Jurisprudence: Sarenza cité par Gras Savoye Willis Spécialités

Laure Zicry, Responsable Technique Institutions Financières et Cyber Risks Gras Savoye Willis Spécialités

 

En tant qu'experte sur le marché des Cyber Rsques, ou situez vous la préoccupation principale des entreprises dans ce domaine ?

Le sujet principal que j'aborde avec les grandes entreprises est double : les atteintes aux données et les atteintes aux systèmes d’informations. Il existe en effet des solutions d’assurance s’agissant des frais de notification. Ces dernières permettent un dédommagement suite aux frais engagés pour notifier à chaque personne concernée et pour certain contrat, la prise en charge des amendes financière lorsqu’elles sont assurables et qui peuvent être très élevées.

Le levier réglementaire et les coûts des amendes en rapport avec les frais de notification ont-ils modifié les comportements des opérateurs de télécommunication au niveau de leur configuration « sécurisée » de leur système d'information ?

Oui absolument. Ils ont fourni de très gros efforts afin de se maintenir au-delà des standards prévus.

Les autres entreprises non encore soumises à ce cadre définissant les niveaux de sécurité nécessaires en matière de protection des données personnelles ne semblent pas encore totalement impliquées par les solutions de Cyber-assurance liées aux cyber risques contrairement à d'autres pays tels que la Grande Bretagne et l'Allemagne. Pourquoi ?

Nous ne communiquons pas assez en France d'une part sur ce type de solutions et d'autre part, les exemples de dédommagement manquent à l'appel. En fait, tout est lié à l'approche réglementaire qui décidera ou non d'intégrer les dédommagements de frais de notification. Enfin, beaucoup d'offres de cyber-assureurs sont confondues avec des contrats existants qui « prendraient en charge » certains frais que nous couvrons. Hors ça n’est pas exact.

Pourquoi est ce inexact ?

Les cyber assureurs demeurent les seuls en tant que professionnels des risques et cyber risques a intégrer des mesures spécifiques liées à la garantie des patrimoines immatériels mais aussi offrir des services réels tels que les dommages immatériels et les conséquences de la violation de la confidentialité des données. Il faut noter également une tendance forte : de plus en plus de clients demandent à leurs fournisseurs de disposer d'un contrat Cyber Risques en tant que fournisseurs.

Croyez-vous à un rapprochement entre fournisseurs, éditeurs, intégrateurs et cyber-assureurs pour offrir une solution technologique-services aux grand comptes ?

C'est envisageable à la condition sine qua non que les cyber-assureurs ne se retrouvent pas dépendants d'un seul acteur du marché.

Que doit prévoir une police d'assurance cyber risques selon vous ?

Une police « cyber assurance » classique est un contrat combinant des garanties Dommages et des garanties Responsabilité Civile, le tout allié avec des services d’assistance et de gestion de crise. Entre autres, nous retrouvons les garanties suivantes : les frais liés à ceux engagés pour aviser les personnes dont les données personnelles ont été perdues ou compromises, les frais engagés pour fournir des services de suivi de crédit (ou des services de protection de données analogues), les frais associés à des mises en cause au motif d’une Violation de sécurité ou d’une perte de Données personnelles, y compris les frais de litiges et de règlement, et les frais d’enquête, d’exécution ou autres tels que coûts inhérents aux agences de communication en cas de crise et d’atteinte à l'image (entreprise et dirigeants) et enfin les honoraires des cabinets d'avocats.

Vous citez l'exemple du chausseur Sarenza* qui suite à une cyber-attaque sur un fichier client (avec traçabilité pour remonter aux cyber-attaquants) s'est vu dédommagée et condamnée en même temps. Ce paradoxe constitue-t-il un bon exemple ?

