StoïkBlogAssurance cyber

À quoi sert la responsabilité civile d’une assurance cyber en cas de fuite de données ?

Aline Cordier Simonneau
Dernière mise à jour :

Sur le podium des cyberattaques, la fuite de données figure en bonne place. Pour preuve : la CNIL a reçu 5037 notifications de violations de données en 2021, soit une hausse de 79 % par rapport à 2020. La fuite de données est l’un des incidents de sécurité les plus fréquents en entreprise, avec des conséquences graves sur l’activité, la réputation, mais aussi de possibles poursuites juridiques lorsque la responsabilité civile de l’entreprise et de son dirigeant est engagée. C’est pour cela que les assurances cyber intègrent à leurs offres une garantie “responsabilité civile” en cas de fuite de données. Que couvre cette garantie ? Faisons le point.

Responsabilité Civile fuite de données

Qu’est-ce qu’une fuite de données ?

Fuite de données : définition

On parle de “fuite de données” lorsque des informations confidentielles ou considérées comme sensibles sont diffusées de manière non autorisée. Les fuites de données sont fréquentes et coûteuses, elles font le plus souvent suite à une cyberattaque réalisée par des hackers isolés ou en groupe. Dans le langage de l’assurance cyber, la fuite de données est désignée comme une “atteinte aux données avérée par un tiers”.

Qu’est-ce que l’assurance cyber ?
L’assurance cyber fait partie des assurances professionnelles. Les entreprises ont la possibilité de souscrire une assurance contre les risques cyber pour se protéger des conséquences des cyberattaques, comme une fuite de données.

Comment surviennent les fuites de données ?

Les fuites ou “violations” de données font généralement suite à une cyberattaque : un attaquant ayant réussi à s’introduire dans le système informatique d’une entreprise accède aux données confidentielles et les met vente ou en libre accès sur le darknet.

Exemple
Un cyber-attaquant peut utiliser la technique du phishing (ou hameçonnage) comme vecteur d’attaque pour s’introduire dans le système informatique de l’entreprise. L’un des salariés reçoit un mail et clique sur un lien l’invitant à saisir l’identifiant et mot de passe de sa messagerie professionnelle, par exemple. Une fois introduit dans le système informatique de l’entreprise, l’attaquant peut accéder aux données internes de l’entreprise (données confidentielles relatives aux clients, aux prestataires, etc.), et menacer de les rendre publiques.

Quels types de données intéressent les hackers ?

Il peut s’agir de différents types de données, aussi bien des données propres à l’entreprise (données internes des collaborateurs, par exemple) que des données concernant des partenaires, fournisseurs, prestataires, ou encore des données d’entreprises clientes ou de particuliers clients

La typologie de données potentiellement concernées par une fuite de données est dense. En voici quelques exemples : 

  • Adresses email et mots de passe permettant de se connecter à la messagerie professionnelle, aux logiciels métier, etc.
  • Données bancaires (de l’entreprise comme de ses clients),
  • Données financières, 
  • Données RH relatives aux salariés,
  • Brevets industriels,
  • Données stratégiques concernant le développement de l’entreprise, etc.

Une fois récupérées par l’attaquant, les données volées peuvent être revendues sur le darkweb ou utilisées comme chantage dans le cadre d’un ransomware ou rançongiciel.

Vous n'êtes pas couvert en cas de cyberattaque ?
Testez votre éligibilité et assurez vous chez la première assurance cyber qui s'adresse spécialement aux TPE x PME
Tester mon risque

Quelles sont les entreprises concernées par les fuites de données ?

Si les fuites de données relatives aux grands groupes ou aux entreprises connues sont les plus médiatisées, aucune entreprise n’est à l’abri. Les grandes structures ayant relevé leur niveau de sécurité ces dernières années, les TPE et PME, moins bien protégées et donc considérées comme faciles à pirater, sont désormais dans le viseur des cyber-attaquants.

Pour certains secteurs d’activité, une fuite de données peut mener à l’arrêt de l’activité, voici quelques exemples :

  • le secteur médical qui ne peut travailler sans avoir accès aux données des patients ;
  • le secteur de la vente en ligne pour qui il est impossible de continuer de vendre des produits à une base de données inexistante ;
  • les entreprises de services du numérique (ESN) qui sont à l’arrêt si elles ne peuvent plus accéder à leurs données clients.
Toutes les entreprises sont concernées par le risque cyber !
Les attaquants ne ciblent pas des entreprises mais des systèmes vulnérables.
Connaître mon niveau de vulnérabilité
secteur d'activité fuite de données

Quelles sont les conséquences et les risques d’une fuite de données ?

Une atteinte globale à l’entreprise

Les fuites de données représentent un coût pour les entreprises, qui doivent détecter et gérer la crise, repérer et réparer la faille technique le cas échéant, notifier les personnes concernées et les organismes comme la CNIL. En parallèle, l’entreprise essaye de maintenir son activité, mise en péril par la fuite de données, et d’empêcher les incidents en cascade comme des tentatives d’usurpation d’identité ou de phishing grâce aux données récupérées.

