Vous êtes sur la page 1sur 9

Ce document provient du site www.droit-ntic.

com

Pratique des contrats d'assurance


informatique .
INTRODUCTION
1

Dans les annes 1980, linformatique en

est encore ses balbutiements, le matriel


est imposant, les capacits de loutil
minimes. Nanmoins, certains dirigeants
dentreprises se soucient dj des risques
affrents au matriel informatique. Les
assureurs trouvent l un nouveau crneau :
lassurance informatique.
A

lpoque,

Compagnies

nombreuses
qui

assurent

sont
les

les

risques

matriels.
Aujourdhui, linformatique ne se rduit plus au matriel (hardware). En effet, au fil des
annes, loutil devient de plus en plus rapide. Paralllement, les prix et les volumes diminuent
constamment. Consquence, linformatique tend se gnraliser dans la socit.
Dans le monde de lentreprise, linformatique aura pris une telle ampleur quaujourdhui le
degr de dpendance est fort avec tous les risques qui en dcoule.
Jean Marc Lamre2 estime que si on parlait de risques informatiques il y a quelques
annes, aujourdhui, il y a lieu de parler de risques lis aux systmes dinformation (et de
communication) en gnral car linformatique est de plus en plus rpartie, intgre,
diversifie.

Face louverture des systmes dinformation (site Internet, messagerie lectronique


gnralise, accs Internet gnralis, Intranet) et son volution rapide, le risque sur la
richesse immatrielle que reprsente les donnes doit tre pris en compte. LEchange des
1
2

Dessin de Gautier, Quinze ans de jurisprudence , Temps Rel, 27 juin 1983, p.37.
Dlgu gnral, Apsad/FFSA

Auteur : Alexis Thomas

Ce document provient du site www.droit-ntic.com

Donnes Informatises (EDI), par exemple, stend tous les secteurs conomiques et ce
depuis une quinzaine dannes dj. Cela a commenc par la dmatrialisation de la Bourse
(1985) et mise en place du systme interbancaire de tlcompensation en 1988. Lassurance a
abord cette profonde mutation en 1999, ce sont dsormais la plupart des entreprises qui
sengagent dans lEDI. Certains mtiers rclament la transmission de nombreux documents.
Les donnes professionnelles doivent tre normalises pour faire face lextrme
htrognit des informations transporter. Une fois structures dans un langage commun
normalis, il convient de sinterroger sur leur transfert. De multiples procds techniques sont
la disposition de tout un chacun pour protger cet EDI, seulement, la faille nest pas exclue
dautant que certains hackers (voire crackers) en sont lafft.
Les assureurs se sont proccups de ces risques et proposent une assurance spcifique EDI
couvrant les risques directs et indirects supports par lentreprise assure, ainsi que les
prjudices causs au tiers.

Les Nouvelles Technologies dInformation et de Communication (NTIC) deviennent


rapidement obsoltes, cela implique soit un renouvellement soit une maintenance do le
difficile quilibre trouver entre lvolutivit et la compatibilit ascendante.

Linformatique nest pas infaillible. De nombreux acteurs (techniciens, ingnieurs,


assureurs,) jaugent sa vulnrabilit face des erreurs, accidents ou malveillances. Cest
alors quapparat le concept de Scurit des Systmes dinformation. Beaucoup dentreprises
sen proccupent, mais peu en pratique procdent une tude de vulnrabilit afin de dfinir
les actions entreprendre et cibler les dpenses investir dans la scurit informatique faute
de moyens (financiers). De facto, seules les grandes entreprises budgtisent leur scurit
informatique.

Informatique et confiance ne riment pas !


Ces derniers temps, de nombreux vnements sont venus nous le rappeler. Les plus illustres :
les problmes rencontrs lors du premier vol de la fuse Ariane V et la vritable catastrophe
mondiale qua constitu le virus Nimda survenu une semaine jour pour jour aprs le drame du
World Trade Center. Ainsi, confusment, linformatique cristallise des craintes autour de la
scurit des donnes et des transactions, de la confidentialit et par extension de la prennit
des entreprises confrontes un sinistre. Faut-il alors dvelopper une culture du risque au sein
de lentreprise ? Est-il possible datteindre le risque zro ?
Auteur : Alexis Thomas

Ce document provient du site www.droit-ntic.com

Le risque zro relve de lutopie. La mise en place dun systme de scurit infaillible se
rvlerait plus onreux que la fraude. Certaines entreprises souscrivent plusieurs assurances
pour couvrir le mme risque mais cela nest pas sans danger (cf. infra.)
Pour ce qui est du dveloppement de la culture du risque au sein de lentreprise, cela est
variable selon la taille de lentreprise, mais en tout tat de cause, toutes les structures quelle
que soit leurs tailles dpendent aujourdhui de leur systme dinformation.

