Les amendes de la Gdpr peuvent-elles être assurées ?

Durbin a déclaré que si une entreprise s’inquiète d’être assurée contre les pénalités GDPR, suivre les mesures de sécurité raisonnables de l’assureur peut aider à montrer que des mesures raisonnables ont été prises. Le montant et la couverture suffisante de la cybersécurité devraient être réévalués s’il est nécessaire de couvrir une pénalité GDPR élevée, a-t-il déclaré. [Sources : 13,19]

Le risque réglementaire ne se limite pas aux amendes et pénalités et ne doit pas nécessairement être lié à une violation de données. L’évaluation de la couverture disponible pour les amendes GDPR est importante pour garantir que la politique de cyber-risque s’applique également aux enquêtes et actions réglementaires. La police doit être utilisée dans le cadre de la politique de gestion des risques de l’entreprise en cas de violation de données et doit contenir une exclusion détaillée de la responsabilité et des avantages de la protection de la responsabilité de l’assureur. En matière d’assurance, une cyberpolice contiendra des exclusions détaillées des prestations de responsabilité des assureurs. [Sources : 20,17,13,8]

En général, une police d’assurance cyber-risque exclut la couverture des amendes et des pénalités, limite la couverture aux amendes ou aux pénalités qui peuvent être assurées par la loi, et fixe des limites minimales pour les paiements. Par conséquent, il existe des polices d’assurance pénale dans le monde entier, qui sont toutes spécifiquement conçues pour empêcher l’enregistrement et l’application de ces dispositions en cas de violation de données ou d’autres mesures réglementaires, si possible. Sources : 20,4]

Si les amendes et les sanctions doivent avoir un effet dissuasif ou dissuasif, l’ordre public peut être mis à mal si les auteurs des infractions peuvent simplement s’assurer contre le paiement des amendes. Le GDPR exige que les amendes soient une assurance sans dommages, mais cela porte atteinte à l’ordre public d’imposer des amendes si elles ont un effet dissuasif. [Sources : 11,10]

Un avantage possible du GDPR – la cyberassurance – est que les amendes potentiellement très importantes infligées aux entreprises en vertu de la législation peuvent être récupérées par le biais de polices d’assurance. Cependant, la disponibilité d’une telle couverture d’assurance est limitée, bien qu’il y ait certainement quelques exceptions, notamment à la lumière du GDPR. [Sources : 16,9]

Par conséquent, le message adressé aux participants au marché de l’assurance à l’heure actuelle est de ne pas supposer que toutes les amendes et pénalités sont couvertes par les contrats d’assurance du droit anglais. Le point de départ est que de nombreuses lois et polices d’assurance anglaises indiquent qu’elles assureront les amendes ou les pénalités si elles sont assurées par la loi ou dans une police. [Sources : 6,6]

Alors que certaines polices d’assurance cybernétique excluent explicitement la protection contre les amendes et les pénalités, d’autres offrent une protection en cas de cyberattaque. Alors que certaines cyber-assurances excluent explicitement la protection contre les amendes ou les pénalités, d’autres n’offrent aucune protection. Alors que certains assureurs excluent explicitement la protection contre les amendes et les pénalités, d’autres n’offrent aucune protection. [Sources : 11,1]

Dans la mesure où la loi le permet et l’autorise, un grand nombre de fournisseurs d’assurance proposent des produits d’assurance pour couvrir les amendes GDPR dans l’Union européenne. Sources : 5]

La grande majorité des cyberpolices fourniront une couverture, et les organisations basées dans les pays de l’UE peuvent généralement obtenir une police qui inclut à la fois les amendes assurées et les pénalités pour les amendes imposées en vertu du Règlement général sur la protection des données de l’UE (GDPR) et d’autres lois de l’UE. Les entreprises peuvent également bénéficier d’aller à l’étranger pour ces polices, car certains pays, comme les Bermudes, autorisent largement l’assurance contre les amendes ou les pénalités. Sources : 20,3,15]

Actuellement, la plupart des assureurs qui proposent des polices pour les administrateurs et les dirigeants dans le domaine de la cyber-responsabilité confirment que les pénalités de l’ICO sont assurables, sauf décision contraire d’un tribunal. Les assurés doivent vérifier si leur police cyber est suffisamment couverte pour répondre aux amendes potentiellement énormes prévues par le GDPR et si elles peuvent être équitablement exclues. Le succès du marché de la cyber assurance dépendra de la capacité des assureurs à avoir une compréhension claire des risques qui devraient être inclus dans la cyber assurance. Même si les pénalités et les amendes du GDPR ne sont pas des assurances, l’assurance de la protection des données et de la sécurité des réseaux sera toujours un élément crucial de la gestion des risques d’une organisation. [Sources : 0,8,14,7]

Cette semaine, une porte-parole du Bureau du commissaire à l’information du Royaume-Uni a refusé de commenter la question de savoir si les amendes pouvaient être couvertes par une assurance, déclarant à un journaliste de Law360 :  » Il n’y a rien dans le GDPR qui permette ou interdise l’assurance des amendes « . Il n’indique pas explicitement que les pénalités du GDPR sont assurables, mais il suggère que l’assurance contre les amendes passe à côté du sujet. [Sources : 12,8]

Sources :

• [0] : https://www.dandodiary.com/2018/11/articles/cyber-liability/gdpr-fines-penalties-insurable/
• 2] : https://www.itgovernanceusa.com/blog/cyber-insurance-is-booming-but-it-wont-protect-you-from-gdpr-fines
• [3] : https://www.marsh.com/in/insights/research/insurability-of-gdpr-fines-and-penalties.html
• [4] : http://jmplaw.co.zw/gdpr-fines-and-penalties-insurance
• [5] : https://sog.rs/2020/06/15/preparing-for-the-worst-hoping-for-the-best-can-you-insure-your-business-for-gdpr-fines/
• [6] : https://www.natlawreview.com/article/can-english-law-insurance-policies-cover-fines-imposed-under-gdpr
• [7] : https://yutree.com/can-you-insure-against-gdpr-fines/
• [8] : https://www.dentons.com/en/insights/alerts/2019/october/16/cyber-insurance-what-is-it-good-for
• [9] : https://www.ifsecglobal.com/cyber-security/two-years-on-from-gdpr-has-it-driven-growth-in-cyber-security-insurance/
• [11] : https://www.expertguides.com/articles/are-gdpr-fines-insurable-in-ireland/areqllun
• [12] : https://www.womblebonddickinson.com/us/insights/alerts/your-cyber-insurance-policy-may-not-cover-gdpr-fines-and-liabilities
• [13] : https://news.bloomberglaw.com/business-and-practice/dont-look-for-insurance-to-cover-new-eu-privacy-fines
• [14] : https://www.jonesday.com/en/insights/2018/11/gdprs-potential-fines-and-other-exposures-raise-cy
• [15] : https://www.michelmores.com/news-views/news/insurability-gdpr-fines
• [16] : http://www.incegd.com/en/news-insights/cybersecurity-are-fines-and-penalties-relating-breach-data-privacy-regulations-insurable-review-uk
• [17] : https://www.techriskreport.com/2019/04/beyond-gdpr-insurance-coverage-for-emerging-cybersecurity-and-privacy-regulatory-exposure/
• [18] : https://techgenix.com/cyber-insurance-guide/
• [19] : https://www.cnbc.com/2019/07/10/gdpr-fines-vs-marriott-british-air-are-a-warning-for-google-facebook.html
• [20] : https://www.lowenstein.com/news-insights/publications/articles/gdpr-fines-how-can-you-be-sure-you-re-insured-michael-barrese

• LinkedIn
• Twitter