mémoire de stage l’assurance des risques cyber, une...
TRANSCRIPT
1
MANON LEMEE
UFR Droit, Economie et Gestion
Master 2 mention Droit des Affaires, spécialité Assurance Banque
Année Universitaire 2015/2016
Rapport de Stage
Mémoire de stage : L’assurance des risques Cyber, une assurance ambitieuse en
maturation
Enseignant Référent : Céline Béguin
Soutenance en date du 6 septembre 2016
Stage réalisé au sein du service de l’Assurance des Risques d’Exploitation
4
Remerciements
Je tiens tout d’abord à remercier Monsieur Pierre Grégoire MARLY et Madame Céline Bé-
guin de m’avoir accueilli au sein du Master 2 Professionnel mention Droit des Affaires spécialité
Assurance Banque, à l’Université du Maine. Je remercie plus particulièrement mon enseignant réfé-
rant pour son accompagnement et ses précieux conseils.
Je souhaite remercie l’ensemble des intervenants que j’ai eu la chance de rencontrer tout au
long de mon cursus, pour leur enseignement, leurs conseils ainsi que leur disponibilité.
J’adresse tous mes remerciements à Monsieur Sylvain Fonck, pour m’avoir fait confiance en
m’intégrant dans son équipe afin que je puisse réaliser mon stage, ainsi que pour son accompagne-
ment et son dévouement.
Je souhaite adresser ma reconnaissance à Madame Naïla Pavie pour sa bienveillance et sa pé-
dagogie. J’apprends ainsi beaucoup des richesses du métier de l’assurance des risques
d’exploitations, grâce à mon équipe et sa volonté de me transmettre son savoir.
Je remercie enfin l’ensemble de toutes les personnes qui concourent à faire de mon stage une
expérience extrêmement profitable.
5
Table des matières
Sommaire :
Remerciements ...................................................................................................................... 4
Table des matières.................................................................................................................................. 5
Un groupe centenaire : ......................................................................................................... 7
Valeurs et engagements du groupe : .................................................................................... 9
La structure du groupe : ..................................................................................................... 10
Activité du groupe : ........................................................................................................... 11
L’assurance des risques d’exploitation : ............................................................................ 12
Bilan du stage : .................................................................................................................. 15
Introduction ......................................................................................................................... 17
I.L’assurance des risques Cyber, une assurance de dommages aux biens avant tout ... 24
A.Un important socle d’assurance aux biens, au service des garanties contre les Cyber-risques ...... 25
B.Des garanties originales, déduites du l’enjeu actuel de protection des données personnelles ...... 34
II.Une assurance de dommages globale et additionnelle ................................................. 44
A.Une assurance de responsabilité civile adéquate et complémentaire ............................ 46
B.Le recours à un courtier d’assurance, comme remède au risque de cumul d’assurance 56
Conclusion ............................................................................................................................ 66
Bibliographie........................................................................................................................ 69
Table des matières : ............................................................................................................. 74
7
PRESENTATION DE L’ENTREPRISE
Un groupe centenaire :
Groupama est le fruit d’une construction plus que centenaire qui débute le 22 décembre 1840,
lors de la création de la première mutuelle agricole locale « Incendie » par les agriculteurs à Mions
dans le Rhône.
Grâce à la loi du 4 juillet 1900 permettant le déploiement, en France, du mutualisme agricole,
un cadre juridique particulier est ainsi conféré aux Caisses d’Assurances Mutuelles Agricoles
(A.M.A). A cette époque la richesse nationale était largement tributaire de l’activité agricole et il est
alors apparu essentiel de créer un système de protection de cette activité. En 1908, la première caisse
régionale est créée à Lyon.
En 1986, Groupama est fondé. Il fusionne les entités suivant : l’AMA, la SAMDA (qui cou-
vrait alors les dommages non agricoles), la SORAVIE (Société des Organisations Agricoles pour
l’Assurance Vie), et SOREMA. Groupama est alors parfaitement adapté au nouveau modèle écono-
mique, bien moins agricole et peu ainsi s’ouvrir au marché financier, notamment à l’international.
Groupama développe alors une activité d’assurance complète et propose en 1987, le PAP
(Plan d’Assurance des Particuliers) qui est le premier contrat global d’assurance pour toute la fa-
mille. En outre, en 1995, les AMA sont autorisées à assurer des non-agriculteurs.
Animé par une volonté d’expansion et de renforcement, Groupama acquiert le Gan, qui était à
ce moment le 4ème assureur français, à l’issu d’une procédure de privatisation, et devient le 2ème assu-
reur français.
Afin de proposer une gamme de produit toujours plus variés et de répondre aux besoins di-
vers leurs ses clients, Groupama s’allie en 2001 à la Société Générale afin de créer Groupama
Banque, une entité habilité à distribuer des produits bancaires aux clients Groupama. En 2003, l’offre
bancaire est généralisée à l'ensemble des caisses régionales.
En 2003, le Groupe Groupama s’engage dans un programme d’évolution des structures autour de
trois acteurs majeurs : Groupama SA (Société Anonyme), Groupama, Groupama Holding.
8
Par ailleurs, les années 2006 et 2007 sont marquées par une forte croissance de l’activité à
l’international, dont l’acquisition de filiales en Espagne, en Turquie, en Italie et Royaume-Uni sont la
preuve.
En juillet 2008 la marque Amaguiz est créée et devient une filiale du groupe spécialisée dans
l’assurance directe, c’est-à-dire dans la distribution de produits d’assurance à distance, par internet
ou par téléphone.
Un accord est signé entre Groupama et AVIC (Aviation Industry Corporation of China) afin de
développer l’activité d’assurance non vie ne République Populaire de Chine en 2009.
Depuis 2011, il est à noter que le groupe Groupama met un point d’honneur au respect de la ren-
tabilité et de la satisfaction client. Cette priorité découle notamment de la constations des effets de la
crise financière et notamment sur l’activité bancaire du groupe qui s’est trouvée impactée par la con-
joncture économique négative. En 2013 un programme stratégique met en avant quatre axes repré-
sentant les atouts du groupe et sur lesquels il est important de façonner l’image de Groupama. Ces
quatre leviers sont :
- La satisfaction client : un niveau de satisfaction des clients doit être élevé pour chacun des
marchés du groupe qui souhaite fidéliser ces derniers en leur faisant bénéficier d’une relation
de confiance.
- Un développement rentable : il s’agit pour le groupe d’améliorer sa maitrise des métiers du
groupe.
- Une culture de l’efficacité : le groupe s’engage à offrir une qualité de service optimal aux
clients, en adéquation avec des coûts maitrisés de fonctionnement, assurée par un contrôle ef-
ficace.
- Des collaborateurs engagés : le groupe fort de ses 33 500 collaborateurs a à cœur de déve-
lopper et d’adapter les compétences de chacun d’eux afin qu’ils puissent offrir les meilleures
prestations possibles, dans un cadre de vie au travail de qualité.
Ces engagements pris par Groupama sont les reflets des valeurs intemporelles du groupe qui se veut
être un partenaire au quotidien de ses clients en leur prodiguant des conseils utiles, fruits d’une expé-
rience forte.
9
Valeurs et engagements du groupe :
Groupama, est le troisième assureur français en assurance de biens et de responsabilité en
20141. Acteur important du domaine assurantiel, le groupe repose sur une implantation très locale,
dans un souci permanent de proximité avec les clients, et de perpétuation d’une tradition ancienne.
En outre son large réseau de caisses locales et régionales qui sont la base de l’organisation mutualiste
du groupe permet d’établir cette proximité notamment avec les sociétaires, chère à Groupama, qui
revendique quatre principaux engagements :
- Une responsabilité étendue en tant qu’employeur : Outre une volonté forte de représenter
un assureur de confiance auprès de ses clients, Groupama entend également promouvoir la
diversité et le progrès au sein même de ses relations sociales avec ses collaborateurs. Ainsi,
une politique de responsabilité a été mise en place et tend à développer l’égalité profession-
nelle, la qualité de vie au travail, la non-discrimination et l’emploi des personnes handica-
pées. Pour atteindre ces objectifs afin de connaitre au mieux l’engagement de ses collabora-
teurs, Groupama a ainsi élaboré un baromètre de satisfaction.
- Agir en partenaire de ses clients et sociétaires : Groupama s’est au fil de son histoire cons-
truit autour d’entités spécialisées dans des domaines aussi diverses que le soutient à
l’entreprenariat, à la mobilité, la gestion d’une protection sociale durable, l’assistance, ou en-
core la gestion d’actifs. Une incitation aux comportements responsables, une maitrise tech-
niques des collaborateurs, soutenues par une gestion performante des organes décisionnels
permet au groupe de fournir des prestations de qualités.
- Développement des territoires et progrès de la société civile : l’organisation décentralisée
de Groupama lui assure une proximité optimale auprès de ses clients et sociétaires, mais aussi
avec les élus sociaux. Le groupe œuvre de cette manière au soutien de l’économie collabora-
tive et la Fondation Groupama pour la santé remet chaque année un prix de l’innovation so-
ciale.
- Agir pour la préservation de l’environnement : outre la volonté de participer à l’économie
sociale, Groupama engage de nombreuses actions dans le but de réduire l’impact environne-
1 Selon un classement de l’Argus de l’Assurance.com (en partenariat avec Mazars) http://www.argusdelassurance.com/acteurs/special-comptes-2015-le-top-20-france.101967 > Consulté le 11/08/2016.
10
mental de ses activités. Pour ce faire le groupe mène une politique interne d’économie des
énergies et des ressources, mais aussi, auprès de ses clients, Groupama encourage aux com-
portements « écoresponsable » à travers des initiatives originales.
La structure du groupe :
Groupama est un groupe fondé sur un important réseau de caisses locales et régionale et fonc-
tionne grâce à la combinaison de ses différentes filiales, sous la gouvernance de Groupama SA.
Les 3200 caisses locales que compte le groupe assurent la communication et l’échange avec les
300 000 sociétaires qui participent chaque année aux assemblées générales de ces caisses.
Groupama compte également neuf caisses régionales en France métropolitaine, deux caisses
en outre-mer et deux caisses spécialisées dans des activités particulières. Les caisses sont avant tout
des entreprises d’assurance mutualistes agréée, qui dispose de ce fait de leurs propres réseaux de
commerciaux et de salariés au service de la relation clients. Par ailleurs, les caisses régionales assu-
rent également un service de réassurance auprès des caisses locales. Afin de conduire au mieux une
activité efficace et coordonnée les caisses régionales peuvent se retrouver au sein de la Fédération
Nationale Groupama, instance qui regroupe l’ensemble des sociétaires.
Groupama est également fort d’un ensemble cohérent de filiales détenues par Groupama SA.
Ainsi, le groupe dispose de filières dites «d’assurance » qui sont chargées de la distribution de pro-
duit d’assurance, tout comme les caisses régionales mais suivant des spécificités de canal, tel la
marque Amaguiz, ou encore des filiales Gan.
Les filiales de service sont chargées d’apporter un soutien technique au l’exercice même des
activités du groupe.
De surcroit, Groupama SA détient également des filiales financières qui gèrent les activités
bancaires ou encore immobilières du groupe, et des filiales internationales. Effectivement Groupama
est présent dans 11 pays dans le monde, principalement en Europe.
Enfin, Groupama SA est en charge de la définition de la stratégie opérationnelle du groupe.
En tant qu’animateur du groupe, Groupama SA veille à la cohésion et au bon fonctionnement des
diverses entités, dont il assure le contrôle administratif, et peut à cette occasion décider des mesures
11
nécessaires à la garantie de la solvabilité du groupe. De plus, Groupama SA réassure les caisses ré-
gionales ainsi que certains programmes pour les besoins de l’ensemble du groupe mais pratiques
aussi des opérations d’assurance directe.
En outre, parmi les filiales de service de Groupama se trouve l’entité Groupama Supports et
Services (G2S). Cette filiale est un Groupement d'Intérêt Economique (GIE). Il s’agit d’ « un grou-
pement doté de la personnalité morale qui permet à ses membres de mettre en commun certaines de
leurs activités afin de développer, améliorer ou accroître les résultats de celles-ci tout en conservant
leur individualité »2.
G2S a été créé le 1er juillet 2011 et regroupe les activités de support telles que les systèmes
d’information, la logistique et les achats. Au sein de ces activités, exerce également le service
d’assurance des risques d’exploitation au sein duquel j’ai eu la chance de réalisé mon stage.
Activité du groupe :
Groupama, avec plus de sept millions de clients, est aussi le 8ème assureur généraliste (en
chiffre d’affaire3) en France.
Au moyen de son réseau solide de caisses locales et régionales, ainsi que les différentes fi-
liales qui composent le groupe, Groupama distribue des produits d’assurance de biens et de respon-
sabilité, de personne et mène encore des activités bancaires et financières.
S’agissant d’abord des assurances de biens et de responsabilité, il s’agit de la distribution
d’assurances automobiles, habitation ainsi que la fourniture de divers services tels que la protection
juridiques par exemple. De surcroit, le groupe est le premier assureur de l’agriculture (en pourcen-
tage des cotisations) et des collectivités locales.
Groupama est également prestataire d’assurance de personne, c’est-à-dire que le groupe four-
nit des assurances santé individuelles, des produits de prévoyance, d’épargne/retraite ainsi que des
assurances vie ou encore des assurances collectives.
2 Définition Wikipédia https://fr.wikipedia.org/wiki/Groupement_d%27int%C3%A9r%C3%AAt_%C3%A9conomique > Consulté le 11/08/2016 3 http://www.groupama.com/fr/nos-activites/ > Consulté le 11/08/2016
12
Au regard du panel de prestations offertes, le volume des activités exercées par Groupama est
important. Néanmoins, le fonctionnement d’une entreprise telle que Groupama est, du fait même de
l’exercice de ses activités exposé à un certain nombre de risques. Dès lors, au même titre que toutes
entreprises et ce, eu égard à leur domaine d’activité, il est nécessaire d’être muni d’un service qui
assure les activités exercées. Cette activité est ce qui est nommé l’assurance des risques
d’exploitation. Au sein du groupe cette mission est effectuée par la filiale de service Groupama Sup-
port et Service dans laquelle j’effectue mon stage.
L’assurance des risques d’exploitation :
J’ai réalisé mon stage au sein du service des assurances des risques d’exploitation. Ce service
est chargé, au regard des activités exercées par l’ensemble des entités du groupe, de mettre en place
des couvertures d’assurance pour les risques auxquels Groupama est exposé, d’en gérer le suivit et le
renouvellement, mais aussi de piloter la prise en charge des sinistres déclarés.
Le service d’assurances des risques d’exploitation est a donc vocation à administrer les diffé-
rents contrats d’assurance, couvrant les risques menaçant le groupe pour son activité d’assureur.
Dans ce contexte, ce sont alors les différents membres du groupe Groupama qui sont assuré pour les
risques qu’ils encourent.
Le service d’assurance des risques d’exploitation a donc pour objectif de déterminer quels
sont précisément les risques auxquels est exposée l’entreprise et de définir les contrats d’assurances
qui pourront en garantir les conséquences en cas de réalisation. Ainsi, il revient également à ce ser-
vice d’apprécier la meilleure garantie offerte par les différents assureurs sollicités. A cet égard, la
réglementation, notamment issu du règlement Solvabilité II interdit l’auto-assurance pour les compa-
gnies d’assurance dans divers domaines, l’assureur avec lequel contracte Groupama peut alors être
une autre entreprise extérieure au groupe.
Dans ce cadre, j’ai ainsi pu participer à plusieurs rencontres avec les collaborateurs avec les-
quels le service d’assurance des risques d’exploitation entretien des relations contractuelles
d’assurance, notamment pour élaborer des plans d’évolution des couvertures actuelles ou encore leur
actualisation.
13
En outre, G2S mandate plusieurs cabinets de courtage en assurance afin de bénéficier des
offres de garanties les plus compétitives pour un risque donnée, le courtier étant chargé de confronté
les propositions du marché.
A cette occasion, le service peut être amené à conduire des négociations afin de contracter la
couverture la plus adaptée possible au risque dont le groupe souhaite se prémunir, et ce aux condi-
tions tarifaires les plus favorables. En collaboration avec diverses instances du groupe, et notamment
la direction juridique, le service est chargé de s’assurer de la qualité des contrats d’assurance sous-
crits par le service des risques d’exploitation.
Les couvertures souscrites par le service d’assurance des risques d’exploitation sont diverses
et recouvrent des garanties d’assurance de biens de nature différente et des assurances de responsabi-
lité civile couvrant la responsabilité du groupe pour l’exercice de ses activités.
Une fois les couvertures d’assurance souscrites, il convient alors d’en informer l’ensemble
des entités bénéficiaires de ces assurances. Il s’agit ici aussi d’une des missions du service
d’assurance des risques d’exploitation à qui il revient de procéder à la diffusion et à la mise à dispo-
sition des différentes polices d’assurances afin que chacune des entités connaisse les garanties dont
elles bénéficient mais aussi, soient éveillées sur les procédures à suivre en cas de sinistre.
Ainsi, le service des risques d’exploitation est garant non seulement de la mise en place des
couvertures, mais aussi de l’information interne au sein du Groupe. Cette tâche de renseignement se
réalise notamment par l’alimentation d’espaces numérique dédiés, l’émission de plaquettes informa-
tives élaborées par le service lui-même. Ayant été associée à l’ensemble des activités du service, j’ai
alors pu participer à l’actualisation des plaquettes informatives et à l’alimentation et à la diffusion
des bases de renseignements.
Egalement, dans le cadre de la mission d’information du service, j’ai pu être amené à ré-
pondre à diverses questions et interrogations que nos collaborateurs nous transmettent afin d’obtenir
des précisions sur les couvertures ou pour s’assurer qu’ils sont effectivement couvert pour une activi-
té ou un évènement donné. En outre j’ai encore été chargé de la délivrance d’attestation, soit à
l’occasion d’évènements organisés par une entité, ou une caisse du groupe, soit s’agissant des mou-
vements affectant les locaux pour les assurances de dommages aux biens.
Par ailleurs, le pôle d’assurance des risques d’exploitation est également en charge du pilo-
tage des différents sinistres qui peuvent survenir. A ce titre, il reçoit l’ensemble des déclarations, et
ce qu’elles affectent les polices d’assurance de dommage aux biens ou de responsabilité civile. A
14
cette occasion j’ai ainsi pu découvrir dans un premier temps puis procéder à la gestion de dossiers
sinistre. Il s’agit alors pour moi de déterminer si besoin quelle est la police mobilisable, puis de
transmettre la déclaration à l’assureur afin que ce dernier détermine si la police est effectivement
mobilisable. En effet il se peut que la situation déclarée face en réalité l’objet d’une exclusion de
garantie ou d’une sous limite de garantie. Dans le cadre de la gestion de sinistre, le service
d’assurance des risques d’exploitation est de fait en charge de l’intermédiation entre les assurés et
l’assureur. Pour se faire, j’ai été amené à transmettre les différentes demandes respectives des assu-
rées, comme des assureurs qui peuvent ainsi requérir de l’assuré qui déclare un sinistre une déclara-
tion circonstancier des faits, ou des pièces justificatives.
Cette fonction permet une meilleure connaissance de l’état de la sinistralité affectant chacune
des polices du groupe, par un suivit et un archivage efficace des dossiers qui sont soumis au pôle
d’assurance des risques d’exploitation. En outre cette fonction est essentielle pour préparer et négo-
cier les actualisations et optimisations des contrats d’assurance. En effet, à chaque échéance de con-
trat un bilan est effectué sur chacune des polices, afin de déterminer l’évolution des besoins de
Groupama, les éventuels écueils du contrat. Le but étant alors d’améliorer les garanties. En outre, il
est également du ressort du pôle d’assurance des risques d’exploitation d’anticiper la découverte de
nouveaux risques et de réfléchir aux moyens adéquates de prémunir l’ensemble du groupe contre les
effets de la survenance d’un sinistre.
Enfin le service au sein du quel j’ai effectué mon stage à la responsabilité de la facturation
pour les contrats d’assurance qu’il souscrit pour le compte de Groupama Supports et Service.
Le pôle de l’assurance des risques d’exploitation est donc un élément central dans la mise en
place et la gestion des contrats d’assurance que Groupama souscrit pour la garantie de l’exercice de
ses activités.
15
Bilan du stage :
Je tiens d’abords à exprimer ma reconnaissance envers les membres du service d’assurance
des risques d’exploitation. En effet, leur accompagnement est extrêmement formateur, et leur con-
seils salutaires. Je suis à cet égard ravie du déroulement de mon stage, dans le cadre duquel je suis
associée à chacune des activités évoquées ci-dessus, ce qui me permet de découvrir toutes les facettes
de cette profession.
Cette expérience est d’autant plus enrichissante qu’elle me permet d’abord de mettre à profit
et de mobiliser bon nombres de mes connaissances théoriques, acquises au cours de mon cursus uni-
versitaire, mais aussi parce qu’elle me permet de faire de nombreuses rencontres tant au sein de nos
collaborateurs que parmi des partenaires extérieurs, toutes très enrichissantes sur le plan humain
comme sur le plan professionnel.
Je tire donc un enseignement des plus positifs de mon stage, du fait du rôle véritablement ac-
tif que mon équipe m’accorde au sein de notre organisation. J’ai donc la plus grande joie de pour-
suivre ce dernier pour les trois prochain mois.
17
Introduction
Si l’on évoque usuellement la « toile internet », chacun peut ressentir de plus en plus souvent les secousses produites par les araignées qui la tissent.
La fin du 19ème siècle a vu naitre l’informatique, « la science qui traite de manière rationnelle
toutes sortes d’informations, par l’utilisation de machine automatisée », et le 20ème se développer de
manière exponentielle. A tel point, que presque chaque aspect de notre vie peut à présent faire l’objet
d’une information numérique. De fait, la consommation et l’utilisation quotidienne et massive
d’outils numériques, comme les applications pour Smartphone, l’échange de données bancaires,
l’envoie de courriels entraînent une explosion du nombre de données en circulation. Et ces
informations sont extrêmement précieuses, puisqu’elles peuvent en soi renseigner sur des identités
bancaires « piratables », sur la stratégie économique et commerciale d’une société, sur des éléments
de propriété intellectuels (comme les brevets), ou de la vie privée de chacun ou encore donner des
indications sur les habitudes de consommation de catégories de personnes et ainsi signaler des
marchés possiblement très rentables. Il est dès lors peu surprenant que ces données soient très
prisées. Elles comportent une valeur intrinsèque non négligeable et recèlent une potentielle
profitabilité extraordinaire.
La porte est ainsi ouverte à un important risque d’utilisation déloyale, invasive ou bien même
malveillante de ces renseignements. Il ne s’agit, en revanche pas des seules hypothèses de réalisation
d’un risque Cyber.
Ainsi le cabinet français de courtage en assurance Verlingue définit les Cyber-risques comme
« les conséquences d’une atteinte aux données numériques détenues et/ou gérées par l’entreprises,
que celles-ci lui appartiennent ou qu’elles lui soient confiées par les tiers, ainsi que les conséquences
d’une atteinte aux systèmes informatiques ». Cette définition simple embrasse néanmoins un large
champ de situations qui peuvent survenir chaque jour dans la pratique professionnelle.
Mais alors, pourquoi évoquer sérieusement le risque Cyber peut-il se révéler être une tâche
plus difficile qu’il n’y paraît ? L’une des raisons est avant tout liée à l’imaginaire collectif qu’il
18
suscite. En effet, le terme de « risque Cyber » semble digne d’un scénario de science-fiction et
pourtant la réalité est tout autre. Cependant il est nécessaire pour concevoir vraisemblablement ce
risque de lier des notions quotidiennes (comme l’utilisation de matériel informatique, de service
bancaire ou de l’internet) avec des concepts beaucoup plus flous et éloignés de nos préoccupations
habituelles.
En outre, les grands scandales en la matière dont fait état la presse, rendent encore plus
surréaliste la notion de risque Cyber. On peut par exemple évoquer le vol de données relatifs à 77
millions de clients qu’avait subi l’entreprise Sony en 2011 ainsi que l’indisponibilité de ses services
provoquant alors une perte de chiffre d’affaire annuel d’environ 450 million d’euro4.
Toutefois, les très grandes entreprises et sociétés de notoriété internationale ne sont pas les
seules visées par les attaques malveillantes de « pirates informatiques ». Le Global Intelligence
Network de Symantec, qui est un réseau mondial d’observation des menaces informatiques révélait
qu’en décembre 2015, 52,4 % des attaques ciblées touchaient des Petites et Moyennes Entreprises
(PME). Face à de tels résultats on comprend aisément que ce sont toutes les entreprises qui peuvent
être visées par des attaques numériques indépendamment de leur taille. Cependant les conséquences
de telles atteintes aux systèmes informatisés ne sont pas les mêmes, suivant la dimension de
l’entreprise ou de l’entité ciblées. En effet les petites structures n’ont pas toujours les fonds
nécessaires au rétablissement de leur dispositif, ou à la prise en charge des coûts supplémentaires
engendrés par l’attaque ni les pertes qu’elle a pu occasionner. De surcroit, une étude menée par The
Global State of Information Security Survey 2016, nous apprend ainsi que le nombre de Cyber
attaques recensées a progressé de 51% en France en 2015.
Plus précisément le risque Cyber représente « l’ensemble des atteintes aux systèmes et aux
données qui peuvent être consécutives à de nombreux facteurs tels que les actes malveillants, les
pannes les erreurs les actes terroristes ou encore les évènements naturels »5. On comprend dès lors,
que toute entreprise, qui use de matériels numérique est susceptible d’être victime de sinistre Cyber.
Si le Cyber risque évoque en premier lieu les actes de piratage ou de vols informatiques, ces
actes de malveillance ne sont pas les seules qui peuvent causer des atteintes aux données
numériques. Ainsi, comme le rappelle la définition du Cyber risque, les erreurs humaines dans la
programmation, l’installation et le développement des activités numériques peuvent être à l’origine
de dégradations, de pertes ou de diffusion de toutes sortes de données traitées, stockées ou gérées par 4 Haude-Marie THOMAS. « Dossier : Le risque Cyber ». Argus de l’assurance 1er Juillet 2016 5 Définition donnée par l’Argus de l’assurance 1er Juillet 2016
19
une entité, ce qui peut alors produire des effets négatifs sur les personnes concernées par les
informations endommagées. A noter également que la moitié des attaques sont favorisées par la
négligence humaine6.
Les sinistres Cyber peuvent encore résulter de pannes, de problèmes techniques, ou encore de
dommages matériels subis par les matériels informatiques. L’exemple type serait un incendie dans un
centre de stockage de données informatique ou un dégât des eaux qui provoquerait ainsi la probable
perte, ou diffusion d’information involontaire. De même lorsque le matériel est endommagé,
l’entreprise sinistrée n’est pas toujours en mesure de maintenir un service de surveillance et de
protection de ces données qui se retrouvent dès lors beaucoup plus vulnérables. Et ce d’autant que les
tentatives d’attaques ou de piratage des systèmes informatiques sont pour la plus grande partie quasi
permanentes. De fait, de nombreux organismes ou entreprises doivent faire face à des menaces de
manière quotidienne, et la dégradation des équipements peut entraver cette mission de sauvegarde
des renseignements contenus dans les fichiers détenus par l’entité sinistrée. A ce titre, les
catastrophes naturelles ou les événements climatiques peuvent impacter la sûreté des données de la
même manière, en ce qu’ils peuvent occasionner des dégâts ou des pertes de matériaux et avoir de
lourdes conséquences sur les systèmes numériques.
Outre les données bancaires, les données relatives à la propriété intellectuelle, ou à la
stratégie économique et commerciale d'une entreprise, les données à caractère personnelles font
également l'objet de beaucoup d'attention, tant de la part des acteurs économiques que des politiques.
Il s'agit de données qui appartiennent à des personnes tierces à l’entité qui les traitent c’est-à-dire aux
clients, aux collaborateurs, à des fournisseurs ou des partenaires. En effet, ces données peuvent
représenter une très grande valeur monétaire parce qu’elles renseignent sur les pratiques des
personnes, les habitudes de consommation, les loisirs les activités, la profession, des données
bancaires, tant d'informations qui retranscrites en termes de consommation peuvent indiquer des
marchés potentiellement très profitables.
S’agissant d’abord de la circulation de nos données personnelles, elle est un fait encré dans
les esprits à tel point qu’on en oublie parfois qu’il s’agit d’informations parfois privées, aux confins
de l’intime et de ce fait sensibles qui transitent par des moyens qui bien souvent sont inconnus ou
méconnus du grand public. De fait, les données à caractère personnel sont une notion large. Ainsi,
elles sont définies comme étant « toute information relative à une personne physique identifiée ou
qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou
6 Haude-Marie THOMAS. « Dossier : Le risque Cyber ». l’Argus de l’Assurance du 1er Juillet 2016
20
à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il
convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou
auxquelles peut avoir accès le responsable du traitement ou tout autre personne » selon la loi du 6
janvier 1978 L. n°78-17, art 2, al2 modifiée7.
Afin de se prémunir de ces risques, la législation française ainsi que la réglementation
européenne recommandent alors vivement aux responsables des données personnelles de prendre un
certain nombre de mesures préventives.
Pour garantir une surveillance permanente du respect des dispositions relatives à la protection
des données, chaque État est incité à mettre en place une autorité dite de contrôle. En France cette
autorité est la Commission Nationale Informatique et Libertés (CNIL). Cette autorité administrative
indépendante a été créée en 1978 par la loi du 6 janvier relative à l’informatique, aux fichiers et aux
libertés8. Elle garantit, par un certain nombre de mesures et de contrôles, le respect des engagements
dû par les responsables des traitements des données
Au-delà des données dites à caractère personnel, les sociétés, entreprises, organismes et
autorités administratives ont à cœur de protéger un ensemble plus large d’information qu’elles
détiennent et gèrent de manière permanente.
Comme évoqué précédemment, les données bancaires parce qu’elles permettent d’atteindre
directement ou indirectement des comptes bancaires et de s’approprier les sommes qu’ils contiennent
demeurent en enjeux crucial. Les conséquences d’une atteinte aux données bancaires peuvent
s’avérer redoutables tant pour l’entité qui traite ces données que pour les propriétaires victimes de
l’atteinte. Outre les pertes financières pures, il s’agit aussi de l’impact en termes d’images pour les
personnes chargées de la gestion des données bancaires. En effet la perte de confiance et les
nuisances engendrées à la réputation de la personne responsable du traitement de données qui subit
une Cyber attaques peuvent mettre fin à son activité, voir à son existence pour les personnes morales.
De telles conséquences peuvent également résulter de sinistres affectant l’existence et la
circulation d’informations relatives à la stratégie commerciale d’une entreprise, de brevets ou de
ceux de tiers avec qui l’entreprise peut traiter. Autant de renseignement sensibles qui, s’ils sont
divulgués peuvent anéantir l’entité qui les possède et les détient.
7 Modifié par la loi n°2004-801 du 6 août 2004 – art. 1er JORF 7août 2004 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000441676 > Consulté le 23/06/2016 8 Loi n°78-17 du 6 janvier 1978 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460 > Consulté le 23/06/2016
21
Il ressort de cette définition que les sociétés d’assurance particulièrement, sont
indubitablement intéressées par ce débat, non seulement à l’égard de leur activité même d’assureur,
qui nécessite et repose sur le traitement d’informations nombreuses et diverses, mais aussi en tant
que garant des risques que comporte cette activité. Effectivement, à l’occasion de son activité
commerciale et de prestation de service, une compagnie d’assurance est amenée à traiter un grand
nombre d’informations afférentes tant à ses client qu’à ces collaborateurs et salariés. Mais de
surcroit, cette même compagnie peut envisager de couvrir ses clients contre leur propre risque
numérique.
Tachons d’abord de définir le contrat d’assurance. Il s’agit selon Yvonne Lambert Faivre9
d’une « opération par laquelle un assureur organise en mutualité une multitude d’assurés exposés à
la réalisation de certains risques et indemnise certains d’entre eux qui subissent un sinistre grâce à
la masse commune des fonds collectés ».
Les assureurs, à l’échelle internationale, ont, face à une telle conjoncture, réfléchi et mis au
point des modèles de couvertures d’assurance dont la vocation est de garantir les conséquences de la
survenance de risques déterminés, les risques Cyber en l’occurrence.
C’est-à-dire, qu’ils ont pensé un type de contrat capable d’envisager les risques Cyber les
plus menaçants afin d’envisager les meilleures solutions pour indemniser la victime assurée des
conséquences de la réalisation de telles menaces. Pour ce faire, la définition de risques majeurs
classés en fonction de leur nature et selon les exemples pratiques d’occurrence de sinistres connus a
été un premier pas essentiel. Ainsi leur plan consiste en la proposition d’assurance de dommages qui
contiennent des garanties d’assurance de biens et d’assurance de responsabilité, destinées à prendre
en charge les conséquences pécuniaires d’un sinistre.
Mais encore fallait-il pour proposer une police d’assurance cohérente que celle-ci puisse
s’articuler avec d’autres couvertures déjà existantes. Effectivement, les risques Cyber concerne
quasiment intégralement les activités professionnelles, hors ces activités sont généralement d’ores et
déjà garanties au titre d’assurances de responsabilité civile professionnelle ou de responsabilité civile
d’exploitation. Egalement, dans le façonnement de leurs polices, les assureurs devaient encore tenir
compte des garanties offertes par les assurances de dommages aux biens afin de ne pas créer
d’interférence entre les polices.
9 Yvonne Lambert Faivre : Professeur émérite à l'Université Jean Moulin (Lyon III) et directeur honoraire de l'institut des assurances de Lyon.
22
A cet égard les assurances des Cybers-risques ont cette particularité de proposer des garanties
qui relèvent à la fois de la couverture des dommages aux biens que de la responsabilité civile de
l’assuré. Les premières ont vocation à couvrir, les pertes, disparitions ou dégradations affectant un
bien contenu par le patrimoine de l’assuré, et les assurances de responsabilité quant à elles sont
souscrites pour garantir les dettes de responsabilité qui peuvent impacter le patrimoine de l’assuré.
Ainsi, il convient de s’interroger sur les caractéristiques propres des assurances des risques
Cyber, et leur capacité à s’intégrer dans un complexe assurantiel, parfois denses. Un tel processus
permet alors de mieux comprendre les enjeux d’une articulation des couvertures et des garanties
d’assurance entre elle, pour que soient préserver les intérêts de l’assuré, qui peut par ailleurs recourir
à un conseil. Comment alors mettre en place un outil performant couvrant les dommages aux biens et
la responsabilité civile de type Cyber apte à s’intégré dans un environnement d’assurance complexe ?
Dès lors, une étude approfondie de la large gamme de couvertures d’assurance que proposent
les assureurs pour couvrir les risques Cyber semble essentielle. En effet, la pratique en la matière
distingue usuellement des garanties de type assurances de biens des garanties de responsabilité
civile, que nous étudieront donc distinctement et précisément. Il est ici question de comprendre le
fonctionnement autonome des assurances des risques Cyber, mais aussi leur articulation avec
d’autres assurances que l’assuré pourrait avoir souscrites. De fait, si le risque Cyber est envisagé de
manière large par les polices d’assurance actuelles, il n’en demeure pas moins que les différentes
exclusions ou les limites de garanties contenues par les diverses garanties en présence peuvent
impliquer une combinaison de ce dernières.
En outres, il est un acteur clef de ce processus assurantiel qu’est le courtier en assurance. En
effet, ce dernier à l’occasion de l’exercice de son activité est amené à prodiguer des conseils
nombreux et avisés ce qui lui confère une place grandissante dans les procédures de souscriptions,
notamment des importantes entités, dont les besoins sont complexes. En tant qu’intermédiaire entre
les assurés et les assureurs le courtier à une connaissance accrue du marché pour ce domaine et
apparait comme un partenaire indispensable.
Il est donc ici question d’appréhender le fonctionnement même des assurances des risques
Cyber, qui sont fortes d’une solide base de garanties dommages aux biens, avec un volet important
relatif à la protection des données personnelles (I).
23
La protection des intérêts de l’assuré exige par ailleurs la mise en place de couvertures
particulières de responsabilité civile au bénéfice de celui-ci, en complémentarité des garanties déjà
existantes. Les conseils dispensés par le courtier en assurance peuvent alors avoir pour fonctions
d’éviter les situations de cumul d’assurance (II).
24
I. L’assurance des risques Cyber, une assurance de
dommages aux biens avant tout
Les différentes évolutions technologiques et sociétales du traitement des données ont conduit
à la fois à une massification sans précédent de ces dernières mais aussi au développement de leur
circulation de manière intensive. Autant de ressources qui représentent une valeur marchande
notamment, très convoitée. Dans ce contexte, nul doute que toutes personnes ayant la gestion ou
détenant des informations numériques encourent le risque que ces dernières fassent l’objet d’atteinte
pouvant affecter négativement les personnes concernée par les renseignements, dont les exemples
sont déjà nombreux en pratique.
En outre, les entreprises dans l’exercice habituel de leur activité peuvent être amenées à
traiter des données bancaires. Ces données sont également très prisées par les pirates informatiques.
Face à ce développement intense et rapide de nouveaux risques liés à l’utilisation de données
dématérialisées, mais aussi et surtout de systèmes informatisés, les risques d’atteinte aux systèmes
numériques en générale ont crû de manière exponentielle.
