Dans le transport maritime de marchandise la livraison s’effectue contre l’échange d’un document : le connaissement. Avec la dématérialisation les compagnies maritimes livrent la marchandise en échange d’un code PIN. toutefois, cette pratique rencontre des problèmes liés au cyber-attaque. Or, s’assurer contre le risque cybercriminalité requiert d’évaluer le montant potentiel des sinistres à couvrir. Dès lors l’assurabilité de ce risque se pose dans le contexte de l’assurance maritime.

Les assurances occupent une place importante dans les ventes maritimes [1], elles sont au centre des activités maritimes et dominent particulièrement le transport de marchandise. Il n’est pas possible qu’un navire prenne la mer sans assurance et il n’existe quasiment pas de chargeur qui ne prend pas la précaution d’assurer sa marchandise avant embarquement.

En cas d’avarie aux marchandises par exemple, l’armateur n’est plus en première ligne mais l’assureur qui l’a déjà indemnisé. Par l’action subrogatoire, il fera valoir les droits de son assuré pour récupérer les montants déjà avancés [2]. Si le contrat d’assurance n’est pas propre au commerce maritime, on y retrouve son origine, c’est pour dire que l’assurance à longtemps existé dans le monde du transport maritime [3].

D’une manière classique, L’assurance peut être définie comme étant « une convention par laquelle, en contrepartie d’une prime, l’assureur s’engage à garantir le souscripteur en cas de réalisation d’un risque prévu au contrat » [4]. Techniquement, elle est définie d’après une formule célèbre, comme « la compensation des effets du hasard sur le patrimoine de l’homme par la mutualité organisée suivant les lois de la statistique ».

Aujourd’hui, le développement du commerce électronique et la disparition progressive du recours au connaissement papier font émerger d’autres formes de livraisons de la marchandise telle que la livraison par code Pin. Mais la position de la jurisprudence ne joue pas pour le moment en faveur de cette pratique ou le document papier est remplacé par des données informatiques(I). Ce qui fait que les assureurs maritimes ne désirent pas ou du moins sont réticents à assurer ce nouveau risque lié aux cyber-attaque (II). Et pourtant, il est possible de prendre en charge ce nouveau risque lié à la dématérialisation du connaissement (III).

I. La position de la jurisprudence face à la livraison de la marchandise en échange d’un code pin.

Sur le plan juridique, la livraison de la marchandise par échange de code Pin au lieu du connaissement n’est pas encore bien défini. L’affaire MSC Mediterranean Shipping Company S.A. and Glencore International AG [5] a soulevé des questions qui remettent en cause l’assurabilité du connaissement dématérialisé.

En effet, l’affaire précité démontre que la dématérialisation du connaissement n’échappe pas aux hackers. Dans cet arrêt le juge anglais devait examiner le moment auquel la livraison effective avait eu lieu et si un système électronique de codes PIN pouvait ou non remplacer suffisamment le connaissement maritime, documents qui sous tendait le contrat de transport de marchandises [6].

Les faits : entre janvier 2011 et juin 2012, Glencore International AG a effectué 69 expéditions de marchandises, qui ont été transportées par Mediterranean Shipping Company SA (MSC), à Anvers. Cette affaire concernait le 70ème envoi, composé de trois conteneurs de fret. Glencore était le titulaire du connaissement et le propriétaire de la cargaison. Les 69 envois ont tous été effectués en vertu des connaissements dont les conditions étaient sensiblement similaires. Toutes les factures permettaient d’échanger les bons de livraison au lieu des marchandises lors de la remise des connaissements.

Pour rappel, le port exploitait un système de libération électronique (ERS) qui a été introduit au début de l’année 2011. Dans le cadre de ce système, les transporteurs ont fourni, contre les connaissements, des codes PIN générés par ordinateur qui ont été envoyés dans une « note de sortie » par courriel aux récepteurs concernés et le terminal portuaire. Il s’agissait plutôt de bons de livraison ou de bons de mainlevée qui seraient présentés au terminal pour prendre livraison des marchandises. Le système n’était pas obligatoire et n’a pas été adopté par tous les transporteurs utilisant le port.

Steinweg NV avait été l’agent de Glencore au port et la partie notifiée dans les connaissements pour chacune des 69 expéditions précédentes et avait à chaque fois utilisé avec succès un code PIN pour prendre livraison des marchandises du MSC Terminal.

Position du problème : à leur arrivée à Anvers, les conteneurs ont été déchargés et des codes PIN ont été envoyés à Steinweg. Cependant, lors d’une tentative de collecte des conteneurs, il a été découvert que deux d’entre eux avaient déjà été collectés par des « personnes non autorisées ». Glencore a déposé une réclamation contre MSC réclamant des dommages-intérêts pour rupture de contrat, au motif que, comme expressément stipulé dans le connaissement, MSC aurait dû livrer la cargaison contre un connaissement, ils n’auraient pas dû livrer contre présentation d’un code PIN. Le juge Andrew Smith a rendu un jugement en faveur de Glencore, MSC a alors interjeté appel devant la Cour d’appel pour cinq motifs. Toutefois, pour des raisons tenant au sujet de l’article nous n’aborderons pas tous les motifs soulevés devant la cour. Nous nous intéresserons uniquement au motif tiré d’un éventuel piratage du système informatique de Steinweg.

