Cybercriminalité : votre assurance RC couvre-t-elle le pillage de vos données ?

A l'occasion d'un article paru dans la Tribune de l'Assurance* à l'occasion de l'affaire qui a touché la société SONY on apprend que les assureurs RC de SONY ont refusé de couvrir les frais liés aux fuites de données évaluées quand même à 121 Million de dollar US !

What the matter ? Les assureurs seraient-ils de mauvais payeurs ?

Pas du tout, un contrat est un contrat et la police RC n'échappe pas à la règle.

Rappel des faits : en avril 2011 des pirates réussissent à s'introduire sur la base de données de la plateforme de jeu Playstation Network, espace de jeu sur lequel se connectent régulièrement plus de 77 million de gamer. 77 million de comptes personnels dans lesquels se trouvent les coordonnées bancaires puisque pour jouer il faut régulièrement payer par CB. Aussitôt SONY informe ses clients en indiquant : « votre numéro de carte bancaire et sa date d’expiration sont concernés. Il n’y a pas de preuve de l’obtention des données de cartes de crédit mais nous ne pouvons pas écarter cette possibilité ».

Que dit le droit ?

Dans un excellent article de Maître Anthony Bem ** paru en Mai 2011 qui met en évidence les fondements juridiques sur lesquels la firme japonaise pourrait-être mise en cause en France, ce dernier conclu à l'époque que l'action de groupe menée par un groupe de californien "est inenvisageable en France".

Depuis la loi Hamon et depuis le 1er Octobre 2014 l'action de groupe à la française permet sans aucun doute de mener une action contre une société qui comme SONY en 2011, aurait permis de divulguer les données confidentielles de ses clients.

Sur quels fondements ?

Maître Anthony BEM développe les quatre fondements possibles de mise en cause :

- Le manquement à la sécurisation des données réprimé par l’article 226-17 du Code pénal (1.1) ;

- La divulgation illicite de certaines données personnelles réprimée par l’article 226-22 du Code pénal (1.2) ; 

- La violation du secret professionnel réprimée par l’article 226-13 Code pénal (1.3) ;

- La responsabilité pour faute fondée sur l’article 1382 du Code civil (1.4)

Voîla un arsenal juridique bien existant et efficace pour obtenir réparation en France, non ?

Mais alors que dit le contrat d'assurance RC en pareille situation ?

"La perte de données n'est pas imputable à une faille de la société SONY dans le cadre de son activité et son exploitation". La perte et la divulgation des données est le fait d'un tiers qui s'est introduit frauduleusement. Parce qu'un système informatique n'est pas inviolable  SONY n'est pas responsable, il est victime. L'assureur RC en fondant son refus de garantie sur ces éléments a obtenu gain de cause devant le juge américain.

Le juriste applique stricto sensu la loi du contrat et en la matière on ne le dit jamais assez : le contrat d'assurance RC couvre les réclamation des tiers à condition que l'assuré soit reconnu responsable !

Il en aurait été différemment si à la suite d'une erreur de manipulation un informaticien de chez SONY avait ouvert malencontreusement les données confidentielles de ses clients : en ce cas la police RC aurait fonctionné et donné lieu à réparation des réclamations clients. Idem si un cadre informatique de la société avait laissé trainer un ordinateur portable dans le train ou l'avion, laissant accessible les codes d'accès aux systèmes informatique de sa société...

Qui va payer maintenant ?

La plainte des milliers ou millions de clients est-elle vouée à tomber à l'eau pour autant ? Non, précisément, ce n'est pas parce que le contrat d'assurance de SONY refuse légitimement sa garantie que les victimes vont repartir vaincues. Au contraire leur préjudice reste entier, et le fondement juridique sur lequel ils fondent leur action est tout-à-fait légitime. La seule différence, et elle est de taille, c'est que SONY va devoir puiser dans ses fonds propres pour indemniser ses clients !

SONY peut-il ou pouvait-il assurer ce risque ?

L'histoire ne dit pas si SONY dispose d'une autre couverture d'assurance que sa police RC mais ce qui est sûr c'est qu'il existe bien aujourd'hui des contrats et des assureurs qui couvrent ce risque. Et au-delà de la garantie des réclamations des clients il est également possible de garantir les pertes d'exploitation consécutives à ce type de pillage de données des clients. Certains assureurs proposent également toute une panoplie de garanties pour assister l'entreprise dans la  communication de crise ;  assiser les dirigeants dans ce type d'affaire qui est d'une technicité très particulière et où il faut savoir communiquer avant et après le sinistre pour limiter l'impact sur l'avenir tant en terme de marque que de new business.

En l'occurrence, les contrats qui répondent bien à ce type de couverture liée à la Cybercriminalité sont des polices de dommage et non de RC.

Voir notre fiche produit d'assurance criminalité.

* lien vers l'article de La Tribune de l'Assurance

* lien vers l'article de Maître BEM