Pourquoi souscrire un contrat séparé alors que certains de ces évènements sont garantis par d’autres contrats d’assurance ?
Aucun contrat ne couvre l’ensemble de ces frais inhérents à une perte de données, même si certaines garanties peuvent être couvertes dans d’autres contrats (de RC Pro par exemple).
Qu’est-ce que la responsabilité civile ?
Le contrat de Responsabilité Civile a pour objet de garantir l’ensemble des activités de l’assuré, et son objet n’est donc pas le même que celui d’une police d’assurance Cyber, qui couvre l’intégralité des composantes autour de la perte de données et non uniquement la perte de données.
Qu’est-ce qu’un contrat de Garantie Dommages ?
Un contrat Dommages pourra couvrir les dommages subis par les données de l’entreprise, ainsi que Certaines pertes d’exploitation y afférent, s’ils résultent d’un dommage matériel, ce qui est rarement le cas dans une atteinte cybercriminelle.
Un contrat dommages ne prendra pas en charge la cyber extorsion, l’atteinte à la réputation, la responsabilité civile, les enquêtes et sanctions administratives ou les frais de notification.
A l’inverse, si l’assuré se fait voler un ordinateur portable, dans lequel étaient stockées des données confidentielles sur ses clients, le contrat PACK Cyber interviendra sur la reconstitution des données ou les réclamations introduites en cas d’atteinte aux données confidentielles.
Qui est couvert par le contrat PACK Cyber ?
Le PACK Cyber peut être souscrit par toute entreprise, profession libérale, association ou travailleur indépendant ayant un chiffre d’affaires jusqu’à 50 millions d’euros.
Seront assurés dans le contrat :
- Le souscripteur du contrat
- Ses filiales
- Leurs préposés
- Tout prestataire externe agissant sous la direction et la supervision du souscripteur et de ses filiales, mais uniquement dans le cadre des services fournis par ce prestataire à l’assuré
- Toute nouvelle filiale sera automatiquement intégrée au contrat si elle réalise moins de 20% du chiffre d’affaires et répond aux autres critères d’éligibilité du PACK Cyber (activités, territorialité)
- Pour les entreprises souscriptrices dépassant les 50 millions d’euros de CA, le contrat sera réétudié par l’assureur. Il en sera de même pour les entreprises dont le CA export USA/Canada dépasse 30% du CA global de l’entreprise.
Quelles sont les restrictions pour la souscription d’un PACK Cyber ?
Le PACK Cyber peut être souscrit par toute entreprise, profession libérale, association ou travailleur indépendant sauf celles exerçant dans les domaines suivants :
- La production audiovisuelle ou musicale
- Les sites internet de réseau social
- Les institutions financières
- La vente d’armes, de drogues, de substances et produits illicites
- La communication ou la diffusion d’informations ou d’images à caractère érotique et pornographique
- Les sites internet à caractère religieux, politique et idéologique
- Les services de rencontres amicales, sentimentales et sexuelles
- Les jeux et les paris
- Toute activité contraire aux bonnes mœurs
Pour pouvoir souscrire un PACK Cyber, il faut également respecter les critères suivants :
En matière de sécurité : disposer de logiciels anti-virus et pare-feu sur l’ensemble des dispositifs informatiques, serveurs et réseaux, restreindre aux seuls utilisateurs autorisés l’accès aux données sensibles et confidentielles, faire une sauvegarde régulière de ses données au moins une fois par semaine
Ne pas être en procédure de sauvegarde, redressement ou liquidation judiciaire
Ne pas avoir fait l’objet les trois dernières années d’une réclamation et/ou ne pas avoir connaissance de faits ou circonstances susceptibles de mettre en œuvre une ou plusieurs garanties du contrat PACK Cyber, notamment d’une interruption non programmée du réseau d’information supérieure à 24 heures, d’une perte ou d’un vol de données, d’une enquête d’une autorité administrative.
La tarification est-elle différenciée en fonction de l’activité ?
Oui, c’est le cas, car certaines professions sont plus à risque. La tarification sera fonction de la famille d’activités pratiquées et sélectionné lors de l’établissement de la proposition d’assurance.
Voici les familles d’activités :
Droit, Intermédiation, Finance et Patrimoine : Avocat, conseil juridique, agent immobilier, expert-comptable, Conseiller en Investissement Financier, Conseiller en Gestion de Patrimoine Indépendant, Démarcheur Bancaire, Démarcheur Financier, Intermédiaire en Opération de Banque et en Service de Paiement, Intermédiaire d’assurance
Professions de la santé : Etablissement médico-social, Médecin libéral (généraliste ou spécialiste), Pharmacien, Sage-femme, Infirmier, Masseur-kinésithérapeute, Orthophoniste, Orthopédiste, Audioprothésiste, Opticien- lunetier, Pédicure-podologue, Ergothérapeute, Psychomotricien, Manipulateur ERM, Ostéopathe, Vétérinaire
Gestion des Données informatiques : Fournisseur d’accès internet, opérateur de télécommunication, hébergement, cloud computing, infogérance, traitement de données informatiques
Hôtellerie, Restauration : Hébergement touristique, camping, restauration traditionnelle et collective, débit de boissons
Commerce de détail, E-commerce : Commerce de tout bien de consommation ou de produits alimentaires y compris en ligne
Autres activités : Toutes les activités sauf Droit, Intermédiation, Finance et Patrimoine, Télécom, Gestion des Données Informatiques, Commerce de détail et e-commerce, Hôtellerie et Restauration et Professions de la santé ainsi que les activités du critère d’éligibilité n°10(*)
(*) sauf toute activité de production audiovisuelle et musicale, tout site internet de réseau social, toute activité liée aux institutions financières (1), toute vente d’armes, de drogue, de substances et produits illicites, toute communication ou diffusion d’images à caractère érotique et pornographique,
tout site internet à caractère religieux, politique et idéologique, tout service de rencontres amicales, sentimentales et sexuelles, toute activité de jeu et paris, toute activité contraire aux bonnes mœurs.
