On a tendance à croire que tous les produits d’assurance contre les cyberrisques offerts sur le marché se ressemblent. Or, rien n’est plus faux. S’il est vrai que le cœur de la couverture est souvent similaire d’un assureur à l’autre, ce sont les détails qui différencient une couverture adéquate d’une couverture supérieure. Voyons maintenant quelques « détails » qui pourraient faire la différence.
Le mode d’indemnisation
Le libellé de police est-il rédigé en utilisant un langage de type « l’assureur paiera pour le compte de l’assuré », ou plutôt de type « l’assureur remboursera à l’assuré » ? Dans le premier cas, l’assureur assumerait d’emblée les frais couverts engagés (sous réserve de la franchise, le cas échéant), alors que dans le second cas, l’assuré devrait débourser les frais, puis en demander le remboursement à l’assureur. Toutefois pour certaines garanties, seul un mode de remboursement peut s’appliquer ; c’est le cas, par exemple, avec l’assurance des pertes d’exploitation. En ce qui concerne les garanties de responsabilité civile, il doit être clairement indiqué que l’assureur prendra en charge la défense de l’assuré en cas de réclamation recherchant sa responsabilité. Cela évite à ce dernier d’avoir à débourser des frais de défense et ainsi compromettre ses liquidités. Au Québec toutefois, la question ne se pose pas puisque le Code civil prévoit que les assureurs sont tenus de prendre fait et cause pour toute personne qui a droit au bénéfice de l’assurance et d’assumer sa défense dans toute action dirigée contre elle. Il est également prévu que frais de défense sont à la charge de l’assureur, en plus de la limite de garantie.
Les types de renseignements
La police d’assurance couvre-t-elle uniquement les renseignements personnels ou couvre-t-elle également les renseignements d’entreprise ? Il est désormais acquis que les polices d’assurance contre les cyberrisques offrent des garanties visant à protéger les renseignements personnels, soit des renseignements qui ne sont pas accessibles au grand public, par exemple : renseignements sur la santé, sur l’identité, renseignements financiers ou tous autres renseignements personnels au sens de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Toutefois, certaines polices offrent une couverture plus large en étendant la protection aux renseignements d’entreprise confidentiels ou exclusifs. On y précise généralement que l’assuré doit détenir ces renseignements conformément à un accord intervenu avec l’entreprise visée. En outre, le libellé devrait préciser que la couverture des renseignements d’entreprise ne se limite pas aux données électroniques, et qu’elle vise ainsi les renseignements, sous quelque forme que ce soit.
Les employés malveillants
On croit, souvent à tort, que les atteintes à la vie privée et à la sécurité du réseau sont uniquement le fait d’intervenants externes comme des pirates informatiques. En réalité, le problème provient bien souvent de l’interne : une erreur humaine, une défaillance du système informatique… ou un employé malveillant. Les employés d’une organisation représentent un risque significatif puisqu’ils ont accès au système informatique et connaissent bien les données qui y sont stockées ainsi que les contrôles et procédures visant à les protéger. On n’a qu’à penser au vol de données des clients de Desjardins par un employé, qui a récemment fait les manchettes. En outre, un employeur peut être tenu responsable d’une atteinte à la vie privée ou à la sécurité des données, du fait des agissements de ses employés. Comment savoir si une police d’assurance contre les cyberrisques offre une couverture visant les employés malveillants ? Comme l’intention de ce produit d’assurance n’est pas de couvrir les réclamations découlant d’une atteinte du fait de l’assuré lui-même, il est normal d’y retrouver une exclusion visant les actes malhonnêtes, criminels ou frauduleux commis par un assuré. Or, aux termes de la police, un employé de l’assuré est considéré comme étant un « assuré ». Il est donc important que le libellé de la police prévoie certaines exceptions à l’application de cette exclusion : premièrement, pour les frais de défense tant que la culpabilité de l’assuré/employé pour sa conduite malhonnête, criminelle ou frauduleuse n’a pas été établie par un jugement ou une décision finale et deuxièmement, pour les assurés « innocents », c’est-à-dire ceux qui ne sont ni auteurs ni complices de la conduite en question.
Au cours des derniers mois, nous avons traité de la couverture offerte par les polices d’assurance contre les cyberrisques sous plusieurs aspects. Mais qu’arrive-t-il lorsqu’une atteinte survient ? De quelle façon l’assureur interviendra-t-il ? C’est le sujet que nous aborderons dans notre prochaine chronique.