Pratique des contrats d'assurance informatique. INTRODUCTION 1 Dans les années 1980, l informatique en est encore à ses balbutiements, le matériel est imposant, les capacités de l outil minimes. Néanmoins, certains dirigeants d entreprises se soucient déjà des risques afférents au matériel informatique. Les assureurs trouvent là un nouveau créneau : l assurance informatique. A l époque, nombreuses sont les Compagnies qui assurent les risques matériels. Aujourd hui, l informatique ne se réduit plus au matériel (hardware). En effet, au fil des années, l outil devient de plus en plus rapide. Parallèlement, les prix et les volumes diminuent constamment. Conséquence, l informatique tend à se généraliser dans la société. Dans le monde de l entreprise, l informatique aura pris une telle ampleur qu aujourd hui le degré de dépendance est fort avec tous les risques qui en découle. Jean Marc Lamère 2 estime que si on parlait de «risques informatiques» il y a quelques années, aujourd hui, il y a lieu de parler de risques liés aux systèmes d information (et de communication) en général car l informatique est de plus en plus répartie, intégrée, diversifiée. Face à l ouverture des systèmes d information (site Internet, messagerie électronique généralisée, accès Internet généralisé, Intranet) et à son évolution rapide, le risque sur la richesse immatérielle que représente les données doit être pris en compte. L Echange des 1 Dessin de Gautier, «Quinze ans de jurisprudence», Temps Réel, 27 juin 1983, p.37. 2 Délégué général, Apsad/FFSA
Données Informatisées (EDI), par exemple, s étend à tous les secteurs économiques et ce depuis une quinzaine d années déjà. Cela a commencé par la dématérialisation de la Bourse (1985) et mise en place du système interbancaire de télécompensation en 1988. L assurance a abordé cette profonde mutation en 1999, ce sont désormais la plupart des entreprises qui s engagent dans l EDI. Certains métiers réclament la transmission de nombreux documents. Les données professionnelles doivent être normalisées pour faire face à l extrême hétérogénéité des informations à transporter. Une fois structurées dans un langage commun normalisé, il convient de s interroger sur leur transfert. De multiples procédés techniques sont à la disposition de tout un chacun pour protéger cet EDI, seulement, la faille n est pas exclue d autant que certains hackers (voire crackers) en sont à l affût. Les assureurs se sont préoccupés de ces risques et proposent une assurance spécifique EDI couvrant les risques directs et indirects supportés par l entreprise assurée, ainsi que les préjudices causés au tiers. Les Nouvelles Technologies d Information et de Communication (NTIC) deviennent rapidement obsolètes, cela implique soit un renouvellement soit une maintenance d où le difficile équilibre à trouver entre l évolutivité et la compatibilité ascendante. L informatique n est pas infaillible. De nombreux acteurs (techniciens, ingénieurs, assureurs, ) jaugent sa vulnérabilité face à des erreurs, accidents ou malveillances. C est alors qu apparaît le concept de Sécurité des Systèmes d information. Beaucoup d entreprises s en préoccupent, mais peu en pratique procèdent à une étude de vulnérabilité afin de définir les actions à entreprendre et cibler les dépenses à investir dans la sécurité informatique faute de moyens (financiers). De facto, seules les grandes entreprises budgétisent leur sécurité informatique. Informatique et confiance ne riment pas! Ces derniers temps, de nombreux évènements sont venus nous le rappeler. Les plus illustres : les problèmes rencontrés lors du premier vol de la fusée Ariane V et la véritable catastrophe mondiale qu a constitué le virus Nimda survenu une semaine jour pour jour après le drame du World Trade Center. Ainsi, confusément, l informatique cristallise des craintes autour de la sécurité des données et des transactions, de la confidentialité et par extension de la pérennité des entreprises confrontées à un sinistre. Faut-il alors développer une culture du risque au sein de l entreprise? Est-il possible d atteindre le risque zéro?
