Les cyberattaques constituent l’une des menaces les plus pressantes de notre époque. Pour répondre à ce danger croissant, les gouvernements renforcent leur arsenal législatif en matière de cybersécurité.
Le point pour les lecteurs de Solutions Numériques & Cybersécurité avec Emma Hanoun, Counsel chez DJS Avocats.
La directive NIS2[1], adoptée le 14 décembre 2022, est une évolution de la directive européenne Network and Information Security de 2016.
Déposé au Sénat le 15 octobre 2024, le projet de loi « Résilience »[2] est organisé en trois titres. Le titre II « Cybersécurité » a pour objet principal de transposer la directive NIS2, c’est-à-dire transcrire des obligations et options européennes en exigence nationales au travers de textes législatifs et règlementaires.
Il faut savoir que la directive ne fait pas obstacle – et c’est le sens de son article 5 – à l’adoption par les États membres de dispositions assurant un niveau plus élevé de cybersécurité. Ainsi, le Gouvernement est libre de resserrer les exigences pour assurer un haut niveau de cybersécurité en France. Dans cet esprit, le projet de loi « mobilise dans un sens extensif les possibilités d’options offertes par la directive » selon la formule du Conseil d’Etat dans son avis consultatif[3]. Cette juridiction relève que sont incluent dans le champ du dispositif des collectivités territoriales autres que les régions, à savoir tous les départements, communes et groupements de communes de plus de trente mille habitants ; et, qu’est rendu applicable à toutes les collectivités d’outre-mer, y compris celles auxquelles la directive n’est pas applicable, un dispositif de défense et de sécurité nationale.
Cette fois, sans aller au-delà de ce qui est imposé par la directive, le projet de loi renforce la cybersécurité en droit français en transposant un régime de sanction et de contrôle des obligations pensant sur entités « essentielles » et « importantes ». Ces dernières doivent prendre des mesures pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information utilisés dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences des incidents sur les destinataires de leurs services et sur d’autres services. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) sera habilitée à rechercher et à constater les manquements et infractions aux obligations prévues par ces nouvelles dispositions. Les contrôles prendront la forme d’inspection sur place et de contrôles à distance, d’audits de sécurité réguliers et ciblés, de scans de sécurité, et d’audits en cas d’incident ou de violation.
L’ANSSI, un pouvoir de contrôle et de sanction…
Consécutivement à ce contrôle, l’ANSSI pourra décider d’ouvrir une procédure à l’encontre de la personne contrôlée, et l’enjoindre à prendre des mesures pour éviter ou remédier à un incident, à se mettre en conformité dans un certain délai, à informer les personnes, etc. Si la personne contrôlée ne s’est pas conformée à la mesure d’exécution, l’ANSSI saisirait une commission de sanction qui pourrait prononcer des amendes administratives allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total. Ce pouvoir de contrôle et de sanction nouvellement conféré à l’ANSSI en matière de cybersécurité ressemble à celui de la CNIL dans le cadre de l’application du RGPD. Alors que la directive ne l’imposait pas, le projet de loi confie ces missions à une seule autorité. Dans son avis consultatif, le Conseil d’État propose d’ajouter au projet de loi, en accord avec le Gouvernement, une disposition permettant au Premier ministre de désigner, pour ces activités, une autre autorité.
Il est, in fine, intéressant de noter que le projet de loi ne prévoit pas de dispositions transitoires ou d’entrée en vigueur différée, et ce, dans le but de renforcer rapidement la cybersécurité sur le territoire national.
[1] DIRECTIVE (UE) 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.
[2] Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, Texte n°33.
[3] Conseil d’Etat, Avis sur un projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier, 16 oct. 2024.