Il s’agit principalement pour une entreprise de la police d’assurance de Responsabilité Civile Générale.
Cette police d’assurance a pour objet la couverture des conséquences financières de l’engagement de la responsabilité civile de l’entreprise suite à un dommage corporel, matériel ou immatériel causé aux tiers du fait ou à l’occasion de ses activités.
L’assureur s’engage ainsi à prendre en charge les frais de défense de l’entreprise ainsi que les éventuels dommages et intérêts auxquels celle-ci serait condamnée suite à des réclamations formulée par des tiers.
S’agissant d’un assuré professionnel, les garanties de ce contrat sont, sauf exception, déclenchées par la réclamation intervenant pendant la période d’assurance et le cas échéant pendant la période subséquente(149).
Au simple vu de l’objet de la police d’assurance de Responsabilité Civile Générale, les responsabilités afférentes aux cyber-risques sont a priori garanties.
De plus, la police d’assurance de Responsabilité Civile Générale couvre aussi, en principe, la responsabilité encourue par l’entreprise du fait de ses sous-traitants. Dans ce cas, l’assureur, après avoir indemnisé le tiers, se retournera ensuite contre le sous-traitant responsable.
C’est un point important s’agissant des risques pesant sur les données, notamment en cas de recours à un prestataire de cloud computing susceptible d’être qualifié de sous-traitant.
Le contrat couvre également les dommages aux tiers du fait des préposés, qu’il s’agisse d’un acte malveillant ou d’une simple négligence, ce qui est également crucial en matière de cyber-risques puisque les salariés sont souvent impliqués.
La prise en charge des cyber-risques par la police d’assurance de Responsabilité Civile Générale est toutefois compromise par le jeu des exclusions.
En effet, la plupart des assureurs excluent de la garantie :
– la divulgation de données personnelles ou confidentielles ou encore de secrets professionnels,
Ce qui correspond au principal risque de responsabilité pour l’entreprise en matière de cyber-risques,
– les dommages causés aux tiers suite à la transmission d’un virus.
A titre d’exemple, on trouve les exclusions suivantes :
1. Les conséquences d’actes de concurrence déloyale, de contrefaçon, de publicité mensongère, de divulgation de secrets professionnels, de l’exploitation abusive de brevets ou de licences, et autre atteintes aux droits de la propriété industrielle, littéraire ou artistique, aux droits d’auteurs y compris quant à la protection des programmes et procédés informatiques, au droit à la vie privée, la diffamation et au droit à l’image.
2. Les dommages de toute nature qui résulteraient dans leur origine ou leur étendue, des effets d’un virus informatique.
3. Les conséquences pécuniaires résultant de malversation, fraude, abus de confiance, vol et détournement de fonds ou d’informations, création frauduleuse de fichiers professionnels, de la transmission prohibée d’informations confidentielles visées par « la loi du 6 janvier 1978 informatique et libertés ».
En revanche, si l’entreprise est victime d’un déni de service et qu’il en résulte un préjudice pour un tiers, les réclamations de ces derniers pourraient être prises en charge par le contrat Responsabilité Civile Générale, sauf exclusion spécifique.
Outre certaines exclusions, la nature des dommages causés aux tiers dans le cadre des cyber-risques implique une attention particulière dans le cadre de la police d’assurance de Responsabilité Civile Générale. En effet, ces dommages ne seront jamais, en principe, corporels (atteinte à l’intégrité physique de la personne) ou matériels (détérioration, destruction, altération, vol d’une chose). Etant donné que les atteintes à la sécurité des systèmes d’information sont par nature immatérielles, on imagine mal comment le matériel informatique ou plus largement un quelconque bien d’un tiers pourrait être endommagé, ni ce tiers physiquement atteint. Par ailleurs, les atteintes aux données numériques qu’ils contiennent et qui peuvent être effectivement détruites, altérées ou divulguées ne peuvent être considérées comme des dommages matériels puisqu’elles sont virtuelles.
Les dommages aux tiers résultant d’atteintes à la sécurité du système de l’entreprise assurée entrent donc dans la catégorie des dommages immatériels au sens assurantiel, c’est-à-dire tous dommages autres que corporels ou matériels, soit tous préjudices d’ordre pécuniaire tels que perte de chiffre d’affaires, frais divers, conséquences financières de la privation de jouissance d’un bien ou d’un service.
Or, la garantie des dommages immatériels non consécutifs à un dommage corporel ou matériel est parfois exclue, ou, plus généralement, sous-limitée à un montant spécifique.
De plus, les dommages immatériels non consécutifs sont en principe exclus aux USA et au Canada ou bien accordés sur la base du « loss of use »(150) qui ne répare que la perte de jouissance du bien livré suite à une dégradation matérielle.
Si l’entreprise possède des données personnelles de clients américains, les réclamations en cas d’atteinte, qui peuvent être bien plus lourdes qu’en France, ne seront pas garanties.
Une partie seulement des responsabilités découlant des cyber-risques est donc susceptible d’être couverte par la police d’assurance de Responsabilité Civile Générale. Notons que les exclusions susmentionnées sont plus facilement rachetables dans le cadre de certaines polices de Responsabilité Civile Professionnelle, notamment s’agissant de prestataires de services informatiques (Société de services en ingénierie informatique ou « SSII », par exemple), étant donné que les données informatiques constituent l’essence même de leur activité.
La négociation du montant de garantie accordé pour les dommages immatériels non consécutifs à un dommage corporel ou matériel est également déterminante pour la prise en compte des cyber-risques.
Un mot enfin sur la police d’assurance de la Responsabilité Civile des Dirigeants. L’entreprise peut en effet souscrire une assurance pour le compte et au profit de ses dirigeants, de droit ou de fait, personnes physiques. Cette assurance couvre la responsabilité des mandataires sociaux passés, présents ou futurs, lors de toute faute réelle ou supposée commise dans l’exercice de leur fonction de dirigeant. Ce contrat protège le patrimoine personnel du dirigeant assuré et non les actifs de l’entreprise, c’est pourquoi il ne doit pas nous occuper plus longuement. Il faut toutefois noter qu’il serait également susceptible de prendre en charge partiellement la responsabilité éventuelle d’un dirigeant en cas d’atteinte à la sécurité du système d’information de l’entreprise, dont un tiers se plaindrait, sous réserve des exclusions de marché déjà mentionnées : exclusion des dommages causés par un virus, exclusion des dommages causés par la divulgation de données confidentielles, notamment.
Les polices d’assurance de responsabilité classiques ne peuvent donc pas suffire à garantir tous les risques cyber encourus par les entreprises en termes de responsabilité. Elles apportent néanmoins une réponse partielle. Qu’en est-il des contrats d’assurance de dommages de l’entreprise ?
149 Art L124-5 du Code des assurances
150 Exemple de clause « Loss of use » :
« Demeurent garantis les préjudices pécuniaires subis par des tiers résultant pour eux de la privation de jouissance du produit livré par l’assuré ou du bien dans lequel il est incorporé, si ladite privation de jouissance est due à un bris, à une destruction ou détérioration ou altération physique accidentelle du produit fourni le rendant impropre à son utilisation et survenant après remise dudit produit à l’acheteur ou à l’utilisateur.
La garantie vaut pour autant que ce bris, cette destruction ou détérioration ou altération physique ait pour fait générateur une erreur matérielle dans la conception du produit, dans sa préparation, sa fabrication, sa réparation, son stockage, sa livraison ».
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance