Couverture des cyberincidents par les assurances responsabilité des administrateurs et des dirigeants
Les pertes annuelles liées aux cyberrisques à l’échelle mondiale devraient atteindre le chiffre astronomique de 6 billions de dollars d’ici la fin de 20211 et de 10,5 billions de dollars d’ici 2025; les entreprises nord-américaines restent les principales cibles de la cybercriminalité, et représentent à elles seules plus des deux tiers de tous les incidents à l’échelle mondiale et plus de la moitié de toutes les atteintes à la cybersécurité en 20192. Dans ce contexte, il est essentiel que les gestionnaires de risques aient une idée claire de la façon dont les contrats d’assurance responsabilité de leurs administrateurs et dirigeants s’appliquent en cas de cyberincident, notamment les limites potentielles de la couverture et en quoi celle-ci diffère de leur police d’assurance cyberresponsabilité.
Assurance responsabilité des administrateurs et des dirigeants et assurance cyberresponsabilité
Il existe des différences claires entre l’assurance cyberresponsabilité et les pertes liées à la cybercriminalité qui peuvent être couvertes au moyen d’une assurance responsabilité des administrateurs et des dirigeants. Les polices d’assurance cyberresponsabilité offrent une couverture de l’assuré et une couverture des tiers pour les pertes subies par une entreprise lors d’un cyberincident. Ces protections ne sont pas offertes en vertu d’une police d’assurance responsabilité des administrateurs et des dirigeants et peuvent comprendre :
- Certains coûts pour engager un avocat en cas de violation, qui aidera les entreprises à comprendre leurs obligations réglementaires et les étapes initiales à suivre pour corriger un incident
- L’embauche de professionnels judiciaires pour déterminer la portée de l’incident
- Certaines dépenses pour informer les parties prenantes que leurs renseignements ont été compromis
- Certaines dépenses pour la réparation des réseaux et des systèmes touchés par l’incident
- Les efforts de relations publiques pour gérer la réputation de l’entreprise
- Les autres coûts pour réparer une violation, atténuer la responsabilité et reprendre le cours normal des activités
- Certains frais de défense et dommages associés à des réclamations ou à des enquêtes intentées par des tiers ou des organismes de réglementation
- Certains coûts de surveillance du crédit
Une police d’assurance responsabilité des administrateurs et des dirigeants offre une couverture pour les coûts de la responsabilité civile engagés envers une personne ou une entité en raison de la responsabilité d’une entité, d’un administrateur ou d’un dirigeant. La couverture comprend généralement les frais de défense et les dommages-intérêts accordés, ou les montants du jugement ou du règlement à l’amiable.
En cas de cyberincident, les protections offertes aux administrateurs et aux dirigeants dépendront des exclusions de la police, qui diffèrent selon que la société est ouverte ou fermée. Certains assureurs ajoutent une exclusion liée au cyberrisque précise à la police d’assurance responsabilité des administrateurs et des dirigeants, et cette exclusion diffère selon qu’il s’agit d’entités ouvertes ou fermées. Les exclusions d’assurance responsabilité des administrateurs et des dirigeants liées à une violation de contrat ou à une violation délibérée d’une loi pourraient limiter ou exclure la couverture de cyberresponsabilité. Nonobstant toute exclusion précise liée à un cyberincident, en cas de cyberincident, l’exclusion relative aux dommages corporels ou matériels pourrait également avoir une incidence sur la couverture.
Le libellé de l’exclusion relative aux dommages corporels ou matériels peut parfois empêcher la couverture des réclamations relatives à un cyberincident découlant de dommages corporels ou matériels causés par une atteinte à la vie privée, qui est souvent une allégation clé dans les litiges liés à un cyberincident :
- Cela dépend de s’il comprend un libellé absolu (c.-à-d. un libellé général comme « fondé sur », « découlant de », « directement ou indirectement », « lié à »);
- Ou s’il exclut uniquement les réclamations « pour » atteinte à la vie privée.
Le libellé « pour » est préférable, car il exclura uniquement les réclamations qui allèguent directement une atteinte à la vie privée, mais permettra la couverture d’autres réclamations plus éloignées qui pourraient encore être liées d’une façon ou d’une autre à un incident d’atteinte à la vie privée ou découler de celui-ci.
