Mémoire de stage L’assurance des risques Cyber, une ...cyberdoc.univ-lemans.fr/.../M2/Assurance_Banque/M2_DRO_16_LEM.pdf · 1 MANON LEMEE. UFR Droit, Economie et Gestion. Master

1

MANON LEMEE

UFR Droit, Economie et Gestion

Master 2 mention Droit des Affaires, spécialité Assurance Banque

Année Universitaire 2015/2016

Rapport de Stage

Mémoire de stage : L’assurance des risques Cyber, une assurance ambitieuse en

maturation

Enseignant Référent : Céline Béguin

Soutenance en date du 6 septembre 2016

Stage réalisé au sein du service de l’Assurance des Risques d’Exploitation

2

3

Engagement sur l’honneur contre le non plagiat

4

Remerciements

Je tiens tout d’abord à remercier Monsieur Pierre Grégoire MARLY et Madame Céline Bé-

guin de m’avoir accueilli au sein du Master 2 Professionnel mention Droit des Affaires spécialité

Assurance Banque, à l’Université du Maine. Je remercie plus particulièrement mon enseignant réfé-

rant pour son accompagnement et ses précieux conseils.

Je souhaite remercie l’ensemble des intervenants que j’ai eu la chance de rencontrer tout au

long de mon cursus, pour leur enseignement, leurs conseils ainsi que leur disponibilité.

J’adresse tous mes remerciements à Monsieur Sylvain Fonck, pour m’avoir fait confiance en

m’intégrant dans son équipe afin que je puisse réaliser mon stage, ainsi que pour son accompagne-

ment et son dévouement.

Je souhaite adresser ma reconnaissance à Madame Naïla Pavie pour sa bienveillance et sa pé-

dagogie. J’apprends ainsi beaucoup des richesses du métier de l’assurance des risques

d’exploitations, grâce à mon équipe et sa volonté de me transmettre son savoir.

Je remercie enfin l’ensemble de toutes les personnes qui concourent à faire de mon stage une

expérience extrêmement profitable.

5

Table des matières

Sommaire :

Remerciements ...................................................................................................................... 4

Table des matières.................................................................................................................................. 5

Un groupe centenaire : ......................................................................................................... 7

Valeurs et engagements du groupe : .................................................................................... 9

La structure du groupe : ..................................................................................................... 10

Activité du groupe : ........................................................................................................... 11

L’assurance des risques d’exploitation : ............................................................................ 12

Bilan du stage : .................................................................................................................. 15

Introduction ......................................................................................................................... 17

I.L’assurance des risques Cyber, une assurance de dommages aux biens avant tout ... 24

A.Un important socle d’assurance aux biens, au service des garanties contre les Cyber-risques ...... 25

B.Des garanties originales, déduites du l’enjeu actuel de protection des données personnelles ...... 34

II.Une assurance de dommages globale et additionnelle ................................................. 44

A.Une assurance de responsabilité civile adéquate et complémentaire ............................ 46

B.Le recours à un courtier d’assurance, comme remède au risque de cumul d’assurance 56

Conclusion ............................................................................................................................ 66

Bibliographie........................................................................................................................ 69

Table des matières : ............................................................................................................. 74

6

Rapport de stage

7

PRESENTATION DE L’ENTREPRISE

Un groupe centenaire :

Groupama est le fruit d’une construction plus que centenaire qui débute le 22 décembre 1840,

lors de la création de la première mutuelle agricole locale « Incendie » par les agriculteurs à Mions

dans le Rhône.

Grâce à la loi du 4 juillet 1900 permettant le déploiement, en France, du mutualisme agricole,

un cadre juridique particulier est ainsi conféré aux Caisses d’Assurances Mutuelles Agricoles

(A.M.A). A cette époque la richesse nationale était largement tributaire de l’activité agricole et il est

alors apparu essentiel de créer un système de protection de cette activité. En 1908, la première caisse

régionale est créée à Lyon.

En 1986, Groupama est fondé. Il fusionne les entités suivant : l’AMA, la SAMDA (qui cou-

vrait alors les dommages non agricoles), la SORAVIE (Société des Organisations Agricoles pour

l’Assurance Vie), et SOREMA. Groupama est alors parfaitement adapté au nouveau modèle écono-

mique, bien moins agricole et peu ainsi s’ouvrir au marché financier, notamment à l’international.

Groupama développe alors une activité d’assurance complète et propose en 1987, le PAP

(Plan d’Assurance des Particuliers) qui est le premier contrat global d’assurance pour toute la fa-

mille. En outre, en 1995, les AMA sont autorisées à assurer des non-agriculteurs.

Animé par une volonté d’expansion et de renforcement, Groupama acquiert le Gan, qui était à

ce moment le 4ème assureur français, à l’issu d’une procédure de privatisation, et devient le 2ème assu-

reur français.

Afin de proposer une gamme de produit toujours plus variés et de répondre aux besoins di-

vers leurs ses clients, Groupama s’allie en 2001 à la Société Générale afin de créer Groupama

Banque, une entité habilité à distribuer des produits bancaires aux clients Groupama. En 2003, l’offre

bancaire est généralisée à l'ensemble des caisses régionales.

En 2003, le Groupe Groupama s’engage dans un programme d’évolution des structures autour de

trois acteurs majeurs : Groupama SA (Société Anonyme), Groupama, Groupama Holding.

8

Par ailleurs, les années 2006 et 2007 sont marquées par une forte croissance de l’activité à

l’international, dont l’acquisition de filiales en Espagne, en Turquie, en Italie et Royaume-Uni sont la

preuve.

En juillet 2008 la marque Amaguiz est créée et devient une filiale du groupe spécialisée dans

l’assurance directe, c’est-à-dire dans la distribution de produits d’assurance à distance, par internet

ou par téléphone.

Un accord est signé entre Groupama et AVIC (Aviation Industry Corporation of China) afin de

développer l’activité d’assurance non vie ne République Populaire de Chine en 2009.

Depuis 2011, il est à noter que le groupe Groupama met un point d’honneur au respect de la ren-

tabilité et de la satisfaction client. Cette priorité découle notamment de la constations des effets de la

crise financière et notamment sur l’activité bancaire du groupe qui s’est trouvée impactée par la con-

joncture économique négative. En 2013 un programme stratégique met en avant quatre axes repré-

sentant les atouts du groupe et sur lesquels il est important de façonner l’image de Groupama. Ces

quatre leviers sont :

- La satisfaction client : un niveau de satisfaction des clients doit être élevé pour chacun des

marchés du groupe qui souhaite fidéliser ces derniers en leur faisant bénéficier d’une relation

de confiance.

- Un développement rentable : il s’agit pour le groupe d’améliorer sa maitrise des métiers du

groupe.

- Une culture de l’efficacité : le groupe s’engage à offrir une qualité de service optimal aux

clients, en adéquation avec des coûts maitrisés de fonctionnement, assurée par un contrôle ef-

ficace.

- Des collaborateurs engagés : le groupe fort de ses 33 500 collaborateurs a à cœur de déve-

lopper et d’adapter les compétences de chacun d’eux afin qu’ils puissent offrir les meilleures

prestations possibles, dans un cadre de vie au travail de qualité.

Ces engagements pris par Groupama sont les reflets des valeurs intemporelles du groupe qui se veut

être un partenaire au quotidien de ses clients en leur prodiguant des conseils utiles, fruits d’une expé-

rience forte.

9

Valeurs et engagements du groupe :

Groupama, est le troisième assureur français en assurance de biens et de responsabilité en

20141. Acteur important du domaine assurantiel, le groupe repose sur une implantation très locale,

dans un souci permanent de proximité avec les clients, et de perpétuation d’une tradition ancienne.

En outre son large réseau de caisses locales et régionales qui sont la base de l’organisation mutualiste

du groupe permet d’établir cette proximité notamment avec les sociétaires, chère à Groupama, qui

revendique quatre principaux engagements :

- Une responsabilité étendue en tant qu’employeur : Outre une volonté forte de représenter

un assureur de confiance auprès de ses clients, Groupama entend également promouvoir la

diversité et le progrès au sein même de ses relations sociales avec ses collaborateurs. Ainsi,

une politique de responsabilité a été mise en place et tend à développer l’égalité profession-

nelle, la qualité de vie au travail, la non-discrimination et l’emploi des personnes handica-

pées. Pour atteindre ces objectifs afin de connaitre au mieux l’engagement de ses collabora-

teurs, Groupama a ainsi élaboré un baromètre de satisfaction.

- Agir en partenaire de ses clients et sociétaires : Groupama s’est au fil de son histoire cons-

truit autour d’entités spécialisées dans des domaines aussi diverses que le soutient à

l’entreprenariat, à la mobilité, la gestion d’une protection sociale durable, l’assistance, ou en-

core la gestion d’actifs. Une incitation aux comportements responsables, une maitrise tech-

niques des collaborateurs, soutenues par une gestion performante des organes décisionnels

permet au groupe de fournir des prestations de qualités.

- Développement des territoires et progrès de la société civile : l’organisation décentralisée

de Groupama lui assure une proximité optimale auprès de ses clients et sociétaires, mais aussi

avec les élus sociaux. Le groupe œuvre de cette manière au soutien de l’économie collabora-

tive et la Fondation Groupama pour la santé remet chaque année un prix de l’innovation so-

ciale.

- Agir pour la préservation de l’environnement : outre la volonté de participer à l’économie

sociale, Groupama engage de nombreuses actions dans le but de réduire l’impact environne-

1 Selon un classement de l’Argus de l’Assurance.com (en partenariat avec Mazars) http://www.argusdelassurance.com/acteurs/special-comptes-2015-le-top-20-france.101967 > Consulté le 11/08/2016.

10

mental de ses activités. Pour ce faire le groupe mène une politique interne d’économie des

énergies et des ressources, mais aussi, auprès de ses clients, Groupama encourage aux com-

portements « écoresponsable » à travers des initiatives originales.

La structure du groupe :

Groupama est un groupe fondé sur un important réseau de caisses locales et régionale et fonc-

tionne grâce à la combinaison de ses différentes filiales, sous la gouvernance de Groupama SA.

Les 3200 caisses locales que compte le groupe assurent la communication et l’échange avec les

300 000 sociétaires qui participent chaque année aux assemblées générales de ces caisses.

Groupama compte également neuf caisses régionales en France métropolitaine, deux caisses

en outre-mer et deux caisses spécialisées dans des activités particulières. Les caisses sont avant tout

des entreprises d’assurance mutualistes agréée, qui dispose de ce fait de leurs propres réseaux de

commerciaux et de salariés au service de la relation clients. Par ailleurs, les caisses régionales assu-

rent également un service de réassurance auprès des caisses locales. Afin de conduire au mieux une

activité efficace et coordonnée les caisses régionales peuvent se retrouver au sein de la Fédération

Nationale Groupama, instance qui regroupe l’ensemble des sociétaires.

Groupama est également fort d’un ensemble cohérent de filiales détenues par Groupama SA.

Ainsi, le groupe dispose de filières dites «d’assurance » qui sont chargées de la distribution de pro-

duit d’assurance, tout comme les caisses régionales mais suivant des spécificités de canal, tel la

marque Amaguiz, ou encore des filiales Gan.

Les filiales de service sont chargées d’apporter un soutien technique au l’exercice même des

activités du groupe.

De surcroit, Groupama SA détient également des filiales financières qui gèrent les activités

bancaires ou encore immobilières du groupe, et des filiales internationales. Effectivement Groupama

est présent dans 11 pays dans le monde, principalement en Europe.

Enfin, Groupama SA est en charge de la définition de la stratégie opérationnelle du groupe.

En tant qu’animateur du groupe, Groupama SA veille à la cohésion et au bon fonctionnement des

diverses entités, dont il assure le contrôle administratif, et peut à cette occasion décider des mesures

11

nécessaires à la garantie de la solvabilité du groupe. De plus, Groupama SA réassure les caisses ré-

gionales ainsi que certains programmes pour les besoins de l’ensemble du groupe mais pratiques

aussi des opérations d’assurance directe.

En outre, parmi les filiales de service de Groupama se trouve l’entité Groupama Supports et

Services (G2S). Cette filiale est un Groupement d'Intérêt Economique (GIE). Il s’agit d’ « un grou-

pement doté de la personnalité morale qui permet à ses membres de mettre en commun certaines de

leurs activités afin de développer, améliorer ou accroître les résultats de celles-ci tout en conservant

leur individualité »2.

G2S a été créé le 1er juillet 2011 et regroupe les activités de support telles que les systèmes

d’information, la logistique et les achats. Au sein de ces activités, exerce également le service

d’assurance des risques d’exploitation au sein duquel j’ai eu la chance de réalisé mon stage.

Activité du groupe :

Groupama, avec plus de sept millions de clients, est aussi le 8ème assureur généraliste (en

chiffre d’affaire3) en France.

Au moyen de son réseau solide de caisses locales et régionales, ainsi que les différentes fi-

liales qui composent le groupe, Groupama distribue des produits d’assurance de biens et de respon-

sabilité, de personne et mène encore des activités bancaires et financières.

S’agissant d’abord des assurances de biens et de responsabilité, il s’agit de la distribution

d’assurances automobiles, habitation ainsi que la fourniture de divers services tels que la protection

juridiques par exemple. De surcroit, le groupe est le premier assureur de l’agriculture (en pourcen-

tage des cotisations) et des collectivités locales.

Groupama est également prestataire d’assurance de personne, c’est-à-dire que le groupe four-

nit des assurances santé individuelles, des produits de prévoyance, d’épargne/retraite ainsi que des

assurances vie ou encore des assurances collectives.

2 Définition Wikipédia https://fr.wikipedia.org/wiki/Groupement_d%27int%C3%A9r%C3%AAt_%C3%A9conomique > Consulté le 11/08/2016 3 http://www.groupama.com/fr/nos-activites/ > Consulté le 11/08/2016

12

Au regard du panel de prestations offertes, le volume des activités exercées par Groupama est

important. Néanmoins, le fonctionnement d’une entreprise telle que Groupama est, du fait même de

l’exercice de ses activités exposé à un certain nombre de risques. Dès lors, au même titre que toutes

entreprises et ce, eu égard à leur domaine d’activité, il est nécessaire d’être muni d’un service qui

assure les activités exercées. Cette activité est ce qui est nommé l’assurance des risques

d’exploitation. Au sein du groupe cette mission est effectuée par la filiale de service Groupama Sup-

port et Service dans laquelle j’effectue mon stage.

L’assurance des risques d’exploitation :

J’ai réalisé mon stage au sein du service des assurances des risques d’exploitation. Ce service

est chargé, au regard des activités exercées par l’ensemble des entités du groupe, de mettre en place

des couvertures d’assurance pour les risques auxquels Groupama est exposé, d’en gérer le suivit et le

renouvellement, mais aussi de piloter la prise en charge des sinistres déclarés.

Le service d’assurances des risques d’exploitation est a donc vocation à administrer les diffé-

rents contrats d’assurance, couvrant les risques menaçant le groupe pour son activité d’assureur.

Dans ce contexte, ce sont alors les différents membres du groupe Groupama qui sont assuré pour les

risques qu’ils encourent.

Le service d’assurance des risques d’exploitation a donc pour objectif de déterminer quels

sont précisément les risques auxquels est exposée l’entreprise et de définir les contrats d’assurances

qui pourront en garantir les conséquences en cas de réalisation. Ainsi, il revient également à ce ser-

vice d’apprécier la meilleure garantie offerte par les différents assureurs sollicités. A cet égard, la

réglementation, notamment issu du règlement Solvabilité II interdit l’auto-assurance pour les compa-

gnies d’assurance dans divers domaines, l’assureur avec lequel contracte Groupama peut alors être

une autre entreprise extérieure au groupe.

Dans ce cadre, j’ai ainsi pu participer à plusieurs rencontres avec les collaborateurs avec les-

quels le service d’assurance des risques d’exploitation entretien des relations contractuelles

d’assurance, notamment pour élaborer des plans d’évolution des couvertures actuelles ou encore leur

actualisation.

13

En outre, G2S mandate plusieurs cabinets de courtage en assurance afin de bénéficier des

offres de garanties les plus compétitives pour un risque donnée, le courtier étant chargé de confronté

les propositions du marché.

A cette occasion, le service peut être amené à conduire des négociations afin de contracter la

couverture la plus adaptée possible au risque dont le groupe souhaite se prémunir, et ce aux condi-

tions tarifaires les plus favorables. En collaboration avec diverses instances du groupe, et notamment

la direction juridique, le service est chargé de s’assurer de la qualité des contrats d’assurance sous-

crits par le service des risques d’exploitation.

Les couvertures souscrites par le service d’assurance des risques d’exploitation sont diverses

et recouvrent des garanties d’assurance de biens de nature différente et des assurances de responsabi-

lité civile couvrant la responsabilité du groupe pour l’exercice de ses activités.

Une fois les couvertures d’assurance souscrites, il convient alors d’en informer l’ensemble

des entités bénéficiaires de ces assurances. Il s’agit ici aussi d’une des missions du service

d’assurance des risques d’exploitation à qui il revient de procéder à la diffusion et à la mise à dispo-

sition des différentes polices d’assurances afin que chacune des entités connaisse les garanties dont

elles bénéficient mais aussi, soient éveillées sur les procédures à suivre en cas de sinistre.

Ainsi, le service des risques d’exploitation est garant non seulement de la mise en place des

couvertures, mais aussi de l’information interne au sein du Groupe. Cette tâche de renseignement se

réalise notamment par l’alimentation d’espaces numérique dédiés, l’émission de plaquettes informa-

tives élaborées par le service lui-même. Ayant été associée à l’ensemble des activités du service, j’ai

alors pu participer à l’actualisation des plaquettes informatives et à l’alimentation et à la diffusion

des bases de renseignements.

Egalement, dans le cadre de la mission d’information du service, j’ai pu être amené à ré-

pondre à diverses questions et interrogations que nos collaborateurs nous transmettent afin d’obtenir

des précisions sur les couvertures ou pour s’assurer qu’ils sont effectivement couvert pour une activi-

té ou un évènement donné. En outre j’ai encore été chargé de la délivrance d’attestation, soit à

l’occasion d’évènements organisés par une entité, ou une caisse du groupe, soit s’agissant des mou-

vements affectant les locaux pour les assurances de dommages aux biens.

Par ailleurs, le pôle d’assurance des risques d’exploitation est également en charge du pilo-

tage des différents sinistres qui peuvent survenir. A ce titre, il reçoit l’ensemble des déclarations, et

ce qu’elles affectent les polices d’assurance de dommage aux biens ou de responsabilité civile. A

14

cette occasion j’ai ainsi pu découvrir dans un premier temps puis procéder à la gestion de dossiers

sinistre. Il s’agit alors pour moi de déterminer si besoin quelle est la police mobilisable, puis de

transmettre la déclaration à l’assureur afin que ce dernier détermine si la police est effectivement

mobilisable. En effet il se peut que la situation déclarée face en réalité l’objet d’une exclusion de

garantie ou d’une sous limite de garantie. Dans le cadre de la gestion de sinistre, le service

d’assurance des risques d’exploitation est de fait en charge de l’intermédiation entre les assurés et

l’assureur. Pour se faire, j’ai été amené à transmettre les différentes demandes respectives des assu-

rées, comme des assureurs qui peuvent ainsi requérir de l’assuré qui déclare un sinistre une déclara-

tion circonstancier des faits, ou des pièces justificatives.