Les assurances ont alors réfléchi à un « nouveau » mode de couverture pour garantir les
conséquences de la réalisation de risques Cyber. Notamment ces polices offrent un panel complet et
complexe de garanties dommages, dans le but de couvrir les nombreuses implications de la
réalisation du sinistre de type de Cyber. Les assurances dites de dommages aux biens sont des
assurances qui couvrent les risques qui affectent le patrimoine de l’assuré directement, et ont
vocation à protéger les intérêts économiques de celui-ci. Elles se caractérisent par une fonction
d’indemnisation des préjudices subis du fait d’un sinistre couvert par le contrat d’assurance et
semblent donc tout à fait adaptée à la couverture des risques Cyber (A).
Par ailleurs, la conscience du développement du risque Cyber a alors encouragé le législateur
français à prendre des mesures afin de prévenir et de garantir l’intégrité des données à caractère
personnel et ainsi des personnes, par une succession de lois internes, renforcées par un régime
européen en plein essor. En effet, les données dites personnelles font l’objet d’une attention
renforcée, notamment en raison de leur lien étroit avec la vie privé des personnes qu’elles
concernent. Ce régime particulier influe inévitablement sur la forme des garanties que les assureurs
se proposent d’offrir s’agissant des risques qui menacent les données personnelles. De telle sorte que
25
les couvertures d’assurance de dommages proposées par les assureurs comprennent des garanties
spécifiques aux conséquences d’un risque Cyber qui affecte la confidentialité des données
personnelles (B).
A. Un important socle d’assurance aux biens, au service des
garanties contre les Cyber-risques
Parce que le Cyber-risque implique une variété complexe de conséquences pour sa victime,
les assurances doivent déployer un arsenal de garanties à la mesure de l’enjeu. C’est-à-dire que les
couvertures proposées par les assureurs doivent être en mesure de prendre en considération tous les
aspects et toutes les suites de la réalisation d’un risque Cyber.
Par ailleurs, les assurances n’ont pas vocation à éviter la survenance d’un risque Cyber, c’est
donc à chacune des entités qui encourt un risque au regard de son activité de prendre toutes le
mesures préventives qui peuvent être nécessaire à la sauvegarde de ses intérêts. Pour se faire,
l’établissement d’une cartographie des risques semble indispensable.
1) La délimitation incontournable du risque
Un tel exercice implique de connaitre parfaitement l’activité exercée par la personne qui le
réalise afin de déterminer le plus précisément le type de risque encouru, son potentiel de fréquence
ainsi que l’intensité des conséquences qu’il pourrait engendrer en cas de réalisation. En effet, la
réalisation d’une cartographie des risque permet d’envisager l’ensemble de toutes les caractéristiques
de la situation de la personne qui souhaite s’assurer afin d’élaborer un plan de prévention d’abord
mais aussi de rétablissement par la mise en action des contrats d’assurances souscrits. Plus
particulièrement, concernant le risque Cyber, il s’agit de mette en exergue l’environnement
numérique de la personne qui souhaite se couvrir des risques auxquels elle est exposée. Ce travail de
26
cartographie peut sembler fastidieux, mais apparait comme une tâche essentielle à l’anticipation des
conséquences de la réalisation d’un sinistre.
A cet égard, l’assureur peut avoir un rôle de conseiller, en fonction des informations qui lui
sont transmises par son client. Un rôle qui a pris une tout autre signification au fil du temps et
notamment depuis la décision de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR). Elle est
une autorité administrative indépendante, qui veille à la préservation de la stabilité du système
financier et à la protection des clients, assurés, adhérents et bénéficiaires des personnes soumises à
son contrôle. Ses missions et son champ de compétence sont en outre définies par l’article L. 612-1
du Code monétaire et financier. Ainsi, dans une décision de la Commission des Sanctions du 20
juillet 201510, l’ACPR renforce le principe du devoir de conseil de l’assureur (en l’occurrence c’est
une compagnie de courtage en assurance qui a fait l’objet de la sanction) et affirme sa volonté
d’améliorer les conditions de distribution des produits d’assurance. Bien que cette décision ait été
rendue à l’occasion de la distribution de produit d’assurance vie et de contrats d’épargne retraite, il
ne fait nul doute qu’un tel devoir de loyauté de la part de l’assureur envers son client doive être
entendu de manière générale. Dès lors, les assureurs, mais également les intermédiaire en assurance
doivent procéder à un véritable accompagnement de leur client, futur assuré, dans la mise en œuvre
d’une garantie des risques Cyber.
Pour se faire, et afin de connaître son risque, il est d’usage de classer les types de risques
selon leur nature, afin de permettre une lecture plus aisée des garanties que les assureurs peuvent
offrir.
D’abord, le sinistre peut prendre la forme d’une atteinte informatique, qui le plus souvent
renvoie à l’hypothèse de l’indisponibilité du réseau informatique de l’assuré. En ce cas, qu’il s’agisse
des conséquences d’un acte de malveillance, d’une panne, ou des suites d’un dommage affectant le
matériel informatique, l’assuré ne peut plus avoir accès ni maitriser son réseau informatique propre.
Dès lors l’exercice de son activité peut se retrouvé compromis, voire totalement impossible.
L’atteinte informatique est une notion qui recouvre plusieurs réalités bien distinctes. Elle peut
prendre la forme d’acte de malveillance ; c’est ce qu’on appelle les Cyber-attaques. Ces menaces ont
pour but de geler le fonctionnement d’un réseau informatique ou d’en empêcher l’accès. La pratique
10 Commission des Sanctions de l’ACPR 20 juillet 2015. « VAILLANCE COURTAGE » Procédure no 2014-11 http://www.argusdelassurance.com/reglementation/analyse/devoir-d-information-et-de-conseil-ce-qu-il-ne-faut-pas-faire.100863 > Consulté le 22/07/2016 https://acpr.banque-france.fr/fileadmin/user_upload/acp/publications/registre-officiel/20150721-Decision-commission-sanctions-Vaillance-Courtage.pdf > Consulté le 22/07/2016
27
la plus rependue dans ce domaine est le déni de service. Il s’agit de rendre temporairement
inaccessible et inutilisables les ressources qu’une entreprise ou toute entité visée exploite et utilise
dans l’exercice de son activité. Ce type d’attaque peut s’avérer particulièrement redoutable, par
exemple pour une entreprise qui n’exerce son activité de vente que par le biais d’un site internet. En
ce cas le déni de service rend impossible toute activité sur ce site, ce qui implique que tant que
perdure l’attaque, l’entreprise victime ne peut plus vendre aucun de ces produits ou services. La perte
financière consécutive à une telle attaque peut donc être très élevée et mettre l’entreprise victime du
sinistre dans une position plus que délicate. En effet, ladite entreprise devra continuer à assumer ses
coûts fixes de fonctionnement, alors même qu’elle n’aura plus de revenus du fait de l’impossibilité
d’exercer son activité.
L’attaque Cyber peut également résulter de l’implantation d’un virus dans les systèmes de
l’entreprise victime du pirate informatique. Il s’agit de programmes cachés dans un fichier dans le
but, d’une part de s’intégrer dans le système d’exploitation de l’ordinateur et, d’autre part, de se
propager à d’autres fichiers et d’autres ordinateurs. Leur action peut aller jusqu’à la destruction de la
totalité des données contenues par le disque dur d’un ordinateur. Les « vers11 » quant à eux sont de
petits programmes autonomes ayant pour objet la destruction ou l’arrêt de l’ordinateur ou bien
également le détournement de données confidentielles.
Les pirates informatiques peuvent encore user de la pratique dite de « l’hameçonnage », qui
consiste en une manœuvre frauduleuse destinée à induire l’utilisateur victime en erreur afin de lui
soutirer des informations confidentielles.
Le second risque souvent caractérisé par les assureurs, dans la pratique, et qui peut affecter
l’assuré est la Cyber-extorsion, ou les tentatives d’extorsion informatique. Cette pratique consiste
pour le pirate informatique à bloquer à distance une page internet ou même un réseau d’ordinateur,
empêchant alors toute utilisation du système par son propriétaire qui ne peut espérer recouvrir ses
biens uniquement contre paiement d’une sorte de rançon. Ce procédé de plus en plus utilisé et dont la
sophistication la rend de plus en plus difficile à parer, peut conduire à un déni de service d’un site
internet, ou à l’inaccessibilité de celui-ci. Dès lors, pour une entité dont l’activité repose sur
l’efficacité de son système informatique, les conséquences peuvent être catastrophiques,
pécuniairement mais aussi en terme d’image.
11 http://www.lemonde.fr/technologies/infographie/2007/10/08/les-differents-types-de-cyberattaques_964581_651865.html > Consulté le 03/08/2016
28
Afin de se prémunir des conséquences de ces risques, les assureurs offrent un ensemble de
garanties qui ont pour vocation d’accompagner l’assuré dans la prise en charge d’une partie des
pertes de ce dernier, ainsi que des frais engagés pour remédier au sinistre rencontrée.
2) Des garantis adaptées aux risques qu’elles couvrent
L’ensemble des techniques représentant des menaces informatiques sont nombreuses et les
polices proposées par les assureurs doivent pouvoir proposer des services variés afin que l’assuré
sinistré puisse être indemnisé. Dans ce contexte certains assureurs procèdent par la détermination
d’un risque dans sa définition large, ce qui ne le contraint pas à dresser une liste exhaustive des
causes du sinistre mais de ne retenir que sa finalité. Ainsi, on peut par exemple souvent lire dans des
polices d’assurance des risques Cyber, la mention « sont couverts à la suite d’une atteinte
informatique » ou bien « au titre d’une atteinte aux systèmes d’information ». Ce type de police est
définie comme une assurance « tous risques sauf ». C’est-à-dire que le risque est déterminé de
manières générales et les contours de la garantie offerte sont donnés par les différentes exclusions
contenues dans le contrat. Dès lors, au titre de la constatation par l’assuré et l’assureur d’une atteinte
aux systèmes d’information, la police d’assurance va pouvoir être actionnée. Mais certains assureurs
préfèrent mettre en place des assurances dites « à péril dénommé », au sein desquels le ou les risques
couverts son précisément définis, réduisant alors le périmètre de la garantie aux risques que
l’assureur entend expressément couvrir. Les exclusions d’assurances sont alors beaucoup moins
nombreuses dans ces contrats et plus générales dans leur termes et principes.
Par ailleurs, selon la pratique assurantielle dans le domaine Cyber, la mise en jeu de la
garantie due par l’assureur, dans son volet « assurance de biens », est déclenchée par la découverte
du dommage.
S’agissant à présent des garanties à proprement parler, la première qui est offerte par les
assureurs est celle de la perte d’exploitation consécutive à la réalisation du risque. L’Association
Management des Risques et des Assurance de l’Entreprise (AMRAE), est une association qui a
notamment pour vocation de promouvoir et développer les méthodes de management des risques et
des assurances des organisations publiques ou privées. Dans ce cadre, elle rassemble de nombreux
professionnels qui pensent et élaborent ensembles des travaux dans le domaine de la gestion des
29
risques d’exploitation. L’AMRAE définit la perte d’exploitation comme « la perte de revenus d’une
entreprise en conséquence d’un aléa impactant négativement son activité normale »12.
Mais la perte d’exploitation doit avant tout s’entendre comme une notion comptable.
Usuellement on parle alors de la prise en charge de la perte de « marge brute » subie par l’assuré qui
est précisément définie par l’assureur au travers des clauses du contrat. En des termes généraux il
s’agit de la différence entre le chiffre d’affaires et les charges variables (celles qui évoluent en
fonction de l’activité de l’entreprise), que l’assureur entend couvrir, suite à un dommage garanti,
pendant une période d’indemnisation, c’est-à-dire pendant une période contractuellement prévue
entre lui et l’assuré. La période d’indemnisation recouvre le temps pendant lequel l’assureur versera
l’indemnité due en vertu du contrat afin de contrecarrer la perte de marge brute et de permettre à
l’entreprise assurée de retrouver l’équilibre financier qu’elle connaissait avant la survenance du
sinistre. Il faut prendre un certain nombre d’éléments en compte pour déterminer cette période ainsi
que le montant de l’indemnisation, comme le secteur d’activité dans lequel exercent l’assuré, la
concurrence, la possibilité de sous-traites des activités.
Cette marge brute est une notion définie par les assureurs, et qui est différente d’une marge
brute d’entreprise. Ce critère de calcul de l'indemnité due à l'assuré requiert de vérifier au moins
chaque année que le montant des primes réglées par l'assuré correspond à l'examen comptable de
l'entreprise. Effectivement, il faut comprendre, que la base du calcul de l’indemnisation par
l’assureur repose sur le bilan comptable de l’entreprise assurée. Aussi, les informations relatives à ce
bilan doivent être transmises par l’assuré à son assureur, afin que ce dernier puisse mesurer son
risque et ainsi chiffrer le montant de la prime que devra lui verser l’assuré. Cette obligation de
déclaration qui incombe à l’assuré résulte non seulement des termes du contrat d’assurance, qui
précise généralement que le contrat est établi sur la base des réclamations faites à l’assureur, mais
également de la loi. A cet égard, l’article L 113-2 du Code des assurances dispose « L'assuré est
obligé : […]
2° De répondre exactement aux questions posées par l'assureur, notamment dans le formulaire de
déclaration du risque par lequel l'assureur l'interroge lors de la conclusion du contrat, sur les
circonstances qui sont de nature à faire apprécier par l'assureur les risques qu'il prend en charge ;
12 Cahier Technique 2014 La maitrise de la perte d’exploitation, l’assurance-vie de votre entreprise. http://www.amrae.fr/sites/default/files/udr/2014_01_PertesExploitation_Amrae_C.pdf > Consulté le 08/08/2016
30
3° De déclarer, en cours de contrat, les circonstances nouvelles qui ont pour conséquence soit
d'aggraver les risques, soit d'en créer de nouveaux et rendent de ce fait inexactes ou caduques les
réponses faites à l'assureur, notamment dans le formulaire mentionné au 2° ci-dessus »13.
Ce devoir d’information qui incombe à l’assuré quant à la nature du risque auquel il est
exposé et qu’il entend garantir par l’assureur ; vaut tant pour le cas précis de la transmission des
informations comptables utiles au calcul de l’indemnité de perte d’exploitation ainsi que les primes
afférentes à cette couverture ; que pour chacune des garanties sollicitées par l’assuré.
Par ailleurs, il est ici question pour l’assureur de replacer l’assuré qu’il indemnise dans la
situation dans laquelle il se trouvait avant la survenance du sinistre, et ce indépendamment de la
conjoncture du marché sur lequel il exerce. De sorte que la garantie de la perte d’exploitation ne doit
pas être le moyen pour l’assuré d’améliorer sa situation financière ou sa position sur le marché.
L’assurance ne doit pas être un moyen de s’enrichir pour l’assuré. Aussi, un assuré qui, au moment
de la survenance d’un sinistre de type Cyber faisait face à une marge brute déficitaire, ne pourrait
prétendre à une indemnisation lui permettant de recouvrer une marge brute au moins équilibrée, voire
positive.
Il s’agit d’une application pure du principe indemnitaire qui régit ce type d’assurance. En
effet les assurances de dommages sont soumises au principe indemnitaire selon lequel « l’indemnité
due par l’assureur à l’assuré ne peut pas dépasser le montant de la valeur de la chose assurée au
moment du sinistre » (C. Ass., art. L. 121-1, al. 114), qui interdit alors que l’indemnité versée puisse
devenir source d’enrichissement pour l’assuré.
Pour autant ce principe ne s’oppose pas à ce que soient également pris en charge, au titre de
la survenance d’une atteinte informatique, les frais dits supplémentaires d’exploitation. Ces frais
peuvent être définis comme l’ensemble des dépenses nécessaires et raisonnables engagées par
l’assuré dans le but de réduire ou d’éviter une perte de marge brute. Néanmoins il convient de
préciser que le caractère nécessaire et raisonnable des dépenses reste à l’appréciation de l’assureur.
L’indemnisation de ces sommes s’explique par l’intérêt économique de l’assuré qui y procède.
13 http://www.unedic.org/article/employeurs-et-salaries-secteur-prive-et-public-concernes-par-l-assurance-chomage > Consulté le 11/08/2016 14 https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006073984&idArticle=LEGIARTI000006792236 > Consultation le 27/08/2016
31
Certes, les dépenses qu’il réalise affectent son patrimoine, mais elles sont finalement le moyen de
maitriser des conséquences financières qui pourraient aggraver l’état de son patrimoine.
Par ailleurs, de nombreux assureurs proposent également de couvrir les sommes qui
pourraient être dépensées par l’assuré afin de permettre l’identification et l’analyse d’une atteinte
informatique. Il s’agit des dépenses engagées par l’assuré auprès d’experts, de consultants,
d’auditeurs ou même d’avocats, chargés d’identifier l’origine et les circonstances d’une atteinte. Les
frais réalisés dans le but de réparer le système, c’est-à-dire de remettre ce dernier dans l’état dans
lequel il se trouvait avant l’atteinte sont également garantis. Une fois encore le principe indemnitaire
interdit à l’assuré de profiter de la survenance d’un sinistre pour améliorer son système informatique.
Cette interdiction fait à cet égard bien souvent l’objet d’une exclusion de garantie, qui précise que les
réparations ne pourront avoir pour objet que la remise en l’état de performance du système antérieur
à survenance du sinistre.
En outre, lorsque par l’effet de l’atteinte informatique un certain nombre, voire la totalité des
données de l’assuré ont été perdues ou détruites, ce dernier peut encore être couvert pour les frais de
reconstitution des données ; c’est-à-dire les frais engagés afin solliciter les services de prestataires et
d’experts informatiques ou d’archivage chargés de reconstruire et de remettre en service les données
et informations exploitées par l’assuré dans l’exercice de son activité.
Cependant cette garantie ne doit pas être confondue avec la prise en charge des salaires et des
rémunérations dues par l’assuré à ses salariés et collaborateurs. En effet l’assuré qui subit une
atteinte à son système informatique peut voir son activité fortement ralentie ou bien même totalement
immobilisée. La question se pose donc de l’assurabilité des salaires et rémunérations des employés
dont l’activité est figée. Si aucune disposition légale ou réglementaire ne fait obstacle à une telle
prise en charge, alors régie par les dispositions contractuelles, il n’en demeure pas moins que bien
souvent ces frais font l’objet d’une exclusion de garantie dans la pratique. En effet tout employeur du
secteur privé situé en France est tenu d’assurer ses salariés contre le risque de privation involontaire
d’emploi et donc de s’affilier au régime d’assurance chômage (selon l’article L. 5422-13 du code du
travail).
Dès lors, prévoir une garantie spécifique intégrée dans la police d’assurance des risques
Cyber aura pour effet de créer une situation de cumul d’assurance. L’assuré réglant alors deux primes
distinctes pour un même risque. De plus le cumul d’assurance est prohibé par le code des assurances
qui définit un régime particulier à cet égard, comme nous l’étudierons ultérieurement dans nos
développements. Quant aux employeurs du secteur public, ils ne sont pas tenus de s’affilier au
32
régime interprofessionnel d’assurance chômage. Ils assurent eux-mêmes le risque de privation
d’emploi (auto-assurance). En revanche les salaires ou rémunérations de tous salariés, sous-traitants
ou prestataires agissant dans le cadre d’une intervention consécutive à l’atteinte informatique
peuvent eux, faire l’objet d’une prise en charge par l’assureur, au titre des frais supplémentaires
d’exploitation.
