Assurabilité des systèmes d information

Assurabilité des systèmes d information Problématiques juridiques et pratiques contractuelles à l heure des cyber risques Jeudi 3 avril 2014 9h 17 h CONSEIL NATIONAL DES BARREAUX Auditorium 22, rue de Londres 75009 PARIS FRANCE Document confidentiel Ne pas diffuser sans autorisation 1

Matinée : Problématiques juridiques 9h00 Ouverture de la journée Clarisse BERREBI Avocat Présidente de la Commission des Nouvelles Technologies du Conseil National des Barreaux André MEILLASSOUX Président AFDIT Partner ATM Avocats Jean-Laurent SANTONI Membre du Conseil d administration de l AFDIT Président de la SAS Clever Courtage 04/04/2014 2

Président de séance : Jean-Laurent SANTONI 9h30 Définition du risque assurable : le lien sécurité et conformité / résilience et gestion de crise / financement et assurance Eric BARBRY Avocat Alain Bensoussan Avocats 10h00 Quantification du risque et du sinistre indemnisable: point de vue de l expert Stéphane LIPSKI Expert judiciaire en comptabilité et informatique agréé par la Cour de Cassation 10h30 Pause Break 04/04/2014 3

NAME OF FIRM / SPECIALTIES Assurabilité des systèmes d information - problématiques juridiques et pratiques contractuelles à l heure des cyberrisques Quantification du risque et du sinistre indemnisable : point de vue de l expert Stéphane Lipski Document confidentiel Ne pas diffuser sans autorisation Stéphane LIPSKI Expert en informatique et en comptabilité agréé par la Cour de Cassation 19, rue Clément Marot 75008 PARIS stephane.lipski@cdassocies.fr Tél : 01 47 23 99 98 / Fax : 01 47 23 77 66 4

Sommaire 1. Rappels généraux des principes en matière d évaluation de sinistre indemnisable 2. A quoi correspond un sinistre indemnisable? 3. Analyse du lien de causalité 4. Lien de causalité et pertes subies 5. Lien de causalité et gains manqués 6. Problématique des chefs de préjudice qui font double emploi 7. Lien de causalité et perte de chance Stéphane LIPSKI - 04/04/2014 5

1. Rappels des principes généraux Un sinistre indemnisable est constitué d un fait dommageable dont la conséquence a été d occasionner un préjudice. Le principe de la réparation intégrale du préjudice rappelé tant par la doctrine que par la jurisprudence est le suivant : «Le propre de la responsabilité civile est de rétablir aussi exactement que possible l'équilibre détruit par le dommage, et de replacer la victime dans la situation où elle se serait trouvée si l'acte dommageable ne s'était pas produit» «Replacer la victime dans la situation où elle se serait trouvé si l acte dommageable ne s était pas produit» consiste donc à : o Établir la réalité du fait dommageable ; o Identifier les dommages, ou chefs de préjudices, causés par ce fait dommageable ; o S assurer de l existence d un lien de causalité direct et certain entre le fait dommageable et chaque chef de préjudice subi ; ATTENTION : un risque ne s indemnise pas. Seul un dommage et le préjudice associé sont indemnisables. Stéphane LIPSKI - 04/04/2014 6

2. A quoi correspond un sinistre indemnisable? (1/4) 1) Une différence d état Il résulte de la définition qui précède que l indemnisation doit correspondre à l écart entre une situation normale (si tout s était déroulé normalement ou comme prévu) et une situation réelle correspondant à une situation impactée par un dommage. T0 = début du projet T+12 mois = fin du projet Situation normale en fin de projet T+ 12 mois Situation observée à la date de fin prévue du projet Toute la difficulté de l évaluation va consister à déterminer quelles ont été les incidences du fait dommageable entre la situation normale et la situation réelle. On perçoit d ores et déjà une difficulté supplémentaire matérialisée par les flèches en fin de période à savoir que la période sur laquelle le préjudice est subi ne s arrête pas à la date de fin théorique du projet. Stéphane LIPSKI - 04/04/2014 7

2. A quoi correspond un sinistre indemnisable? (2/4) 2) La notion de dommage ou préjudice économique Le préjudice économique correspond aux différents chefs de préjudice liés à une activité économique de production ou de prestation de services. Suivant le type de bien sur lequel il porte, son évaluation diffère : Préjudice économique portant sur un actif patrimonial ne générant pas de revenus (œuvre d art, bien immobilier résidence principale ) PREJUDICE = privation de jouissance + coûts supportés (remplacement, réparation ) un actif d exploitation destiné à générer des revenus ou des économies (fin lucrative) PREJUDICE = coûts supportés + profits ou économies manqués Stéphane LIPSKI - 04/04/2014 8

