Accueil
Le quotidien du droit en ligne
-A+A
Article

Silent cyber : l’ACPR invite les assureurs à poursuivre leurs efforts d’identification et de clarification

Après une enquête réalisée au cours de l’année 2023 auprès d’un échantillon d’organismes d’assurance sur leur gestion des garanties implicites couvrant le risque cyber, l’Autorité de contrôle prudentiel et de résolution (ACPR) adresse un communiqué le 11 mars 2024 dans lequel elle souligne les efforts réalisés par les assureurs et les invite à poursuivre le travail d’identification et de clarification.

En application de l’article L. 612-1, IV, du code monétaire et financier, l’ACPR peut porter à la connaissance du public toute information qu’elle estime nécessaire à l’accomplissement de ses missions et peut, dans ce cadre, procéder à la publication de communiqué de presse. Sans portée normative, ces communications ont pour objectifs d’informer le public et d’harmoniser les bonnes pratiques des organismes d’assurance (DG Trésor, Rapp. sur le développement de l’assurance du risque cyber, sept. 2022, p. 27). C’est en ce sens que l’ACPR a, le 11 mars 2024, publié un communiqué au sujet de la couverture implicite du risque cyber et sa gestion par les assureurs.

La couverture implicite du risque cyber ou silent cyber

Le cyber risque peut être couvert implicitement dans un contrat d’assurance qui, initialement, ne l’avait pas envisagé. Il s’agira des contrats avec des garanties traditionnelles couvrant le risque de responsabilité civile ou de dommage aux biens par exemple. Dans ce cas, la couverture du risque cyber n’est pas mentionnée directement dans le contrat mais n’est pas non plus expressément exclue des garanties (ACPR, Communiqué de presse, Paris, 12 nov. 2019). Ainsi, une police qui n’avait pas vocation à couvrir un tel risque pourrait finalement le faire au regard de la définition large de l’objet de la garantie et de l’absence d’exclusion applicable (P.-G. Marly et A. Valençon, L’assurance du risque cyber, Dalloz IP/IT 2019. 603 ).

Les préoccupations de l’ACPR au sujet de la couverture silencieuse du risque cyber sont loin d’être nouvelles. Après une première enquête réalisée sur l’année 2018 révélant l’existence de couvertures implicites, elle avait déjà alerté les assureurs, en 2019, à travers un communiqué de presse (ACPR, Communiqué de presse, 12 nov. 2019, préc.). En 2022, c’est l’autorité de contrôle européenne qui s’est également saisie de la question (Autorité européenne des assurances et des pensions professionnelles – AEAPP), et a rendu un rapport le 23 septembre 2022, dans lequel elle expose différentes recommandations sur le contrôle de l’exposition des assureurs et réassureurs au risque de la couverture silencieuse du risque cyber (AEAPP, Supervisory Statement on management of non-affirmative cyber exposures, 23 sept. 2022). L’ACPR en...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :