A minima, ces contrats dédiés couvrent toujours la responsabilité encourue par l’entreprise en cas d’atteinte aux données personnelles ou confidentielles qu’elle détient (§1). On trouve aussi généralement une garantie des publications numériques dommageables dont l’entreprise serait responsable (§2). En plus de ces deux principaux postes de garantie de responsabilités, d’autres cas de responsabilités peuvent encore être couverts, nous les regrouperons dans une troisième partie (§3).
§1 : Atteinte aux données
Pour déterminer la portée de cette garantie, nous verrons dans un premier temps quelles sont les données visées par les assureurs (A) avant d’évoquer la définition des atteintes couvertes (B).
A) Les données visées
Deux types de données sont envisagés dans les polices cyber : les données personnelles (1) et les données confidentielles (2).
1) Les données personnelles
La définition des données personnelles est assez homogène. Les assureurs visent tous, de manière plus ou moins explicite, la définition retenue par la loi Informatique et Libertés. Il s’agit donc de toute information permettant d’identifier directement ou indirectement une personne physique par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Pour désigner le fait que l’assuré est concrètement en possession de ces données au moment de l’atteinte, les polices précisent en principe que les données personnelles en cause sont « collectées et conservées par ou pour le compte de l’assuré souscripteur » ou encore qu’il s’agit de données dont l’assuré répond en qualité de responsable du traitement tel que défini par la loi Informatique et Libertés, ce qui revient au même. D’autres contrats font encore référence à la notion de garde et visent « toute information placée sous l’usage, la direction ou le contrôle de l’assuré ou d’un prestataire ».
Nous remarquons que ces définitions intègrent les cas de recours à un prestataire de service par l’entreprise assurée pour la gestion de ses données, ce qui est bienvenu notamment en raison du développement du cloud computing.
D’une manière générale, la responsabilité encourue par l’entreprise du fait de ses sous-traitants est en principe couverte par une assurance de responsabilité, sauf exclusion particulière. Il en va de même, a priori, pour le volet responsabilités des polices cyber.
Mais rappelons que la qualification juridique des prestataires de services de cloud est encore incertaine(151). Selon leur degré d’autonomie, il peut ne pas s’agir de sous-traitants. S’ils sont qualifiés de sous-traitants, l’entreprise qui utilise leurs services demeure quoi qu’il arrive responsable du traitement des données. Mais même dans le cas contraire, il n’est pas évident que l’entreprise soit dégagée de toute responsabilité aux yeux de la loi Informatique et Libertés.
Au vu de ces incertitudes, il est donc plus sécurisant, pour une entreprise qui recourt à ce type de service, que la police cyber vise expressément les cas de gestion concrète par des « prestataires », terme a priori plus large et qui devrait permettre de prendre en compte de manière certaine l’hypothèse du cloud computing.
Outre les données personnelles, toutes les données confidentielles que l’entreprise peut détenir sont en principe visées par cette garantie.
2) Les données confidentielles
S’agissant des données confidentielles, il n’y a pas là non plus de grande disparité entre les différentes offres. Les définitions sont assez larges : elles englobent ainsi les données de toute nature pouvant être détenues par l’assuré et faisant l’objet d’une obligation de confidentialité, qu’elle soit légale ou contractuelle, voire même implicite en raison des circonstances.
Certaines polices intègrent dans cette notion de donnée confidentielle celle de propriété intellectuelle de tiers. Sont alors visées toutes les informations qui sont la propriété exclusive de tiers qui ne sont pas dans le domaine public et qui naturellement ne doivent pas être divulguées.
Cette appréhension large des données est bénéfique pour les entreprises. Voyons ce qu’entendent les assureurs par le terme « d’atteinte ».
B) Les atteintes couvertes
L’atteinte aux données personnelles est parfois envisagée comme tout manquement aux dispositions de la loi applicable en matière de protection des données, voire plus largement comme toute atteinte à certains droits fondamentaux, avec en premier lieu le droit à la vie privée.
En terme opérationnel, elle est définie, soit très largement, comme tout accès, utilisation non autorisée, divulgation ou perte de données, soit de manière plus restrictive, comme toute divulgation ou transmission sans autorisation de ces données. Dans les deux cas, il s’agit de protéger les droits des personnes, car chacun de ces incidents, qu’il concerne des données personnelles ou confidentielles, est susceptible de causer un préjudice aux individus concernés.
L’atteinte aux données constitue la principale source de responsabilité des entreprises en matière de cyber-risques et elle est donc fort heureusement garantie par toutes les offres cyber du marché. La majorité de ces contrats couvre également les responsabilités encourues par l’entreprise en cas de diffusion de contenus illicites, parfois dénommées responsabilités « média ».
