Le 1er septembre 2023 a marqué l’entrée en vigueur de la nouvelle loi suisse sur la protection des données (nLPD), qui vise à garantir la sécurité des données personnelles et sensibles des citoyens et citoyennes suisses. Cette législation a suscité des interrogations concernant les implications pour les entreprises et les risques associés lors du traitement de données pour le compte de tiers. Nos Loycomates, experts en gestion des risques, Grégoire Mottier et Lionel Ducommun, ont examiné cette question sous l’angle assurantiel et vous proposent ici un résumé.
La gestion des risques selon la norme ISO 31000
Dans le cadre de référence établi par la norme ISO 31000, le traitement des risques suit directement les phases d’identification – d’analyse – et d’évaluation des différents risques.
Les 5 étapes de traitement des risques selon ISO 31000
Notre enquête auprès de différentes compagnies d’assurance
Selon ISO 31000, « Le traitement des risques propose diverses stratégies, dont l’une consiste à transférer ou partager le risque résiduel à un assureur, moyennant une prime ». C’est dans ce contexte que nos deux experts ont réalisé une enquête auprès de différentes compagnies d’assurance afin de clarifier plusieurs points essentiels et déterminer:
- Si les assureurs vont, à court terme, modifier ou restreindre leur couverture « Responsabilité civile pour préjudices financiers » dans le cadre de demandes de dommages et intérêts fondées sur l’application de la nLPD (par exemple, en cas de fuite de données fautive).
- Si les assureurs vont être en mesure de couvrir (via une couverture Cyber ?) les amendes allant jusqu’à CHF 250’000.- applicables à une personne physique chargée de la protection des données, par exemple en cas de non-respect des exigences minimales en matière de sécurité des données. Il convient de noter que seule une action intentionnelle ou potentiellement intentionnelle entraînerait une telle sanction. Cependant, les dommages à la réputation de l’entreprise restent inchangés.
Position des assureurs contactés et conclusions de l’enquête
- Les conditions d’assurance pour la Responsabilité civile ne devraient pas subir de changements significatifs à court terme, que ce soit en termes de périmètre de couverture ou de primes. Cette stabilité s’explique par le fait que les conditions d’assurance faisaient déjà référence à la législation sur la protection des données avant l’entrée en vigueur de la nLPD. Les assureurs préfèrent donc visiblement observer les effets réels de cette nouvelle législation avant d’apporter des modifications à leurs produits.
- En règle générale, les amendes et les pénalités ne sont pas assurables.
Tout contrat d’assurance couvrant de telles indemnités serait considéré comme contraire aux bonnes mœurs et serait donc nul en vertu l’article 20 alinéa 2 du Code des obligations. Cependant, il faut noter que les conditions d’assurance pour la Responsabilité civile en cas d’atteinte à la personnalité suite à une violation de la législation peuvent varier considérablement d’une compagnie à l’autre. En particulier, la cause de l’événement assurable doit être examinée attentivement au cas par cas.
Que faire dans ce contexte?
Face à l’entrée en vigueur de la nLPD, la clé d’une gestion des risques efficace réside dans l’anticipation. Les organisations sont encouragées à:
- S’assurer de leur conformité et des attentes à la nLPD (ce qui devrait déjà être fait), y compris au niveau de leur sécurité informatique.
- Établir une liste des scénarios susceptibles de conduire à une violation de la nLPD pouvant entraîner des dommages et intérêts à des tiers.
- Faire un inventaire des couvertures d’assurance existantes (Responsabilité civile et/ou Cyber) et les examiner en fonction de chaque scénario.
- Le cas échéant, contacter leur assureur ou leur courtier pour clarifier et garantir toutes les réponses nécessaires.
En conclusion
La nLPD, bien qu’impliquant un travail supplémentaire pour toutes les organisations et créant quelques incertitudes, encourage les organisations à renforcer leur conformité et leur sécurité des données.
Pour plus d’informations sur la nLPD suisse, vous pouvez consulter la page officielle du gouvernement suisse ici ou contacter nos spécialistes pour un conseil ou accompagnement.