Oui parce qu'il démontre la complexité des mécanismes liés à la cyber-sécurité des données clients. Dans le cas cité, Sarenza a obtenu la condamnation des responsables de la cyber-attaques par le TGI de Paris à une hauteur de 100 000 euros mais le même tribunal a pris une autre décision. Le tribunal a estimé que la société était responsable de son propre préjudice à hauteur de 30% en raison de son « manque de rigueur » dans la gestion des identifiants. Je rappelle que Sarenza édite un site de e-commerce et gère un fichier de 4,7 millions d'adresses électroniques de clients et prospects.

Quelles spécificités le courtier Gras Savoye Willis propose en matière de solution de polices « cyber risques » ?

Notre approche est double. La première, qui est essentiel, c'est que nous proposons un audit qui a vocation à identifier si dans les contrats d’assurance déjà souscrit par le client, des couvertures peuvent répondre à un cyber risque. Nous établissons un tableau de concordance est un système de feux rouge ou verts en fonction des couvertures déjà en place. L'autre spécificité tient dans la cartographie des cyber risques très claire avec un audit des cyber risques. La deuxième approche consiste à proposer une stratégie de placement du contrat Cyber, soit en couverture spécifique soit en excédent des contrats existants. Ce que l'on pourrait qualifier « d'excédent de polices cyber » par rapport à des polices plus « classiques ». Nous préconisons de sélectionner des contrats d’assurance qui couvre les frais de volontaires car le règlement Européen n’entrera en vigueur qu’au 1er janvier 2016, or à mon sens, l’assurance Cyber risques étant une protection de la réputation et du bilan, il ne faut pas attendre d’avoir des normes contraignantes pour bien protéger son entreprise.

Propos recueillis par Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

* Condamnation pour captation d’un fichier clients atténuée pour défaut de sécurité

 

Sarenza a obtenu la condamnation des responsables du piratage de son fichier de clients et prospects par le TGI de Paris. Le tribunal a néanmoins estimé que la société était responsable de 30% de son préjudice subi, du fait de l’absence de règles strictes sur ses codes d’accès. Sans explicitement citer l’obligation de sécurité des données personnelles figurant dans la loi Informatique et libertés, il a sanctionné la société pour son manque de rigueur dans la gestion des identifiants. Une de ses salariées a fait profiter un tiers du fichier qui l’a exploité à son profit. Il sera donc retranché 30 000 € sur les 100 000 € de dommages-intérêts octroyés à Sarenza. La société qui édite le site de commerce électronique Sarenza.com avait constaté que son fichier de 4,7 millions d’adresses électroniques de clients et de prospects avait été copié, en recevant à des adresses pièges des courriels de promotion du site vingroom.com, édité par la société NA2J. Le responsable du site a reconnu qu’il avait obtenu par une salariée de Sarenza les codes d’accès à la base de données permettant de gérer les e-mainling. L’employée avait utilisé l’identifiant de son supérieur hiérarchique, qui était d’ailleurs utilisé par quatre personnes. Grâce à ce code, l’éditeur de vingroom a accédé aux données personnelles de Sarenza à de nombreuses reprises pendant trois mois. Il a utilisé ces adresses pour sa publicité. Il a aussi commercialisé une partie du fichier auprès des sociétés Vivaki, professionnelles de la publicité, pour différentes campagnes. Le tribunal a jugé que NA2J et son gérant avaient commis une faute en s’appropriant les adresses électroniques des clients et prospects de Sarenza à son insu et sans bourse déliée afin d’en tirer un profit personnel. Il a également estimé que les sociétés Vivaki avaient fait preuve de négligence en achetant des fichiers très bon marché sans se soucier des conditions dans lesquelles NA2J les avaient acquis. Ces prix, trop faibles pour permettre d’amortir l’investissement requis pour la création et l’entretien d’une telle base, auraient dû alerter Vivaki sur l’origine douteuse des données. En revanche, le tribunal a refusé de reconnaître à Sarenza le bénéfice de la protection de la base de données accordée au producteur. Les éléments d’information communiqués ne permettaient pas, selon les juges, de considérer que le fichier clients en cause était organisé en base de données.

 

*http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3782 

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires