Dommages et intérêts en cas de cryptotrojan / cheval de Troie de cryptage / ransomware
Réclamation de dommages et intérêts
En règle générale, un prestataire de services informatiques externe est chargé d'effectuer les sauvegardes. Mais comme les sauvegardes ne sont, dans le meilleur des cas, jamais nécessaires, ce n'est souvent qu'en cas de sinistre que l'on s'aperçoit que les sauvegardes ne sont pas accessibles, qu'elles sont incomplètes ou qu'elles sont obsolètes. Il en résulte alors un dommage généralement considérable. Ce dommage consiste généralement en
en dépenses personnelles pour la reconstruction des données,
en frais de prestataires de services externes pour la reconstruction des données,
en un manque à gagner, car les données manquent à des fins de facturation ou de fourniture de prestations,
une perte d'image, car les données doivent être redemandées aux clients,
en dommages et intérêts à payer à des tiers parce que les propres prestations ne peuvent pas être fournies ou ne peuvent pas l'être dans les délais.
Pour faire valoir les dommages et intérêts, tout dépend de l'accord conclu avec le prestataire de services informatiques. Dans la pratique, il arrive souvent qu'il n'y ait pas d'accord écrit ou que, si un accord écrit existe, il soit très sommaire. Cependant, il est parfois possible de déduire les accords applicables à partir de l'échange d'e-mails ou de lettres. Sur la base de ces informations, il convient de déterminer à qui incombaient quelles prestations de sauvegarde, dans quelle mesure les obligations ont été violées et, par conséquent, dans quelle mesure il est possible de réclamer des dommages et intérêts, tant sur le fond que sur le montant.
Souvent, la question d'une faute partagée se pose. Cela peut être le cas, par exemple, si le système n'était pas sécurisé selon l'état de la technique ou si une pièce jointe "douteuse" a été ouverte et que le cryptotrojan a ainsi pu pénétrer dans le système.
Souvent se pose en outre le problème du chiffrage exact du propre dommage. Par exemple, comment chiffrer le préjudice d'image susmentionné, quel montant peut-on estimer pour ses propres dépenses et quels étaient les frais raisonnables d'un tiers pour la reconstitution ?
Déclaration précoce à l'assurance
S'il existe une assurance, il convient de déterminer à très court terme si le sinistre doit être déclaré. Cela vaut pour la propre assurance ainsi que pour l'assurance du prestataire de services informatiques éventuellement responsable (de sorte qu'un recours n'échoue pas en cas d'insolvabilité du prestataire de services informatiques). En effet, de nombreuses assurances prévoient un délai de forclusion dans lequel les sinistres doivent être déclarés.
Mise à jour (15.01.2019) : Si l'on peut soupçonner l'action d'un État tiers derrière l'utilisation d'un cheval de Troie, il existe un risque que l'assurance refuse un remboursement pour "action assimilable à une guerre". Les conditions générales d'assurance contiennent souvent des exclusions de responsabilité en cas d'"actions assimilables à la guerre". C'est ce qui s'est passé dans le cas du cheval de Troie "NotPetya".
Devoirs et obligations de déclaration
A court terme, il peut être nécessaire d'agir sur un tout autre front. Il peut en effet y avoir des obligations de déclaration contractuelles et légales à respecter. A cet égard, il convient de respecter les lois spécifiques à chaque domaine. Celui qui est par exemple un exploitant d'infrastructures critiques selon la loi sur la sécurité informatique (plus précisément : la BSIG) doit respecter les obligations de notification suivantes. L'obligation de notification existe en cas de perturbations importantes de la disponibilité, de l'intégrité, de l'authenticité et de la confidentialité des systèmes informatiques ou d'autres infrastructures critiques. Un exploitant d'infrastructure critique n'est toutefois considéré comme tel que dans le cas d'une activité dans certains secteurs et seulement si certains seuils sont atteints.
Mais le droit de la protection des données prévoit également, de manière générale, des obligations de notification et de communication immédiates à l'autorité de contrôle et à la personne concernée. L'article 33 du RGPD prévoit même un délai de 72 heures seulement. Conformément à l'article 34 du RGPD, il peut en outre y avoir une obligation de notification aux personnes concernées en cas de "risque élevé". Les articles 33 f. RGPD s'appliquent plus généralement en cas de "violation de la protection des données à caractère personnel".
Dans le droit des télémédias également, les prestataires de services peuvent être soumis à une obligation d'information en vertu de l'article 15a de la loi sur les télémédias (TMG) en cas d'obtention illégale de données d'inventaire et d'utilisation.
S'il s'agit d'un cryptotrojan qui ne fait que crypter des données et ne les transmet pas à des tiers, les conditions de l'obligation de notification peuvent toutefois faire défaut.
Outre les obligations légales de déclaration, il convient également de vérifier les accords contractuels. Par exemple, un accord de confidentialité (NDA) peut entraîner une obligation d'informer le partenaire contractuel. Même les contrats qui ne prévoient pas expressément d'obligation de notification peuvent donner lieu à une obligation de notification, par exemple lorsqu'il est à craindre que des tiers aient obtenu des données d'accès (par exemple des données de cartes de crédit) qui pourraient être utilisées pour causer des dommages à des tiers. Dans ce cas également, il convient toutefois de vérifier avec discernement si de tels dommages sont à prévoir. Pour ce faire, il convient de déterminer quel cryptotrojan est effectivement présent et si, outre le simple cryptage, une transmission de données a pu avoir lieu.
Mise à jour (2018) : Adaptations en raison du passage de l'ancienne BDSG au RGPD.