La Lopmi et l’indemnisation des pertes et dommages liés à une attaque cyber
La loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’Intérieur (Lopmi) est venue encadrer l’indemnisation des pertes et dommages causés par une attaque cyber. Cette indemnisation est désormais subordonnée au dépôt d’une plainte. Quelles sont les conséquences pour les entreprises ?
72 heures chrono
Le nouvel article L.12-10-1 du code des assurances entré en vigueur le 24 avril 2023 prévoit que : « Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime. »
Cette disposition ne concerne que les personnes physiques et morales victimes d’une atteinte à un système de traitement automatisé de données dans le cadre de leur activité professionnelle.
Le texte a évolué très sensiblement depuis l’article 5 du projet de loi initial qui conditionnait uniquement le remboursement des cyber-rançons au dépôt d’une plainte dans un délai de 48 heures après le paiement de cette rançon.
Désormais, le texte ne vise plus explicitement la rançon, mais l’ensemble « des pertes et dommages » visés dans le contrat d’assurance et pouvant être indemnisés à la suite d’une cyberattaque, et a étendu le délai pour le dépôt de plainte à 72 heures après avoir eu connaissance de l’attaque.
Les conséquences de cette nouvelle disposition pour les entreprises ayant contracté une assurance cyber sont nombreuses.
« La loi contraint les entreprises à une formalité dont la méconnaissance est lourdement sanctionnée puisque la conséquence est la perte du droit à indemnisation. »
En effet, pour voir couverts notamment leurs pertes d’exploitation, frais de remédiation et, a priori, le montant de la rançon qu’elles décideraient de payer, la loi les contraint à une formalité dont la méconnaissance est lourdement sanctionnée puisque la conséquence est la perte du droit à indemnisation.
Étant précisé que cette disposition ne paraît pas pouvoir être écartée par une stipulation contractuelle contraire.
Par conséquent, les entreprises doivent, dans les 72 heures de la connaissance du sinistre, déposer plainte afin d’éviter la sanction prévue par la loi. Ce délai de 72 heures est le même que celui préexistant de la déclaration à la Commission nationale de l’informatique et des libertés (Cnil) en cas de violation de données à caractère personnel, cette absence de déclaration à la Cnil étant assortie de sanctions pécuniaires pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires mondial.
La victime d’une attaque cyber doit donc, alors qu’elle subit les affres de la restauration de son système d’information et de la perte de ses données, impérativement respecter ce délai de 72 heures afin d’éviter de se voir déchoir de son droit à indemnisation et sanctionnée par la Cnil.
Le dépôt de la plainte
Cette plainte peut être déposée dans tous les commissariats ou gendarmeries par un représentant de la société ou une personne dûment habilitée, ou par lettre plainte adressée au procureur territorialement compétent, à savoir celui du ressort du lieu de commission de l’infraction, qui sera le plus souvent le parquet dont dépend le siège social de la société victime.
La plainte pourra également être déposée en ligne lorsque l’application « ma sécurité » sera mise en place par deux décrets du Conseil d’État qui devraient intervenir dans le courant de l’année 2023.
Afin d’éviter toute contestation relative à la découverte de l’attaque, nous conseillons de joindre à la plainte, et de les conserver, tous documents permettant d’en justifier, et de faire établir par un huissier spécialisé un constat qui sera également joint au dépôt de plainte.
On soulignera enfin que si le projet de loi se bornait à viser originellement le « paiement d’une rançon », le texte, qui a finalement été adopté par le législateur, fait référence aux « pertes et dommages » causés par l’attaque. On s’accorde à considérer que le choix de cette expression vise à donner à la disposition une portée plus large englobant non seulement le montant de la rançon payée, mais aussi les autres possibles conséquences de l’atteinte, telles que les pertes d’exploitation et les coûts de remédiation.
Article extrait du n° 596 de Face au Risque : « Plan de continuité d’activité : mode d’emploi » (octobre 2023).
Valérie Lafarge-Sarkozy
Avocate associée chez Advant Altana
Lætitia Daage
Avocate conseil chez Advant Altana
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…
À lire également