Cette catégorie de frais susceptibles d’être indemnisés recouvre un large champ, puisque les
frais de remise en état des systèmes informatiques, et de son maintien sont compris. Suivant les
assureurs, les mentions apparaissant sur les polices peuvent varier, sans néanmoins que le contenue
fondamental de la garantie soit altéré. Effectivement suivant le degré de précision que souhaite
imposer l’assureur dans la rédaction de son contrat d’assurance, un futur assuré peut lire par exemple
des mentions telles que : « frais de décontamination virale, de secours informatique, coûts
d’investigation et d’enquête et honoraires d’experts », alors que d’autres polices feront elles,
référence aux « dépenses engagées pour analyser l’atteinte, remettre le système en l’état et maintenir
son fonctionnement ».
Néanmoins, tous ces risques liés à la réalisation d’acte de malveillance ne sont pas les seules
hypothèses de mise en jeu des assurances des risques Cyber. En effet, comme nous l’avons précisé
précédemment, les conséquences d’erreurs humaines, ou de pannes du système ont la possibilité
d’être prise en charge par les garanties d’assurance. L’atteinte peut aussi résulter d’un dommage
affectant le matériel informatique. Dans tous ces cas, les garanties font souvent l’objet dans la
pratique d’exclusion de garantie, notamment du fait de l’articulation avec d’autres couvertures que
l’assuré peut déjà avoir contracté et en vertu de l’interdiction du cumul d’assurance. L’assuré doit se
montrer vigilent face à ces particularités dont nous développeront les écueils plus en aval.
Au-delà des pertes financières, et des conséquences pécuniaires des atteintes aux systèmes
informatiques, la réputation de l'entreprise qui subirait un sinistre Cyber peut également être
endommagée. De surcroît, dans un contexte de circulation permanente et massive des informations,
l'image d'une entreprise peut être atteinte d'autant plus rapidement. Il s'agit donc d'un véritable
danger pour une société ou une entreprise de voir son crédit auprès de ses clients altéré ou gravement
remis en cause par une perte de confiance. Car une telle perte peut alors devenir synonyme de baisse
d'activité si ces mêmes clients décident de recourir aux services ou produits d'une autre société parce
qu'ils estiment que la compétence qu'ils attendent de leur prestataire n'est pas atteinte. Une fois de
plus les répercussions financières sont un enjeu crucial pour les assurés.
33
Face à de telles conséquences, les assureurs proposent alors de prendre en charge les
dépenses que pourrait faire l'assuré dans le but d'élaborer ou de mettre en œuvre une stratégie de
communication visant à limiter toute atteinte à la réputation de celui-ci. De nouveau, pour cette
garantie le contrat peut préciser que ces dépenses devront avoir été jugées nécessaires par l'assureur.
Il peut en outre précisé que ce dernier fasse appel à une expertise pour déterminer le caractère
indispensable des dépenses faites. L'assureur peut encore fournir à son assuré un conseiller en
communication et en gestion de crise. En effet il est possible qu'il soit précisé directement dans le
contrat que l'assuré qui ne jouit pas d'un partenariat avec une société spécialisée en communication et
relations publiques ne pourra choisir une société à l'occasion d'un sinistre sans l'accord de l'assureur.
Au surplus, ces garanties peuvent être distribuées même en l'absence de toute obligation
légale ou réglementaire de le faire.
A cet égard, ces dépenses de relations publiques doivent être comprises comme un
investissement de la part de l’assuré qui, en dehors de toute réclamation de tierces personnes, entend
contrecarrer une altération de sa réputation. Ces frais résultent alors de l’initiative propre de l’assuré
sinistré. Dès lors on peut comprendre ce développement comme une raison qui explique le choix
quasi unanime des assureurs d’intégrer cette couverture, non pas dans le volet des garanties de
responsabilité civile, mais au sein des couvertures d’assurance de biens. En effet, les assurances dites
de responsabilité sont fondées sur une base de réclamation d’un tiers, qui allègue avoir subi un
préjudice du fait de l’assuré, en l’occurrence. Il s’agit pour lui de faire jouer son droit à réparation du
préjudice qu’il a subit sur le fondement du régime commun de la responsabilité ou sur le fondement
de régimes spécifiques. Or, la volonté unilatérale de se prémunir des effets néfastes d’une Cyber-
attaque sur son image, par l’assuré, ne découle pas d’une hypothèse de mise en cause de
responsabilité par un tiers. Elle ne traduit que l’engagement d’une personne qui a subi un sinistre de
mettre en œuvre tous les moyens à sa disposition pour enrayer les effets nuisibles du dommage qui
lui a été causé.
L’ensemble de ses garanties déployées par les assureurs en fonction de la nature des risques
auxquels leur assuré est exposé, permet, si un sinistre Cyber survient, d’accompagner ce dernier en
lui proposant des services et la prise en charge adaptée aux préjudices qu’il vient de subir.
Par ailleurs, dès lors que l’assuré procède au traitement de données personnelles pour les
besoins de son activité, il expose alors ces dernières à la réalisation de risques les affectant.
34
Cependant du fait de la sensibilité contenue dans l’essence même de ces données, parce qu’elles
peuvent renseigner sur de nombreux aspect de la vie privée d’une personne elles font l’objet de
dispositions particulières dont les assurances ne peuvent s’émanciper. Ainsi, conscients de l’enjeu
singulier que recèlent la protection des données à caractère personnel, les assureurs accordent une
place particulière à ce dernier au sein même de leur police d’assurance.
B. Des garanties originales, déduites du l’enjeu actuel de
protection des données personnelles
L’esprit commun se rappelle probablement que les sociétés de télécommunications ont accès
et gèrent des données personnelles de leurs clients ainsi que celles de leurs interlocuteurs, mais
finalement, peu savent que toutes entreprises, organismes, ou autorités publique qui exerce son
activité notamment au moyen d’outils informatiques est amenée à collecter, traité et stocker des
données à caractère personnel. Le potentiel de risque d’atteinte à ces données n’est distinctement
plus le même, le nombre de responsable de traitement étant démultiplié.
1) Un régime singulier de protection accordé aux données personnelles
Alors que les toutes premières lois prises en ce sens dans les années 70 avaient pour objectif
de contrer les risques d’affichage public, le monde largement dématérialisé, dans lequel nous vivons
aujourd’hui implique que le débat relatif à la protection des données personnelles est plus que jamais
un enjeu juridique crucial. En effet, il implique que les Etats, dans leur propre réglementation interne
et aussi dans leur effort de réglementation européenne concilient d’une part, le droit au respect de la
vie privée, consacré notamment par l’article 8 de la Convention Européenne de Sauvegarde des Droit
de l’Homme (CESDH) et d’autre part à la liberté de circulation des informations. Cette tâche
implique alors de prendre toutes les mesures nécessaires à la protection d’un droit fondamental
reconnu à tout citoyen européen, tout en garantissant la construction et le développement d’une
Union Européenne d’échange au service du progrès économique et social de celle-ci. Pour ce faire le
35
Conseil et le Parlement Européen ont élaboré un règlement, adopté le 27 avril 201615 relatif à la
protection des personnes à l’égard du traitement des données à caractère personnel et à la libre
circulation de ces données, et abrogeant la directive 95/46/CE. Ce règlement a notamment pour
vocation de redéfinir plus largement la définition des données personnelles afin qu’un plus grand
nombre de données puissent bénéficier du régime de protection. En outre, le règlement européen
précise encore la fonction des autorités de contrôles étatiques ainsi que les mesures préventives que
chacun des responsables de traitements de données à caractère personnel doit mettre en place.
Le caractère de « données personnelles », ou de « données à caractère personnel », (dont
l’utilisation peut être indifférente puisque les termes renvoient à une seule et même notion), concerne
uniquement les personnes physiques et n’a pas vocation à s’appliquer aux personnes morales. C’est-
à-dire que les sociétés, entreprises et plus largement toutes entités qu’elles soient publiques ou
privées ne peut voir les données la concernant considérées comme des données personnelles et donc
prétendre à la protection offerte par la législation particulière à ces dernières.
Ces données particulièrement sensibles comme nous venons de l’expliquer peuvent faire
l’objet d’altération ou de violation lors d’atteinte à un système informatique. Dès lors toutes
personne qui se trouve être responsable du traitement de données à caractère personnelles est soumis
au régime de protection de ces données qui le soumet à un certain nombre d’obligation. Le
responsable des données s’entend de la personne qui collecte, traite et gère les données à caractère
personnel. Plus particulièrement, l’article 2, de la loi du 6 janvier 1978 modifiée par la loi du 6 août
2004 (Loi n° 2004-801), ayant vocation à intégrer les dispositions de la directive européenne de
199516 précise que « constitue un traitement des données à caractère personnel toute opération ou
tout ensemble d’opérations portant sur de telles données (données personnelles), quel que soit le
procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation,
l’adaptation ou la modification, l’extraction, la consultation, ‘utilisation, la communication par
transmission, diffusion ou tout autre forme de mise à disposition, le rapprochement ou
l’interconnexion ainsi que le verrouillage, l’effacement ou la destruction ». Le responsable des
données personnelles est donc toute personne qui s’adonne à de telles activités.
15 Règlement n° 2016/679 relatif à la protection des personnes physique à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, du Conseil et du Parlement Européen du 27 avril 2016. https://www.cnil.fr/fr/reglement-europeen-protection-donnees > Consulté le 27/06/2016 16 Directive 95/46 CE du Parlement Européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnelles et à la libre circulation de ces données. http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_fr.pdf > Consulté le 26/06/2016
36
On associe, en outre, généralement à ce responsable du traitement des données, le destinataire
de celles-ci, que l’on comprend souvent en pratique comme le sous-traitant du responsable. A ce titre
le destinataire des données à caractère personnel se voit soumis aux mêmes obligations de respect de
la réglementation que le responsable des données. Par ailleurs, si la protection des données
personnelles ne concerne que les données relatives aux personnes physiques, le responsable du
traitement de ces données peut lui être toute personne, physique ou morale, qu’elle soit privée ou
relève d’une administration et ce, eu égard à sa taille ou son secteur d’activité. Le critère déterminant
dans la définition du responsable des données est l’exercice d’un traitement statistiquement organisé
de manière automatisée ou non.
Précisément, cette dite réglementation impose dans un premier temps aux responsables des
données à caractère personnel qu’elles prennent, pour protéger ces dernières un certain nombre de
mesures préventives. Sans citer de moyen proprement identifié, l’article 34 de la loi du 6 janvier
1978 relative à l’Informatique, aux Fichiers et aux Libertés, modifiée par la loi du 6 août 200417
énonce « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la
nature des données et des risques présentées par le traitement, pour préserver la sécurité des
données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non
autorisés y aient accès ». L’obligation mise à la charge du responsable du traitement des données est
une obligation dite de moyen, en ce que ce dernier a la charge de mettre en œuvre tous les moyens
nécessaires pour assurer la protection des données qu’il détient. Il ne pourra être tenu responsable
juridiquement et sanctionné, en cas d’atteinte aux données, que si celle-ci résulte du fait que toutes
les dispositions essentielles n’avaient pas été prises pour garantir la défense des informations
affectées.
Ce faisant, afin d’assurer le respect de ces obligations, la législation française prévoit que la
CNIL, en tant qu’autorité compétente dans le domaine de la protection des données à caractère
personnel, assure la surveillance et le contrôle de l’activité de traitement des données personnelles.
Ainsi, l’article 11 de la loi du 6 janvier 197818 dispose qu’elle « veille à ce que les traitements de
données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente
loi ». La CNIL établit et publie également des normes et des règlements types en vue d’assurer la
sécurité des systèmes. De surcroît, la CNIL est également forte d’un pouvoir d’appréciation des
activités des responsables des traitements des données. En effet, l’article 11, 3°, a) énonce « elle 17 Loi n°2004-801 du 6 août 2004 – art. 1 JORF 7 août 2004 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000441676 > Consulté le 02/07/2016 18 Modifié par la loi n°2014-344 du 17 mars 2014 – art. 17 https://www.google.fr/?gws_rd=cr&ei=tYiYV-6-BILPa7TWsJAB#q=loi+n+2004-344 > Consulté le 02/07/2016
37
donne un avis sur la conformité aux dispositions de la présente loi des projets de règles
professionnelles et des produits et procédures tendant à la protection des personnes à l’égard du
traitement de données à caractère personnel, ou à l’anonymisation de ces données, qui lui sont
soumis », et l’article poursuit au 3°, b) « elle porte une appréciation sur les garanties offertes par des
règles professionnelles qu’elle a précédemment reconnues conformes aux disposition de la présente
loi, au regard du respect des droits fondamentaux des personnes ».
Mais, malgré l’ensemble de ce dispositif préventif, un responsable du traitement de données
personnelles, peut faire l’objet d’une atteinte informatique ou d’un sinistre entraînant la dégradation,
la perte, la diffusion ou l’utilisation impropre de telles données.
2) Un régime de protection retranscrit dans les assurances contre les risques Cyber
Lorsqu’un tel événement se produit, le risque médiatique en termes de dégradation de la
réputation (aux conséquences possiblement grave, ainsi que nous l’avons évoqué précédemment)
« oblige » la victime d’un tel sinistre à agir, non seulement pour remédier à la situation, c’est-à-dire
mettre fin au dysfonctionnement et à l’altération de données, mais aussi à élaborer une stratégie de
communication. De plus le responsable du traitement affecté par une atteinte aux données
personnelles peut être soumis à des obligations réglementaires et légales le cas échéant.
C’est pourquoi les polices d’assurance des risques Cyber, proposent aux assurés de prendre
en charge les dépenses qui pourraient être faites à l’occasion de la réalisation d’un de ces risques.
Ainsi, de nombreuses polices d’assurance comportent la prise en charge des dépenses engagées par
l’assuré dans le cadre des obligations légales et réglementaires en cas de violation de la
confidentialité des données à caractère personnel.
Lorsque, certains contrats d’assurance précisent au sein de leur police que l’atteinte ou le
sinistre dont l’assuré réclame l’indemnisation doit avoir été découvert pendant la période
d’assurance, cette période antérieure à la découverte du sinistre n’influe pas sur les droits à
couverture. C’est-à-dire que l’événement allégué par l’assuré pour actionner sa garantie doit avoir été
découvert au cours d’une période déterminée dans le contrat d’assurance par les parties. Dans ce cas,
ce n’est pas la survenance du sinistre qui ouvre droit à l’assuré de réclamer l’indemnisation de son
préjudice à son assureur, mais bien la découverte de celui-ci. Aussi faut-il préciser, comme pour tout
sinistre de type Cyber, et non pas uniquement s’agissant de l’atteinte au données personnelles, que le
38
temps nécessaire pour découvrir l’atteinte au système ou la survenance du sinistre peut être long. En
effet, selon le cabinet de conseil en management et en système d’information auprès de clients
grands comptes Solucom19, la durée moyenne pour détecter une attaque ciblée est de 205 jours. Ce
délai particulièrement long, peut alors impliquer une propagation et une aggravation des
conséquences et des effets de cette attaque sur l’activité de l’assuré. Si l’assuré demande
l’indemnisation d’un sinistre survenu durant cette période d’assurance, alors il pourra prétendre au
bénéfice des garanties dont il est couvert.
En pratique, de manière générale cette période s’étend de la date d’effet du contrat à la date
d’échéance qui lui correspond. Une telle disposition contractuelle suppose alors la bonne foi de
l’assuré, qui ne doit pas tarder dans sa déclaration, et faire état de la réalisation d’un risque pour
lequel il est couvert à son assureur dès qu’il en a connaissance. La preuve de la fraude ou de la
mauvaise foi de l’assuré demeure à la charge de l’assureur. C’est notamment le principe qui est
inscrit à l’article L 113-9 du Code des assurances, alinéa 1er, « L'omission ou la déclaration inexacte
de la part de l'assuré dont la mauvaise foi n'est pas établie n'entraîne pas la nullité de l'assurance ».
Cette présomption de bonne foi de l’assuré implique qu’en vertu de l’article 1315, selon lequel «
Celui qui réclame l'exécution d'une obligation doit la prouver. Réciproquement, celui qui se prétend
libéré doit justifier le paiement ou le fait qui a produit l'extinction de son obligation », l’assureur
pour s’exonérer de son obligation contractuelle d’indemniser son assuré doit prouver que celui-ci n’a
pas respecté ses propres obligations.
En outre le refus par l’assureur de prendre en charge les frais réalisés par son assuré ou plus
généralement le refus de procéder à l’indemnisation d’un sinistre s’analyse comme une déchéance de
garantie. L’assuré perd le droit à indemnisation de son sinistre, mais le contrat n’est pas pour autant
rompu. Seule la garantie n’est plus acquise pour le sinistre déclaré frauduleusement.
S’agissant des garanties spécifiques à la protection des données personnelles, on retrouve la
prise en charge des dépenses occasionnées par la mise en place d’un plan de communication afin de
préserver la réputation de l’assuré. Ces dépenses peuvent comprendre les frais d’honoraires d’experts
en relations publiques, d’auditeurs, de conseillers en communication, d’avocats chargés de fournir
une assistance juridique. Les coûts d’enquête afin de déterminer l’origine et les circonstances de
l’atteinte aux données personnelles sont également assurables tout comme les frais de détection et de
contrôle de toute éventuelle utilisation impropre des données.
19 Fiche informative sur https://fr.wikipedia.org/wiki/Wavestone > Consulté le 23/07/2016
39
L’ensemble de ces dépenses est pris en charge non pas parce qu’elles permettent de protéger
les données personnelles ; celles-ci ont d’ores et déjà été altérées, ou au moins atteintes et il ne s’agit
pas non plus de la vocation de l’assurance ; mais parce qu’elles représentent des moyens utiles pour
l’assuré d’éviter l’aggravation de la dégradation de ses intérêts économiques.
De même, peuvent prétendre à indemnisation les dépenses effectuées pour éviter l’altération
de l’image de la réputation telles que la notification d’une atteinte à la confidentialité en dehors de
toute obligation légale ou réglementaire de le faire pour l’assuré, notamment auprès de l’autorité
compétente.
A cet égard, la législation relative à la protection des données personnelles impose cependant
à certains responsables de traitement d’informations qu’ils notifient toutes violations de données à
caractère personnel à la CNIL20. Cette obligation est prévue à l’article 34 bis de la loi 78-17 du 6
janvier 1978 modifiée et ne concerne que les fournisseurs de services de communications
électroniques au public, tels que définis par l'article L. 33-1 du code des postes et des
communications électroniques (exemples : Fournisseurs d'accès à Internet, opérateurs de téléphonie
fixe ou mobile). Ainsi l’article 34 bis de la loi du 6 janvier 1978 modifiée en son « II. » énonce : « en
cas de violation de données à caractère personnel, le fournisseur de services de communications
électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et
des libertés.
Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un
abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé ».
Les dépenses liées à cette obligation légale de notification peuvent également faire l’objet d’une
indemnisation par l’assureur. Néanmoins il convient de prendre en considération l’existence
d’exclusions de garantie qui peuvent affecter cette couverture.
Effectivement, il est possible que l’assureur refuse de couvrir des dépenses de notification
réalisées par son assuré, lorsqu’il parvient à prouver que ce dernier a volontairement violé la
réglementation en vigueur, notamment par un défaut ou un retard de notification à l’autorité
compétente ou aux personnes concernées par l’atteinte aux données à caractère personnel. Dès lors,
l'assuré pour bénéficier de sa garantie doit avoir respecté les obligations qui lui incombent en tant
que responsable du traitement de données personnelles. Notamment, l’assuré doit mettre en œuvre
20 https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles > Consulté le 28/07/2016
40
les mesures nécessaires au respect des dispositions de la loi du 6 janvier 1978 modifiée et mises à
jour de la réglementation européenne.
Pourtant on peut également constater l'existence de garantie ayant pour objet d'indemniser les
sanctions pécuniaires prononcées par une autorité administrative à l'encontre de l'assuré, lorsqu'une
enquête a été instruite à la suite d'une atteinte à la confidentialité des données personnelles.
De telles clauses peuvent nous apparaître comme étant surprenante. D'une part, parce qu'elles
semblent en contradiction, en leur principe, à l'exclusion de garantie que nous venons d'évoquer
quant aux frais de notification. Si l'objet des deux garanties en question n'est pas le même, on peut
toutefois s'interroger sur la logique d'un tel raisonnement. En effet, l'assureur peut refuser de prendre
en charge certaines dépenses faites par son assuré parce qu'il est contrevenu à une réglementation en
vigueur, mais propose cependant de couvrir les frais engagés par ce même assuré s'il venait à faire
l'objet d'une sanction par une autorité administrative. Or en vertu du principe de légalité des peines,
une sanction ne peut être prononcée que parce qu’un texte le prévoit, et les textes ne prévoient pas de
peines pour des comportements en conformité avec la réglementation. Ainsi, il semble alors peu
probable qu’une sanction administrative ait pu être prononcée en l’absence de tout comportement
répréhensible de l’assuré.
Ensuite, il convient de relever qu'une telle garantie soulève la question de l'assurabilité des
sanctions prononcées par des autorités administratives en France. En outre, le débat existe depuis de
nombreuses années et ne semble toujours pas avoir été solutionné de manière définitive.
En effet l'assurabilité des sanctions administratives suppose, comme il a pu être avancé de
passer outre l'article 6 du Code Civil qui dispose qu'on « ne peut déroger, par des conventions
particulières, aux lois qui intéressent l'ordre public et les bonnes mœurs » et l'article 1133 du même
Code selon lequel, « La cause est illicite, quand elle est prohibée par la loi, quand elle est contraire
aux bonnes mœurs ou à l'ordre public ». Or, il peut effectivement sembler qu'une clause contractuelle
qui prévoit l'indemnisation d'une sanction administrative contrevienne à ces deux textes21.
Notamment, un arrêt de la cour d’appel de Paris du 14 février 201222 avait ainsi retenu
comme fondement de son refus d’accorder le caractère assurable à une sanction pécuniaire prononcé
21 La Semaine juridique Entreprise et Affaire n° 10, 5 Mars 2009, 1226. > Consulté le 18/07/2016 22 Cour d’appel de Paris, Pôle 2, Chambre 5, le 14 février 2012 n° 09/06711 https://www.lexisnexis.com/fr/droit/results/docview/docview.do?docLinkInd=true&risb=21_T24576980855&format=GNBFULL&sort=DATE-DECISION,D,H,COURT-SORT,A,H,THEME,A,H&startDocNo=1&resultsUrlKey=29_T24576980859&cisb=22_T24576980858&treeMax=true&treeWidth=0&csi=268081&docNo=1 > Consulté le 13/08/2016
41
par l’Autorité des Marché Financiers (AMF), l’article 6 du Code civil. La cour estimait alors que
l’assurabilité des sanctions formulée par l’AMF chargée de la protection de l’ordre public boursier
était donc contraire à l’objet de l’article 6 du présent Code.
En outre, l’assurabilité d’une sanction pécuniaire prononcée par une autorité administrative
peut sembler être le moyen pour l’assuré de se déresponsabiliser, mais aussi car on peut y déceler
une certaine forme d’atteinte au principe de personnalité des amendes, qui ne peuvent en principe
être acquittées que par l’auteur de l’infraction. Notons que les sanctions dont il s’agit ont un but
répressif et non pas indemnitaire, elles ne peuvent donc être assimilées à des dépenses de
responsabilité civile.
Ce principe peut ainsi être déduis des dispositions de l’article 1er de la loi du 15 août 201423
selon lesquelles « afin d'assurer la protection de la société, de prévenir la commission de nouvelles
infractions et de restaurer l'équilibre social, dans le respect des intérêts de la victime, la peine a pour
fonctions : 1° De sanctionner l'auteur de l'infraction ». Cet article a notamment fait l’objet d’une
intégration au sein du Code Pénal en son article 130-1.
Pourtant, un arrêt de la Deuxième Chambre Civile de la Cour de cassation en date du 14 juin
201224 est venu apporter un certain doute sur le principe de non assurabilité des sanctions prononcées
par une autorité administrative. En effet, dans cet arrêt, la Cour de cassation avait à se prononcer sur
la possibilité pour un assureur de prendre en charge l’indemnisation d’une sanction pécuniaire de
nouveau prononcée par l’AMF, s’agissant d’une espèce relative à la responsabilité d’un dirigeant.
Pourtant, dans son motif de décision, la Cour ne fait état que de l’interdiction absolue d’assurer toute
faute intentionnelle de l’assuré en retenant ainsi « qu'en l'état de ces constatations et énonciations,
faisant apparaître que M. X... avait eu la volonté et la conscience de mettre à la charge de son
propre assureur les conséquences qui résulteraient de ses fautes, la cour d'appel, répondant aux
conclusions par une décision motivée, a pu décider que M. X... avait commis, au sens de l'article L.
113-1 du code des assurances, une faute intentionnelle, incompatible avec l'aléa, excluant la
garantie de son assureur ».
Ce principe d’incompatibilité est ainsi posé à l’article L 113-1 du Code des assurances
comme suit, « Les pertes et les dommages occasionnés par des cas fortuits ou causes par la faute de
l’assuré sont à la charge de l’assureur, sauf exclusion formelle et limitée contenue dans la police. 23 LOI n° 2014-896 du 15 août 2014 relative à l'individualisation des peines et renforçant l'efficacité des sanctions pénales (1) 24 Cour de cassation, civile, Chambre civile 2, 14 juin 2012, 11-17.367, Publié au bulletin https://www.legifrance.gouv.fr/affichJuriJudi.do?idTexte=JURITEXT000026028052 > Consulté le 13/08/2016
42
Toutefois, l’assureur ne répond pas des pertes et dommages provenant d’une faute intentionnelle ou
dolosive de l’assuré ».
En effet la faute intentionnelle de l’assuré en ce qu’elle repose sur l’action volontaire de
l’assuré, fait disparaitre la notion d’aléa, notion qui est le fondement de base du contrat d’assurance,
et qui repose sur l’incertitude de la réalisation d’un risque déterminé. L’assuré qui commet
volontairement un acte de nature à réaliser le risque et créer un sinistre en principe assurable, en
vertu du contrat auquel il est partie, anéantit alors le caractère incertain de ce même contrat. En de
telles circonstances, l’assureur n’est plus tenu à son obligation de couverture du sinistre provoqué par
l’assuré.
Ainsi, en ne fondant sa décision que sur ce seul principe juridique, la Cour de cassation omet
de répondre à la question de l’assurabilité d’une sanction pécuniaire prononcée par une autorité
administrative, en l’occurrence l’AMF. Néanmoins, est-il possible de déduire du silence de la Cour,
son approbation pour l’indemnisation de tels frais ? Il ne semble pas qu’une telle réponse soit
raisonnable, d’abord parce que depuis cette décision, aucun autre arrêt n’est venu conforter cette
position. Mais aussi parce l’ACPR ne semble pas s’être jamais prononcé en faveur d’une telle
solution.
A cet égard, on peut notamment évoquer un avis rendu par l’Autorité de Contrôle et des
Assurances et des Mutuelles (ACAM25), qui était, avant sa fusion avec la Commission Bancaire,
pour former l’ACPR, une autorité administrative indépendante chargée de contrôler l’activité
d’assurance. Dans cet avis, rendu le 2 février 2006, l’ACAM estimait alors, qu’il était « contraire à
l’ordre public que l’assureur prenne en charge les amendes pénales, fiscales, douanières et toutes
autres sanctions pécuniaires prononcées par une autorité administrative ». En ce sens on doit alors
comprendre les polices d’assurance qui proposent la prise en charge des sanctions pécuniaires
comme un engagement de l’assureur d’indemniser son assuré en cas de réalisation d’un sinistre
entrainant une telle sanctions, dans la mesure de l’assurabilité de cette dernière. Autrement dit, en
l’état actuel de la jurisprudence et de la législation il ne s’agit pas pour les assureurs d’un
engagement très contraignant.
Les assureurs qui offrent des assurances des risques Cyber, proposent ainsi une large gamme
de couverture d’assurance de dommages. Ces assurances, en générale scindées en deux volets,
distinguent les couvertures ayant trait à l’indemnisation des sinistres affectant directement le
25 https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_contr%C3%B4le_des_assurances_et_des_mutuelles > Consulté le 19/08/2016
43
patrimoine de l’assuré, les assurances de biens, des couvertures envisageant les garanties de dettes de
responsabilité civile qui aggravent son patrimoine. Les premières comme nous l’avons envisagé, ont
vocation à apporter un accompagnement solide à l’assuré par la prises en charge non seulement des
frais et dépenses engagés à l’occasion de la survenance d’un sinistre, mais aussi en proposant des
services de qualité destinés à aider l’assuré à traverser au mieux les turbulences qu’il connait.
L’ensemble de ces couvertures jouant que l’atteinte soit portée au système informatique exploité par
l’assuré ou aux données à caractère personnel qu’il traite. Enfin la prise en charges de toutes ces
dépenses répond au principe indemnitaire, duquel est déduis l’adage : « tout le préjudice, mais rien
que le préjudice ».
Plus précisément, cette formule trouve sa source dans le corolaire du principe indemnitaire,
qui est celui de la réparation intégrale du préjudice. Ce principe, implique que si l’indemnisation
auquel a droit l’assuré ne doit pas entrainer l’enrichissement de celui-ci, il a tout de même droit à la
réparation complète et entière de tout le préjudice qu’il a subi.
Ce postulat trouve notamment à s’appliquer lorsqu’est mise en jeu la responsabilité civile de
l’assuré ou de l’auteur du fait lui causant un dommage.
Dans ce contexte, les assurances des risques Cyber, proposent également des garanties afin de
couvrir leurs assurés contre les frais, non seulement de défense qu’ils pourraient avoir à engager du
fait d’une réclamation d’un tiers, mais aussi des dépenses que pourrait nécessiter une action en
justice de l’assuré qui allègue avoir subi un dommage du fait d’un tiers et qui en demande réparation
à ce dernier. Pour autant, cette volonté de prendre en charge de nombreuses conséquences de la
réalisation d’un risque Cyber doit pouvoir s’articuler avec un ensemble contractuel et assurantiel déjà
existent.
44
II. Une assurance de dommages globale et
additionnelle
Si le risque Cyber évoque naturellement en premier lieu les attaques malveillantes, les
assureurs entendent également par ce risque, l’ensemble des réclamations, qu’elles proviennent de
clients, de collaborateurs, d’utilisateurs ou de partenaires, auxquelles l’assuré sinistré devra faire
face, suite à une atteinte à son système informatique, ou à la violation de la confidentialité des
données leur ayant causé un préjudice.
Effectivement, en vertu du principe posé à l’article 1382 du Code civil, (futur article 1240
suite à l’ordonnance du 10 Février 2016)26, selon lequel « tout fait quelconque de l’homme, qui cause
à autrui un dommage, oblige celui par la faute duquel il est arrivé à la réparer », combiné avec
l’article 1384 alinéa 1er d’après le quel « chacun est responsable du dommage qu'il a causé non
seulement par son fait, mais encore par sa négligence ou par son imprudence », permet à toute
personne ayant subi un dommage du fait de l’exploitation par l’assuré de données lui appartenant, de
lui demander la réparation de son préjudice. De cette manière, l’assuré peut alors faire l’objet de
réclamations engageant sa responsabilité civile.
Il faut toutefois distinguer cette hypothèse des situations dans lesquelles c’est l’assuré lui-
même qui pourrait engager une procédure à l’encontre du responsable de son dommage afin
d’obtenir de ce dernier réparation de son préjudice. Ainsi, outre les procédures pénale résultant de la
commission de faits délictuels tels que des actes de malveillance, l’assuré peut engager une
procédure civile contre l’auteur de l’atteinte, si celui-ci est connu, afin de lui demander réparation de
son préjudice.
Effectivement, les dépenses effectuées à l’occasion d’une instance en justice pouvant être
nombreuses et importantes, l’assuré peut encore prétendre à la prise en charge de ces frais par son
assureur, au titre de sa couverture de responsabilité civile. Son indemnisation sera alors limitée par le
principe indemnitaire comme pour la mise en œuvre de toute assurance de dommages au sens
26 Ordonnance du 10 Février 2016, n°2016-131 portant réforme du droit des contrats, dont l’entrée en vigueur est prévue selon l’article 9 de ladite loi le 1er Octobre 2016. https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000032004939&categorieLien=id > Consulté le 19/08/2016.
45
général, mais le principe de réparation intégral du préjudice, viendra cependant lui garantir son
complet dédommagement,
Cependant cette assurance des risques Cyber ne doit pas être appréhendée indépendamment
de l’environnement assurantiel de l’assuré. En effet celui-ci peut déjà être titulaire de diverses autres
couvertures d’assurances dommages. Dans un tel contexte, il convient alors pour l’assuré, comme
pour l’assureur de réfléchir et anticiper la combinaison des différents contrats d’assurance dont
dispose l’assuré pour lui garantir une couverture optimale de ses sinistres, sans procéder à
d’éventuels cumuls d’assurance. En effet, l’assurance des risques Cyber, n’est pas une assurance
indépendante en ce sens qu’elle s’inscrit dans un environnement assurantiel plus ou moins dense de
l’assuré. De telle sorte que, l’assuré qui a également souscrit diverses assurances de type dommages
peut alors bénéficier de couvertures qui vont se compléter entre elles (A).
En cas de concurrence entre les différentes assurances dont bénéficie l’assuré, il est nécessaire de
vérifier qu’une garantie différente, assurant le même risque ne couvre pas déjà le sinistre, afin de ne
pas donner lieu à un cumul d’assurance ou à un phénomène de sur-assurance, dont les conséquences
et les implications sont dictées par un régime spécial. Effectivement, une telle situation est souvent
découverte à la suite d’un sinistre, lorsque l’assuré actionne ses garanties. L’anticipation permet alors
d’éviter pour l’assuré de se trouver dans une situation délicate s’agissant de la mobilisation de ses
garanties, alors même qu’il doit faire face à un sinistre. Pour l’aider dans cette réflexion l’assuré,
comme l’assureur ne sont pas seuls et peuvent bénéficier des conseils d’un courtier en assurance, qui
sera leur intermédiaire dans leurs relations contractuelles (B).
46
A. Une assurance de responsabilité civile adéquate et
complémentaire
La responsabilité civile se définissant comme l’obligation de réparer tout dommage causé à
autrui, l’assurance de responsabilité civile est donc l’assurance qui couvre les conséquences
pécuniaires occasionnées par la réalisation d’un dommage causé à autrui. Plus particulièrement elle
garantit à la personne qui bénéficie de l’assurance l’impact financier de la réalisation de ce risque
lorsqu’il y a lieu à une réclamation de la victime.
1) Des garanties fondées sur la réclamation d’un tiers lésé
S’agissant des assurances des risques Cyber, les assureurs peuvent proposer des garanties
ayant pour objet de couvrir leurs assurés pour les frais de défense consécutifs à une réclamation faite
par un tiers à l’encontre de l’assuré, et mettant en jeu la responsabilité civile de ce dernier pour des
faits imputables à une atteinte aux systèmes informatiques de l’assuré ou aux données personnelles
qu’il exploite. Par ailleurs, une réclamation ne revêt pas nécessairement la même définition selon les
différentes polices. C’est donc, en ce qui concerne les assurances une notion contractuelle. Il peut
être requis par certains assureurs une réclamation prenant la forme d’une assignation réalisée devant
un tribunal civil ou administratif, d’une mise en cause amiable ou de tout écris adressé par lettre
(éventuellement recommandée) à l’assuré ou à l’assureur par le tiers qui allègue le préjudice, ou
encore ces trois modes peuvent être admis simultanément.
Ainsi pouvons-nous d’ores et déjà préciser que les garanties qui couvrent la responsabilité
civile de l’assuré, reposent sur une réclamation de la part d’un tiers. De fait, la couverture
d’assurance ne peut être engagée que si l’assuré présente à son assureur une réclamation dont il fait
l’objet par un tiers. Ces polices rédigées selon le système de la base réclamation, imposent à
l’assureur de couvrir toutes les réclamations survenues pendant la période de validité de la police,
quelle que soit la date du fait dommageable. De cette manière, l’assuré qui fait face à une
réclamation de la part d’un tiers pendant la période de validité du contrat, pour un fait s’étant produit
en dehors de la période d’assurance, reste néanmoins couvert par l’assureur. Pour rappel, la période
d’assurance se déroule entre la date de prise d’effet du contrat et la date du premier renouvellement,
puis entre deux échéances consécutives.
47
En outre, certaines polices d’assurance font également référence à la notion de «période
subséquente27 ». Cette période est un délai, qui succède immédiatement à la date de fin du contrat
(que cette fin soit le fait de la suppression du contrat d’assurance, de son expiration ou de sa
résiliation) durant lequel toute réclamation, pour un fait qu’il soit réel ou allégué, commit avant cette
date, peut être introduite à l’encontre de l’assuré.
Autrement dit, une réclamation même communiquée après que le contrat d’assurance ait pris
fin peut faire l’objet d’une prise en charge par l’assureur si elle correspond à un fait dommageable
survenue antérieurement à l’arrêt du contrat d’assurance. En outre, au terme de la loi28, cette période
ne peut être inférieure à 5 ans. Ce délai peut être porté à 10 ans pour les assurances de certaines
professions, comme les constructeurs par exemple, par un décret du 26 novembre 200429 portant
modification des dispositions figurant aux articles R 124 -2, -3 et -4 du Code des assurances.
