- fr
- en
Assurance cyber : des garanties silencieuses encore présentes, notamment dans les marchés émergents
Le 11 mars 2024, l’Autorité de Contrôle Prudentiel et de Résolution (ACPR) a publié un communiqué concernant la couverture implicite du risque cyber dans lequel elle encourage les assureurs à continuer leur travail d’identification et de clarification des contrats (1). Car (étonnamment ?) les assureurs communiquent peu sur les garanties présentes dans les contrats « anciens » de responsabilité civile et de dommages aux biens.
La raison de cette non communication est aisée à comprendre, car elle est commerciale. Le cycle est en effet le même que dans les années 1990 pour l’assurance de responsabilité des mandataires sociaux (« RCMS ») : les compagnies d’assurance souhaitent accroître leur chiffre d’affaires en multipliant le nombre de contrats souscrits par les entreprises. Pour ce faire, elles identifient un risque couvert « silencieusement », c’est-à-dire, en droit, implicitement, en le sous-limitant à des montants faibles, puis en l’excluant des contrats préexistants. La manœuvre prend des années, tant l’inertie du marché est forte, mais elle fonctionne. Aucune entreprise européenne, ou presque, ne souscrivait de contrats « RCMS » avant 1990. Aujourd’hui, plus de 61% des dirigeants français affirment avoir souscrit à un tel contrat d’assurance (2). Alors que, en moyenne, la « sinistralité » de ces contrats demeure faible (le droit français n’est pas le droit californien, et les dirigeants français sont moins exposés que leurs homologues américains). En outre le coût des sinistres de RCMS est à plus de 60% le coût des honoraires des avocats des dirigeants poursuivis, mais non pas condamnés aussi souvent qu’au pays de Wall Street et de la si redoutée discovery. C’est la technique commerciale des lessiviers américains en Europe occidentale après la 2nde guerre mondiale : la lingère européenne fabriquait elle-même sa lessive en 1930, le consommateur urbain de 2025 achète à 99% sa lessive à une multinationale.
Il en va de même avec les contrats d’assurance cyber. Leur souscription en France était quasi inexistante jusqu’en 2010 (3) ; le taux d’équipement des grandes entreprises est passé à 90 % en 2023 (4) et l’objectif des assureurs est désormais de séduire les petites et moyennes entreprises dont le taux de souscription stagne sous les 3% (5). Toutefois 41% des dirigeants envisageaient en 2024 de souscrire une cyber assurance (6).
Si la question des garanties silencieuses est relativement connue en droit français, certains contrats d’autres pays, restant rédigés sur des bases anciennes, et donc de manière large, pourraient également inclure des garanties insoupçonnées. C’est le cas sur des marchés d’assurance moins matures que l’anglo-saxon et l’européen, et donc par exemple en Afrique.
Comme le définit le professeur Pierre-Grégoire Marly, il s’agit de « la situation dans laquelle des polices qui n’avaient pas vocation à garantir un risque informatique vont finalement le couvrir en raison de la définition large de l’objet de la garantie et de l’absence d’exclusion applicable (7)». En d’autres termes, c’est une imprécision dans le contrat d’assurance qui soumet l’application et l’étendue de la garantie à l’interprétation qui en est faite. C’est la conséquence logique de la rédaction des contrats en « tous risques sauf » : la non précision explicite d’un type de péril assuré implique qu’il est garanti.
En droit français, si la question de l’application des garanties silencieuses en matière d’assurance cyber a largement été évoquée en doctrine, le juge n’a encore jamais été expressis verbis confronté à la question (8). Il convient donc d’adopter un raisonnement analogique. Par définition, un contrat d’assurance « tous risques sauf » couvre tout ce qui n’a pas été expressément exclu par les parties. Toute la difficulté réside dans l’interprétation du contrat litigieux : si le contrat d’adhésion doit s’interpréter contre celui qui l’a proposé (9), le juge doit néanmoins respecter la volonté commune des parties sans dénaturer le contrat (10). Cette difficulté est à l’origine d’une jurisprudence abondante en matière d’assurance des pertes d’exploitation (11) (en particulier suite à la pandémie de Covid-19). Plusieurs décisions ont retenu qu’en cas de contrat « tous risques sauf », les pertes étaient effectivement couvertes (12). A titre d’illustration, la Cour d’appel d’Angers a retenu que la garantie pertes d’exploitation couvrait le risque lié à la pandémie de covid-19 affirmant que « le contrat d’assurance ‘tous risques sauf’ est un contrat qui couvre tous les risques à l’exception de ceux limitativement exclus », ajoutant « qu’en souscrivant un contrat ‘tous risques sauf’ (…) l’assuré entend se prémunir contre des risques qu’il n’a pas nécessairement anticipés » (13). Ce raisonnement a été approuvé par la Cour de cassation par la suite (14).