2. A quoi correspond un sinistre indemnisable? (3/4) 3) Natures Aux termes de l article 1149 du Code Civil, «les dommages et intérêts dus au créancier sont, en général, de la perte qu il a faite et du gain dont il a été privé, sauf les exceptions et modifications ci-après». Le domamge peut donc être aussi bien une perte subie (damnum emergens), qu un gain manqué (lucrum cessans). Il peut prendre différentes formes selon la date à laquelle on se situe lorsque l on fait l évaluation : PASSÉ FUTUR Pertes subies (damnum emergens) - Frais engagés en pure perte - Valeur d un actif détruit ou devenu inutile - Coûts supplémentaires à engager Manque à gagner (lucrum cessans) - Perte de revenus passés -Non, ou moindre, perception de revenus futurs - Economies qu il n a pas été possible de réaliser ATTENTION : ces natures de dommages ne se cumulent pas nécessairement (Cf. chapitre 5) Stéphane LIPSKI - 04/04/2014 9

2. A quoi correspond un sinistre indemnisable? (4/4) 4) Cas particulier de la perte de chance Comme pour le gain manqué, la perte chance doit présenter un caractère certain quant à sa probabilité d occurrence (exemple : lorsqu une entreprise est titulaire d un contrat de maintenance, elle est certaine d être consultée pour son renouvellement si sa prestation a, par le passé, donné toute satisfaction, et elle dispose donc de bonnes chances de l emporter). Ce qui différencie le gain manqué, qui ne supporte pour ainsi dire aucun aléa, de la perte de chance, c est donc l existence d un aléa, non pas sur la probabilité de réalisation de l événement (le fait d être consulté pour le renouvellement du contrat) mais sur le seul quantum des profits escomptés correspondant à la probabilité d avoir «de bonnes chances de l emporter» multiplié par l enjeu financier correspondant. Sur le plan de l indemnisation, le quantum de la perte de chance, qui sera évalué suivant les mêmes principes que ceux applicables pour l évaluation du gain manqué, devra être pondéré en fonction du degré de réalisation probable de la conséquence favorable pour tenir compte de son caractère certain mais dont l ampleur est malgré tout aléatoire. Stéphane LIPSKI - 04/04/2014 10

3. Analyse du lien de causalité (1/3) 1) Dans quelle mesure l analyse du scénario conduisant à la situation observée à la date de l évaluation est-elle pertinente? On vient de le voir, le dommage et le préjudice correspondant résulte d une situation d écart entre deux états. Dès lors, sur le principe, seul un constat objectif de l ensemble des coûts supportés en pure perte et des gains manqués est de nature à permettre de déterminer le quantum du préjudice subi. La problématique de l analyse d un ou plusieurs scénarii selon lesquels la victime aurait été dans tel ou tel état si elle avait pris telle ou telle décision n apparaît donc pas pertinente, tout du moins, en principe. Elle peut néanmoins s avérer utile afin de déterminer si, notamment par son inaction, injustifiée, la victime en a accru le quantum. En effet, dans ce cas, il convient de tenir compte de son attitude dans la détermination du quantum du préjudice. En général, et c est autant une question de bon sens qu une question financière, une victime va tout mettre en œuvre pour limiter les effets d un préjudice qui lui a été causé (un particulier va bâcher le toit de sa maison endommagée, une entreprise va reprendre à sa charge la configuration d un serveur qui a mal été paramétré par un prestataire, elle va confier la réétude d un circuit imprimé à un nouveau bureau d étude plutôt que de lancer sur le marché un produit aux fonctionnalités déficientes). Elle sera d ailleurs dans cette situation indemnisée de ces coûts complémentaires engagés pour la sauvegarde de ses intérêts et la limitation de son préjudice. Stéphane LIPSKI - 04/04/2014 11

3. Analyse du lien de causalité (2/3) En revanche, si elle ne prend pas les mesures nécessaires à cette sauvegarde, et ce alors qu elle avait les moyens de le faire et la connaissance de l aggravation du préjudice que risquait de lui causer son inaction, elle ne semble pas pouvoir être indemnisé de ce «surcroît» de préjudice (certains contrats d assurance prévoient d ailleurs le déblocage de fonds spécifiques pour faire face aux mesures à prendre d urgence afin de précisément limiter les effets secondaires d un dommage). La question qu il apparaît nécessaire de se poser face au comportement d une victime qui allègue un préjudice, et notamment un gain manqué ou une perte de chance, ne semble donc pas être «qu est-ce qu il aurait été le plus pertinent de faire dans une telle situation?» mais bien «quel est le préjudice effectivement subi à la date de l évaluation étant donné que la décision qui a été prise par la victime postérieurement à la survenance du fait dommageable était celle qui, compte tenu de ses moyens financiers et de son anticipation de l importance des conséquences du fait dommageable, était à l époque la plus pertinente?». A cet égard, il est notamment important de souligner que sur un plan économique, l importance du fait dommageable est parfois sans commune mesure avec le quantum du préjudice qu il occasionne. Celui qui évalue le quantum d un dommage ne doit donc pas se laisser impressionner par la décorellation qui peut apparaître entre, par exemple, le montant d un contrat et celui du préjudice qui résulte de son inexécution par l auteur du dommage. En effet, elle n est qu apparente étant donné que le fait dommageable est bien l acte commis par l auteur du dommage et non le moyen par lequel cet acte a pu être commis. Et le préjudice est bien la conséquence du fait dommageable et non du moyen. Stéphane LIPSKI - 04/04/2014 12

3. Analyse du lien de causalité (3/3) Exemple n 1 : Si le préjudice subi par PSA dans cette situation devait faire l objet d une évaluation, celle-ci devrait-elle être liée au coût unitaire de la pièce manquante? au coût de la dernière commande de ce composant passé par PSA auprès de ce fournisseur? Le préjudice de PSA doit-il subir une décote du fait de son impréparation à une telle situation? A l évidence ni l un ni l autre : le préjudice s évalue en fonction des conséquences du fait dommageable observées chez la victime et non du montant du contrat. Stéphane LIPSKI - 04/04/2014 13

4. Lien de causalité et pertes subies (1/1) La locution «de la perte qu il a faite» figurant au sein de l article 1149 du Code Civil s entend de tous les frais engagés par la victime : o antérieurement à la survenance du fait dommageable et qui ont été rendus inutiles du fait de la survenance de ce dernier ; o postérieurement à la survenance du fait dommageable en l absence duquel il n aurait pas été nécessaire de les engager. 1) Typologie des pertes subies 1.1.) antérieurement à la survenance du fait dommageable Il s agit, la plupart du temps, de : - coût d achat de matériels et/ou de licences de logiciels ; - prestations de services payées à des tiers (conseil, formation, intégration, support, maintenance ) ; - temps passés par les équipes en interne ; - frais de déplacement et d hébergement. 1.2.) postérieurement à la survenance du fait dommageable Il s agit de toute mesure de sauvegarde visant à limiter tout accroissement du préjudice occasionné par le fait dommageable : - frais divers (relogement, achat d un nouveau matériel ) ; - prestations de services commandées à un tiers Stéphane LIPSKI - 04/04/2014 14

5. Lien de causalité et gains manqués (1/3) 1) Question à se poser - Sur le plan comptable et financier : - Sur quelle durée évaluer le gain manqué (durée normale d un contrat type)? Au-delà, s agit-il d une perte de chance (cas du renouvellement probabilité de renouvellement)? Le chiffre d affaires est-il perçu dès l origine du contrat ou à périodicité régulière? - Quel niveau de marge utiliser? - distinction marge brute / marge sur coûts variables / marge d exploitation / marge nette. - identification des coûts associés à la production d une unité supplémentaire. - dernier niveau de marge connu / moyenne historique / marge prévisionnelle? - Sur le plan commercial et marketing : - Le plan de développement de l activité est-il crédible au regard des moyens financiers de la société et de l évolution qu a connu le marché et la concurrence? - Analyse de l évolution de l activité qu a enregistré la concurrence à la même époque en l absence de trouble de son activité. - Importance de la prise en compte de l environnement macro-économique (crise 2000-2001 et plus récemment septembre 2008 2009. Stéphane LIPSKI - 04/04/2014 15

5. Lien de causalité et gains manqués (2/3) 2) Cas particulier du gain manqué qui est constitué par un décalage dans le temps de la perception d un revenu Certains gains prétendument manqués ne sont pas toujours des pertes définitives pour l entreprise victime. En effet, dans certains cas particuliers, l entreprise victime n a subi qu un décalage de trésorerie dans la perception de ses revenus. Cette situation est assez rare et ne concerne que les situations dans lesquelles : L entreprise n a pas renoncé à son projet et l aboutissement de ce dernier comme la sortie du nouveau produit ou du nouveau service associé n a été que décalée dans le temps ; ET Aucun autre intervenant du marché n a commercialisé de produit ou service similaire pendant la période concernée de sorte qu aucune part de marché n a été perdue. Stéphane LIPSKI - 04/04/2014 16

