Comment la problématique des garanties silencieuses se présente-t-elle en assurance des risques cyber?
À la suite des attaques WannaCry et NotPetya de 2017, et à mesure que les risques cyber se sont développés avec leurs conséquences dommageables, certains assurés ont cherché à mobiliser leurs contrats d’assurance traditionnels pour être indemnisés de ces nouveaux sinistres.
C’est la question des « silent cover », « non affirmative cover » ou, en français, garanties silencieuses ou implicites. C’est l’hypothèse de la couverture par des polices traditionnelles des pertes et dommages consécutifs à la réalisation de risques cyber, alors même que cette couverture n’y est pas expressément mentionnée ni explicitement exclue.
De nombreux contrats d’assurance seraient concernés par ce phénomène, tant en dommages qu’en responsabilité civile. Ces polices n’ayant pourtant été initialement ni rédigées ni tarifées pour couvrir les risques cyber.
En fin d’année 2019, l’EIOPA et l’ACPR avaient souligné que les assureurs ne mesuraient pas encore suffisamment leur exposition du fait des garanties implicites contenues dans les contrats en cours. Ce constat a été réitéré par les superviseurs européens et français en septembre 2022.
Les garanties silencieuses sont-elles vraiment une bonne nouvelle pour les assurés en cas de cyber-attaque ?
À première vue, les assurés ayant subi une cyber-attaque pourraient être tenté de se prévaloir d’une garantie pour laquelle ils n’avaient pas payé de prime.
Cette perspective favorable, susceptible d’être déçue dans le cadre d’un précontentieux voire d’une solution judiciaire, risque de s’assombrir encore à la lecture du nouvel article L. 12-10-1 du Code des assurances:
« Le versement d'une somme en application de la clause d'un contrat d'assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d'une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l'atteinte par la victime».
La rédaction de cette disposition pourrait laisser planer un doute quant à l’application de cette obligation légale de dépôt de plainte rapide en cas de cyber-attaque s’agissant d’un assuré qui entend mobiliser une garantie silencieuse.
Soit le texte peut être lu comme ne s’appliquant que pour une garantie explicite, à savoir la « clause d’un contrat visant à indemniser des pertes et dommages causés par une attente à un système de traitement automatisé de données [au sens du code pénal] ». De sorte que la garantie implicite, qui par définition ne répond pas à une stipulation spécifique prévoyant l’indemnisation d’un tel sinistre, ne serait pas soumise à cette obligation.
Soit il peut être compris plus globalement comme se rapportant à toutes les hypothèses, y compris celle d’une garantie silencieuse, en désignant « le versement d’une somme […] visant à indemniser à indemniser des pertes et dommages causés par une attente à un système de traitement automatisé de données [au sens du code pénal] ».
Cette ambiguïté n’est pas sans conséquence puisque l’assuré qui n’a pas déposé plainte dans les 72 heures de la connaissance de la cyber-attaque n’aurait le droit à aucun versement pour ses garanties d’indemnisation. Sanction qui pourrait ainsi s’apparenter à une déchéance de la garantie d’assurance.
Ainsi, il n’est pas exclu qu’un magistrat, soucieux de ne pas écarter cette sanction impérative, considère qu’elle s’applique également dans le cadre d’une garantie silencieuse.
Pourquoi les garanties silencieuses viennent-elles limiter le développement de l’assurance des risques cyber?
La théorie des garanties implicites peut s’avérer particulièrement préjudiciable en ce qu’elle est source d’insécurité juridique pour toutes les parties au contrat d’assurance.
À l’instar de la crise sanitaire, l'incertitude quant à la couverture d’un sinistre cyber pourrait entraîner des procédures judiciaires longues, coûteuses et imprévisibles et, in fine, donner lieu à une perte de confiance des assurés et/ou à des pertes importantes et non provisionnées pour le secteur assurantiel.
En effet, le chiffre noir des garanties silencieuses vient fausser le pilotage de l’activité cyber, rendu impératif via les nouvelles obligations de reporting et de comptabilité des assureurs pour leur garanties cyber.
En outre, au jour de la souscription, les assurés au titre d’une éventuelle garantie implicite ne sont pas soumis aux questionnaires et conditions propres aux garanties cyber, qui constituent généralement un outil de nature à renforcer leur sécurité informatique. Ils ne bénéficient pas d’information sur les mesures de prévention relatives à leurs systèmes d’informations et manquent ainsi potentiellement l’opportunité d’améliorer leur risque.
Au jour du sinistre, les équipes d’indemnisation spécialisées des courtiers et des compagnies d’assurance, formées pour conseiller pertinemment leurs assurés dans la gestion de leurs sinistres cyber, s’en trouvent empêchées s’agissant de la mobilisation d’un contrat qui n’y était pas dédié.
Ainsi, le réflexe d’un dépôt de plainte rapide par l’assuré ne sera pas nécessairement acquis dans le cadre d’un contrat traditionnel de dommages aux biens.
Les couvertures implicites, potentiellement causes de faiblesses à tous les degrés de l’assurance des risques cyber, ont heureusement des remèdes connus.
Quelles solutions proposer aux parties au contrat d’assurance pour limiter les conséquences de ce phénomène?
L’autorité européenne, l’ACPR et la Direction générale du Trésor s’accordent sur la nécessité de poursuivre l’effort de clarification des contrats d’assurance traditionnels.
L’attention portée à la rédaction des définitions clefs de la police, à la stipulation de garanties claires et d’exclusions formelles et limitées, permettrait ainsi de fournir une offre exempte d’ambiguïté. Et donc de réduire les effets néfastes des garanties silencieuses.
Les assurés trouveront donc une solution sûre dans la souscription de polices dédiées aux risques cyber, et les assureurs combattront ainsi le risque d’insolvabilité. Les garanties explicites d’un contrat demeurent ainsi le seul antidote certain, tant contre le cadeau empoisonné des garanties silencieuses que contre les virus en tout genre.
Gestionnaire Indemnisation
Article paru dans l’Argus de l’assurance le 15 mars 2023
Valentine Gross, gestionnaire indemnisation cyber (Beazley)
Paul Berger de Gallardo, avocat (Taylor Wessing)