Les actionnaires peuvent alléguer que les administrateurs et les dirigeants ont fait preuve de négligence en ne prenant pas suffisamment de précautions pour prévenir l’incident ou pour atténuer les dommages à la réputation de l’entreprise après l’incident. Si l’exclusion liée aux dommages matériels et corporels de la police d’assurance responsabilité des administrateurs et des dirigeants exclut la couverture des réclamations découlant d’une atteinte à la vie privée, mais ne contient pas de libellé absolu, il est probable que les administrateurs et les dirigeants individuels seront couverts pour ce type de réclamation émanant des actionnaires.
Toutefois, l’exclusion des dommages matériels et corporels pourrait être problématique pour les administrateurs et les dirigeants de sociétés ouvertes comme fermées s’ils font l’objet d’une poursuite intentée par des personnes touchées par un cyberincident qui cherchent à obtenir des dommages-intérêts pour une atteinte à la vie privée. Bien que cette action constitue généralement une exposition pour l’entité commerciale, les demandeurs individuels pourraient tenter de tenir les administrateurs et les dirigeants responsables de l’incident, en particulier lorsqu’une société ou une organisation est insolvable. Un assureur pourrait soutenir que cela tombe sous le coup de l’exclusion liée aux dommages matériels et corporels s’il inclut l’atteinte à la vie privée comme cause interdite de dommages corporels ou matériels. En fin de compte, la couverture offerte en vertu d’une police d’assurance responsabilité des administrateurs et des dirigeants pour les administrateurs et les dirigeants individuels dépendra des allégations précises de la poursuite.
Couverture liée aux cyberincidents dans l’assurance responsabilité des administrateurs et des dirigeants : autres considérations relatives aux sociétés ouvertes
Pour une société ouverte, la couverture de l’entité en vertu de sa police d’assurance responsabilité des administrateurs et des dirigeants est généralement limitée aux pertes découlant de réclamations liées aux valeurs mobilières. Par conséquent, une personne morale pourrait être couverte contre des poursuites intentées contre elle en vertu de sa police d’assurance responsabilité des administrateurs et des dirigeants lorsqu’un cyberincident donne lieu à une poursuite de l’actionnaire. La police peut également couvrir les réclamations déposées contre les administrateurs et les dirigeants de la société pour des actes répréhensibles liés à une mauvaise gestion, à une divulgation inappropriée ou à un manquement à l’obligation fiduciaire en lien avec un cyberincident. Toutefois, la police d’assurance responsabilité des administrateurs et des dirigeants ne s’appliquera probablement pas en cas de poursuite d’une société ouverte par des personnes cherchant à obtenir des dommages-intérêts parce qu’elles ont été touchées par un cyberincident. Comme pour toutes les réclamations relatives à une assurance responsabilité des administrateurs et des dirigeants, la couverture dépendra des allégations précises et des limites de la couverture applicable, comme les amendes et pénalités à l’exclusion des pertes, la responsabilité contractuelle ou les exclusions pour violation volontaire.
Les administrateurs et les dirigeants de sociétés ouvertes ont le devoir de comprendre les ramifications de la cybersécurité sur leurs activités et d’établir de façon proactive des procédures d’atténuation des risques et des lignes directrices internes en matière de divulgation propres aux besoins uniques de leur entreprise en matière de cybersécurité. Aux États-Unis, les lignes directrices sur la cybersécurité de la Securities and Exchange Commission indiquent que cette question retient de plus en plus l’attention et que toutes les entreprises doivent être prêtes. De plus, les litiges résultant des circonstances représentent un risque important pour la direction de l’entreprise. Les cyberincidents et les incidents liés à la cybersécurité sont un terrain particulièrement fertile pour la nouvelle vague de recours collectifs en valeurs mobilières découlant de réclamations pour mauvaise gestion d’entreprise, dont certains en réponse à des atteintes à la sécurité des données et à des violations de la vie privée.