5. Lien de causalité et gains manqués (3/3) Le gain manqué correspond, dès lors, à l écart entre les deux courbes ci-dessous (courbe verte = situation normale et courbe rouge et jaune = situation effective) et non pas à l écart entre la courbe verte et l axe des abscisses comme cela serait le cas lorsque le projet est un échec définitif ou que le produit n a pu réussir à connaître le développement commercial prévu du fait de la prise de part de marché par d autres intervenants. Stéphane LIPSKI - 04/04/2014 17

6. Problématique du double emploi (1/3) Selon le principe même qui régit l évaluation d un dommage et qui consiste à replacer la victime dans la situation qui aurait été la sienne en l absence de survenance du fait dommageable, il est nécessaire, lors de l analyse, de déterminer si certains éléments ne font finalement pas double-emploi ce qui conduirait à un enrichissement de la victime. Parmi les cas les plus fréquents figurent : - La demande de remboursement de frais engagés en pure perte et l indemnisation d un manque à gagner ; - La demande d indemnisation d une perte de valeur de l entreprise dans la mesure où le projet devait lui permettre un développement très significatif et l indemnisation du manque à gagner correspondant à l échec du projet. 1) Demande de remboursement des frais engagés en pure perte / manque à gagner En situation normale : Frais d étude et d analyse + Frais d acquisition de matériels et logiciels + Temps passés en interne PERMET Création d un outil ou d un bien PERMET Génération de revenus ou Génération d économies En conséquence, il est nécessaire d engager pour disposer de et bénéficier de. Stéphane LIPSKI - 04/04/2014 18

6. Problématique du double emploi (2/3) En l absence de, et n arriveront jamais. Frais d étude et d analyse + Frais d acquisition de matériels et logiciels + Temps passés en interne PERMET Création d un outil ou d un bien PERMET En conséquence, pour que ait une chance d aboutir et d exister, il faut engager. Génération de revenus ou Génération d économies Il n est donc pas possible de solliciter l indemnisation des coûts directement supportés pour la conception et la réalisation d un outil ou d un bien dont on sollicite également le manque à gagner. Soit la victime est indemnisée de ses coûts supportés en pure perte ( ), soit elle l est de son manque à gagner ( ). Quand bien même le projet ait été un échec, si la victime souhaite être indemnisée de, elle doit supporter le «mal nécessaire» que constitue. Stéphane LIPSKI - 04/04/2014 19

6. Problématique du double emploi (3/3) 2) Perte de valeur de l entreprise (goodwill) / manque à gagner Sur le principe, il est légitime de faire observer que l échec d un projet fait subir une perte de valeur, parfois improprement qualifiée de perte de goodwill, à l entreprise qui en est victime. En effet, si le projet envisagé avait pour objectif d accroitre ses revenus ou de lui faire réaliser des économies, son échec la prive d un bénéfice qui a une incidence directe sur sa valeur. En effet, la valeur d un actif comme celle d une entreprise est constituée par la somme des revenus futurs actualisés générés par son exploitation. La méthode de base en la matière est celle des Discounted Cash Flows (Flux de Trésorerie Actualisés) qui consiste à observer le chiffre d affaires susceptible d être réalisé par la société au cours des années à venir, d en déduire le niveau des charges correspondantes estimées pour en déterminer in fine les flux de trésorerie prévisionnels. C est la somme actualisée de ces flux prévisionnels de trésorerie futurs qui constitue la valeur de l actif. Cependant, si le manque à gagner allégué est censé constituer l essentiel des résultats futurs de l entreprise, alors l approche qui consiste à évaluer le manque à gagner fait double emploi avec celle qui consisterait à déterminer la perte de valeur de l entreprise que le fait dommageable a engendré. En d autres termes, il est procédé à partir des mêmes hypothèses, et pour les mêmes ordres de grandeur, à l évaluation du même préjudice, l un étant confondu dans l autre. Stéphane LIPSKI - 04/04/2014 20

7. Lien de causalité et perte de chance (1/1) La méthodologie d évaluation de la perte de chance suit les mêmes principes que ceux applicables en matière d évaluation du gain manqué. Les principales différences ont trait : - A la vraisemblance des hypothèses sous-jacentes qui sont généralement extrinsèques à l entreprise (prise de part de marché, comparabilité à d autres acteurs ayant bénéficié de ce dont l entreprise a été privée ) - A l application d une pondération sur le résultat obtenu fonction de la probabilité de réalisation de l événement. Une difficulté est notamment d apprécier cette probabilité. Stéphane LIPSKI - 04/04/2014 21

