Les 10 conséquences de la loi LOPMI pour l'assurance des risques cyber
1. Il n’est pas nécessaire d’inclure l’article L.12-10-1 (code des assurances) dans les polices d’assurances cyber
L'article L12-10-1 est d'ordre public, ce qui signifie que l'assuré et l'assureur ne peuvent y déroger par convention. Ainsi, cet article n'a pas besoin d'être inclus dans la police d'assurance pour être applicable et invoqué par l'assureur.
a. Obligation de dépôt de plainte
La loi impose aux victimes d'attaques informatiques malveillantes de porter plainte pour préserver leur droit à indemnisation au titre de leur contrat d'assurance. Cette obligation s'applique aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. La loi ne distingue pas les cas des systèmes de traitement automatisé de données hébergé ou géré par l’assuré des cas de systèmes externalisés (hébergé ou géré par un prestataire de services).
b. Délai de 72 heures
La loi prévoit un délai de 72 heures (calendaires) à compter de la connaissance par la victime de l'atteinte informatique pour déposer plainte. La charge de la preuve pèse sur l'assuré.
La loi LOPMI fait peser une nouvelle contrainte sur l’assuré, mais dans un but d’intérêt général : mieux recenser les différentes atteintes afin de permettre aux autorités publiques d’arrêter les acteurs malveillants. Cette clarification règlementaire permet également de lever des zones grises en matière d’assurabilité.
2. Les atteintes concernées par l'obligation de dépôt de plainte
L'obligation de dépôt de plainte s'applique uniquement aux atteintes malveillantes, telles que définies aux articles 323-1 à 323-3-1 du code pénal. Les atteintes accidentelles du système d'information ne sont pas concernées par cette obligation.
3. Les contrats d'assurance impactés par la loi LOPMI (2024)
La Garantie Sociale des Chefs d'entreprise
L'article L12-10-1 vise toute indemnité versée à un assuré en réparation des pertes et dommages causés par une atteinte malveillante. Les contrats d'assurance concernés incluent :
- Contrats d'assurance cyber,
- Contrats de fraude,
- Contrats dommages couvrant les dommages consécutifs à une atteinte cyber,
- Contrats Kidnap & Ransom (K&R).
La loi semble exclure les garanties de responsabilité civile (contrats RC Générale, RC Professionnelle, volet RC des polices cyber), mais par précaution, il est recommandé de procéder au dépôt de plainte.
4. Les entités concernées par l'obligation de dépôt de plainte
L'article L12-10-1 s'applique aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. Les entités étrangères victimes d'une atteinte et assurées par un contrat d'assurance de droit français sont également concernées.
Il est recommandé aux clients de diffuser des instructions pertinentes à leurs entités en France et à l'étranger couvertes par une police d'assurance de droit français avant le 24 avril 2023.
5. Les modalités de dépôt de plainte
Le dépôt de plainte peut se faire auprès de la police ou de la gendarmerie, ou auprès du Procureur de la République (lettre recommandée avec accusé de réception). Un pré-dépôt de plainte dans le délai de 72 heures ne permet pas de satisfaire à la condition imposée par la LOPMI.
6. La détermination du délai de 72 heures
La loi prévoit un délai de 72 heures à compter de la connaissance par la victime de l'atteinte informatique malveillante. La notion de "connaissance" n'étant pas définie par la LOPMI, il est considéré qu'il s'agit du moment où l'entité a la confirmation certaine de l'existence d'une atteinte au système de traitement automatisé de données.
7. Les conséquences en cas de non-respect du délai de 72 heures
L'assureur serait en droit d'invoquer une déchéance de garantie si la plainte n'est pas déposée dans les 72 heures de la connaissance de l'infraction pénale, conformément à l'article L. 12-10-1 du code des assurances.
8. Les programmes d'assurance master et les polices locales
Les contrats d'assurance de droit français sont soumis automatiquement à l'article L12-10-1. Pour les contrats d'assurance master de droit français, la plainte doit être déposée auprès des autorités compétentes du pays où l'infraction est constatée par l'assuré victime.
Cependant, que l’indemnisation soit en LPS, en DIC/DIL d’une police locale ou au titre d’une clause FINC, il est plus prudent pour la société souscriptrice du programme d’assurance master français de doubler cette démarche auprès des autorités françaises dans ce même délai de 72 heures.
