L’entrée en vigueur le 24/04/2023 de l’article 5 de la loi LOPMI a notamment pour conséquence de rendre obligatoire le dépôt de plainte en cas d’attaque cyber.
Il s’agit en effet d’une disposition d’ordre public, ce qui signifie qu’il est impossible d’y déroger et, par voie de conséquence, cette démarche conditionne la mise en jeu du contrat d’assurance et toute indemnisation au titre d’un contrat d’assurance Cyber en vigueur.
Cette obligation de déposer plainte dans un délai de 72h à compter de la connaissance de l’atteinte cyber s’impose à tout professionnel ou toute entreprise.
Focus juridique Article 5 Loi LOPMI:
I.-Le titre II du livre Ier du code des assurances est complété par un chapitre X ainsi rédigé :
« Chapitre X
« L’assurance des risques de cyberattaques
« Art. L. 12-10-1.-Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.
« Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »
II.-Le I entre en vigueur trois mois après la promulgation de la présente loi.
Loi 2023-22 du 24 janvier 2023 d’orientation et de programmation du Ministère de l’Intérieur, dite LOPMI, transposée dans le Code des Assurances à l’article L. 12-10-01.
Quels sont les acteurs concernés par cette obligation :
Il s’agit de toute personne, physique ou morale, victime d’une cyberattaque dans le cadre de l’activité professionnelle.
Cela signifie donc que les indépendants et les entrepreneurs individuels sont au même titre que les entreprises privées, les associations ou les administrations publiques visés par cette obligation.
Que se passe-t-il si la plainte n'est pas déposée dans le délai de 72h:
Le délai commence à courir dès que la victime a connaissance de l’atteinte ;
A défaut le professionnel ou l’entreprise, bien que titulaire d’un contrat d’assurance Cyber, ne pourra pas être indemnisé des pertes et dommages consécutifs à la cyberattaque par son assureur. En effet, L’article L12-10-1 vise « toute indemnité versée à un assuré en réparation des pertes et dommages causés par une atteinte malveillante. »
Il est néanmoins entendu que cette étape de dépôt de plainte qui est un préalable obligatoire, ne suffit pas en elle-même à garantir l’indemnisation – celle-ci dépendra ensuite et naturellement de la couverture prévue par le contrat d’assurance.
L’obligation de dépôt de plainte prévue par l’article L.12-10-1 du code des assurances, n’exonère pas cependant de la notification à la CNIL qui demeure une démarche à réaliser en cas de violation de données à caractère personnel (article 33 du RGPD).
Quels types d'incidents sont concernés par cette obligation:
Toutes les cyberattaques sont concernées dès lors qu’il s’agit d’atteintes malveillantes, telles que définies aux articles 323-1 à 323-3-1 du code pénal, et notamment celles utilisant les techniques :
- Attaques par logiciels malveillants dont les ransomwares ;
- Vols de données ;
- Attaques par déni de service ;
- Hameçonnages (phishing) ;
- Les interceptions de communication, par exemple sur un réseau wifi public ;
- L’exploitation de vulnérabilité jusqu’alors non-corrigée présente dans un logiciel
Pour préparer votre dépôt de plainte, il est recommandé de :
* Préserver toutes les traces. Pour éviter que des éléments ne disparaissent, vous pouvez prendre des photos, des captures d’écran… de tout ce qui est visible ;
* Notez toutes les actions entreprises par ordre chronologique afin de relater les événements marquants ;
* Apporter ou tenir à disposition un maximum de preuves quand cela est possible. Tout élément peut être utile à l’enquête : fichier, photo, images, vidéos, clés USB, CD/DVD, disque dur, etc. ;