Concernant les assurances des risques Cyber, le volet responsabilité civile entend, comme
nous l’avons étudié, couvrir l’assuré des conséquences pécuniaires consécutives à une réclamation
introduite par un tiers. Néanmoins, précisons qu’il est impératif que le fondement de cette
réclamation et donc du préjudice allégué par la tierce personne résulte de la réalisation d’une atteinte
informatique ou d’une atteinte aux données à caractère personnel exploitées par l’assuré. En ces
termes, le préjudice subi par le tiers et dont il demande réparation doit avoir été causé par l’une de
ces deux catégories d’atteintes dont a été victime l’assuré.
En l’occurrence, pour que soit reconnue la responsabilité de l’assuré, mis en cause par un
tiers, il faut alors reprendre les critères posés par le droit commun de la responsabilité civile. C’est-à-
dire que doit être caractérisée l’existence de trois éléments :
- Un fait générateur de responsabilité
- Un dommage certain
- Un lien de causalité
De fait, le tiers qui réclame la réparation du préjudice qu’il a subi, devra apporter la preuve de
l’existence de ce préjudice, mais aussi du fait de l’assuré et enfin du lien de causalité entre ces deux
27 http://www.argusdelassurance.com/marches/marketing/la-garantie-subsequente-est-portee-a-dix-ans.29715 > Consulté le 22/08/2016 28 Article 80 de la Loi n° 2003-706 du 1 août 2003 de sécurité financière https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000428977 > Consulté le 09/08/2016 29 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000440483 > Consulté le 09/08/2016
48
derniers éléments, au terme de l’article 1315 alinéa 1er du Code Civil30, d’après lequel « Celui qui
réclame l’exécution d’une obligation doit la prouver ». La responsabilité étant également un lien
d’obligation, en ce qu’il implique un lien juridique entre deux personnes.
Illustrons ce propos par un cas d’école simple. Par exemple, une entreprise qui traite des
données personnelles pour les besoins de son activité, telles que des informations relatives à
l’identité des personnes et leurs données bancaires, est la cible d’une attaque malveillante d’un pirate
informatique, qui conduit à la diffusion de ces données. Dans ce cas, une personne dont les données
bancaires ont été frauduleusement utilisées va pouvoir demander la réparation du préjudice qu’elle a
subi du fait de cette utilisation contre son gré, rendu possible par l’exploitation de ces dernières, faite
par l’assuré. En introduisant une réclamation à l’encontre de l’entreprise, elle devra ainsi prouver
l’existence réelle de son préjudice, c’est à dire qu’elle a bien subi une atteinte à son patrimoine ou à
sa vie privée par exemple. Le tiers réclamant aura aussi à démontrer l’existence de l’atteinte subi par
le responsable des données, autrement dit à son système informatique et les données qu’il contient, et
enfin le lien de causalité entre ces deux faits, à savoir que son dommage résulte directement de cette
atteinte.
L’entreprise, si elle est couverte par une assurance des risques Cyber, pourra appeler son
assureur en garantie des frais qu’elle aura à engager, non seulement du fait même de la réclamation,
c’est-à-dire les frais de défense, mais pourra encore prétendre à l’indemnisation de sa dette de
responsabilité, dans l’hypothèse où sa responsabilité serait reconnue à l’issue de la procédure. En
effet, rappelons que les garanties de responsabilité offertes par les assurances des risques Cyber,
comprennent la prise en charge des frais de défense dite « civile ». De fait, l’assurance n’ayant pas
vocation à garantir le fait intentionnel de l’assuré, les frais de défenses afférents à une procédure
pénale ne font pas l’objet de couvertures d’assurance. Il est ici question de ne pas entraver le principe
de personnalité des peines, l’assuré ne pouvant solliciter son assureur pour s’exonérer des
conséquences pécuniaires d’une mise en cause pénale.
Les frais de défense civile incluent notamment, les frais d’honoraires d’avocats, ou encore les
frais divers liés aux diligences requises au cours de la procédure (tels que les frais d’expertise,
d’instruction ou bien de comparution). Au titre de cette garantie, l’assureur peut en outre offrir un
certain nombre de service comme la mise à disposition de conseillés ou d’avocats. De surcroît, les
garanties des frais de défenses entendent notamment par frais de défense civile, les frais qui résultent 30https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006437767&cidTexte=LEGITEXT000006070721 > Consulté le 07/08/2016
49
d’une procédure tant judicaire (une procédure conduite devant un système judiciaire étatique),
qu’amiable, c’est-à-dire les frais liés à un processus de négociation entre l’assuré, accompagné de
son assureur et la victime ou encore arbitrale (qui est un système de justice privé, dans lequel un
arbitre tranche le litige qui lui est soumis).
Par ailleurs certaines polices d’assurance proposent également de procéder à la prise en
charge des conséquences pécuniaires résultant d’une réclamation fondée sur un certain nombre de
fautes précisément déterminées. Ici encore, selon les assureurs le degré de précision des polices vari,
et lorsque certains assureurs offrent des garanties exprimées en des termes très généraux, d’autres
estiment plus opportun de définir de manière exhaustive les risques qu’ils s’engagent à couvrir. Dans
ce contexte on peut alors rencontrer des contrats d’assurances qui proposent des garanties dites «
multimédia ».
Il s’agit d’une originalité de l’assurance des risques Cyber au regard des assurances de
responsabilité civile qui sont en France construite sur le modèle « tout risque sauf ». Autrement dit,
les assurances de responsabilité civile ont pour caractéristique de définir de manière large l’objet de
la garantie qui est offerte ainsi que les sinistres couverts. Les limites de cette dernières étant posées
par les exclusions de garantie.
Pourtant, ces garanties « multimédia » ont pour objet de prendre en charge les frais de
responsabilité civile de leur assuré lorsque ce dernier a rendu possible la commission des fait fautifs
tels que la diffamation, la calomnie, la violation d’un droit d’auteur, le plagiat, un piratage ou encore
l’usurpation d’identité ayant causé à autrui un dommage du fait de la reproduction, de la
communication ou de publication d’information numérisées par l’assuré. Dans ce type de garantie,
l’assuré doit avoir commis des faits, non intentionnellement, limitativement énumérés dans une liste
exhaustive.
Rappelons à cet égard que seules les fautes non intentionnelles peuvent faire l’objet d’une
garantie, la faute intentionnelle étant inassurable. Ces variantes des assurances de responsabilité
civile ont pour effet d’apporter un complément afin d’embrasser une multitude de potentialités de
sinistres en lien avec les risques Cyber. L’assureur prendra en charge les conséquences pécuniaires
résultant de réclamations provenant de tiers, lorsque l’assuré s’est livré à l’une des pratiques ci-
dessus, involontairement, du fait de l’exploitation de systèmes informatiques.
De surcroit, l’assuré qui dispose d’une assurance des risques Cyber, peut également être
bénéficiaire d’assurances de responsabilité plus générales par leur objet.
50
2) Des garanties complémentaires avec la responsabilité professionnelle de l’assuré
Effectivement, à l’occasion de toutes activités professionnelles, associatives ou d’autres
natures encore, une personne peut être exposée à divers risques du fait même de l’exercice de cette
activité.
Ainsi, dans le but de garantir leurs assurés des conséquences pécuniaires de réclamations
provenant de tiers, les assureurs proposent de nombreuses couvertures de responsabilité civile. Il
convient notamment de préciser que les assurances proposées pour contrer leurs effets sont largement
plébiscitées par les professionnelles, c’est-à-dire pour l’assuré qui tient à couvrir son activité
professionnelle. Dès lors, dans le cadre de l’exercice de leur activité, les professionnels peuvent déjà
avoir souscrit des assurances couvrant les risques inhérents à leur profession.
Les assurances contre les risques Cyber ont donc cette particularité, qui leur est inhérente, à
savoir qu’elles ont vocation à venir compléter des contrats d’assurances préexistants et souscrits par
l’assuré. Toutefois ces derniers peuvent également venir palier une éventuelle carence de la police
d’assurance contre les risques Cyber.
Notamment il peut s’agir d’assurances garantissant les biens acquis, détenus ou loués par le
professionnel - les assurances de biens - mais il peut aussi s’agir d’assurance couvrant les dettes de
responsabilité du professionnel. Ces couvertures de responsabilité civile peuvent avoir pour objet
diverses classes de risques spécifiques. De telle sorte que l’on peut distinguer les assurances :
- de responsabilité civile professionnelle,
- de responsabilité civile d’exploitation,
- de responsabilité civile liée à la fraude.
Ces différentes assurances ont comme point commun de couvrir l’assuré des conséquences
pécuniaires consécutives à la réalisation d’un sinistre couvert. Ces polices entendent de manière
générale la notion de sinistre comme un dommage causé à un tiers, engageant la responsabilité de
l’assuré auteur du fait dommageable et donnant lieu à une réclamation par ce tiers. En effet le point
de départ de la mise en jeu de la couverture résulte, ici aussi, d’une réclamation de la part d’un tiers
lésé, telle que nous l’avons définie précédemment.
51
S’agissant de la responsabilité civile professionnelle, elle a vocation à garantir à l’assuré le
paiement des conséquences pécuniaires d’une réclamation d’un tiers, fondée sur une faute
professionnelle, une erreur, une omission ou une négligence commise par l’assuré lui-même ou par
un préposé dont l’assuré est responsable. A ce titre, cette couverture peut alors être invoquée comme
un complément à la prise en charge complète du dommage subi par l’assuré du fait d’une atteinte à
son système informatique. Il est de fait possible que l’assurance des risques Cyber exclu les erreurs
humaines de programmation, de développement ou de mise en place de programmes informatiques
par exemple. En ce cas, l’assuré couvert par une assurance de responsabilité civile professionnelle
pourra alors voir les frais engagés à l’occasion du sinistre consécutif à un fait dommageable propre
ou provenant de l’un de ses préposés pris en charge.
La notion de préposé s’entend par ailleurs de toute personne physique agissant sous la
direction, les ordres et la surveillance de l’assuré en l’occurrence. Autrement dit, il doit être
caractérisé un lien de subordination31 entre l’assuré qui appelle la garantie de son assureur et la
personne de laquelle émane l’erreur.
Dans le cadre de cette assurance, sont notamment pris en charge les frais afférents à la
défense civile de l’assuré. Ces frais sont les frais engagés à l’occasion d’une procédure civile
judiciaire, amiable ou encore arbitrale, selon les dispositions contractuelle. L’assureur remboursera
en cas de sinistre ces dépenses, réalisées par son assuré, à la suite d’une réclamation émanent d’un
tiers.
A ce titre, l’erreur, l’omission ou la négligence commise par un préposé de l’assuré, fait
l’objet de la garantie en ce qu’elles sont constitutives d’une faute professionnelle de ce préposé. En
ce sens la faute professionnelle constitue donc le fait dommageable, nécessaire au prononcer de la
responsabilité civil de l’assuré du fait de ses préposé.
Ce type de garantie, pour laquelle l’assuré est en outre assuré pour le fait d’autrui, découle
notamment de l’existence d’un lien de responsabilité expressément reconnu, dans la lettre de l’article
1384 du Code civil. Ainsi, ledit texte dispose : « On est responsable non seulement du dommage que
l'on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on
doit répondre, ou des choses que l'on a sous sa garde. […]
31
Au sens de l’arrêt Soc., 1er
décembre 2005, Bull. 2005, V, n° 349 https://www.courdecassation.fr/publications_26/mensuel_droit_travail_2230/bulletin_droit_travail_2008_2779/travail_3_2963/ > Consulté le 18/08/2016
52
Les maîtres et les commettants, du dommage causé par leurs domestiques et préposés dans les
fonctions auxquelles ils les ont employés ; ».
Le commettant, responsable du fait de ses préposés, une couverture d’assurance lui
permettant d’être couvert contre les dettes de responsabilité qui peuvent naitre à l’occasion de ce lien
de subordination semble essentiel. L’assuré, dont l’un des préposés aurait commis une erreur ayant
entrainé une atteinte informatique pourra alors, même en cas d’exclusion de garantie au sein de son
assurance des risques Cyber, voir les conséquences de la réalisation du sinistre prises en charge par
son assurance de responsabilité civile professionnelle.
En outre, l’assurance de responsabilité civile professionnelle en tant qu’assurance de
dommage, répond des mêmes possibles exclusions de garanties. En effet, nous employons le terme «
possibles », du fait de la large place faite à la liberté contractuelle en matière de garantie d’assurance.
Dès lors, si certains risques ne peuvent jamais être couverts, comme la faute intentionnelle ou
dolosive de l’assuré, celle commise par le préposé de l’assuré peut en revanche être garantie, selon
les stipulations contractuelles.
Au regard de ce développement, on peut alors constater les limites des assurances des risques
Cyber, malgré la largesse de leur champ d’application. De fait, si les assureurs entendent couvrir un
nombre important de risques et garantir leurs conséquences pécuniaires, il n’en demeure pas moins
que tous les préjudices pouvant résulter d’une atteinte informatique ne peuvent être garantis. Il est
donc indéniable que l’assurance des risques Cyber est une assurance qui doit être envisagée comme
une assurance spécifique, complémentaire et non indépendante. Il s’agit de renforcer les chances
d’indemnisation totale du préjudice subi par l’assuré du fait de la survenance d’un sinistre.
Néanmoins, il est toutefois possible que la police d’assurance comporte des limites de garantie32. Ces
limites négociées entre l’assuré et l’assureur peuvent résulter des déclarations faites par l’assuré
relativement à son risque, en ce qu’il estime ne pas être exposé à un risque dont le montant pourrait
dépasser une certaine somme. En outre ces limites de garantie constituent également un périmètre
aux capacités financières que l’assureur devra mobiliser pour prendre charge la réalisation d’un
sinistre couvert au titre de ladite police.
Les assureurs peuvent également proposer des couvertures de responsabilité, ayant pour objet
de prendre en charge les conséquences pécuniaires résultant de toute réclamation introduite par un
tiers, fondée sur un fait dommageable imputable à l’assuré dans l’exercice de son activité, ou du fait
32
http://www.assureur-conseil-en-ligne.fr/dictionnaire-assurance/limites-de-garantie.html > Consulté le 18/08/2016
53
du produit ou service fournis. Dès lors, la responsabilité de l’assuré peut encore être recherchée du
fait des biens qu’il détient, ou est propriétaire ou locataire.
En ce sens on peut évoquer les garanties de responsabilité civile d’exploitation dites « avant
livraison ou réception » et celles dites « après livraison, réception, ou achèvement de la prestation ».
Il s’agit alors de couvrir l’assuré lui-même ainsi que ses préposés pour les fautes, erreurs omissions
ou négligences commises à l’occasion de l’exercice même de l’activité ou encore l’assuré du fait de
biens ou choses qu’il a fournis et contractuellement déterminés. Ces garanties peuvent, de la même
manière que l’assurance de responsabilité civile professionnelle apporter un complément de prise en
charge du sinistre subi par l’assuré en cas d’atteinte informatique, lorsque l’assurance des risques
Cyber ne couvre pas certains frais ou certains risques.
Par ailleurs, une couverture garantissant l’assuré contre les faits frauduleux de ses préposés,
ou bien même de tiers, c’est-à-dire l’assurance couvrant la fraude, peut encore être mobilisée, lors de
la survenance d’une atteinte informatique résultant d’un fait volontairement frauduleux subi par
l’assuré. En effet, toutes les polices d’assurance des risques Cyber ne couvrent pas nécessairement
l’assuré contre la fraude d’un tiers ou d’un préposé de l’assuré, or ce dernier peut par ailleurs être
assuré pour ce risque. Les actes considérés comme frauduleux peuvent être des faits de vol,
d’escroquerie, ou encore d’abus de confiance.
Une assurance de responsabilité civile du fait de la fraude d’un préposé ou d’une personne
dont l’assuré est civilement responsable peut en ce cas venir palier en partie une carence de
l’assurance des risques Cyber. En outre, les assurances contre la fraude, ont encore pour objet de
garantir l’assuré des dommages qu’il subit à cause de fait frauduleux émanant de tiers. En ce cas, il
est alors possible que les dommages subis par l’assuré du fait de l’atteinte informatique soient pris en
charge par l’assurance contre la fraude, et que la police couvrant les risques Cyber vienne indemniser
les frais de défense civile de l’assuré qui intente une action contre l’auteur de l’atteinte par exemple.
Par ailleurs, si évoquer les assurances des risques Cyber renvoie souvent à l’idée de couvrir
des professionnels pour l’exercice de leur activité, ou de tout autre type d’entité, les particuliers aussi
peuvent désormais souscrire des assurances ayant pour vocations de protéger leurs intérêts en cas
d’atteinte numérique subie par ce dernier. En effet la population utilise de plus en plus d’objets
informatiques et numériques connectés tels que des téléphones, ordinateurs, ou encore des tablettes
dont l’utilisation engendre la circulation de nombreuses données personnelles et financières. Dès
lors, les risques liés à cette utilisation croissent également, et chacun peut à présent faire l’objet
54
d’usurpation d’identité, de détournement de données personnelles ou d’atteinte à l’image numérique
(aussi appelée « l’e-reputation »).
Cyril Leclerc, Directeur de la stratégie et du développement Chez Allianz Protection Juridique,
énumère ainsi les risques de dénigrement, de rumeur, et évoque la diffusion de fausse information ou
la propagation d’avis négatifs dans un entretien accordé pour la revue « L’Argus de l’assurance »33. Il
fait également état du nombre grandissant d’utilisations frauduleuses de données bancaires. Autant
de risques dont les conséquences pour les particuliers peuvent être indemnisées. Nous pouvons, à
titre d’exemple retenir les garantie proposées après le groupe allemand Allianz, dont Monsieur
Leclerc nous donne un aperçu : « L’assurance de protection juridique, c’est une mise en relation
avec des juristes compétents qui savent comment intervenir et agir rapidement : saisir le juge en
urgence, faire appel à un huissier spécialisé dans la collecte de captures d’écran sur Internet qui ont
valeur de preuve, rappeler les moteurs de recherche à leurs obligations de droit à l’oubli ou encore
enfouir des données. De plus, ces procédures pouvant être très couteuses, nous prenons en charge
tout ou partie des frais de justice (honoraires d’experts, d’huissiers, d’avocats) ». Cette description
des services offerts dans le cadre de la prise en charge d’un sinistre de type Cyber révèle que les
assureurs proposent un niveau de garantie aussi complet s’agissant des garanties de responsabilité
civile pour les particuliers que pour les entreprises.
Ainsi, les assurances des risques Cyber ne peuvent, comme de nombreuses autres couvertures
d’assurance s’appréhender de manière totalement indépendante et autonome. En effet, qu’elles
prennent la forme de couverture « à péril dénommé » ou « tout risque sauf », il demeure des
occurrences de sinistre qui ne sont couverts ou dont la totalité des conséquences pécuniaires ne
peuvent faire l’objet d’une prise en charge par l’assureur des risques Cyber. Un environnement
assurantiel, auprès du même assureur ou d’assureurs différents peut alors être un remède à la
réalisation d’un risque pour l’assuré.