Cette fonction permet une meilleure connaissance de l’état de la sinistralité affectant chacune

des polices du groupe, par un suivit et un archivage efficace des dossiers qui sont soumis au pôle

d’assurance des risques d’exploitation. En outre cette fonction est essentielle pour préparer et négo-

cier les actualisations et optimisations des contrats d’assurance. En effet, à chaque échéance de con-

trat un bilan est effectué sur chacune des polices, afin de déterminer l’évolution des besoins de

Groupama, les éventuels écueils du contrat. Le but étant alors d’améliorer les garanties. En outre, il

est également du ressort du pôle d’assurance des risques d’exploitation d’anticiper la découverte de

nouveaux risques et de réfléchir aux moyens adéquates de prémunir l’ensemble du groupe contre les

effets de la survenance d’un sinistre.

Enfin le service au sein du quel j’ai effectué mon stage à la responsabilité de la facturation

pour les contrats d’assurance qu’il souscrit pour le compte de Groupama Supports et Service.

Le pôle de l’assurance des risques d’exploitation est donc un élément central dans la mise en

place et la gestion des contrats d’assurance que Groupama souscrit pour la garantie de l’exercice de

ses activités.

15

Bilan du stage :

Je tiens d’abords à exprimer ma reconnaissance envers les membres du service d’assurance

des risques d’exploitation. En effet, leur accompagnement est extrêmement formateur, et leur con-

seils salutaires. Je suis à cet égard ravie du déroulement de mon stage, dans le cadre duquel je suis

associée à chacune des activités évoquées ci-dessus, ce qui me permet de découvrir toutes les facettes

de cette profession.

Cette expérience est d’autant plus enrichissante qu’elle me permet d’abord de mettre à profit

et de mobiliser bon nombres de mes connaissances théoriques, acquises au cours de mon cursus uni-

versitaire, mais aussi parce qu’elle me permet de faire de nombreuses rencontres tant au sein de nos

collaborateurs que parmi des partenaires extérieurs, toutes très enrichissantes sur le plan humain

comme sur le plan professionnel.

Je tire donc un enseignement des plus positifs de mon stage, du fait du rôle véritablement ac-

tif que mon équipe m’accorde au sein de notre organisation. J’ai donc la plus grande joie de pour-

suivre ce dernier pour les trois prochain mois.

16

Mémoire de Stage

L’assurance des Cyber risques, une assurance ambitieuse en maturation

17

Introduction

Si l’on évoque usuellement la « toile internet », chacun peut ressentir de plus en plus souvent les secousses produites par les araignées qui la tissent.

La fin du 19ème siècle a vu naitre l’informatique, « la science qui traite de manière rationnelle

toutes sortes d’informations, par l’utilisation de machine automatisée », et le 20ème se développer de

manière exponentielle. A tel point, que presque chaque aspect de notre vie peut à présent faire l’objet

d’une information numérique. De fait, la consommation et l’utilisation quotidienne et massive

d’outils numériques, comme les applications pour Smartphone, l’échange de données bancaires,

l’envoie de courriels entraînent une explosion du nombre de données en circulation. Et ces

informations sont extrêmement précieuses, puisqu’elles peuvent en soi renseigner sur des identités

bancaires « piratables », sur la stratégie économique et commerciale d’une société, sur des éléments

de propriété intellectuels (comme les brevets), ou de la vie privée de chacun ou encore donner des

indications sur les habitudes de consommation de catégories de personnes et ainsi signaler des

marchés possiblement très rentables. Il est dès lors peu surprenant que ces données soient très

prisées. Elles comportent une valeur intrinsèque non négligeable et recèlent une potentielle

profitabilité extraordinaire.

La porte est ainsi ouverte à un important risque d’utilisation déloyale, invasive ou bien même

malveillante de ces renseignements. Il ne s’agit, en revanche pas des seules hypothèses de réalisation

d’un risque Cyber.

Ainsi le cabinet français de courtage en assurance Verlingue définit les Cyber-risques comme

« les conséquences d’une atteinte aux données numériques détenues et/ou gérées par l’entreprises,

que celles-ci lui appartiennent ou qu’elles lui soient confiées par les tiers, ainsi que les conséquences

d’une atteinte aux systèmes informatiques ». Cette définition simple embrasse néanmoins un large

champ de situations qui peuvent survenir chaque jour dans la pratique professionnelle.

Mais alors, pourquoi évoquer sérieusement le risque Cyber peut-il se révéler être une tâche

plus difficile qu’il n’y paraît ? L’une des raisons est avant tout liée à l’imaginaire collectif qu’il

18

suscite. En effet, le terme de « risque Cyber » semble digne d’un scénario de science-fiction et

pourtant la réalité est tout autre. Cependant il est nécessaire pour concevoir vraisemblablement ce

risque de lier des notions quotidiennes (comme l’utilisation de matériel informatique, de service

bancaire ou de l’internet) avec des concepts beaucoup plus flous et éloignés de nos préoccupations

habituelles.

En outre, les grands scandales en la matière dont fait état la presse, rendent encore plus

surréaliste la notion de risque Cyber. On peut par exemple évoquer le vol de données relatifs à 77

millions de clients qu’avait subi l’entreprise Sony en 2011 ainsi que l’indisponibilité de ses services

provoquant alors une perte de chiffre d’affaire annuel d’environ 450 million d’euro4.

Toutefois, les très grandes entreprises et sociétés de notoriété internationale ne sont pas les

seules visées par les attaques malveillantes de « pirates informatiques ». Le Global Intelligence

Network de Symantec, qui est un réseau mondial d’observation des menaces informatiques révélait

qu’en décembre 2015, 52,4 % des attaques ciblées touchaient des Petites et Moyennes Entreprises

(PME). Face à de tels résultats on comprend aisément que ce sont toutes les entreprises qui peuvent

être visées par des attaques numériques indépendamment de leur taille. Cependant les conséquences

de telles atteintes aux systèmes informatisés ne sont pas les mêmes, suivant la dimension de

l’entreprise ou de l’entité ciblées. En effet les petites structures n’ont pas toujours les fonds

nécessaires au rétablissement de leur dispositif, ou à la prise en charge des coûts supplémentaires

engendrés par l’attaque ni les pertes qu’elle a pu occasionner. De surcroit, une étude menée par The

Global State of Information Security Survey 2016, nous apprend ainsi que le nombre de Cyber

attaques recensées a progressé de 51% en France en 2015.

Plus précisément le risque Cyber représente « l’ensemble des atteintes aux systèmes et aux

données qui peuvent être consécutives à de nombreux facteurs tels que les actes malveillants, les

pannes les erreurs les actes terroristes ou encore les évènements naturels »5. On comprend dès lors,

que toute entreprise, qui use de matériels numérique est susceptible d’être victime de sinistre Cyber.

Si le Cyber risque évoque en premier lieu les actes de piratage ou de vols informatiques, ces

actes de malveillance ne sont pas les seules qui peuvent causer des atteintes aux données

numériques. Ainsi, comme le rappelle la définition du Cyber risque, les erreurs humaines dans la

programmation, l’installation et le développement des activités numériques peuvent être à l’origine

de dégradations, de pertes ou de diffusion de toutes sortes de données traitées, stockées ou gérées par 4 Haude-Marie THOMAS. « Dossier : Le risque Cyber ». Argus de l’assurance 1er Juillet 2016 5 Définition donnée par l’Argus de l’assurance 1er Juillet 2016

19

une entité, ce qui peut alors produire des effets négatifs sur les personnes concernées par les

informations endommagées. A noter également que la moitié des attaques sont favorisées par la

négligence humaine6.

Les sinistres Cyber peuvent encore résulter de pannes, de problèmes techniques, ou encore de

dommages matériels subis par les matériels informatiques. L’exemple type serait un incendie dans un

centre de stockage de données informatique ou un dégât des eaux qui provoquerait ainsi la probable

perte, ou diffusion d’information involontaire. De même lorsque le matériel est endommagé,

l’entreprise sinistrée n’est pas toujours en mesure de maintenir un service de surveillance et de

protection de ces données qui se retrouvent dès lors beaucoup plus vulnérables. Et ce d’autant que les

tentatives d’attaques ou de piratage des systèmes informatiques sont pour la plus grande partie quasi

permanentes. De fait, de nombreux organismes ou entreprises doivent faire face à des menaces de

manière quotidienne, et la dégradation des équipements peut entraver cette mission de sauvegarde

des renseignements contenus dans les fichiers détenus par l’entité sinistrée. A ce titre, les

catastrophes naturelles ou les événements climatiques peuvent impacter la sûreté des données de la

même manière, en ce qu’ils peuvent occasionner des dégâts ou des pertes de matériaux et avoir de

lourdes conséquences sur les systèmes numériques.

Outre les données bancaires, les données relatives à la propriété intellectuelle, ou à la

stratégie économique et commerciale d'une entreprise, les données à caractère personnelles font

également l'objet de beaucoup d'attention, tant de la part des acteurs économiques que des politiques.

Il s'agit de données qui appartiennent à des personnes tierces à l’entité qui les traitent c’est-à-dire aux

clients, aux collaborateurs, à des fournisseurs ou des partenaires. En effet, ces données peuvent

représenter une très grande valeur monétaire parce qu’elles renseignent sur les pratiques des

personnes, les habitudes de consommation, les loisirs les activités, la profession, des données

bancaires, tant d'informations qui retranscrites en termes de consommation peuvent indiquer des

marchés potentiellement très profitables.

S’agissant d’abord de la circulation de nos données personnelles, elle est un fait encré dans

les esprits à tel point qu’on en oublie parfois qu’il s’agit d’informations parfois privées, aux confins

de l’intime et de ce fait sensibles qui transitent par des moyens qui bien souvent sont inconnus ou

méconnus du grand public. De fait, les données à caractère personnel sont une notion large. Ainsi,

elles sont définies comme étant « toute information relative à une personne physique identifiée ou

qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou

6 Haude-Marie THOMAS. « Dossier : Le risque Cyber ». l’Argus de l’Assurance du 1er Juillet 2016

20

à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il

convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose ou

auxquelles peut avoir accès le responsable du traitement ou tout autre personne » selon la loi du 6

janvier 1978 L. n°78-17, art 2, al2 modifiée7.

Afin de se prémunir de ces risques, la législation française ainsi que la réglementation

européenne recommandent alors vivement aux responsables des données personnelles de prendre un

certain nombre de mesures préventives.

Pour garantir une surveillance permanente du respect des dispositions relatives à la protection

des données, chaque État est incité à mettre en place une autorité dite de contrôle. En France cette

autorité est la Commission Nationale Informatique et Libertés (CNIL). Cette autorité administrative

indépendante a été créée en 1978 par la loi du 6 janvier relative à l’informatique, aux fichiers et aux

libertés8. Elle garantit, par un certain nombre de mesures et de contrôles, le respect des engagements

dû par les responsables des traitements des données

Au-delà des données dites à caractère personnel, les sociétés, entreprises, organismes et

autorités administratives ont à cœur de protéger un ensemble plus large d’information qu’elles

détiennent et gèrent de manière permanente.

Comme évoqué précédemment, les données bancaires parce qu’elles permettent d’atteindre

directement ou indirectement des comptes bancaires et de s’approprier les sommes qu’ils contiennent

demeurent en enjeux crucial. Les conséquences d’une atteinte aux données bancaires peuvent

s’avérer redoutables tant pour l’entité qui traite ces données que pour les propriétaires victimes de

l’atteinte. Outre les pertes financières pures, il s’agit aussi de l’impact en termes d’images pour les

personnes chargées de la gestion des données bancaires. En effet la perte de confiance et les

nuisances engendrées à la réputation de la personne responsable du traitement de données qui subit

une Cyber attaques peuvent mettre fin à son activité, voir à son existence pour les personnes morales.

De telles conséquences peuvent également résulter de sinistres affectant l’existence et la

circulation d’informations relatives à la stratégie commerciale d’une entreprise, de brevets ou de

ceux de tiers avec qui l’entreprise peut traiter. Autant de renseignement sensibles qui, s’ils sont

divulgués peuvent anéantir l’entité qui les possède et les détient.

7 Modifié par la loi n°2004-801 du 6 août 2004 – art. 1er JORF 7août 2004 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000441676 > Consulté le 23/06/2016 8 Loi n°78-17 du 6 janvier 1978 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460 > Consulté le 23/06/2016

21

Il ressort de cette définition que les sociétés d’assurance particulièrement, sont

indubitablement intéressées par ce débat, non seulement à l’égard de leur activité même d’assureur,

qui nécessite et repose sur le traitement d’informations nombreuses et diverses, mais aussi en tant

que garant des risques que comporte cette activité. Effectivement, à l’occasion de son activité

commerciale et de prestation de service, une compagnie d’assurance est amenée à traiter un grand

nombre d’informations afférentes tant à ses client qu’à ces collaborateurs et salariés. Mais de

surcroit, cette même compagnie peut envisager de couvrir ses clients contre leur propre risque

numérique.

Tachons d’abord de définir le contrat d’assurance. Il s’agit selon Yvonne Lambert Faivre9

d’une « opération par laquelle un assureur organise en mutualité une multitude d’assurés exposés à

la réalisation de certains risques et indemnise certains d’entre eux qui subissent un sinistre grâce à

la masse commune des fonds collectés ».

Les assureurs, à l’échelle internationale, ont, face à une telle conjoncture, réfléchi et mis au

point des modèles de couvertures d’assurance dont la vocation est de garantir les conséquences de la

survenance de risques déterminés, les risques Cyber en l’occurrence.

C’est-à-dire, qu’ils ont pensé un type de contrat capable d’envisager les risques Cyber les

plus menaçants afin d’envisager les meilleures solutions pour indemniser la victime assurée des

conséquences de la réalisation de telles menaces. Pour ce faire, la définition de risques majeurs

classés en fonction de leur nature et selon les exemples pratiques d’occurrence de sinistres connus a

été un premier pas essentiel. Ainsi leur plan consiste en la proposition d’assurance de dommages qui

contiennent des garanties d’assurance de biens et d’assurance de responsabilité, destinées à prendre

en charge les conséquences pécuniaires d’un sinistre.

Mais encore fallait-il pour proposer une police d’assurance cohérente que celle-ci puisse

s’articuler avec d’autres couvertures déjà existantes. Effectivement, les risques Cyber concerne

quasiment intégralement les activités professionnelles, hors ces activités sont généralement d’ores et

déjà garanties au titre d’assurances de responsabilité civile professionnelle ou de responsabilité civile

d’exploitation. Egalement, dans le façonnement de leurs polices, les assureurs devaient encore tenir

compte des garanties offertes par les assurances de dommages aux biens afin de ne pas créer

d’interférence entre les polices.

9 Yvonne Lambert Faivre : Professeur émérite à l'Université Jean Moulin (Lyon III) et directeur honoraire de l'institut des assurances de Lyon.

22

A cet égard les assurances des Cybers-risques ont cette particularité de proposer des garanties

qui relèvent à la fois de la couverture des dommages aux biens que de la responsabilité civile de

l’assuré. Les premières ont vocation à couvrir, les pertes, disparitions ou dégradations affectant un

bien contenu par le patrimoine de l’assuré, et les assurances de responsabilité quant à elles sont

souscrites pour garantir les dettes de responsabilité qui peuvent impacter le patrimoine de l’assuré.

Ainsi, il convient de s’interroger sur les caractéristiques propres des assurances des risques

Cyber, et leur capacité à s’intégrer dans un complexe assurantiel, parfois denses. Un tel processus

permet alors de mieux comprendre les enjeux d’une articulation des couvertures et des garanties

d’assurance entre elle, pour que soient préserver les intérêts de l’assuré, qui peut par ailleurs recourir

à un conseil. Comment alors mettre en place un outil performant couvrant les dommages aux biens et

la responsabilité civile de type Cyber apte à s’intégré dans un environnement d’assurance complexe ?

Dès lors, une étude approfondie de la large gamme de couvertures d’assurance que proposent

les assureurs pour couvrir les risques Cyber semble essentielle. En effet, la pratique en la matière

distingue usuellement des garanties de type assurances de biens des garanties de responsabilité

civile, que nous étudieront donc distinctement et précisément. Il est ici question de comprendre le

fonctionnement autonome des assurances des risques Cyber, mais aussi leur articulation avec

d’autres assurances que l’assuré pourrait avoir souscrites. De fait, si le risque Cyber est envisagé de

manière large par les polices d’assurance actuelles, il n’en demeure pas moins que les différentes

exclusions ou les limites de garanties contenues par les diverses garanties en présence peuvent

impliquer une combinaison de ce dernières.

En outres, il est un acteur clef de ce processus assurantiel qu’est le courtier en assurance. En

effet, ce dernier à l’occasion de l’exercice de son activité est amené à prodiguer des conseils

nombreux et avisés ce qui lui confère une place grandissante dans les procédures de souscriptions,

notamment des importantes entités, dont les besoins sont complexes. En tant qu’intermédiaire entre

les assurés et les assureurs le courtier à une connaissance accrue du marché pour ce domaine et

apparait comme un partenaire indispensable.

Il est donc ici question d’appréhender le fonctionnement même des assurances des risques

Cyber, qui sont fortes d’une solide base de garanties dommages aux biens, avec un volet important

relatif à la protection des données personnelles (I).

23

La protection des intérêts de l’assuré exige par ailleurs la mise en place de couvertures

particulières de responsabilité civile au bénéfice de celui-ci, en complémentarité des garanties déjà

existantes. Les conseils dispensés par le courtier en assurance peuvent alors avoir pour fonctions

d’éviter les situations de cumul d’assurance (II).

24

I. L’assurance des risques Cyber, une assurance de

dommages aux biens avant tout

Les différentes évolutions technologiques et sociétales du traitement des données ont conduit

à la fois à une massification sans précédent de ces dernières mais aussi au développement de leur

circulation de manière intensive. Autant de ressources qui représentent une valeur marchande

notamment, très convoitée. Dans ce contexte, nul doute que toutes personnes ayant la gestion ou

détenant des informations numériques encourent le risque que ces dernières fassent l’objet d’atteinte

pouvant affecter négativement les personnes concernée par les renseignements, dont les exemples

sont déjà nombreux en pratique.

En outre, les entreprises dans l’exercice habituel de leur activité peuvent être amenées à

traiter des données bancaires. Ces données sont également très prisées par les pirates informatiques.

Face à ce développement intense et rapide de nouveaux risques liés à l’utilisation de données

dématérialisées, mais aussi et surtout de systèmes informatisés, les risques d’atteinte aux systèmes

numériques en générale ont crû de manière exponentielle.