Merci de votre attention Stéphane LIPSKI - 04/04/2014 22

10h50 Le principe indemnitaire dans l assurance de l immatérialité : assurance de dommages, assurances de responsabilité, assurance des pertes pécuniaires ou la combinaison des trois : point de vue du courtier d assurance Jean-Laurent SANTONI Président de la SAS Clever Courtage 11h30 L assurabilité de la responsabilité des mandataires sociaux et des pénalités administratives Mickaël ROBART Directeur Assurance & Capital Partners SIACI SAINT HONORE 12h00 Débat et questions avec la salle 12h30 14h00 Déjeuner / Lunch 04/04/2014 23

Assurabilité des systèmes d information Le principe indemnitaire dans l assurance de l immatérialité : assurance de dommages, assurances de responsabilité, assurance des pertes pécuniaires ou la combinaison des trois : point de vue du courtier d assurance Jean-Laurent SANTONI, Docteur en Droit, Président de Clever Courtage, IT risk insurance broker Document confidentiel Ne pas diffuser sans autorisation 24

Assurabilité des Systèmes d'information Rappel historique 3 générations de Systèmes d Information 3 générations de mécanismes assuranciels Financement des risques de l Information, de la Confiance et de la Connaissance Du Bris de Machine à la Tous Risques Informatique Entreprise - Silo Industrielle < 1980 Du Produire Au Vendre 1980-2000 Modèle : Accident, Erreur, Malveillance De la TRI aux Garanties Pertes Financières d atteinte aux données Entreprise Matricielle An 2000 1995-2002 Vers l Economie Numérique 2000-2020 Modèle : Disponibilité, Intégrité, Confidentialité, Traçabilité 2005-2010 Mondialisation Ecosystème Numérique 2015-2020 + Modèle : Infonomics, Privacy & Cyber Défense 04/04/2014 25

Assurabilité des Systèmes d'information Les enjeux de mutualisation pour les assureurs Assurabilité : plusieurs principes de fond conditionnent l assurabilité d un risque L assurance d un risque, quel qu il soit, suppose que sa survenance respecte un caractère aléatoire Un fait : tous les risques ne sont pas assurables (moralité, anti-sélection, guerre, coût ). L assurabilité d un risque dépend avant tout de la capacité des acteurs à identifier les périls encourus pour les transcrire en objets d assurance dans un cadre contractuel. Une conséquence : toute opération d assurance a pour objet l indemnisation d un préjudice. Cela nécessite donc pour l assurance de pouvoir d une part quantifier les conséquences financières des risques encourus et, en cas de survenance, d établir le juste préjudice subi en application du principe indemnitaire. Une cause : Identifier le lien de causalité entre le préjudice et le fait générateur Mutualisation : Un risque n est pas mutualisable si Il ne peut rejoindre un portefeuille de risques comparables Il ne peut bénéficier de supports méthodologiques normés permettant son analyse et sa tarification Toute couverture d un risque «original» fait alors l objet d une étude spécifique, menée au cas par cas. 04/04/2014 26

Assurabilité des Systèmes d Information Les enjeux de quantification des pertes pour les assureurs Quantification des enjeux Evaluation des pertes financières et du financement du retour à la normale Tolérance au risque 04/04/2014 27

Assurabilité des Systèmes d Information L intérêt au financement des risques des SI Pour illustrer la complexité actuelle du financement des risques des Systèmes d Information, quoi de mieux que de se pencher sur le débat autour de l assurabilité du SaaS et du Cloud : Doit-on retenir la vision dommages (les atteintes aux données traitées par le SaaS et confiées dans le cloud restent à la charge du maitre du traitement et des données) ou Doit-on retenir la vision responsabilité (le fournisseur SaaS et l opérateur de Cloud engagent leur responsabilité de services et non pas de produit logiciel pour autant que leur faute soit démontrée, le préjudice quantifié et dans la limite de la clause pénale insérée au contrat). Concrètement, alors que les approches US sont très orientées claims et liability, il convient de faire preuve d imagination et par exemple s inspirer de l assurance construction qui distingue entre les garanties dommages-ouvrages en préfinancement afférente à des constructions très différentes les unes des autres (transposition aux métiers et aux filières d utilisation des données, risques dispersés) et les garanties RC décennale des constructeurs (transposition à des sinistres liés à l usage d une technologie, ou d un mode opératoire comme le cloud, risques concentrés). 04/04/2014 28