9. Les garanties de gestion d'incident
Les garanties de gestion d'incident ont pour vocation de prendre en charge les opérations d'assistance qui n'ont pas un caractère indemnitaire pour l'assuré. Il est toutefois recommandé de déposer plainte lorsqu'il s'agit de bénéficier de la garantie gestion d'incident.
Le dépôt de plainte sous 72h doit maintenant être intégré à la stratégie de réponse à incident Cyber des organisations. La rationalisation des procédures techniques des entreprises en cas d’incident et du service d’assistance inclus dans les polices d’assurances Cyber n’a jamais été aussi important qu’aujourd’hui.
10. Les conseils pour se conformer à la loi LOPMI
Les entreprises doivent prendre plusieurs mesures pour se conformer à la loi LOPMI en matière de cyber risques :
- Sensibiliser la Direction des Systèmes d'Information (DSI) sur la nécessité d’avertir la direction des assurances de toute atteinte malveillante,
- Déposer plainte dans le délai de 72 heures, quel que soit le montant du sinistre ou de la franchise applicable,
- Adapter les procédures internes pour être en conformité avec la loi.
La loi LOPMI a des conséquences importantes pour les entreprises en matière d’assurance cyber, et il est essentiel de prendre les mesures nécessaires pour se conformer à cette réglementation. La Direction générale du Trésor organise des groupes de travail qui doivent définir un référentiel « d’audit » de sécurité dans les entreprises pour identifier les niveaux de maturité face au risque cyber. Cela permettra à la fois aux assureurs de mieux évaluer le risque pour déterminer les conditions d’assurance et aux entreprises d’accroître leur niveau de protection pour accéder plus facilement à l’assurance du risque cyber. Ce référentiel devrait être présenté en septembre 2023.
Nos équipes d'experts en assurance sont mobilisées pour apporter davantage d'informations et de conseils sur l'impact de cette loi sur l'application des contrats d'assurance.
Questions fréquentes
Que signifie l'article L12-10-1 (code des assurances) de la loi LOPMI ?
L'article L12-10-1 introduit dans le code des assurances français par la loi LOPMI établit le cadre de l'assurance des risques de cyberattaques. Cette nouvelle disposition conditionne l'indemnisation des pertes et dommages causés par une atteinte malveillante au système informatique au dépôt d'une plainte dans les 72 heures suivant la connaissance de l'incident par la victime.
Quelle obligation est mise en place par la loi LOPMI pour l'application de la garantie cyberattaque ?
La loi LOPMI impose aux entreprises victimes d'une cyberattaque de porter plainte auprès des autorités compétentes dans un délai de 72 heures à compter de la prise de connaissance de l'atteinte malveillante. Cette obligation légale constitue une condition préalable indispensable pour bénéficier de l'indemnisation au titre du contrat d'assurance cyber, quel que soit le type d'attaque ou le montant des dommages subis.
Quelle est la cyberattaque la plus courante ?
Le ransomware représente la cyberattaque la plus fréquente, touchant 59 % des organisations en 2024 selon le rapport Sophos. Ce programme informatique malveillant chiffre les données de l'entreprise et exige une cyber-rançon pour leur restitution. Les petites et moyennes entreprises constituent les cibles privilégiées de ce vol de données, avec un coût moyen de remédiation dépassant souvent un million d'euros.
Quelle est la loi française sur la cybercriminalité ?
La loi LOPMI (Loi d'Orientation et de Programmation du Ministère de l'Intérieur) n° 2023-22 du 24 janvier 2023 constitue le cadre de la loi français principal en matière de lutte contre la cybercriminalité. Cette législation vise à renforcer les moyens des forces de l'ordre face aux cybermenaces et modernise l'arsenal juridique pour protéger les entreprises contre les différents types d'attaques informatiques.
Quelles entreprises sont concernées par la loi LOPMI ?
La loi LOPMI s'applique à toutes les personnes morales et physiques victimes d'une cyberattaque dans le cadre de leur activité professionnelle. Sont concernées les entreprises de toutes tailles, les associations, les administrations publiques, les entrepreneurs individuels et les travailleurs indépendants. Le législateur vise particulièrement les TPE et PME, souvent moins préparées face aux cybermenaces, ainsi que les secteurs critiques comme l'énergie, les transports et la santé.
Newsletter