Jusqu’à maintenant dans nos chroniques, nous avons abordé l’assurance contre les cyberrisques en traitant de polices d’assurance conçues spécialement pour couvrir ce type de risques. Toutefois, il existe aussi des couvertures dites « silencieuses » ou « fantômes », c’est-à-dire des polices d’assurance qui n’excluent pas clairement les cyberrisques, bien qu’elles n’aient pas été conçues pour les couvrir. Ces polices pourraient donc offrir certaines garanties en matière de cyberrisque, bien souvent à l’insu de l’assureur !
Plusieurs polices d’assurance de biens et de responsabilité civile des entreprises ne comportent pas d’exclusion visant les cyberrisques, il en va de même pour les polices d’assurance responsabilité des administrateurs et dirigeants.
Par exemple, certaines réclamations visant une atteinte à la vie privée d’un employé pourraient faire l’objet d’une couverture en vertu des garanties responsabilité liée aux pratiques d’emploi et responsabilité fiduciaire, que l’on retrouve généralement greffées à des polices d’assurance responsabilité des administrateurs et dirigeants. Les polices d’assurances responsabilité multimédias, de même que la garantie responsabilité préjudice lié à la publicité que l’on retrouve sur les polices responsabilité civile générale des entreprises, peuvent intervenir pour couvrir certains risques liés aux sites Web et pour lesquels une couverture serait aussi offerte sur une police « cyberrisques ». Enfin, bien que la plupart des polices « cyberrisques » offrent une garantie visant les coûts de reconstitution des données, certaines polices d’assurance biens des entreprises prévoient également des indemnités à cet égard par biais d’une extension de garantie Assurance du matériel informatique, à condition que la couverture ne soit pas limitée aux risques spécifiés et qu’elle prévoit aussi les risques associés au piratage informatique. Toutefois, ces indemnités sont généralement assujetties à des limites peu élevées.
Il y a fort à parier que les assureurs tenteront d’introduire, au cours des prochaines années, des exclusions visant les cyberrisques dans leurs polices d’assurance pouvant présenter un potentiel de couverture « silencieuse ». Quelques-uns d’entre eux sont déjà en train de tester le marché. En effet, il est normal de vouloir clarifier la portée de la garantie d’un produit d’assurance lorsqu’un autre produit, à portée plus spécifique, est offert sur le marché. Le danger, cependant, est que certains assureurs pourraient utiliser un langage d’exclusion à portée tellement large que l’ajout d’une telle exclusion créerait un vide de couverture, c’est-à-dire qu’aucune police d’assurance n’offrirait de garantie. Une solution envisageable serait alors de faire étendre la couverture prévue par la police « cyberrisque » afin de combler ce vide. Par exemple, un avenant de garantie éventuelle des préjudices corporels et dommages matériels (Contingent BI/PD) ajouté à une police « cyberrisques » pourrait venir combler le vide de couverture créé par l’ajout d’une exclusion visant spécifiquement les cyberrisques sur une police responsabilité civile des entreprises.
La morale de l’histoire ? Ne vous fiez pas aux « fantômes ». Plutôt que d’espérer qu’une police d’assurance offre une couverture pour certaines éventualités, il vaut mieux opter pour la paix d’esprit que procure un produit conçu pour y faire face : une police d’assurance contre les cyberrisques. Sans compter que la plupart des assureurs spécialisés en la matière, offrent également les services d’une équipe d’intervention en cas d’atteinte qui pourrait bien se révéler une ressource inestimable dans une telle situation.
La présente chronique conclut la série portant sur les cyberrisques et l’assurance. Si vous avez des questions à ce sujet, ou encore si vous désirez obtenir des chroniques antérieures, n’hésitez pas à communiquer avec notre Service de Responsabilité professionnelle.
