Besoin d'aide ?
Mise en relation gratuite avec un conseiller
LES ACTU' CLC

Les principales limites au champ d’application des polices Cyber

LES ACTU' CLC - Publiée le 04/12/2020
Auteur : Frédéric Gatte – Responsable Pôle Risques Cyber – Département Risques Financiers Siaci Saint Honoré

Les principales limites au champ d’application des polices Cyber

Pour bien appréhender le champ d’action des polices Cyber, il est important de mentionner également que toutes les polices Cyber ont trois exclusions fondatrices :
 
  1. Les dommages matériels physiques (i.e. modification de la substance de la matière / de la structure atomique) sont exclus. Ainsi, en cas de dommage matériel physique, ce dommage ainsi que toutes ses conséquences (aussi bien matériels qu’immatériels) sont exclus de la couverture de la police Cyber (mais tout ce qui précède le dommage matériel physique reste bien dans le giron de la police Cyber). Les polices dommages ou tout risque informatique sont alors compétentes, pour peu qu’aucune exclusion Cyber inscrite dans ces polices ne vienne entraver la garantie.
  2. Les dommages corporels sont également exclus de toutes les polices Cyber, avec néanmoins en général un rachat partiel de l’exclusion pour le stress (préjudice moral) causé par l’atteinte aux données personnelles d’un tiers. Mais, si le tiers se suicide par exemple suite à la fuite de ses données personnelles, ce n’est pas couvert par la police Cyber. Seule la police de responsabilité civile pourrait être compétente mais en général, les polices de responsabilité civile exclue le Cyber et les pertes de données de leur volet « Exploitation » (mais pas de leur volet « Professionnel », cf. point ci-dessous).
  3. La responsabilité civile dans le cadre d’une prestation professionnelle est exclue. Les atteintes au système d’information d’un tiers ou l’atteinte à ses données personnelles ou confidentielles sont bien couvertes par le volet responsabilité civile des polices Cyber. Néanmoins, si ces atteintes sont dans le cadre d’une prestation de services (exemple : activité d’Entreprise de Services du Numérique ou gestionnaire de données pour compte de tiers) ou après la livraison d’un produit (ex : avec de l’électronique embarquée), c’est exclu de la couverture des polices Cyber. Ces dernières couvrent en fait le volet « Exploitation » dommages immatériels suite à évènement Cyber que les polices de responsabilité civile excluent - comme dit plus haut. La police de responsabilité civile de l’Assuré est alors compétente quel que soit le fait générateur (erreur humaine ou malveillance ou défaillance technique pour peu que la faute de l’Assuré soit prouvée – en l’occurrence, ce serait une carence dans la sécurisation des systèmes informatiques de l’Assuré). Il faut alors veiller – surtout si l’activité de l’Assuré le justifie - à ce que les Volet « RC Professionnelle » (prestation intellectuelle) et « Après Livraison » de la police de responsabilité civile ne comportent pas d’exclusion Cyber.
     

Nota Bene : les autorités comme l’ACPR en France ont préconisées de faire attention aux couvertures silencieuses présentes dans les assurances classiques - particulièrement pour les contrats de responsabilité civile - et d’expliciter les garanties Cyber offertes (cf. par exemple : https://www.argusdelassurance.com/juriscope/risque-cyber-une-distribution-sous-surveillance-analyse.158294).

En conséquence, nous avons vu arriver dans certains contrats RC des clauses d’exclusion Cyber et notre travail a été et reste, en coordination avec le département RC de SIACI, de s’assurer que l’exclusion Cyber était bien restreinte au Volet « exploitation » de la police RC et pas au « volet RC Pro/ Après Livraison » (ce dernier étant toujours exclu des polices Cyber).


Lire aussi...

Une couverture des actes de malveillance informatique, mais pas seulement...

L’objet principal des garanties des polices Cyber concerne les conséquences d’actes de malveillance.  [...]

Quelles sont les pertes qui peuvent être indemnisées par l’assurance Cyber ?

Les contrats Cyber sont des polices « hybrides » qui ont la particularité de couvrir à la fois en « responsabilité civile » et en « dommages de first party » [...]
Cet article vous a-t-il été utile ?
Retour à la page actualités