Pourquoi une directive sur la cybersécurité ? Quelles sont les nouvelles obligations ? Et que peut-on reprocher au législateur européen ? Garance Mathias, Avocat à la Cour (www.avocats-mathias.com), fait le tour de ces questions pour Solutions-numériques.
L’Union européenne se protège en créant un véritable cadre juridique sur la cybersécurité pour la première fois de son histoire. Les acteurs concernés sont évidemment déjà soumis à des règles semblables à travers l’Union européenne, notamment quant à la notification des failles. Ces obligations de conformité diffèrent toutefois sensiblement les unes des autres.
Après trois ans de négociations, le Parlement européen et le Conseil de l’Union européenne ont adopté le 6 juillet 2016 la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, ou bien « Directive NIS ». S’agissant d’une directive et non d’un règlement, sa transposition dans les droits nationaux de chaque Etat membre devra intervenir avant le 9 mai 2018. Pour rappel, la transposition d’une directive laisse une certaine marge aux Etats membres quant aux moyens à mettre en place pour atteindre les objectifs fixés par la directive, contrairement à un règlement.
La Directive devrait permettre de renforcer la coopération entre les États membres en ce domaine. Elle prévoit également des obligations en matière de sécurité pour les opérateurs fournissant des services essentiels (finance, transports, santé, etc.) et pour les fournisseurs de services numériques. Chaque Etat membre devra par ailleurs désigner une ou plusieurs autorités nationales et mettre en place une stratégie pour gérer les cybermenaces.
Malgré l’existence de l’ENISA (agence européenne chargée de la sécurité des réseaux et de l’information) qui émet des recommandations et assiste les Etats membres dans la mise en œuvre de solutions de cybersécurité, aucun cadre commun n’était prévu et ces enjeux étaient traités à l’échelle nationale. Les entreprises étaient donc confrontées à un patchwork de réglementations nationales, avec toute l’insécurité juridique que cela entraîne.
Par exemple, en ce qui concerne les obligations de notification des failles de sécurité impliquant des données à caractère personnel, on constate une grande diversité. Ainsi, en France ou en Pologne, des obligations de notification existent pour certains acteurs (opérateurs de télécommunication, etc.). En Italie, les obligations de notification s’imposent en cas de fuite de données de santé et/ou biométriques. Au Royaume-Uni ou en Irlande, ces notifications sont recommandées par les autorités mais ne sont pas imposées par la loi. En outre, les modalités de notification sont loin d’être identiques.
Quelles sont les nouvelles obligations ?
On peut regretter que le périmètre de cette Directive soit assez étroit et ne concerne que deux types d’acteurs : les opérateurs fournissant des services essentiels et certaines plateformes numériques.
Que sont les opérateurs fournissant des services essentiels ? Des entreprises jouant un rôle important voire critique au sein de la société et l’économie. Les Etats membres doivent identifier quelles seront les entités qualifiées comme telles, dans un délai de six mois à compter du 9 mai 2018, date à laquelle ils devront avoir transposé la Directive. Dans ce contexte, l’annexe II de la Directive comprend des catégories d’acteurs pouvant être qualifiés d’opérateurs fournissant des services essentiels. Les trois critères d’identification de ces opérateurs sont la fourniture d’un service essentiel au maintien d’activités sociétales et/ou économiques critiques ; la fourniture de ce service étant tributaire des réseaux et des systèmes d’information ; et tout incident aurait un effet disruptif important sur la fourniture dudit service. Il est probable que les autorités françaises s’appuient sur le cadre déjà mis en place, relatif aux Opérateurs d’Importance Vitale (OIV) que l’on considère comme des infrastructures critiques. En France, il y en a environ 150 OIV dans sept secteurs dont l’alimentation, la gestion de l’eau ou encore l’énergie.
La Directive oblige chaque Etat membre à s’assurer que ces opérateurs fournissant des services essentiels prennent toutes mesures techniques et organisationnels appropriées dans le cadre d’une politique de gestion de risques. Ces mesures ayant vocation à éviter autant que possible ou à tout le moins réduire les conséquences des éventuels incidents de sécurité. En cas d’incident ayant un impact significatif sur la continuité de services de ces opérateurs, ces derniers devront les notifier aux autorités désignées, répondre à leurs demandes d’information et se conformer à leurs instructions.
Ces obligations s’appliquent par ailleurs à trois types de fournisseurs de services numériques : les marchés en ligne, les moteurs de recherche et les prestataires de cloud computing. Le niveau de sécurité mis en œuvre par ces derniers devra être proportionnel aux risques potentiels qu’ils rencontrent dans le cadre de leur activité. Il s’agit donc de prendre en compte des facteurs de risques tels que la continuité de service, la sécurité logique et physique des infrastructures ou encore leur degré de conformité aux standards internationaux en matière de sécurité. Cela ne concerne pas les PME.
A noter que la Directive prévoit l’adoption par la Commission Européenne de plusieurs actes d’exécution afin d’apporter des précisions sur ces obligations.
Que peut-on reprocher au législateur européen ?
La définition de « place de marché en ligne » semble assez réductrice eu égard aux ambitions affichées par le législateur européen. Il s’agit, au sens de la Directive, d’un service numérique permettant de conclure des contrats en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d’un professionnel qui utilise les services informatiques fournis par la place de marché en ligne. Qu’en est-il des entreprises qui vendent leurs produits et services sur leurs propres sites internet ?
La Directive paraît également imprécise sur de nombreux points. Quelles seront les mesures techniques et organisationnelles concrètes à mettre en œuvre dans le cadre d’une gestion de risques ? Qu’est-ce qu’un impact significatif sur les services fournis par les opérateurs concernés ? En cas d’incident, quelles sont les modalités d’information du public par les autorités désignées ? Quels seront les pouvoirs et compétences de ces dernières ? Quelles seront les sanctions en cas de non-conformité ? Les seules exigences pour les sanctions étant qu’elles soient effectives, proportionnées et dissuasives.
L’harmonisation des règles relatives à la sécurité des réseaux et des systèmes d’information au sein de l’Union n’est peut-être pas pour demain…