LOPMI : une perspective prometteuse pour le marché de l’assurance cyber

L’article est entré en vigueur le 24 avril 2023 et constitue une règle d’ordre public, limitée aux personnes physiques et morales agissant dans le cadre de leur activité professionnelle. L’objectif principal de ce texte est de permettre aux pouvoirs publics de lutter plus efficacement contre la cybercriminalité2, en contraignant les entreprises à alerter systématiquement les autorités en cas de cyberattaque. On peut également espérer qu’elles seront progressivement moins réticentes à communiquer à leurs assureurs les informations relatives aux incidents qu’elles subissent.

La nouvelle disposition de la LOPMI n’est d’ailleurs pas sans rappeler les termes de l’article 33 du règlement général sur la protection des données (RGPD) qui fait obligation à tout responsable de traitement, constatant une violation de données personnelles, de la notifier à l’autorité de contrôle compétente (la CNIL en France) dans un délai de soixante-douze heures – obligation qui constituait déjà une première avancée en matière de collecte d’informations sur les cyberattaques(3).

Du côté des assureurs, des obligations de reporting annuels4 sont également prévues pour les deux nouvelles catégories de garanties cyber, intégrées par un arrêté du 13 décembre 2022 au code des assurances5. L’accès à ces données pourrait s’avérer crucial pour les assureurs en leur permettant de mieux évaluer les risques et pertes engendrés par les cyberattaques. Grâce à ces gains de prévisibilité, les assureurs pourraient d’une part proposer des garanties plus adaptées aux spécificités des risques cybers pour chaque profil d’entreprise(6), en d’autres termes, possiblement augmenter les capacités financières disponibles en fonction de chaque type d’industrie et d’autre part, diminuer les montants des primes dans ce secteur, qui sont aujourd’hui trois fois plus élevées que celles des assurances de responsabilité civile (7).

La LOPMI permet enfin d’éviter une prohibition totale – comme cela a pu être discuté - de l’indemnisation des cyber-rançons, qui aurait entraîné une « distorsion de concurrence disproportionnée » par rapport aux offres du marché international(8). Ainsi, ce texte pourrait à terme constituer une avancée significative en termes d’attractivité du marché français de l’assurance cyber.

Notes 

(1) Rapport de la Direction générale du Trésor sur « Le développement de l’assurance du risque cyber », septembre 2022, pp. 28 et s. (2) Loi du 24 janvier 2023 d’orientation et de programmation du ministère de l’intérieur, vie-publique.fr, 25 janv. 2023 (3) E. Lutfalla, M. Gérot, S. Fitzpatrick, GDPR and Cyber Risk Insurance : How Can Insurers Improve their Cyber Risk Products, Actuarial Post, April 2020 (4) N. Helenon, Garanties d’assurance cyber - Promulgation et entrée en vigueur du nouveau chapitre du Code des assurances sur les risques de cyberattaques […], neotech-assurances.fr, 31 janv. 2023 (5) Arrêté du 13 décembre 2022 relatif à la classification des engagements d’assurance consécutifs aux atteintes aux systèmes d’information et de communication, JORF n°0294 du 20 décembre 2022 (6) E. Lutfalla, D. Azerraf, A. Decramer, L’anatomie du risque cyber : un enjeu de taille pour les assureurs, La Tribune de l’assurance, 5 novembre 2019 (7) E. Lutfalla, D. Azerraf, A. Decramer, S. Fitzpatrick, How should insurers address cyber risks, Actuarial Post (8) En effet à ce jour aucun pays de l’OCDE n’interdit le paiement des cyber-rançons ou leur couverture assurantielle – v. P. Linais, O. Lyon Lynch, Assurances - LOPMI : un éclaircissement bienvenu sur la légalité de l'assurabilité des cyber-rançons, JCP G n° 01, 09 janvier 2023. E. Lutfalla