Newsletter Contentieux Informatique et Cyber n°14

• LOPMI : le Sénat exige le dépôt d’une pré-plainte nécessaire pour l’assurance des paiements des rançons faisant suite à des cyber-attaques
• L’Autorité européenne des assurances et des pensions professionnelles (AEAPP) et le risque de couverture silencieuse du risque cyber

• La Direction Générale du Trésor formule des recommandations en matière de risque cyber

• Intelligence artificielle : proposition de directive responsabilité IA

• Le Conseil d’Etat se prononce sur la gouvernance de la future réglementation européenne en matière d’ IA
• Un manquement contractuel constituant une violation des droits de propriété intellectuelle ne doit pas nécessairement être poursuivi au travers d’une action en responsabilité contractuelle
• Clauses limitatives de garantie et de responsabilité des contrats de prestations informatiques : rappel des conditions de validité
• Invitation à la remédiation au manquement contractuel avant de prononcer la résiliation judiciaire aux torts du prestataire informatique

LOPMI : le Sénat exige le dépôt d’une pré-plainte nécessaire pour l’assurance des paiements des rançons faisant suite à des cyber-attaques

Le projet de loi d’orientation et de programmation du ministère de l’intérieur (LOPMI) a fait couler beaucoup d’encre à l’occasion des débats ayant eu lieu devant l’Assemblée Nationale. Devant le Sénat, le projet de loi n’a pas été profondément remanié, hormis s’agissant de son article 4, qui instaure un nouvel article L. 12-10-1 du code des assurances permettant d’assurer le risque cyber résultant du paiement des rançons faisant suite aux attaques cyber.

On se souviendra de ce que le principe même d’une assurance contre le paiement des rançons cyber avait donné lieu à un certain débat, portée par Valeria Faure-Muntian, députée de la République en Marché, qui s’était déclarée opposée au paiement des rançons, se demandant si le remboursement des sommes exposées au titre des rançons n’aurait pas conduit à alimenter les marchés de la cybercriminalité et favoriser ainsi l’augmentation des attaques cyber. Ses détracteurs lui opposaient, entre autres, le constat selon lequel l’assurance contre le vol n’a jamais contribué à faire augmenter les cambriolages…

Devant l’Assemblée Nationale, le principe d’une assurabilité des rançons cyber avait donc finalement été accepté, à la condition que l’assuré réagisse promptement afin de dénoncer aux autorités compétentes les faits de nature délictuelles que constituent les attaques cyber. Une plainte déposée « dans les 48 heures suivant le paiement de la rançon » avait donc été exigée comme condition nécessaire pour qu’un assureur puisse prendre en charge le paiement de la rançon.

Au Sénat, le texte a été légèrement modifié, conditionnant désormais le remboursement par l’assureur de la rançon « au dépôt d’une pré-plainte dans les 24 heures suivant l’attaque ». Le Sénateur Rémi Cardon, à l’origine de cet amendement, a précisé que cette modification était envisagée afin d’inciter les victimes de cyber attaques à réagir le plus promptement possible.

Il est possible toutefois de s’interroger sur la formulation retenue, le terme de « pré-plainte » ne correspondant pas à un acte juridique clair, mais plutôt à une déclaration en ligne souvent utilisée pour permettre une dénonciation rapide de faits délictueux. Aussi, la notion d’« attaque » reste vague. Enfin, et surtout, il n’est aucunement précisé si le délai de 24 heures court à compter de la survenance de l’attaque ou de sa découverte par la victime. On sait en effet en pratique que nombreuses cyber-attaques se réalisent sur un temps de plusieurs jours, les attaquants réalisant une série de test des systèmes de sécurité et de prises de contrôle des comptes administrateurs clé, avant de parvenir à un déploiement des actes malveillants au soutien de la demande de rançon.

On peut donc imaginer que les nouvelles dispositions de la LOPMI ne manqueront pas de susciter d’ultérieures questions juridiques.

L’Autorité européenne des assurances et des pensions professionnelles (AEAPP) et le risque de couverture silencieuse du risque cyber

AEAPP, Supervisory Statement on management of non-affirmative cyber exposures, 23 Septembre 2022

Le 23 septembre dernier, l’AEAPP a publié une déclaration prudentielle sur la gestion de l’exposition du risque de « couverture silencieuse » du risque cyber, à savoir le cas de figure où un sinistre cyber, pourtant non prévu initialement par les stipulations de la police d’assurance en cause, demeure tout de même couvert en raison de la définition large de l’objet de la garantie et de l’absence d’exclusion applicable.

