Nous sommes désolés, mais votre navigateur n'est pas pris en charge par Marsh.com

Pour une utilisation optimale, veuillez installer un navigateur pris en charge :

X

RECHERCHES ET BULLETINS

Aucune atteinte à la protection des données? Vous pourriez quand même être tenu responsable

 


Les cabinets de services professionnels sont censés se montrer très exigeants afin de protéger la confidentialité des renseignements de leurs clients. La manière dont vous protégez les renseignements confidentiels de vos clients peut être à l’origine de sinistres importants et de réclamations d’assurance après chaque atteinte. Mais que se passe-t-il en l’absence d’atteinte? Êtes-vous quand même mis en cause à cause de votre méthode de protection des données?

Cette question fait actuellement l’objet de discussions dans le cadre d’un recours collectif intenté contre un cabinet d’avocats en raison de son prétendu manquement à protéger les données de clients. Le recours collectif lié à la sécurité des données – déposé en mai 2016 et resté sous scellé jusqu’en décembre 2016 – est la première affaire publique contre un cabinet d’avocats américain en raison de son prétendu manquement à protéger les renseignements confidentiels de clients, en l’absence même d’une atteinte concrète à la protection des données. 

La plainte soutient que les « vulnérabilités critiques » des plates-formes Internet du cabinet d’avocats constituent une exposition des données confidentielles dans ces systèmes, en l’absence même d’allégations relatives à un agresseur qui aurait exploité ces vulnérabilités. Cette plainte se distingue des autres plaintes habituelles en matière d’exposition de renseignements confidentiels, car elle n’allègue aucune atteinte connue particulière à la sécurité des données. 

Premier procès du genre

Le premier recours collectif lié à la sécurité des données intenté contre un cabinet d’avocats de Chicago pour son prétendu manquement à protéger les données confidentielles en l’absence d’une atteinte à la sécurité des données se concentre sur les mesures de sécurité liées à la technologie générale du cabinet, y compris les vulnérabilités alléguées de la saisie de l’heure, du réseau privé virtuel (VPN) et des systèmes de courriels. La plainte s’appuie sur d’autres atteintes dont on parle beaucoup qui, selon les codemandeurs, dérivent des mêmes types de vulnérabilités. 

Le cabinet d’avocats a répondu que la plainte n’était pas motivée en l’absence de préjudice réel. Mais les codemandeurs prétendent avoir subi des dommages en raison des frais juridiques versés au cabinet d’avocats pour ses services, auxquels ils n’auraient pas consenti si le cabinet avait révélé qu’il ne se conformait pas aux normes du secteur en matière de sécurité des données. Les codemandeurs soutiennent également que les mesures de sécurité du cabinet d’avocats qu’ils considèrent comme inadéquates font peser des menaces sur les renseignements confidentiels du recours collectif en raison des risques de vol, de divulgation non autorisée, de perte de secrets commerciaux et de pertes financières.

L’action réclame des dommages-intérêts en raison de plusieurs éléments découlant de fautes professionnelles des avocats, de la négligence et de la violation du contrat, et réparation pour toute une série de dommages non pécuniaires, par exemple :

  • Exiger que le cabinet d’avocats informe ses clients que ses systèmes informatiques ne sont pas sécurisés et que les renseignements confidentiels sont potentiellement vulnérables.
  • Contraindre le cabinet à autoriser un cabinet tiers indépendant à réaliser un audit de sécurité de ses systèmes.
  • Obliger le cabinet à abandonner les honoraires gagnés pendant l’infraction alléguée par les codemandeurs et le recours collectif, ainsi que les profits détournés au lieu d’être dépensés pour des mesures de cybersécurité.

Comment l’assurance répondra-t-elle?

La perspective d’être poursuivi pour un préjudice potentiel découlant de lacunes alléguées du système plutôt que pour une perte financière réelle est une préoccupation importante pour les organisations. De nombreux cabinets et de nombreuses sociétés de services professionnels demandent comment leurs programmes d’assurances réagiraient à de telles pertes. Les garanties qui pourraient être concernées sont les suivantes :

  • Responsabilité civile professionnelle des avocats : de nombreuses polices de responsabilité civile professionnelle des avocats destinées aux cabinets d’avocats de taille moyenne contiennent une disposition relative à l’obligation de défendre, qui oblige l’assureur à assurer une défense contre tous les chefs d’accusation d’une action, même si un seul d’entre eux est le déclencheur de l’application de la police. La poursuite dont il est question ci-dessus allègue une violation du contrat et une négligence – qui entraînent toutes les deux l’application de la disposition relative à l’obligation de défendre contenue dans la police responsabilité civile professionnelle des avocats du cabinet.

