Amendement N° 1079 (Adopté)

La question de l'indemnisation des dommages causés par une cyberattaque est essentielle.

Comme voté en commission des lois, l’indemnisation est conditionnée à une plainte, et non plus une pré-plainte, au plus tard 48 heures après la constatation de l’infraction. Ce délai ne semble cependant toujours pas suffisant.

Cet amendement propose ainsi de le porter de 48 à 72 heures, après la constatation de l’incident, pour permettre aux entreprises ou institutions concernées de pouvoir fournir l’ensemble des éléments permettant aux services de police ou de gendarmerie de qualifier la plainte. Les entités concernées auront donc 72 heures pour porter plainte à partir de la constatation de l’attaque contre les 24 heures qui avaient été adoptées par le Sénat et les 48 heures adoptées en commission.

Ce délai semble plus réaliste et permet ainsi d’effectuer les démarches obligatoires : notification de violation de données personnelles auprès de l’autorité de contrôle, notification d’atteinte à des données de santé auprès de l’ARS, notification auprès de l’ANSSI. L’objectif étant d’avoir une cohérence entre les notifications aux autorités de contrôle et les éléments de plainte.

La plainte est le point d’entrée pour saisir l’assurance cyber ; cette dernière demandera une copie de cette plainte au moment de l’ouverture du « sinistre cyber », spécifiant les atteintes constatées en première intention, qui serviront sans doute de base au calcul de l’indemnisation.