Le rapport, qui intervient à l’issue d’une consultation publique qui s’est terminée en juillet 2022, fait le constat qu’en Europe, les organismes d’assurance et de réassurance ne mesurent pas encore suffisamment leur exposition à ce risque, pourtant crucial au regard de la fréquence et de la sophistication de la menace cyber.
Promouvant ainsi une convergence des pratiques de surveillance du risque entre les autorités de contrôles nationales compétentes (en France, l’Autorité de contrôle prudentiel et de résolution - ACPR), l’AEAPP formule dans son rapport plusieurs recommandations sur les pratiques de surveillance à adopter à destination des autorités nationales, qui peuvent être listées ainsi :

• Contrôle de la stratégie, mise en place par les organismes d’assurance et de réassurance pour apprécier leur exposition au risque de couverture du risque cyber, les autorités devant veiller à ce que les assureurs et réassureurs identifient, gèrent et surveillent leur exposition au risque de couverture du risque cyber (en augmentant les efforts de formation et de montée en compétence en matière de cyber) ;
• Amélioration de la qualité rédactionnelle des contrats d’assurance et de réassurance proposés, les contrats étant souvent insuffisants sur ce point. Le rapport propose donc des efforts en termes de rédaction afin d’éviter l’ambiguïté au moment de la souscription, notamment au regard de la qualification de l’incident cyber en tant qu’acte de guerre (dont on rappellera qu’il est exclu de la garantie des assureurs par le code des assurances).

En France, l’ACPR a d’ores et déjà mis en place des mesures de cet ordre venant à traiter le risque de couverture silencieuse des événements cyber. Elle avait déjà par le passé, inscrit ce risque dans les priorités de contrôle et avait déjà émis de telles propositions.

On peut donc espérer que les opérationnels français du secteur prendront les mesures adéquates pour répondre à ces nouvelles exigences.

La Direction Générale du Trésor formule des recommandations en matière de risque cyber

Direction générale du Trésor, Le développement de l’assurance du risque cyber, sept. 2022

La Direction Générale du Trésor s’intéresse de près au marché de l’assurance du risque cyber. Faisant le constat du nombre grandissant d’attaques cyber, des questions juridiques qui se posent (assurabilité du paiement d’une rançon, d’une amende administrative), ainsi que du faible niveau de couverture assurantielle des entreprises françaises quant au risque cyber, la Direction Générale du Trésor, sur demande du ministre de l’Économie Bruno Le Maire, fournit quelques recommandations à suivre.

La Direction Générale du Trésor invite en premier lieu les assureurs à mieux évaluer les risques pesant sur leur activité afin de mieux prendre en compte leur propre exposition au risque. Afin de faire face au problème du manque de données, le rapport invite les assureurs à créer une catégorie ministérielle d’assurance et une branche d’assurance cyber dédiée, assurant la transmission d’information et le partage d’expériences via un partenariat public/privé.

La coopération public/privé est également préconisée afin de sensibiliser tous les acteurs économiques au risque cyber et d’accroître les efforts de formation de l’ensemble des professionnels de l’assurance.
Le rapport préconise la diffusion de standards communs de cybersécurité inciterait les entreprises à renforcer leur résilience cyber.

Enfin, la mise en place d’une task force de l’assurance du risque cyber à Paris pour piloter le plan d’action du rapport est également recommandée dans l’optique de faire de Paris un pôle d’expertise du risque cyber.

Grand absent des recommandations du rapport, une définition du « risque cyber » qui demeure encore laissée à l’appréciation des opérateurs du marché (assureurs et réassureurs) ainsi qu’en dernière analyse, au juge.

Intelligence artificielle : proposition de directive responsabilité IA

Dans le cadre de ses travaux sur le développement d’un cadre juridique européen pour régir les questions liées à l’intelligence artificielle, le Parlement Européen a déposé le 28 septembre dernier une proposition de directive devant être étudiée par la Commission.

On sait en effet que les services d’intelligence artificielle (SIA) deviennent de plus en plus nombreux, l’analyse algorithmique étant désormais employée quotidiennement au service des prestations de services les plus diverses, permettant une utilisation de plus en plus fine des données de communication mises à la disposition des opérateurs.

Or, la Commission fait le constat qu’une victime d’une défaillance d’un SIA ne dispose que de la responsabilité extracontractuelle pour agir à l’encontre de l’auteur du dommage subi et que le régime de cette action peut entraver l’objectif de réparation du préjudice subi.

C’est pour cela que la proposition de directive vient proposer un régime autonome de responsabilité qui viendrait s’appliquer aux actions extracontractuelles à raison de dommages causés par les SIA.

Point central de la proposition de directive, le renversement de la charge de la preuve au profit de la victime, à qui il n’appartient plus de démontrer le lien de causalité entre le dysfonctionnement du SIA et son dommage. S’agissant de la preuve du dysfonctionnement du SIA, le texte à l’état de proposition prévoit que les droits nationaux mettent en œuvre un système d’accès des victimes à la preuve, en prévoyant ainsi des règles de transparence des opérateurs et des SIA en la matière, sous réserve de garantir le respect du secret des affaires et du commerce.