Les assurances ont alors réfléchi à un « nouveau » mode de couverture pour garantir les

conséquences de la réalisation de risques Cyber. Notamment ces polices offrent un panel complet et

complexe de garanties dommages, dans le but de couvrir les nombreuses implications de la

réalisation du sinistre de type de Cyber. Les assurances dites de dommages aux biens sont des

assurances qui couvrent les risques qui affectent le patrimoine de l’assuré directement, et ont

vocation à protéger les intérêts économiques de celui-ci. Elles se caractérisent par une fonction

d’indemnisation des préjudices subis du fait d’un sinistre couvert par le contrat d’assurance et

semblent donc tout à fait adaptée à la couverture des risques Cyber (A).

Par ailleurs, la conscience du développement du risque Cyber a alors encouragé le législateur

français à prendre des mesures afin de prévenir et de garantir l’intégrité des données à caractère

personnel et ainsi des personnes, par une succession de lois internes, renforcées par un régime

européen en plein essor. En effet, les données dites personnelles font l’objet d’une attention

renforcée, notamment en raison de leur lien étroit avec la vie privé des personnes qu’elles

concernent. Ce régime particulier influe inévitablement sur la forme des garanties que les assureurs

se proposent d’offrir s’agissant des risques qui menacent les données personnelles. De telle sorte que

25

les couvertures d’assurance de dommages proposées par les assureurs comprennent des garanties

spécifiques aux conséquences d’un risque Cyber qui affecte la confidentialité des données

personnelles (B).

A. Un important socle d’assurance aux biens, au service des

garanties contre les Cyber-risques

Parce que le Cyber-risque implique une variété complexe de conséquences pour sa victime,

les assurances doivent déployer un arsenal de garanties à la mesure de l’enjeu. C’est-à-dire que les

couvertures proposées par les assureurs doivent être en mesure de prendre en considération tous les

aspects et toutes les suites de la réalisation d’un risque Cyber.

Par ailleurs, les assurances n’ont pas vocation à éviter la survenance d’un risque Cyber, c’est

donc à chacune des entités qui encourt un risque au regard de son activité de prendre toutes le

mesures préventives qui peuvent être nécessaire à la sauvegarde de ses intérêts. Pour se faire,

l’établissement d’une cartographie des risques semble indispensable.

1) La délimitation incontournable du risque

Un tel exercice implique de connaitre parfaitement l’activité exercée par la personne qui le

réalise afin de déterminer le plus précisément le type de risque encouru, son potentiel de fréquence

ainsi que l’intensité des conséquences qu’il pourrait engendrer en cas de réalisation. En effet, la

réalisation d’une cartographie des risque permet d’envisager l’ensemble de toutes les caractéristiques

de la situation de la personne qui souhaite s’assurer afin d’élaborer un plan de prévention d’abord

mais aussi de rétablissement par la mise en action des contrats d’assurances souscrits. Plus

particulièrement, concernant le risque Cyber, il s’agit de mette en exergue l’environnement

numérique de la personne qui souhaite se couvrir des risques auxquels elle est exposée. Ce travail de

26

cartographie peut sembler fastidieux, mais apparait comme une tâche essentielle à l’anticipation des

conséquences de la réalisation d’un sinistre.

A cet égard, l’assureur peut avoir un rôle de conseiller, en fonction des informations qui lui

sont transmises par son client. Un rôle qui a pris une tout autre signification au fil du temps et

notamment depuis la décision de l’Autorité de Contrôle Prudentiel et de Résolution (ACPR). Elle est

une autorité administrative indépendante, qui veille à la préservation de la stabilité du système

financier et à la protection des clients, assurés, adhérents et bénéficiaires des personnes soumises à

son contrôle. Ses missions et son champ de compétence sont en outre définies par l’article L. 612-1

du Code monétaire et financier. Ainsi, dans une décision de la Commission des Sanctions du 20

juillet 201510, l’ACPR renforce le principe du devoir de conseil de l’assureur (en l’occurrence c’est

une compagnie de courtage en assurance qui a fait l’objet de la sanction) et affirme sa volonté

d’améliorer les conditions de distribution des produits d’assurance. Bien que cette décision ait été

rendue à l’occasion de la distribution de produit d’assurance vie et de contrats d’épargne retraite, il

ne fait nul doute qu’un tel devoir de loyauté de la part de l’assureur envers son client doive être

entendu de manière générale. Dès lors, les assureurs, mais également les intermédiaire en assurance

doivent procéder à un véritable accompagnement de leur client, futur assuré, dans la mise en œuvre

d’une garantie des risques Cyber.

Pour se faire, et afin de connaître son risque, il est d’usage de classer les types de risques

selon leur nature, afin de permettre une lecture plus aisée des garanties que les assureurs peuvent

offrir.

D’abord, le sinistre peut prendre la forme d’une atteinte informatique, qui le plus souvent

renvoie à l’hypothèse de l’indisponibilité du réseau informatique de l’assuré. En ce cas, qu’il s’agisse

des conséquences d’un acte de malveillance, d’une panne, ou des suites d’un dommage affectant le

matériel informatique, l’assuré ne peut plus avoir accès ni maitriser son réseau informatique propre.

Dès lors l’exercice de son activité peut se retrouvé compromis, voire totalement impossible.

L’atteinte informatique est une notion qui recouvre plusieurs réalités bien distinctes. Elle peut

prendre la forme d’acte de malveillance ; c’est ce qu’on appelle les Cyber-attaques. Ces menaces ont

pour but de geler le fonctionnement d’un réseau informatique ou d’en empêcher l’accès. La pratique

10 Commission des Sanctions de l’ACPR 20 juillet 2015. « VAILLANCE COURTAGE » Procédure no 2014-11 http://www.argusdelassurance.com/reglementation/analyse/devoir-d-information-et-de-conseil-ce-qu-il-ne-faut-pas-faire.100863 > Consulté le 22/07/2016 https://acpr.banque-france.fr/fileadmin/user_upload/acp/publications/registre-officiel/20150721-Decision-commission-sanctions-Vaillance-Courtage.pdf > Consulté le 22/07/2016

27

la plus rependue dans ce domaine est le déni de service. Il s’agit de rendre temporairement

inaccessible et inutilisables les ressources qu’une entreprise ou toute entité visée exploite et utilise

dans l’exercice de son activité. Ce type d’attaque peut s’avérer particulièrement redoutable, par

exemple pour une entreprise qui n’exerce son activité de vente que par le biais d’un site internet. En

ce cas le déni de service rend impossible toute activité sur ce site, ce qui implique que tant que

perdure l’attaque, l’entreprise victime ne peut plus vendre aucun de ces produits ou services. La perte

financière consécutive à une telle attaque peut donc être très élevée et mettre l’entreprise victime du

sinistre dans une position plus que délicate. En effet, ladite entreprise devra continuer à assumer ses

coûts fixes de fonctionnement, alors même qu’elle n’aura plus de revenus du fait de l’impossibilité

d’exercer son activité.

L’attaque Cyber peut également résulter de l’implantation d’un virus dans les systèmes de

l’entreprise victime du pirate informatique. Il s’agit de programmes cachés dans un fichier dans le

but, d’une part de s’intégrer dans le système d’exploitation de l’ordinateur et, d’autre part, de se

propager à d’autres fichiers et d’autres ordinateurs. Leur action peut aller jusqu’à la destruction de la

totalité des données contenues par le disque dur d’un ordinateur. Les « vers11 » quant à eux sont de

petits programmes autonomes ayant pour objet la destruction ou l’arrêt de l’ordinateur ou bien

également le détournement de données confidentielles.

Les pirates informatiques peuvent encore user de la pratique dite de « l’hameçonnage », qui

consiste en une manœuvre frauduleuse destinée à induire l’utilisateur victime en erreur afin de lui

soutirer des informations confidentielles.

Le second risque souvent caractérisé par les assureurs, dans la pratique, et qui peut affecter

l’assuré est la Cyber-extorsion, ou les tentatives d’extorsion informatique. Cette pratique consiste

pour le pirate informatique à bloquer à distance une page internet ou même un réseau d’ordinateur,

empêchant alors toute utilisation du système par son propriétaire qui ne peut espérer recouvrir ses

biens uniquement contre paiement d’une sorte de rançon. Ce procédé de plus en plus utilisé et dont la

sophistication la rend de plus en plus difficile à parer, peut conduire à un déni de service d’un site

internet, ou à l’inaccessibilité de celui-ci. Dès lors, pour une entité dont l’activité repose sur

l’efficacité de son système informatique, les conséquences peuvent être catastrophiques,

pécuniairement mais aussi en terme d’image.

11 http://www.lemonde.fr/technologies/infographie/2007/10/08/les-differents-types-de-cyberattaques_964581_651865.html > Consulté le 03/08/2016

28

Afin de se prémunir des conséquences de ces risques, les assureurs offrent un ensemble de

garanties qui ont pour vocation d’accompagner l’assuré dans la prise en charge d’une partie des

pertes de ce dernier, ainsi que des frais engagés pour remédier au sinistre rencontrée.

2) Des garantis adaptées aux risques qu’elles couvrent

L’ensemble des techniques représentant des menaces informatiques sont nombreuses et les

polices proposées par les assureurs doivent pouvoir proposer des services variés afin que l’assuré

sinistré puisse être indemnisé. Dans ce contexte certains assureurs procèdent par la détermination

d’un risque dans sa définition large, ce qui ne le contraint pas à dresser une liste exhaustive des

causes du sinistre mais de ne retenir que sa finalité. Ainsi, on peut par exemple souvent lire dans des

polices d’assurance des risques Cyber, la mention « sont couverts à la suite d’une atteinte

informatique » ou bien « au titre d’une atteinte aux systèmes d’information ». Ce type de police est

définie comme une assurance « tous risques sauf ». C’est-à-dire que le risque est déterminé de

manières générales et les contours de la garantie offerte sont donnés par les différentes exclusions

contenues dans le contrat. Dès lors, au titre de la constatation par l’assuré et l’assureur d’une atteinte

aux systèmes d’information, la police d’assurance va pouvoir être actionnée. Mais certains assureurs

préfèrent mettre en place des assurances dites « à péril dénommé », au sein desquels le ou les risques

couverts son précisément définis, réduisant alors le périmètre de la garantie aux risques que

l’assureur entend expressément couvrir. Les exclusions d’assurances sont alors beaucoup moins

nombreuses dans ces contrats et plus générales dans leur termes et principes.

Par ailleurs, selon la pratique assurantielle dans le domaine Cyber, la mise en jeu de la

garantie due par l’assureur, dans son volet « assurance de biens », est déclenchée par la découverte

du dommage.

S’agissant à présent des garanties à proprement parler, la première qui est offerte par les

assureurs est celle de la perte d’exploitation consécutive à la réalisation du risque. L’Association

Management des Risques et des Assurance de l’Entreprise (AMRAE), est une association qui a

notamment pour vocation de promouvoir et développer les méthodes de management des risques et

des assurances des organisations publiques ou privées. Dans ce cadre, elle rassemble de nombreux

professionnels qui pensent et élaborent ensembles des travaux dans le domaine de la gestion des

29

risques d’exploitation. L’AMRAE définit la perte d’exploitation comme « la perte de revenus d’une

entreprise en conséquence d’un aléa impactant négativement son activité normale »12.

Mais la perte d’exploitation doit avant tout s’entendre comme une notion comptable.

Usuellement on parle alors de la prise en charge de la perte de « marge brute » subie par l’assuré qui

est précisément définie par l’assureur au travers des clauses du contrat. En des termes généraux il

s’agit de la différence entre le chiffre d’affaires et les charges variables (celles qui évoluent en

fonction de l’activité de l’entreprise), que l’assureur entend couvrir, suite à un dommage garanti,

pendant une période d’indemnisation, c’est-à-dire pendant une période contractuellement prévue

entre lui et l’assuré. La période d’indemnisation recouvre le temps pendant lequel l’assureur versera

l’indemnité due en vertu du contrat afin de contrecarrer la perte de marge brute et de permettre à

l’entreprise assurée de retrouver l’équilibre financier qu’elle connaissait avant la survenance du

sinistre. Il faut prendre un certain nombre d’éléments en compte pour déterminer cette période ainsi

que le montant de l’indemnisation, comme le secteur d’activité dans lequel exercent l’assuré, la

concurrence, la possibilité de sous-traites des activités.

Cette marge brute est une notion définie par les assureurs, et qui est différente d’une marge

brute d’entreprise. Ce critère de calcul de l'indemnité due à l'assuré requiert de vérifier au moins

chaque année que le montant des primes réglées par l'assuré correspond à l'examen comptable de

l'entreprise. Effectivement, il faut comprendre, que la base du calcul de l’indemnisation par

l’assureur repose sur le bilan comptable de l’entreprise assurée. Aussi, les informations relatives à ce

bilan doivent être transmises par l’assuré à son assureur, afin que ce dernier puisse mesurer son

risque et ainsi chiffrer le montant de la prime que devra lui verser l’assuré. Cette obligation de

déclaration qui incombe à l’assuré résulte non seulement des termes du contrat d’assurance, qui

précise généralement que le contrat est établi sur la base des réclamations faites à l’assureur, mais

également de la loi. A cet égard, l’article L 113-2 du Code des assurances dispose « L'assuré est

obligé : […]

2° De répondre exactement aux questions posées par l'assureur, notamment dans le formulaire de

déclaration du risque par lequel l'assureur l'interroge lors de la conclusion du contrat, sur les

circonstances qui sont de nature à faire apprécier par l'assureur les risques qu'il prend en charge ;

12 Cahier Technique 2014 La maitrise de la perte d’exploitation, l’assurance-vie de votre entreprise. http://www.amrae.fr/sites/default/files/udr/2014_01_PertesExploitation_Amrae_C.pdf > Consulté le 08/08/2016

30

3° De déclarer, en cours de contrat, les circonstances nouvelles qui ont pour conséquence soit

d'aggraver les risques, soit d'en créer de nouveaux et rendent de ce fait inexactes ou caduques les

réponses faites à l'assureur, notamment dans le formulaire mentionné au 2° ci-dessus »13.

Ce devoir d’information qui incombe à l’assuré quant à la nature du risque auquel il est

exposé et qu’il entend garantir par l’assureur ; vaut tant pour le cas précis de la transmission des

informations comptables utiles au calcul de l’indemnité de perte d’exploitation ainsi que les primes

afférentes à cette couverture ; que pour chacune des garanties sollicitées par l’assuré.

Par ailleurs, il est ici question pour l’assureur de replacer l’assuré qu’il indemnise dans la

situation dans laquelle il se trouvait avant la survenance du sinistre, et ce indépendamment de la

conjoncture du marché sur lequel il exerce. De sorte que la garantie de la perte d’exploitation ne doit

pas être le moyen pour l’assuré d’améliorer sa situation financière ou sa position sur le marché.

L’assurance ne doit pas être un moyen de s’enrichir pour l’assuré. Aussi, un assuré qui, au moment

de la survenance d’un sinistre de type Cyber faisait face à une marge brute déficitaire, ne pourrait

prétendre à une indemnisation lui permettant de recouvrer une marge brute au moins équilibrée, voire

positive.

Il s’agit d’une application pure du principe indemnitaire qui régit ce type d’assurance. En

effet les assurances de dommages sont soumises au principe indemnitaire selon lequel « l’indemnité

due par l’assureur à l’assuré ne peut pas dépasser le montant de la valeur de la chose assurée au

moment du sinistre » (C. Ass., art. L. 121-1, al. 114), qui interdit alors que l’indemnité versée puisse

devenir source d’enrichissement pour l’assuré.

Pour autant ce principe ne s’oppose pas à ce que soient également pris en charge, au titre de

la survenance d’une atteinte informatique, les frais dits supplémentaires d’exploitation. Ces frais

peuvent être définis comme l’ensemble des dépenses nécessaires et raisonnables engagées par

l’assuré dans le but de réduire ou d’éviter une perte de marge brute. Néanmoins il convient de

préciser que le caractère nécessaire et raisonnable des dépenses reste à l’appréciation de l’assureur.

L’indemnisation de ces sommes s’explique par l’intérêt économique de l’assuré qui y procède.

13 http://www.unedic.org/article/employeurs-et-salaries-secteur-prive-et-public-concernes-par-l-assurance-chomage > Consulté le 11/08/2016 14 https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006073984&idArticle=LEGIARTI000006792236 > Consultation le 27/08/2016

31

Certes, les dépenses qu’il réalise affectent son patrimoine, mais elles sont finalement le moyen de

maitriser des conséquences financières qui pourraient aggraver l’état de son patrimoine.

Par ailleurs, de nombreux assureurs proposent également de couvrir les sommes qui

pourraient être dépensées par l’assuré afin de permettre l’identification et l’analyse d’une atteinte

informatique. Il s’agit des dépenses engagées par l’assuré auprès d’experts, de consultants,

d’auditeurs ou même d’avocats, chargés d’identifier l’origine et les circonstances d’une atteinte. Les

frais réalisés dans le but de réparer le système, c’est-à-dire de remettre ce dernier dans l’état dans

lequel il se trouvait avant l’atteinte sont également garantis. Une fois encore le principe indemnitaire

interdit à l’assuré de profiter de la survenance d’un sinistre pour améliorer son système informatique.

Cette interdiction fait à cet égard bien souvent l’objet d’une exclusion de garantie, qui précise que les

réparations ne pourront avoir pour objet que la remise en l’état de performance du système antérieur

à survenance du sinistre.

En outre, lorsque par l’effet de l’atteinte informatique un certain nombre, voire la totalité des

données de l’assuré ont été perdues ou détruites, ce dernier peut encore être couvert pour les frais de

reconstitution des données ; c’est-à-dire les frais engagés afin solliciter les services de prestataires et

d’experts informatiques ou d’archivage chargés de reconstruire et de remettre en service les données

et informations exploitées par l’assuré dans l’exercice de son activité.

Cependant cette garantie ne doit pas être confondue avec la prise en charge des salaires et des

rémunérations dues par l’assuré à ses salariés et collaborateurs. En effet l’assuré qui subit une

atteinte à son système informatique peut voir son activité fortement ralentie ou bien même totalement

immobilisée. La question se pose donc de l’assurabilité des salaires et rémunérations des employés

dont l’activité est figée. Si aucune disposition légale ou réglementaire ne fait obstacle à une telle

prise en charge, alors régie par les dispositions contractuelles, il n’en demeure pas moins que bien

souvent ces frais font l’objet d’une exclusion de garantie dans la pratique. En effet tout employeur du

secteur privé situé en France est tenu d’assurer ses salariés contre le risque de privation involontaire

d’emploi et donc de s’affilier au régime d’assurance chômage (selon l’article L. 5422-13 du code du

travail).

Dès lors, prévoir une garantie spécifique intégrée dans la police d’assurance des risques

Cyber aura pour effet de créer une situation de cumul d’assurance. L’assuré réglant alors deux primes

distinctes pour un même risque. De plus le cumul d’assurance est prohibé par le code des assurances

qui définit un régime particulier à cet égard, comme nous l’étudierons ultérieurement dans nos

développements. Quant aux employeurs du secteur public, ils ne sont pas tenus de s’affilier au

32

régime interprofessionnel d’assurance chômage. Ils assurent eux-mêmes le risque de privation

d’emploi (auto-assurance). En revanche les salaires ou rémunérations de tous salariés, sous-traitants

ou prestataires agissant dans le cadre d’une intervention consécutive à l’atteinte informatique

peuvent eux, faire l’objet d’une prise en charge par l’assureur, au titre des frais supplémentaires

d’exploitation.

