En guerre et en paix : Couverture cyber et clauses d’exclusion de guerre

Face à l’escalade de la guerre en Ukraine, la majeure partie de l’Europe de l’Est craint que le conflit armé ne s’aggrave et ne déborde rapidement à travers leurs frontières.

Bien qu’une plus grande distance physique donne l’illusion d’une plus grande sécurité, il n’est en aucun cas exagéré d’affirmer que le monde entier craint les effets directs et indirects potentiels de cette guerre sur leur vie quotidienne.  De plus, les cyber-experts ont, à maintes reprises, lancé une alerte a l’effet que la plupart de nos institutions importantes n’étaient pas suffisamment préparées pour résister avec succès à toute forme de cyberattaque, et que ce serait une erreur de supposer que de telles attaques resteront limitées aux cibles ukrainiennes[1] alors qu’elles pourraient inclure des gouvernements étrangers et leurs services associés, des entreprises, des institutions bancaires et même des citoyens privés.

De plus, l’identité de l’ennemi derrière ces attaques potentielles est moins certaine que jamais : les auteurs sont-ils parrainés par des états-nations, des individus, des entités, des développeurs ou simplement des attaques de justiciers ? Si une telle attaque se produisait, un assureur serait-il en mesure de réussir à soulever une exclusion de guerre dans une police d’assurance contre les cyberrisques? La réponse est, comme toujours : cela dépend.

Une décision récente des États-Unis dans l’affaire Merck c. ACE American Insurance Company, et al. aborde cette question en détails; mais avant d’y répondre, nous devons considérer un bref historique de la clause d’exclusion de guerre. Les clauses d’exclusion de guerre sont incluses dans la plupart des polices d’assurance-biens et de responsabilité civile standards dans le monde entier. Une définition standard des « risques de guerre » qui se trouve dans une police d’assurance responsabilité civile générale des entreprises se lit comme suit :

Risques de guerre

« Blessures corporelles » ou « dommages matériels » dus à la guerre, à l’invasion, à l’acte d’un ennemi étranger, aux hostilités (que la guerre soit déclarée ou non), à la guerre civile, à la rébellion, à la révolution, à l’insurrection ou à la puissance militaire. [NOTRE TRADUCTION]

Ces clauses d’exclusion remontent au marché de l’assurance maritime qui traitait des « périls de la mer ». Tel que déclaré par une cour américaine: [2]

L’exclusion du risque de guerre vise à éliminer la responsabilité d’un assureur dans des circonstances où il est impossible d’évaluer les risques. La clause permet d’atteindre cet objectif en excluant la couverture des réclamations occasionnées par les risques particuliers de guerre. … Le risque inhérent au service militaire qui fait la guerre n’est pas envisagé dans les primes, qui sont fondées sur l’expérience des accidents et des décès chez les civils. [NOTRE TRADUCTION]

Au Canada, cette clause d’exclusion a été prise en compte dans des polices de responsabilité en matière de pollution[3] et des polices tous risques[4]. Dans ce dernier cas, le Club de Golf Oka inc. a fait une réclamation contre son assureur à la suite de ce qu’on appelle la « crise d’Oka » en 1990, durant laquelle des membres des Premières Nations ont érigé une barricade dans le secteur entourant le club de golf, empêchant les véhicules de circuler librement. On a demandé à l’armée canadienne d’intervenir après la mort d’un policier.  L’assureur a refusé la couverture et a affirmé qu’il s’agissait d’une « insurrection » qui était exclue en vertu de la police. Il ne faut pas oublier que la clause d’exclusion de la police en question énumère expressément, dans la même clause, « la guerre civile, l’invasion, les hostilités, la rébellion, la révolution et l’insurrection ». Après un examen détaillé des faits, la Cour d’Oka a conclu que l’exclusion soulevée était inapplicable en l’espèce. Plus précisément, il a été jugé que si l’assureur avait voulu exclure le risque d’un événement de perturbations majeures ou de crises graves, comme cela s’est produit à Oka en 1990, il aurait dû le prévoir et l’écrire expressément, clairement et sans ambiguïté. Ce n’était pas le cas et, à ce titre, la Cour a statué que le doute, l’ambiguïté et/ou l’incertitude devaient toujours être interprétés en faveur de l’assuré.

