La Lopmi et l’indemnisation des pertes et dommages liés à une attaque cyber
La loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur (Lopmi) est venue encadrer l’indemnisation des pertes et dommages causés par une attaque cyber. Cette indemnisation est désormais subordonnée au dépôt d’une plainte. Quelles sont les conséquences pour les entreprises ?
72 heures chrono
Le nouvel article L.12-10-1 du code des assurances entré en vigueur le 24 avril 2023 prévoit que : « Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime. »
Cette disposition ne concerne que les personnes physiques et morales victimes d’une atteinte à un système de traitement automatisé de données dans le cadre de leur activité professionnelle.
Le texte a évolué très sensiblement depuis l’article 5 du projet de loi initial qui conditionnait uniquement le remboursement des cyber-rançons au dépôt d’une plainte dans un délai de 48 heures après le paiement de cette rançon.
Désormais, le texte ne vise plus explicitement la rançon, mais l’ensemble « des pertes et dommages » visés dans le contrat d’assurance et pouvant être indemnisés à la suite d’une cyberattaque, et a étendu le délai pour le dépôt de plainte à 72 heures après avoir eu connaissance de l’attaque.
Les conséquences de cette nouvelle disposition pour les entreprises ayant contracté une assurance cyber sont nombreuses.
En effet, pour voir couverts notamment leurs pertes d’exploitation, frais de remédiation et, a priori, le montant de la rançon qu’elles décideraient de payer, la loi les contraint à une formalité dont la méconnaissance est lourdement sanctionnée puisque la conséquence est la perte du droit à indemnisation.
La loi contraint les entreprises à une formalité dont la méconnaissance est lourdement sanctionnée puisque la conséquence est la perte du droit à indemnisation.
Étant précisé que cette disposition ne paraît pas pouvoir être écartée par une stipulation contractuelle contraire.
Par conséquent, les entreprises doivent, dans les 72 heures de la connaissance du sinistre, déposer plainte afin d’éviter la sanction prévue par la loi. Ce délai de 72 heures est le même que celui préexistant de la déclaration à la Commission nationale de l’informatique et des libertés (Cnil) en cas de violation de données à caractère personnel, cette absence de déclaration à la Cnil étant assortie de sanctions pécuniaires pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
La victime d’une attaque cyber doit donc, alors qu’elle subit les affres de la restauration de son système d’information et de la perte de ses données, impérativement respecter ce délai de 72 heures afin d’éviter de se voir déchoir de son droit à indemnisation et sanctionnée par la Cnil.
…
Ce contenu est accessible sur abonnement. Déjà abonné ?
Besoin d’informations supplémentaires sur les abonnements ? Contactez-nous !