- Cyber
- Tribune
Cyberassurance : trois ans après la loi Lopmi, l’heure des clarifications
- Trois ans après la loi Lopmi, le marché de la cyberassurance attend des clarifications pour garantir la rapidité, la transparence et la prévisibilité de l’indemnisation.
- L’article L. 12-10-1 du Code des assurances impose depuis 2023 un dépôt de plainte sous 72 heures pour indemniser les victimes de cyberattaques, mais son champ d’application et sa portée territoriale restent flous.
- Un projet de loi sur la résilience des infrastructures critiques prévoit de clarifier la charge de la preuve en cas de refus de garantie pour fait de guerre, sans résoudre toutes les incertitudes du dispositif actuel.
Trois ans après l’entrée en vigueur de l’article L. 12-10-1 du Code des assurances, introduit par la loi d’orientation et de programmation du ministère de l’Intérieur du 24 janvier 2023 (dite loi Lopmi), une certitude demeure : le texte a fait œuvre utile. Mais une autre s’impose avec la même force : il n’a pas dissipé toutes les incertitudes.
Cette disposition, désormais bien connue des assureurs cyber, subordonne le versement d’une indemnité d’assurance couvrant les pertes et dommages causés par une atteinte à un système de traitement automatisé de données au dépôt d’une plainte par la victime, dans un délai de soixante-douze heures à compter de la connaissance de l’atteinte. Elle ne s’applique qu’aux personnes morales et aux personnes physiques agissant dans le cadre de leur activité professionnelle.
Difficultés pratiques
L’apport principal du texte fut d’abord de consacrer, en creux mais clairement, la validité des garanties couvrant le paiement de rançons en cas de cyberattaque. Avant son adoption, le marché évoluait dans une zone grise. Certaines polices, notamment souscrites auprès d’acteurs étrangers, prévoyaient déjà de telles garanties. Mais leur licéité faisait l’objet de débats nourris, certains plaidant pour leur interdiction pure et simple au nom de la lutte contre le financement de la cybercriminalité.
Le législateur a choisi une autre voie : non pas prohiber, mais encadrer. En exigeant un dépôt de plainte rapide, il a entendu favoriser la judiciarisation des cyberattaques, améliorer la connaissance des incidents par les autorités et éviter que l’indemnisation assurantielle ne demeure dans l’angle mort de la puissance publique.
L’intention est légitime. Encore faut-il que la règle soit lisible.
La première difficulté tient au champ matériel de l’article L. 12-10-1. Le projet initial visait expressément le paiement d’une rançon. Le texte définitif retient une formule beaucoup plus large, visant toute clause d’assurance destinée à indemniser l’assuré des pertes et dommages causés par une cyberattaque au sens du Code pénal. Ce glissement rédactionnel n’est pas anodin.
Les garanties de responsabilité civile semblent pouvoir être écartées du dispositif. Leur objet n’est pas d’indemniser directement l’assuré, mais de prendre en charge le préjudice subi par des tiers. Dans cette hypothèse, l’assuré n’est pas, à proprement parler, la victime directe du dommage indemnisé. Exiger systématiquement de lui un dépôt de plainte pour mobiliser une garantie de responsabilité civile pourrait donc apparaître excessif, sinon contraire à l’économie même de cette garantie.
La question devient plus délicate pour les frais de défense, les frais d’assistance, les frais de remédiation ou les coûts de gestion de crise. Ceux-ci sont, dans bien des cas, supportés directement par l’assuré. Ils constituent donc des pertes propres. Faut-il pour autant les soumettre à l’obligation de dépôt de plainte dans les soixante-douze heures ?
Une réponse trop extensive fragiliserait l’efficacité même de l’assurance cyber. Les garanties d’urgence ont précisément pour vocation d’être mobilisées immédiatement : investigation informatique, conseil juridique, communication de crise, restauration des systèmes, assistance à la négociation. Leur utilité tient à leur célérité. Les conditionner, dès l’origine, à une formalité pénale pourrait produire un effet paradoxal : ralentir la réaction de l’entreprise au moment où chaque heure compte.
A l’inverse, une lecture trop restrictive du texte viderait partiellement la réforme de sa portée. C’est tout l’équilibre du dispositif qui se trouve ainsi suspendu à une clarification encore attendue.
A lire aussi : L’évolution rapide du risque cyber oblige les assureurs à revoir leur approche de couverture
Champ territorial
La seconde difficulté concerne le champ territorial. Les programmes d’assurance des grands groupes sont, par nature, internationaux. Une police soumise au droit français peut couvrir une filiale étrangère, victime d’une attaque commise hors de France, sans lien évident avec le territoire national. Dans une telle hypothèse, le seul choix du droit français dans la police suffit-il à déclencher l’obligation de dépôt de plainte prévue par l’article L. 12-10-1 ?