Une fuite de données porte également atteinte à l’image et à la réputation d’une entreprise, considérée comme incapable de protéger ses données et celles qui lui sont confiées. Autant d’éléments qui peuvent nuire à la confiance de ses investisseurs et clients.

Protégez votre entreprise contre les cyberattaques
60% des PME mettent la clé sous la porte suite à une attaque cyber. Protégez-vous !
Contacter Stoïk

Des risques juridiques en cas de poursuites

Sur le plan juridique, une fuite de données peut entraîner des sanctions et des frais de justice, voire la mise en cause de la responsabilité personnelle (civile et pénale) du dirigeant. Il s’agit alors de régler des amendes et de gérer des contentieux juridiques.

Une fuite de données peut également avoir des conséquences sur l’écosystème d’une entreprise, et impacter ses salariés, clients, partenaires ou fournisseurs, qui peuvent se retourner contre elle. Il s’agit alors d’une question de responsabilité civile suite à une fuite de données.

Quelles sont les obligations des entreprises en matière de protection des données ?
Une entreprise est responsable de la sécurité et de la confidentialité des données qu’elle collecte. Elle doit prendre toutes les mesures de cybersécurité nécessaires (techniques et organisationnelles) pour protéger les données qu’elle manipule (article 24 du RGPD) et donc éviter les fuites. En cas de fuite de données dans une entreprise qui n’est pas assurée contre ce risque et si la responsabilité du dirigeant est engagée, des sanctions pénales peuvent être appliquées. L’article 226-16 du Code pénal prévoit jusqu’à 5 ans d’emprisonnement et 300 000 euros d’amende.

Quel est le contenu de la garantie “responsabilité civile” d’une assurance cyber en cas de fuite de données ?

La responsabilité civile d’une assurance cyber couvre les différentes conséquences (qu’elles soient avérées ou possibles) d’une atteinte aux données. On parle également d’assurance cyber-responsabilité.

Les démarches à effectuer dans le cadre du Règlement Général sur la Protection des Données (RGPD)

1. L’assurance cyber se charge de notifier la fuite de données aux personnes et entités concernées (en cas de divulgation de données personnelles des salariés, l’employeur est par exemple tenu de les prévenir).

Lorsque la fuite de données est avérée, les experts juridiques de l’assureur s’occupent de la notification à la CNIL (comme l’exige le RGPD). L’assurance prend également en charge les frais de notification aux clients et fournisseurs.

Bon à savoir
Si une entreprise qui traite des données personnelles se retrouve victime d’une fuite de données, elle dispose d’un délai de 72 heures pour effectuer une notification à la CNIL.

2. L’assurance cyber prend aussi en charge les frais de monitoring et de surveillance pour détecter une éventuelle utilisation non conforme des données qui ont fuité (tentative d’ouverture de compte bancaire ou de souscription d’assurance avec des données personnelles volées, par exemple).

La responsabilité civile en cas de fuite de données : une garantie incontournable

Dans le cas d’une cyberattaque menant à une fuite de données, différentes entités peuvent être concernées, au-delà de l’entreprise elle-même : salariés, clients, fournisseurs, actionnaires, etc. Toutes ces entités tierces peuvent engager des poursuites juridiques contre l’entreprise victime, au motif que celle-ci n’a pas assuré correctement la protection de leurs informations confidentielles, a fait preuve de négligence, etc.

Concrètement, si un client ou fournisseur se retourne contre l’entreprise victime de la fuite de données et porte plainte contre elle, l’assureur cyber prend en charge les frais de défense et les conséquences pécuniaires des réclamations intentées contre l’entreprise. Il met à disposition de l’entreprise des experts juridiques. Sans assurance cyber, ces frais sont à la charge de l’entreprise. Il s'agit d'une garantie nécessaire et incontournable pour se protéger des conséquences d'une attaque cyber.

La responsabilité civile professionnelle peut-elle être utile dans le cas d’une fuite de données ? 

Il s’agit d’une assurance obligatoire pour les entreprises, mais elle ne couvre pas la responsabilité civile en cas de fuite de données. C’est justement le rôle d’une assurance cyber.

Foire aux questions

Qu’est-ce que le risque cyber ?

Le risque cyber fait figure de risque numéro 1 pour les entreprises. Il désigne l’ensemble des risques susceptibles d’affecter les données et les systèmes d’information suite à une cyberattaques (intrusion dans un appareil, un système ou un réseau informatique) : fuites de données, chiffrement de données, piratage de site, perte d’exploitation, transmission de virus, etc…

Qui est à l’origine des cyberattaques ?

Les cyberattaques peuvent émaner d’un hacker isolé ou, plus généralement, d’un groupe de pirates informatiques organisé. Cette meilleure organisation leur permet de cibler un plus grand nombre d’entreprises. L’expression “black hats” est également utilisée pour désigner les cybercriminels, mais leur point commun est de garder l’anonymat.

Existe-t-il un rapport sur la cyber-assurance ?

Oui, le Haut Comité Juridique de la Place Financière de Paris a par exemple publié le 28 janvier 2022 un rapport sur l’assurabilité des risques cyber. Certains assureurs publient également leur rapport annuel sur l’assurance cyber.

Sources :