Cette catégorie de frais susceptibles d’être indemnisés recouvre un large champ, puisque les

frais de remise en état des systèmes informatiques, et de son maintien sont compris. Suivant les

assureurs, les mentions apparaissant sur les polices peuvent varier, sans néanmoins que le contenue

fondamental de la garantie soit altéré. Effectivement suivant le degré de précision que souhaite

imposer l’assureur dans la rédaction de son contrat d’assurance, un futur assuré peut lire par exemple

des mentions telles que : « frais de décontamination virale, de secours informatique, coûts

d’investigation et d’enquête et honoraires d’experts », alors que d’autres polices feront elles,

référence aux « dépenses engagées pour analyser l’atteinte, remettre le système en l’état et maintenir

son fonctionnement ».

Néanmoins, tous ces risques liés à la réalisation d’acte de malveillance ne sont pas les seules

hypothèses de mise en jeu des assurances des risques Cyber. En effet, comme nous l’avons précisé

précédemment, les conséquences d’erreurs humaines, ou de pannes du système ont la possibilité

d’être prise en charge par les garanties d’assurance. L’atteinte peut aussi résulter d’un dommage

affectant le matériel informatique. Dans tous ces cas, les garanties font souvent l’objet dans la

pratique d’exclusion de garantie, notamment du fait de l’articulation avec d’autres couvertures que

l’assuré peut déjà avoir contracté et en vertu de l’interdiction du cumul d’assurance. L’assuré doit se

montrer vigilent face à ces particularités dont nous développeront les écueils plus en aval.

Au-delà des pertes financières, et des conséquences pécuniaires des atteintes aux systèmes

informatiques, la réputation de l'entreprise qui subirait un sinistre Cyber peut également être

endommagée. De surcroît, dans un contexte de circulation permanente et massive des informations,

l'image d'une entreprise peut être atteinte d'autant plus rapidement. Il s'agit donc d'un véritable

danger pour une société ou une entreprise de voir son crédit auprès de ses clients altéré ou gravement

remis en cause par une perte de confiance. Car une telle perte peut alors devenir synonyme de baisse

d'activité si ces mêmes clients décident de recourir aux services ou produits d'une autre société parce

qu'ils estiment que la compétence qu'ils attendent de leur prestataire n'est pas atteinte. Une fois de

plus les répercussions financières sont un enjeu crucial pour les assurés.

33

Face à de telles conséquences, les assureurs proposent alors de prendre en charge les

dépenses que pourrait faire l'assuré dans le but d'élaborer ou de mettre en œuvre une stratégie de

communication visant à limiter toute atteinte à la réputation de celui-ci. De nouveau, pour cette

garantie le contrat peut préciser que ces dépenses devront avoir été jugées nécessaires par l'assureur.

Il peut en outre précisé que ce dernier fasse appel à une expertise pour déterminer le caractère

indispensable des dépenses faites. L'assureur peut encore fournir à son assuré un conseiller en

communication et en gestion de crise. En effet il est possible qu'il soit précisé directement dans le

contrat que l'assuré qui ne jouit pas d'un partenariat avec une société spécialisée en communication et

relations publiques ne pourra choisir une société à l'occasion d'un sinistre sans l'accord de l'assureur.

Au surplus, ces garanties peuvent être distribuées même en l'absence de toute obligation

légale ou réglementaire de le faire.

A cet égard, ces dépenses de relations publiques doivent être comprises comme un

investissement de la part de l’assuré qui, en dehors de toute réclamation de tierces personnes, entend

contrecarrer une altération de sa réputation. Ces frais résultent alors de l’initiative propre de l’assuré

sinistré. Dès lors on peut comprendre ce développement comme une raison qui explique le choix

quasi unanime des assureurs d’intégrer cette couverture, non pas dans le volet des garanties de

responsabilité civile, mais au sein des couvertures d’assurance de biens. En effet, les assurances dites

de responsabilité sont fondées sur une base de réclamation d’un tiers, qui allègue avoir subi un

préjudice du fait de l’assuré, en l’occurrence. Il s’agit pour lui de faire jouer son droit à réparation du

préjudice qu’il a subit sur le fondement du régime commun de la responsabilité ou sur le fondement

de régimes spécifiques. Or, la volonté unilatérale de se prémunir des effets néfastes d’une Cyber-

attaque sur son image, par l’assuré, ne découle pas d’une hypothèse de mise en cause de

responsabilité par un tiers. Elle ne traduit que l’engagement d’une personne qui a subi un sinistre de

mettre en œuvre tous les moyens à sa disposition pour enrayer les effets nuisibles du dommage qui

lui a été causé.

L’ensemble de ses garanties déployées par les assureurs en fonction de la nature des risques

auxquels leur assuré est exposé, permet, si un sinistre Cyber survient, d’accompagner ce dernier en

lui proposant des services et la prise en charge adaptée aux préjudices qu’il vient de subir.

Par ailleurs, dès lors que l’assuré procède au traitement de données personnelles pour les

besoins de son activité, il expose alors ces dernières à la réalisation de risques les affectant.

34

Cependant du fait de la sensibilité contenue dans l’essence même de ces données, parce qu’elles

peuvent renseigner sur de nombreux aspect de la vie privée d’une personne elles font l’objet de

dispositions particulières dont les assurances ne peuvent s’émanciper. Ainsi, conscients de l’enjeu

singulier que recèlent la protection des données à caractère personnel, les assureurs accordent une

place particulière à ce dernier au sein même de leur police d’assurance.

B. Des garanties originales, déduites du l’enjeu actuel de

protection des données personnelles

L’esprit commun se rappelle probablement que les sociétés de télécommunications ont accès

et gèrent des données personnelles de leurs clients ainsi que celles de leurs interlocuteurs, mais

finalement, peu savent que toutes entreprises, organismes, ou autorités publique qui exerce son

activité notamment au moyen d’outils informatiques est amenée à collecter, traité et stocker des

données à caractère personnel. Le potentiel de risque d’atteinte à ces données n’est distinctement

plus le même, le nombre de responsable de traitement étant démultiplié.

1) Un régime singulier de protection accordé aux données personnelles

Alors que les toutes premières lois prises en ce sens dans les années 70 avaient pour objectif

de contrer les risques d’affichage public, le monde largement dématérialisé, dans lequel nous vivons

aujourd’hui implique que le débat relatif à la protection des données personnelles est plus que jamais

un enjeu juridique crucial. En effet, il implique que les Etats, dans leur propre réglementation interne

et aussi dans leur effort de réglementation européenne concilient d’une part, le droit au respect de la

vie privée, consacré notamment par l’article 8 de la Convention Européenne de Sauvegarde des Droit

de l’Homme (CESDH) et d’autre part à la liberté de circulation des informations. Cette tâche

implique alors de prendre toutes les mesures nécessaires à la protection d’un droit fondamental

reconnu à tout citoyen européen, tout en garantissant la construction et le développement d’une

Union Européenne d’échange au service du progrès économique et social de celle-ci. Pour ce faire le

35

Conseil et le Parlement Européen ont élaboré un règlement, adopté le 27 avril 201615 relatif à la

protection des personnes à l’égard du traitement des données à caractère personnel et à la libre

circulation de ces données, et abrogeant la directive 95/46/CE. Ce règlement a notamment pour

vocation de redéfinir plus largement la définition des données personnelles afin qu’un plus grand

nombre de données puissent bénéficier du régime de protection. En outre, le règlement européen

précise encore la fonction des autorités de contrôles étatiques ainsi que les mesures préventives que

chacun des responsables de traitements de données à caractère personnel doit mettre en place.

Le caractère de « données personnelles », ou de « données à caractère personnel », (dont

l’utilisation peut être indifférente puisque les termes renvoient à une seule et même notion), concerne

uniquement les personnes physiques et n’a pas vocation à s’appliquer aux personnes morales. C’est-

à-dire que les sociétés, entreprises et plus largement toutes entités qu’elles soient publiques ou

privées ne peut voir les données la concernant considérées comme des données personnelles et donc

prétendre à la protection offerte par la législation particulière à ces dernières.

Ces données particulièrement sensibles comme nous venons de l’expliquer peuvent faire

l’objet d’altération ou de violation lors d’atteinte à un système informatique. Dès lors toutes

personne qui se trouve être responsable du traitement de données à caractère personnelles est soumis

au régime de protection de ces données qui le soumet à un certain nombre d’obligation. Le

responsable des données s’entend de la personne qui collecte, traite et gère les données à caractère

personnel. Plus particulièrement, l’article 2, de la loi du 6 janvier 1978 modifiée par la loi du 6 août

2004 (Loi n° 2004-801), ayant vocation à intégrer les dispositions de la directive européenne de

199516 précise que « constitue un traitement des données à caractère personnel toute opération ou

tout ensemble d’opérations portant sur de telles données (données personnelles), quel que soit le

procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation,

l’adaptation ou la modification, l’extraction, la consultation, ‘utilisation, la communication par

transmission, diffusion ou tout autre forme de mise à disposition, le rapprochement ou

l’interconnexion ainsi que le verrouillage, l’effacement ou la destruction ». Le responsable des

données personnelles est donc toute personne qui s’adonne à de telles activités.

15 Règlement n° 2016/679 relatif à la protection des personnes physique à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, du Conseil et du Parlement Européen du 27 avril 2016. https://www.cnil.fr/fr/reglement-europeen-protection-donnees > Consulté le 27/06/2016 16 Directive 95/46 CE du Parlement Européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnelles et à la libre circulation de ces données. http://ec.europa.eu/justice/policies/privacy/docs/95-46-ce/dir1995-46_part1_fr.pdf > Consulté le 26/06/2016

36

On associe, en outre, généralement à ce responsable du traitement des données, le destinataire

de celles-ci, que l’on comprend souvent en pratique comme le sous-traitant du responsable. A ce titre

le destinataire des données à caractère personnel se voit soumis aux mêmes obligations de respect de

la réglementation que le responsable des données. Par ailleurs, si la protection des données

personnelles ne concerne que les données relatives aux personnes physiques, le responsable du

traitement de ces données peut lui être toute personne, physique ou morale, qu’elle soit privée ou

relève d’une administration et ce, eu égard à sa taille ou son secteur d’activité. Le critère déterminant

dans la définition du responsable des données est l’exercice d’un traitement statistiquement organisé

de manière automatisée ou non.

Précisément, cette dite réglementation impose dans un premier temps aux responsables des

données à caractère personnel qu’elles prennent, pour protéger ces dernières un certain nombre de

mesures préventives. Sans citer de moyen proprement identifié, l’article 34 de la loi du 6 janvier

1978 relative à l’Informatique, aux Fichiers et aux Libertés, modifiée par la loi du 6 août 200417

énonce « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la

nature des données et des risques présentées par le traitement, pour préserver la sécurité des

données et, notamment empêcher qu’elles soient déformées, endommagées, ou que des tiers non

autorisés y aient accès ». L’obligation mise à la charge du responsable du traitement des données est

une obligation dite de moyen, en ce que ce dernier a la charge de mettre en œuvre tous les moyens

nécessaires pour assurer la protection des données qu’il détient. Il ne pourra être tenu responsable

juridiquement et sanctionné, en cas d’atteinte aux données, que si celle-ci résulte du fait que toutes

les dispositions essentielles n’avaient pas été prises pour garantir la défense des informations

affectées.

Ce faisant, afin d’assurer le respect de ces obligations, la législation française prévoit que la

CNIL, en tant qu’autorité compétente dans le domaine de la protection des données à caractère

personnel, assure la surveillance et le contrôle de l’activité de traitement des données personnelles.

Ainsi, l’article 11 de la loi du 6 janvier 197818 dispose qu’elle « veille à ce que les traitements de

données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente

loi ». La CNIL établit et publie également des normes et des règlements types en vue d’assurer la

sécurité des systèmes. De surcroît, la CNIL est également forte d’un pouvoir d’appréciation des

activités des responsables des traitements des données. En effet, l’article 11, 3°, a) énonce « elle 17 Loi n°2004-801 du 6 août 2004 – art. 1 JORF 7 août 2004 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000441676 > Consulté le 02/07/2016 18 Modifié par la loi n°2014-344 du 17 mars 2014 – art. 17 https://www.google.fr/?gws_rd=cr&ei=tYiYV-6-BILPa7TWsJAB#q=loi+n+2004-344 > Consulté le 02/07/2016

37

donne un avis sur la conformité aux dispositions de la présente loi des projets de règles

professionnelles et des produits et procédures tendant à la protection des personnes à l’égard du

traitement de données à caractère personnel, ou à l’anonymisation de ces données, qui lui sont

soumis », et l’article poursuit au 3°, b) « elle porte une appréciation sur les garanties offertes par des

règles professionnelles qu’elle a précédemment reconnues conformes aux disposition de la présente

loi, au regard du respect des droits fondamentaux des personnes ».

Mais, malgré l’ensemble de ce dispositif préventif, un responsable du traitement de données

personnelles, peut faire l’objet d’une atteinte informatique ou d’un sinistre entraînant la dégradation,

la perte, la diffusion ou l’utilisation impropre de telles données.

2) Un régime de protection retranscrit dans les assurances contre les risques Cyber

Lorsqu’un tel événement se produit, le risque médiatique en termes de dégradation de la

réputation (aux conséquences possiblement grave, ainsi que nous l’avons évoqué précédemment)

« oblige » la victime d’un tel sinistre à agir, non seulement pour remédier à la situation, c’est-à-dire

mettre fin au dysfonctionnement et à l’altération de données, mais aussi à élaborer une stratégie de

communication. De plus le responsable du traitement affecté par une atteinte aux données

personnelles peut être soumis à des obligations réglementaires et légales le cas échéant.

C’est pourquoi les polices d’assurance des risques Cyber, proposent aux assurés de prendre

en charge les dépenses qui pourraient être faites à l’occasion de la réalisation d’un de ces risques.

Ainsi, de nombreuses polices d’assurance comportent la prise en charge des dépenses engagées par

l’assuré dans le cadre des obligations légales et réglementaires en cas de violation de la

confidentialité des données à caractère personnel.

Lorsque, certains contrats d’assurance précisent au sein de leur police que l’atteinte ou le

sinistre dont l’assuré réclame l’indemnisation doit avoir été découvert pendant la période

d’assurance, cette période antérieure à la découverte du sinistre n’influe pas sur les droits à

couverture. C’est-à-dire que l’événement allégué par l’assuré pour actionner sa garantie doit avoir été

découvert au cours d’une période déterminée dans le contrat d’assurance par les parties. Dans ce cas,

ce n’est pas la survenance du sinistre qui ouvre droit à l’assuré de réclamer l’indemnisation de son

préjudice à son assureur, mais bien la découverte de celui-ci. Aussi faut-il préciser, comme pour tout

sinistre de type Cyber, et non pas uniquement s’agissant de l’atteinte au données personnelles, que le

38

temps nécessaire pour découvrir l’atteinte au système ou la survenance du sinistre peut être long. En

effet, selon le cabinet de conseil en management et en système d’information auprès de clients

grands comptes Solucom19, la durée moyenne pour détecter une attaque ciblée est de 205 jours. Ce

délai particulièrement long, peut alors impliquer une propagation et une aggravation des

conséquences et des effets de cette attaque sur l’activité de l’assuré. Si l’assuré demande

l’indemnisation d’un sinistre survenu durant cette période d’assurance, alors il pourra prétendre au

bénéfice des garanties dont il est couvert.

En pratique, de manière générale cette période s’étend de la date d’effet du contrat à la date

d’échéance qui lui correspond. Une telle disposition contractuelle suppose alors la bonne foi de

l’assuré, qui ne doit pas tarder dans sa déclaration, et faire état de la réalisation d’un risque pour

lequel il est couvert à son assureur dès qu’il en a connaissance. La preuve de la fraude ou de la

mauvaise foi de l’assuré demeure à la charge de l’assureur. C’est notamment le principe qui est

inscrit à l’article L 113-9 du Code des assurances, alinéa 1er, « L'omission ou la déclaration inexacte

de la part de l'assuré dont la mauvaise foi n'est pas établie n'entraîne pas la nullité de l'assurance ».

Cette présomption de bonne foi de l’assuré implique qu’en vertu de l’article 1315, selon lequel «

Celui qui réclame l'exécution d'une obligation doit la prouver. Réciproquement, celui qui se prétend

libéré doit justifier le paiement ou le fait qui a produit l'extinction de son obligation », l’assureur

pour s’exonérer de son obligation contractuelle d’indemniser son assuré doit prouver que celui-ci n’a

pas respecté ses propres obligations.

En outre le refus par l’assureur de prendre en charge les frais réalisés par son assuré ou plus

généralement le refus de procéder à l’indemnisation d’un sinistre s’analyse comme une déchéance de

garantie. L’assuré perd le droit à indemnisation de son sinistre, mais le contrat n’est pas pour autant

rompu. Seule la garantie n’est plus acquise pour le sinistre déclaré frauduleusement.

S’agissant des garanties spécifiques à la protection des données personnelles, on retrouve la

prise en charge des dépenses occasionnées par la mise en place d’un plan de communication afin de

préserver la réputation de l’assuré. Ces dépenses peuvent comprendre les frais d’honoraires d’experts

en relations publiques, d’auditeurs, de conseillers en communication, d’avocats chargés de fournir

une assistance juridique. Les coûts d’enquête afin de déterminer l’origine et les circonstances de

l’atteinte aux données personnelles sont également assurables tout comme les frais de détection et de

contrôle de toute éventuelle utilisation impropre des données.

19 Fiche informative sur https://fr.wikipedia.org/wiki/Wavestone > Consulté le 23/07/2016

39

L’ensemble de ces dépenses est pris en charge non pas parce qu’elles permettent de protéger

les données personnelles ; celles-ci ont d’ores et déjà été altérées, ou au moins atteintes et il ne s’agit

pas non plus de la vocation de l’assurance ; mais parce qu’elles représentent des moyens utiles pour

l’assuré d’éviter l’aggravation de la dégradation de ses intérêts économiques.

De même, peuvent prétendre à indemnisation les dépenses effectuées pour éviter l’altération

de l’image de la réputation telles que la notification d’une atteinte à la confidentialité en dehors de

toute obligation légale ou réglementaire de le faire pour l’assuré, notamment auprès de l’autorité

compétente.

A cet égard, la législation relative à la protection des données personnelles impose cependant

à certains responsables de traitement d’informations qu’ils notifient toutes violations de données à

caractère personnel à la CNIL20. Cette obligation est prévue à l’article 34 bis de la loi 78-17 du 6

janvier 1978 modifiée et ne concerne que les fournisseurs de services de communications

électroniques au public, tels que définis par l'article L. 33-1 du code des postes et des

communications électroniques (exemples : Fournisseurs d'accès à Internet, opérateurs de téléphonie

fixe ou mobile). Ainsi l’article 34 bis de la loi du 6 janvier 1978 modifiée en son « II. » énonce : « en

cas de violation de données à caractère personnel, le fournisseur de services de communications

électroniques accessibles au public avertit, sans délai, la Commission nationale de l'informatique et

des libertés.

Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d'un

abonné ou d'une autre personne physique, le fournisseur avertit également, sans délai, l'intéressé ».

Les dépenses liées à cette obligation légale de notification peuvent également faire l’objet d’une

indemnisation par l’assureur. Néanmoins il convient de prendre en considération l’existence

d’exclusions de garantie qui peuvent affecter cette couverture.

Effectivement, il est possible que l’assureur refuse de couvrir des dépenses de notification

réalisées par son assuré, lorsqu’il parvient à prouver que ce dernier a volontairement violé la

réglementation en vigueur, notamment par un défaut ou un retard de notification à l’autorité

compétente ou aux personnes concernées par l’atteinte aux données à caractère personnel. Dès lors,

l'assuré pour bénéficier de sa garantie doit avoir respecté les obligations qui lui incombent en tant

que responsable du traitement de données personnelles. Notamment, l’assuré doit mettre en œuvre

20 https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles > Consulté le 28/07/2016

40

les mesures nécessaires au respect des dispositions de la loi du 6 janvier 1978 modifiée et mises à

jour de la réglementation européenne.

Pourtant on peut également constater l'existence de garantie ayant pour objet d'indemniser les

sanctions pécuniaires prononcées par une autorité administrative à l'encontre de l'assuré, lorsqu'une

enquête a été instruite à la suite d'une atteinte à la confidentialité des données personnelles.

De telles clauses peuvent nous apparaître comme étant surprenante. D'une part, parce qu'elles

semblent en contradiction, en leur principe, à l'exclusion de garantie que nous venons d'évoquer

quant aux frais de notification. Si l'objet des deux garanties en question n'est pas le même, on peut

toutefois s'interroger sur la logique d'un tel raisonnement. En effet, l'assureur peut refuser de prendre

en charge certaines dépenses faites par son assuré parce qu'il est contrevenu à une réglementation en

vigueur, mais propose cependant de couvrir les frais engagés par ce même assuré s'il venait à faire

l'objet d'une sanction par une autorité administrative. Or en vertu du principe de légalité des peines,

une sanction ne peut être prononcée que parce qu’un texte le prévoit, et les textes ne prévoient pas de

peines pour des comportements en conformité avec la réglementation. Ainsi, il semble alors peu

probable qu’une sanction administrative ait pu être prononcée en l’absence de tout comportement

répréhensible de l’assuré.

Ensuite, il convient de relever qu'une telle garantie soulève la question de l'assurabilité des

sanctions prononcées par des autorités administratives en France. En outre, le débat existe depuis de

nombreuses années et ne semble toujours pas avoir été solutionné de manière définitive.

En effet l'assurabilité des sanctions administratives suppose, comme il a pu être avancé de

passer outre l'article 6 du Code Civil qui dispose qu'on « ne peut déroger, par des conventions

particulières, aux lois qui intéressent l'ordre public et les bonnes mœurs » et l'article 1133 du même

Code selon lequel, « La cause est illicite, quand elle est prohibée par la loi, quand elle est contraire

aux bonnes mœurs ou à l'ordre public ». Or, il peut effectivement sembler qu'une clause contractuelle

qui prévoit l'indemnisation d'une sanction administrative contrevienne à ces deux textes21.

Notamment, un arrêt de la cour d’appel de Paris du 14 février 201222 avait ainsi retenu

comme fondement de son refus d’accorder le caractère assurable à une sanction pécuniaire prononcé

21 La Semaine juridique Entreprise et Affaire n° 10, 5 Mars 2009, 1226. > Consulté le 18/07/2016 22 Cour d’appel de Paris, Pôle 2, Chambre 5, le 14 février 2012 n° 09/06711 https://www.lexisnexis.com/fr/droit/results/docview/docview.do?docLinkInd=true&risb=21_T24576980855&format=GNBFULL&sort=DATE-DECISION,D,H,COURT-SORT,A,H,THEME,A,H&startDocNo=1&resultsUrlKey=29_T24576980859&cisb=22_T24576980858&treeMax=true&treeWidth=0&csi=268081&docNo=1 > Consulté le 13/08/2016

41

par l’Autorité des Marché Financiers (AMF), l’article 6 du Code civil. La cour estimait alors que

l’assurabilité des sanctions formulée par l’AMF chargée de la protection de l’ordre public boursier

était donc contraire à l’objet de l’article 6 du présent Code.

En outre, l’assurabilité d’une sanction pécuniaire prononcée par une autorité administrative

peut sembler être le moyen pour l’assuré de se déresponsabiliser, mais aussi car on peut y déceler

une certaine forme d’atteinte au principe de personnalité des amendes, qui ne peuvent en principe

être acquittées que par l’auteur de l’infraction. Notons que les sanctions dont il s’agit ont un but

répressif et non pas indemnitaire, elles ne peuvent donc être assimilées à des dépenses de

responsabilité civile.

Ce principe peut ainsi être déduis des dispositions de l’article 1er de la loi du 15 août 201423

selon lesquelles « afin d'assurer la protection de la société, de prévenir la commission de nouvelles

infractions et de restaurer l'équilibre social, dans le respect des intérêts de la victime, la peine a pour

fonctions : 1° De sanctionner l'auteur de l'infraction ». Cet article a notamment fait l’objet d’une

intégration au sein du Code Pénal en son article 130-1.

Pourtant, un arrêt de la Deuxième Chambre Civile de la Cour de cassation en date du 14 juin

201224 est venu apporter un certain doute sur le principe de non assurabilité des sanctions prononcées

par une autorité administrative. En effet, dans cet arrêt, la Cour de cassation avait à se prononcer sur

la possibilité pour un assureur de prendre en charge l’indemnisation d’une sanction pécuniaire de

nouveau prononcée par l’AMF, s’agissant d’une espèce relative à la responsabilité d’un dirigeant.

Pourtant, dans son motif de décision, la Cour ne fait état que de l’interdiction absolue d’assurer toute

faute intentionnelle de l’assuré en retenant ainsi « qu'en l'état de ces constatations et énonciations,

faisant apparaître que M. X... avait eu la volonté et la conscience de mettre à la charge de son

propre assureur les conséquences qui résulteraient de ses fautes, la cour d'appel, répondant aux

conclusions par une décision motivée, a pu décider que M. X... avait commis, au sens de l'article L.

113-1 du code des assurances, une faute intentionnelle, incompatible avec l'aléa, excluant la

garantie de son assureur ».

Ce principe d’incompatibilité est ainsi posé à l’article L 113-1 du Code des assurances

comme suit, « Les pertes et les dommages occasionnés par des cas fortuits ou causes par la faute de

l’assuré sont à la charge de l’assureur, sauf exclusion formelle et limitée contenue dans la police. 23 LOI n° 2014-896 du 15 août 2014 relative à l'individualisation des peines et renforçant l'efficacité des sanctions pénales (1) 24 Cour de cassation, civile, Chambre civile 2, 14 juin 2012, 11-17.367, Publié au bulletin https://www.legifrance.gouv.fr/affichJuriJudi.do?idTexte=JURITEXT000026028052 > Consulté le 13/08/2016

42

Toutefois, l’assureur ne répond pas des pertes et dommages provenant d’une faute intentionnelle ou

dolosive de l’assuré ».

En effet la faute intentionnelle de l’assuré en ce qu’elle repose sur l’action volontaire de

l’assuré, fait disparaitre la notion d’aléa, notion qui est le fondement de base du contrat d’assurance,

et qui repose sur l’incertitude de la réalisation d’un risque déterminé. L’assuré qui commet

volontairement un acte de nature à réaliser le risque et créer un sinistre en principe assurable, en

vertu du contrat auquel il est partie, anéantit alors le caractère incertain de ce même contrat. En de

telles circonstances, l’assureur n’est plus tenu à son obligation de couverture du sinistre provoqué par

l’assuré.

Ainsi, en ne fondant sa décision que sur ce seul principe juridique, la Cour de cassation omet

de répondre à la question de l’assurabilité d’une sanction pécuniaire prononcée par une autorité

administrative, en l’occurrence l’AMF. Néanmoins, est-il possible de déduire du silence de la Cour,

son approbation pour l’indemnisation de tels frais ? Il ne semble pas qu’une telle réponse soit

raisonnable, d’abord parce que depuis cette décision, aucun autre arrêt n’est venu conforter cette

position. Mais aussi parce l’ACPR ne semble pas s’être jamais prononcé en faveur d’une telle

solution.

A cet égard, on peut notamment évoquer un avis rendu par l’Autorité de Contrôle et des

Assurances et des Mutuelles (ACAM25), qui était, avant sa fusion avec la Commission Bancaire,

pour former l’ACPR, une autorité administrative indépendante chargée de contrôler l’activité

d’assurance. Dans cet avis, rendu le 2 février 2006, l’ACAM estimait alors, qu’il était « contraire à

l’ordre public que l’assureur prenne en charge les amendes pénales, fiscales, douanières et toutes

autres sanctions pécuniaires prononcées par une autorité administrative ». En ce sens on doit alors

comprendre les polices d’assurance qui proposent la prise en charge des sanctions pécuniaires

comme un engagement de l’assureur d’indemniser son assuré en cas de réalisation d’un sinistre

entrainant une telle sanctions, dans la mesure de l’assurabilité de cette dernière. Autrement dit, en

l’état actuel de la jurisprudence et de la législation il ne s’agit pas pour les assureurs d’un

engagement très contraignant.

Les assureurs qui offrent des assurances des risques Cyber, proposent ainsi une large gamme

de couverture d’assurance de dommages. Ces assurances, en générale scindées en deux volets,

distinguent les couvertures ayant trait à l’indemnisation des sinistres affectant directement le

25 https://fr.wikipedia.org/wiki/Autorit%C3%A9_de_contr%C3%B4le_des_assurances_et_des_mutuelles > Consulté le 19/08/2016

43

patrimoine de l’assuré, les assurances de biens, des couvertures envisageant les garanties de dettes de

responsabilité civile qui aggravent son patrimoine. Les premières comme nous l’avons envisagé, ont

vocation à apporter un accompagnement solide à l’assuré par la prises en charge non seulement des

frais et dépenses engagés à l’occasion de la survenance d’un sinistre, mais aussi en proposant des

services de qualité destinés à aider l’assuré à traverser au mieux les turbulences qu’il connait.

L’ensemble de ces couvertures jouant que l’atteinte soit portée au système informatique exploité par

l’assuré ou aux données à caractère personnel qu’il traite. Enfin la prise en charges de toutes ces

dépenses répond au principe indemnitaire, duquel est déduis l’adage : « tout le préjudice, mais rien

que le préjudice ».

Plus précisément, cette formule trouve sa source dans le corolaire du principe indemnitaire,

qui est celui de la réparation intégrale du préjudice. Ce principe, implique que si l’indemnisation

auquel a droit l’assuré ne doit pas entrainer l’enrichissement de celui-ci, il a tout de même droit à la

réparation complète et entière de tout le préjudice qu’il a subi.

Ce postulat trouve notamment à s’appliquer lorsqu’est mise en jeu la responsabilité civile de

l’assuré ou de l’auteur du fait lui causant un dommage.

Dans ce contexte, les assurances des risques Cyber, proposent également des garanties afin de

couvrir leurs assurés contre les frais, non seulement de défense qu’ils pourraient avoir à engager du

fait d’une réclamation d’un tiers, mais aussi des dépenses que pourrait nécessiter une action en

justice de l’assuré qui allègue avoir subi un dommage du fait d’un tiers et qui en demande réparation

à ce dernier. Pour autant, cette volonté de prendre en charge de nombreuses conséquences de la

réalisation d’un risque Cyber doit pouvoir s’articuler avec un ensemble contractuel et assurantiel déjà

existent.

44

II. Une assurance de dommages globale et

additionnelle

Si le risque Cyber évoque naturellement en premier lieu les attaques malveillantes, les

assureurs entendent également par ce risque, l’ensemble des réclamations, qu’elles proviennent de

clients, de collaborateurs, d’utilisateurs ou de partenaires, auxquelles l’assuré sinistré devra faire

face, suite à une atteinte à son système informatique, ou à la violation de la confidentialité des

données leur ayant causé un préjudice.

Effectivement, en vertu du principe posé à l’article 1382 du Code civil, (futur article 1240

suite à l’ordonnance du 10 Février 2016)26, selon lequel « tout fait quelconque de l’homme, qui cause

à autrui un dommage, oblige celui par la faute duquel il est arrivé à la réparer », combiné avec

l’article 1384 alinéa 1er d’après le quel « chacun est responsable du dommage qu'il a causé non

seulement par son fait, mais encore par sa négligence ou par son imprudence », permet à toute

personne ayant subi un dommage du fait de l’exploitation par l’assuré de données lui appartenant, de

lui demander la réparation de son préjudice. De cette manière, l’assuré peut alors faire l’objet de

réclamations engageant sa responsabilité civile.

Il faut toutefois distinguer cette hypothèse des situations dans lesquelles c’est l’assuré lui-

même qui pourrait engager une procédure à l’encontre du responsable de son dommage afin

d’obtenir de ce dernier réparation de son préjudice. Ainsi, outre les procédures pénale résultant de la

commission de faits délictuels tels que des actes de malveillance, l’assuré peut engager une

procédure civile contre l’auteur de l’atteinte, si celui-ci est connu, afin de lui demander réparation de

son préjudice.

Effectivement, les dépenses effectuées à l’occasion d’une instance en justice pouvant être

nombreuses et importantes, l’assuré peut encore prétendre à la prise en charge de ces frais par son

assureur, au titre de sa couverture de responsabilité civile. Son indemnisation sera alors limitée par le

principe indemnitaire comme pour la mise en œuvre de toute assurance de dommages au sens

26 Ordonnance du 10 Février 2016, n°2016-131 portant réforme du droit des contrats, dont l’entrée en vigueur est prévue selon l’article 9 de ladite loi le 1er Octobre 2016. https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000032004939&categorieLien=id > Consulté le 19/08/2016.

45

général, mais le principe de réparation intégral du préjudice, viendra cependant lui garantir son

complet dédommagement,

Cependant cette assurance des risques Cyber ne doit pas être appréhendée indépendamment

de l’environnement assurantiel de l’assuré. En effet celui-ci peut déjà être titulaire de diverses autres

couvertures d’assurances dommages. Dans un tel contexte, il convient alors pour l’assuré, comme

pour l’assureur de réfléchir et anticiper la combinaison des différents contrats d’assurance dont

dispose l’assuré pour lui garantir une couverture optimale de ses sinistres, sans procéder à

d’éventuels cumuls d’assurance. En effet, l’assurance des risques Cyber, n’est pas une assurance

indépendante en ce sens qu’elle s’inscrit dans un environnement assurantiel plus ou moins dense de

l’assuré. De telle sorte que, l’assuré qui a également souscrit diverses assurances de type dommages

peut alors bénéficier de couvertures qui vont se compléter entre elles (A).

En cas de concurrence entre les différentes assurances dont bénéficie l’assuré, il est nécessaire de

vérifier qu’une garantie différente, assurant le même risque ne couvre pas déjà le sinistre, afin de ne

pas donner lieu à un cumul d’assurance ou à un phénomène de sur-assurance, dont les conséquences

et les implications sont dictées par un régime spécial. Effectivement, une telle situation est souvent

découverte à la suite d’un sinistre, lorsque l’assuré actionne ses garanties. L’anticipation permet alors

d’éviter pour l’assuré de se trouver dans une situation délicate s’agissant de la mobilisation de ses

garanties, alors même qu’il doit faire face à un sinistre. Pour l’aider dans cette réflexion l’assuré,

comme l’assureur ne sont pas seuls et peuvent bénéficier des conseils d’un courtier en assurance, qui

sera leur intermédiaire dans leurs relations contractuelles (B).

46

A. Une assurance de responsabilité civile adéquate et

complémentaire

La responsabilité civile se définissant comme l’obligation de réparer tout dommage causé à

autrui, l’assurance de responsabilité civile est donc l’assurance qui couvre les conséquences

pécuniaires occasionnées par la réalisation d’un dommage causé à autrui. Plus particulièrement elle

garantit à la personne qui bénéficie de l’assurance l’impact financier de la réalisation de ce risque

lorsqu’il y a lieu à une réclamation de la victime.

1) Des garanties fondées sur la réclamation d’un tiers lésé

S’agissant des assurances des risques Cyber, les assureurs peuvent proposer des garanties

ayant pour objet de couvrir leurs assurés pour les frais de défense consécutifs à une réclamation faite

par un tiers à l’encontre de l’assuré, et mettant en jeu la responsabilité civile de ce dernier pour des

faits imputables à une atteinte aux systèmes informatiques de l’assuré ou aux données personnelles

qu’il exploite. Par ailleurs, une réclamation ne revêt pas nécessairement la même définition selon les

différentes polices. C’est donc, en ce qui concerne les assurances une notion contractuelle. Il peut

être requis par certains assureurs une réclamation prenant la forme d’une assignation réalisée devant

un tribunal civil ou administratif, d’une mise en cause amiable ou de tout écris adressé par lettre

(éventuellement recommandée) à l’assuré ou à l’assureur par le tiers qui allègue le préjudice, ou

encore ces trois modes peuvent être admis simultanément.

Ainsi pouvons-nous d’ores et déjà préciser que les garanties qui couvrent la responsabilité

civile de l’assuré, reposent sur une réclamation de la part d’un tiers. De fait, la couverture

d’assurance ne peut être engagée que si l’assuré présente à son assureur une réclamation dont il fait

l’objet par un tiers. Ces polices rédigées selon le système de la base réclamation, imposent à

l’assureur de couvrir toutes les réclamations survenues pendant la période de validité de la police,

quelle que soit la date du fait dommageable. De cette manière, l’assuré qui fait face à une

réclamation de la part d’un tiers pendant la période de validité du contrat, pour un fait s’étant produit

en dehors de la période d’assurance, reste néanmoins couvert par l’assureur. Pour rappel, la période

d’assurance se déroule entre la date de prise d’effet du contrat et la date du premier renouvellement,

puis entre deux échéances consécutives.

47

En outre, certaines polices d’assurance font également référence à la notion de «période

subséquente27 ». Cette période est un délai, qui succède immédiatement à la date de fin du contrat

(que cette fin soit le fait de la suppression du contrat d’assurance, de son expiration ou de sa

résiliation) durant lequel toute réclamation, pour un fait qu’il soit réel ou allégué, commit avant cette

date, peut être introduite à l’encontre de l’assuré.

Autrement dit, une réclamation même communiquée après que le contrat d’assurance ait pris

fin peut faire l’objet d’une prise en charge par l’assureur si elle correspond à un fait dommageable

survenue antérieurement à l’arrêt du contrat d’assurance. En outre, au terme de la loi28, cette période

ne peut être inférieure à 5 ans. Ce délai peut être porté à 10 ans pour les assurances de certaines

professions, comme les constructeurs par exemple, par un décret du 26 novembre 200429 portant

modification des dispositions figurant aux articles R 124 -2, -3 et -4 du Code des assurances.