La proposition de directive indique en outre que le défaut d’un opérateur ou d’un SIA de se conformer à un ordre judiciaire serait constitutif d’une preuve du dysfonctionnement dudit SIA.

Il est certain qu’un tel projet de directive devra être longuement débattu, notamment en droit français, en ce qu’il comporte des changements radicaux en matière d’exercice des actions en justice.

Le Conseil d’Etat se prononce sur la gouvernance de la future réglementation européenne en matière d’ IA

Saisi sur demande du Premier ministre, le Conseil d’Etat a rendu le 30 août dernier une étude dans laquelle il propose une approche ambitieuse en vue d’inviter les pouvoirs publics à se saisir clairement de la question de l’Intelligence artificielle (IA) et de légiférer afin de mieux anticiper les multiples conséquences que cet outil est à même de générer, notamment au travers de la préparation du nouveau règlement IA en cours d’élaboration par la Commission Européenne.

Le Conseil d’Etat recommandé ainsi de faire en sorte cette technologie soit de plus en plus utilisées dans le cadre des services publics. Le Conseil d’Etat identifie en outre plusieurs axes prioritaires devant être légiférés :

• une définition commune de l’IA, l’absence de définition étant toutefois difficile à combler, tant le concept est évolutif et hétérogène ;
•  lutter contre le risque d’accès aux données et aux SIA que pourraient avoir des puissances étrangère, sans toutefois garantir une totale indépendance de la France sur ce point ;
• faire de la CNIL l’autorité en charge des questions liées à l’IA ;
• Établir un régime de responsabilité spécifique, au niveau européen.

Sur ce dernier point, les recommandations du Conseil d’Etat vont dans le même sens que celles des pouvoirs européens : il s’agira de mettre en œuvre des nouveautés assez importantes, dont l’inversion de la charge de la preuve et une transparence des acteurs du système d’intelligence artificielle afin que la victime puisse identifier les responsables plus aisément et in fine éviter des délais juridictionnels.

Cette transparence se traduit par l’obligation pour les fournisseurs de SIA de conserver les informations techniques auxquelles le demandeur aura accès après obtention d’une ordonnance judiciaire.

Un manquement contractuel constituant une violation des droits de propriété intellectuelle ne doit pas nécessairement être poursuivi au travers d’une action en responsabilité contractuelle

Cour de cassation, 1ère ch. civile, arrêt du 5 octobre 2022

C’est dans le cadre d’un litige opposant un éditeur de logiciel à un opérateur des télécoms bien connu que la Cour de cassation a pu récemment rendre un arrêt donnant des précisions en matière de contrefaçons de logiciel et de parasitisme.

L’opérateur avait intégré dans l’une de ses plateformes le logiciel d’authentification unique spécialement conçu et mis en libre-service par l’éditeur de logiciel ; ce dernier se plaignait de ce que cette intégration avait été réalisé en violation des conditions de libre-service et constituait donc un acte de parasitisme et de contrefaçon.

C’est ainsi qu’après avoir diligenté des saisies contrefaçons au siège de l’opérateur historique des télécoms, l’éditeur de logiciel réussissait à obtenir sa condamnation à payer la somme de 150.000 euros devant la Cour d’appel de Paris sur le fondement du parasitisme. Sa demande fondée sur la contrefaçon était déclarée irrecevable car, selon la Cour, formulée sur le fondement des dispositions du code de la propriété intellectuelle, alors qu’elle portait en réalité sur un manquement contractuel tenant au non-respect des conditions de libre-service.

La Cour de cassation était donc saisie de deux pourvois concurrents : le premier, de l’opérateur telecom portant sur le parasitisme, qu’elle rejetait sans ambages, se retranchant derrière le pouvoir d’appréciation souveraine de la Cour d’appel, approuvée d’avoir retenu le parasitisme en raison de ce que la plateforme intégrant de façon indissociable (sauf au prix d’une refonte totale de ses propres codes sources) le logiciel d’authentification, cela avait permis à l’opérateur de répondre parfaitement aux besoins du marché, « sans bourse délier ». Le second pourvoi, diligenté par l’éditeur de logiciel, reprochait au contraire à la cour d’appel d’avoir déclaré irrecevable sa demande sur la contrefaçon car fondée sur les dispositions du code de la propriété intellectuelle, alors que selon la cour d’appel il aurait fallu se placer sur le terrain de la responsabilité contractuelle de droit commun.

