• Partager
• Partager
• Partager
• Imprimer

Données de santé et cyber-risque : les centres de santé au cœur d’un défi assurantiel majeur

Dans quelle mesure la cyberassurance peut-elle constituer un outil de gestion du risque cyber dans les établissements de santé, malgré ses limites structurelles ?

Par Léa PAULUS,
Étudiante Master 2 Master 2 Droit bancaire et fintech, Université Côte d’Azur
Membre de l’Association Niçoise des Étudiants Juristes d’Affaires (ANEJA)
et membre de l’AFJE06
Publication proposée dans le cadre du Master 2 Droit Bancaire et Fintech à l’Université Nice Côte d’Azur - Cycle " Droit des assurances approfondi, thème du risque cyber"

De récents incidents, tels que les cyberattaques d’hôpitaux publics en Normandie et dans les Hauts-de- France, témoignent de la fragilité des centres hospitaliers
face au risque cyber⁽¹⁾. Bien que leur traitement soit strictement encadré par le RGPD⁽²⁾, les données de santé demeurent la cible d’attaques malveillantes.
Concrètement, le ransomware, ou rançongiciel, consiste en une attaque visant à prendre le contrôle des actifs d’une cible contre rançon. Pour les établissements de santé, cela se traduit par des conséquences graves, telles que la fuite et la revente de données personnelles ; ainsi que par des conséquences sanitaires d’une particulière gravité : reports de chimiothérapies, annulation d’opérations chirurgicales, perturbation des soins, etc.⁽³⁾
Eu égard à ces enjeux, bien que les obligations légales et réglementaires constituent des garde-fous normatifs, leur l’application concrète se révèle largement insuffisante. Des actions en responsabilité fondées sur les dispositions de l’article 82 du RGPD émergent, bien que cela ne soit pas encore observé en France.⁽⁴⁾
Outre les recommandations de la CNIL en matière d’acculturation à la cybersécurité⁽⁵⁾, et le renforcement des mécanismes de cryptographie et d’authentification forte⁽⁶⁾ ; il est crucial d’adapter le marché de l’assurance cyber, lequel paraît opportun au regard de ces menaces.
Malgré une expansion soutenue, et bien qu’apparaissant comme un pilier essentiel de la résilience ; le marché de la cyberassurance représente moins de 1 % des primes mondiales d’assurance dommages. La couverture des établissements de santé demeure limitée, alors que la cyberassurance pourrait jouer un rôle central dans la sécurisation durable de ces infrastructures critiques⁽⁷⁾.
Face à ces constats, plusieurs mesures ont été engagées par les pouvoirs publics. Au niveau européen, la directive NIS 2 vise à renforcer la cybersécurité, mais sa transposition en droit français est encore en cours. Au niveau national, la Haute Autorité de Santé intègre désormais des critères de cybersécurité dans la certification des établissements de santé⁽⁸⁾.

Mais, quid de l’assurabilité en tant que telle ?

La dépendance croissante des sociétés modernes aux infrastructures numériques a élargi la surface d’attaque et intensifié la fréquence et la gravité des cyberattaques ; révélant les limites des seules mesures techniques et organisationnelles de cybersécurité, faisant de la cyberassurance un complément nécessaire à la gestion des risques.
Néanmoins, plusieurs obstacles structurels entravent l’assurabilité de ce risque. D’une part, le caractère transnational du cyberespace complique la détermination des responsabilités. D’autre part, l’absence de données historiques fiables rend difficile le calcul des coûts indirects et des pertes réelles, ce qui complique la modélisation actuarielle et la tarification des primes. Cette incertitude se traduit par une majoration significative des primes et à des exclusions importantes, freinant l’adoption de polices d’assurance⁽⁹⁾. Le principal écueil réside dans la prédominance de modèles de fréquence, souvent simplificateurs ; et dans la faiblesse des modèles de coût fondés sur des données empiriques⁽¹⁰⁾.
Au regard de l’absence de solutions assurantielles pérennes, il apparaît nécessaire d’envisager des dispositifs complémentaires. La Direction générale du Trésor recommande notamment de conditionner l’assurabilité des cyber-rançons au dépôt de plainte, afin de renforcer la lutte contre ces pratiques, tout en permettant l’indemnisation des victimes. Parallèlement, l’assurance paramétrique mérite également d’être envisagée, dans la mesure où elle repose sur le versement automatique d’une prestation préétablie.
Ce mécanisme s’inscrit, à ce titre, comme un outil incitatif à l’égard des assureurs en vue de la mise à jour de leurs couvertures. À plus long terme, le recours aux insurance- linked securities « ILS » - autrement dit, la titrisation de contrats d’assurance - pourrait également être développé⁽¹¹⁾.
Ainsi, la cyberassurance n’est pas une solution autonome, mais un outil complémentaire nécessaire, efficace uniquement si le marché évolue et si l’État accompagne la sécurisation des établissements de santé par des mesures techniques et juridiques.

Références

1 Autorités régionales de santé (ARS) de Normandie et des Hauts-de-France
2 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril
2016 (RGPD), art. 4, point 15, et art. 9 ; v. également CNIL, « Règlement
européen sur la protection des données »
3 European Union Agency For Cybersecurity - ENISA Threat Landscape
Health Sector – 5 juillet 2023
4 Jonas Knetsch, « Les actions civiles en réparation fondées sur une violation
du RGPD – Vers un nouveau contentieux de masse ? », La Semaine juridique
– Édition générale (JCP G), n° 38, 26 septembre 2022, doctr. 1062.
5 CNIL, Cybersécurité : les bonnes pratiques (plaquette), mars 2025
6 Konstantinos Lampropoulos et al., « White paper on cybersecurity in the
healthcare sector. The HEIR solution »,
7 Munich Re (Münchener Rück), « Cyber insurance : risks and trends 2025 »,
Munich Re – Insights, 2025
8 EUROSAI IT Working Group, « FRANCE : IT security in healthcare
establishments : a recent reinforcement that needs to be continued, in the face
of increasing cyberattacks », ITWG Newsletter 1/2025, 18 juin 2025
9 Tsohou, A., et al. Cyber insurance : state of the art, trends and future
directions. Int. J. Inf. Secur. 22, 737–748 (2023).
10Bardopoulos, James. 2025. “Cyber-Insurance Pricing Models.” British
Actuarial Journal
11 Rapport de la Direction générale du Trésor – « Le développement de
l’assurance du risque cyber » – 7 septembre 2022