En effet, MSC avait fait valoir que le piratage qui avait probablement permis aux voleurs d’obtenir les codes PIN était dû à des faiblesses dans l’infrastructure informatique de Steinweg et non dans le système de MSC et que Glencore aurait dû rechercher tout document y faisant référence au cours du processus de divulgation. Cet argument de causalité est rejeté par la cour au motif que la manière dont les voleurs pouvaient avoir accès aux codes était la cybercriminalité.

Ce qu’il faut retenir dans cette affaire est que ce risque juridique et informatique ne joue pas en faveur de l’assurabilité du document électronique. Tout compte fait, cet arrêt de la royal court met en exergue les difficultés liées à la dématérialisation du connaissement maritime.

En effet, lorsqu’il est nécessaire d’échanger plusieurs documents entre opérateurs économiques d’activités différentes, la question de l’identité du partenaire se pose.

Or, le maillage des informations autour d’échange de documents complexes est parfois nécessaire. Pour convaincre les assureur, l’adoption du connaissement électronique exigera une grande sécurité dans le système informatique pour parer à toute éventuelle intrusion d’un usurpateur d’identité.

C’est parfois l’importance de l’activité et une longue relation d’affaire qui éclairent sur l’utilité ou non de partager des informations via Internet. Les assureurs maritimes préfèrent prendre en charge et couvrir les risques qu’ils maîtrisent que ceux qu’ils ne maîtrisent pas. Dans tous les cas, il importe de garder à l’esprit que c’est l’échange du document dématérialisé qui est au centre du processus d’assurance. La cybercriminalité abîme la confiance à la dématérialisation. Mais il n’en demeure pas moins que la crainte des assureurs d’assurer le connaissement électronique ou encore un code pin, s’accentue du fait de l’existence du phénomène d’usurpation d’identité comme dans l’affaire Glencor dont le code Pin a été détourné.

II. Le risque lié à la dématérialisation du connaissement.

Le risque est un événement qui peut survenir dans le futur de manière aléatoire. Il constitue une cause d’insécurité en raison des conséquences qu’il peut entrainer s’il se réalise. Or le risque lié à la cybercriminalité est un phénomène réel et difficile à maitriser. La preuve en est que la majorité des grandes entreprises subissent sans cesse les attaques de leur système informatique par les hackers de l’internet. Ces attaques permanentes coutent chère à ces entreprises qui sont obligées de dépenser des sommes énormes pour sécuriser leur système informatique.

L’autre risque est lié à l’usurpation d’identité. Elle résulte de l’introduction frauduleuse de données dans un système informatique, en exploitant la faille de sécurité du programme dans le but d’en modifier son comportement. Mais, ce qui est constant, c’est que, dans certains cas, il est difficile d’identifier l’auteur de l’infraction. D’ailleurs, il existe peu de décisions judiciaires condamnant ces pratiques. La victime se heurte souvent à des difficultés majeures comme l’identification des auteurs de l’escroquerie, rendue difficile par des procédés d’anonymisation sur internet mais aussi à des difficultés de localisation des auteurs de l’infraction.

D’ailleurs, c’est surtout le faux site qui induit, le plus souvent, en erreur les opérateurs à qui l’on soutire certaines informations. Mais pour un professionnel cela ne devrait pas se produire du fait de l’obligation de diligence qui pèse sur lui.

Ainsi, le cyber-escroc usurpe l’identité d’un tiers, généralement une entreprise (banque, opérateur téléphonique, une compagnie maritime) ou une administration, en communiquant via un faux courrier électronique et/ou via un site web contrefait. L’escroc reproduit alors les identifiants visuels et graphiques du site, en vue d’obtenir de la part du chargeur par exemple, des informations personnelles et sur la marchandise (description de la marchandise, port de chargement, port de déchargement). Ces informations sont ensuite utilisées pour falsifier le connaissement et effectuer des opérations sous l’identité du destinataire (réclamation de la marchandise et émettre éventuellement des réserves).

Mais, le renforcement de la sécurité dans les échanges de données informatiques s’est affirmé depuis la Loi du 5 janvier 1988, relative à la fraude informatique, dite "loi Godfrain". Cette dernière vise à assurer la sécurité des systèmes d’information.

Au sens de la décision du Conseil de l’Europe du 31 mars 1992, qui affirmait que la sécurité des systèmes d’information est reconnue comme une qualité partout nécessaire dans une société moderne. Le délit d’usurpation d’identité sur Internet est désormais prévu et puni par la loi. La première condamnation sur le fondement de l’usurpation d’identité numérique a été prononcée par le Tribunal de grande instance de Paris le 18 décembre 2014, dans une affaire concernant la création d’un faux site web.