Le risque zéro relève de l utopie. La mise en place d un système de sécurité infaillible se révèlerait plus onéreux que la fraude. Certaines entreprises souscrivent plusieurs assurances pour couvrir le même risque mais cela n est pas sans danger (cf. infra.) Pour ce qui est du développement de la culture du risque au sein de l entreprise, cela est variable selon la taille de l entreprise, mais en tout état de cause, toutes les structures quelle que soit leurs tailles dépendent aujourd hui de leur système d information. Les grandes entreprises ont les capacités financières d investir dans la sécurité informatique. Elles ont comme ressources, des ingénieurs, techniciens, informaticiens, administrateurs de réseaux En outre, l assurance couvrira les aléas. Les Petites et Moyennes Entreprises (PME) également concernées n ont pas forcément un budget spécifique à allouer à la sécurité informatique. Pourtant, certaines Compagnies d assurance (à l exemple d ACE Europe) accompagnent ces entités dans la protection de leur informatique en leur proposant de maîtriser l évaluation des vulnérabilités des systèmes en place et de mettre en œuvre des mesures de prévention et un programme d assurances adaptées. Dataguard PME d ACE Europe par exemple concerne les entreprises et industries réalisant un chiffre d affaires de moins de 15 millions d Euros par an. Les Très Petites Entreprises (TPE) ont aussi des besoins spécifiques en matière d assurance mais les moyens financiers sont modestes sans pour autant croire que les risques qu elles encourent soient moins importants que ceux d entreprises disposant de plus vastes ressources. Voilà donc un nouveau marché en perspective pour les Compagnies d assurance sachant que près de 150 000 entreprises en moyenne se créent tous les ans en France. Au niveau national, le CLUSIF (Club de la Sécurité des Systèmes d Information Français) a été créé en 1984. C est un espace d échange ouvert à tous les acteurs de la sécurité des systèmes d information. Depuis plusieurs années, ce club dresse le bilan de la sinistralité informatique 3. 3 CLUSIF, Etude et statistiques sur la sinistralité informatique en France, 2002, https://www.clusif.asso.fr/fr/production/sinistralite/docs/etude2002.pdf, 01/08/2003.
L année 2002 a été marquée par deux tendances : une accélération de l ouverture des systèmes d information et une forte augmentation des infections par virus. Ces tendances sont amenées à s amplifier au cours des années à venir. Sans rentrer dans le détail de ce bilan nous constatons que 64 % des entreprises interrogées n ont pas toujours défini de politique de sécurité des systèmes d information. Cependant, il y a une certaine volonté des entreprises de développer une culture de la sécurité en interne : 87 % d entre elles sensibilisent et forment leur personnel. Nombreuses sont les entreprises infectées par virus (26,3%). Cela a un impact financier. Elles doivent procéder à une réparation ou remplacement du matériel informatique endommagé ou manquant. Le coût de reconstitution des données, logiciels ou procédures endommagées ou perdues n est pas à négliger pas plus d ailleurs que les postes d exploitation subséquentes. Dans 86 % des cas, l impact financier des sinistres est résorbé par la trésorerie courante. Deux raisons à cela, la faiblesse d impact ou défaut d assurance. Les risques prévisibles à l avenir sont principalement les virus et infections informatiques et accidents d origine interne. Ceci nous amène à étayer ce que sont réellement ces risques informatiques. Les NTIC évoluent rapidement et constamment avec leurs innombrables défaillances. A coté de cela, se développe une nouvelle forme de délinquance : la délinquance informatique. En somme, le ver est dans le fruit Pour pallier à une multiplication des sinistres informatiques et «de facto» à leur impact, la dimension assurantielle implique une typologie des risques informatiques appropriée. Depuis les années 1980, la physionomie des risques informatiques a évolué et les assureurs s en sont inquiétés. A la fin des années 1990, les risques inhérents au passage de l an 2000 étaient grands ou du moins considérés comme tels. Les Sociétés de Services en Ingénierie Informatique (SSII) ont su là déceler cette exceptionnelle manne d affaires. Seulement, elles furent en première ligne face aux réclamations d utilisateurs, victimes de dysfonctionnements imputables au codage des dates. La Fédération Française des Sociétés d Assurance (FFSA), dès mars 1998 martela à ses assurés que les risques liés au passage à l an 2000 étant connus, ainsi, ils ne présentaient pas a priori le caractère aléatoire requis pour être assurables. Suite à cette «recommandation», quelques Compagnies d assurance ont dénoncé certaines polices. Finalement, le contentieux lié au «bogue» n a pas été abondant. Néanmoins, l affaire caractéristique à relever, c est celle qui a opposé SA Royal et Sunalliance contre la
SA Trésis et IPIB 4. En effet, après que les sociétés Trésis et IPIB aient souscrit (le 19 Juillet 1996) auprès de la compagnie Royal et Sunalliance une police d assurance responsabilité civile professionnelle pour leurs activités de conception, vente et installation de matériels et logiciels informatiques, le 17 octobre 1999, la Compagnie d assurance leur a soumis un avenant excluant du bénéfice de sa garantie, le risque lié au passage à l an 2000 des systèmes informatiques. Les assurés ont refusé la modification proposée, le risque étant, selon elles, parfaitement connu lors de sa souscription. A défaut de pouvoir se tourner vers une autre Compagnie acceptant de couvrir les risques de leur activité, les SSII en cause ont alors assigné l assureur sur le fondement de l article 873 du NCPC devant le juge des référés du Tribunal de commerce de Paris en soulevant l existence d un dommage imminent. Pour la Cour d appel, les sociétés appelantes étaient bien exposées à un dommage imminent (la perte de clientèle). Elle a aussi considéré que l assureur connaissait lors de la signature de la police l existence du risque lié au passage à l an 2000 des systèmes d information. De facto, la Cour d appel a ordonné la prorogation du contrat d assurance jusqu à ce que les sociétés en cause souscrivent un nouveau contrat. La Cour de cassation casse l arrêt de la Cour d appel au motif qu elle n avait pas assortie sa mesure d un terme certain. Les NTIC s utilisent dans un contexte de mondialisation et de multiplication des transactions. Ainsi, l ouverture des systèmes d information rend les risques plus diffus et plus difficiles à cerner. L internet apporte lui aussi son lot de nouveaux types de risques qui se sont multipliés et amplifiés depuis la généralisation de son accès. Le management des risques implique l identification des menaces potentielles. Il s agit ensuite d en mesurer la portée, et éventuellement en réduire les effets par la prévention. Enfin, l assureur se verra transférer le risque (résiduel). Au fur et à mesure que les risques informatiques sont apparus, les Compagnies d assurance se sont préoccupées de ce nouveau marché qu est l assurance informatique. Pour les y aider, ont été créées diverses institutions comme la sous Commission Globale Informatique, institution créée par l APSAD (Assemblée Plénière des Sociétés d Assurance de Dommage), en 1983. Cette commission fut chargée entre autres d établir la typologie des risques informatiques et 4 C.cass. 1 ère civ., 07 nov. 2000 : SA Royal et Sunalliance c/ SA Trésis et IPIB.
leurs conséquences. En 1984, fut crée le CLUSIF (cf. supra). La commission assurance et sécurité des risques informatiques fondée en 1991 par le Comité Européen des Assureurs (CEA) réalise notamment des évaluations statistiques (sinistres, primes, études de nouvelles garanties, guides de recommandation et de prévention). L identification des risques consiste à inventorier les ressources informatiques (matériels, logiciels, système d exploitation par exemple) dans un premier temps, puis, suit l analyse des risques de responsabilité. L origine des risques conduit à distinguer trois causes essentielles (communément admises par les spécialistes) : les accidents (physiques, pannes, ), les erreurs (d analyse, de conception, de réalisation, de mise en œuvre ou d utilisation) et les malveillances (fraude, sabotage, attaque logique sous forme de chevaux de Troie, divulgation de données). Les conséquences d un sinistre informatique sont de plusieurs ordres : matérielles et immatérielles, directes et indirectes. Elles sont toutes liées à la réalisation de l aléa. La première des conséquences concerne la disponibilité. En effet, il est difficile d imaginer (par exemple) qu une entreprise puisse fonctionner sans son standard téléphonique. Vient ensuite le problème de l intégrité de l information. Se pose là la question de savoir comment une entreprise peut faire face à la destruction, falsification ou vol d un fichier clientèle. Il en va de même des informations détournées sur le site web d une entreprise. La gestion des preuves n est pas à négliger. La signature électronique tend à se développer. Elle est d ailleurs encadrée juridiquement, reste maintenant à voir concrètement les applications. Certaines entreprises résistent mal à une fausse commande ou à des refus de livraison tel que le E-commerce le génère. Enfin, la confidentialité des informations. L internet a l avantage d être ouvert au monde entier. Chacun est responsable de l information qu il diffuse, mais c est aussi un choix. Les entreprises qui utilisent l internet comme vitrine (virtuelle) ne manquent pas d afficher leurs dernières offres. Le chaland est comblé, son concurrent aussi! En effet, comment gagner un marché si le concurrent connaît en temps réel la dernière offre de l entreprise?
Selon que le dommage soit matériel (réparation, remplacement du matériel) ou immatériel, il s agira dans les deux cas de pertes financières et de pertes d exploitation. Le développement de l informatique et plus globalement des NTIC se faisant, l utilisation par les entreprises de ces ressources informatiques ont donc fait apparaître des risques auxquels les Compagnies d assurance ont su répondre en proposant des contrats adaptés. Aujourd hui, de nouveaux risques sont apparus, quelques Compagnies d assurance tentent d y faire face. Les plus spécialisées tirent leur part du gâteau mais ce n est pas sans «risque». L assurance (en général) obéit à certains principes. En effet, pour qu un risque soir assurable, il doit être aléatoire, quantifiable et compensable au plan financier. Les risques liés aux NTIC posent deux problèmes. D une part, le risque reste difficilement quantifiable statistiquement même si des institutions communiquent quelques chiffres. Le recul n est pas suffisant. La prise en compte des risques informatiques par les assurances ne date que du début des années 1980. D autre part, la compensation financière est estimée approximativement, elle est même parfois inenvisageable tant les dommages sont importants. Le système de réassurance permet d atténuer ce problème («L assureur de l internet» : Fia-Net, par exemple, utilise souvent ce système). Malgré tout, les assureurs ont su s adapter en proposant des contrats globaux, tels les multirisques. Ils ont l avantage de couvrir l ensemble des dommages. Les assurances de dommage comprennent les assurances de choses et de responsabilité. Elles garantissent le préjudice que peut subir le patrimoine de l assuré. Les garanties liées aux risques informatiques sont regroupées sous quatre rubriques principales : - les dommages matériels directs - les dommages consécutifs à un dommage matériel - les dommages non consécutifs à un dommage matériel - les dommages consécutifs à des dommages immatériels L opération d assurance est encadrée à la fois par les dispositions du droit général des contrats et par les dispositions spécifiques du Code des Assurances. Ainsi, le contrat d assurance est un contrat aléatoire, consensuel, d adhésion, synallagmatique, à titre onéreux.
L assurance informatique implique l application de lois spécifiques à l informatique et aux télécommunications. Il en est ainsi de la loi Informatique, fichier et liberté 5, de la loi sur la fraude informatique 6, la signature électronique 7, de la future loi (pour) la confiance dans l économie numérique ainsi que du Code de la PLA pour ce qui concerne (entre autres) la protection des logiciels et des bases de données. Force est de constater qu il n y a pas de vide juridique en la matière. Le domaine des NTIC tend à être de plus en plus réglementé. C est une constante qui ne se démentira pas à l avenir. Ainsi, toute atteinte malveillante de quelque nature quelle soit constitue autant de risques et de dommages associés qui peuvent faire l objet de couverture d assurance. Néanmoins, l entreprise qui souhaite réaffecter son budget sécurité en prime d assurance aura du mal à trouver une Compagnie. L assurance ne garantie que le risque résiduel. Certaines entreprises adoptent une stratégie globale des risques, il n empêche qu il subsiste toujours l aléa de survenance d un sinistre. L exemple topique : un nouveau virus n est pas détecté ou bien un individu trouve une faille dans le réseau et en abuse pour soutirer des données confidentielles. Ce peut aussi être le cas d une engeance d un employé récemment licencié. En définitive, la sécurité optimale n existe pas à ce jour, l assurance intervient donc quand la sécurité n a pas suffit. La généralisation de l outil informatique dans le monde de l entreprise a conduit à une multitude de risques potentiellement réalisables. Pour pallier à cette éventualité, les assureurs favorisent la transition de contrats spécifiques vers des contrats globaux (cf. les multirisques). Ce sont notamment : - les contrats Tous Risques Informatiques (TRI), - les contrats Extension des Risques Informatiques (ERI), - la police Globale Informatique (GI), - l assurance spécifique EDI. La responsabilité civile professionnelle dans le cadre des NTIC ne doit pas non plus être omise. Les phases contractuelles de ces contrats d assurance informatique méritent notre attention pour leur particularisme. Ainsi, la première partie traitera de la formation du contrat, la 5 Loi n 78-17 du 06 janv. 1978 relative à l'informatique, aux fichiers et aux libertés. 6 Loi n 88-19 du 5 janv. 1988 relative à la fraude informatique. 7 Loi n 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et relative à la signature électronique.
deuxième portera sur l exécution du contrat et les différentes obligations des parties. La dernière partie concernera l extinction du contrat et les possibles litiges. L intérêt du sujet est d adopter une vision pratique en rappelant à chaque reprise quelques principes généraux nécessaires à la compréhension des développements. POUR CONSULTER CETTE ETUDE DANS SA VERSION COMPLETE VOUS POUVEZ CONTACTER SON AUTEUR ALEXIS THOMAS EN LUI ECRIVANT : alexis.thomas@orange.fr