Concernant les assurances des risques Cyber, le volet responsabilité civile entend, comme

nous l’avons étudié, couvrir l’assuré des conséquences pécuniaires consécutives à une réclamation

introduite par un tiers. Néanmoins, précisons qu’il est impératif que le fondement de cette

réclamation et donc du préjudice allégué par la tierce personne résulte de la réalisation d’une atteinte

informatique ou d’une atteinte aux données à caractère personnel exploitées par l’assuré. En ces

termes, le préjudice subi par le tiers et dont il demande réparation doit avoir été causé par l’une de

ces deux catégories d’atteintes dont a été victime l’assuré.

En l’occurrence, pour que soit reconnue la responsabilité de l’assuré, mis en cause par un

tiers, il faut alors reprendre les critères posés par le droit commun de la responsabilité civile. C’est-à-

dire que doit être caractérisée l’existence de trois éléments :

- Un fait générateur de responsabilité

- Un dommage certain

- Un lien de causalité

De fait, le tiers qui réclame la réparation du préjudice qu’il a subi, devra apporter la preuve de

l’existence de ce préjudice, mais aussi du fait de l’assuré et enfin du lien de causalité entre ces deux

27 http://www.argusdelassurance.com/marches/marketing/la-garantie-subsequente-est-portee-a-dix-ans.29715 > Consulté le 22/08/2016 28 Article 80 de la Loi n° 2003-706 du 1 août 2003 de sécurité financière https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000428977 > Consulté le 09/08/2016 29 https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000440483 > Consulté le 09/08/2016

48

derniers éléments, au terme de l’article 1315 alinéa 1er du Code Civil30, d’après lequel « Celui qui

réclame l’exécution d’une obligation doit la prouver ». La responsabilité étant également un lien

d’obligation, en ce qu’il implique un lien juridique entre deux personnes.

Illustrons ce propos par un cas d’école simple. Par exemple, une entreprise qui traite des

données personnelles pour les besoins de son activité, telles que des informations relatives à

l’identité des personnes et leurs données bancaires, est la cible d’une attaque malveillante d’un pirate

informatique, qui conduit à la diffusion de ces données. Dans ce cas, une personne dont les données

bancaires ont été frauduleusement utilisées va pouvoir demander la réparation du préjudice qu’elle a

subi du fait de cette utilisation contre son gré, rendu possible par l’exploitation de ces dernières, faite

par l’assuré. En introduisant une réclamation à l’encontre de l’entreprise, elle devra ainsi prouver

l’existence réelle de son préjudice, c’est à dire qu’elle a bien subi une atteinte à son patrimoine ou à

sa vie privée par exemple. Le tiers réclamant aura aussi à démontrer l’existence de l’atteinte subi par

le responsable des données, autrement dit à son système informatique et les données qu’il contient, et

enfin le lien de causalité entre ces deux faits, à savoir que son dommage résulte directement de cette

atteinte.

L’entreprise, si elle est couverte par une assurance des risques Cyber, pourra appeler son

assureur en garantie des frais qu’elle aura à engager, non seulement du fait même de la réclamation,

c’est-à-dire les frais de défense, mais pourra encore prétendre à l’indemnisation de sa dette de

responsabilité, dans l’hypothèse où sa responsabilité serait reconnue à l’issue de la procédure. En

effet, rappelons que les garanties de responsabilité offertes par les assurances des risques Cyber,

comprennent la prise en charge des frais de défense dite « civile ». De fait, l’assurance n’ayant pas

vocation à garantir le fait intentionnel de l’assuré, les frais de défenses afférents à une procédure

pénale ne font pas l’objet de couvertures d’assurance. Il est ici question de ne pas entraver le principe

de personnalité des peines, l’assuré ne pouvant solliciter son assureur pour s’exonérer des

conséquences pécuniaires d’une mise en cause pénale.

Les frais de défense civile incluent notamment, les frais d’honoraires d’avocats, ou encore les

frais divers liés aux diligences requises au cours de la procédure (tels que les frais d’expertise,

d’instruction ou bien de comparution). Au titre de cette garantie, l’assureur peut en outre offrir un

certain nombre de service comme la mise à disposition de conseillés ou d’avocats. De surcroît, les

garanties des frais de défenses entendent notamment par frais de défense civile, les frais qui résultent 30https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006437767&cidTexte=LEGITEXT000006070721 > Consulté le 07/08/2016

49

d’une procédure tant judicaire (une procédure conduite devant un système judiciaire étatique),

qu’amiable, c’est-à-dire les frais liés à un processus de négociation entre l’assuré, accompagné de

son assureur et la victime ou encore arbitrale (qui est un système de justice privé, dans lequel un

arbitre tranche le litige qui lui est soumis).

Par ailleurs certaines polices d’assurance proposent également de procéder à la prise en

charge des conséquences pécuniaires résultant d’une réclamation fondée sur un certain nombre de

fautes précisément déterminées. Ici encore, selon les assureurs le degré de précision des polices vari,

et lorsque certains assureurs offrent des garanties exprimées en des termes très généraux, d’autres

estiment plus opportun de définir de manière exhaustive les risques qu’ils s’engagent à couvrir. Dans

ce contexte on peut alors rencontrer des contrats d’assurances qui proposent des garanties dites «

multimédia ».

Il s’agit d’une originalité de l’assurance des risques Cyber au regard des assurances de

responsabilité civile qui sont en France construite sur le modèle « tout risque sauf ». Autrement dit,

les assurances de responsabilité civile ont pour caractéristique de définir de manière large l’objet de

la garantie qui est offerte ainsi que les sinistres couverts. Les limites de cette dernières étant posées

par les exclusions de garantie.

Pourtant, ces garanties « multimédia » ont pour objet de prendre en charge les frais de

responsabilité civile de leur assuré lorsque ce dernier a rendu possible la commission des fait fautifs

tels que la diffamation, la calomnie, la violation d’un droit d’auteur, le plagiat, un piratage ou encore

l’usurpation d’identité ayant causé à autrui un dommage du fait de la reproduction, de la

communication ou de publication d’information numérisées par l’assuré. Dans ce type de garantie,

l’assuré doit avoir commis des faits, non intentionnellement, limitativement énumérés dans une liste

exhaustive.

Rappelons à cet égard que seules les fautes non intentionnelles peuvent faire l’objet d’une

garantie, la faute intentionnelle étant inassurable. Ces variantes des assurances de responsabilité

civile ont pour effet d’apporter un complément afin d’embrasser une multitude de potentialités de

sinistres en lien avec les risques Cyber. L’assureur prendra en charge les conséquences pécuniaires

résultant de réclamations provenant de tiers, lorsque l’assuré s’est livré à l’une des pratiques ci-

dessus, involontairement, du fait de l’exploitation de systèmes informatiques.

De surcroit, l’assuré qui dispose d’une assurance des risques Cyber, peut également être

bénéficiaire d’assurances de responsabilité plus générales par leur objet.

50

2) Des garanties complémentaires avec la responsabilité professionnelle de l’assuré

Effectivement, à l’occasion de toutes activités professionnelles, associatives ou d’autres

natures encore, une personne peut être exposée à divers risques du fait même de l’exercice de cette

activité.

Ainsi, dans le but de garantir leurs assurés des conséquences pécuniaires de réclamations

provenant de tiers, les assureurs proposent de nombreuses couvertures de responsabilité civile. Il

convient notamment de préciser que les assurances proposées pour contrer leurs effets sont largement

plébiscitées par les professionnelles, c’est-à-dire pour l’assuré qui tient à couvrir son activité

professionnelle. Dès lors, dans le cadre de l’exercice de leur activité, les professionnels peuvent déjà

avoir souscrit des assurances couvrant les risques inhérents à leur profession.

Les assurances contre les risques Cyber ont donc cette particularité, qui leur est inhérente, à

savoir qu’elles ont vocation à venir compléter des contrats d’assurances préexistants et souscrits par

l’assuré. Toutefois ces derniers peuvent également venir palier une éventuelle carence de la police

d’assurance contre les risques Cyber.

Notamment il peut s’agir d’assurances garantissant les biens acquis, détenus ou loués par le

professionnel - les assurances de biens - mais il peut aussi s’agir d’assurance couvrant les dettes de

responsabilité du professionnel. Ces couvertures de responsabilité civile peuvent avoir pour objet

diverses classes de risques spécifiques. De telle sorte que l’on peut distinguer les assurances :

- de responsabilité civile professionnelle,

- de responsabilité civile d’exploitation,

- de responsabilité civile liée à la fraude.

Ces différentes assurances ont comme point commun de couvrir l’assuré des conséquences

pécuniaires consécutives à la réalisation d’un sinistre couvert. Ces polices entendent de manière

générale la notion de sinistre comme un dommage causé à un tiers, engageant la responsabilité de

l’assuré auteur du fait dommageable et donnant lieu à une réclamation par ce tiers. En effet le point

de départ de la mise en jeu de la couverture résulte, ici aussi, d’une réclamation de la part d’un tiers

lésé, telle que nous l’avons définie précédemment.

51

S’agissant de la responsabilité civile professionnelle, elle a vocation à garantir à l’assuré le

paiement des conséquences pécuniaires d’une réclamation d’un tiers, fondée sur une faute

professionnelle, une erreur, une omission ou une négligence commise par l’assuré lui-même ou par

un préposé dont l’assuré est responsable. A ce titre, cette couverture peut alors être invoquée comme

un complément à la prise en charge complète du dommage subi par l’assuré du fait d’une atteinte à

son système informatique. Il est de fait possible que l’assurance des risques Cyber exclu les erreurs

humaines de programmation, de développement ou de mise en place de programmes informatiques

par exemple. En ce cas, l’assuré couvert par une assurance de responsabilité civile professionnelle

pourra alors voir les frais engagés à l’occasion du sinistre consécutif à un fait dommageable propre

ou provenant de l’un de ses préposés pris en charge.

La notion de préposé s’entend par ailleurs de toute personne physique agissant sous la

direction, les ordres et la surveillance de l’assuré en l’occurrence. Autrement dit, il doit être

caractérisé un lien de subordination31 entre l’assuré qui appelle la garantie de son assureur et la

personne de laquelle émane l’erreur.

Dans le cadre de cette assurance, sont notamment pris en charge les frais afférents à la

défense civile de l’assuré. Ces frais sont les frais engagés à l’occasion d’une procédure civile

judiciaire, amiable ou encore arbitrale, selon les dispositions contractuelle. L’assureur remboursera

en cas de sinistre ces dépenses, réalisées par son assuré, à la suite d’une réclamation émanent d’un

tiers.

A ce titre, l’erreur, l’omission ou la négligence commise par un préposé de l’assuré, fait

l’objet de la garantie en ce qu’elles sont constitutives d’une faute professionnelle de ce préposé. En

ce sens la faute professionnelle constitue donc le fait dommageable, nécessaire au prononcer de la

responsabilité civil de l’assuré du fait de ses préposé.

Ce type de garantie, pour laquelle l’assuré est en outre assuré pour le fait d’autrui, découle

notamment de l’existence d’un lien de responsabilité expressément reconnu, dans la lettre de l’article

1384 du Code civil. Ainsi, ledit texte dispose : « On est responsable non seulement du dommage que

l'on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on

doit répondre, ou des choses que l'on a sous sa garde. […]

31

Au sens de l’arrêt Soc., 1er

décembre 2005, Bull. 2005, V, n° 349 https://www.courdecassation.fr/publications_26/mensuel_droit_travail_2230/bulletin_droit_travail_2008_2779/travail_3_2963/ > Consulté le 18/08/2016

52

Les maîtres et les commettants, du dommage causé par leurs domestiques et préposés dans les

fonctions auxquelles ils les ont employés ; ».

Le commettant, responsable du fait de ses préposés, une couverture d’assurance lui

permettant d’être couvert contre les dettes de responsabilité qui peuvent naitre à l’occasion de ce lien

de subordination semble essentiel. L’assuré, dont l’un des préposés aurait commis une erreur ayant

entrainé une atteinte informatique pourra alors, même en cas d’exclusion de garantie au sein de son

assurance des risques Cyber, voir les conséquences de la réalisation du sinistre prises en charge par

son assurance de responsabilité civile professionnelle.

En outre, l’assurance de responsabilité civile professionnelle en tant qu’assurance de

dommage, répond des mêmes possibles exclusions de garanties. En effet, nous employons le terme «

possibles », du fait de la large place faite à la liberté contractuelle en matière de garantie d’assurance.

Dès lors, si certains risques ne peuvent jamais être couverts, comme la faute intentionnelle ou

dolosive de l’assuré, celle commise par le préposé de l’assuré peut en revanche être garantie, selon

les stipulations contractuelles.

Au regard de ce développement, on peut alors constater les limites des assurances des risques

Cyber, malgré la largesse de leur champ d’application. De fait, si les assureurs entendent couvrir un

nombre important de risques et garantir leurs conséquences pécuniaires, il n’en demeure pas moins

que tous les préjudices pouvant résulter d’une atteinte informatique ne peuvent être garantis. Il est

donc indéniable que l’assurance des risques Cyber est une assurance qui doit être envisagée comme

une assurance spécifique, complémentaire et non indépendante. Il s’agit de renforcer les chances

d’indemnisation totale du préjudice subi par l’assuré du fait de la survenance d’un sinistre.

Néanmoins, il est toutefois possible que la police d’assurance comporte des limites de garantie32. Ces

limites négociées entre l’assuré et l’assureur peuvent résulter des déclarations faites par l’assuré

relativement à son risque, en ce qu’il estime ne pas être exposé à un risque dont le montant pourrait

dépasser une certaine somme. En outre ces limites de garantie constituent également un périmètre

aux capacités financières que l’assureur devra mobiliser pour prendre charge la réalisation d’un

sinistre couvert au titre de ladite police.

Les assureurs peuvent également proposer des couvertures de responsabilité, ayant pour objet

de prendre en charge les conséquences pécuniaires résultant de toute réclamation introduite par un

tiers, fondée sur un fait dommageable imputable à l’assuré dans l’exercice de son activité, ou du fait

32

http://www.assureur-conseil-en-ligne.fr/dictionnaire-assurance/limites-de-garantie.html > Consulté le 18/08/2016

53

du produit ou service fournis. Dès lors, la responsabilité de l’assuré peut encore être recherchée du

fait des biens qu’il détient, ou est propriétaire ou locataire.

En ce sens on peut évoquer les garanties de responsabilité civile d’exploitation dites « avant

livraison ou réception » et celles dites « après livraison, réception, ou achèvement de la prestation ».

Il s’agit alors de couvrir l’assuré lui-même ainsi que ses préposés pour les fautes, erreurs omissions

ou négligences commises à l’occasion de l’exercice même de l’activité ou encore l’assuré du fait de

biens ou choses qu’il a fournis et contractuellement déterminés. Ces garanties peuvent, de la même

manière que l’assurance de responsabilité civile professionnelle apporter un complément de prise en

charge du sinistre subi par l’assuré en cas d’atteinte informatique, lorsque l’assurance des risques

Cyber ne couvre pas certains frais ou certains risques.

Par ailleurs, une couverture garantissant l’assuré contre les faits frauduleux de ses préposés,

ou bien même de tiers, c’est-à-dire l’assurance couvrant la fraude, peut encore être mobilisée, lors de

la survenance d’une atteinte informatique résultant d’un fait volontairement frauduleux subi par

l’assuré. En effet, toutes les polices d’assurance des risques Cyber ne couvrent pas nécessairement

l’assuré contre la fraude d’un tiers ou d’un préposé de l’assuré, or ce dernier peut par ailleurs être

assuré pour ce risque. Les actes considérés comme frauduleux peuvent être des faits de vol,

d’escroquerie, ou encore d’abus de confiance.

Une assurance de responsabilité civile du fait de la fraude d’un préposé ou d’une personne

dont l’assuré est civilement responsable peut en ce cas venir palier en partie une carence de

l’assurance des risques Cyber. En outre, les assurances contre la fraude, ont encore pour objet de

garantir l’assuré des dommages qu’il subit à cause de fait frauduleux émanant de tiers. En ce cas, il

est alors possible que les dommages subis par l’assuré du fait de l’atteinte informatique soient pris en

charge par l’assurance contre la fraude, et que la police couvrant les risques Cyber vienne indemniser

les frais de défense civile de l’assuré qui intente une action contre l’auteur de l’atteinte par exemple.

Par ailleurs, si évoquer les assurances des risques Cyber renvoie souvent à l’idée de couvrir

des professionnels pour l’exercice de leur activité, ou de tout autre type d’entité, les particuliers aussi

peuvent désormais souscrire des assurances ayant pour vocations de protéger leurs intérêts en cas

d’atteinte numérique subie par ce dernier. En effet la population utilise de plus en plus d’objets

informatiques et numériques connectés tels que des téléphones, ordinateurs, ou encore des tablettes

dont l’utilisation engendre la circulation de nombreuses données personnelles et financières. Dès

lors, les risques liés à cette utilisation croissent également, et chacun peut à présent faire l’objet

54

d’usurpation d’identité, de détournement de données personnelles ou d’atteinte à l’image numérique

(aussi appelée « l’e-reputation »).

Cyril Leclerc, Directeur de la stratégie et du développement Chez Allianz Protection Juridique,

énumère ainsi les risques de dénigrement, de rumeur, et évoque la diffusion de fausse information ou

la propagation d’avis négatifs dans un entretien accordé pour la revue « L’Argus de l’assurance »33. Il

fait également état du nombre grandissant d’utilisations frauduleuses de données bancaires. Autant

de risques dont les conséquences pour les particuliers peuvent être indemnisées. Nous pouvons, à

titre d’exemple retenir les garantie proposées après le groupe allemand Allianz, dont Monsieur

Leclerc nous donne un aperçu : « L’assurance de protection juridique, c’est une mise en relation

avec des juristes compétents qui savent comment intervenir et agir rapidement : saisir le juge en

urgence, faire appel à un huissier spécialisé dans la collecte de captures d’écran sur Internet qui ont

valeur de preuve, rappeler les moteurs de recherche à leurs obligations de droit à l’oubli ou encore

enfouir des données. De plus, ces procédures pouvant être très couteuses, nous prenons en charge

tout ou partie des frais de justice (honoraires d’experts, d’huissiers, d’avocats) ». Cette description

des services offerts dans le cadre de la prise en charge d’un sinistre de type Cyber révèle que les

assureurs proposent un niveau de garantie aussi complet s’agissant des garanties de responsabilité

civile pour les particuliers que pour les entreprises.

Ainsi, les assurances des risques Cyber ne peuvent, comme de nombreuses autres couvertures

d’assurance s’appréhender de manière totalement indépendante et autonome. En effet, qu’elles

prennent la forme de couverture « à péril dénommé » ou « tout risque sauf », il demeure des

occurrences de sinistre qui ne sont couverts ou dont la totalité des conséquences pécuniaires ne

peuvent faire l’objet d’une prise en charge par l’assureur des risques Cyber. Un environnement

assurantiel, auprès du même assureur ou d’assureurs différents peut alors être un remède à la

réalisation d’un risque pour l’assuré.

