Violations de données et police d’assurance en France : entrée en vigueur de l'obligation de déclaration aux « autorités compétentes » dans les 72 heures

Depuis le 24 avril 2023, les personnes morales ou physiques qui souhaitent pouvoir être indemnisées par leur assureur des pertes et dommages causés par une atteinte à un système de traitement automatisé de données (tel que défini aux articles 323-1 à 323-3-1 du Code pénal) devront notifier les « autorités compétentes » dans les 72 heures après avoir pris connaissance de l’atteinte. Ceci résulte du nouvel article L12-10-1 du Code des assurances¹.

1. Qui est concerné ?

Toute personne morale ou physique - agissant dans l'exercice de ses activités professionnelles - qui est couverte par ou qui négocie une police d'assurance soumise au nouvel article L12-10-1 du Code des assurances.

2. Régime de notification des violations de données à caractère personnel en vertu du RGPD

L'article 4 du RGPD définit une violation de données à caractère personnel comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données ».

Lorsque la violation de données à caractère personnel est susceptible d'entraîner :

• un risque pour les droits et libertés des personnes physiques, elle doit être notifiée à l'autorité de contrôle compétente dans les 72 heures après que le responsable du traitement en a eu connaissance (voir article 33 du RGPD),

• un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement communique la violation de données à caractère personnel à la personne concernée dans un délai raisonnable (voir article 34 du RGPD).

3. Régime de notification en vertu de l'article L12-10-1 du Code des assurances

En vertu de l'article L12-10-1 du code des assurances, il est nécessaire de notifier aux « autorités compétentes » toute atteinte à un système de traitement automatisé de données tel que définie aux articles 323-1 à 323-3-1 du Code pénal.

Les articles 323-1 à 323-3-1 couvrent les situations suivantes :

- L'accès frauduleux (continu ou non) à tout ou partie d'un système de traitement automatisé de données (que cet accès implique ou non la suppression/modification de données contenues dans le système).

- Entraver ou fausser le fonctionnement d'un système de traitement automatisé de données.

- Introduire frauduleusement des données dans un système de traitement automatisé, extraire, détenir, reproduire, transmettre, effacer ou modifier les données qu'il contient.

- Importer, détenir, offrir, céder ou mettre à disposition un équipement, un instrument, un programme informatique ou des données conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions énumérées ci-dessus.

3.1 Qui sont les « autorités compétentes » ?

Le rapport annexé à la loi suggère (voir page 7) que les "autorités compétentes" sont la police ou l'autorité judiciaire. Le rapport souligne que cela devrait permettre à ces autorités d'obtenir les informations nécessaires pour poursuivre les auteurs de l'infraction. Toutefois, il reste difficile de savoir qui seront les autorités compétentes, car l'article ne dit rien à ce sujet.

3.2 La CNIL peut-elle être qualifiée d’« autorité compétente » ? Qu'en est-il de l'autorité chef de file dans le cadre du mécanisme de guichet unique ?

En l'état, il semble peu probable que la CNIL ou toute autre autorité de protection des données puisse être qualifiée d’« autorité compétente » au sens de l'article L12-10-1 du Code des assurances. Par conséquent, lorsque vous êtes soumis à la fois au RGPD et au Code des assurances, vous devrez procéder à deux notifications distinctes.

3.3 Dois-je faire une notification à l'autorité policière/judiciaire française ou puis-je faire une notification à l'autorité policière/judiciaire du pays dans lequel nous opérons ?

Cette question reste ouverte, car ni l'article ni le rapport ne l'abordent.

4. Quand est-ce que la loi s'applique ?

L'article L12-10-1 du Code des assurances est entré en vigueur le 24 avril et dispose que le dépôt de la plainte auprès des "autorités compétentes" doit être effectué "au plus tard 72 heures après avoir pris connaissance de l’atteinte. 

Qu'en est-il des manquements survenus avant le 24 avril 2023 ? 

Exemple 1 : l’atteinte a eu lieu en novembre 2022 et vous en avez pris connaissance le 25 avril 2023. Dans ce cas, comme vous en avez pris connaissance après l'entrée en vigueur de la loi, vous devrez la notifier aux autorités compétentes.

Exemple 2 : l’atteinte a eu lieu en février 2023 et vous en avez pris connaissance le 15 avril 2023. Dans ce cas, vous ne serez pas soumis à la nouvelle obligation de notification. 

5. Que dois-je faire à partir de maintenant ?

Lorsqu'un incident se produit :

1. Évaluer si l'incident correspond aux définitions du RGPD et du Code pénal.

2. Signaler l'incident dans les 72 heures aux autorités compétentes.

Avant tout incident : 

1 - Lors de la négociation d'une police d'assurance, gardez à l'esprit les nouvelles règles

Vérifiez si la police d'assurance inclut simplement la nouvelle obligation de notification ou si elle en étend la portée et y ajoute de nouvelles obligations. Par ailleurs, la police d'assurance doit expressément fixer la procédure à suivre pour ces notifications. 

En tout état de cause, la rédaction de l'article L12-10-1 semble laisser peu de doute sur la sanction du défaut de déclaration : l'assureur pourra refuser toute indemnisation.

2 - Intégrez le dépôt de plaintes dans votre politique de réponse aux incidents

Lorsque vous êtes concerné par les dispositions de l'article L12-10-1 du Code des assurances, il convient de mettre à jour votre politique de signalement des violations de données afin d'y inclure cette obligation de notification supplémentaire.

[1] L’article dispose que : « Le versement d'une somme en application de la clause d'un contrat d'assurance visant à indemniser un assuré des pertes et dommages causés par une atteinte à un système de traitement automatisé de données mentionnée aux articles 323-1 à 323-3-1 du code pénal est subordonné au dépôt d'une plainte de la victime auprès des autorités compétentes au plus tard soixante-douze heures après la connaissance de l'atteinte par la victime.
Le présent article s'applique uniquement aux personnes morales et aux personnes physiques dans le cadre de leur activité professionnelle. »