Les entreprises face au risque cyber : une construction assurantielle nécessaire mais incomplète

Depuis les années 90, un nouveau risque apparaît pour les entreprises : les cyberattaques. Ces dernières se sont faites de plus en plus fréquentes ces dernières années. Ainsi, selon une étude du Cesin (Club des experts de la sécurité de l’information et du numérique), une entreprise française subissait en moyenne 29 attaques par an en 2016. Aujourd’hui, le coût d’un incident cyber varie entre 200 000 et 1,3 million d’euros pour les PME dans le monde. Et pourtant, même face à ces chiffres, peu d’entreprises sont réellement assurées en France et dans le monde contre ce type de risques qui, selon le baromètre 2019 des risques émergents, établi par la Fédération Française de l’Assurance, sont considérés comme le risque majeur pour les sociétés d’assurance et de réassurance.

 

Jusqu’à présent, les entreprises se sont majoritairement assurées contre les risques cyber en se reposant sur les polices d’assurances traditionnelles. Dans ce cas, on parle alors de couverture silencieuse du risque cyber. Cela signifie que le risque cyber n’est pas expressément mentionné, mais qu’il est implicitement inclus.

Le principal problème face à cette « silent cover » est que les entreprises sont dès lors subordonnées à leurs assurances qui peuvent leur exposer des clauses d’exclusion à tout moment. C’est notamment ce qui est arrivé à l’entreprise de confiserie américaine Mondelēz. Cette dernière, suite à l’attaque de ses serveurs par le virus NotPetya, avait tenté de faire jouer son assurance. Néanmoins, après que le ministre des affaires étrangères britannique ait attribué l’attaque au Kremlin, la compagnie d’assurance de Mondelēz leur a finalement opposé une clause d’exclusion concernant les actes hostiles ou liés à des guerres.

Un second problème se matérialise à travers le fait que les polices d’assurance traditionnelles ne couvrent pas la totalité des coûts engendrés par les cyberattaques. A titre d’exemple, les assurances « dommages aux biens » protègeront les pertes matérielles mais pas les pertes de données ainsi que les conséquences de ces pertes sur l’exploitation.

Pour beaucoup, et notamment selon l’éminent professeur Michel Séjan et son article « Les cyberassurances, un contrat encore méconnu dans les entreprises », la souscription des entreprises à des cyberassurances apparaît alors comme la solution. Cependant, les cyberassurances sont encore largement méconnues que ce soit dans le milieu entrepreneurial ou dans le milieu assurantiel. Ces cyberassurances présentent plusieurs avantages. Elles seraient plus à même de protéger les fonds propres des entreprises ainsi que de leur fournir un accompagnement complet dans la gestion de ce nouveau risque que ce soit avant ou après sa concrétisation. La souscription à une cyberassurance permettrait donc de palier les défauts de la protection offerte par les polices d’assurances traditionnelles contre le risque cyber.

 

Toutefois, même si les cyberassurances se profilent comme la solution miracle pour les entreprises se trouvant confrontées au risque cyber, elles sont loin d’être suffisantes et abouties.

Tout d’abord, les cyberassurances ne sont que secondaires et la souscription à de telles assurances n’affranchit pas les entreprises de la mise en place ou de l’amélioration de leur système de protection face aux cyberattaques. Elles ne viennent qu’en plus de la protection et ne doivent pas s’y substituer.

Mais le problème majeur concernant les cyberassurances reste celui de la fluctuation importante des primes de ces assurances. Cette fluctuation s’explique par un manque de données historiques servant de base à l’établissement des prix ainsi que par la volonté des compagnies d’assurances de se protéger elles-mêmes face à l’occurrence de tels risques. En effet, la particularité du risque cyber est que lorsqu’il se concrétise, il peut toucher un nombre important d’entreprises ce qui contraindra les compagnies d’assurances à débloquer des sommes très importantes dans un temps très restreint.

De ce fait, de nombreuses entreprises remettent en cause l’intérêt économique à souscrire à de telles assurances.

 

Référence :

« Les cyberassurances, un contrat encore méconnu dans les entreprises », Michel Séjan (professeur agrégé en droit privé et science criminelle de l’Université de Bretagne Sud, Vannes), Gazette du Palais, 5 mai 2020, 140e année, n°1.

