Loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI)

Quelles implications en matière d’assurance ?

A compter du 24 avril 2023, la loi d’orientation et de programmation du ministère de l’Intérieur (LOPMI) impose aux entreprises victimes d’atteintes informatiques malveillantes, une obligation de dépôt de plainte pour préserver leur droit à indemnisation au titre de leur contrat d’assurance.

Cette nouvelle obligation est désormais intégrée à l’article L.12-10-1 du Code des assurances comme suit :

Art. L. 12-10-1 du Code des assurances: « Le versement d'une somme en application de la clause d'un contrat d'assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d'une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l'atteinte par la victime.

Le présent article s'applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »

Les modalités concrètes d’application ne sont pas définies par la LOPMI, créant des zones de flou pour les entreprises concernées et leurs assureurs, et nous n’avons pas connaissance à ce stade qu’un décret d’application ou une circulaire soient prévus. Dans une approche prudente, MARSH ne peut que recommander à ses clients d’adapter ses procédures dans le cadre d’une interprétation stricte de la loi.

Pour aider nos clients dans cette démarche, nous avons listé sous forme de Questions / Réponses les principaux sujets à prendre en compte dans les réflexions sur les implications de LOPMI en matière d’assurance.

Quelle est la portée juridique du nouvel article L.12-10-1 du Code des assurances ?

L’article L.12-10-1 est une disposition d’ordre public. L’assuré et l’assureur ne peuvent donc y déroger par convention contraire, le non-respect de cette disposition exposant potentiellement l’assureur à un risque de sanction par le régulateur. L’obligation de dépôt de plainte créée par la LOPMI s’impose donc à l’assuré, qu’elle soit écrite ou non dans son contrat d’assurance.
En pratique, Marsh recommande néanmoins de faire insérer une clause spécifique dans les contrats rappelant l’obligation de dépôt de plainte comme condition de garantie.

Cette obligation s’applique-t-elle si mon contrat d’assurance est soumis à un droit autre que le droit français ?

Le Code des assurances s’applique aux contrats de droit français.
Cependant, compte tenu de l’objectif affiché par LOPMI de lutte contre la cyber-criminalité, cet article pourrait constituer une « loi de police » : un juge pourrait l’appliquer aux entités victimes basées en France même si celles-ci sont assurées par une police de droit étranger, voire aux entités étrangères dès lors que l’assureur du contrat est lui-même un assureur soumis au contrôle de l’ACPR.

L’obligation de dépôt de plainte s’applique-t-elle uniquement aux atteintes malveillantes ?

Oui. L’obligation vise toute intrusion malveillante dans un système d’information, qu’elle soit ou non assortie d’une demande de rançon.
Les atteintes accidentelles du système d’information ne sont en revanche pas concernées.

Les filiales à l’étranger victimes d’une atteinte malveillante sont-elles soumises à l’obligation de dépôt de plainte ?

L’article L.12-10-1 ne précise rien sur la nationalité des victimes : les entités étrangères victimes d’une atteinte et assurées par un contrat d’assurance de droit français sont donc a priori concernées. En cas d’atteinte, chaque entité victime devra déposer plainte auprès des autorités compétentes de son pays pour pouvoir bénéficier d’une indemnisation.
Nous recommandons à nos clients de diffuser des instructions en ce sens, avant le 24 avril 2023, à leurs entités en France et à l’étranger couvertes en direct par une police d’assurance de droit français.
Il existe une zone d’incertitude pour les cas où le dépôt de plainte ne serait pas recevable dans le pays de la filiale.
La situation est également complexe lorsque l’entité impactée par l’atteinte est située dans un pays où le « non admis » n’est pas autorisé et que la mise en jeu de la police d’assurance se fait via une clause FINC. Dans une telle hypothèse, se pose la question de savoir sur qui repose l’obligation de dépôt de plainte : le souscripteur de la police en France (sous réserve que la plainte soit recevable) ou l’entité locale auprès de ses autorités compétentes ?