C’est sur ce point qu’est cassé l’arrêt d’appel, la Cour de cassation rappelant, aux termes d’une très longue motivation, les exigences des textes européens qui garantissent au titulaire d’un droit de propriété intellectuelle de bénéficier d’un régime particulier de saisie-contrefaçon et de réparation forfaitaire de son préjudice. Or, la Cour relève que dès lors que le titulaire du droit de propriété intellectuelle agit en matière contractuelle, il perd de fait ces deux garanties. Au visa du principe dégagé par la jurisprudence européenne selon lequel le titulaire doit pouvoir bénéficier des garanties prévues par les textes européens, indépendamment du régime de responsabilité applicable selon le droit national, la Cour de cassation considère donc que la violation d’un contrat de licence d’un programme d’ordinateur portant sur des droits de propriété intellectuelle permet d’agir sur le fondement de la contrefaçon au sens des dispositions du code de la propriété intellectuelle, indépendamment du fait que le manquement dont il s’agit est de nature contractuelle.

Clauses limitatives de garantie et de responsabilité des contrats de prestations informatiques : rappel des conditions de validité

Cour d’appel de Paris, pôle 5 – ch. 11, arrêt du 9 septembre 2022

Dans le cadre d’un litige opposant une société fournissant du matériel de sécurité à un opérateur téléphonique et internet, la Cour d’appel de Paris a eu à se prononcer sur la validité d’une clause fréquemment stipulée dans les contrats IT, selon laquelle le prestataire ne saurait « garantir le service ininterrompu » de ses propres prestations, notamment en raison de la complexité technique sur lesquelles elles reposent.

En l’occurrence, le client de l’opérateur se plaignait du retard dans la mise en service de sa ligne et de la livraison de matériel non conforme, manquements qu’il considérait suffisant pour justifier de la résiliation du contrat, ainsi qu’une négligence dans la communication du Relève d’Identité Opérateur au nouvel opérateur.
Saisie de la demande indemnitaire formée par le client sur le fondement de la résiliation du contrat aux torts de l’opérateur, la Cour d’appel de Paris juge que la clause limitative de responsabilité opposée par l’opérateur est insuffisante pour écarter le caractère avéré des manquements en cause.

Le délai d’un mois dans la mise en service de la ligne téléphonique ainsi que dans la communication du RIO à l’opérateur l’ayant succédé suffisaient à justifier une résiliation du contrat aux torts de l’opérateur, notamment au regard des dispositions d’ordre public du code des postes et des télécommunications.

Sur le plan du préjudice, l’action du client se révèle cependant être une victoire à la Pyrrhus. Sollicitant près de 600.000 euros de dommages et intérêts correspondant aux couts et frais induits ainsi qu’aux pertes de gains et de chiffre d’affaires, la Cour d’appel de Paris donne effet à la clause limitative de responsabilité selon laquelle était exclu « tout dommage indirect et / ou immatériel et en particulier de toute perte de chiffre d’affaires de bénéfice, de profit, d’exploitation, de renommée, ou de réputation, de clientèle, préjudice commercial, économique, et autres pertes de revenus ». S’agissant des manquements à la communication du RIO, la Cour exclue cependant les effets de la clause, en raison de ce que les dispositions prévues par le texte sont « d’ordre public ». C’est in fine à hauteur à peine de 6.000 euros que le client est in fine réparé, correspondant au préjudice moral que toute l’affaire lui aura causé, faute pour le client d’avoir pu démontrer la réalité de son préjudice.

Invitation à la remédiation au manquement contractuel avant de prononcer la résiliation judiciaire aux torts du prestataire informatique contractuelle

Cour d’Appel de Rennes, arrêt du 11 octobre 2022

Un arrêt de la Cour d’appel de Rennes donne d’intéressants enseignements sur les limites de la résolution contractuelle pour faute dans le domaine du digital et des nouvelles technologies.

Ayant souscrit à un contrat de fourniture, maintenance, téléassistance, publicité d’un site internet, une entreprise se plaignait d’un dysfonctionnement dudit site internet, sur lequel apparaissait à tort la mention selon laquelle les ventes en ligne n’étaient pas possibles.

Saisie du litige, et alors même que le dysfonctionnement était avéré et résultait des pièces contradictoirement produites par les parties aux débats, la Cour d’appel de Rennes rejette les demandes de l’entreprise dans la mesure où celle-ci « ne pouvait refuser l’offre du prestataire de vérifier avec elle les causes de l’apparition delà mention et les moyens d’y remédier ». La Cour considère ainsi qu’en s’abstenant de rechercher une solution technique avec son co-contractant, l’entreprise s’est interdite de démontrer que le grief allégué existe, est pérenne, et interdit toute poursuite du contrat.

Un enseignement important qui invite à la prudence avant de solliciter la résolution judiciaire du contrat aux torts du débiteur, alors même que toutes les actions de remédiation n’ont pas été mises en œuvre par les parties.