Assurabilité des Systèmes d'information L'approche par l'assurance de Dommages aux Données 1 2 3 ATTEINTE AU PATRIMOINE INFORMATIONNEL OU QU IL SE TROUVE (UE et hors UE) Frais de reconstitution des Données / Frais de réversibilité Frais supplémentaires d exploitation / secours / Back up Pertes d exploitation / Perte d Activités / Cyber rançon Pénalités contractuelles (PCI DSS) Dépenses de relations publiques UNE PROCEDURE REGLEMENTAIRE RELATIVE A LA PROTECTION DES DONNEES Coûts d investigation en cas de suspicion de compromission, Frais de défense face aux organismes de contrôle selon la nature des données (AMF, ACP, CNIL, Santé ), Indemnisation des coûts de notification et des couts de protection des titulaires des données MISE EN CAUSE SUITE A UNE PROCEDURE CONTENTIEUSE OU UNE RECLAMATION D UN TIERS Atteinte au Système d information du propriétaire des données et du responsable / co-responsable du traitement Manquement à une obligation de confidentialité ou de sécurité 4 UNE PROTECTION DE LA RESPONSABILITE CIVILE DES MANDATAIRES SOCIAUX 04/04/2014 29

Assurabilité des Systèmes d'information L'approche par l'assurance de Responsabilité des Prestataires 1 2 3 ATTEINTE AU SYSTÈME D INFORMATION PRESTATAIRE Frais et dépenses consécutifs à une Atteinte au Système d Information trouvant son origine dans : Un accident physique atteignant l infrastructure et les matériels Un acte de Malveillance informatique ou un sabotage immatériel (hacking) GARANTIE OPTIONNELLE DOMMAGES POUR COMPTE CHOISIE PAR LE CLIENT Il s agit de garantir les atteintes aux données du client à la suite de tous faits générateurs immatériels (y compris des évènements ne relevant pas d une faute du prestataire) sur la base d un capital forfaitaire choisi par le client et correspondant à la valeur qu il attache aux données confiées MISE EN CAUSE SUITE A UNE RECLAMATION D UN CLIENTS SUR LA BASE DES SLA - PLA Atteinte à l intégrité ou divulgation de données Exclusion des préjudices indirects, pertes de marchés, punitive damages Manquement à une obligation de confidentialité ou de sécurité caractérisée (exclu la force majeure) La problématique de l assureur du Prestataire est relative au cumul de ses engagements : capital garanti par évènement divisé par le nombre de lésé versus capital garanti par réclamant multiplié par le nombre de réclamant capé par un engagement maximum 04/04/2014 30

Assurabilité des Systèmes d Information Les enjeux de demain Dès à présent, pour les assureurs, il est indispensable d intégrer dans leur démarche de développement la prise en compte de l économie numérique et du monde digital, et pas seulement les seuls aspects déviants que constitue le cyber crime. Traiter l assurabilité des Systèmes d Information par le seul prisme de l assurance du financement des notifications de violations de sécurité des données personnelles au motif que cela devient une obligation légale et que le Ponémon Institute permet de fixer une valeur à assurer, c est cacher la forêt des risques de l économie numérique et digitale derrière l arbre des cyber risques. L approche ne doit pas non plus consister à copier-coller des solutions «ready to use» en provenance des US, mais à s adapter et prendre en considération le marché continental, tant du point de vue de ses aspects réglementaires spécifiques que du point de vue des nouveaux paradigmes d usage des technologies, 04/04/2014 31

Assurabilité des Systèmes d Information Les enjeux de demain Deux pistes doivent être ouvertes à mon sens : Le financement par l assurance du développement du Big Data et de l'évolution actuelle qui tend à transformer la DONNEE en INFORMATION suppose d être en mesure de fixer la valeur de l information, à défaut de quoi il sera très complexe d indemniser les dommages non quantifiables d un objet informationnel. C est l objet des travaux engagés depuis plusieurs années aux Etats Unis par un analyste de Gartner, Doug Laney, travaux connus sous le nom «infonomics», terme créé pour désigner l'économie de l'information. S il appartient à l Etat de contribuer à la prévention des cybers risques, comme il l a fait au travers de la Loi de Programmation Militaire, il doit également veiller à l indemnisation des victimes, en particulier au regard de l identité numérique. L Etat ne pourra favoriser la protection en cas de réalisation du risque numérique que par l institution de règles claires d indemnisation des lésés au moyen d obligations d assurances de responsabilité civile à la charge des prestataires et des opérateurs, tout en encourageant chacun dans la souscription d assurance individuelle visant à couvrir ses données immatérielles comme chacun le ferait pour ses biens matériels. 04/04/2014 32