Ainsi, les garanties d’assurance peuvent apporter un complément d’indemnisation pour
l’assuré en ce qu’un sinistre non assurable au titre de la police couvrant les risques Cyber, peut l’être
par un autre contrat d’assurance. Cet effet de complémentarité pouvant aussi être constaté lorsqu’a
été admis l’existence de limites de garantie au sein du contrat d’assurance. Ces limites prennent la
forme d’une somme négociée et convenue entre les parties, que l’indemnisation ne pourra dépasser.
De cette manière, l’assuré maitrise le coût des primes ou cotisations qu’il doit à son assureur, mais de
33
http://www.argusdelassurance.com/acteurs/compagnies-bancassureurs/cyber-risques-allianz-protection-juridique-fait-le-buzz.97362 > Consulté le 25/07/2016
55
ce fait limite le montant de l’indemnisation à laquelle il pourra prétendre en cas de survenance d’un
sinistre. L’assureur limite alors son engagement.
Néanmoins il faut être vigilent sur le risque de cumul d’assurance. En effet, une situation
dans laquelle plusieurs couvertures d’assurance se superposent simultanément peut affecter le
principe indemnitaire. Ainsi, ce principe selon lequel seul le préjudice réellement subi par l’assuré
doit être pris en charge, implique que l’indemnisation n’est pas un moyen d’enrichissement pour ce
dernier.
Afin d’éviter toute difficulté en ce sens et de parvenir à la mise en place d’une couverture
efficace, l’assuré peut faire appel aux services d’un courtier, spécialisé dans les opérations
d’assurance, chargé de lui prodiguer conseils et expertises. Le courtier endosse, en outre, le rôle
d’intermédiaire entre l’assuré et l’assureur, et voient dans ce domaine, s’accroitre l’ampleur de sa
fonction.
B. Le recours à un courtier d’assurance, comme remède au
risque de cumul d’assurance
Lorsqu’une personne assurée bénéficie de plusieurs contrats d’assurance, même ayant pour
objet principal des couvertures contre des risques distincts, peuvent toutefois comporter des
garanties concurrentes ou cumulatives entre elles. Dès lors il est indispensable pour l’assuré,
lorsqu’il projette de se prémunir contre les risques Cyber, de se montrer vigilant sur cet aspect relatif
à la détention d’un ensemble assurantiel.
1) Le cumul d’assurance, un risque en lui-même ?
Le cumul d’assurance et la sur-assurance sont des situations particulières envisagées par le
Code des assurances qui leur consacre un régime particulier. Si ces deux phénomènes ne peuvent se
produire uniquement s’agissant d’assurance de dommages, c’est-à-dire d’assurance de biens et
56
d’assurance de responsabilité, il convient en tout premier lieu de les distinguer. Cette dernière est la
situation dans laquelle un « contrat d’assurance a été consenti pour une somme supérieure à la
valeur de la chose assurée » selon l’article L 121-3 alinéa 1er du Code des assurances. Contrairement
au cumul d’assurance, la sur-assurance ne peut résulter que de la souscription d’un contrat unique
dont l’objet est la garantie d’un intérêt ou d’une chose pour une valeur supérieure à sa valeur réelle.
Le cumul d’assurance est lui caractérisé d’après l’article L 121-4 alinéa 1er du Code des
assurances lorsqu’une personne est assurée « auprès de plusieurs assureurs, par plusieurs polices,
pour un même intérêt, contre un même risque ». Plus précisément, il faut d’abord que soit
caractérisée une pluralité de polices d’assurance auprès de plusieurs assureurs. De surcroit, ces
différentes polices d’assurance doivent être amenées à être mobilisées de manière simultanée. Cette
situation dans laquelle un même sinistre peut entrainer la mobilisation de plusieurs contrats peut
effectivement porter atteinte au principe indemnitaire, seulement si est aussi constater l’identité de
risque. C’est-à-dire que les contrats doivent avoir pour objet de prémunir l’assuré contre la même
menace, le même fait dommageable. En outre les critères énoncés par le Code des assurances sont
cumulatif, autrement dit, le cumul d’assurance ne peut être établi que si tous les critères sont remplis.
Ainsi, outre l’existence de plusieurs assureurs en jeu, il faut également que le risque couvert
soit le même dans les différents contrats d’assurance. Ce risque peut alors s’entendre d’une identité
d’évènements couverts, ou d’une identité de chose pour les assurances de biens. Est par ailleurs
associé à l’identité de risque, l’identité d’intérêt, c’est-à-dire que le bénéficiaire des différentes
polices d’assurance doit être le même. En effet il ne peut y avoir d’atteinte au principe indemnitaire
que si une seule et même personne à vocation à profiter des différentes indemnités, provoquant alors
possiblement son enrichissement. A ce titre la jurisprudence a également ajouté un nouveau critère
par une série de trois arrêts34 provoquant alors un revirement de jurisprudence, en estimant tous trois
que « les dispositions de l’article L 121-4 du Code des assurances relatives au cumul d’assurances
ne sont applicables que si un même souscripteur a souscrit auprès de plusieurs assureurs des
contrats d’assurance, pour un même intérêt et contre un même risque ».
34 Cass. 1re civ., 21 nov. 2000 ; Cass. 1re civ., 29 oct. 2002 ; Cass. 2e civ., 17 févr. 2005. M. ASSELIN, “ASSURANCE DE DOMMAGES – Règles générales – Objet du contrat : risques et valeurs garantis », JURIS CLASSEUR, 17 janvier 2016 https://www.lexisnexis.com/fr/droit/search/runRemoteLink.do?bct=A&risb=21_T24580342369&homeCsi=268030&A=0.14101396068634187&urlEnc=ISO-8859-1&&dpsi=00AP&remotekey1=DOC-ID&remotekey2=272_EG_CA0_621272FASCICULEEN_1_PRO_373270&service=DOC-ID&origdpsi=00AP&chunkLNI=5HX6-R6J1-DY59-7183-00000-00&homeCsi=268030 > Consulté le 11/08/2016
57
Dès lors que cette situation est caractérisée et que l’existence de tous les critères a pu être
établie, l’article L 121-4 du Code des assurances impose qu’elle soit portée à la connaissance de
chacun des assureurs par l’assuré bénéficiaire des différentes polices d’assurance. Cette obligation de
déclaration est posée à l’article L 121-4 alinéa 2 du Code des assurances, qui n’impose toutefois pas
de forme particulière à cette dernière. Simplement l’assuré souscripteur doit faire part à l’ensemble
des assureurs du nom des autres assureurs avec lesquels il a souscrit pour le même risque et préciser
le montant des sommes assurées par les différents contrats. A ce titre l’article susvisé précise
également que cette déclaration doit être réalisée « immédiatement », c’est-à-dire dès qu’il a
connaissance du cumul. Autrement dit, dès la souscription de la seconde police qui entraine par sa
conclusion une situation d’assurance cumulative.
Par ailleurs, seul le cumul d’assurance frauduleux est sanctionné. Dès lors que la situation
résulte d’une négligence ou d’une omission de la part de l’assuré bénéficiaire des assurances en
cause, ce dernier aura droit à l’indemnisation de dommage en cas de survenance d’un sinistre. En ce
cas, l’article L 121-4 alinéa 4 du Code des assurances énonce que chacune des couvertures
d’assurance souscrite « produit ses effets dans les limites des garanties du contrat et du respect des
dispositions de l’article L 121-1, quelle que soit la date à laquelle l’assurance aura été souscrite ».
Rappelons à cet égard que l’article L 121-1 du présent Code défini et impose l’application du
principe indemnitaire, selon lequel l’assurance ne peut jamais être l’occasion d’un enrichissement
pour l’assuré. La répartition entre assureurs mobilisés de la charge de l’indemnisation se fait de
manière ultérieure et n’est pas opposable à l’assuré.
En revanche lorsque l’assuré a souscrit des assurances cumulatives intentionnellement et de
manière frauduleuse, l’article L 121-4 alinéa 3 du Code des assurances prévoit que ce sont les
sanctions de l’article L 121-3 du même Code qui sont applicable, à savoir la nullité des contrats
d’assurance. Ainsi les contrats d’assurances concurrents sont annulés, l’assuré ne peut prétendre à
aucune indemnisation au titre du sinistre qu’il subit, et les assureurs ont encore la possibilité de
réclamer des dommages et intérêts.
Il est donc essentiel lors de la conclusion d’un contrat d’assurance des risques Cyber, pour
l’assuré, de bien connaitre et bien comprendre l’ensemble des garanties dont ils bénéficient et de
s’assurer que son environnement assurantiel ne comprenne pas déjà de telles garanties.
58
Cet enjeu représente d’ailleurs un frein potentiel à la souscription d’assurance des risques
Cyber selon Didier Seigneur35, Directeur des risques financiers pour la France et le Benelux d’AIG
(American International Group), un réseau mondial d’assurance dommage et responsabilité, qui
explique que les assurances dites « doublons » (lorsqu’il existe un cumul d’assurance) peuvent
arriver « puisqu’en France la RC [les contrats d’assurance de responsabilité civile] est tout risque
sauf ». En effet, dès lors que les polices d’assurance de responsabilité civile sont construites selon le
modèle « tout risque sauf » à savoir que le risque est très largement défini dans le contrat et ce sont
les exclusions de garantie qui en délimitent le périmètre, le risque de cumul d’assurance peut être
plus élevé.
Le sinistre couvert étant largement entendu, il est alors d’autant plus probable qu’une autre
assurance envisage la garantie d’un même risque même si l’objet de cette dernière est différent, ou
plus précis. Si d’un point de vue purement juridique ce phénomène constitue une situation anormale,
pour les assurés il s’agit surtout d’un enjeu financier. En effet, la crainte des potentiels assurés
réticents réside dans le fait de payer deux primes différentes pour une même couverture.
Pourtant Jimaan Sané, souscripteur chez l’assureur Beazley, également sollicité par
l’AMRAE36 estime lui que le risque et le marché du Cyber risque sont tout à fait distincts et affirme
que « la RC intervient uniquement suite à la réclamation d’un tiers alors que la police Cyber,
notamment en prise en charge de la gestion de crise, intervient bien avant. Et quoi qu’il en soit, les
polices classique de RC ne sont pas dimensionnées pour traiter le Cyber risque ». Les assureurs ont
un effort certain de communication à réaliser afin d’éveiller leur potentielle clientèle d’assurance des
Cyber risques.
La mise en place d’une assurance des risques Cyber est donc un processus complexe, tant du
fait des couvertures d’assurance offertes en elles-mêmes, mais aussi eu égard à leur articulation avec
d’autres couvertures qu’elles soient des garanties de responsabilité civile ou encore des assurances de
biens. En effet, on peut également évoquer le fait que certaines couvertures assurant les biens de
l’assuré peuvent aussi entrer en concurrence avec l’assurance des risques Cyber.
Ainsi, si l’assurance des risques Cyber excluait la prise en charge des conséquences
pécuniaires d’une atteinte résultant d’un dommage matériel affectant le matériel informatique de
l’assuré, une assurance de type « tout risque informatique » ou « multirisques informatique », 35 Intervention dans un article de Astride_Marie PIRSON. « Cyber risk : un marché en développement mais qui manque de maturité ». l’Atout Risk Manager, La Revue de l’AMRAE n° 7 de Décembre 2015 36 Intervention dans un article de Florence PUYBAREAU. « Cyber risk : un marché en développement mais qui manque de maturité ». l’Atout Risk Manager, La Revue de l’AMRAE n° 7 de Décembre 2015
59
pourrait, elle envisager l’indemnisation des dommages immatériels consécutifs à un dommage
matériel. Les assurances susmentionnées ayant pour objet de garantir les atteintes aux matériels
informatiques déclarés et couverts dans la police. Il s’agit alors de la situation dans laquelle l’assuré
est en capacité de prouver que le dommage immatériel qu’il subit (comme la perte d’exploitation ou
l’atteinte à la réputation par exemple) résulte directement d’un dommage atteignant le matériel
informatique assuré. De nouveau, on peut constater un phénomène d’inter-complémentarité entre
l’assurance des risques Cyber et un ensemble d’autres garanties d’assurance. A cet égard, Xavier
Leproux 37 , responsable Cyber chez l’assureur Chubb estime qu’il est « probable que sous la
pression, notamment des réassureurs, les contrats évoluent assez vite, en RC comme en dommages,
avec un certain nombre d’exclusions pour clarifier les textes et éviter les doublons ».
Dans un tel contexte, l’assuré qui souhaite se prémunir des conséquences de la réalisation
d’un risque de type Cyber, en souscrivant une assurance spécifique peut nécessiter pour sa totale
connaissance de l’engagement qu’il entend contracter un certain nombre d’informations.
Or, le marché des risques Cyber, outre le fait qu’il est aujourd’hui encore, en cours de
maturation, est principalement destiné à une clientèle professionnelle. Cette dernière est en effet
beaucoup plus exposée que les particuliers concernant le traitement et l’exploitation de données et de
systèmes informatisés, mais aussi et surtout s’agissant des conséquences pécuniaires. Il ne fait aucun
doute que le montant du préjudice subi du fait d’une atteinte informatique, même s’il demeure
actuellement encore complexe à déterminer, peut atteindre des sommes très importantes. En effet, les
sinistres de type Cyber constituent des sinistres d’intensité et non de masse. C’est-à-dire que si, au
regard d’autre assurance leur volume en nombre de sinistre déclaré par an est moins élevé, le cout de
ce dernier est en revanche beaucoup plus important. Ainsi, dès 2012, le coût moyen d’un incident
consécutif à un défaut de sécurité informatique dans une entreprise était estimé à 2, 86 millions de
dollars, selon une étude menée par Symantec, une société américaine spécialisée dans les logiciels
informatiques et Ponemon Institute, un institut indépendant de recherche dans le domaine de la
protection informatique.
Face à un risque de cette ampleur, l’assureur doit être en capacité d’offrir une couverture
solide et apte à garantir un ensemble de conséquences potentiellement très élevées. Les capacités
financières des assureurs devant être particulièrement haute, et ce d’autant plus si l’entité qu’il
s’apprête à assurer est une grande entreprise ou une grande société qui traite et gère des données
hautement sensibles. Il n’est alors pas rare que dans ce domaine, il soit recouru à la réassurance.
37 Maude-Marie THOMAS. « Dossier : Le risque Cyber ». L’Argus de l’Assurance du 1er juillet 2016 (n° 7464)
60
Dans ce cas l’assuré ne souscrit qu’une seule police auprès d’un seul assureur, qui lui se charge
ultérieurement, et sans opposabilité possible à l’assuré, d’assurer tout ou partie du contrat. Il peut
encore être procédé à la co-assurance, qui est mécanisme dans le quel plusieurs assureurs se
répartissent la charge des sinistres éventuels, de manière contractuelle. Pour cette opération, un des
membres de la co-assurance est désigné comme étant celui qui traitera directement avec l’assuré, qui
lui n’aura alors qu’un seul interlocuteur ; l’apériteur.
Aussi, les assurances des risques Cyber ont un cout économique pour l’assuré. En effet, afin
d’être couvert l’assuré devra verser des primes à l’assureur dont le montant peut s’avérer
relativement élevé. Néanmoins, il existe des solutions pour l’assuré qui souhaite optimiser sa
situation et sa maitrise de ce risque.
2) Le courtier en assurance, un atout dans le processus contractuel
Dans le but d’obtenir les meilleures garanties possibles mais à des conditions tarifaires
optimales, il peut être intéressant pour le potentiel futur assuré de recourir aux services d’un courtier
en assurance. En effet, comme nous l’avons étudié précédemment, le courtier, en assurance, en
l’occurrence, a un devoir de conseil auprès de ses clients.
Le courtier en assurance, est un intermédiaire en opération d’assurance dont le statut est
défini en fonction de l’activité qu’il exerce. Ainsi, l’article L 511-1 du Code des assurances définit
l’intermédiation d’assurance en son alinéa 1er, comme « l’activité qui consiste à présenter, proposer
ou aider à conclure des contrats d’assurance ou de réassurance ou à réaliser d’autres travaux
préparatoires à leur conclusion ». L’alinéa 2ème du même article précisant qu’est un intermédiaire
toute personne qui se livre à ces activités, contre rémunération. Le courtier d’assurance est donc un
intermédiaire entre ses clients que sont les assurés, et des assureurs qui se proposent de couvrir un ou
plusieurs risques contre lesquels les assurés entendent se prémunir. Le choix de l’assureur est
effectué par l’assuré, au regard des conseils fournis par le courtier.
Le courtier d’assurance est alors considéré comme exerçant une activité commerciale (selon
l’article L 110-1, 7° du Code de commerce), et est obligé de s’inscrire au Registre du Commerce et
des Sociétés pour cette activité de courtage (article R 511-2 du Code des assurances) qui est un
registre tenu par le greffe du tribunal afin de recenser l’ensemble des sociétés et commerçants. Le
courtier, en tant qu’intermédiaire en opération d’assurance est également tenu de se faire enregistrer
61
auprès de l’ORIAS38 qui est le registre unique des intermédiaires en Assurance, Banque et Finance
(au terme de l’article L 512-1 du Code des assurances). Ce registre a notamment pour vocation de
s’assurer du respect par les intermédiaires en opération d’assurance (mais aussi en opération
bancaire), des conditions d’honorabilité et de capacité professionnelle. L’ORIAS est également tenu
de contrôler que l’intermédiaire bénéficie d’une responsabilité professionnelle en adéquation avec
son activité, et que ce dernier respecte les conditions de capacité financières, nécessaire au bon
exerce de ses fonctions.
En effet, comme nous l’avons évoqué antérieurement, le courtier est tenu d’une obligation de
conseil39 auprès de ses clients, mais aussi de mise en garde. Autrement dit, le courtier est tenu de
prendre en considération les attentes de ses clients, mais aussi de procéder à une analyse technique
des besoins et des capacités de ses clients, qu’il doit confronter avec les produits et formules
proposées sur le marché par les assureurs40. Le devoir de mise en garde implique en outre que le
courtier soit tenu d’exprimer un avis sur l’opportunité de l’opération envisagé par son client l’assuré.
A cet égard la Cour de cassation41 précise que même lorsque le client du courtier n’est pas profane en
la matière ou est un professionnel, le devoir de conseil ne peut se résumer à la remise d’une notice
d’information. Nous pouvons à cet égard rappeler les sanctions prononcées par l’ACPR42 s’agissant
de l’exercice correct de ce devoir de conseil qui incombe au courtier.
