Catégorie : Non classé

L’actualité récente vient nous rappeler l’importance de ce risque dans les sciences de la vie :

Fin février 2021, le site spécialisé ZATAZ découvre que 491840 dossiers médicaux de patients (correspondant à des prélèvements effectués entre 2015 et 2020) circulent sur le « dark web ».

Le pirate aurait pénétré le logiciel possiblement périmé Mega-Bus, de l’éditeur Dedalus.

Les chances pour une PME d’être hackée, de subir un ransomware ou de devoir fermer son site marchand à cause d’un virus sont plus élevée que d’être victime d’un incendie !

Et pourtant, les garanties courantes des contrats sont plutôt « old school »…

Quels sont les risques encours ?

Le ransomware :

Une PME reçoit un mail anodin qui introduit un virus dans son système.

Le virus émet un message réclamant le paiement de 10 000 euros sous 24h sous peine de perte de données.

Déni de service :

Le site de vente de la PME est assailli de messages qui le rendent inaccessible.

Perte ou vol de données :

Le fichier-clients de l’entreprise est volé à distance.

Prise de contrôle du PABX :

Les pirates ont réussi à prendre le contrôle du standard téléphonique (PABX) de l’entreprise. Résultat : Pendant un week-end entier, émission d’appels vers un numéro surtaxé, entraînant une facture téléphonique de plusieurs milliers d’euros.

Malveillance d’un ex-employé :

Un ancien employé réalise une copie de l’ensemble des dossiers-clients d’un cabinet médical et menace de les diffuser.

Usurpation d’identité :

Un pirate a créé un site Internet au nom de l’entreprise et détourne ainsi des demandes adressées à ‘entreprise.

Dénigrement :

Une PME s’aperçoit qu’Internet est inondé de messages malveillants à son égard.

Quelles sont les précautions à prendre ?

            Filtrer ses connections entrantes, à l’aide d’un pare-feu

            Sécuriser les messageries (anti-phishing)

            Mise en place d’un anti-virus

            Mettre à jour régulièrement ses systèmes

            Réaliser de vraies sauvegardes régulières externes

  Les garanties offertes par les polices cyber :

Responsabilité civile :        Par exemple en cas de divulgation de données-client

Frais engagés :                    

Frais de notification aux tiers

Consultant informatique

Nettoyage du système

Restauration de l’image

Pertes subies :         Pertes d’exploitation

Conclusion : La fraude

La vraie fraude n’est pas toujours informatique (voir la « fraude au président ».

L’entreprise peut être victime d’une perte, d’une action malveillante sans lien avec ses systèmes.

Les meilleurs contrat cyber+fraude restent cependant onéreux…

Les biotech ont parfois du mal à trouver des contrats cyber :

-celles qui ne font pas encore de chiffre d’affaire ont tendance à déconcerter les assureurs

-ces mêmes assureurs sont très prudents devant, justement, les risques de perte ou de détournement de données à l’occasion notamment des essais cliniques (même si la biotech ne reçoit que des données anonymisées de la part de son fournisseur, le CRO).

La check-list du DAF de biotech ou medtech

 

Dangers du vivant, absence éventuelle de chiffre d’affaire, organisations légères : les assureurs n’aiment pas les entreprises des sciences de la vie ! Raison de plus pour bien s’organiser…

1 Quel type d’assurance Responsabilité Civile ?

La RC « médicale » d’une medtech ou d’une biotech doit être souscrite auprès d’une compagnie spécialisée, capable de prendre en compte les risques spécifiques du secteur (substances manipulés, travail en laboratoire, dispositifs en contact avec le corps humain…) :

Chubb, CNAHardy, HDI, QBE, AXAXL, Allianz AGCS,..

La RC Produit couvre les conséquences financières de la mise en marché d’un produit défectueux. Tant que la biotech n’est pas en essai de phase 3 ou en phase de commercialisation, elle peut probablement s’en passer et se limiter à une « RC Exploitation » bien moins onéreuse.

2 Sommes-nous prêts pour les assurances de nos essais cliniques ?

Obligatoires ou exigés par les comités d’éthique, ces assurances sont difficiles à construire, couteuses et variables selon les pays. Elles doivent suivre les évolutions du protocole.

Il est important de s’adresser à un courtier spécialisé, qui saura mobiliser des compagnies capables de proposer des solutions quel que soit le pays de test et fournir des attestations en quelques jours.

3 Nos locaux sont-ils correctement assurés ?

Assurer des locaux parait une chose banale. Pourtant, les biotech ou medtech partagent souvent une partie de leurs locaux (avec une université, dans un incubateur, …). Elles partagent parfois leur matériel ou utilisent celui d’autrui. Il convient de vérifier que l’assureur en est informé et le contrat adapté.

4 Nos matériels importants sont-ils assurés, et comment ?

Les matériels-clés (HPLC, microscope, …) valent très chers et sont précieux.