En somme, s’il est établi que les garanties d’un contrat d’assurance « tous risques sauf » peuvent être étendues selon l’interprétation qui en fait, par analogie, un tel contrat d’assurance est susceptible de couvrir des sinistres cyber.
Dans les zones du monde où les marchés d’assurance sont parfois émergents, comme par exemple en Afrique, certains contrats d’assurances sont donc susceptibles de couvrir des sinistres cyber sans pour autant être « commercialement » dénommés comme tels. Sous réserve des différences entre le droit français et les droits locaux, il est possible que ces contrats couvrent certains dommages liés aux risques informatiques, notamment l’altération des systèmes informatiques ou encore la responsabilité de l’assuré en cas d’atteinte aux données d’un tiers. Le risque « Cyber » présente en effet la particularité de toucher à la fois les garanties contenues dans les contrats d’assurance de responsabilité civile que dans ceux de dommages aux biens de l’entreprise.
En cas d’incertitude sur la portée des garanties, nous recommandons ainsi aux entreprises de :
- refuser toute sous-limitation, définition, précision ou exclusion nouvelle proposée par l’assureur, quelle que soit la présentation qui en est faite (« clause standard », « clause marché », « imposée par nos réassureurs » ou autres raisons « administratives » présentant la modification comme anodine… et inévitable) ;
- vérifier si les sinistres cyber sont expressément exclus de leurs contrats d’assurance actuels de responsabilité et de dommages aux biens ;
- Relire attentivement les définitions contractuelles : plus une définition est précise, plus il y a de chances qu’elle soit étroite ;
- ne pas confondre la couverture des risques informatiques, couvrant souvent les dommages matériels subis par le matériel informatique, et la garantie cyber qui couvre les dommages causés par des virus, la violation de données personnelles,… La garantie jouera uniquement si le sinistre informatique a causé un dommage matériel et pourra éventuellement couvrir les pertes d’exploitation en résultant ;
- vérifier que l’assurance responsabilité civile ne prévoit aucune exclusion spécifique. Dans le cas contraire, la police est susceptible de couvrir la responsabilité civile de l’assuré en cas d’atteinte informatique ou d’atteinte aux données préjudiciable aux tiers.
(1) Communiqué de presse de l’Autorité de Contrôle Prudentiel et de Résolution, Banque de France, 11 mars 2024
(2) « RCMS : Une assurance en voie de démocratisation », Argus de l’Assurance, 4 juin 2015
(3) « S’assurer contre les risques cyber : oui, mais quand ? », JDN, Thimothée Crespe, 21 août 2028
(4) « Assurance cyber : quelles tendances pour les petites et grandes entreprises ? », Assurland, Jordan Hervieux, 26 octobre 2023
(5) « Assurance cyber : pourquoi le marché des TPE et PME ne prend pas », Argus de l’assurance, Marie-Caroline Carrère, 25 octobre 2023
(6) “Global Cyber Risk and Insurance Survey 2024”, Munich Re
(7) “L’assurance du risque cyber”, Pierre-Grégoire Marly, Alexis Valençon, Dalloz IP/IT 2019.603
(8) « Silent cyber : l’ACPR invite les assureurs à poursuivre leurs efforts d’identification et de clarification », Dalloz Actualité, Sarah Porcher, 22 mars 2024
(9) Article 1190 du Code civil
(10) Civ. 15 avr. 1872, Foucauld et Coulombe, DP 1872. 1. 176
(11) « Portée de l’assurance « tous risques sauf » : sont garanties les pertes d’exploitation non consécutives à des dommages subis par les biens de l’entreprise ! », Rodolphe Bigot et Amandine Cayol, 13 décembre 2023
(12) Cass., Civ. 2e, 25 janvier 2024, n°22-14.739 ; Cass., Civ. 2e, 20 juin, 2024, n°22-20.854 ; Cass., Civ. 2e, 9 novembre 2023, n° 21-23.268 ; Cour d’appel de Bordeaux, 4eme ch. Com., 10 septembre 2024, n°23/04862 ; Cour d’appel de Paris, 8 février 2023, n° 21/11045
(13) Cour d’appel d’Angers, ch. a – civ., 28 sept. 2021, n° 21/00643
(14) Cass., Civ. 2e, 9 novembre 2023, n° 21-23.268