Les personnes ne disposant pas d’un contrat d’assurance cyber sont-elles concernées par LOPMI ?

Potentiellement oui. L’article L.12-10-1 vise toute indemnité versée à un assuré en réparation des pertes et dommages causés par une atteinte malveillante : contrats d’assurance cyber, mais également tout autre contrat d’assurance susceptible d’intervenir pour indemniser lesdits pertes et dommages. Notamment :

Contrat Fraude,
Contrat dommages couvrant les dommages matériels suite à attaque cyber,
Contrat K&R.

S’agissant des garanties de responsabilité civile (contrats RC Générale / RC Professionnelle / volet RC des polices cyber), un débat existe sur la question de savoir si elles sont concernées par l’obligation de dépôt de plainte. Les dommages et intérêts versés à des tiers à la suite d’une réclamation RC ayant pour origine un événement cyber pourraient en effet ne pas être considérés comme soumis à LOPMI, dans la mesure où il ne s’agit pas de pertes ou dommages subis par l’assuré. Par prudence, il semble néanmoins préférable de procéder au dépôt de plainte, dans la mesure où :

d’une part, l’argument tient difficilement sur le volet des frais de défense engagés par l’assuré pour répondre à une réclamation,
d’autre part, il est rarement possible de déterminer avec certitude, en cas de réclamation consécutive à un événement cyber, que l’atteinte n’a pas occasionné d’autres dommages dont l’assuré n’aurait pas encore connaissance.

Si une société est victime d’une attaque malveillante sans demande de rançon, doit-elle déposer plainte ?

Oui. La condition de dépôt de plainte est requise pour obtenir l’indemnisation de tous « pertes et dommages » causés par une atteinte et subis par un assuré, pas uniquement le remboursement de la rançon. Cela inclut notamment :

Les frais d’assistance,
Les frais (notification, remédiation, conseil, défense, etc.),
Les pertes d’exploitation.

Y a-t-il une procédure de dépôt de plainte spécifique ?

On reste dans l’attente d’informations complémentaires sur la mise en place éventuelle d’une procédure de dépôt de plainte simplifiée. Dans l’immédiat, le dépôt de plainte peut se faire auprès de la police ou de la gendarmerie (moyen à privilégier pour garantir le respect du délai de 72 heures), ou auprès du Procureur de la République
A noter qu’un pré-dépôt de plainte dans le délai de 72heures ne permet pas de satisfaire à la condition imposée par LOPMI. Cela avait été envisagé, puis écarté dans les débats parlementaires.
LOPMI ne se prononce pas non plus sur le contenu du dépôt de plainte. Compte tenu de la contrainte des 72 heures le dépôt de plainte devra a minima comporter mention du constat d’une atteinte malveillante impactant le SI de la victime.

Comment détermine-t-on le délai de 72 heures ?

La loi prévoit un délai de 72 heures (calendaires) à compter de la connaissance par la victime (et non la maison-mère souscriptrice) impactée par l’atteinte informatique.
La charge de la preuve pèse sur l’assuré
La notion de ‘’connaissance’’ n’étant pas définie par LOPMI, MARSH considère qu’il s’agit du moment où l’entité a la confirmation certaine de l’existence d’une atteinte à caractère malveillant. A contrario, l’observation d’un dysfonctionnement dont la victime ne connaît pas la cause, ou dont le caractère malveillant n’est pas démontré, ne ferait pas courir le délai de 72 heures.
Remarque : il est important de décorréler ‘’dépôt de plainte’’ et ‘’notification du sinistre’’ à l’assureur. Le délai de 72 heures s’applique uniquement au dépôt de plainte. Il faut déposer plainte dans le délai prévu même si l’assuré ne sait pas encore si son sinistre sera ou non supérieur à sa franchise, afin de préserver ses intérêts et éviter le risque d’un refus de garantie pour dépôt de plainte hors délai légal.

Pour tout complément d’information, vous pouvez adresser vos demandes à l’adresse suivante : #MarshEURLOPMIFR@marsh.com