Ainsi, les garanties d’assurance peuvent apporter un complément d’indemnisation pour

l’assuré en ce qu’un sinistre non assurable au titre de la police couvrant les risques Cyber, peut l’être

par un autre contrat d’assurance. Cet effet de complémentarité pouvant aussi être constaté lorsqu’a

été admis l’existence de limites de garantie au sein du contrat d’assurance. Ces limites prennent la

forme d’une somme négociée et convenue entre les parties, que l’indemnisation ne pourra dépasser.

De cette manière, l’assuré maitrise le coût des primes ou cotisations qu’il doit à son assureur, mais de

33

http://www.argusdelassurance.com/acteurs/compagnies-bancassureurs/cyber-risques-allianz-protection-juridique-fait-le-buzz.97362 > Consulté le 25/07/2016

55

ce fait limite le montant de l’indemnisation à laquelle il pourra prétendre en cas de survenance d’un

sinistre. L’assureur limite alors son engagement.

Néanmoins il faut être vigilent sur le risque de cumul d’assurance. En effet, une situation

dans laquelle plusieurs couvertures d’assurance se superposent simultanément peut affecter le

principe indemnitaire. Ainsi, ce principe selon lequel seul le préjudice réellement subi par l’assuré

doit être pris en charge, implique que l’indemnisation n’est pas un moyen d’enrichissement pour ce

dernier.

Afin d’éviter toute difficulté en ce sens et de parvenir à la mise en place d’une couverture

efficace, l’assuré peut faire appel aux services d’un courtier, spécialisé dans les opérations

d’assurance, chargé de lui prodiguer conseils et expertises. Le courtier endosse, en outre, le rôle

d’intermédiaire entre l’assuré et l’assureur, et voient dans ce domaine, s’accroitre l’ampleur de sa

fonction.

B. Le recours à un courtier d’assurance, comme remède au

risque de cumul d’assurance

Lorsqu’une personne assurée bénéficie de plusieurs contrats d’assurance, même ayant pour

objet principal des couvertures contre des risques distincts, peuvent toutefois comporter des

garanties concurrentes ou cumulatives entre elles. Dès lors il est indispensable pour l’assuré,

lorsqu’il projette de se prémunir contre les risques Cyber, de se montrer vigilant sur cet aspect relatif

à la détention d’un ensemble assurantiel.

1) Le cumul d’assurance, un risque en lui-même ?

Le cumul d’assurance et la sur-assurance sont des situations particulières envisagées par le

Code des assurances qui leur consacre un régime particulier. Si ces deux phénomènes ne peuvent se

produire uniquement s’agissant d’assurance de dommages, c’est-à-dire d’assurance de biens et

56

d’assurance de responsabilité, il convient en tout premier lieu de les distinguer. Cette dernière est la

situation dans laquelle un « contrat d’assurance a été consenti pour une somme supérieure à la

valeur de la chose assurée » selon l’article L 121-3 alinéa 1er du Code des assurances. Contrairement

au cumul d’assurance, la sur-assurance ne peut résulter que de la souscription d’un contrat unique

dont l’objet est la garantie d’un intérêt ou d’une chose pour une valeur supérieure à sa valeur réelle.

Le cumul d’assurance est lui caractérisé d’après l’article L 121-4 alinéa 1er du Code des

assurances lorsqu’une personne est assurée « auprès de plusieurs assureurs, par plusieurs polices,

pour un même intérêt, contre un même risque ». Plus précisément, il faut d’abord que soit

caractérisée une pluralité de polices d’assurance auprès de plusieurs assureurs. De surcroit, ces

différentes polices d’assurance doivent être amenées à être mobilisées de manière simultanée. Cette

situation dans laquelle un même sinistre peut entrainer la mobilisation de plusieurs contrats peut

effectivement porter atteinte au principe indemnitaire, seulement si est aussi constater l’identité de

risque. C’est-à-dire que les contrats doivent avoir pour objet de prémunir l’assuré contre la même

menace, le même fait dommageable. En outre les critères énoncés par le Code des assurances sont

cumulatif, autrement dit, le cumul d’assurance ne peut être établi que si tous les critères sont remplis.

Ainsi, outre l’existence de plusieurs assureurs en jeu, il faut également que le risque couvert

soit le même dans les différents contrats d’assurance. Ce risque peut alors s’entendre d’une identité

d’évènements couverts, ou d’une identité de chose pour les assurances de biens. Est par ailleurs

associé à l’identité de risque, l’identité d’intérêt, c’est-à-dire que le bénéficiaire des différentes

polices d’assurance doit être le même. En effet il ne peut y avoir d’atteinte au principe indemnitaire

que si une seule et même personne à vocation à profiter des différentes indemnités, provoquant alors

possiblement son enrichissement. A ce titre la jurisprudence a également ajouté un nouveau critère

par une série de trois arrêts34 provoquant alors un revirement de jurisprudence, en estimant tous trois

que « les dispositions de l’article L 121-4 du Code des assurances relatives au cumul d’assurances

ne sont applicables que si un même souscripteur a souscrit auprès de plusieurs assureurs des

contrats d’assurance, pour un même intérêt et contre un même risque ».

34 Cass. 1re civ., 21 nov. 2000 ; Cass. 1re civ., 29 oct. 2002 ; Cass. 2e civ., 17 févr. 2005. M. ASSELIN, “ASSURANCE DE DOMMAGES – Règles générales – Objet du contrat : risques et valeurs garantis », JURIS CLASSEUR, 17 janvier 2016 https://www.lexisnexis.com/fr/droit/search/runRemoteLink.do?bct=A&risb=21_T24580342369&homeCsi=268030&A=0.14101396068634187&urlEnc=ISO-8859-1&&dpsi=00AP&remotekey1=DOC-ID&remotekey2=272_EG_CA0_621272FASCICULEEN_1_PRO_373270&service=DOC-ID&origdpsi=00AP&chunkLNI=5HX6-R6J1-DY59-7183-00000-00&homeCsi=268030 > Consulté le 11/08/2016

57

Dès lors que cette situation est caractérisée et que l’existence de tous les critères a pu être

établie, l’article L 121-4 du Code des assurances impose qu’elle soit portée à la connaissance de

chacun des assureurs par l’assuré bénéficiaire des différentes polices d’assurance. Cette obligation de

déclaration est posée à l’article L 121-4 alinéa 2 du Code des assurances, qui n’impose toutefois pas

de forme particulière à cette dernière. Simplement l’assuré souscripteur doit faire part à l’ensemble

des assureurs du nom des autres assureurs avec lesquels il a souscrit pour le même risque et préciser

le montant des sommes assurées par les différents contrats. A ce titre l’article susvisé précise

également que cette déclaration doit être réalisée « immédiatement », c’est-à-dire dès qu’il a

connaissance du cumul. Autrement dit, dès la souscription de la seconde police qui entraine par sa

conclusion une situation d’assurance cumulative.

Par ailleurs, seul le cumul d’assurance frauduleux est sanctionné. Dès lors que la situation

résulte d’une négligence ou d’une omission de la part de l’assuré bénéficiaire des assurances en

cause, ce dernier aura droit à l’indemnisation de dommage en cas de survenance d’un sinistre. En ce

cas, l’article L 121-4 alinéa 4 du Code des assurances énonce que chacune des couvertures

d’assurance souscrite « produit ses effets dans les limites des garanties du contrat et du respect des

dispositions de l’article L 121-1, quelle que soit la date à laquelle l’assurance aura été souscrite ».

Rappelons à cet égard que l’article L 121-1 du présent Code défini et impose l’application du

principe indemnitaire, selon lequel l’assurance ne peut jamais être l’occasion d’un enrichissement

pour l’assuré. La répartition entre assureurs mobilisés de la charge de l’indemnisation se fait de

manière ultérieure et n’est pas opposable à l’assuré.

En revanche lorsque l’assuré a souscrit des assurances cumulatives intentionnellement et de

manière frauduleuse, l’article L 121-4 alinéa 3 du Code des assurances prévoit que ce sont les

sanctions de l’article L 121-3 du même Code qui sont applicable, à savoir la nullité des contrats

d’assurance. Ainsi les contrats d’assurances concurrents sont annulés, l’assuré ne peut prétendre à

aucune indemnisation au titre du sinistre qu’il subit, et les assureurs ont encore la possibilité de

réclamer des dommages et intérêts.

Il est donc essentiel lors de la conclusion d’un contrat d’assurance des risques Cyber, pour

l’assuré, de bien connaitre et bien comprendre l’ensemble des garanties dont ils bénéficient et de

s’assurer que son environnement assurantiel ne comprenne pas déjà de telles garanties.

58

Cet enjeu représente d’ailleurs un frein potentiel à la souscription d’assurance des risques

Cyber selon Didier Seigneur35, Directeur des risques financiers pour la France et le Benelux d’AIG

(American International Group), un réseau mondial d’assurance dommage et responsabilité, qui

explique que les assurances dites « doublons » (lorsqu’il existe un cumul d’assurance) peuvent

arriver « puisqu’en France la RC [les contrats d’assurance de responsabilité civile] est tout risque

sauf ». En effet, dès lors que les polices d’assurance de responsabilité civile sont construites selon le

modèle « tout risque sauf » à savoir que le risque est très largement défini dans le contrat et ce sont

les exclusions de garantie qui en délimitent le périmètre, le risque de cumul d’assurance peut être

plus élevé.

Le sinistre couvert étant largement entendu, il est alors d’autant plus probable qu’une autre

assurance envisage la garantie d’un même risque même si l’objet de cette dernière est différent, ou

plus précis. Si d’un point de vue purement juridique ce phénomène constitue une situation anormale,

pour les assurés il s’agit surtout d’un enjeu financier. En effet, la crainte des potentiels assurés

réticents réside dans le fait de payer deux primes différentes pour une même couverture.

Pourtant Jimaan Sané, souscripteur chez l’assureur Beazley, également sollicité par

l’AMRAE36 estime lui que le risque et le marché du Cyber risque sont tout à fait distincts et affirme

que « la RC intervient uniquement suite à la réclamation d’un tiers alors que la police Cyber,

notamment en prise en charge de la gestion de crise, intervient bien avant. Et quoi qu’il en soit, les

polices classique de RC ne sont pas dimensionnées pour traiter le Cyber risque ». Les assureurs ont

un effort certain de communication à réaliser afin d’éveiller leur potentielle clientèle d’assurance des

Cyber risques.

La mise en place d’une assurance des risques Cyber est donc un processus complexe, tant du

fait des couvertures d’assurance offertes en elles-mêmes, mais aussi eu égard à leur articulation avec

d’autres couvertures qu’elles soient des garanties de responsabilité civile ou encore des assurances de

biens. En effet, on peut également évoquer le fait que certaines couvertures assurant les biens de

l’assuré peuvent aussi entrer en concurrence avec l’assurance des risques Cyber.

Ainsi, si l’assurance des risques Cyber excluait la prise en charge des conséquences

pécuniaires d’une atteinte résultant d’un dommage matériel affectant le matériel informatique de

l’assuré, une assurance de type « tout risque informatique » ou « multirisques informatique », 35 Intervention dans un article de Astride_Marie PIRSON. « Cyber risk : un marché en développement mais qui manque de maturité ». l’Atout Risk Manager, La Revue de l’AMRAE n° 7 de Décembre 2015 36 Intervention dans un article de Florence PUYBAREAU. « Cyber risk : un marché en développement mais qui manque de maturité ». l’Atout Risk Manager, La Revue de l’AMRAE n° 7 de Décembre 2015

59

pourrait, elle envisager l’indemnisation des dommages immatériels consécutifs à un dommage

matériel. Les assurances susmentionnées ayant pour objet de garantir les atteintes aux matériels

informatiques déclarés et couverts dans la police. Il s’agit alors de la situation dans laquelle l’assuré

est en capacité de prouver que le dommage immatériel qu’il subit (comme la perte d’exploitation ou

l’atteinte à la réputation par exemple) résulte directement d’un dommage atteignant le matériel

informatique assuré. De nouveau, on peut constater un phénomène d’inter-complémentarité entre

l’assurance des risques Cyber et un ensemble d’autres garanties d’assurance. A cet égard, Xavier

Leproux 37 , responsable Cyber chez l’assureur Chubb estime qu’il est « probable que sous la

pression, notamment des réassureurs, les contrats évoluent assez vite, en RC comme en dommages,

avec un certain nombre d’exclusions pour clarifier les textes et éviter les doublons ».

Dans un tel contexte, l’assuré qui souhaite se prémunir des conséquences de la réalisation

d’un risque de type Cyber, en souscrivant une assurance spécifique peut nécessiter pour sa totale

connaissance de l’engagement qu’il entend contracter un certain nombre d’informations.

Or, le marché des risques Cyber, outre le fait qu’il est aujourd’hui encore, en cours de

maturation, est principalement destiné à une clientèle professionnelle. Cette dernière est en effet

beaucoup plus exposée que les particuliers concernant le traitement et l’exploitation de données et de

systèmes informatisés, mais aussi et surtout s’agissant des conséquences pécuniaires. Il ne fait aucun

doute que le montant du préjudice subi du fait d’une atteinte informatique, même s’il demeure

actuellement encore complexe à déterminer, peut atteindre des sommes très importantes. En effet, les

sinistres de type Cyber constituent des sinistres d’intensité et non de masse. C’est-à-dire que si, au

regard d’autre assurance leur volume en nombre de sinistre déclaré par an est moins élevé, le cout de

ce dernier est en revanche beaucoup plus important. Ainsi, dès 2012, le coût moyen d’un incident

consécutif à un défaut de sécurité informatique dans une entreprise était estimé à 2, 86 millions de

dollars, selon une étude menée par Symantec, une société américaine spécialisée dans les logiciels

informatiques et Ponemon Institute, un institut indépendant de recherche dans le domaine de la

protection informatique.

Face à un risque de cette ampleur, l’assureur doit être en capacité d’offrir une couverture

solide et apte à garantir un ensemble de conséquences potentiellement très élevées. Les capacités

financières des assureurs devant être particulièrement haute, et ce d’autant plus si l’entité qu’il

s’apprête à assurer est une grande entreprise ou une grande société qui traite et gère des données

hautement sensibles. Il n’est alors pas rare que dans ce domaine, il soit recouru à la réassurance.

37 Maude-Marie THOMAS. « Dossier : Le risque Cyber ». L’Argus de l’Assurance du 1er juillet 2016 (n° 7464)

60

Dans ce cas l’assuré ne souscrit qu’une seule police auprès d’un seul assureur, qui lui se charge

ultérieurement, et sans opposabilité possible à l’assuré, d’assurer tout ou partie du contrat. Il peut

encore être procédé à la co-assurance, qui est mécanisme dans le quel plusieurs assureurs se

répartissent la charge des sinistres éventuels, de manière contractuelle. Pour cette opération, un des

membres de la co-assurance est désigné comme étant celui qui traitera directement avec l’assuré, qui

lui n’aura alors qu’un seul interlocuteur ; l’apériteur.

Aussi, les assurances des risques Cyber ont un cout économique pour l’assuré. En effet, afin

d’être couvert l’assuré devra verser des primes à l’assureur dont le montant peut s’avérer

relativement élevé. Néanmoins, il existe des solutions pour l’assuré qui souhaite optimiser sa

situation et sa maitrise de ce risque.

2) Le courtier en assurance, un atout dans le processus contractuel

Dans le but d’obtenir les meilleures garanties possibles mais à des conditions tarifaires

optimales, il peut être intéressant pour le potentiel futur assuré de recourir aux services d’un courtier

en assurance. En effet, comme nous l’avons étudié précédemment, le courtier, en assurance, en

l’occurrence, a un devoir de conseil auprès de ses clients.

Le courtier en assurance, est un intermédiaire en opération d’assurance dont le statut est

défini en fonction de l’activité qu’il exerce. Ainsi, l’article L 511-1 du Code des assurances définit

l’intermédiation d’assurance en son alinéa 1er, comme « l’activité qui consiste à présenter, proposer

ou aider à conclure des contrats d’assurance ou de réassurance ou à réaliser d’autres travaux

préparatoires à leur conclusion ». L’alinéa 2ème du même article précisant qu’est un intermédiaire

toute personne qui se livre à ces activités, contre rémunération. Le courtier d’assurance est donc un

intermédiaire entre ses clients que sont les assurés, et des assureurs qui se proposent de couvrir un ou

plusieurs risques contre lesquels les assurés entendent se prémunir. Le choix de l’assureur est

effectué par l’assuré, au regard des conseils fournis par le courtier.

Le courtier d’assurance est alors considéré comme exerçant une activité commerciale (selon

l’article L 110-1, 7° du Code de commerce), et est obligé de s’inscrire au Registre du Commerce et

des Sociétés pour cette activité de courtage (article R 511-2 du Code des assurances) qui est un

registre tenu par le greffe du tribunal afin de recenser l’ensemble des sociétés et commerçants. Le

courtier, en tant qu’intermédiaire en opération d’assurance est également tenu de se faire enregistrer

61

auprès de l’ORIAS38 qui est le registre unique des intermédiaires en Assurance, Banque et Finance

(au terme de l’article L 512-1 du Code des assurances). Ce registre a notamment pour vocation de

s’assurer du respect par les intermédiaires en opération d’assurance (mais aussi en opération

bancaire), des conditions d’honorabilité et de capacité professionnelle. L’ORIAS est également tenu

de contrôler que l’intermédiaire bénéficie d’une responsabilité professionnelle en adéquation avec

son activité, et que ce dernier respecte les conditions de capacité financières, nécessaire au bon

exerce de ses fonctions.

En effet, comme nous l’avons évoqué antérieurement, le courtier est tenu d’une obligation de

conseil39 auprès de ses clients, mais aussi de mise en garde. Autrement dit, le courtier est tenu de

prendre en considération les attentes de ses clients, mais aussi de procéder à une analyse technique

des besoins et des capacités de ses clients, qu’il doit confronter avec les produits et formules

proposées sur le marché par les assureurs40. Le devoir de mise en garde implique en outre que le

courtier soit tenu d’exprimer un avis sur l’opportunité de l’opération envisagé par son client l’assuré.

A cet égard la Cour de cassation41 précise que même lorsque le client du courtier n’est pas profane en

la matière ou est un professionnel, le devoir de conseil ne peut se résumer à la remise d’une notice

d’information. Nous pouvons à cet égard rappeler les sanctions prononcées par l’ACPR42 s’agissant

de l’exercice correct de ce devoir de conseil qui incombe au courtier.

Le courtier doit alors avoir un rôle actif dans le processus de souscription entrepris par son

client et lui délivrer une prestation de qualité, sous peine de voir sa responsabilité engagée. Toutefois,

le client ne pourra pas prétendre à une quelconque obligation de la part du courtier au titre de la

garantie dont serait titulaire ce dernier de la conclusion effective d’un contrat. Autrement dit, le

courtier n’est pas le garant de la conclusion d’un contrat projeté, et son client ne peut lui reprocher de

ne pas avoir souscrit avec le cocontractant proposé par le courtier. Ce principe découle ainsi d’une

jurisprudence ancienne, dont le principe n’a pas été remis en cause depuis43.

