La Cyber Insurance Provider Coalition a annoncé une nouvelle police qui couvre explicitement les amendes et les coûts encourus pour les violations du Règlement général sur la protection des données (RGPD) de l’Union européenne. Le règlement général sur la protection des données (RGPD) stipule que vous devez examiner certaines sanctions liées au RGPD au sein de l’Union européenne (UE), notamment les amendes liées au RGPD. [Sources : 2,0,18,13]
Les autorités européennes de protection des données ont imposé 340 amendes GDPR, dont 158 euros ont été émis en mai 2018. Bien que le rapport de l’EDPB ne précise pas combien d’amendes ont été infligées, et qu’il utilise les 91 amendes décrites dans l’enquête de DLA Piper publiée en février et retire Google en tant que valeur aberrante, nous calculons que la pénalité GDPR moyenne à laquelle une entreprise est confrontée est d’environ 66 000 euros. Depuis son introduction en mai 2018, les amendes infligées par l’Autorité européenne de protection des données (EPDB) ont augmenté de 340 % et celles infligées par les autorités de contrôle ont diminué. [Sources : 15,15,18]
Découvrez nos solutions sans obligation d’achat
Bien que l’on s’interroge sur l’assurabilité des amendes et pénalités liées au GDPR, il est important de noter que les politiques de confidentialité et de sécurité bien conçues, telles que celles en place au Royaume-Uni, incluent une couverture d’assurance pour les amendes et la protection contre les cyberattaques. En outre, on considère que l’assurance contre les amendes interfère avec l’efficacité des règles si la menace d’amende est couverte par l’assurance et qu’elle est contraire à l’ordre public, car la couverture des amendes peut porter atteinte à l’objectif préventif des amendes. Toutefois, à l’exception de la question de savoir si les amendes peuvent être assurées, il n’existe pas de jugements ou de décisions de justice traitant de cette question, à l’exception de la cyberpolitique, qui prévoit explicitement la couverture des amendes réglementaires (par exemple, la cyberpolitique de l’Autorité européenne de protection des données (EPDB)). Sources : 14,1,8,8]
Si ces risques peuvent en principe être assurés dans le cadre d’une cyberassurance, ces polices n’excluent pas les amendes qui ne sont pas couvertes par la loi. Il n’est pas clair si les amendes GDPR sont couvertes par la cyber assurance, mais cette police est conçue pour aider à se protéger contre les amendes et les cyber attaques en cas de violation de la vie privée ou de la sécurité. Sources : 10,3]
Nous recommandons aux assurés de vérifier leur assurance responsabilité civile sur Internet et de vérifier dans quelle mesure les amendes et pénalités sont couvertes par le droit assurable et si elles sont expressément exclues. Si les amendes GDPR sont couvertes par la cyberassurance, nous ne pouvons pas l’affirmer avec certitude car il s’agit d’un cas test qui doit encore faire l’objet d’une enquête. Sources : 7,3]
Une porte-parole de l’Information Commissioner’s Office du Royaume-Uni a refusé de commenter cette semaine la question de savoir si les amendes pouvaient être couvertes par une assurance, et a réprimandé un journaliste de Law360 pour avoir posé la question, en disant que rien dans le GDPR n’autorisait ou n’interdisait la couverture des amendes par une assurance. Donc le message aux acteurs du marché de l’assurance en ce moment est de ne pas supposer que les polices d’assurance en droit anglais couvrent les amendes et les pénalités. Notre point de départ est que beaucoup d’entre eux disent qu’ils souscriraient une assurance contre les amendes ou les pénalités s’ils étaient assurés en vertu de la loi de la police. [Sources : 17,17,16]
Il existe donc un moyen un peu plus efficace de savoir comment les amendes GDPR sont calculées, comment elles peuvent être évitées et quelles sont les options disponibles. Denham a poursuivi en disant qu’il était « alarmiste » de suggérer que les premiers exemples d’infractions mineures passaient ou que la peine maximale deviendrait la norme, mais l’émission d’amendes GDPR est loin d’être une priorité pour l’Information Commissioner’s Office. Sources : 5,11]
La question pertinente est donc de savoir dans quelle mesure ces sanctions sont légalement assurables et si elles sont effectivement couvertes par une cyberassurance. Si la question de l’assurabilité peut varier en fonction du droit en vigueur, il est probable que dans de nombreuses juridictions, les amendes et pénalités liées au GDPR ne seraient pas « assurables. » [Sources : 12,1]
Pour autant que nous le sachions, il existe très peu de juridictions en Europe qui permettent d’assurer les amendes GDPR. Dans 20 à 30 pays, dont le Royaume-Uni, la France, l’Espagne et l’Italie, les pénalités RP ne seraient pas assurables en vertu de la loi actuelle. Sources : 16,4]
Il semble également que les entreprises basées au Royaume-Uni auront peu d’assurance pour atténuer l’impact financier direct d’une amende GDPR. Sources : 9]
Au Royaume-Uni, il est clair que la FCA interdit l’utilisation d’amendes par les régulateurs ou les autorités pour une conduite criminelle ou quasi-criminelle. Les régulateurs et les autorités sont autorisés à infliger des amendes pour un comportement « criminel » ou « quasi-criminel », mais dans le cas des amendes GDPR, l’indemnisation versée par un assureur annulerait l’effet dissuasif de l’amende. Les politiques publiques contre les amendes sapent l’argument selon lequel les amendes sont dissuasives et exigent qu’elles puissent être compensées par une assurance, ce qui nuit à leur efficacité en tant que moyen de dissuasion contre les activités criminelles. Aux États-Unis, il n’existe pas de politique publique contre les amendes pour des crimes tels que la fraude et la violation du devoir fiduciaire. Sources : 4, 17, 6, 7].
Sources :
- [0] : https://livewellpremiergardens.com/cqj93go/8cd1b7-gdpr-fines-ireland
- 1] : https://www.dandodiary.com/2018/11/articles/cyber-liability/gdpr-fines-penalties-insurable/
- [2] : https://www.darkreading.com/insurer-offers-gdpr-specific-coverage-for-smbs/d/d-id/1333928
- [3] : https://www.abcmoney.co.uk/2021/03/10/what-to-look-for-in-cyber-insurance-coverage/
- [4] : http://www.incegd.com/en/news-insights/cybersecurity-are-fines-and-penalties-relating-breach-data-privacy-regulations-insurable-review-uk
- [5] : https://www.nichollslaw.co.uk/gdpr-fines-bankrupt-honest-companies/
- [6] : https://www.internationallawoffice.com/Newsletters/Insurance/Ireland/Matheson/Are-GDPR-fines-insurable-in-Ireland
- [7] : https://www.matheson.com/insights/detail/The-Insurability-of-gdpr-fines
- [8] : https://www.mondaq.com/uk/data-protection/777660/insurability-of-fines-and-penalties-for-breaches-of-the-gdpr-a-uk-and-german-perspective
- [9] : https://www.businessworld.ie/news/GDPR-fines-not-insurable-in-the-UK-570961.html
- [10] : https://www.dentons.com/en/insights/alerts/2019/october/16/cyber-insurance-what-is-it-good-for
- [11] : https://desouzapromocoes.com.br/new-delhi-xpv/ac9d71-gdpr-fines-explained
- [12] : https://verasafe.com/blog/does-my-insurance-cover-penalties-from-ccpa/
- [13] : https://cybersavvy.com/silver-prices-vommcu/6e6a24-gdpr-fines-ico
- [14] : https://www.fmglaw.com/FMGBlogLine/insurance/could-facebooks-5-billion-ftc-fine-for-privacy-violations-be-covered-by-cyber-insurance/
- [15] : https://plantcincinnati.com/8ucwdo/spain-gdpr-fines-f6a861
- [16] : https://www.jdsupra.com/legalnews/your-cyber-insurance-policy-may-not-60272/
- [17] : https://www.natlawreview.com/article/can-english-law-insurance-policies-cover-fines-imposed-under-gdpr
- 18] : https://www.riesethiopia.com/sxv6v4ut/6a238a-gdpr-fines-uk