§2 : Diffusion de contenus illicites
Cette garantie a pour objet la couverture des conséquences pécuniaires de toute réclamation formulée à l’encontre de l’entreprise assurée en raison des contenus qu’elle publie ou diffuse par divers biais informatiques : courriers électroniques, intranet, extranet et site internet pour les plus larges, uniquement sur les sites internet de l’assuré pour les plus restreintes.
Cependant, les publications sur des sites publics tels que des blogs ou des forums sont exclues dans certaines offres, avec parfois une exception lorsque l’assuré exerce une modération a priori sur les contenus de ces sites.
En outre, certains assureurs excluent du champ de cette garantie les cas où l’assuré n’a pas retiré une publication alors qu’une plainte ou un avis a été émis.
Les publications de l’entreprise peuvent en effet porter atteinte aux tiers : les atteintes à la vie privée et autres droits fondamentaux des personnes sont généralement visées, mais aussi les hypothèses de délits de presse, tels que la diffamation ou le dénigrement.
Notons que certains assureurs prennent la peine de préciser que les réclamations de tiers à l’encontre de l’entreprise pour diffusion de contenus illicites sont couvertes y compris si elles sont le fait de pirates informatiques. A contrario, on imagine que ce n’est donc pas nécessairement le cas dans d’autres polices cyber.
En outre, quelques assureurs intègrent également dans ce poste de garantie toutes les atteintes que les publications de l’entreprise pourraient porter à la propriété intellectuelle de tiers (droit d’auteur, droit des marques, etc). Attention toutefois aux exclusions en la matière. En effet, la plupart des assureurs ne garantissent pas la responsabilité de l’entreprise assurée en cas de contrefaçon ni d’atteinte aux brevets et secrets de fabrique. On trouve aussi parfois l’exclusion des atteintes aux droits d’auteur d’un code logiciel.
D’une manière générale, il faut bien préciser que toute déclaration, publication ou divulgation qui serait faite délibérément par l’entreprise assurée est exclue du champ de cette garantie par les assureurs, ce qui se comprend parfaitement en raison de l’absence d’aléa dans pareil cas. Cette exclusion rejoint celle de la faute intentionnelle, sur laquelle nous reviendrons plus en détails.
A côté de ces deux thèmes principaux que sont l’atteinte aux données et la responsabilité « média », certains assureurs proposent de garantir des cas de responsabilité plus particuliers.
§3 : Autres garanties possibles
Parmi les autres garanties de responsabilité rencontrées dans les polices cyber, il y a principalement le cas de la transmission de virus à des tiers (A) et l’hypothèse du déni de service (B).
A) La diffusion de virus aux tiers
Certaines polices garantissent les conséquences financières de l’engagement de la responsabilité de l’entreprise assurée en cas de diffusion de virus à un tiers. Il s’agit d’une garantie intéressante puisque nous avons vu que les virus informatiques disposent de propriétés reproductrices tout à fait redoutables. Une entreprise infectée peut, sans s’en rendre compte, contaminer des clients ou des partenaires commerciaux via un simple mail. Et l’on peut imaginer que les tiers atteints formulent des réclamations à l’encontre de l’entreprise.
Lorsque cette garantie est prévue, il faut toutefois prêter attention aux restrictions que peuvent apporter les assureurs quant à l’origine de l’infection virale des tiers. En effet, certains contrats ne couvrent que les cas de transmission par négligence ou inadvertance de l’assuré, à l’exclusion des hypothèses de malveillance.
Dès lors, si l’entreprise assurée diffuse intentionnellement un virus à un tiers dans le but de lui nuire, ce ne serait pas couvert, à moins que ce soit le fait d’un salarié.
En cas de malveillance externe, des questionnements subsistent en l’absence de précisions sur la notion de négligence. Si un préposé envoie un courriel à un client avec une pièce jointe dont il ignore qu’elle contient un virus et que ce client se retrouve infecté, on imagine que la négligence serait caractérisée et la garantie acquise. Mais cela dépendra des définitions contractuelles de la malveillance, de la négligence, et du virus de chaque police.
Mais si cette contamination des tiers se fait sans aucune intervention de l’entreprise, de manière automatique, l’assureur pourrait refuser sa garantie. En effet, si le virus en cause possède des propriétés techniques lui permettant d’infecter d’autres systèmes depuis le système de l’assuré de manière automatique, peut-on estimer qu’il y a négligence de l’entreprise ? A moins que le simple fait que ce virus ait pu pénétrer le système d’information de l’entreprise caractérise les négligences de celle-ci en termes de protection technique.
Comme pour d’autres garanties, seuls de futurs cas concrets de sinistres soumis aux assureurs nous permettrons de répondre à ces questionnements.