Mais si le courtier est tenu à un devoir de conseil et de mise en garde auprès de son donneur

d’ordre assuré, il n’en demeure pas moins que la principal obligation à sa charge est de parvenir à 38 Fiche descriptive des activités de l’ORIAS : https://www.orias.fr/documents/13705/16521/2013-05-27-%20INTERMEDIAIRES%20EN%20ASSURANCES.pdf > Consulté le 25/08/2016 39

http://www.lefigaro.fr/assurance/2012/06/01/05005-20120601ARTFIG00525-pourquoi-passer-par-un-courtier-en-assurance.php > Consulté le 16/08/2016 40

Philippe GUEZ « Contrat de courtage ». Jursiclassuer. Fasc 850. Du 1er

février 2012. 41

Cass. 2ème

civ., 7 juill. 2011 N° 10-21.719, 1419 42

ACPR Commission des Sanction du 20 juillet 2015 VAILLANCE COURTAGE Procédure no 2014-11 https://acpr.banque-france.fr/fileadmin/user_upload/acp/publications/registre-officiel/20150721-Decision-commission-sanctions-Vaillance-Courtage.pdf 43

Cass. Req., 17 déc. 1929

62

trouver un ou des partenaires à son client. Ensuite, il devra encore procéder à la mise en relation de

son donneur d’ordre et des potentiels partenaires afin que ces derniers puissent procéder en cas

d’accord à l’opération juridique projetée. Le courtier d’assurance devient alors un jalon essentiel du

processus de souscription d’assurance des risques Cyber.

Et notamment dans cette matière, comme nous l’avons souligné ci-dessus, les conséquences

pécuniaires pouvant s’élever à des montants très importants une confrontation des offres du marché

va alors bénéficier à l’assuré. Mais également, le courtier peut encore jouer le rôle d’interface de

communication, lorsque du fait des capacités financières très important requise pour la couverture de

ce type de risque, plusieurs assureurs sont partie à l’opération d’assurance.

En outre, si le contrat d’assurance envisagé requiert que soit mis en place un mécanisme

impliquant plusieurs assureurs, le courtier va alors pouvoir coordonner les différentes propositions

émises auprès de l’assuré, afin que celui-ci bénéficie de l’information la plus complète tout en ne

traitant qu’avec un seul intermédiaire. Ce d’autant que les police d’assurance peuvent parfois

présenter des garanties obscures. C’est pourquoi certains cabinets de courtage en assurance ont eu

l’idée de proposer leur propre texte, proposé à l’adhésion à des assureurs et soumis aux assurés qui

souhaitent souscrire une assurance des risques Cyber.

Cette innovation proposée par le groupe international Marsh, spécialiste du domaine de

l’assurance des risques Cyber, est évoquée par Luc Vignancourt, directeur adjoint Finpro & Risques

Spéciaux chez Marsh France dans le dossier « Le risque Cyber » de l’Argus de l’assurance du 1er

juillet 2016. Elle est de fait un exemple probant du rôle grandissant des courtiers et cabinets de

courtage en la matière. Il s’avère en effet qu’une parfaite maitrise et connaissance approfondie des

risques par ceux-ci, comme des garanties qui existent permet de proposer de meilleurs contrats tout

en attirant l’attention de l’assuré donneur d’ordre sur les écueils d’une police ou d’une autre.

Notamment, le courtier, à l’écoute des besoins de son client l’assuré, va pouvoir distinguer et

étudier les besoins réels de ce dernier, en fonction des informations qui lui ont été transmises. Il

s’agit alors de déterminer le risque réel qu’encourt le client, les éventuelles mesures préventives qui

peuvent être mobilisées, au regard de la cartographie des risques qui lui a été communiquée par le

service compétent de l’assuré. Après quoi, les couvertures indispensables à la préservation des

intérêts de l’assuré vont pouvoir être délimitées, le courtier étant alors chargé d’attirer l’attention de

son interlocuteur sur des points de vigilance essentiels tels que la possibilité que l’assuré souscrive

une assurance qui comporte des garanties déjà existante dans l’environnement assurantiel de l’assuré.

63

Par ailleurs, le courtier n’est pas qu’un simple intermédiaire entre son client et les

cocontractants qu’il lui présente au moment de la conclusion d’un contrat. En effet, le courtier en

assurance peut avoir une véritable place de partenaire auprès de son client et lui fournir des

prestations de gestion44, à la fois des contrats mais aussi des risques à son client. Ainsi la relation qui

peut naitre entre un assuré potentiel et un courtier en assurance est une relation qui est amenée à

perdurer dans le temps, puisque les deux protagonistes entretiennent des liens tout au long de la vie

du contrat né grâce à l’entremise du courtier.

Dans ce cas, la relation entre un courtier en assurance et son client doit reposer sur la

confiance mutuelle, l’assuré, client bénéficiant d’un véritable allié.

44

http://www.grassavoye.fr/le-groupe/le-role-du-courtier-20092.html > Consulté le 23/08/2016.

64

Conclusion

Au cours de nos développements, nous avons pu découvrir que face à l’intensification tant en

volume qu’en technicité des menaces de type informatique et numérique, c’est-à-dire communément

selon l’anglicisme les « Cyber-risques », les assureurs ont entrepris de mettre en place des

couvertures d’assurance adaptée à ce nouveau risque.

En outre, les Cyber-risque ont notamment pour effet de porter atteinte lorsqu’ils se réalisent

aux intérêts pécuniaires et financiers de sa victime. Dès lors, c’est naturellement que les assureurs

ont mis au point des assurances dites de dommages, c’est-à-dire des assurances ayant pour vocation

de protéger les intérêts économiques de l’assuré.

En ce sens il s’agit d’abord de proposer une base adéquate, en relation avec le risque traité,

composées de diverses garanties relevant d’assurance dites aux biens. L’assureur étant alors mobilisé

pour prendre en charge un ensemble de dépenses permettant de mettre fin à la réalisation du sinistre,

sa propagation et d’en parer les effets. De surcroît, l’assureur peut également offrir un certain nombre

de service à son assuré afin que les intérêts patrimoniaux de ce dernier soient préservés et conservent

le plus possible leur intégrité.

Par ailleurs, nous avons également pu constater, qu’au sein même de ses garanties

« dommages aux biens », la législation, tant nationale, qu’européenne, relative à la protection des

données personnelles, particulièrement menacées par la Cybercriminalité, imposait sa marque. De

fait, les assureurs portent une attention toute particulière aux obligations et aux conséquences qui

découlent, pour l’assuré des dispositions en la matière, et proposent de nouveau un accompagnement

adapté. Cependant, les assurances contre les risques Cyber, soulèvent parfois quelques interrogations

notamment s’agissant de l’assurabilité des sanctions prononcées par une autorité administrative,

faisant alors espérer une réponse définitive et non équivoque de la part de la Haute Juridiction qu’est

la Cour de cassation ou de l’ACPR elle-même.

« Adaptation ». Ce terme est probablement celui qui qualifie le mieux la volonté des assureurs

des risques Cyber. En effet, ces derniers tendent à offrir des garanties dont l’objet est de combler les

lacunes d’éventuels contrats d’assurance d’ores et déjà ouverts à la souscription sur le marché. Et qui

entendent couvrir des risques beaucoup plus communs.

65

Pour ce faire, les contrats d’assurance contre les risques Cyber garantissent également la

responsabilité civile de l’assuré, dont le patrimoine pourrait être affecté. Ces garanties entendent

couvrir tant les conséquences pécuniaires résultant d’une dette de responsabilité civile que les frais

engagés par l’assuré pour se défendre. Ici encore, outre un soutien financier (accordé contre paiement

de prime), de l’assuré, celui-ci peut également proposer un accompagnement plus intense et offrir

des services, notamment des prestations juridiques à son assuré.

Si tout utilisateur, exploitant ou responsable du traitement de données numérique peut

désormais bénéficier d’une assurance efficace et adapté à un risque bien particulier, il n’en demeure

pas moins que toute son attention doit être requise lors de la souscription d’un tel contrat. En effet,

comme nous l’avons développé, il réside un certain risque, en ce que l’assuré est toujours couvert par

d’autres contrats qui préexistent à l’assurance contre les risques Cyber. Dès lors, cette nouvelle

police ne doit pas devenir l’occasion pour l’assurer de souscrire de nouvelles garanties, au

demeurant, relativement onéreuses, pour des risques contre lesquels il est finalement déjà couvert. Ce

cumul d’assurance place alors l’assuré dans une situation délicate puisque ce dernier paie pour un

service qui ne pourra peut-être pas lui être fourni en raison du principe d’indemnitaire.

Dès lors, l’assuré lors de la souscription de ces nouveaux contrats (à l’échelle de l’histoire des

assurances) doit se montrer vigilent. En outre, sa vigilance peut encore être attirée par une tierce

personne au contrat d’assurance, qu’est le courtier en assurance. Ce professionnel du domaine

assurantiel a pour rôle de rendre possible la conclusion du contrat par la présentation des parties entre

elles. Mais le rôle du courtier ne s’arrête pas à une simple fonction d’intermédiaire en opération

d’assurance. Il est également un conseillé de ses clients à qui il doit des renseignements et

informations clairs et adaptés à leurs besoins.

Par ailleurs, le rôle du courtier s’affirme particulièrement s’agissant des assurances contre les

risques Cyber, du fait des caractéristiques même du risque à couvrir. Le courtier devient pour ses

clients un véritable partenaire.

L’étude des Cyber-risques, constitue, sauf pour les quelques polices destinées à des

particuliers qui éclosent actuellement, une tâche principalement à destination des services

d’assurance des risques d’exploitation de toute entreprise qui souhaite se prémunir contre ce type de

risque. En effet, il revient à chaque entité d’identifier et quantifier son potentiel de risque afin de

prendre toutes les mesures nécessaires et adéquates. S’agissant des risque Cyber, ce dernier étant

relativement récent et les outils assurantiels mis à disposition par les assureurs l’étant encore

66

également, il semble alors que comme le titre l’AMRAE dans son numéro 7 de décembre 2015 de

l’Atout Risk Manager, La Revue de l’AMRAE :

« Cyber risk : un marché en développement mais qui manque de maturité ».

67

Bibliographie

Ouvrages et manuels :

- Philippe MALAURIE, Laurent AYNES, Philippe STOFFEL-MUNK. « Droit des obligations ». 7ème

Edition. LGDJ, Lextenso édition. 2016

- François TERRE, Philippe SIMLER, Yves LEQUETTES. « Droit civil, Les Obligations ». 11ème

édition. PRECIS Dalloz.

Revues :

- Argus de l’assurance. N° 7466 – 7467. 15 juillet 2016

- Argus de l’assurance N°7466 – 7464. 1er juillet 2016

- Atout Risk Manager, La revue des professionnels du risque et de l’assurance n° 7 Trimestriel.

Décembre 2015

Articles :

- Arnaud TESSALONIKOS. « 3 Question : Entreprise et prévention des risques numériques ». La

semaine juridique Entreprise et Affaires n°47. 19 novembre 2005.

- Eric. A. CAPRIOLI. « Les notifications des données à caractère personnel et le droit : des questions

en suspens ». Communication, commerce électronique n°5. Mai 2010.

- Pierre LECLERC. « Chronique n°9. Un an d’application de la légalisation « informatique et

libertés » ». Communication, commerce électronique. N° 10. Octobre 2007.

68

- Merav GRIGUER. « Le CIL et la gouvernance des données personnelles ». Cahier du droit des

entreprises. N°1. Janvier 2015.

- Merav GRIGUER. « Anticiper ses nouvelles obligations légales pour protéger les données

personnelles dans l’entreprise ». Cahier du droit des entreprises. N°2. Mars 2012.

- Franck CONROY, sous la direction de Laurent CYTERMANN. « L’encadrement du « bid data » et la

protection des droits fondamentaux ». La Revue des juristes de Science Po. N°10. Mars 2015.

- Maud ASSELAIN. « Règles générales – Objet du contrat – risques et valeurs garantis ».

Jurisclasseur. Fasc. 10-10. 17 janvier 2016.

- Daniel. LANGE. « Intermédiaires d’assurance – règles particulières aux courtiers ». Jurisclasseur.

Fasc. 640. 16 Février 2016.

- « INFORMATIQUE. – Données à caractère personnel. – Introduction générale et champ

d'application de la loi "Informatique et libertés". JurisClasseur Administratif. Fasc. 274-10. 30 juillet

2014.

- Matthieu BOURGEOIS. « Réforme européenne des données personnelles : le nouveau partage de

responsabilité entre les acteurs d'un traitement ». La Semaine Juridique Entreprise et Affaires n° 22. 2

Juin 2016, 1328

- Mickaël ROBART, Alban FRÉNEAU. « Les sanctions pécuniaires à la limite de l'assurabilité ». 16

novembre 2012.

Documents officiels :

- Code Civil

- Code des assurances

- Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés (Version

consolidée au 21 juillet 2016)

- Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection

des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre

circulation de ces données. Journal officiel n° L 281 du 23/11/1995 p. 0031 – 0050

69

- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 27 avril 2016

- Règlement relatif à la protection des personnes physiques à l'égard du traitement des données à

caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE

(règlement général sur la protection des données)

- COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN conformément à

l'article 294, paragraphe 6, du traité sur le fonctionnement de l'Union européenne concernant la

position du Conseil sur l'adoption d'un règlement du Parlement européen et du Conseil relatif à la

protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la

libre circulation de ces données (règlement général sur la protection des données) et abrogeant la

directive 95/46/CE

- COMMUNICATION DE LA COMMISSION AU PARLEMENT EUROPÉEN conformément à

l'article 294, paragraphe 6, du traité sur le fonctionnement de l'Union européenne concernant la

position du Conseil sur l'adoption d'une directive du Parlement européen et du Conseil relative à la

protection des personnes physiques à l'égard du traitement des données à caractère personnel par les

autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de

poursuites en la matière, ou d'exécution de sanctions pénales, et à la libre circulation de ces données,

et abrogeant la décision-cadre 2008/977/JAI du Conseil

- Recommandations du CEPD relatives aux options de l'UE en matière de réforme de la protection des

données. OJ-C 301 du 12.09.2015, p. 0001 – 0008 (Numéro CELEX 52015XX0912(01)). Journal

Officiel du 12 septembre 2015 - Numéro C301 - Page 0001 - acte juridique original -.

Cours universitaires :

Grégoire DUPONT. Cour de droit es intermédiaires en opération de banque et d’assurance, année 2015-2016.

Pierre-Grégoire MARLY. Cour de droit approfondi du contrat d’assurances, année 2015-2016.

Céline Béguin. Cour de droit des assurances de dommages et Cours de droit des assurances d’exploitation,

année 2015-2016.

Sitographie :

70

https://www.service-public.fr/particuliers/vosdroits/F3049

http://www.argusdelassurance.com/reglementation/analyse/devoir-d-information-et-de-conseil-ce-qu-il-ne-

faut-pas-faire.100863

https://acpr.banque-france.fr/fileadmin/user_upload/acp/publications/registre-officiel/20150721-Decision-

commission-sanctions-Vaillance-Courtage.pdf

http://www.lemonde.fr/technologies/infographie/2007/10/08/les-differents-types-de-

cyberattaques_964581_651865.html

http://www.unedic.org/article/employeurs-et-salaries-secteur-prive-et-public-concernes-par-l-assurance-

chomage

https://www.cnil.fr/fr/notifier-une-violation-de-donnees-personnelles

http://www.sofras-conseil.com/upload/File/brochures-assurances/Assurance-Pertes-Exploitation.pdf

http://www.groupama.com/fr/notre-modele/strategie-2014-2018/culture-de-lefficacite/

https://www.orias.fr/documents/13705/16521/2013-05-27-

%20INTERMEDIAIRES%20EN%20ASSURANCES.pdf

https://www.cnil.fr/fr/reglement-europeen-protection-donnees

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000028738036&categorieLien=id

https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000441676

https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006437767&cidTexte=LEGIT

EXT000006070721

http://www.lefigaro.fr/assurance/2012/06/01/05005-20120601ARTFIG00525-pourquoi-passer-par-un-

courtier-en-assurance.php

http://www.argusdelassurance.com/marches/marketing/la-garantie-subsequente-est-portee-a-dix-ans.29715

https://www.courdecassation.fr/publications_26/mensuel_droit_travail_2230/bulletin_droit_travail_2008_277

9/travail_3_2963/

http://www.assureur-conseil-en-ligne.fr/dictionnaire-assurance/limites-de-garantie.html

71

Autres documents :

Divers contrats et propositions de polices d’assurance mis à disposition dans le cadre de mon stage.

Principales abréviations :

G2S. Groupama Supports et Service

ACPR. Autorité de Contrôle Prudentiel et de Résolution

AMRAE. Association Management des Risques et des Assurances de l'Entreprise

C. Ass. Code des assurances

CESDH. Convention de sauvegarde des droits de l'Homme et des libertés fondamentales

CNIL. Commission Nationale de l’Informatique et des libertés

AMF. Autorité des Marchés Financiers

ACAM. Autorité de contrôle des assurances et des mutuelles

72

Table des matières :

Remerciements ...................................................................................................................... 4

Table des matières.................................................................................................................................. 5

Un groupe centenaire : ......................................................................................................... 7

Valeurs et engagements du groupe : .................................................................................... 9

La structure du groupe : ..................................................................................................... 10

Activité du groupe : ........................................................................................................... 11

L’assurance des risques d’exploitation : ............................................................................ 12

Bilan du stage : .................................................................................................................. 15

Introduction ......................................................................................................................... 17

I.L’assurance des risques Cyber, une assurance de dommages aux biens avant tout ... 24

A.Un important socle d’assurance aux biens, au service des garanties contre les Cyber-risques ...... 25

1)La délimitation incontournable du risque .............................................................................. 25

2)Des garantis adaptées aux risques qu’elles couvrent ............................................................. 28

B.Des garanties originales, déduites du l’enjeu actuel de protection des données personnelles ...... 34

1)Un régime singulier de protection accordé aux données personnelles ................................. 35

2)Un régime de protection retranscrit dans les assurances contre les risques Cyber .............. 37

II.Une assurance de dommages globale et additionnelle ................................................. 44

A.Une assurance de responsabilité civile adéquate et complémentaire ............................ 46

1)Des garanties fondées sur la réclamation d’un tiers lésé ....................................................... 46

2)Des garanties complémentaires avec la responsabilité professionnelle de l’assuré .............. 50

B.Le recours à un courtier d’assurance, comme remède au risque de cumul d’assurance 56

1)Le cumul d’assurance, un risque en lui-même ? .................................................................... 57

2)Le courtier en assurance, un atout dans le processus contractuel ........................................ 62

Conclusion ............................................................................................................................ 66

Bibliographie........................................................................................................................ 69

Table des matières : ............................................................................................................. 74