A fortiori s’ils sont en leasing, ils doivent être correctement assurés via un contrat appelé Bris de Machines (qui, de surcroit, les couvre pour des incidents fortuits appelés « bris internes »).

5 Avons-nous une garantie Cyber ?

Les virus et autres intrusions informatiques peuvent paralyser l’activité, lui faisant prendre du retard, et surtout occasionner des pertes de données de recherche, ou -pire- des fuites d’informations sensibles ou confidentielles. La biotech/medtech peut s’en prémunir à travers un contrat « Cyber ».

6 Comment assurer notre nouvelle filiale aux US ?

Financement, coordination d’essais, recherche, … : Très vite, les start-up sont tentées d’avoir un pied outre-Atlantique. L’assurance des locaux, des personnels mais surtout la RC américaine, ont un vocabulaire et une logique fort différents des contrats français. 

Les assureurs classiques sont d’ailleurs souvent incapables d’étendre leurs garanties aux USA. S’y rajoute l’obligation d’avoir un courtier local. Pourtant, des solutions existent, permettant d’avoir un contrat global plus sécurisant.

7 Quid des collaborateurs à l’étranger ou qui voyagent ?

Filiale, congrès, réunion, … : les cadres et chercheurs sont appelés à bouger.

Attention à les garantir sur 3 aspects :

-leur Responsabilité civile à l’étranger (incidents de tous ordres)

-leurs frais de santé (en cas de maladie ou accident dans un pays sans grande couverture sociale)

-leur rapatriement éventuel (en cas de maladie ou de problème familial)

8 Quelle prévoyance, quelle mutuelle ?

Dès le 1^er salarié, la medtech ou la biotech doit légalement proposer :

-une prévoyance collective (garanties en cas de décès, arrêt de travail, invalidité)

-une santé collective (remboursement des dépenses de santé)

 à tous ses salariés (et en s’interrogeant sur les nombreux cas particuliers : stagiaires longue durée, doctorants, personnels mis à disposition…).

Si l’entreprise dépend, ce qui est souvent le cas, de la Convention Collective de la Pharmacie (CCN 176), les garanties à respecter sont généreuses et difficiles à obtenir des compagnies traditionnelles.

9 Et pour le chef d’entreprise ?

Le patron de biotech/medtech est un personnage très exposé. Souvent à l’origine du projet, il l’anime et le porte devant de nombreux cercles. Il se donne sans compter.

Il devrait réfléchir à plusieurs outils d’assurances pensés pour lui :

-l’assurance perte d’emploi, si la belle aventure s’arrête et qu’il n’a pas cotisé à Pôle Emploi

-l’assurance emprunteur, s’il est amené à lever lui-même des fonds, en phase initiale

-l’assurance homme-clé, qui lui permet de financer un manager de transition s’il est victime d’un accident important même temporaire

-sa prévoyance personnelle, au bénéfice de sa famille

-une assurance D&O (Directors & Officers) dite encore RCMS (RC des Mandataires Sociaux) qui le couvre dans le cas (hélas fréquent) de mise en cause personnelle.

10 Comment rassurer les investisseurs ?

Ils mettent de l’argent dans l’entreprise, ils veulent vérifier qu’elle ne coulera pas en cas de sinistre ou de défaillance physique du CEO !

Les investisseurs vont notamment examiner si les plafonds de garantie des polices décrites plus haut au point 9 sont suffisants.

A fortiori, en cas d’introduction en bourse (Euronext, Nasdaq), ils voudront des polices robustes, avec des montants élevés, aux clauses adaptées, émanant de compagnies de premier rang, capables de les protéger quand ils sont administrateurs.

Conclusion :

Une start-up ne se résume pas à son pipeline et sa capacité à lever des fonds.

Une bonne gestion des assurances peut lui éviter des retards dans les essais cliniques, contribuer à la bonne opinion des bailleurs et à absorber de manière résiliente les inévitables imprévus.

En général créées à propos d’une maladie ou d’un syndrome, les associations de patients sont près de 14000 en France.

Parfois et même souvent créées (et gérées) à l’initiative soit du corps médical, soit de malades, de parents de malades vivants ou décédés, elles forment un tissu associatif vivant, avec de grandes associations et de plus petites, des fédérations, des associations nationales ou régionales.

Ces associations doivent être agréées par le Ministère de la Santé en vertu des lois du 4 mars 2002 et 9 août 2004.

Objectif des associations de patients :

Elles ambitionnent surtout d’apporter de l’information, de la formation, une assistance juridique, technique, financière à leurs membres.

Elles ont parfois une activité de lobbying importante.

Elles interviennent dans les établissements de santé (aide aux patients, accompagnement en soins palliatifs). 

Les bénévoles à l’hôpital sont d’ailleurs tenus d’adhérer à une association de bénévoles, elle-même soumise à assurance (cf Circulaire DHOS/SDE/E1 n° 2004-471 du 4 octobre 2004 et aussi plus bas).

