Contrats informatiques et risques cyber : négocier le plafond de responsabilité, c’est bien, vérifier l’assurance du prestataire, c’est mieux.

Dans les contrats d’intégration ou de développement informatique, le client porte généralement son attention sur la couverture des risques liés aux incidents informatiques graves, comme le vol ou le blocage des données, ou les interruptions de service prolongées.

Dans ces contrats, la clause de plafond de responsabilité destinée à couvrir ces risques graves fait le plus souvent l’objet d’une négociation. Le client veut couvrir le mieux possibles les risques, qui peuvent être considérables. Par exemple, si le système de paiement d’une chaine de magasin est bloqué pendant plusieurs jours, l’enjeu va être la survie même de l’entreprise.  Le prestataire, de son côté, veut limiter sa responsabilité par rapport au coût facturé des prestations. C’est ici qu’intervient l’assurance cyber, qui en principe couvre le montant du risque en cas de sinistre.  Mais depuis deux ans, la multiplication des sinistres, notamment avec les piratages donnant lieu à demandes de rançons, a amené les assurances à augmenter considérablement les primes, et à réduire les plafonds couverts. Les prestataires sont donc pris entre deux feux : des clients qui négocient des plafonds de responsabilité élevés, et des assurances qui baissent les plafonds assurés.

Le prestataire peut donc être amené à signer un plafond de responsabilité mal couvert par son assurance. Pour le client, ce plafond devient virtuel dès lors qu’il n’est pas couvert par l’assurance ou par la capacité financière propre du prestataire.

Notre conseil : lors de la négociation de votre contrat informatique, il est donc essentiel de vérifier la cohérence entre le plafond de responsabilité, le montant assuré et la capacité financière globale de votre prestataire. Nous pouvons vous assister lors de cette négociation.