Les grandes entreprises ont les capacits financires dinvestir dans la scurit informatique.
Elles ont comme ressources, des ingnieurs, techniciens, informaticiens, administrateurs de
rseaux En outre, lassurance couvrira les alas.

Les Petites et Moyennes Entreprises (PME) galement concernes nont pas forcment un
budget spcifique allouer la scurit informatique. Pourtant, certaines Compagnies
dassurance ( lexemple dACE Europe) accompagnent ces entits dans la protection de leur
informatique en leur proposant de matriser lvaluation des vulnrabilits des systmes en
place et de mettre en uvre des mesures de prvention et un programme dassurances
adaptes.
Dataguard PME dACE Europe par exemple concerne les entreprises et industries ralisant
un chiffre daffaires de moins de 15 millions dEuros par an.

Les Trs Petites Entreprises (TPE) ont aussi des besoins spcifiques en matire dassurance
mais les moyens financiers sont modestes sans pour autant croire que les risques quelles
encourent soient moins importants que ceux dentreprises disposant de plus vastes ressources.
Voil donc un nouveau march en perspective pour les Compagnies dassurance sachant que
prs de 150 000 entreprises en moyenne se crent tous les ans en France.

Au niveau national, le CLUSIF (Club de la Scurit des Systmes dInformation Franais) a


t cr en 1984. Cest un espace dchange ouvert tous les acteurs de la scurit des
systmes dinformation.
Depuis plusieurs annes, ce club dresse le bilan de la sinistralit informatique3.

CLUSIF, Etude et statistiques sur la sinistralit informatique en France, 2002,


https://www.clusif.asso.fr/fr/production/sinistralite/docs/etude2002.pdf, 01/08/2003.

Auteur : Alexis Thomas

Ce document provient du site www.droit-ntic.com

Lanne 2002 a t marque par deux tendances : une acclration de louverture des
systmes dinformation et une forte augmentation des infections par virus. Ces tendances sont
amenes samplifier au cours des annes venir.
Sans rentrer dans le dtail de ce bilan nous constatons que 64 % des entreprises interroges
nont pas toujours dfini de politique de scurit des systmes dinformation. Cependant, il y
a une certaine volont des entreprises de dvelopper une culture de la scurit en interne :
87 % dentre elles sensibilisent et forment leur personnel.
Nombreuses sont les entreprises infectes par virus (26,3%). Cela a un impact financier. Elles
doivent procder une rparation ou remplacement du matriel informatique endommag ou
manquant. Le cot de reconstitution des donnes, logiciels ou procdures endommages ou
perdues nest pas ngliger pas plus dailleurs que les postes dexploitation subsquentes.
Dans 86 % des cas, limpact financier des sinistres est rsorb par la trsorerie courante. Deux
raisons cela, la faiblesse dimpact ou dfaut dassurance. Les risques prvisibles lavenir
sont principalement les virus et infections informatiques et accidents dorigine interne. Ceci
nous amne tayer ce que sont rellement ces risques informatiques.

Les NTIC voluent rapidement et constamment avec leurs innombrables dfaillances.


A cot de cela, se dveloppe une nouvelle forme de dlinquance : la dlinquance
informatique. En somme, le ver est dans le fruit

Pour pallier une multiplication des sinistres informatiques et de facto leur impact, la
dimension assurantielle implique une typologie des risques informatiques approprie.
Depuis les annes 1980, la physionomie des risques informatiques a volu et les assureurs
sen sont inquits. A la fin des annes 1990, les risques inhrents au passage de lan 2000
taient grands ou du moins considrs comme tels. Les Socits de Services en Ingnierie
Informatique (SSII) ont su l dceler cette exceptionnelle manne daffaires. Seulement, elles
furent en premire ligne face aux rclamations dutilisateurs, victimes de dysfonctionnements
imputables au codage des dates. La Fdration Franaise des Socits dAssurance (FFSA),
ds mars 1998 martela ses assurs que les risques lis au passage lan 2000 tant connus,
ainsi, ils ne prsentaient pas a priori le caractre alatoire requis pour tre assurables.
Suite cette recommandation , quelques Compagnies dassurance ont dnonc certaines
polices. Finalement, le contentieux li au bogue na pas t abondant. Nanmoins,
laffaire caractristique relever, cest celle qui a oppos SA Royal et Sunalliance contre la

