Le recours à la cyber-assurance permet de couvrir financièrement certains risques liés à l'informatique. Mais, outre l'évolution très défavorable du marché de la cyber-assurance, l'assurabilité de certains risques est particulièrement mise en doute régulièrement. Le Haut-Comité Juridique de la Place financière de Paris (HCJP) a réalisé une étude et a publié en début d'année un rapport « L'assurabilité des risques cyber » qui est disponible sur son site.
Composé d'une trentaine de membres (avocats, magistrats, professeurs de droit, représentants de l'Autorité des Marchés Financiers et de la Banque de France...), ce Haut-Comité Juridique de la Place financière de Paris a été créé à l'initiative de l'Autorité des Marchés Financiers (AMF) et de la Banque de France. Constitué sous forme d'association, le HCJP est actuellement présidé par Gérard Rameix, magistrat à la Cour des Comptes et ancien président de l'AMF. Son site précise : « le HCJP rend des avis sur des questions juridiques spécifiques dont il peut être saisi par chacune des Autorités participant à ses réunions, dans le but de clarifier l'interprétation des lois ou règlements applicables dans son secteur de compétence. Il peut aussi s'auto-saisir d'une question particulière. »
Trois sujets étudiés avec des avis pleins de nuances
Trois sujets sont abordés dans le rapport « L'assurabilité des risques cyber » : l'assurabilité des sanctions administratives et le cas particulier des sanctions prononcées par la CNIL, l'assurabilité de la rançon en cas de cyberattaque et enfin le cadre juridique du risque de guerre et de ses mécanismes assurantiels dès lors que le fait générateur est de nature cybernétique. Sur le premier point, à l'exclusion de la couverture des frais de mise en conformité, l'avis est tranché : les sanctions de la CNIL ne sont pas assurables en tant que telles. A l'inverse, il n'est pas possible, en l'état actuel du droit, d'interdire le remboursement des rançons par les assureurs ni de payer celles-ci, sauf dans le cas particulier où le pilote du ransomware serait un groupement terroriste. Enfin, sur les cyber-attaques pouvant être considérées par certains comme des actes de guerre, l'avis du HCJP est pour le moins nuancé et rempli de conditionnels. Il en appelle d'ailleurs à une clarification législative.
Si le rapport est évidemment sous un focus exclusivement juridique et sans aucune dimension technique, il est cependant parfaitement lisible par un non-juriste. Sa rédaction est en effet claire et compréhensible. Les DSI pressés pourront même se contenter du résumé en début de document. A l'inverse, les juristes trouveront toutes les références nécessaires pour s'appuyer sur ce document pour leurs propres travaux. Représentant près de la moitié du volume du document, les annexes comprennent en effet toutes les références dédiées aux juristes les plus pointus ainsi que des comparaisons internationales et une analyse de la situation au niveau européen.
Commentaire