Cyberassurance : trois ans après la loi Lopmi, l’heure des clarifications

Trois ans après l’entrée en vigueur de l’article L. 12-10-1 du Code des assurances, introduit par la loi d’orientation et de programmation du ministère de l’Intérieur du 24 janvier 2023 (dite loi Lopmi), une certitude demeure : le texte a fait œuvre utile. Mais une autre s’impose avec la même force : il n’a pas dissipé toutes les incertitudes.

Cette disposition, désormais bien connue des assureurs cyber, subordonne le versement d’une indemnité d’assurance couvrant les pertes et dommages causés par une atteinte à un système de traitement automatisé de données au dépôt d’une plainte par la victime, dans un délai de soixante-douze heures à compter de la connaissance de l’atteinte. Elle ne s’applique qu’aux personnes morales et aux personnes physiques agissant dans le cadre de leur activité professionnelle.

Difficultés pratiques

L’apport principal du texte fut d’abord de consacrer, en creux mais clairement, la validité des garanties couvrant le paiement de rançons en cas de cyberattaque. Avant son adoption, le marché évoluait dans une zone grise. Certaines polices, notamment souscrites auprès d’acteurs étrangers, prévoyaient déjà de telles garanties. Mais leur licéité faisait l’objet de débats nourris, certains plaidant pour leur interdiction pure et simple au nom de la lutte contre le financement de la cybercriminalité.

Le législateur a choisi une autre voie : non pas prohiber, mais encadrer. En exigeant un dépôt de plainte rapide, il a entendu favoriser la judiciarisation des cyberattaques, améliorer la connaissance des incidents par les autorités et éviter que l’indemnisation assurantielle ne demeure dans l’angle mort de la puissance publique.

L’intention est légitime. Encore faut-il que la règle soit lisible.

La première difficulté tient au champ matériel de l’article L. 12-10-1. Le projet initial visait expressément le paiement d’une rançon. Le texte définitif retient une formule beaucoup plus large, visant toute clause d’assurance destinée à indemniser l’assuré des pertes et dommages causés par une cyberattaque au sens du Code pénal. Ce glissement rédactionnel n’est pas anodin.

Les garanties de responsabilité civile semblent pouvoir être écartées du dispositif. Leur objet n’est pas d’indemniser directement l’assuré, mais de prendre en charge le préjudice subi par des tiers. Dans cette hypothèse, l’assuré n’est pas, à proprement parler, la victime directe du dommage indemnisé. Exiger systématiquement de lui un dépôt de plainte pour mobiliser une garantie de responsabilité civile pourrait donc apparaître excessif, sinon contraire à l’économie même de cette garantie.

La question devient plus délicate pour les frais de défense, les frais d’assistance, les frais de remédiation ou les coûts de gestion de crise. Ceux-ci sont, dans bien des cas, supportés directement par l’assuré. Ils constituent donc des pertes propres. Faut-il pour autant les soumettre à l’obligation de dépôt de plainte dans les soixante-douze heures ?

Une réponse trop extensive fragiliserait l’efficacité même de l’assurance cyber. Les garanties d’urgence ont précisément pour vocation d’être mobilisées immédiatement : investigation informatique, conseil juridique, communication de crise, restauration des systèmes, assistance à la négociation. Leur utilité tient à leur célérité. Les conditionner, dès l’origine, à une formalité pénale pourrait produire un effet paradoxal : ralentir la réaction de l’entreprise au moment où chaque heure compte.

A l’inverse, une lecture trop restrictive du texte viderait partiellement la réforme de sa portée. C’est tout l’équilibre du dispositif qui se trouve ainsi suspendu à une clarification encore attendue.

A lire aussi: L’évolution rapide du risque cyber oblige les assureurs à revoir leur approche de couverture

Champ territorial

La seconde difficulté concerne le champ territorial. Les programmes d’assurance des grands groupes sont, par nature, internationaux. Une police soumise au droit français peut couvrir une filiale étrangère, victime d’une attaque commise hors de France, sans lien évident avec le territoire national. Dans une telle hypothèse, le seul choix du droit français dans la police suffit-il à déclencher l’obligation de dépôt de plainte prévue par l’article L. 12-10-1 ?

La question est loin d’être théorique. Elle conditionne la gestion des sinistres cyber transfrontaliers, la rédaction des polices maîtresses et locales, ainsi que le dialogue entre assureurs, courtiers et directions juridiques. Le texte admet que la plainte puisse être déposée auprès d’autorités étrangères, ce qui milite en faveur d’une application large. Mais il ne dit pas expressément si la seule soumission du contrat au droit français constitue un rattachement suffisant.

Dans le silence du législateur, la prudence s’impose. Pour les assurés, le dépôt rapide d’une plainte demeure la voie la plus sûre, même lorsque la situation présente une dimension internationale. Pour les assureurs, la vigilance est tout aussi nécessaire : le non-respect d’une disposition susceptible d’être regardée comme d’ordre public pourrait exposer à des difficultés prudentielles ou de supervision, notamment dans le cadre du contrôle de l’ACPR.

Un texte utile mais imparfait

C’est dans ce contexte que le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité mérite l’attention du marché. En modifiant l’article L. 121-8 du Code des assurances, il entend clarifier la répartition de la charge de la preuve lorsque l’assureur invoque un fait de guerre pour refuser sa garantie à la suite d’une cyberattaque.

Le sujet est majeur. Dans un cyberespace où les frontières entre criminalité organisée, espionnage, sabotage et opérations étatiques sont de plus en plus poreuses, l’imputation d’une attaque à un conflit armé relève souvent de l’exercice délicat, parfois spéculatif. Le projet prévoit qu’en cas d’atteinte à un système de traitement automatisé de données, il appartiendra à l’assureur de démontrer que le sinistre résulte d’une guerre étrangère pour refuser d’indemniser.

Cette clarification est bienvenue. Elle rappelle qu’en matière cyber, l’incertitude d’attribution ne doit pas se transformer en incertitude d’indemnisation. Pour les assurés, notamment les établissements financiers et les opérateurs critiques, la sécurité juridique de la couverture est un enjeu de résilience. Pour les assureurs, elle constitue également une condition de stabilité du marché : un risque mal défini est un risque difficilement tarifable, donc difficilement assurable.

Reste que cette avancée ne résout pas tout. L’article L. 12-10-1 demeure un texte utile mais imparfait, situé à la croisée du droit des assurances, du droit pénal et de la régulation cyber. Il gagnerait à être précisé, soit par la loi, soit par doctrine administrative ou position de supervision, afin d’éviter que son application ne soit laissée à une mosaïque d’interprétations contractuelles.

Le marché de la cyberassurance a besoin de règles claires. Non pour desserrer les exigences, mais pour les rendre praticables. L’assurance cyber ne peut être efficace que si elle conjugue trois impératifs : la rapidité de la réponse opérationnelle, la loyauté de l’information transmise aux autorités et la prévisibilité de l’indemnisation.

A défaut, le risque est connu : transformer une règle de transparence en facteur de friction, et une exigence de conformité en source d’insécurité juridique. Dans un domaine où la crise se joue souvent en quelques heures, la clarté du droit n’est pas un luxe. Elle est une condition de la résilience.