Auteur : Alexis Thomas

Ce document provient du site www.droit-ntic.com

SA Trsis et IPIB4. En effet, aprs que les socits Trsis et IPIB aient souscrit (le 19 Juillet
1996) auprs de la compagnie Royal et Sunalliance une police dassurance responsabilit
civile professionnelle pour leurs activits de conception, vente et installation de matriels et
logiciels informatiques, le 17 octobre 1999, la Compagnie dassurance leur a soumis un
avenant excluant du bnfice de sa garantie, le risque li au passage lan 2000 des systmes
informatiques. Les assurs ont refus la modification propose, le risque tant, selon elles,
parfaitement connu lors de sa souscription. A dfaut de pouvoir se tourner vers une autre
Compagnie acceptant de couvrir les risques de leur activit, les SSII en cause ont alors
assign lassureur sur le fondement de larticle 873 du NCPC devant le juge des rfrs du
Tribunal de commerce de Paris en soulevant lexistence dun dommage imminent. Pour la
Cour dappel, les socits appelantes taient bien exposes un dommage imminent (la perte
de clientle). Elle a aussi considr que lassureur connaissait lors de la signature de la police
lexistence du risque li au passage lan 2000 des systmes dinformation. De facto, la Cour
dappel a ordonn la prorogation du contrat dassurance jusqu ce que les socits en cause
souscrivent un nouveau contrat.
La Cour de cassation casse larrt de la Cour dappel au motif quelle navait pas assortie sa
mesure dun terme certain.

Les NTIC sutilisent dans un contexte de mondialisation et de multiplication des transactions.


Ainsi, louverture des systmes dinformation rend les risques plus diffus et plus difficiles
cerner. Linternet apporte lui aussi son lot de nouveaux types de risques qui se sont multiplis
et amplifis depuis la gnralisation de son accs.

Le management des risques implique lidentification des menaces potentielles. Il sagit


ensuite den mesurer la porte, et ventuellement en rduire les effets par la prvention. Enfin,
lassureur se verra transfrer le risque (rsiduel).

Au fur et mesure que les risques informatiques sont apparus, les Compagnies dassurance se
sont proccupes de ce nouveau march quest lassurance informatique. Pour les y aider, ont
t cres diverses institutions comme la sous Commission Globale Informatique, institution
cre par lAPSAD (Assemble Plnire des Socits dAssurance de Dommage), en 1983.
Cette commission fut charge entre autres dtablir la typologie des risques informatiques et

C.cass. 1re civ., 07 nov. 2000 : SA Royal et Sunalliance c/ SA Trsis et IPIB.

Auteur : Alexis Thomas

Ce document provient du site www.droit-ntic.com

leurs consquences. En 1984, fut cre le CLUSIF (cf. supra). La commission assurance et
scurit des risques informatiques fonde en 1991 par le Comit Europen des Assureurs
(CEA) ralise notamment des valuations statistiques (sinistres, primes, tudes de nouvelles
garanties, guides de recommandation et de prvention).
Lidentification des risques consiste inventorier les ressources informatiques (matriels,
logiciels, systme dexploitation par exemple) dans un premier temps, puis, suit lanalyse des
risques de responsabilit.

Lorigine des risques conduit distinguer trois causes essentielles (communment admises
par les spcialistes) : les accidents (physiques, pannes,), les erreurs (danalyse, de
conception, de ralisation, de mise en uvre ou dutilisation) et les malveillances (fraude,
sabotage, attaque logique sous forme de chevaux de Troie, divulgation de donnes).

Les consquences dun sinistre informatique sont de plusieurs ordres : matrielles et


immatrielles, directes et indirectes. Elles sont toutes lies la ralisation de lala.
La premire des consquences concerne la disponibilit. En effet, il est difficile dimaginer
(par exemple) quune entreprise puisse fonctionner sans son standard tlphonique. Vient
ensuite le problme de lintgrit de linformation. Se pose l la question de savoir comment
une entreprise peut faire face la destruction, falsification ou vol dun fichier clientle. Il en
va de mme des informations dtournes sur le site web dune entreprise.

La gestion des preuves nest pas ngliger. La signature lectronique tend se dvelopper.
Elle est dailleurs encadre juridiquement, reste maintenant voir concrtement les
applications. Certaines entreprises rsistent mal une fausse commande ou des refus de
livraison tel que le E-commerce le gnre.

Enfin, la confidentialit des informations. Linternet a lavantage dtre ouvert au monde


entier. Chacun est responsable de linformation quil diffuse, mais cest aussi un choix. Les
entreprises qui utilisent linternet comme vitrine (virtuelle) ne manquent pas dafficher leurs
dernires offres. Le chaland est combl, son concurrent aussi !
En effet, comment gagner un march si le concurrent connat en temps rel la dernire offre
de lentreprise ?

Auteur : Alexis Thomas

Ce document provient du site www.droit-ntic.com

Selon que le dommage soit matriel (rparation, remplacement du matriel) ou immatriel, il


sagira dans les deux cas de pertes financires et de pertes dexploitation.
Le dveloppement de linformatique et plus globalement des NTIC se faisant, lutilisation par
les entreprises de ces ressources informatiques ont donc fait apparatre des risques auxquels
les Compagnies dassurance ont su rpondre en proposant des contrats adapts.
Aujourdhui, de nouveaux risques sont apparus, quelques Compagnies dassurance tentent dy
faire face. Les plus spcialises tirent leur part du gteau mais ce nest pas sans risque .

