Assurance Cyber Risques

Faire une demande

Le contexte légal

Le nouveau Règlement Général européen sur la Protection des Données personnelles est entré en vigueur le 25 mai 2018, en français, le RGPD.

L’obligation de notifier à la CNIL les violations de données à caractère personnel est prévue à l’article 33 du Règlement Général sur la Protection des Données. Elle concerne tous les responsables de traitement de données à caractère personnel. Dans le cas où la violation de ces données est susceptible d’engendrer un risque élevé pour les droits et libertés d’une personne physique, l’article 34 du RGPD impose de notifier ces dernières.

La responsabilité civile est engagée en cas de divulgation d’information médicale. En effet, toute personne a droit au respect de sa vie privée et du secret des informations la concernant, y compris lorsqu’elle est prise en charge par un établissement ou service, un professionnel de santé ou organisme concourant à la prévention ou aux soins dont les conditions d’exercice ou les activités sont régies par le présent code, comme le service de santé des armées, un professionnel du secteur social ou médico-social ou un établissement ou service social et médico-social mentionné au I de l’article L. 312-1 du code de l’action sociale et des familles.

Les contrats cyber risques

Choisir son contrat cyber risques

Les assureurs, y compris les mutuelles, proposent des garanties ou des contrats cyber risques.

L’assuré peut choisir différentes garanties et adapter les limites des montants d’indemnisation en fonction de l’évaluation de son risque.

Il est cependant important de vérifier au préalable les conditions de protection et prévention requises par l’assureur, et leur mise en œuvre. La non-conformité due au non-respect de ces exigences peut générer la nullité du contrat. Les demandes principales sont :

  • le système informatique équipé d’un antivirus et d’un pare-feu activés en permanence,
  • les systèmes d’exploitation et les correctifs de sécurité des logiciels sont mis à jour conformément aux préconisations des éditeurs,
  • la protection par utilisation de mots de passe personnels et complexes régulièrement modifiés,
  • les sauvegardes de données sont réalisées au moins 1 fois par semaine et externalisées et/ou réalisées sur des supports déconnectés du réseau,
  • les sauvegardes de données sont testées au moins 1 fois par an,
  • la connexion à distance, quand elle existe, est sécurisée.

Les événements garantis et les services

  • Atteinte au système informatique et aux données :

Il s’agit de la perte des données informatique que ce soit suite à acte de malveillance informatique, introduction frauduleuse dans votre système informatique, ou erreur humaine ou panne matérielle (les effets du courant).

  • Vol ou divulgation des données personnelles :

La divulgation à des tiers de données à caractère personnel que vous exploitez sur votre système informatique, dont vous êtes responsable de traitement au sens du RGPD.

  • Cyber détournement de fonds :

Acte de malveillance informatique commis sur votre Système informatique, dans le but de dérober vos fonds.

  • Atteinte à l’e-réputation :

Atteinte à votre e-réputation résultant d’une diffamation, d’un dénigrement ou divulgation illégale de la vie privée du professionnel de santé sur un site web ou un réseau social en ligne.

  • Cyber rançonnage la plupart des assureurs ont renoncé à cette garantie cependant la direction générale du Trésor a, depuis, mis en place un groupe de travail « portant sur le développement d’une offre assurantielle de couverture des risques cyber ».
  • Autres garanties à titre accessoire: usurpation d’identité, litige e-commerce, cyber espionnage…
  • Les services : la plupart des contrats propose une assistance informatique en ligne ainsi qu’assistance et protection juridique sur les problématiques informatique.

Le fonctionnement du contrat en cas de sinistre  

En cas de survenance d’un événement garanti, l’assureur prend en charge, selon les franchises et les limites de garanties, les frais suivants :

  • Les frais d’expertise et d’assistance informatique,
  • Les frais de notification RGPD, l’envoi d’un courrier recommandé à toutes les personnes concernées,
  • Les frais de reconstitution des données,
  • Les indemnisations réclamées en cas de mise en cause de responsabilité civile en lien avec un événement garanti,
  • Les frais de remise en état du système informatique,
  • Les pertes d’Exploitation, si la garantie est souscrite, selon le mode de calcul défini au contrat,
  • Les frais juridiques, dans le cas où la garantie est souscrite au contrat, ce remboursement peut se cumuler avec celui obtenu par exploitation des garanties liées à un contrat de protection juridique à part entière,
  • Les pertes de fonds ou les rançons garanties au contrat : une plainte doit être obligatoirement déposée auprès des autorités compétentes dans un délai de 5 jours ouvrés après la découverte du sinistre.

Gestion de crise

Certains assureurs proposent une option de Gestion de crise majeure, avec la mise en place d’une stratégie de communication et d’un service d’écoute et de soutien psychologique disponible par téléphone 24h/24, 7j/7.

Changer de contrat 

Les contrats « cyber risque » sont des contrats d’assurance annuels à tacite reconduction. L’assuré a la possibilité de résilier à chaque échéance annuelle, par lettre recommandée, selon le contrat 2 à 3 mois au minimum avant la date d’échéance principale.