L’éventuelle application de l’article L12-10-1 du code des assurances peut poser des difficultés lorsqu’il existe un élément d’extranéité. A cet égard, plusieurs cas de figures peuvent être envisagés.

Le plus simple est celui d’une cyberattaque subie à l’étranger par une victime, assurée par une police soumise au droit français (par ex. : un STAD hébergé à l’étranger). Dans ce cas, la victime doit déposer plainte soit en France si elle réside en France , soit dans le pays où la cyberattaque a été commise .

D’autres cas de figure plus complexes peuvent se présenter dans le cadre de programmes internationaux d’assurance. Le déploiement de ces programmes, au sein des groupes de sociétés, n’est pas sans incidence sur les lois applicables aux contrats d’assurance.

Ainsi, selon le type de programme international d’assurance mis en place et le lieu de situation du risque, l’article L12-10-1 du Code des assurances pourra trouver à s’appliquer et l’obligation de porter plainte pourra être supportée par une société étrangère.

Nous étudierons les différents cas de figure d’une éventuelle application des dispositions de l’article L12-10-1 du Code des assurances, en fonction de la solution d’assurance internationale mise en œuvre.

1) Le régime de la Libre Prestation de Service (LPS) et du Libre établissement (LE)

Un assureur peut commercialiser ses prestations d’assurance dans un autre Etat de l’Espace Economique Européen, soit en libre établissement (en ayant un établissement ou une succursale) soit en libre prestation de service (sans représentation) et être ainsi amené à couvrir un risque dans un autre Etat que celui où il est implanté.

Les articles L181-1 et L181-2 du Code des assurances déterminent la loi applicable pour les assurances non obligatoires relevant de ce régime, avec selon les cas, l’application soit de la loi française, soit la loi du pays où le souscripteur a son siège, soit la loi du pays où le risque est situé.

Dans le cadre d’une cyberattaque, si la loi applicable au contrat d’assurance est la loi française, alors peu importe le lieu où l’atteinte au STAD se réalise, la victime devra porter plainte, auprès des autorités compétentes du pays où elle réside, et ce afin de préserver son droit d’être indemnisée par assureur en France.

Si la loi applicable est celle d’un autre pays membre de l’EEE, soit parce que c’est la loi du pays où réside le souscripteur, soit parce que c’est celle où se situe le risque, l’article L12-10-1 ne devrait a priori pas s’appliquer.

Par exemple, une société mère ayant son siège social en Italie a souscrit une police d’assurance en LPS soumis au droit italien et sa filiale française, bénéficiaire de la police, est victime d’une cyberattaque. En principe, le contrat d’assurance étant soumis au droit italien, la société française ne devrait a priori pas porter plainte auprès des autorités françaises pour être indemnisée.

Toutefois, l’article L181-3 du Code des assurances prévoit que les dispositions des articles L181-1 et L181-2 « ne peuvent faire obstacle aux dispositions d’ordre public de la loi française applicables quelle que soit la loi régissant le contrat ». Or précisément les dispositions de l’article L12-10-1 sont d’ordre public.

Il semble donc préférable que la société ayant son siège social en France, victime d’une cyberattaque, porte plainte auprès des autorités compétentes françaises, quand bien même le contrat d’assurance souscrit par sa mère relève d’un droit étranger et ce d’autant que nous avons vu récemment que les juges français n’hésitent pas à appliquer des dispositions d’ordre public à une police d’assurance régie par un droit étranger, même en dehors d’une souscription sous le régime de la LPS . Le dépôt de plainte par la victime française de la cyberattaque est en outre conforme au but recherché par le législateur français de connaître, sur son territoire, l’état du risque cyber.

2) Les programmes internationaux d’assurance intégrés

Ce schéma assurantiel, à l’inverse du régime de la LPS, repose sur la souscription, par une société mère, d’une police globale, dite « Master » qui pilote des polices locales intégrées, souscrites par les filiales et soumises à la législation dont relèvent ces dernières. La police Master peut être amenée à compléter la couverture assurantielle de la police locale, par les mécanismes du « Difference in Limit » (DIL) et du « Difference in Condition » (DIC) .

Si la police Master est soumise au droit français, il incombe à la victime, qu’elle soit française ou étrangère, de déposer plainte, auprès des autorités compétentes.

Par exemple, une société mère ayant son siège social en France a souscrit une police Master soumise au droit français et sa filiale espagnole est victime d’une cyberattaque. Il appartient alors à la société espagnole, en sa qualité de victime, de porter plainte auprès des autorités compétentes espagnoles, et ce afin de pouvoir, le cas échéant, mobiliser la police Master, soumise au droit français, qui viendra compléter la couverture de sa police locale. Si la société mère française assurée n’est pas personnellement victime de la cyberattaque, elle n’est pas soumise à l’obligation de porter plainte. Ainsi, bien que la société mère a la qualité d’assuré, elle n’est pas pour autant victime…

Si, en revanche, il existe un risque pour la société mère française de subir des dommages résultant de l’atteinte causée au STAD de sa filiale (par ex. ses données ont été également touchées), alors elle doit également porter plainte auprès des autorités françaises, dans les 72 heures à compter de la connaissance de l’attaque subie par sa filiale et ce, afin de préserver son droit d’être indemnisée, par la police Master.

Si à l’inverse la police Master est soumise à un droit étranger et la filiale française est victime d’une cyberattaque, alors cette dernière doit déposer plainte en France afin de pouvoir mobiliser sa police d’assurance locale française, si cette dernière couvre ce risque.

Conclusion :

A l’évidence, le législateur n’a pas anticipé la question épineuse de l’éventuelle application territoriale de l’article L12-10-1 du Code des assurances et les problématiques pratiques qu’elle soulève. Il appartiendra alors aux Juges saisis de se pencher sur cette question dans le cadre de litiges opposant un assureur qui a refusé d’indemniser son assuré, faute pour la victime, résidant à l’étranger, d’avoir déposé plainte dans le délai requis…

Voir nos autres articles sur l’indemnisation des victimes de cyberattaques