Le courtier doit alors avoir un rôle actif dans le processus de souscription entrepris par son
client et lui délivrer une prestation de qualité, sous peine de voir sa responsabilité engagée. Toutefois,
le client ne pourra pas prétendre à une quelconque obligation de la part du courtier au titre de la
garantie dont serait titulaire ce dernier de la conclusion effective d’un contrat. Autrement dit, le
courtier n’est pas le garant de la conclusion d’un contrat projeté, et son client ne peut lui reprocher de
ne pas avoir souscrit avec le cocontractant proposé par le courtier. Ce principe découle ainsi d’une
jurisprudence ancienne, dont le principe n’a pas été remis en cause depuis43.
Mais si le courtier est tenu à un devoir de conseil et de mise en garde auprès de son donneur
d’ordre assuré, il n’en demeure pas moins que la principal obligation à sa charge est de parvenir à 38 Fiche descriptive des activités de l’ORIAS : https://www.orias.fr/documents/13705/16521/2013-05-27-%20INTERMEDIAIRES%20EN%20ASSURANCES.pdf > Consulté le 25/08/2016 39
http://www.lefigaro.fr/assurance/2012/06/01/05005-20120601ARTFIG00525-pourquoi-passer-par-un-courtier-en-assurance.php > Consulté le 16/08/2016 40
Philippe GUEZ « Contrat de courtage ». Jursiclassuer. Fasc 850. Du 1er
février 2012. 41
Cass. 2ème
civ., 7 juill. 2011 N° 10-21.719, 1419 42
ACPR Commission des Sanction du 20 juillet 2015 VAILLANCE COURTAGE Procédure no 2014-11 https://acpr.banque-france.fr/fileadmin/user_upload/acp/publications/registre-officiel/20150721-Decision-commission-sanctions-Vaillance-Courtage.pdf 43
Cass. Req., 17 déc. 1929
62
trouver un ou des partenaires à son client. Ensuite, il devra encore procéder à la mise en relation de
son donneur d’ordre et des potentiels partenaires afin que ces derniers puissent procéder en cas
d’accord à l’opération juridique projetée. Le courtier d’assurance devient alors un jalon essentiel du
processus de souscription d’assurance des risques Cyber.
Et notamment dans cette matière, comme nous l’avons souligné ci-dessus, les conséquences
pécuniaires pouvant s’élever à des montants très importants une confrontation des offres du marché
va alors bénéficier à l’assuré. Mais également, le courtier peut encore jouer le rôle d’interface de
communication, lorsque du fait des capacités financières très important requise pour la couverture de
ce type de risque, plusieurs assureurs sont partie à l’opération d’assurance.
En outre, si le contrat d’assurance envisagé requiert que soit mis en place un mécanisme
impliquant plusieurs assureurs, le courtier va alors pouvoir coordonner les différentes propositions
émises auprès de l’assuré, afin que celui-ci bénéficie de l’information la plus complète tout en ne
traitant qu’avec un seul intermédiaire. Ce d’autant que les police d’assurance peuvent parfois
présenter des garanties obscures. C’est pourquoi certains cabinets de courtage en assurance ont eu
l’idée de proposer leur propre texte, proposé à l’adhésion à des assureurs et soumis aux assurés qui
souhaitent souscrire une assurance des risques Cyber.
Cette innovation proposée par le groupe international Marsh, spécialiste du domaine de
l’assurance des risques Cyber, est évoquée par Luc Vignancourt, directeur adjoint Finpro & Risques
Spéciaux chez Marsh France dans le dossier « Le risque Cyber » de l’Argus de l’assurance du 1er
juillet 2016. Elle est de fait un exemple probant du rôle grandissant des courtiers et cabinets de
courtage en la matière. Il s’avère en effet qu’une parfaite maitrise et connaissance approfondie des
risques par ceux-ci, comme des garanties qui existent permet de proposer de meilleurs contrats tout
en attirant l’attention de l’assuré donneur d’ordre sur les écueils d’une police ou d’une autre.
Notamment, le courtier, à l’écoute des besoins de son client l’assuré, va pouvoir distinguer et
étudier les besoins réels de ce dernier, en fonction des informations qui lui ont été transmises. Il
s’agit alors de déterminer le risque réel qu’encourt le client, les éventuelles mesures préventives qui
peuvent être mobilisées, au regard de la cartographie des risques qui lui a été communiquée par le
service compétent de l’assuré. Après quoi, les couvertures indispensables à la préservation des
intérêts de l’assuré vont pouvoir être délimitées, le courtier étant alors chargé d’attirer l’attention de
son interlocuteur sur des points de vigilance essentiels tels que la possibilité que l’assuré souscrive
une assurance qui comporte des garanties déjà existante dans l’environnement assurantiel de l’assuré.
63
Par ailleurs, le courtier n’est pas qu’un simple intermédiaire entre son client et les
cocontractants qu’il lui présente au moment de la conclusion d’un contrat. En effet, le courtier en
assurance peut avoir une véritable place de partenaire auprès de son client et lui fournir des
prestations de gestion44, à la fois des contrats mais aussi des risques à son client. Ainsi la relation qui
peut naitre entre un assuré potentiel et un courtier en assurance est une relation qui est amenée à
perdurer dans le temps, puisque les deux protagonistes entretiennent des liens tout au long de la vie
du contrat né grâce à l’entremise du courtier.
Dans ce cas, la relation entre un courtier en assurance et son client doit reposer sur la
confiance mutuelle, l’assuré, client bénéficiant d’un véritable allié.
44
http://www.grassavoye.fr/le-groupe/le-role-du-courtier-20092.html > Consulté le 23/08/2016.
64
Conclusion
Au cours de nos développements, nous avons pu découvrir que face à l’intensification tant en
volume qu’en technicité des menaces de type informatique et numérique, c’est-à-dire communément
selon l’anglicisme les « Cyber-risques », les assureurs ont entrepris de mettre en place des
couvertures d’assurance adaptée à ce nouveau risque.
En outre, les Cyber-risque ont notamment pour effet de porter atteinte lorsqu’ils se réalisent
aux intérêts pécuniaires et financiers de sa victime. Dès lors, c’est naturellement que les assureurs
ont mis au point des assurances dites de dommages, c’est-à-dire des assurances ayant pour vocation
de protéger les intérêts économiques de l’assuré.
En ce sens il s’agit d’abord de proposer une base adéquate, en relation avec le risque traité,
composées de diverses garanties relevant d’assurance dites aux biens. L’assureur étant alors mobilisé
pour prendre en charge un ensemble de dépenses permettant de mettre fin à la réalisation du sinistre,
sa propagation et d’en parer les effets. De surcroît, l’assureur peut également offrir un certain nombre
de service à son assuré afin que les intérêts patrimoniaux de ce dernier soient préservés et conservent
le plus possible leur intégrité.
Par ailleurs, nous avons également pu constater, qu’au sein même de ses garanties
« dommages aux biens », la législation, tant nationale, qu’européenne, relative à la protection des
données personnelles, particulièrement menacées par la Cybercriminalité, imposait sa marque. De
fait, les assureurs portent une attention toute particulière aux obligations et aux conséquences qui
découlent, pour l’assuré des dispositions en la matière, et proposent de nouveau un accompagnement
adapté. Cependant, les assurances contre les risques Cyber, soulèvent parfois quelques interrogations
notamment s’agissant de l’assurabilité des sanctions prononcées par une autorité administrative,
faisant alors espérer une réponse définitive et non équivoque de la part de la Haute Juridiction qu’est
la Cour de cassation ou de l’ACPR elle-même.
« Adaptation ». Ce terme est probablement celui qui qualifie le mieux la volonté des assureurs
des risques Cyber. En effet, ces derniers tendent à offrir des garanties dont l’objet est de combler les
lacunes d’éventuels contrats d’assurance d’ores et déjà ouverts à la souscription sur le marché. Et qui
entendent couvrir des risques beaucoup plus communs.
65
Pour ce faire, les contrats d’assurance contre les risques Cyber garantissent également la
responsabilité civile de l’assuré, dont le patrimoine pourrait être affecté. Ces garanties entendent
couvrir tant les conséquences pécuniaires résultant d’une dette de responsabilité civile que les frais
engagés par l’assuré pour se défendre. Ici encore, outre un soutien financier (accordé contre paiement
de prime), de l’assuré, celui-ci peut également proposer un accompagnement plus intense et offrir
des services, notamment des prestations juridiques à son assuré.
Si tout utilisateur, exploitant ou responsable du traitement de données numérique peut
désormais bénéficier d’une assurance efficace et adapté à un risque bien particulier, il n’en demeure
pas moins que toute son attention doit être requise lors de la souscription d’un tel contrat. En effet,
comme nous l’avons développé, il réside un certain risque, en ce que l’assuré est toujours couvert par
d’autres contrats qui préexistent à l’assurance contre les risques Cyber. Dès lors, cette nouvelle
police ne doit pas devenir l’occasion pour l’assurer de souscrire de nouvelles garanties, au
demeurant, relativement onéreuses, pour des risques contre lesquels il est finalement déjà couvert. Ce
cumul d’assurance place alors l’assuré dans une situation délicate puisque ce dernier paie pour un
service qui ne pourra peut-être pas lui être fourni en raison du principe d’indemnitaire.
Dès lors, l’assuré lors de la souscription de ces nouveaux contrats (à l’échelle de l’histoire des
assurances) doit se montrer vigilent. En outre, sa vigilance peut encore être attirée par une tierce
personne au contrat d’assurance, qu’est le courtier en assurance. Ce professionnel du domaine
assurantiel a pour rôle de rendre possible la conclusion du contrat par la présentation des parties entre
elles. Mais le rôle du courtier ne s’arrête pas à une simple fonction d’intermédiaire en opération
d’assurance. Il est également un conseillé de ses clients à qui il doit des renseignements et
informations clairs et adaptés à leurs besoins.
Par ailleurs, le rôle du courtier s’affirme particulièrement s’agissant des assurances contre les
risques Cyber, du fait des caractéristiques même du risque à couvrir. Le courtier devient pour ses
clients un véritable partenaire.
L’étude des Cyber-risques, constitue, sauf pour les quelques polices destinées à des
particuliers qui éclosent actuellement, une tâche principalement à destination des services
d’assurance des risques d’exploitation de toute entreprise qui souhaite se prémunir contre ce type de
risque. En effet, il revient à chaque entité d’identifier et quantifier son potentiel de risque afin de
prendre toutes les mesures nécessaires et adéquates. S’agissant des risque Cyber, ce dernier étant
relativement récent et les outils assurantiels mis à disposition par les assureurs l’étant encore
66
également, il semble alors que comme le titre l’AMRAE dans son numéro 7 de décembre 2015 de
l’Atout Risk Manager, La Revue de l’AMRAE :
« Cyber risk : un marché en développement mais qui manque de maturité ».
67
Bibliographie
Ouvrages et manuels :
- Philippe MALAURIE, Laurent AYNES, Philippe STOFFEL-MUNK. « Droit des obligations ». 7ème
Edition. LGDJ, Lextenso édition. 2016
- François TERRE, Philippe SIMLER, Yves LEQUETTES. « Droit civil, Les Obligations ». 11ème
édition. PRECIS Dalloz.
Revues :
- Argus de l’assurance. N° 7466 – 7467. 15 juillet 2016
- Argus de l’assurance N°7466 – 7464. 1er juillet 2016
- Atout Risk Manager, La revue des professionnels du risque et de l’assurance n° 7 Trimestriel.
Décembre 2015
Articles :
- Arnaud TESSALONIKOS. « 3 Question : Entreprise et prévention des risques numériques ». La
semaine juridique Entreprise et Affaires n°47. 19 novembre 2005.
- Eric. A. CAPRIOLI. « Les notifications des données à caractère personnel et le droit : des questions
en suspens ». Communication, commerce électronique n°5. Mai 2010.
- Pierre LECLERC. « Chronique n°9. Un an d’application de la légalisation « informatique et
libertés » ». Communication, commerce électronique. N° 10. Octobre 2007.
68
- Merav GRIGUER. « Le CIL et la gouvernance des données personnelles ». Cahier du droit des
entreprises. N°1. Janvier 2015.
- Merav GRIGUER. « Anticiper ses nouvelles obligations légales pour protéger les données
personnelles dans l’entreprise ». Cahier du droit des entreprises. N°2. Mars 2012.
- Franck CONROY, sous la direction de Laurent CYTERMANN. « L’encadrement du « bid data » et la
protection des droits fondamentaux ». La Revue des juristes de Science Po. N°10. Mars 2015.
- Maud ASSELAIN. « Règles générales – Objet du contrat – risques et valeurs garantis ».
Jurisclasseur. Fasc. 10-10. 17 janvier 2016.
- Daniel. LANGE. « Intermédiaires d’assurance – règles particulières aux courtiers ». Jurisclasseur.
Fasc. 640. 16 Février 2016.
- « INFORMATIQUE. – Données à caractère personnel. – Introduction générale et champ
d'application de la loi "Informatique et libertés". JurisClasseur Administratif. Fasc. 274-10. 30 juillet
2014.
- Matthieu BOURGEOIS. « Réforme européenne des données personnelles : le nouveau partage de
responsabilité entre les acteurs d'un traitement ». La Semaine Juridique Entreprise et Affaires n° 22. 2
Juin 2016, 1328
- Mickaël ROBART, Alban FRÉNEAU. « Les sanctions pécuniaires à la limite de l'assurabilité ». 16
novembre 2012.
Documents officiels :
- Code Civil
- Code des assurances
- Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (Version
consolidée au 21 juillet 2016)
- Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection
des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre
circulation de ces données. Journal officiel n° L 281 du 23/11/1995 p. 0031 – 0050
69
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 27 avril 2016
- Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à
caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
(règlement général sur la protection des données)
- COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN conformément à
l'article 294, paragraphe 6, du traité sur le fonctionnement de l'Union européenne concernant la
position du Conseil sur l'adoption d'un règlement du Parlement européen et du Conseil relatif à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la
libre circulation de ces données (règlement général sur la protection des données) et abrogeant la
directive 95/46/CE
- COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN conformément à
l'article 294, paragraphe 6, du traité sur le fonctionnement de l'Union européenne concernant la
position du Conseil sur l'adoption d'une directive du Parlement européen et du Conseil relative à la
protection des personnes physiques à l'égard du traitement des données à caractère personnel par les
autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de
poursuites en la matière, ou d'exécution de sanctions pénales, et à la libre circulation de ces données,
et abrogeant la décision-cadre 2008/977/JAI du Conseil
- Recommandations du CEPD relatives aux options de l'UE en matière de réforme de la protection des
données. OJ-C 301 du 12.09.2015, p. 0001 – 0008 (Numéro CELEX 52015XX0912(01)). Journal
Officiel du 12 septembre 2015 - Numéro C301 - Page 0001 - acte juridique original -.
Cours universitaires :
Grégoire DUPONT. Cour de droit es intermédiaires en opération de banque et d’assurance, année 2015-2016.
Pierre-Grégoire MARLY. Cour de droit approfondi du contrat d’assurances, année 2015-2016.
Céline Béguin. Cour de droit des assurances de dommages et Cours de droit des assurances d’exploitation,
année 2015-2016.
Sitographie :
70
https://www.service-public.fr/particuliers/vosdroits/F3049
http://www.argusdelassurance.com/reglementation/analyse/devoir-d-information-et-de-conseil-ce-qu-il-ne-
faut-pas-faire.100863
https://acpr.banque-france.fr/fileadmin/user_upload/acp/publications/registre-officiel/20150721-Decision-
commission-sanctions-Vaillance-Courtage.pdf
http://www.lemonde.fr/technologies/infographie/2007/10/08/les-differents-types-de-
cyberattaques_964581_651865.html
http://www.unedic.org/article/employeurs-et-salaries-secteur-prive-et-public-concernes-par-l-assurance-
chomage
https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles
http://www.sofras-conseil.com/upload/File/brochures-assurances/Assurance-Pertes-Exploitation.pdf
http://www.groupama.com/fr/notre-modele/strategie-2014-2018/culture-de-lefficacite/
https://www.orias.fr/documents/13705/16521/2013-05-27-
%20INTERMEDIAIRES%20EN%20ASSURANCES.pdf
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000028738036&categorieLien=id
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000441676
https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006437767&cidTexte=LEGIT
EXT000006070721
http://www.lefigaro.fr/assurance/2012/06/01/05005-20120601ARTFIG00525-pourquoi-passer-par-un-
courtier-en-assurance.php
http://www.argusdelassurance.com/marches/marketing/la-garantie-subsequente-est-portee-a-dix-ans.29715
https://www.courdecassation.fr/publications_26/mensuel_droit_travail_2230/bulletin_droit_travail_2008_277
9/travail_3_2963/
http://www.assureur-conseil-en-ligne.fr/dictionnaire-assurance/limites-de-garantie.html
71
Autres documents :
Divers contrats et propositions de polices d’assurance mis à disposition dans le cadre de mon stage.
Principales abréviations :
G2S. Groupama Supports et Service
ACPR. Autorité de Contrôle Prudentiel et de Résolution
AMRAE. Association Management des Risques et des Assurances de l'Entreprise
C. Ass. Code des assurances
CESDH. Convention de sauvegarde des droits de l'Homme et des libertés fondamentales
CNIL. Commission Nationale de l’Informatique et des libertés
AMF. Autorité des Marchés Financiers
ACAM. Autorité de contrôle des assurances et des mutuelles
72
Table des matières :
Remerciements ...................................................................................................................... 4
Table des matières.................................................................................................................................. 5
Un groupe centenaire : ......................................................................................................... 7
Valeurs et engagements du groupe : .................................................................................... 9
La structure du groupe : ..................................................................................................... 10
Activité du groupe : ........................................................................................................... 11
L’assurance des risques d’exploitation : ............................................................................ 12
Bilan du stage : .................................................................................................................. 15
Introduction ......................................................................................................................... 17
I.L’assurance des risques Cyber, une assurance de dommages aux biens avant tout ... 24
A.Un important socle d’assurance aux biens, au service des garanties contre les Cyber-risques ...... 25
1)La délimitation incontournable du risque .............................................................................. 25
2)Des garantis adaptées aux risques qu’elles couvrent ............................................................. 28
B.Des garanties originales, déduites du l’enjeu actuel de protection des données personnelles ...... 34
1)Un régime singulier de protection accordé aux données personnelles ................................. 35
2)Un régime de protection retranscrit dans les assurances contre les risques Cyber .............. 37
II.Une assurance de dommages globale et additionnelle ................................................. 44
A.Une assurance de responsabilité civile adéquate et complémentaire ............................ 46
1)Des garanties fondées sur la réclamation d’un tiers lésé ....................................................... 46
2)Des garanties complémentaires avec la responsabilité professionnelle de l’assuré .............. 50
B.Le recours à un courtier d’assurance, comme remède au risque de cumul d’assurance 56
1)Le cumul d’assurance, un risque en lui-même ? .................................................................... 57
2)Le courtier en assurance, un atout dans le processus contractuel ........................................ 62
Conclusion ............................................................................................................................ 66
Bibliographie........................................................................................................................ 69
Table des matières : ............................................................................................................. 74