LOPMI et l’obligation de dépôt de plainte sous 72 heures : que dit la RGPD ?

La page web discute de l’impact de la loi Lopmi sur l’indemnisation assurantielle des cyberattaques. Selon cette loi, la couverture d’assurance pour les cyberattaques est conditionnée par le dépôt d’une plainte par l’entreprise victime. L’article soulève plusieurs questions concernant les types d’attaques couverts et le délai de signalement aux autorités compétentes. Le contenu a été rédigé par Nadège Martin, avocate associée chez Norton Rose Fullbright.

La loi Lopmi, promulguée le 24 janvier 2023, vise à prévenir les menaces cybernétiques en introduisant l’article L. 12-10-1 du code des assurances. Cet article stipule que la couverture d’assurance pour les dommages causés par une violation d’un système de traitement automatisé de données (Stad) est soumise à la condition que la victime dépose une plainte dans les 72 heures. Ne pas respecter cette obligation peut avoir des conséquences importantes. Bien que l’objectif initial de la loi Lopmi était de perturber le modèle économique des cybercriminels exigeant des rançons, la portée de l’article L. 12-10-1 est bien plus large. Elle s’applique à tous les types de cyberattaques et à divers incidents de cybersécurité.

L’obligation de déposer une plainte concerne les contrats d’assurance professionnels couvrant les pertes et dommages résultant d’une violation d’un Stad. Cette obligation n’est pas spécifique aux attaques par rançongiciel et ne dépend pas de la compromission ou non de données personnelles. Par conséquent, elle peut s’appliquer à un large éventail de situations relevant des dispositions des articles 323-1 à 323-3-1 du code pénal.

Un défi majeur est le court délai imparti pour déposer une plainte. La victime doit signaler la violation aux autorités compétentes (police, gendarmerie ou procureur de la République) dans les 72 heures suivant sa connaissance de la violation. Ce délai est particulièrement difficile à respecter étant donné que les incidents de cybersécurité complexes nécessitent souvent des enquêtes approfondies pour déterminer leur nature, leur ampleur et leurs conséquences. Les victimes disposent généralement de peu d’informations au moment de la découverte et même après 72 heures.

De plus, les premières répercussions d’un incident cyber peuvent sembler limitées ou contenues, ou peuvent survenir pendant une période de moindre impact sur les activités de l’entreprise. Par conséquent, l’aspect assurantiel peut ne pas être initialement considéré comme une préoccupation majeure. Cependant, l’attaque peut ultérieurement s’intensifier ou évoluer de manière inattendue.

https://www.argusdelassurance.com/juriscope/cyberattaque-l-obligation-de-depot-de-plainte-a-l-epreuve-du-rgpd.218436

Notre Newsletter

Adhérez au Club Cyber et recevez l'actualité directement dans votre boite mail ! Profitez également de nos offres exclusives d'e-learning et de nos webinaires privés !

spot_img

Dans la même catégorie