Notamment quand elles ont été créées sous l’égide de médecins, et/ou quand elles sont soutenues par des entreprises pharmaceutiques, elles peuvent être à l’origine d’essais cliniques dans le domaine qui les intéressent.

Dans une évolution « à l’américaine », et grâce aux nouvelles dispositions des class actions à la française (La loi Hamon du 17 mars 2014), elles commencent à faire des demandes financières au nom de leurs membres (même si le bilan de la loi Hamon reste mince à ce jour).

Elles ont une action primordiale dans le cas de maladies rares pour :

            -fédérer des patients par nature isolés

 -mutualiser des demandes auprès des pouvoirs publics, des autorités de santé ou du corps médical

Moyens des associations de patients :

Comme toutes les associations 1901, elles reposent sur :

            -des cotisations

            -des subventions (publiques ou privées)

            -des dons, des legs

            -la valorisation de leur patrimoine éventuel

            -des ventes de boutique ou surtout des opérations exceptionnelles

Pour certaines, le financement des laboratoires est une part non négligeable (environ 40% pour de grandes associations). Et pour les laboratoires, les budgets correspondants sont significatifs.

Activité des associations :

Ces associations vont avoir des activités multiples :

-permanences téléphoniques

-activité éditoriale (fiches techniques ,..)

-réunions de patients

-sorties, évènements

Assurance des associations de patients

1 Assurance Responsabilité civile :

Comme toute association, comme toute personne morale, l’association se couvre contre des mises en cause pécuniaires. Ces mises en cause peuvent venir :

-de ses adhérents

-de ses bénévoles

-de ses bailleurs

-de l’administration

-de spectateurs (attention à déclarer le nombre et type d’évènements)

-du public en général

La jurisprudence a constamment aggravé la responsabilité des associations en retenant à leur encontre une présomption de responsabilité du fait des personnes dont elles répondent (membres et supporters, mineurs en difficultés, handicapés mentaux ,…).

2 Responsabilité Civile du dirigeant :

La responsabilité d’un dirigeant d’association –même bénévole- peut être engagée par son association, par le biais de ses membres, dès lors qu’il est possible de prouver une faute de gestion personnellement imputable au dirigeant.

La faute de gestion correspond à tout manquement à la législation et à la réglementation en vigueur ainsi qu’aux disposition statutaires de l’association.

Par ailleurs, tout acte accompli par le dirigeant en dehors de l’objet social de l’association ou représentant un dépassement de ses fonctions est susceptible de mettre en jeu sa responsabilité civile.

Le dirigeant (le président, surtout) sera mis en cause personnellement en cas de mauvaise gestion :

            -financière (cessation de paiement, problèmes fiscaux)

            -de ses assurances (absence de couverture)

            -de ses salariés

Le caractère « sensible » des associations de patients (malades, parents,..) doit inviter à s’assurer correctement en « RC des dirigeants ».

3 Protection des bénévoles :

En cas d’accident, et très étonnamment :

-les salariés de l’association sont correctement couverts (par le contrat collectif)

-les tiers (le public, les adhérents…) le sont également (par la Responsabilité Civile)

-….mais les bénévoles ne le seront pas ! Ils n’ont plus qu’à se tourner vers leur assurance (éventuelle) personnelle.

On comprendra donc que, par efficacité et équité, l’association doit souscrire une couverture spécifique pour les bénévoles.

4 Assurance évènementielle :

Kermesse, salon, sortie, … : tout évènement important doit faire l’objet d’une déclaration à l’assureur (ou, mieux, être prévu dans le contrat initial).

Il est même possible (contrats « Protection de l’Image et du Public »), pour des évènements importants, de prévoir une garantie (une somme) perceptible directement et rapidement par des spectateurs lésés (ce qui évite qu’ils se retournent contre l’association et sa RC).

5 Les biens de l’association :

Les locaux (même et si surtout locataire), les matériels, doivent être correctement assurés.

6 Aspects cyber :

Site bloqué, détournement de données-adhérents, etc : ce type de sinistre est aujourd’hui plus fréquent que les bêtes dégâts des eaux.

7 Assurances collectives :

Déjà évoqués, les contrats Prévoyance et Santé collectives sont obligatoires (dès le premier salarié).

8 Essais cliniques :

Si l’association est promoteur ou co-promoteur d’un essai clinique, elle doit générer, en vertu de la loi Huriet-Sérusclat du 20 décembre 1988 (pour la France) une assurance, préalable à l’examen de son essai par le Comité de Protection des Personnes.

Conclusion :

Les associations de patients doivent maîtriser (avec l’aide de leur courtier) les outils d’assurance classiques de toute association 1901.

Le caractère sensible de leur sujet leur impose de prêter une grande attention à leur RC et surtout à la RC « dirigeants ».

Enfin, si elles sont actives dans le domaine de la recherche, elles devront se plier à la nécessité de l’assurance des essais cliniques.