Malgré ces efforts législatives et jurisprudentiels, les assureurs sont mitigés quant à la prise en charge d’un connaissement dématérialisé et don la livraison se fait par la remise d’un code.

Ce risque pourtant prévisible dépasse souvent les frontières ce qui complique l’action subrogatoire des assureurs. En effet la poursuite de ces infractions est souvent complexe voire impossible.

En facilitant l’échange de document, Internet favorise la commission d’infractions et apparaît comme le vecteur d’une nouvelle forme de délinquance contre laquelle l’application du droit pénal se heurte à la difficulté d’identifier les auteurs, eu égard à cette dimension internationale. La protection des échanges de documents via Internet exige de détecter les agissements illicites et de réprimer efficacement leurs auteurs. Mais, lorsqu’il est possible de remonter jusqu’à l’auteur, celui-ci se trouve souvent en dehors du territoire ou l’infraction est subie, rendant les poursuites difficiles et la procédure coûteuse.

Dans ce contexte la question de l’assurabilité du connaissement électronique se pose surtout quand la livraison se fait par un code Pin. Mais le risque de détournement du connaissement électronique suffit pour souscrire une assurance. Toutefois, on devra établir le rapport entre l’indemnité d’assurance et la valeur du connaissement.

III. L’assurabilité du connaissement dématérialisé.

Dans le domaine des échanges commerciaux, la valeur d’un bien est déterminée à partir de son prix de revient. Pour ce qui est de l’assurance,

« l’assureur vend un produit dont il ne connait pas le prix de revient puisqu’il ne peut déterminer à l’avance l’existence et le montant des sinistres à venir. La cotisation doit néanmoins être perçue d’avance et non à terme échu, parce que l’assureur doit percevoir le prix du risque dès que l’assuré s’y trouve exposé, le sinistre n’étant que sa réalisation ».

Si par le passé l’idée que l’assurance est un contrat d’indemnité avait conduit à considérer comme nulles l’assurance du fret ainsi que l’assurance de la valeur des marchandises à leur port d’arrivée, sous prétexte qu’en pareil cas l’assurance aurait non pas indemnisé des pertes, mais compensé la disparition de l’espoir d’un gain, ce qui, à l’époque était interdit [7]. Aujourd’hui cette contrainte est révolue dans la mesure où « tout intérêt légitime y compris le profit espéré, peut faire l’objet d’une assurance.

Or, Nul ne peut réclamer le bénéfice d’une assurance s’il n’a pas éprouvé un préjudice » [8].

On remarque, à travers ce texte, l’élément essentiel de l’assurance : il suffit tout simplement d’avoir un intérêt légitime à l’assurance d’un bien. Le connaissement étant un titre de propriété en ce qu’il représente réellement la marchandise car on dit souvent celui qui possède le connaissement original possède la marchandise et peut se faire livrer la marchandise en présentant le connaissement au transporteur.

Dès lors l’assurance couvre le préjudice issu de la disparition du connaissement et non de la disparition de la marchandise. Il faut comprendre par la que le destinataire doit présenter le connaissement pour être livré ; sans ce document ou le code pin, il ne sera pas livré.

S’assurer contre le risque cyber requiert tout d’abord d’évaluer le montant potentiel des sinistres à couvrir. "L’assurance ne doit pas remplacer une bonne sécurité informatique, il faut prendre en compte le transfert du risque" [9]. Dans le transport maritime, le risque est transféré de l’armateur au destinataire via l’échange de donnée dès l’instant que le document se trouve dans le système informatique du destinataire.

Mais, avec la dématérialisation et l’échange de code pin pour la livraison des marchandises, le destinataire est exposé au risque de perdre non seulement le connaissement électronique en cas de cyber-attaque mais aussi la marchandise parce qu’il ne sera pas livré. Il risque aussi de perdre le gain sur la vente de la marchandise.

En effet, si les données représentant le connaissement sont perdues, le destinataire perd le justificatif lui permettant de se faire livrer la marchandise.

Comme nous l’avons évoqué un peu plus haut, la valeur assurable du connaissement est déterminable dans la mesure où c’est le titre représentatif des marchandises. Ces dernières y sont énumérées en quantité et en poids. Même si le prix n’y figure pas, on peu toujours se référer à la facture établie par le contrat de vente. De ce point de vue, les assureurs pourront établir la prime d’assurance. Toutefois, la sinistralité, liée au développement des cyber-attaque requiert une forte vigilance de la part des compagnies maritimes et des chargeurs qui utilisent les codes pin pour la livraison des marchandises.

La prise en charge des risques liés à la cybercriminalité demeure possible. En effet, comme nous l’avons souligné un peu plus haut, l’infraction est punie par la loi. Et les assureurs pourront toujours obtenir réparation.

De ce point de vue, si l’on parvient à sécuriser le site internet et par conséquent les échanges de données, on peut admettre l’assurance du connaissement dématérialisé.

Dans la mesure où on peut déterminer la valeur du connaissement pour en fixer la prime.

Albert Dione Docteur en droit Avocat au Barreau de Paris