Indemnisation des victimes de cyberattaques et dépôt de plainte

  • Analyses
  • Technologie Media Telecom
27.03.2024

Depuis le 24 avril 2023, l’indemnisation de l’assuré, par l’assureur, de ses pertes et dommages causés par une cyberattaque est subordonnée au dépôt préalable d’une plainte, par la victime, dans un délai de 72 heures à compter de la connaissance de ladite attaque.

Cette nouvelle obligation est prévue par les dispositions, d’ordre public, de l’article L12-10-1 du Code des assurances, introduites par la Loi d’Orientation et Programmation du Ministère de l’Intérieur (LOPMI) du 24 janvier 2023.

Initialement destinée à encadrer le remboursement des rançongiciels par les assureurs, en le conditionnant au dépôt d’une plainte, cette disposition a été vivement débattue, tant à l’Assemblée nationale qu’au Sénat, certains craignant que l’assurabilité des rançongiciels encourage l’économie des cyberattaques, en incitant les victimes à payer les rançons, dès lors qu’elles obtiennent leur remboursement par l’assureur. Le texte ne fait finalement plus aucune référence au rançongiciel et a une portée par conséquent bien plus large puisqu’il vise l’indemnisation de la victime d’une atteinte à son système de traitement automatisé de données (STAD), avec ou sans demande de rançon, au titre des pertes et dommages subis.

En imposant le dépôt de plainte comme condition de prise en charge, l’objectif clairement recherché par le législateur est de favoriser l’information des autorités judiciaires afin d’ouvrir rapidement une enquête.

La France cherche ainsi à connaître l’état de la menace sur son territoire et à utiliser la couverture cyber comme levier pour promouvoir les bonnes pratiques, lesquelles passent notamment par le signalement systématique des infractions .

Comment, en pratique, la victime doit-elle exécuter cette obligation pour préserver l’indemnisation de ses préjudices en cas de cyberattaque ?

L’obligation de porter plainte ne pose a priori pas de difficulté lorsque l’assuré, victime de la cyberattaque, réside en France et a souscrit une police d’assurance relevant du droit français. En revanche, lorsque la victime subit une cyberattaque à l’étranger et est assurée en vertu d’une police d’assurance soumise au droit français, l’obligation de déposer plainte peut s’avérer plus délicate à réaliser.

L’équipe Responsabilité Produits / Risques Professionnels & Industriels offre une compétence pointue dans le domaine des risques industriels, des produits défectueux, en matière réglementaire et de conformité, ainsi que pour les problématiques induites par les accidents du travail, les maladies professionnelles et la gestion des contentieux d’assurance.