Lien vers la décision de justice américaine sur le cas Mondelēz :

https://www.databreachninja.com/wp-content/uploads/sites/63/2019/01/MONDELEZ-INTERNATIONAL-INC-Plaintiff-v-ZURICH-AMERICAN-INSURANCE-COMPANY-Defenda.pdf

SELENE Avocats présent à la conférence Droit commun et contrats spéciaux : quelles influences ? quelle articulation ? à l’université Lyon 3

Vendredi 9 février 2018, SELENE Avocats s’est rendu à Lyon pour un colloque passionnant organisé par l’association des étudiants du Master 2 Droit et pratique des contrats ayant pour thème « Droit commun et contrats spéciaux : quelles influences ? quelle articulation ? ».

Ce colloque avait pour but de mettre en exergue les relations aux plans juridique mais aussi pratique entre le droit commun des contrats et le droit des contrats spéciaux, notamment à la lumière de la réforme du droit des contrats de 2016 et de son processus de ratification actuelle.

De nombreux intervenants de qualité ont ainsi pu présenter leurs points de vue, tels que les Professeurs Daniel Mainguy, Blandine Mallet-Bricout ou encore Jean-Christophe Roda. Des avocats ont aussi pu prendre la parole apportant un aspect concret et pratique sur les arguments évoqués, par exemple Maîtres Bonnet, Hotte ou Durez.

Le Professeur Mainguy, qui a introduit la conférence, a expliqué comment, de son point de vue, seul le droit des contrats spéciaux influe sur le droit commun et que cette influence est à sens unique. Il a ainsi démontré que c’est en examinant la mise en œuvre de ce droit supplétif que l’on observe que la réflexion part du droit spécial pour aller vers le droit général qui est subsidiaire.

S’agissant de l’articulation entre ces deux régimes, le Professeur Mainguy a mis en exergue le fait que deux règles se concurrencent :

  • celle selon laquelle les lois spéciales priment sur les générales
  • celle selon laquelle les exceptions doivent être interprétées strictement.

Il a été démontré que ces deux règles sont appliquées de façon différente en fonction des objectifs que le juge veut atteindre.

Furent ensuite abordés trois sujets au cours de différentes tables rondes, regroupant à chaque fois un avocat et un professeur.

  • Droit commun et droit des affaires : comment gérer les clauses de prix ?

Cette table ronde fut l’occasion de revenir sur la réforme actuelle du droit des contrats qui fait apparaitre un droit nouveau, à interpréter, explorer et appliquer, sans le poids de la jurisprudence de la Cour de cassation.

Maître Martinez, avocat au Barreau de Lyon a notamment évoqué le cas fréquent en pratique d’une fixation inexistante ou défectueuse du prix. En effet, en présence d’un contrat dont les clauses de prix sont ambiguës ou absentes quelle marge de manœuvre le juge a-t-il ? Il pourrait être opportun que le juge fixe lui-même le prix ou une méthode de calcul afin que le contrat puisse être exécuté, il serait aussi imaginable que le juge puisse faire appel à un expert afin que le prix devienne déterminé ou déterminable. Cependant la jurisprudence refuse ces actions aux juges du fond, en vertu du principe de non intervention du juge.

Les parties à un contrat doivent donc s’accorder en amont sur la détermination du prix ou sur les critères permettant de le déterminer le moment venu. Si la fixation est unilatérale (ce qui est fréquent en pratique) elle doit être convenue en amont, on peut donc parler d’un « unilatéralisme d’un commun accord ».

Maître Hotte, avocat associé chez Fidal, a conclu cette table ronde par un tour d’horizon de la place des clauses de prix dans les contrats de distribution. En effet, dans ces contrats cadre, la complexité des relations est telle que la lecture du prix n’est plus directe, un consommateur sait du premier regard combien va lui couter un produit, mais un commerçant ne pourra pas être certain par avance du prix auquel il va acheter sa marchandise.

Cette complexité vient de la structure même du marché français de la distribution notamment en raison de l’imposition d’un seuil de revente à perte pour limiter la concurrence des grands réseaux de distribution. Le caractère déterminable d’un prix se considère donc au regard de la convention globale et de toutes les circonstances entourant le contrat.

Il y a une forte originalité des clauses de prix dans ces contrats, avec des flux spéciaux, et du formalisme lourd ayant pour but de contrôler la loyauté des contractants. L’influence du droit spécial sur le droit commun se retrouve de façon flagrante dans ce domaine, en effet, la lutte contre les pratiques/clauses abusives en droit de la distribution est une source d’inspiration majeure de la réforme du droit des contrats.

  • Droit commun et droit de la consommation : interactions et articulation

Encore une fois la réforme du droit des contrats fut mise en avant ; en effet, elle introduit l’article 1171 du Code civil qui généralise la prohibition des clauses abusives dans tous les contrats d’adhésion. Avant la réforme, des mécanismes similaires se retrouvaient dans le droit des contrats spéciaux et notamment dans l’article L.212-1 du Code de la consommation et L.442-6 du Code de commerce.

