Comme cela a été rappelé à plusieurs reprises, l'article prévoyait un délai de vingt-quatre heures pour le dépôt d'une préplainte. Il a été amendé en commission des lois, le délai passant à quarante-huit heures pour le dépôt d'une plainte, condition première pour ouvrir un sinistre auprès de son assurance pour être dédommagé.
Ce délai peut être encore insuffisant dans certains cas : c'est pourquoi nous proposons de le porter à soixante-douze heures après la constatation de l'incident, pour permettre aux entreprises ou aux institutions concernées de fournir l'ensemble des éléments permettant aux services de police ou de gendarmerie de qualifier la plainte.
Ce délai serait ainsi identique à celui fixé par la Commission nationale de l'informatique et des libertés (Cnil) sur les notifications de violation de données à caractère personnel. Il est plus réaliste et permet d'effectuer les démarches obligatoires : notification de violation de données personnelles auprès de l'autorité de contrôle ; notification d'atteinte à des données de santé auprès de l'agence régionale de santé (ARS) ; notification auprès de l'Agence nationale de la sécurité des systèmes d'information (Anssi). L'objectif est d'avoir une cohérence entre les notifications aux autorités de contrôle et les éléments de plainte.
La plainte est le point d'entrée pour saisir l'assurance cyber. Au moment de l'ouverture du sinistre cyber, l'assurance demandera une copie de la plainte spécifiant les atteintes constatées en première intention, qui serviront sans doute de base de calcul pour l'indemnisation. Il convient donc d'être au plus près de la réalité. Il s'agit d'une scène de crime numérique où, l'ensemble des atteintes n'étant pas visibles immédiatement, les conséquences ne le sont pas non plus.