Les dispositions de l’article L12-10-1 du Code des assurances prévoient que « le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du Code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime ».

1) Il appartient à la « victime » de la cyberattaque de déposer plainte

L’article L12-10-1 « s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »

L’emploi des termes « assuré » et « victime » n’est pas neutre ; le texte aurait pu viser une seule et même personne en prévoyant que le « versement (…) visant à indemniser un assuré (…) est subordonné au dépôt d’une plainte de l’assuré » ou encore que ce versement « (…) visant à indemniser une victime (…) est subordonné au dépôt de plainte de la victime ». Or, le législateur a utilisé les deux termes, certainement pour envisager le cas où l’assuré n’est pas forcément la victime de l’infraction.

La « victime » doit s’entendre au sens pénal du terme. “Est victime, toute personne qui a personnellement souffert du dommage directement causé par l’infraction” (art 2 CPP).

Les atteintes au STAD subies par la victime sont celles définies par les articles 323-1 à 323-3-1 du Code pénal. Ces dispositions couvrent l’ensemble des actes depuis la préparation de l’atteinte au STAD à sa réalisation effective.

2) Le dépôt de plainte doit être fait auprès des « autorités compétentes »

En France, il s’agit de la gendarmerie, du commissariat, ou encore du Procureur de la République, selon les modalités décrites ci-après. Il s’agit d’une plainte pénale : une pré-plainte, ou un simple signalement auprès de Pharos (Portail officiel de signalement des contenus illicites sur Internet), ou encore la notification, auprès de la CNIL, requise en cas de violation de données personnelles, ne constituent pas une plainte pénale.

En France, la victime peut porter plainte :

• Dans n’importe quels commissariats ou gendarmeries : les officiers sont tenus de recevoir la plainte, même lorsque celle-ci est déposée dans un service ou une unité de police territorialement incompétents (art 15-3 CPP). Le dépôt de plainte fait l’objet d’un procès-verbal et donne lieu à la « délivrance immédiate » d’un récépissé ;
• Entre les mains du Procureur de la République, en lui adressant un courrier recommandé avec accusé de réception : le Procureur territorialement compétent est celui du lieu de l’infraction, de la résidence de la personne soupçonnée, ou du lieu d’arrestation (art 43 CPP). En matière de cyberattaque, le « lieu de l’infraction » peut être difficile à identifier et se trouve souvent à l’étranger. C’est pourquoi, les dispositions de l’article 113-2-1 du Code pénal définissent le lieu de rattachement de l’infraction pour les délits réalisés au moyen d’un réseau de communication électronique, lesquels sont réputés réalisés en France, lorsqu’ils sont commis au préjudice d’une personne résidant en France.

La victime doit déposer plainte avec célérité, dans les 72 heures à compter de la connaissance de l’attaque. Ce court délai, exprimé en heures, est strict et a pour objectif de favoriser une information rapide des autorités afin de conserver les preuves nécessaires à l’enquête et de préserver ainsi les droits de l’assureur pour l’exercice de son éventuel recours subrogatoire contre l’auteur de la cyberattaque.

A défaut, la victime perd son droit d’être indemnisée. Il s’agit donc d’une déchéance de garantie et non d’une exclusion.

Le texte reste silencieux sur une éventuelle sanction que pourrait encourir l’assureur qui décide, à titre commercial, d’indemniser son assuré, bien que celui-ci n’ait pas déposé plainte. On peut envisager, s’agissant d’une disposition d’ordre public visant à lutter contre la cybercriminalité, qu’un assureur soit susceptible d’être sanctionné par l’Autorité de Contrôle Prudentiel et Résolution .

Voir nos autres articles sur l’indemnisation des victimes de cyberattaques