A la suite des différentes lectures par les chambres parlementaires il semble qu’une conception relativement large de la notion de contrat d’adhésion soit désormais actée. Cette définition large permet de considérer l’article 1171 du Code civil comme une disposition de droit commun, d’où il ressort de façon non contestable une inspiration du droit des contrats spéciaux.

Se pose alors la difficulté d’une articulation entre ces différentes normes. En effet, si l’article 1171 et celui du Code de commerce ou de la consommation sont applicables en même temps alors quel texte le juge doit-il appliquer et quel fondement l’avocat doit-il soulever ?

Cette question a été posée clairement lors des débats parlementaires : la seule réponse apportée fut qu’il n’existe pas d’incompatibilité des textes à appliquer la règle spéciale et donc évincer l’article 1171. Cependant il fut refusé de mettre explicitement qu’en cas de cumul il serait nécessaire d’exclure l’article 1171, car ce principe ressortirait naturellement de l’article 1105 du Code civil.

  • Droit commun et droit immobilier : évolutions des pratiques et nouveaux risques ?

Cette dernière table ronde fut l’occasion de rappeler l’évolution de l’obligation d’information entre les cocontractants en droit immobilier. En effet, cette obligation, d’ordre public dans cette matière spéciale, est désormais intégrée dans le droit commun des contrats à travers l’article 1112-1 du Code civil.

Le droit spécial de l’immobilier et de la construction a aussi influencé le droit commun en ce qui concerne l’abus d’état de dépendance, ce concept étant désormais intégré à l’article 1143 du Code civil, qui consacre un nouveau cas de violence comme vice du consentement.

Cependant, il a été rappelé le caractère particulier de ce droit spécial, dont la plupart des dispositions sont d’ordre public, ne pouvant donc faire l’objet de dérogation par les parties, en opposition avec le principe de liberté contractuelle de droit commun. AC

La justice « prédictive » : risque ou opportunité ? Retour sur le colloque organisé par l’Ordre des avocats au Conseil d’Etat et à la Cour de cassation

Le 12 février 2018, le cabinet Selene Avocats a eu le privilège d’assister au passionnant colloque organisé à l’occasion du bicentenaire de l’Ordre des avocats au Conseil d’Etat et à la Cour de cassation, au sujet de la justice prédictive.

A l’ère de la révolution numérique et de l’émergence croissante des legaltechs, ce colloque a été l’occasion d’une réflexion prospective sur la justice prédictive, qui laisse envisager des transformations majeures, mais ambivalentes.

Le rapport Cadiet[1], souvent évoqué durant la rencontre, définit la justice prédictive comme un « ensemble d’instruments développés grâce à l’analyse de grande masses de données de justice qui proposent, notamment à partir d’un calcul de probabilités, de prévoir autant qu’il est possible l’issue d’un litige ». Olivier Chaduteau, Managing partner de la société Day One, a précisé que la justice prédictive s’appuyait essentiellement sur trois technologies : le machine learning, le deep learning et le reinforcement learning.

Comme l’a souligné Jean-Claude Marin, Procureur Général auprès de la Cour de cassation, l’expression de « justice prédictive » est trompeuse, et il s’agit d’avantage d’un travail de prévision que de prédiction (au sens d’une action surnaturelle consistant à annoncer par avance, de prédire l’avenir). Yves Gaudemet, Membre de l’Institut et Professeur émérite de l’Université Panthéon-Assas, a ajouté que la justice, dans son essence, n’était pas et ne pouvait pas être prédictive.

 

Les opportunités offertes par la justice prédictive

La plupart des intervenants ont insisté sur les nombreuses perspectives offertes par la justice prospective.

Selon François Molinié, Avocat au Conseil d’Etat et à la Cour de cassation, elle pourrait permettre d’améliorer la prévisibilité des litiges et de combattre l’aléa judiciaire dès lors que les juges du siège bénéficieraient d’une base de décisions recensées et ciblées. A terme, la justice prédictive conduirait à une harmonisation et une cohérence renforcées des décisions de justice. De plus, les justiciables auraient la possibilité de recourir davantage et de manière plus adéquate aux modes alternatifs de résolution des litiges.

Bertrand Louvel, Premier Président de la Cour de cassation, a affirmé que dans un contexte d’inflation des recours, la justice prédictive serait également un outil de « recentrage » du travail des juges. En effet, ces derniers pourraient se décharger de tâches chronophages et répétitives, et se libérer du traitement d’une partie du contentieux de masse. Par ailleurs, la justice prédictive pourrait permettre aux avocats de faire preuve d’une plus grande rationalité dans l’élaboration des stratégies judiciaires de leurs clients.

