Concernant la loi de programmation et d’orientation du ministère de l’intérieur qui entrera en vigueur le 24 avril 2023
Qui sont les personnes concernées ?
Quelles sont les conditions d’application ?
Quelles sont les atteintes visées ?
Comment déposer plainte ?
Régime juridique de l’assurance des cyberattaques
La loi de programmation et d’orientation du ministère de l’intérieur qui entrera en vigueur le 24 avril 2023 a été publiée au Journal Officiel le 25 janvier 2023.
Cette loi introduit dans le chapitre 1er intitulé « lutte contre la cybercriminalité » un article 5 qui vise à compléter le Titre II du livre Ier du code des assurances en introduisant le chapitre 10 intitulé « l’assurance des risques de cyberattaques ».
L’unique article L12-10-1 de ce code fixe le régime juridique applicable à cette assurance. Cet article précise que :
« Le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l’atteinte par la victime.
Le présent article s’applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »
Ce nouveau dispositif entrera en vigueur trois mois après la promulgation de la loi soit le 24 avril 2023.
Qui sont les personnes concernées ?
Cet article ne s’applique qu’aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle.
Quelles sont les conditions d’application ?
Comme rappelé par l’article susmentionné :
- La victime doit avoir souscrit un contrat d’assurance visant à l’indemniser des risques de cyberattaques,
- L’assuré doit avoir été victime une atteinte à un système de traitement automatisé de données et avoir subi des pertes et dommages,
- l’assuré doit avoir déposé une plainte auprès des autorités compétentes au plus tard 72 heures après avoir eu connaissance de l’atteinte.
Quelles sont les atteintes visées ?
Ces atteintes à un système automatisé de données visent comme rappelé notamment par l’article 323-1 du Code pénal :
- « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données»,
- « lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système»,
- ainsi que « lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat».
L’article 323-3-1 du Code Pénal ajoutant :
- « le fait, sans motif légitime, notamment de recherche ou de sécurité informatique, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions».
Comment déposer plainte ?
Dépôt de plainte en ligne à partir de 2023 sur « Ma sécurité »
L’application mobile commune à la police et à la gendarmerie « Ma sécurité » donne accès à de nombreux télé-services et permet depuis 2023 de déposer une plainte en ligne et d’interagir par messagerie instantanée avec des policiers ou des gendarmes formés au numérique.
Vers un prestataire informatique labellisé ?
L’article 29 de ladite loi prévoit que le Gouvernement devra remettre au Parlement, avant le 31 décembre 2023, deux rapports d’évaluation des politiques publiques en matière de cybersécurité dont un rapport évaluant la protection des entreprises, en examinant la possibilité de subordonner le remboursement d’une assurance contre les risques de cyberattaques au recours par la victime à un prestataire informatique labellisé.
Article rédigé par Me Nathalie DESCOURS le 20 mars 2023