Confronté au développement de la cybercriminalité, le gouvernement français a décidé de lutter contre la recrudescence des cyberattaques accompagnées de demandes de rançons qui ont un impact significatif sur l’économie.  Anticipant notamment le développement du marché de l’assurance du risque cyber en France, il a décidé de subordonner le versement d’une indemnisation assurantielle au dépôt d’une plainte dans un délai réduit. Ce afin de permettre aux autorités compétentes de disposer rapidement des informations nécessaires leurs permettant de poursuivre les auteurs de l’infraction.

Initialement prévu pour la couverture des paiements de rançons, le texte a évolué vers une rédaction plus large au cours des débats parlementaires.

Le texte

L’article 5 de la « LOMPI » (Loi n° 2023-22 du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur) introduit dans le code des assurances un nouveau chapitre composé d’un article unique qui fixe les conditions juridiques applicables à l’assurance des risques de cyberattaques.

« Chapitre X – L’assurance des risques de cyberattaques » « Art. L. 12- 10-1. – Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.  Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »  

Date d’application

Ce régime juridique entrera en vigueur à compter du 24 avril 2023.

Cyberattaques en question

L’Article L. 12-10-1 se réfère aux différentes atteintes à un système de traitement automatisé de données mentionnés aux articles 323-1 à 323-3-1 du code pénal, pouvant donner lieu à une indemnisation.

A savoir :

  • Le fait d’accéder ou de se maintenir dans tout ou partie d’un tel système ;
  • Le fait d’entraver ou de fausser le fonctionnement d’un tel système ;
  • Le fait d’introduire frauduleusement des données dans un tel système, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient ;
  • Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions précitées.

Types de dommages : débats autour du paiement des rançons

Initialement le projet de loi portait sur l’indemnisation « du paiement d’une rançon par l’assuré dans le cadre d’une extorsion prévue à l’article 312-1 du code pénal » à savoir, à la suite d’une d’attaque par « rançongiciel » ou « ransomware » (attaque impliquant le chiffrement des données et une demande de rançon pour leur déchiffrement).

Selon l’étude d’impact accompagnant le projet de loi « Le paiement d’une rançon par la victime d’une extorsion ne constitue ni un délit ni un acte de complicité (son consentement au paiement n’étant pas libre mais résultant de la contrainte qui caractérise le délit). Il suit de là que le principe d’assurer le dommage causé par le paiement de la rançon ne parait se heurter à aucun obstacle juridique majeur. » L’étude note par ailleurs qu’aucun Etat de l’OCDE n’a pris de mesure d’interdiction du paiement des rançons, ni prohibé le principe de leur couverture assurantielle. 

Cependant, cette rédaction initiale a donné lieu à de vives réactions et débats, jugeant que le texte serait contraire à la politique de lutte contre la prolifération des cybermenaces et le financement de la criminalité. Il aurait pu être interprété comme un blanc-seing du législateur pour procéder au paiement de rançons en cas de rançongiciel, alors même que les autorités compétentes et, en premier lieu l’ANSSI, recommandent officiellement de ne pas payer. Les autorités d’autres pays, comme l’ICO au Royaume-Uni, ont fait des recommandations dans le même sens.

Plusieurs amendements sur l’interdiction de la couverture du paiement des rançongiciels furent proposés au Sénat, mais rejetés.  En revanche, le texte final ne fait plus référence au paiement des rançons, mais vise plus largement « des pertes et dommages causés » par une cyberattaque.

En parallèle, un arrêté du 13 décembre 2022 a créé à l’article A344-2 du code des assurances deux nouvelles catégories d’opérations : « 32. Dommages aux biens consécutifs aux atteintes aux systèmes d’information et de communication » et « 33. Pertes pécuniaires consécutives aux atteintes aux systèmes d’information et de communication ».

En tout état de cause, une assurance couvrant les risques cyber ne couvrira pas nécessairement le remboursement de rançons. L’assuré devra examiner avec attention les conditions et exclusions de la police d’assurance

Condition :  porter plainte dans les 72 heures

Pour pouvoir bénéficier de la couverture de l’assurance, la personne victime d’une cyberattaque doit déposer plainte « auprès des autorités compétentes » dans les 72 heures après qu’elle a eu connaissance de l’atteinte.

Si le texte ne définit pas les « autorités compétentes », la référence au dépôt de plainte laisse supposer qu’il s’agit de la police, la gendarmerie, ou le Procureur de la République, ce qui est cohérent avec la finalité de la loi. En effet, le fait de subordonner le versement d’une indemnisation assurantielle au dépôt d’une plainte dans un délai réduit a pour objectif d’organiser l’information systématique des autorités judiciaires afin de leur permettre de lancer rapidement des investigations de nature à permettre, à tout le moins, de connaître les méthodes de cyberattaque ou au mieux, de les empêcher.

Cependant, le législateur n’a pas souhaité imposer une telle contrainte aux particuliers, mais uniquement « aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle ».

Le délai de 72 heures a été choisi pour se rapprocher de celui imposé par le Règlement pour la Protection des Données (RGPD) pour notifier les violations de données personnelles à la CNIL. Les incidents donnant lieu à notification sont cependant plus larges que les seules « violations de données personnelles » en application du RGPD. Il existe d’autres obligations de notification (nombreuses), avec des seuils et des délais différents, comme notamment la notification d’atteinte à des données de santé auprès d’une ARS, la notification en application de la Directive NIS (et bientôt NIS 2) auprès de l’ANSSI, la notification auprès de l’ACPR ou de la Banque de France. Il s’agit là d’un environnement règlementaire complexe à gérer, et d’avantage encore en temps de crise. Il est donc vital de s’y préparer.

Le fait de devoir porter plainte dans un délai relativement court et, si nécessaire, de gérer en parallèle les éventuelles notifications, le cas échéant dans différents pays (si l’incident à une portée transfrontalière), peut s’avérer particulièrement compliqué pour les entreprises et autres organisations. Cela soulève également des questions stratégiques fondamentales sur la manière de gérer les incidents.  Il importe aux organisations de conserver, dans toute la mesure du possible, le contrôle de la gestion de l’incident ; or ceci s’avère plus difficile lorsque les autorités sont impliquées. De plus, en cas de cyberattaque, l’assuré devra, alors même qu’il est confronté à une situation de crise, réunir toutes les informations nécessaires tout en évitant de faire des déclarations contradictoires ou incriminantes, dues au manque de temps ou de ressources.  Il est donc encore une fois essentiel de s’y préparer.

Nos équipes spécialisées en cybersécurité, en collaboration avec celles du contentieux et assurances, se tiennent à votre disposition pour répondre à vos questions et vous assister sur les aspects juridiques du traitement des risques cyber et gestion de crise.

Une version en anglais de cette article est parue sur notre blog Privacy World.