SIACI SAINT HONORE / ASSURANCE DES RISQUES FINANCIER Assurabilité des systèmes d information «L assurabilité de la responsabilité des mandataires sociaux et des sanctions administratives» Mickael ROBART Document confidentiel Ne pas diffuser sans autorisation 33

Légalité de l assurance de la Responsabilité des dirigeants L assurance de la responsabilité des dirigeants est-elle légale au regard de notre législation? Ce contrat est-il légitime s il vise comme le prétendent ses détracteurs, à l impunité, voire l incitation à l irresponsabilité (proposition de loi n 1304 déposée devant l Assemblée nationale le 17 décembre 2003 par le député Christophe Caresche relative «au renforcement de la responsabilité individuelle des dirigeants et mandataires sociaux dans les sociétés anonymes ainsi qu à la transparence et au contrôle de leur rémunération dans les sociétés cotées») Réponse : Le contrat d assurance ne met pas le dirigeant à l abri de tout : - La garantie est limitée dans son étendue et dans ses montants au regard du préjudice global potentiel et difficilement prévisible dont le dirigeant devra répondre, - les sanctions qui peuvent se traduire par le paiement d amendes ou l exécution de peines privatives de liberté, - la menace de révocation, l atteinte à la réputation professionnelle, la sauvegarde de l image de la société sont autant d éléments subjectifs qui incitent les dirigeants à la plus grande vigilance dans l exercice de leurs responsabilités, - au sein des grands groupes, l existence même des contrats RCMS reste confidentielle, 04/04/2014 34

Légalité de l assurance de la Responsabilité des dirigeants L assurance de la responsabilité des dirigeants est-elle légale au regard de notre législation? Ce contrat est-il légitime? Assurance RCMS et conformité à l intérêt social de la société : risque de conflit d intérêts, voire de qualification d abus de biens sociaux Réponse: ni l élément matériel (un acte d usage contraire à l intérêt social), ni l élément moral (la mauvaise foi et la conscience de satisfaire un intérêt personnel au moment où l acte litigieux est commis) de cette incrimination ne sont réunis dans le simple fait de souscrire une assurance RCMS. Paiement de la prime par la société: Réponse: -Selon les dispositions de l article L. 112-1 du Code des assurances, le souscripteur d une assurance pour compte est «seul tenu au paiement de la prime envers l assureur». -Le paiement de la prime ne peut s assimiler à une prise en charge du risque lui-même. 04/04/2014 35

Légalité de l assurance de la Responsabilité des dirigeants L assurance de la responsabilité des dirigeants est-elle légale au regard de notre législation? Ce contrat est-il légitime? L administration fiscale s est expressément prononcée (cf. Rép. min. à QE no 23361, Belcour, JOAN Q 11 juill. 1985, p. 1311 puis Rép. min. à QE no 25786, Salles, JOAN Q 26 oct. 1987, p. 5931 et enfin Rép. au comité fiscal de mission d organisation administrative du 15 mars 2001, doc. Organique no 66 du 27 sept. 2001) pour qualifier la nature et le régime applicable aux primes et indemnités attachées à cette assurance. Concernant la prime d assurance : Au regard du dirigeant : celle-ci a été successivement analysée comme un complément de rémunération imposable, puis comme une indemnité représentative de frais exonérés d impôt sur le revenu si le contrat souscrit couvre uniquement des risques inhérents à l activité professionnelle exercée, et enfin comme un avantage en argent ou rémunération indirecte soumise à l impôt sur le revenu ; Au regard de la société : le montant des cotisations se trouve donc logiquement déductible du résultat imposable de la société. Pour ce qui est de l indemnité d assurance : Il est admis que les indemnités versées au titre du contrat d assurance tant que telles, le caractère d un revenu imposable. n ont pas, en 04/04/2014 36

Sanctions pécuniaires administratives et assurance Qu en est-il des sanctions prononcées à l encontre d un dirigeant par une autorité administrative? Par un Arrêt de la Cour d appel de Paris du 14 février 2012 dans l affaire Telecom City / Macia / Chubb paru dans le numéro 2013 de la Revue de jurisprudence commerciale, la cour a fait valoir que l'assurance de ces sanctions était «contraire à l'ordre public» en ce qu'elle «les priverait de leur caractère dissuasif». L assimilation des régimes de sanctions des autorités administratives et des juridictions pénales a été exprimée dans l arrêt «Didier» du Conseil d Etat du 3 décembre 1999 qui affirme notamment que «quand le Conseil des marchés financiers est saisi d agissements pouvant donner lieu aux sanctions prévues par l article 69 de la loi du 2.7.1996, cette autorité doit être regardée comme décidant du bien fondé d accusations en matière pénale au sens des stipulations de l article 6 de la Conventions Européennes des Droits de l Homme». 04/04/2014 37

Sanctions pécuniaires administratives et assurance Qu en est-il des sanctions prononcées à l encontre d un dirigeant par une autorité administrative? L assimilation du régime des sanctions administratives sur le régime des sanctions pénales peut donc se déduire de: La reprise du principe de proportionnalité rappelé à l article 621-15 III du Code des Marchés Financiers selon lequel le montant de la sanction «doit être fixé en fonction de la gravité des manquements commis et en relation avec les avantages ou profits éventuellement tirés de ces manquements». Du principe de «confusion des peines» lorsque sont prononcées en parallèle des sanctions pécuniaires administratives et pénales pour les mêmes faits incriminés et poursuivis devant les deux ordres de juridictions, La reconnaissance de la théorie du principe de contrariété à l Ordre Public de l article 6 du Code Civil et le rejet de celle s appuyant sur une appréciation a contrario du champs de l article L113-1 du Code des Assurances, L illustration jurisprudentielle de la nullité de couverture d assurance pour illicéité de cause (articles 1131 et 1133 du Code civil), 04/04/2014 38

Sanctions pécuniaires administratives et assurance Qu en est-il des sanctions prononcées à l encontre d un dirigeant par une autorité administrative? Arrêt de la Cour de Cassation du 14 juin 2012 (Marionnaud): atténuation -L'arrêt rendu par la Cour de cassation semblait marquer une évolution dans le traitement de l'assurabilité de la sanction administrative en visant non une atteinte à l'ordre public, mais le caractère intentionnel des faits reprochés. En l'espèce, un dirigeant avait été sanctionné par l'amf pour manquement à l'obligation d'information du public par diffusion d'informations inexactes. La Cour de cassation a validé l'interprétation des juges du fond (confirmée par la cour d'appel) en ce qu'ils avaient considéré que la faute intentionnelle était «exclusive du caractère aléatoire du contrat d'assurance». -Le principe de l'inassurabilité de la faute intentionnelle pour défaut d'aléa n'est pas nouveau. Toutefois, dans le contexte de la question de l'assurabilité des sanctions dites administratives, le fondement est intéressant, dans la mesure où il pourrait marquer une brèche dans le principe de l'inassurabilité d'ordre public qui, jusqu'alors, ressortait de la jurisprudence. En faisant le choix de ne pas viser l'article 6 du code civil, la Cour a pu souhaiter laisser aux parties l'opportunité de soumettre la question de l'assurabilité de ce type de sanctions aux juges du fond, qui auront à se prononcer au cas par cas sur la portée de la faute commise et son caractère intentionnel. 04/04/2014 39

Sanctions pécuniaires administratives et assurance Qu en est-il des sanctions prononcées à l encontre d un dirigeant par une autorité administrative? POSITION DU MARCHE DE L ASSURANCE A ne pas confondre: DOMMAGES-INTÉRÊTS «PUNITIFS»? -n existe pas en droit français -Garantie réservée aux pays de «common law» FINES ET «AMENDES CIVILES» -Une confusion des genres -Qu'une seule acception possible en droit français : une peine prononcée par une cour au profit du Trésor public en cas d'action abusive. Leur montant excède rarement quelques milliers d'euros et l'intérêt de leur assurabilité reste limité -Garantie réservée aux pays de «common law» 04/04/2014 40

Sanctions pécuniaires administratives et assurance Conclusion: La réponse n'est pas homogène. Une grande partie des assureurs refuse toute prise en charge. Un autre groupe, minoritaire, offre une garantie des sanctions administratives, soit en faisant référence à la notion de sanction pécuniaire prononcée par une autorité administrative à l'encontre des personnes physiques, soit en faisant référence aux seules amendes et/ou pénalités civiles assurables imposées à un dirigeant personne physique. Il est à noter qu en matière de Cyber Risks les mêmes assureurs proposent une garantie des sanctions pécuniaire de la CNIL prononcée contre la personne morale. Serait-il permis d'aller plus loin? Il aurait fallu un arrêt de principe mieux motivé y compris sur la notion de Faute intentionnelle pour laisser la morale en dehors du débat. 04/04/2014 41

Sanctions pécuniaires administratives et assurance Aussi, sans trop de spéculation, il reste encore permis aux assureurs de se différencier en accordant des garanties sous certaines limites. Mais alors, lesquelles? Eu égard au caractère d'ordre public de ces sanctions, la stipulation - de sous-limites des montants de garantie principaux, - de franchises, -et d'exclusions est souhaitable et de nature à responsabiliser l'assuré. 04/04/2014 42