Cependant, si la police émise a un caractère indemnitaire – la police ne rembourse aux assurés que les coûts engagés pour la défense des chefs d’accusation couverts –, les autres chefs d’accusation de la poursuite comme l’enrichissement injustifié et le non-respect de l’obligation fiduciaire ne seraient probablement pas couverts. Cela est dû à l’exclusion « restitution des honoraires » qui se trouve dans la plupart des polices responsabilité civile professionnelle des avocats. Les autres chefs d’accusation pourraient toutefois être couverts par la garantie des frais de défense, car ils émanent tous du non-respect allégué de l’obligation fondamentale du cabinet à l’égard de ses clients et ils peuvent occasionner des éléments de sinistres couverts.

  • Responsabilité civile liée aux cyberrisques : l’application d’une police d’assurance responsabilité civile liée aux cyberrisques peut être déclenchée par les allégations selon lesquelles une entreprise n’a pas mis en œuvre les mesures de sécurité des données standard de l’industrie, entraînant la vulnérabilité des données confidentielles. La garantie en vertu de la police contre les cyberrisques pourrait être considérée comme répondant à un déclencheur de type « manquement à prévenir une divulgation non autorisée », qui activerait l’obligation de défendre de l’assureur.  Mais il est peu probable que les dommages allégués soient indemnisés, parce qu’ils dérivent de la restitution des honoraires, de la violation du contrat et de l’enrichissement injustifié, qui sont généralement exclus des polices contre les cyberrisques.
  • Responsabilité civile de la direction : en général, la plupart des polices de responsabilité civile de la direction des cabinets d’avocats ne contiennent pas d’exclusion des atteintes à la protection des données ou des cyberrisques. Un « acte fautif » est avant tout une action, une erreur ou une omission commise par le cabinet ou une personne assurée agissant à titre officiel. Par conséquent, la police responsabilité civile de la direction est une police tous risques sous réserve des exclusions.

Dans un cas similaire où une vulnérabilité des données est alléguée en l’absence d’atteinte à leur sécurité, l’exclusion pertinente serait probablement la responsabilité civile professionnelle. En fonction de la façon dont est rédigée l’exclusion – par exemple, si elle est axée sur la responsabilité professionnelle ou si elle en découle –, la détermination de la garantie se fonderait sur le fait que l’allégation ou la réclamation se suffit à elle-même et qu’elle est par conséquent attribuée à la police de responsabilité civile de la direction. Une allégation selon laquelle l’organisation n’a pas réussi à instaurer des pratiques adéquates en matière de cyberrisques tient plus d’une réclamation dans le cadre de la responsabilité civile de la direction en raison d’une négligence que d’une réclamation en responsabilité civile professionnelle des avocats pour faute professionnelle.

Combler les trous de garantie potentiels

Peu importe quelle police couvre une telle action en justice, il faut réaliser un examen des clauses de pluralité d’assurances de chaque contrat afin de déterminer comment et dans quelle mesure la garantie sera accordée.

En dépit de l’issue de l’affaire ci-dessus, de nombreux observateurs pensent qu’il s’agit de la première des multiples actions en justice contre les cabinets de services professionnels alléguant des vulnérabilités des systèmes et l’insécurité des données. Les organisations doivent examiner attentivement leurs programmes d’assurances – les libellés de la responsabilité civile professionnelle des avocats, de la responsabilité civile contre les cyberrisques, de la responsabilité civile de la direction et des diverses polices – afin de repérer et d’essayer d’éliminer les trous de garantie potentiels qui peuvent exister en cas de telles allégations et réclamations. Collaborez avec vos conseillers d’assurance pour vous assurer que vos polices de responsabilité civile professionnelle des avocats, de responsabilité civile contre les cyberrisques et de responsabilité civile de la direction coïncident et maintenez les garanties quand d’autres les abandonnent.