Retour au blog
La LOPMI introduit le nouvel article L12-10-1 du code des assurances :  prévention des risques en cybercriminalité et gestion de crise
06/12/2023

Nos associés Sylvie Le Damany et Edouard Lemoalle ont échangé, lors d’une matinale, avec deux experts chevronnés en gestion de crise et en prévention des risques liés à la cybercriminalité : Benoit Grangé –Hub One et Philippe Cotelle -AMRAE.

Contexte réglementaire

En janvier 2023, la LOPMI (Loi d’Orientation et de Programmation du ministère de l’Intérieur) a introduit le nouvel article L12-10-1 du code des assurances et a modifié des dispositions du code pénal se référant aux différentes atteintes à un système de traitement automatisé de données pouvant donner lieu à une indemnisation. 

Ce nouvel article dispose que « le versement d’une somme en application de la clause d’un contrat d’assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d’une plainte de la victime auprès des autorités compétentes au plus tard 72h après la connaissance de l’atteinte par la victime. » 

Témoignages opérationnels

Edouard Lemoalle et Sylvie Le Damany ont présenté le cadre juridique de l’assurance des risques de cyberattaques, précisant les conditions d’indemnisation liées à un dépôt de plainte notamment liées au nouvel article du code des assurances introduit par la LOPMI. 

Philippe Cotelle a donné un aperçu des enjeux auxquels font face les différents acteurs concernés, tandis que Benoît Grangé a présenté un retour d’expérience sur la mise en œuvre de la préparation de l’assurance contre les cyberattaques.

Les discussions ont notamment permis de couvrir :

  • Les critères pour l’indemnisation en cas de cyber-attaque, 
  • Les conditions spécifiques de la police d’assurance souscrite, 
  • Les types de dommages couverts : ransomware avec chiffrement et vol de données, attaque par déni de service, copie non-autorisée de données par un salarié ou un consultant
  • Les notifications à la CNIL dans le même délai de 72h ans le cas de violation de données à caractère personnel
  • Les conséquences du non-respect du délai des 72h
  • Les cas des filiales à l’étranger, et des applications extraterritoriales de la LOPMI
  • Les bonnes pratiques avec notamment la formalisation des nouvelles obligations dans la procédure de gestion de crise

Pour un premier aperçu en 1 min 30 sec, visualisez les extraits du support de formation, disponibles sur YouTube : 
https://www.youtube.com/watch?v=s_D-YKarNe8

Edouard Lemoalle
Avocat associé
Découvrir son profil
Sylvie Le Damany
Avocat associé
Découvrir son profil