Si une société ouverte est victime d’un cyberincident, ses administrateurs et dirigeants pourraient faire l’objet de poursuites de la part des actionnaires si l’incident entraîne une baisse du cours de l’action de la société. Dans un exemple de litige découlant d’une atteinte à la cybersécurité, le recours collectif en valeurs mobilières vise à obtenir des dommages-intérêts pour des violations alléguées des lois fédérales sur les valeurs mobilières, alléguant que, tout au long de la période du recours collectif, l’entreprise a fait des déclarations fausses et/ou trompeuses à des égards importants et/ou a omis de divulguer que les renseignements personnels de ses utilisateurs finaux avaient été compromis.
Selon d’autres allégations, l’entreprise aurait notamment dissimulé activement cette atteinte à la protection des données pendant plusieurs mois, enfreignant ainsi ses prétendues politiques en matière de sécurité et de confidentialité des données. La plainte soutient ensuite que la découverte de l’acte répréhensible pourrait vraisemblablement soumettre l’entreprise à un examen réglementaire plus rigoureux et que les déclarations publiques antérieures étaient fausses et trompeuses à des égards importants. À la suite d’un article d’un grand média révélant des données privées de centaines de milliers d’utilisateurs, le cours de l’action de l’entreprise a chuté.
Les assureurs responsables des assurances responsabilité des administrateurs et des dirigeants des sociétés ouvertes cherchent de plus en plus à obtenir des renseignements supplémentaires sur la gouvernance de l’entreprise en matière de cybersécurité, sur les plans d’intervention en cas de cyberincident, sur la surveillance des fournisseurs tiers impliquant les données de la société et sur l’assurance cyberrisques souscrite.
Couverture liée aux cyberincidents dans l’assurance responsabilité des administrateurs et des dirigeants : autres considérations relatives aux sociétés fermées
Les polices d’assurance responsabilité des administrateurs et des dirigeants des sociétés fermées sont généralement plus larges que celles offertes aux sociétés ouvertes, car la couverture de l’organisation ne se limite pas aux réclamations en valeurs mobilières, et les polices couvrent les réclamations déposées par les clients, les fournisseurs, les organismes de réglementation, les détenteurs de titres et d’autres tiers. Bien qu’elles soient moins courantes que les entités publiques, si une société fermée avec des actionnaires est victime d’un cyberincident, les administrateurs et les dirigeants de la société pourraient également faire l’objet de poursuites de la part des parties prenantes ou des organismes de réglementation, en plus de poursuites contre l’organisation. De plus, tout comme pour les sociétés ouvertes, les administrateurs et les dirigeants peuvent être poursuivis pour mauvaise gestion, manquement à l’obligation fiduciaire ou responsabilité découlant d’actes répréhensibles liés à un cyberincident.
Compte tenu de l’étendue de la couverture offerte par les polices d’assurance responsabilité des administrateurs et des dirigeants des sociétés fermées, les assureurs cherchent de plus en plus à exclure la couverture des réclamations liées aux cyberincidents. Ces exclusions varieront, bien sûr, et devraient être limitées à l’organisation seulement, à l’exception des poursuites en valeurs mobilières, y compris les poursuites dérivées, intentées par un actionnaire de l’organisation contre les administrateurs, les dirigeants et/ou d’autres actionnaires de l’organisation, en cas de défaillance de la direction.
Couverture pour les enquêtes ou procédures réglementaires
Lorsqu’une société fait l’objet d’une enquête ou d’une vérification par le commissaire à la protection de la vie privée (Canada) ou d’une enquête réglementaire aux États-Unis relativement à un cyberincident, une police d’assurance responsabilité des administrateurs et des dirigeants assortie d’une couverture en cas d’enquêtes réglementaires pourrait couvrir les administrateurs et les dirigeants individuels, pourvu qu’ils agissent à ce titre, pour les frais de défense découlant de l’enquête, en plus de couvrir la société, qu’elle soit ouverte ou fermée.
Toutefois, une police d’assurance responsabilité des administrateurs et des dirigeants ne couvrira pas les coûts engagés par les individus ou les sociétés pour se conformer à toute ordonnance du commissaire à la protection de la vie privée les obligeant à prendre des mesures pour assurer le respect des lois canadiennes sur la protection de la vie privée.
