des données.
Par ailleurs, la lecture du rapport de la commission des lois de l’Assemblée nationale n° 436 – 4 novembre 2022 confirme ce que nous avons toujours exprimé, à savoir que rien dans le droit positif (droit européen, législation des pays l’OCDE, code civil, code des assurances, code pénal et dans la jurisprudence) ne s’opposait à l’assurabilité de la prise en charge du paiement des rançons. Cette position a été affirmée par le Haut comité juridique de la place financière de Paris (rapport du 28 janvier 2022). Seul le cas du paiement d’une rançon faite en connaissance que les fonds fournis seraient destiné à la commission d’un acte terroriste (article 421-2-2 du Code pénal) peut s’opposer à l’assurabilité de ce risque.
La référence aux articles 323-1 à 323-3-1 du Code pénal écarte de cette obligation les conséquences des incidents de sécurité informatique ayant une cause accidentelle ou résultant d’une erreur. Il s’agit bien des conséquences d’une cyberattaque.
3. Une consécration de l’assurabilité du paiement des rançons qui encadre de l’indemnisation des victimes des cyberattaque
Comme nous l’avions déjà évoqué dans un précédent article, la commission des lois de l’Assemblée nationale (rapport 436 – page 48) confirme qu’il s’agit d’une consécration de l’assurabilité des rançons et non d’une légalisation, car la prise en charge des rançons a toujours été assurable dès lors que la victime et son assureur respectaient la législation les infractions de lutte contre le financement du terrorisme prévu à l’article 421-2-2 du Code pénal.
4. Un délai de 72h00 pour respecter cette nouvelle obligation
Le choix de la durée de ce délai résulte d’un équilibre entre les intérêts de la victime (à qui il faut laisser le temps de réagir en particulier pour les TPE et PME) et les nécessités de l’enquête.
Ce choix initialement porté à 24h00 a été allongé à 48h00 puis à 72H00.
En effet, ce nouveau dispositif (rapport Sénat N°19 page 32 – 5 octobre 2022 / rapport Assemblée nationale n°436 page 48 – 4 novembre 2022) qui subordonne le paiement d’une indemnité d’assurance « au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime », permettra d’améliorer l’information des forces de sécurité et de l’autorité judiciaire et de faciliter les investigations. Il contribuerait ainsi à une meilleure réaction face à une cyberattaque, grâce au recoupement des plaintes et des indices, puisqu’une cyberattaque frappe rarement une seule victime. Il permettrait également de mieux connaître les techniques et les méthodes suivies par les cybercriminels.
Quant au point de départ de ce délai pour faire le dépôt de plainte, le législateur a finalement préféré le moment de « la constatation de l’infraction par la victime » au lieu « du moment du paiement de la rançon » ou celui « du moment de l’attaque ». Il s’agit de tenir compte des difficultés pour les victimes de connaître le moment exact de début d’une attaque cyber. Cette formulation vise à apporter de la sécurité juridique au dispositif légal. Elle s’inspire de la disposition de la directive NIS 2 qui prévoit une notification d’incident dans les soixante-douze heures qui suivent « la découverte de l’incident de sécurité ».
Selon la taille et les effectifs de l’assuré, le délai pour le dépôt de plainte commencera à courir au moment où les représentants légaux ou leurs délégataires (risque manager, RSSI, Secrétaires généraux, etc) seront informés ou auront conscience que leur société est victime d’une infraction pénale (cyberattaque).
5. Quels sont les contrats d’assurance concernés ?
La suppression du paiement des rançons a été faite volontairement par la commission des lois de l’Assemblée nationale (rapport 436 Assemblée nationale page 51) pour étendre cette obligation à l’ensemble des remboursements assurantiels.
La référence (article 12-10-1 du code des assurances) au versement d’une somme à un assuré « le versement d’une somme en application de la clause d’un contrat visant à indemniser un assuré » exclut du champ ce nouvel article les assurances de responsabilité civile (RC Exploitation ou RC Professionnelle et les volets RC des assurances des risques cyber), car s’agit de contrat d’assurance dont l’objet est d’indemniser une tierce victime (des conséquences des fautes de l’assuré) et non l’assuré.
Cet article concerne les assurés qui bénéficient de garanties des risques cyber (pertes financières ou gestion de crise cyber) dans le cadre des assurances des risques cyber ou qui pourraient être annexées à d’autres contrats d’assurance (ex. volet gestion de crises cyber dans un contrat d’assurance RCP).
6. Les modalités du dépôt de plainte
En cas de cyberattaque, nous vous recommandons de contacter dans un premier temps un cabinet d’avocats spécialisés pour la gestion des crises liées aux incidents de sécurité informatique.
Les informations sur les modalités du dépôt de plainte sont sur le lien ci-dessous.
https://www.masecurite.interieur.gouv.fr/fr
Informations utiles pour préparer le dépôt de plainte et documenter tout élément utile à l’enquête :
• Préserver toutes les traces visibles de l’attaque (photos, captures d’écran, etc.)
• Lister par ordre chronologique toutes les actions entreprises à la suite de l’attaque
• Apporter ou tenir à disposition un maximum de preuves (fichiers, photos, images, vidéos, clés USB, CD/DVD, disque dur, etc.)
La victime doit ensuite porter plainte dans une brigade de gendarmerie ou un commissariat dans un délai de 72h maximum à compter de la prise de connaissance de l’incident.
Si l’entreprise, immatriculée en France et assurée par contrat d’assurance français, est victime d’une cyberattaque à l’étranger, deux options s’ouvrent à elle :
• Déposer plainte en France sous 72h maximum
• Déposer plainte dans le pays d’implantation sous 72h maximum L’obligation de dépôt de plainte sera respectée – à condition que la cyberattaque concernée constitue également une infraction dans ce pays.