Rapport sur l’assurabilité des risques cyber

Publié le 04/03/2022 - mis à jour le 04/03/2022 à 15H30

Le Haut Comité Juridique de la Place Financière de Paris a rendu le 28 janvier dernier un rapport sur l’assurabilité des risques cyber.

Saisi par la Direction Générale du Trésor, le Haut Comité Juridique de la Place financière de Paris a constitué un groupe de travail chargé d’examiner le caractère complexe des questions juridiques soulevées par le sujet de l’assurance des risques cyber afin de les clarifier.

Selon le rapport, cette clarification est attendue par les assureurs pour leur permettre de mieux apprécier les contours de leurs engagements. Cette clarification va également bénéficier aux assurés qui cerneront de façon plus précise la portée des couvertures souscrites.

Ainsi le présent rapport, issu des travaux de ce groupe de travail, tente-t-il d’apporter des réponses à ces questions et de clarifier les trois thématiques suivantes :

Le cadre juridique actuel portant sur le régime des sanctions administratives notamment de nature pécuniaire et la possibilité de leur couverture assurantielle

L’entrée en vigueur en mai 2018 du règlement général sur la protection des données (RGPD) fait peser de nouvelles obligations sur les entreprises responsables de traitement de données personnelles en matière de protection de ces données, créant ainsi un lien potentiel avec les risques de nature cyber (vol ou corruption de données, par exemple), susceptibles de voir engager leur responsabilité en cas d’infraction. De fait, la question de la nature juridique de ces sanctions pécuniaires et de leur prise en charge par des mécanismes assurantiels (notamment via des contrats de type responsabilité civile des mandataires sociaux) se pose avec une acuité nouvelle alors que le cadre juridique et jurisprudentiel national ne permet pas de conclure de façon certaine sur leur assurabilité.

La possibilité au plan juridique de couvrir le risque de cyber rançonnage des entreprises et des particuliers par les mécanismes assurantiels

Dans un contexte où le risque de cyber rançon touche massivement les entreprises françaises, entraînant tant le versement d’importants montants de rançons que de nombreuses faillites d’entreprise, une solution assurantielle pourrait permettre de couvrir les pertes résultant de l’événement cyber tout en s’inscrivant dans le respect de la législation financière, notamment en matière de blanchiment des capitaux et de financement du terrorisme (LCB-FT).

Le cadre juridique actuel portant sur la couverture par les mécanismes assurantiels du risque de guerre est-il adapté dès lors que le fait générateur est de nature cybernétique ?

D’un point de vue assurantiel, l’intérêt de la qualification d’un tel fait générateur de nature cybernétique, que l’on peut désigner par cyberguerre, réside essentiellement dans la possibilité d’invoquer ou non l’exclusion légale du risque de guerre fixée à l’article L. 121-8 du Code des assurances.

Le rapport du Haut Comité Juridique de la Place Financière de Paris aborde ces trois thématiques au plan strictement juridique et tente de clarifier la question de la licéité de l’indemnisation des amendes administratives et de celle de l’indemnisation du paiement des rançons en droit positif. Il se penche également sur l’opportunité, tant sur le plan du cadre juridique français qu’européen, d’une éventuelle interdiction du remboursement desdites rançons par les assureurs et propose également un certain nombre de mesures d’encadrement et d’axes d’amélioration visant à lutter au mieux contre la cybercriminalité. Enfin il suggère une nouvelle approche de la notion de guerre lorsque le fait générateur est de nature cybernétique. Il ne se prononce pas sur les enjeux relevant des logiques de marché de l’assurance du risque cyber, ni sur l’opportunité d’étendre le champ d’application des contrats d’assurances.

Sources :
X