Les définitions des assurés (§1) et des tiers (§2) dans les polices cyber ne présentent pas de particularités au regard notamment de celles retenues dans un contrat d’assurance de Responsabilité Civile Générale.
§1 : Les assurés
Ont ainsi, en principe, la qualité d’assuré :
– la société souscriptrice
– ses représentants légaux, passés, présents ou futurs, agissant en cette qualité
– ses préposés agissant en cette qualité
– ses filiales, c’est-à-dire toute société dans laquelle la société souscriptrice détient directement ou indirectement plus de 50% des droits de vote ou du capital social ou nomme la majorité des dirigeants de droit.
L’attribution de la qualité d’assuré doit retenir notre attention s’agissant de l’exclusion de la faute intentionnelle de l’assuré dans les polices cyber, au regard principalement du risque de malveillance interne qui, on l’a vu, tient une place importante au sein des menaces pesant sur les systèmes d’information des entreprises. Lorsque la police exclut toute faute intentionnelle de l’assuré, et que les préposés disposent de la qualité d’assuré selon la police, on pourrait penser que toute atteinte qui serait consécutive à un acte de malveillance interne ne serait pas prise en charge.
Mais rappelons qu’en vertu de l’article L 121-2 du Code des assurances qui est d’ordre public, une clause de police ne saurait exclure la garantie de l’assuré déclaré civilement responsable d’une faute intentionnelle de la personne dont il doit répondre. S’agissant d’une société, la responsabilité qu’elle encourt en qualité de commettant du fait de ses préposés doit donc être couverte par l’assureur de responsabilité de l’entreprise, y compris en cas de faute intentionnelle des préposés.
N’est donc exclue que la faute intentionnelle de la société souscriptrice, et les hypothèses de malveillance interne sont fort heureusement couvertes par les polices cyber.
La définition des tiers est parallèlement importante.
§2 : Les tiers
Comme dans la plupart des polices d’assurance de responsabilités, les tiers sont définis par les contrats cyber comme « toute personne autre que l’assuré ».
La principale question qui se pose en la matière est celle de savoir si les assurés ont ou non la qualité de tiers entre eux. En d’autres termes, la responsabilité d’un assuré envers un autre assuré est-elle couverte par le contrat ?
Dans les polices cyber, la réponse est négative, mais elle doit être nuancée. En effet, toutes les offres étudiées précisent que les assurés n’ont pas la qualité de tiers entre eux sauf dans certains cas bien précis.
Ainsi, certains assureurs couvrent par exception les réclamations formulées par un assuré personne physique à l’encontre d’un autre assuré pour atteinte à ses données personnelles. On pense immédiatement au cas d’un salarié dont les données personnelles détenues par son employeur ont été divulguées et qui demande réparation de son préjudice à l’entreprise. Cette prise en charge nous semble essentielle car les entreprises collectent forcément des informations personnelles sur leurs employés.
Autre exception : l’hypothèse d’une action récursoire d’un assuré contre un autre assuré suite à une première réclamation introduite par un tiers. Cela peut permettre de prendre en charge un éventuel recours de l’entreprise contre son préposé fautif, dans les cas où la loi et la jurisprudence le lui permettent.
Par exemple, lorsque le dommage causé au tiers procède d’un acte de malveillance commis par un salarié de l’entreprise dans le cadre de son travail, le tiers va en principe demander réparation à l’entreprise. Cette dernière, après avoir indemnisé la victime, pourra réclamer le remboursement de cette somme à son salarié, notamment si ce dernier a commis une infraction pénale. Le contrat cyber peut donc éventuellement prendre en charge les conséquences financières de l’engagement d’un tel recours.
Le volet responsabilité des offres cyber est à notre sens plutôt cohérent et englobe généralement les principales problématiques de responsabilité auxquelles sont confrontées les entreprises en matière de cyber-risques, avec l’atteinte aux données en tête de liste. Ses apports concrets dépendent toutefois des couvertures dont peuvent jouir par ailleurs les entreprises, notamment via la police d’assurance de Responsabilité Civile Générale, qui, on l’a vu, est susceptible de jouer.
Parallèlement à la couverture de la responsabilité des entreprises, les assureurs proposent des garanties de dommages qui nous semblent d’autant plus pertinentes que beaucoup sont totalement « inédites ».
Retour au menu : Les cyber-risques dans l’entreprise : enjeux et assurance