La question est loin d’être théorique. Elle conditionne la gestion des sinistres cyber transfrontaliers, la rédaction des polices maîtresses et locales, ainsi que le dialogue entre assureurs, courtiers et directions juridiques. Le texte admet que la plainte puisse être déposée auprès d’autorités étrangères, ce qui milite en faveur d’une application large. Mais il ne dit pas expressément si la seule soumission du contrat au droit français constitue un rattachement suffisant.
Dans le silence du législateur, la prudence s’impose. Pour les assurés, le dépôt rapide d’une plainte demeure la voie la plus sûre, même lorsque la situation présente une dimension internationale. Pour les assureurs, la vigilance est tout aussi nécessaire : le non-respect d’une disposition susceptible d’être regardée comme d’ordre public pourrait exposer à des difficultés prudentielles ou de supervision, notamment dans le cadre du contrôle de l’ACPR.
Un texte utile mais imparfait
C’est dans ce contexte que le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité mérite l’attention du marché. En modifiant l’article L. 121-8 du Code des assurances, il entend clarifier la répartition de la charge de la preuve lorsque l’assureur invoque un fait de guerre pour refuser sa garantie à la suite d’une cyberattaque.
Le sujet est majeur. Dans un cyberespace où les frontières entre criminalité organisée, espionnage, sabotage et opérations étatiques sont de plus en plus poreuses, l’imputation d’une attaque à un conflit armé relève souvent de l’exercice délicat, parfois spéculatif. Le projet prévoit qu’en cas d’atteinte à un système de traitement automatisé de données, il appartiendra à l’assureur de démontrer que le sinistre résulte d’une guerre étrangère pour refuser d’indemniser.
Cette clarification est bienvenue. Elle rappelle qu’en matière cyber, l’incertitude d’attribution ne doit pas se transformer en incertitude d’indemnisation. Pour les assurés, notamment les établissements financiers et les opérateurs critiques, la sécurité juridique de la couverture est un enjeu de résilience. Pour les assureurs, elle constitue également une condition de stabilité du marché : un risque mal défini est un risque difficilement tarifable, donc difficilement assurable.
Reste que cette avancée ne résout pas tout. L’article L. 12-10-1 demeure un texte utile mais imparfait, situé à la croisée du droit des assurances, du droit pénal et de la régulation cyber. Il gagnerait à être précisé, soit par la loi, soit par doctrine administrative ou position de supervision, afin d’éviter que son application ne soit laissée à une mosaïque d’interprétations contractuelles.
Le marché de la cyberassurance a besoin de règles claires. Non pour desserrer les exigences, mais pour les rendre praticables. L’assurance cyber ne peut être efficace que si elle conjugue trois impératifs : la rapidité de la réponse opérationnelle, la loyauté de l’information transmise aux autorités et la prévisibilité de l’indemnisation.
A défaut, le risque est connu : transformer une règle de transparence en facteur de friction, et une exigence de conformité en source d’insécurité juridique. Dans un domaine où la crise se joue souvent en quelques heures, la clarté du droit n’est pas un luxe. Elle est une condition de la résilience.
Plus d'articles du même thème
-
L’Inspection générale des affaires sociales dénonce le statut des contrats collectifs en santé
A l’heure où toute recette supplémentaire est bienvenue, la publication d’un rapport de l'Igas bouclé en octobre dernier donne du corps à un possible renchérissement de la protection sociale complémentaire en entreprise. Au risque de déstabiliser le marché. -
L’Esma a lancé une action de surveillance des prestataires de services crypto
Le rapport final sera soumis à son conseil de surveillance au second semestre 2027. -
Les règles du secteur aérien divergent des deux côtés de l’Atlantique
Alors que le marché américain a connu une libéralisation précoce, l’Union européenne a mis en place un arsenal réglementaire destiné à mieux protéger les voyageurs.
ETF à la Une
Amundi lance un ETF sur les actions monde
- Le cash, nouvel impératif stratégique du private equity
- Voyageurs du Monde va quitter la Bourse parisienne
- Aria annonce une levée de fonds complémentaire de 7 millions d'euros
- La finance durable change de rythme mais garde le cap
- Les créanciers de Casino et son principal actionnaire n’arrivent pas à s’entendre
Contenu de nos partenaires
-
ImpasseAméricains et Iraniens poursuivent leurs attaques, l’avenir de la trêve suspendu à un fil
Les Etats-Unis ont bombardé l’Iran pour la deuxième journée consécutive, dans la nuit de dimanche à lundi, et Téhéran a procédé à des frappes visant plusieurs de ses voisins du Golfe. Les médiateurs tentent de prévenir une escalade des tensions. -
Les moins de 13 ans bientôt privés de réseaux sociaux ? L’UE y réfléchit
Un rapport d’experts rendu public ce lundi recommande de restreindre l’accès des plus jeunes aux réseaux sociaux. Un travail qui vient appuyer le combat d’Ursula von der Leyen contre les plateformes -
Relevé des compteursL'Amérique et l'électrique, les deux moteurs de Stellantis
Au deuxième trimestre, le constructeur automobile dirigé par Antonio Filosa a livré environ 1,6 million de véhicules, un chiffre en hausse de 10 % sur un an.