(1) Institutions financières : tout établissement bancaire ou financier, gestionnaire d’actifs, prestataire de services d’investissement, fonds d’investissement, société de capital-risque, société d’investissement, mutuelle, compagnie d’assurance ou de réassurance, groupement d’épargne retraite populaire, société de développement régional, fonds régional de développement, association
d’épargnants ou d’investisseurs, association de défense des épargnants ou des investisseurs.
NE SONT PAS CONSIDÉRÉS COMME DES INSTITUTIONS FINANCIÈRES : les conseillers en investissements financiers, conseillers en gestion de patrimoine indépendants, démarcheurs bancaires, démarcheurs financiers, intermédiaires en opérations de banque et en services de paiement, intermédiaires d’assurance.
Quelles sont les territorialités et juridictions du contrat PACK Cyber ?
Territorialité : le contrat PACK Cyber peut être souscrit par les entreprises, associations, professions
libérales, travailleurs indépendants immatriculées en France Métropolitaine, Martinique, Guadeloupe et Réunion.
De plus, seront également assurées leurs filiales en France Métropolitaine, Martinique, Guadeloupe et Réunion et dans tous les pays de l’Espace Économique Européen.
Exportations de biens ou services aux USA/Canada : si les opérations concernées ne représentent pas plus de 30% du CA de l’entreprise ou de l’association, l’assuré sera couvert même si le procès a lieu devant les juridictions américaines ou canadiennes. La tarification en tiendra compte. Pour les cas ou les exportations excéderaient ce seuil, il pourra être demandé une étude sur-mesure.
Juridiction : de plus, le contrat couvre les réclamations introduites ou menées dans le Monde
Entier à l’encontre des assurés.
Comment fonctionne la garantie dans le temps ?
Garanties responsabilité civile : dans ce cadre, les dispositions de la Loi sur la Sécurité Financière s’appliqueront. Le contrat étant en base « réclamation », il y aura une reprise du passé inconnu illimitée et une période subséquente de 5 ans (pour les faits commis pendant la période d’assurance).
Sont visés par ce dispositif les garanties suivantes :
- Atteinte aux données
- Atteinte à la sécurité du système informatique
- Manquement à l’obligation de notification
- Sous-traitant
- Média
Autres garanties : toutes les garanties autres que celles indiquées ci-dessus dans le volet « Responsabilité Civile » fonctionneront en base « fait dommageable ». seuls les faits survenus pendant la période d’assurance pourront être garantis. Il n’y aura donc ni reprise du passé inconnu, ni garantie subséquente.
Délais spécifiques applicables à certaines garanties : En complément des points précédents, des délais spécifiques ont été fixés sur les postes suivants :
- Actions d’urgence : 72 heures sans accord de l’assureur
- Pertes d’exploitation et frais supplémentaires d’exploitation : maximum 120 jours
- Frais et dépenses suite à la gestion de crise suivant la notification (conseils juridiques, expert informatique, atteinte à la réputation, restauration des données, frais de notification, frais de monitoring et de surveillance : maximum 12 mois
Comment s’effectue la gestion des sinistres ?
Dès la découverte d’un incident cyber, l’entreprise assurée doit impérativement déclarer la situation à l’assureur afin que la cellule gestion de crise soit activée au plus tôt.
Les 1ères actions sont essentielles.
Important : la garantie « gestion de l’incident » ne se déclenche qu’après notification de l’incident validée par l’assureur.
Réclamations et enquêtes administratives : dans le cadre des volets Responsabilité Civile et Enquêtes Administratives, l’assuré a le libre choix de l’avocat.
Responsabilité du fait d’un sous-traitant : si la faute n’est pas imputable à l’assuré mais du fait d’un sous-traitant, le contrat interviendra. Le contrat PACK Cyber reconnait automatiquement les abandons de recours.
Quels sont les impacts de la législation relative à la protection des données (RGPD) ?
La législation relative à la protection des données (RGPD) est entrée en vigueur le 28 mai 2018. Elle a un impact très important sur l’activité des entreprises et des associations. En effet, depuis cette date, si une intrusion dans les systèmes informatiques a pour conséquence une fuite réelle ou potentielle de données clients ou de données personnelles, les entreprises et associations ont l’obligation de notifier par lettre recommandée l’ensemble des personnes potentiellement victimes de cette fuite. Cela peut représenter un coût très significatif.