Une société ouverte ne sera pas couverte en vertu de la police d’assurance responsabilité des administrateurs et des dirigeants en cas de procédure intentée par le commissaire à la protection de la vie privée ou par un organisme gouvernemental intéressé, car cela ne tombera pas sous le coup de la couverture offerte pour les poursuites en valeurs mobilières. Les polices d’assurance responsabilité des administrateurs et des dirigeants des sociétés fermées peuvent répondre aux réclamations déposées par les organismes de réglementation contre l’entité, mais d’autres limites de la police, comme il a été mentionné précédemment, peuvent s’appliquer, notamment l’exclusion liée au cyberrisque de l’entité (le cas échéant) et les amendes et pénalités exclues dans le cadre des pertes.
La couverture offerte en vertu de la police d’assurance responsabilité des administrateurs et des dirigeants pour une procédure impliquant des administrateurs et des dirigeants individuels ou une société fermée dépendra des allégations. S’il est allégué que des personnes assurées ou une société fermée ont violé la loi, la police d’assurance responsabilité des administrateurs et des dirigeants pourrait couvrir les frais de défense, ainsi que les dommages-intérêts ou les montants du règlement. Toutefois, s’il est allégué que les assurés sont coupables d’une violation délibérée des lois sur la protection de la vie privée, une police d’assurance responsabilité des administrateurs et des dirigeants peut prévoir une couverture des frais de défense jusqu’à ce qu’une décision définitive et exécutoire soit rendue. Tout règlement accordé ou jugement rendu ne serait probablement pas couvert. Si une action est intentée au nom de personnes qui ont subi des dommages en raison d’un incident lié à la protection des renseignements personnels, la couverture disponible pourrait être touchée par l’exclusion relative aux dommages corporels et matériels (comme il a été mentionné ci-dessus).
Élaborer un programme de cyberassurance complet avec assurance responsabilité des administrateurs et des dirigeants et assurance cyberresponsabilité
Au fil des ans, la couverture des assurances responsabilité des administrateurs et des dirigeants s’est élargie; toutefois, la cybercouverture offerte en vertu d’une assurance responsabilité des administrateurs et des dirigeants sera probablement limitée, au mieux. La police d’assurance responsabilité des administrateurs et des dirigeants ne comprend pas la couverture de l’assuré, et ne se veut pas être la police d’assurance principale destinée à traiter les réclamations en responsabilité intentées par les tiers touchés ou les organismes de réglementation qui enquêtent sur des violations potentielles des lois sur la protection de la vie privée.
Les couvertures pour les pertes d’exploitation, les experts judiciaires, les frais de notification et les relations publiques offertes dans le cadre d’une police d’assurance cyberresponsabilité sont essentielles pour les entreprises exposées aux cyberrisques. Un cyberincident n’entraîne pas de litige dans tous les cas, cependant, une entreprise peut s’attendre à devoir débourser une somme considérable pour atténuer un cyberincident et reprendre ses activités.
Alors que les entreprises et les organisations dépendent de plus en plus de la technologie, les cyberincidents continuent de se multiplier. Les organismes de réglementation, les parties prenantes et les actionnaires se manifestent en cas de cyberincident qui porte atteinte à la réputation, aux affaires et aux finances de l’entreprise. Un élément clé de l’atténuation des risques comprend l’examen attentif des modalités de la police d’assurance responsabilité des administrateurs et des dirigeants et l’achat d’une police d’assurance cyberrisques. La police d’assurance cyberrisques offre généralement une couverture plus complète aux individus et aux sociétés (tant ouvertes que fermées) en cas de cyberincident, notamment des coûts engagés par l’assuré qui ne sont pas couverts en vertu d’une police d’assurance responsabilité des administrateurs et des dirigeants. Elle permet également de préserver les limites de la police d’assurance responsabilité des administrateurs et des dirigeants pour répondre aux réclamations sans lien avec la cyberresponsabilité.
***
Les descriptions, résumés et renseignements sur la couverture sont fournis à titre informatif seulement et ne modifient pas les modalités réelles d’une police d’assurance. La couverture est régie uniquement par les modalités de la police pertinente.
1 Top 5 Cybersecurity Facts, Figures, Predictions, and Statistics for 2020 to 2021, Cybercrime Magazine
2 https://enterprise.verizon.com/resources/reports/dbir/2020/data-breaches-by-region/north-america/