Qu'ont prévu les pouvoirs publics concernant le dédommagement des victimes de cyberattaque ?

Bonjour,

Dans le cadre de recrudescence des cyberattaques contre des sites de banques et d'assurance, vous souhaitez savoir si les pouvoirs publics ont évalué l'hypothèse où les montants de dédommagement seraient inférieurs aux montants effectivement soustraits aux clients.

S'il y a régulièrement en France des cyberattaques visant les banques et plus largement les services financiers en France, elles touchent surtout l’accès aux services et les données, beaucoup plus rarement directement « l’argent » des particuliers. Il est donc beaucoup plus question d'indemnisations pour vol de données ou perturbations de service.

La Tribune du mercredi 31 décembre 2025 titrait récemment "Vague de cyberattaque : les clients français peuvent-ils réclamer une indemnisation ?" La France a récemment été sous le feu des hackers, avec une attaque par déni de service pour le Poste, ou encore des fuites de données massives pour France Travail. Dans le cas français, aucun dédommagement des clients n'est prévu, alors que le géant coréen de l’e-commerce Coupang va verser 1,17 milliard de dollars à ses clients pour une fuite des données. Les citoyens français disposent de quelques armes (comme la possibilité de faire appel à une association agréé pour introduire des actions en justice) qui sont rarement utilisées. Un nouveau texte attendu pour début 2026 devrait renforcer la responsabilité pénale des dirigeants :

En France, les citoyens disposent de quelques armes pour se retourner contre l’entreprise, mais elles sont rarement dégainées. « Le juridique est encore souvent le parent pauvre de la gestion de crise cyber. Le RGPD, par exemple, prévoit la possibilité pour les citoyens de faire appel à une association agréée pour introduire des actions en justice visant à obtenir des indemnisations », rappelle l’avocat. Le problème ? « Peu d’actions sont menées. »

La CNIL, autorité française de protection des données, reste la tête de proue de la sanction avec des amendes administratives qui peuvent grimper à plusieurs millions d’euros. L’opérateur Free pourrait, par exemple, écoper d’une sanction de 48 millions d’euros suite au piratage massif survenu à l’automne dernier, selon les informations de La Lettre. L’autorité peut également sanctionner les sous-traitants. « Cela a été le cas pour le prestataire de laboratoires dans l’est de la France, condamné par la CNIL et au civil pour ne pas avoir respecté ses engagements contractuels »,explique Stéphane Astier.

Au-delà de l’administratif, la responsabilité pénale des dirigeants peut être engagée. « Le dirigeant peut répondre de ses actes notamment dans sa représentation du conseil d’administration », précise l’avocat. Il cite un cas où une sanction pénale et militaire a été prononcée après la fuite d’un trombinoscope de jeunes femmes servant sur le porte-avions Charles-de-Gaulle. [...]

Un nouveau texte pourrait changer la donne. La directive européenne NIS2, dont la transposition en France est attendue pour début 2026, prévoit une obligation de formation et une possible responsabilité pénale, avec des sanctions allant jusqu’à l’interdiction d’exercer des mandats sociaux. « C’est un levier fort. Demain, la mise en cause personnelle des dirigeants changera la donne », insiste Stéphane Astier.

La transposition de NIS2 élargit son périmètre à plus de 15 000 acteurs de secteurs critiques : énergie, transports, santé, télécommunications, finance. Ces organisations devront renforcer leur cybersécurité et déclarer des incidents auprès de l’Anssi, l’agence chargée des alertes cyber en France. Les sanctions financières peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial.

Source : "Vague de cyberattaque : les clients français peuvent-ils réclamer une indemnisation ?" (La tribune, 31 décembre 2025) < texte à lire en intégralité avec Europresse>

Faut-il avoir peur pour l'argent des épargnants ?

Pour des pertes d'avoirs consécutives à une cyberattaque, la loi impose un remboursement intégral de l’opération non autorisée, sans plafond, dès lors qu’il ne s’agit pas d’une négligence grave du client. Ce sont les articles L.133‑18 et suivants du Code monétaire et financier. En effet, aux termes de cet article : « En cas d'opération de paiement non autorisée signalée par l'utilisateur dans les conditions prévues à l'article L. 133-24, le prestataire de services de paiement du payeur rembourse au payeur le montant de l'opération non autorisée immédiatement après avoir pris connaissance de l'opération ou après en avoir été informé, et en tout état de cause au plus tard à la fin du premier jour ouvrable suivant, sauf s'il a de bonnes raisons de soupçonner une fraude de l'utilisateur du service de paiement et s'il communique ces raisons par écrit à la Banque de France. Le cas échéant, le prestataire de services de paiement du payeur rétablit le compte débité dans l'état où il se serait trouvé si l'opération de paiement non autorisée n'avait pas eu lieu ».

