Actualité web & High tech sur Usine Digitale

Pertes de données numériques : comment bien s'assurer ?

Twitter Facebook Linkedin Google + Email
×

Le numérique ne bouleverse pas que les business models. Pour le prendre en compte, les règles et les lois sont elles aussi en pleine mutation. Chaque semaine, les avocats Eric Caprioli, Pascal Agosti, Isabelle Cantero et Ilène Choukri se relaient pour nous fournir des clés pour déchiffrer les évolutions juridiques et judiciaires nées de la digitalisation : informatique, cybersécurité, protection des données, respect de la vie privée... Aujourd’hui, retour sur les différents judiciaires passés qui éclairent les possibilités d'assurance face aux possibles pertes de données.

Pertes de données numériques : comment bien s'assurer ?
Pertes de données numériques : comment bien s'assurer ? © dr

Dans le numérique, les risques sont nombreux et en constant développement : atteintes à la sécurité et/ou aux données à caractère personnel, logiciels malveillants (virus, vers...), attaques par déni de services, fraudes au président, pannes, dysfonctionnements ou encore ransomwares. Aussi, les entreprises en raison de leur dépendance à l’informatique et au numérique, prennent-elles de plus en plus conscience de la nécessité de protéger leurs systèmes d’information et leurs données, d’assurer une prévention efficace des risques numériques et de recourir à un produit d’assurance adapté : la cyber-assurance. Et cela nonobstant les assurances informatiques classiques (exemples de police : tous risques informatiques, Garantie reconstitution de données ou Globale informatique).

 

Notre dossier "La cybersécurité en 2016 : les nouvelles menaces et comment s'en protéger"

 

L’assurance ne couvre pas toujours le sinistre

Une société, fabriquant des nacelles élévatrices, avait souscrit un contrat d’assurance ayant vocation à s’appliquer à tous les biens et tous les sinistres sauf ceux expressément exclus (assurance "tous risques sauf"). Elle avait souscrit un contrat d’infogérance pour externaliser la gestion de son système d’information avec un prestataire qui a eu recours à un sous-traitant basé en Tunisie. Or, un grave sinistre informatique a affecté le SI de l’entreprise ce qui a entraîné une perte importante de fichiers liée à un dysfonctionnement de la sauvegarde et à une tentative de restauration. Elle a sollicité la prise en charge de ses préjudices par la compagnie d’assurance. Mais suite à une expertise, l’assureur a refusé sa garantie, ce qui a conduit la société à agir devant le tribunal de commerce de Saint-Etienne.

 

Le 26 septembre 2012, le tribunal a débouté la société de toutes ses demandes en jugeant que la perte de données n’entrait pas dans la couverture du contrat d’assurance et que le sinistre n’était pas couvert. La société assurée a fait appel en considérant que la garantie "bris de machine" était acquise. Elle revendiquait l’application du contrat suite au dommage informatique ayant entrainé une perte de données. Mais la cour d’appel de Lyon dans sa décision - inédite - du 28 avril 2016 a confirmé le jugement en estimant que la perte de données subie par l’entreprise n’était pas couverte par l‘assurance. Dans la présente décision, elle définit le sinistre comme étant "la survenance d’un dommage matériel ou d’une perte non exclus par la police atteignant un bien assuré". C’est en vertu de ce principe que l’assureur peut opposer un refus à une réclamation.

 

Fondement juridique du rejet de la garantie

La reconstitution de données (et donc le coût associé) était fondamentale pour l’entreprise qui a subi la perte, étant donné les graves perturbations générées dans le cadre de son activité professionnelle. La société assurée considérait que la garantie "bris de machine", souscrite au contrat, devait être prise en compte par l’assurance pour financer les coûts relatifs à la perte de données. Alors que cette garantie visait à couvrir les machines et autres équipements, il était important que le sinistre n’ait pas pu être anticipé.

 

Selon la Cour : "la perte de données survenue dans le cadre d’un dysfonctionnement ou d’une panne ne saurait être assimilée à un bris de machine ou à un bris informatique au sens des stipulations, dès lors que le sinistre est survenu au moment de l’exécution du script de sauvegarde qui, selon la méthode préconisée par la société IBM, devait permettre la récupération des données et qui compte tenu des messages d’erreurs qui l’ont précédé, ne revêt pas le caractère d’un évènement accidentel et soudain qui est de l’essence même du contrat d’assurance."

 

Ainsi, les conséquences du bris doivent avoir le "caractère d’un évènement accidentel et soudain". Dès lors, la perte de données intervenue suite à un dommage sur les machines de l’assurée pouvait être couverte à condition que l’évènement ait un caractère accidentel et soudain. C’est pourquoi, la Cour refuse d’indemniser l’assuré aux motifs que le sinistre est intervenu au cours de l’exécution du script de sauvegarde selon les préconisations effectuées par IBM et que ce sinistre ne constitue pas un événement accidentel et soudain en raison des messages d’alerte qui ont précédé sa survenance. Le contrat d’assurance se fonde sur l’aléa et la réalisation du dommage.

 

De l’assurance informatique à la cyber-assurance

A l’occasion d’une décision rendue le 2 novembre 2004 par la Cour d’appel de Paris, il a été décidé "que la perte d’archives informatiques qui constitue un dommage indirect n’est pas couverte dans le cadre de l’assurance bureautique, que si le contrat prévoit une garantie 'reconstitution d’archives' à hauteur de 30 000 Francs, cette garantie joue exclusivement à la suite d’incendie, explosions et risques assimilés [et enfin], que la perte d’exploitation est, quant à elle, expressément exclue de la garantie aux dispositions particulières du contrat." On peut constater que la Cour interprète strictement le contrat d’assurance en limitant la réparation "aux seules pertes matérielles directes ou dommages matériels directs subis par les biens assurés."

 

En toute hypothèse, l’entreprise doit souscrire une police d’assurance adaptée à son informatique (archivage, bureautique, etc.) et à ses pratiques d’externalisation (infogérance ou cloud computing). Pour faire face aux risques numériques en général, il est nécessaire d’envisager la solution d’une cyber-assurance. Cependant, force est de constater qu’en matière d’assurance, ce n’est que si et seulement si l’entreprise adopte une démarche rigoureuse qu’elle sera en mesure d’en tirer les bénéfices escomptés.

 

On soulignera ici que la méthode à suivre repose en premier lieu sur l’identification des risques et leur analyse. Ce préalable doit permettre de mettre en œuvre des mesures de sécurité (techniques et organisationnelles) afin d’y pallier. Ensuite, il convient d’étudier les polices d’assurance en cours afin de déterminer les risques couverts et de mesurer leurs incidences sur l’entreprise et sur les tiers (Voir le cahier technique "Cyber risques, outil d’aide à l’analyse et au traitement assurantiel" réalisé par le Cesin et l'Amrae). Ces éléments permettront de déterminer le périmètre des risques pris en compte dans la cyber-assurance. Par ailleurs, l’application d’une démarche vertueuse du type roue de Deming (Plan-Do-Check-Act) contribuera à réduire les coûts.

 

Eric A. Caprioli, Docteur en droit, Avocat à la Cour de Paris, Membre de la délégation française aux Nations Unies.

Les avis d'experts et points de vue sont publiés sous la responsabilité de leurs auteurs et n’engagent en rien la rédaction.

 

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

media

Les cookies assurent le bon fonctionnement de nos sites et services. En utilisant ces derniers, vous acceptez l'utilisation des cookies.OK

En savoir plus
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale