Cyberattaque : Le dépôt d’une plainte dans les 72 heures devient obligatoire pour être indemnisé d’une cyberattaque par son assureur
A compter du 24 avril 2023, l’indemnisation d’un assuré des pertes et dommages causés par une cyberattaque sera subordonnée au dépôt d’une plainte par la victime, dans les 72 heures après sa découverte de l’incident.
La loi n°2023-22 du 24 janvier 2023 d'orientation et de programmation du ministère de l'intérieur intègre cette nouvelle obligation pour les victimes d’une cyber-attaque au sein de l’article L. 12-10-1 du code des assurances comme suit :
« Le versement d'une somme en application de la clause d'un contrat d'assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d'une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l'atteinte par la victime ».
Cette obligation est limitée uniquement aux professionnels, personnes morales ou physiques. Ce court délai de 72 heures s’explique notamment par la volonté du législateur de permettre aux autorités compétentes de disposer rapidement de toutes les informations nécessaires afin de poursuivre les auteurs de l’infraction.
Cette obligation de notification couvre les différentes atteintes à un système de traitement automatisé de données (STAD) telles que mentionnées aux articles 323-1 à 323-3-1 du code pénal à savoir :
-
Le fait d’accéder ou de se maintenir dans tout ou partie d’un tel système ;
-
Le fait d’entraver ou de fausser le fonctionnement d’un tel système ;
-
Le fait d’introduire frauduleusement des données dans un tel système, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient ;
-
Le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions précitées.
La loi n°2023-22 du 24 janvier 2023 va de pair avec des obligations croissantes en matière de cybersécurité. Le délai de 72 heures est d’ailleurs déjà celui applicable pour notifier la CNIL en cas de violation de données personnelles susceptible d’entrainer un risque pour la vie privée des personnes concernées. Dans la même lignée, la directive NIS 2 crée de nouvelles obligations en matière de cybersécurité.
Il faudra porter une attention particulière à la négociation de vos contrats d’assurance notamment sur les obligations pesant sur vous en matière de déclaration de sinistre.