Lassurance (en gnral) obit certains principes. En effet, pour quun risque soir assurable,
il doit tre alatoire, quantifiable et compensable au plan financier. Les risques lis aux NTIC
posent deux problmes. Dune part, le risque reste difficilement quantifiable statistiquement
mme si des institutions communiquent quelques chiffres. Le recul nest pas suffisant. La
prise en compte des risques informatiques par les assurances ne date que du dbut des annes
1980.
Dautre part, la compensation financire est estime approximativement, elle est mme
parfois inenvisageable tant les dommages sont importants. Le systme de rassurance permet
dattnuer ce problme ( Lassureur de linternet : Fia-Net, par exemple, utilise souvent ce
systme).
Malgr tout, les assureurs ont su sadapter en proposant des contrats globaux, tels les
multirisques. Ils ont lavantage de couvrir lensemble des dommages.

Les assurances de dommage comprennent les assurances de choses et de responsabilit. Elles


garantissent le prjudice que peut subir le patrimoine de lassur.

Les garanties lies aux risques informatiques sont regroupes sous quatre rubriques
principales :
-

les dommages matriels directs

les dommages conscutifs un dommage matriel

les dommages non conscutifs un dommage matriel

les dommages conscutifs des dommages immatriels

Lopration dassurance est encadre la fois par les dispositions du droit gnral des contrats
et par les dispositions spcifiques du Code des Assurances. Ainsi, le contrat dassurance est
un contrat alatoire, consensuel, dadhsion, synallagmatique, titre onreux.
Auteur : Alexis Thomas

Ce document provient du site www.droit-ntic.com

Lassurance informatique implique lapplication de lois spcifiques linformatique et aux


tlcommunications. Il en est ainsi de la loi Informatique, fichier et libert5, de la loi sur la
fraude informatique6, la signature lectronique7, de la future loi (pour) la confiance dans
lconomie numrique ainsi que du Code de la PLA pour ce qui concerne (entre autres) la
protection des logiciels et des bases de donnes.

Force est de constater quil ny a pas de vide juridique en la matire. Le domaine des NTIC
tend tre de plus en plus rglement. Cest une constante qui ne se dmentira pas lavenir.
Ainsi, toute atteinte malveillante de quelque nature quelle soit constitue autant de risques et de
dommages associs qui peuvent faire lobjet de couverture dassurance. Nanmoins,
lentreprise qui souhaite raffecter son budget scurit en prime dassurance aura du mal
trouver une Compagnie. Lassurance ne garantie que le risque rsiduel.
Certaines entreprises adoptent une stratgie globale des risques, il nempche quil subsiste
toujours lala de survenance dun sinistre. Lexemple topique : un nouveau virus nest pas
dtect ou bien un individu trouve une faille dans le rseau et en abuse pour soutirer des
donnes confidentielles. Ce peut aussi tre le cas dune engeance dun employ rcemment
licenci. En dfinitive, la scurit optimale nexiste pas ce jour, lassurance intervient donc
quand la scurit na pas suffit.

La gnralisation de loutil informatique dans le monde de lentreprise a conduit une


multitude de risques potentiellement ralisables. Pour pallier cette ventualit, les assureurs
favorisent la transition de contrats spcifiques vers des contrats globaux (cf. les multirisques).
Ce sont notamment : - les contrats Tous Risques Informatiques (TRI), - les contrats Extension
des Risques Informatiques (ERI), - la police Globale Informatique (GI), - lassurance
spcifique EDI.
La responsabilit civile professionnelle dans le cadre des NTIC ne doit pas non plus tre
omise.

Les phases contractuelles de ces contrats dassurance informatique mritent notre attention
pour leur particularisme. Ainsi, la premire partie traitera de la formation du contrat, la
5

Loi n 78-17 du 06 janv. 1978 relative l'informatique, aux fichiers et aux liberts.
Loi n 88-19 du 5 janv. 1988 relative la fraude informatique.
7
Loi n 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l'information et
relative la signature lectronique.
6

Auteur : Alexis Thomas

Ce document provient du site www.droit-ntic.com

deuxime portera sur lexcution du contrat et les diffrentes obligations des parties. La
dernire partie concernera lextinction du contrat et les possibles litiges.
Lintrt du sujet est dadopter une vision pratique en rappelant chaque reprise quelques
principes gnraux ncessaires la comprhension des dveloppements.

POUR CONSULTER CETTE ETUDE DANS SA VERSION COMPLETE VOUS


POUVEZ CONTACTER SON AUTEUR ALEXIS THOMAS EN LUI ECRIVANT :

alexis.thomas@orange.fr

Auteur : Alexis Thomas