Il faut aussi prêter attention, à la définition du virus retenue par l’assureur ce qui est valable plus largement pour toutes les garanties cyber qui visent les virus, comme cause de dommage possible, notamment.
En effet, parfois ne sont couverts que les virus dits « ciblés », c’est-à-dire conçus pour atteindre un système d’information bien précis. Or, ce sont plutôt les virus non ciblés que l’entreprise est susceptible de transmettre à des tiers.
En outre, il est intéressant de voir ce que l’assureur entend par virus sur le plan technique, c’est-à-dire virus informatique stricto sensu ou bien assimilation du terme virus à d’autres codes malveillants tels que le ver, la bombe logique ou le cheval de Troie.
La couverture de la responsabilité de l’entreprise en cas de diffusion de virus à des tiers est un plus, mais s’il ne s’agit pas d’un risque majeur pour les entreprises. Pour que des tiers formulent des réclamations à l’encontre de l’entreprise dans pareil cas, il faudrait que le virus en question leur ait causé d’importants préjudices financiers.
En revanche, la prise en charge des conséquences financières de la responsabilité encourue par l’entreprise dans l’hypothèse d’un déni de service est plus pertinente.
B) Le déni de service
Certaines polices cyber couvrent la responsabilité de l’entreprise en cas de déni de service empêchant les tiers autorisés d’accéder au système d’information de l’assuré ou à ses services. Rappelons que les attaques par déni de service ont pour effet l’altération du fonctionnement global des systèmes d’informations et du réseau de l’assuré. Outre les dommages que cela implique pour l’entreprise, des tiers peuvent subir un préjudice du fait de la privation totale ou partielle des services du système d’information de l’assuré auxquels ils ont pourtant le droit d’accéder.
On peut imaginer en effet que les commandes des clients n’aient pu être enregistrées, provoquant une rupture de stock pour certains d’entre eux et par conséquent des pertes pécuniaires.
Bien que le déni de service procède par définition d’attaques malveillantes, les assureurs précisent parfois que si ce déni de service résulte d’une défaillance matérielle ou panne électrique, aucune prise en charge n’est possible.
D’autres ajoutent une condition à cette garantie : elle n’est acquise que si l’assuré n’a pas pris les mesures de sécurité appropriées pour éviter ce type d’attaque. Là encore, une incertitude découle de l’absence de précisions supplémentaires sur la notion de mesures de sécurité appropriées. Le risque est bien sûr que l’assureur refuse sa garantie en prétextant une insuffisance des protections mises en oeuvre par l’assuré.
Enfin, nous remarquons que quelques contrats cyber ne couvrent pas la responsabilité de l’entreprise en cas de déni de service dont elle serait victime, mais sa responsabilité lorsqu’elle a elle-même participé à une attaque par déni de service contre le système d’information d’un tiers. En l’absence de précisions, on suppose bien sûr que la garantie n’est possible que lorsque cette participation est non intentionnelle.
A côté de l’atteinte aux données et de la responsabilité « média », la diffusion de virus et l’hypothèse de déni de service sont les principaux cas de responsabilité de l’entreprise garantis par les polices cyber. Mais déjà les assureurs tentent de se différencier et certains proposent des garanties plus spécifiques. Par exemple, l’une des offres étudiées prévoit la couverture de la responsabilité de l’assuré en cas d’absence de notification dans les délais à la CNIL d’une atteinte aux données personnelles. Ou encore, spécifiquement aux Etats-Unis, la non mise en place d’un programme de prévention d’usurpation d’identité et d’un programme de suppression d’information imposé par la loi américaine.
En revanche, sont toujours exclus de ce volet responsabilités tous les litiges relatifs au droit du travail. Ne serait donc pas couverte la responsabilité de l’entreprise, par exemple, pour harcèlement ou discrimination opérée via internet ou les systèmes d’information.
En outre, les polices cyber excluent aussi en principe l”utilisation consciente de programmes illégaux ou sans licence par l’assuré ainsi que la collecte illicite de données personnelles. Dès lors, si l’entreprise détient des données personnelles sans en avoir le droit et que ces dernières sont divulguées, aucune prise en charge ne sera possible.
Enfin, précisons également que les dommages causés par un salarié récidiviste et les réclamations mettant en cause un dirigeant de la société souscriptrice ne sont jamais couverts non plus.
Ces garanties sont toutes déclenchées par la survenance d’une réclamation à l’encontre de l’entreprise, pendant la période de garantie et pendant la période subséquente le cas échéant. Ce point n’appelle donc pas de développements plus poussés. En revanche, deux notions méritent une attention particulière : les notions d’assuré et de tiers, principalement au regard des préposés.
151 Cf supra Partie 1 Titre 2, Chapitre 1, Section 3
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance