Pour être indemnisé par son assurance, un entrepreneur victime d’une cyberattaque doit déposer plainte dans les 72 heures.
Initialement prévue pour aider aux paiements des rançons en cas de cyberattaque, la loi LOPMI pose le principe qu’une personne victime d’une atteinte à son système d’information doit porter plainte dans les 72 heures à partir de la connaissance de l’atteinte.
À compter du 24 avril prochain, cette plainte sera la condition sine qua none pour bénéficier de l’indemnisation prévue par son contrat d’assurance cyber. Mieux vaut donc réagir vite et avoir les bons réflexes.
Obtenir une pré analyse de l’attaque
Ce délai de 72 heures a été choisi par les parlementaires pour se rapprocher de celui imposé par le règlement européen de protection des données personnelles (RGPD) pour notifier les violations de données personnelles à la Commission nationale de l’informatique et des libertés (Cnil).
Toutefois, le délai de notification posé par le RGPD ne concerne que les violations de données personnelles.
Dans le cadre de la loi LOPMI, les incidents concernés par le dépôt de plainte sont plus larges. « Avec ce dépôt de plainte, l’entreprise a le sentiment que l’évènement échappe à sa sphère interne », dénonce Nadège Martin, avocate, associée du cabinet Norton Rose Fullbright.
Gérer ces deux obligations dans un délai aussi court peut s’avérer particulier compliqué pour l’entrepreneur. Le dépôt de plainte ne signifie pas nécessairement qu’il y a une violation des données et qu’il faut le notifier à la Cnil.
Le risque est de notifier des violations de données de manière préventive. « Le dépôt de plainte, la notification à son assureur et celle à la Cnil ne sont pas dans la même temporalité », précise Nadège Martin.
« Cette notion de connaissance de l’atteinte à un STAD, servant de point de départ au délai de 72 heures sera susceptible de varier d’une situation à l’autre. La connaissance ne peut se présumer d’une simple alerte remontée du système d’information et supposera une pré analyse », poursuit-elle.
Activer l’aide d’urgence
La priorité pour l’entrepreneur reste de gérer la situation de crise et contrôler le plus rapidement possible les conséquences de l’incident. « Sauf cas évidents d’une cyber attaque d’ampleur, l’entrepreneur dispose in fine d’un court délai (bien souvent plus court que sous le RGPD) pour se poser la question de l’activation de son assurance », considère l’avocate.
Dans le doute, mieux vaut prendre le temps de porter plainte auprès « des autorités compétentes ». En parallèle, si votre contrat d’assurance cyber prévoit une aide d’urgence en cas d’atteinte, n’attendez pas pour l’actionner.
Cette intervention d’urgence n’est, a priori, pas conditionnée au dépôt de la plainte.
Une plainte factuelle
La loi du 24 janvier 2023 prévoit que cette plainte pourra se faire via l’application mobile « Ma sécurité ».
Si l’application ne fonctionne pas à compter du 24 avril prochain, jour d’entrée en vigueur de cette obligation, mieux vaut se déplacer dans le commissariat de police ou de gendarmerie le plus proche ou écrire une lettre à l’attention du procureur de la République.
« La victime n’est pas obligée de caractériser juridiquement l’atteinte en question, mais il faut l’expliquer factuellement », précise Nadège Martin. Il est important de donner à l’officier de policier judiciaire en charge de la plainte les éléments d’informations dont vous disposez à date en étant le plus précautionneux possible.
« Il n’y a pas lieu de déterminer soi-même la cause de l’attaque dans la plainte, d’autant que cette information est rarement connue à ce stade », explique la spécialiste.
Une fois la plainte reçue, il faut en demander une copie pour la transmettre à son assurance. Vous pourrez ainsi obtenir indemnisation de l’incident.
