Initialement destinée à encadrer le remboursement des rançongiciels par les assureurs, en le conditionnant au dépôt d’une plainte, cette disposition a été vivement débattue, tant à l’Assemblée nationale qu’au Sénat, certains craignant que l’assurabilité des rançongiciels encourage l’économie des cyberattaques, en incitant les victimes à payer les rançons, dès lors qu’elles obtiennent leur remboursement par l’assureur. Le texte ne fait finalement plus aucune référence au rançongiciel et a une portée par conséquent bien plus large puisqu’il vise l’indemnisation de la victime d’une atteinte à son système de traitement automatisé de données (STAD), avec ou sans demande de rançon, au titre des pertes et dommages subis.

En imposant le dépôt de plainte comme condition de prise en charge, l’objectif clairement recherché par le législateur est de favoriser l’information des autorités judiciaires afin d’ouvrir rapidement une enquête.

La France cherche ainsi à connaître l’état de la menace sur son territoire et à utiliser la couverture cyber comme levier pour promouvoir les bonnes pratiques, lesquelles passent notamment par le signalement systématique des infractions .

Comment, en pratique, la victime doit-elle exécuter cette obligation pour préserver l’indemnisation de ses préjudices en cas de cyberattaque ?

L’obligation de porter plainte ne pose a priori pas de difficulté lorsque l’assuré, victime de la cyberattaque, réside en France et a souscrit une police d’assurance relevant du droit français. En revanche, lorsque la victime subit une cyberattaque à l’étranger et est assurée en vertu d’une police d’assurance soumise au droit français, l’obligation de déposer plainte peut s’avérer plus délicate à réaliser.