De même, une décision récente a également été rendue dans le contexte d’une police tous risques dans l’affaire Merck c. Ace à la suite d’une attaque de logiciels malveillants. En juin 2017, les ordinateurs de Merck ont été infectés par des logiciels malveillants qui ont affecté leurs ordinateurs dans de nombreux pays à travers le monde.  Le programme « Notpetya » a infecté 40 000 ordinateurs de Merck et a coûté au géant pharmaceutique 1,4 milliards de dollars en pertes. Merck avait souscrit une « police tous risques » qui offrait une couverture pour « les pertes ou dommages résultant de la destruction ou de la corruption de données et de logiciels informatiques ». L’assureur de Merck a tenté de faire valoir que l’attaque était un acte de guerre perpétré par la Fédération de Russie dans le cadre d’une offensive contre l’Ukraine. Merck a tenté de faire valoir qu’il ne s’agissait pas d’une action officielle de l’État, mais plutôt d’une forme de ransomware, et que même si l’attaque avait été incitée par la Russie pour nuire à l’Ukraine, l’exclusion ne s’appliquerait toujours pas.

Dans la décision Merck, la Cour a statué qu’il était à noter que la réclamation avait été faite en vertu d’une police « tous risques » qui « créait un type spécial d’assurance s’étendant aux risques qui n’étaient généralement pas envisagés, et l’indemnisation en vertu de la police sera généralement autorisée à moins que la police ne contienne une exclusion précise ». Après un examen approfondi de la jurisprudence sur les exclusions de guerre, la Cour a conclu « avec hésitation » que « l’exclusion ne s’applique pas ».  En arrivant à cette conclusion, la Cour a déclaré qu’aucun tribunal n’avait encore appliqué une exclusion de guerre ou d’actes hostiles à quoi que ce soit se rapprochant aux faits qui lui avaient été présentés. La preuve a démontré que le libellé utilisé dans ces polices est demeuré pratiquement inchangé pendant de nombreuses années. Il était également évident que les deux parties à ce contrat savaient que diverses formes de cyberattaques, quelle que soit la source, étaient devenues plus courantes. Malgré cette connaissance, l’assureur n’a rien fait pour changer le libellé de l’exclusion et pour aviser raisonnablement son assuré qu’il avait l’intention d’exclure les cyberattaques, et ce, malgré le fait qu’il avait eu l’occasion et la capacité de ce faire. Considérant ce qui précède, Merck avait tout à fait le droit de prévoir que l’exclusion ne s’appliquait qu’aux formes traditionnelles de guerre et la cour a conclu que l’exclusion ne s’appliquait pas aux faits présentés[5]. À notre connaissance, il n’y a pas de décisions semblables concernant les logiciels malveillants au Canada pour le moment.

Bien que la couverture cyber soit de plus en plus disponible sur le marché, les polices incluent souvent des exclusions limitant la couverture pour les dommages causés par la guerre et le terrorisme. Cela est problématique, car de telles exclusions pourraient être si larges que la couverture de la police d’assurance contre les cyberrisques deviendrait tellement dénaturée qu’elle pourrait être considérée par les assurés d’une utilité douteuse, surtout face au climat géopolitique actuel de plus en plus ancrée dans la technologie. De nombreuses solutions à ce problème sont à envisager, mais il est essentiel que les consommateurs soient conscients de l’ampleur et des limites de la couverture qu’ils achètent et que les assureurs mettent à jour le libellé de leur police pour refléter les véritables intentions des parties.

Ainsi, les assureurs devraient envisager d’abandonner le libellé traditionnel, rédigé avant l’essor de notre monde interconnecté et dépendant sur la technologie en vue d’adopter un libellé précis et axé sur la terminologie utilisée dans le domaine de la technologie, afin d’accroître la clarté de la couverture tout en fournissant des produits attrayants aux clients dans cet espace de marché émergent.

Par Mary Delli Quadri et Alexandra Kallos

 

[1] Glenn S. Gersell, I’ve dealt with Foreign Cyberattacks. America Isn’t Ready for What’s Coming, March 4, 2022

[2]  Diamond Shamrock Chemicals Co. v. Aetna Casualty & Surety Co., 609 A.2d 440 (N.J. Super. A.D. 1992), at pp. 472–3.

[3] Pilot Insurance Co. v. Tyre King Tyre Recycling Ltd (1992), 10 C.C.L.I. (2d) 264, [1992] I.L.R. ¶ 1-2851 (Ont. Ct. (Gen. Div.)).

[4] Club de Gold Oka inc., v. Continental Compagnie d’Assurance du Canada, (1996) R.J.Q. 993 (S.C.), affd (1990) J.Q. No. 2616 (C.A.), leave to appeal to the SCC refused April 20, 2000.

[5]  Merck & Co. Inc., and International Indemnity, LTD c. ACE American Insurance Company, et al., UNN-L-2682-18, p. 10-11