L’article 5 de loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur (LOPMI) est venu créer une nouvelle obligation pour les entreprises victimes d’une cyber-attaque.

Désormais, l’indemnisation assurantielle d’une atteinte à un traitement automatisé de données sera subordonnée au dépôt d’une plainte de la victime dans les 72h.

Une nouvelle disposition est ainsi insérée dans le Code des assurances :

« Art. L. 12-10-1.-Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.


Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »

Cet article entre en vigueur trois mois après la promulgation de ladite loi.

 

Quel est le contexte ?

  • En septembre 2021, la Direction Générale du Trésor avait publié un rapport sur le « développement de l’assurance du risque cyber ».

 

  • Le rapport mentionnait que : « conditionner l’assurabilité du paiement des rançons au dépôt de plainte par la victime permettrait de préserver la viabilité d’entreprises contraintes de s’acquitter de la rançon en dernier recours sans mettre en péril la répression de la cybercriminalité ».

 

  • La LOPMI 2023, promulguée le 24 janvier, intègre cette recommandation et vient par la même occasion clarifier le cadre juridique applicable. Initialement, le texte devait contenir le terme « rançon » mais, à la suite des débats parlementaires, il a été décidé d’élargir son périmètre en remplaçant par : « l’atteinte à un système de traitement automatisé de données ».

 

  • Cette disposition a été vivement commentée et critiquée par les professionnels de la cybersécurité car elle vient légaliser officiellement la possibilité pour les assureurs de rembourser les rançons. Cela a suscité l’incompréhension alors qu’en 2021 un rapport de l’Assemblée Nationale souhaitait inscrire dans la loi l’interdiction de cette pratique (Assemblée Nationale. Rapport sur la cyber-assurance. Valéria FAURE-MUNTIAN, 2021.).

 

Que faut-il retenir ?

  • Si votre entreprise est victime d’une cyber-attaque, il est nécessaire de porter plainte dans les 72h après la connaissance de l’attaque afin de se faire indemniser par son assureur.

 

  • Il est important d’anticiper ces problématiques afin de limiter les risques pour les entreprises via des outils techniques, opérationnels et juridiques.

 

Marine Hardy, avocat directeur des pôles Innovation & Sécurité et Jean-Baptiste Olivo, juriste stagiaire | ITLAW Avocats

 

Besoin d’aide pour vous former et anticiper le risque cyber ? Construire un plan de gestion de crise cyber ?

ITLAW Avocat mobilise ses talents et son expertise en matière de protection des données personnelles  pour vous accompagner dans la mise en conformité avec la règlementation applicable.

Nous contacter