Les scénarios dans lesquels l'argent disparaît sans recours restent extrêmement rares grâce aux mécanismes de protection du système bancaire français quand les banques sont défaillantes :

Le Fonds de garantie des dépôts et de résolution (FGDR), créé en 1999, assure une protection des dépôts jusqu'à 100 000 euros par client et par établissement. Les sommes placées sur livret A, LDDS ou LEP bénéficient quant à elles d'une garantie de l'État. En cas de fraude avérée, la banque dispose de 24 heures pour procéder au remboursement, sauf si elle démontre une négligence grave du client.

Le risque le plus fréquent pour l’argent des Français vient plutôt des arnaques basées sur des fuites ou vols de données. En effet, les cybercriminels ciblent les données (coordonnées, IBAN, identifiants…), souvent via des prestataires ou des services en ligne, ce qui sert ensuite à monter des arnaques bancaires (phishing, faux conseillers, faux virements, etc.). Une part non négligente des Français a déjà été la cible de ce type de fraude, et une minorité a effectivement perdu de l’argent à cause d’arnaques bancaires.

Selon la Fédération bancaire française 54% des Français disent avoir déjà subi une tentative d'arnaque par le passé, et un Français sur dix a déjà perdu de l'argent à cause d'une arnaque aux données bancaires. Ces arnaques sont multiples : faux support informatique, hameçonnage, faux virement... et faux conseiller bancaire.

"Ils vont vous appeler avec le numéro de votre banque qui va s'afficher", prévient Denis Feuilloley, le président d'UFC-Que-Choisir à Brest. Ils affirment appeler de la part de votre conseiller. Ils connaissent le nom de votre conseiller, met-il en garde : c'est ainsi qu'ils vous mettent en confiance avant de vous demander vos codes d'accès. Le faux conseiller peut demander d'effectuer un virement pour annuler une prétendue opération frauduleuse ...

Source : Océane Ouest France, 2 janvier 2026

C'est ainsi que la revue le 01net titrait le 6 janvier 2026 Cyberattaques en France : les dernières fuites de données et entreprises touchées :

Parfois, des coordonnées bancaires sont aussi récupérées par les pirates. C’était le cas lors du piratage de Free avec des millions d’IBAN qui se sont retrouvés dans la nature. Une fois dérobées, les données sont généralement revendues sur des marchés noirs. Bien souvent, c’est sur BreachForums, une plateforme très fréquentée par les cybercriminels en quête d’informations, que les enchères sont ouvertes. Une fois achetées, les données peuvent servir à orchestrer d’autres offensives, comme des attaques phishing personnalisées ou des tentatives d’usurpation d’identité. [...]

Pour cerner les causes des cyberattaques, vous pouvez lire ces articles Web :

Pourquoi la France est submergée par les cyberattaques ? (01net, 16 mars 2024)

Monoculture numérique et cyberattaques : le cocktail dangereux (24matins, 1 janvier 2026)

D'autres pistes bibliographiques pourront vous intéresser :

Panorama de la cybermenace 2024 ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information) : sections sur les attaques à but lucratif, les rançongiciels et les infrastructures financières, avec bibliographie en fin de document.

Banque de France – pages sur la « surveillance du risque cyber » dans les systèmes de paiement et infrastructures de marché.

Code de la cybersécurité 2026, Dalloz

Et des livres issus de nos collections : 

Droit bancaire [Livre] / Philippe Neau-Leduc,... Ariane Périn-Dureau,...2024

Droit des assurances [Livre] : cours intégral et synthétique + tableaux et schémas / Juliette Mel, 2024

Les fondamentaux de la cybersécurité [Livre] / Giuliano Ippoliti, 2025

Comprendre la cybersécurité / Sylvain Guilley, Jean Ginestière, Patrick Lejoly, 2025

Cybersécurité : analyser les risques, mettre en œuvre les solutions / Solange Ghernaouti, 2025

Bien à vous et meilleurs voeux 2026
​