A juste titre, Sophie Lemaire, Professeure à l’Université Paris-Dauphine, a insisté sur les avantages que pouvait apporter la justice prédictive en matière d’évaluation du quantum des dommages et intérêts. Parfois difficile à calculer, le montant des indemnités alloué est aujourd’hui très disparate en fonction des zones géographiques et des tribunaux. L’intelligence artificielle (le plus souvent basées sur des procédures algorithmiques) pourrait permettre de pallier ces difficultés et ces disparités.

Les risques et limites liés au développement de la justice prédictive : le juge pourrait perdre sa liberté d’appréciation !

Toutefois, l’utilisation croissante de la justice prédictive n’est pas sans risque.

Il existe un risque de diminution de la liberté d’appréciation du juge, ce dernier pouvant se sentir contraint de suivre les solutions proposées par l’intelligence artificielle. Ce risque prescriptif, qui est intrinsèquement lié au risque d’uniformisation et au risque performatif, met en péril l’office du juge qui, comme l’a rappelé Mattias Guyomar, Président de la dixième chambre de la Section du contentieux du Conseil d’Etat, n’est pas d’infirmer ou confirmer une solution type, majoritaire, mais bien de procéder à un arbitrage entre les intérêts des différentes parties.

Par ailleurs, l’utilisation de la justice prédictive limite les possibilités de revirement, et  fait naître un véritable risque de cristallisation de la jurisprudence. Jean-Claude Marin a ainsi affirmé que cette justice future était paradoxalement éminemment conservatrice, puisqu’elle se fonde sur des données et des décisions passées.

D’après Soraya Amrani-Mekki, Professeure à l’Université Paris-Ouest Nanterre La Défense, la justice prédictive n’est pas encore totalement opérationnelle, et les algorithmes ne sont pas infaillibles. Plusieurs intervenants, notamment Arnaud de Chaisemartin, Avocat au Conseil d’Etat et à la Cour de cassation, ont fait état des résultats décevants de l’utilisation du logiciel Predictice, à titre expérimental, au sein des Cours d’appel de Rennes et Douai.

D’autres risques doivent également être pris en compte. Mattias Guyomar a mis en garde contre le risque de « profilage » des juges en cas d’absence d’anonymisation de leur nom. Par ailleurs, les algorithmes sont loin d’être neutres, comme l’indique Jean-Marc Sauvé, Vice-Président du Conseil d’Etat. Ils ont tendance à reproduire, renforcer, et créer de nouveaux biais sociaux,  par exemple dans le calcul des risques de récidives de prévenus.

Les « conditions d’emploi » pour une utilisation optimale de la justice prédictive, qui ne doit constituer qu’une aide et ne pas se substituer au juge !

En raison de ces limites et risques, de nombreux intervenants se sont accordés sur la nécessité d’organiser, de réguler et de réglementer l’utilisation de la justice prédictive, par l’autorité judiciaire et les services publics, afin qu’elle soit utilisée à bonne escient.

Le Directeur ELS IT-Lab des Editions Lefebvre-Sarrut, Dominique Péré, a insisté sur l’importance pour les autorités judicaires de garder et contrôler les données de jurisprudence utilisées au service de la justice prédictive. Cette gestion centralisée pourrait être assurée par les juridictions suprêmes de chaque ordre juridique. Comme l’a souligné Antoine Louvaris, Professeur à l’Université Paris-Dauphine, il faudra veiller à conserver une hiérarchisation des jurisprudences en fonction des formations de jugement.

Enfin, plusieurs orateurs se sont prononcés en faveur de la mise en place d’un feedback organisé, éventuellement par le biais d’une commission de contrôle, pour faire évoluer au mieux l’utilisation de la justice prédictive.

Ainsi, le recours à la justice prédictive se révèle très prometteur pour l’évolution à venir du droit et des métiers du droit. Toutefois, Yves Gaudemet a parfaitement rappelé que la justice prédictive ne pouvait être qu’une aide à la justice, et n’avait pas vocation à se substituer aux juges ou aux auxiliaires de justice.

En définitive, il ressort de ce colloque que la justice prédictive est un phénomène inéluctable qu’il ne s’agit pas d’endiguer, mais plutôt d’accompagner, en restant très vigilant, comme l’a indiqué Renaud Salomon, Avocat Général à la Cour de cassation. LZ

[1] Rapport sur « L’open data des décisions de justice » remis à la ministre de la Justice le 9 janvier 2018 par Loïc Cadiet, professeur à l’École de droit de la Sorbonne.