CONTACT

L’UE prévoit de renforcer la cybersécurité des produits numériques matériels et logiciels

06 décembre 2022 | Derriennic Associés|

Le 15 septembre 2022, la Commission Européenne a présenté son projet de règlement « Cyber résilience Act ». L’objectif de ce texte est clair : il s’agit de renforcer le niveau de sécurité des objets connectés et des produits numériques et de diminuer leur vulnérabilité face aux cyberattaques, dès leur conception, puis tout au long de leur cycle de vie. Les fabricants, importateurs et distributeurs voient ainsi leurs obligations renforcées afin de pourvoir mettre leurs produits sur le marché européen. Nos avocats en droit de la cybersécurité vous aident à naviguer dans la complexité juridique.

Ce projet découle du contrat que le nombre de cyberattaques est en constante augmentation au sein de l’Union Européenne. Les conséquences qui en résultent pour les entreprises comme pour les citoyens, sont très graves : paralysie d’activités essentielles, dommages financiers considérables, divulgation d’informations confidentielles… Pourtant, de nombreux produits informatiques disposent encore d’un niveau de protection insuffisant. De plus, les mises à jour requises pour maintenir la sécurité des produits tout au long de leur utilisation et pour remédier aux vulnérabilités sont rarement fournies aux utilisateurs.

Dans le cadre de sa stratégie de promotion de standards européens de confiance, l’Union Européenne décide de s’attèle à ce nouveau chantier.

Champ d’application large. Sont visés par cette règlementation l’ensemble des « produits comportant des éléments numériques », c’est-à-dire tous les produits dont l’utilisation prévue ou prévisible est d’établir une connexion, directe ou indirecte, physique ou logique, entre des données et un appareil ou un réseau (art. 2). Sont visés « tout produit logiciel ou matériel et leurs solutions de traitement de données à distance, y compris lorsque les composants logiciels ou matériels sont destinés à être mis sur le marché séparément » (art. 3). Seront donc par exemple couverts les smartphones, ordinateurs, jouets, appareils ménagers mais également les systèmes d’intelligence artificielle (qu’ils soient ou non à haut risques).

Certains produits – pour la plupart d’ores et déjà couverts par des règlementations spécifiques – sont néanmoins exclus de cette règlementation (art. 2). Tel est le cas notamment des dispositifs médicaux (Règlement 2017/745 et 2017/746), des véhicules automobiles (Règlement (UE) 2019/2144), des produits aéronautiques (Règlement (UE) 2018/1139), ou des produits développés exclusivement pour des usages militaires ou de sécurité intérieure. 

Obligations renforcées. La règlementation pose un ensemble de règles à destination des fabricants, importateurs et distributeurs. Au nombre desquelles on trouve principalement, à la charge des fabricants :

  • l’obligation de prendre en compte de la sécurité dès la conception du produit (« security by design ») (art 10) : le règlement comporte une liste d’exigences (annexe 1)  telles que l’interdiction de mise sur le marché des produits comportant des failles de sécurité connues (annexe I) ;
  • l’obligation de gérer les vulnérabilité des produits tout au long de leur cycle de vie ou pour une période de 5 ans à compter de la mise sur le marché, ce qui emporte notamment une obligation de mise à jour des produits et de diffusion des correctifs de sécurité (art 10) ;
  • l’obligation d’information de l’utilisateur et de fourniture d’une documentation technique, notamment sur la fin de vie des produits et le type de support de sécurité fourni  (annexe II) ;
  • en cas de survenance d’un incident de sécurité exploitée : l’obligation de notification dans les 24 heures à l’Agence de l’Union Européenne pour la Cybersécurité (ENISA) (art. 11).

Les importateurs devront quant à eux s’assurer que les produits qu’ils mettent sur le marché répondent aux exigences du règlement.

Contrôle de conformité. Pour démontrer le respect de ces obligations, les fabricants, importateurs et distributeurs seront tenus de procéder à des évaluations de conformité avant la mise sur le marché des produits au travers :

  • d’une auto-évaluation (mesure d’ores et déjà particulièrement critiquée) ;
  • de procédures plus strictes – notamment de certification par un organisme tiers – pour certains produits considérés comme critiques, notamment ceux jouant un rôle central dans la sécurité des réseaux ou ceux dont les failles de sécurité présentent un risque pour un grand nombre de personnes.

Des contrôles a posteriori pourront également être réalisés par les autorités compétentes.

Classiquement, le non-respect de certaines exigences fait l’objet de sanctions dissuasives telles que :

  • des amendes administratives, dont le montant peut atteindre 2.5 % du chiffre d’affaires mondial ou 15 millions d’euros,
  • l’interdiction de commercialisation du produit au sein de l’Union Européenne.

Ce règlement devrait entrer en vigueur dans un délai de 24 mois à compter de son adoption définitive par le Parlement Européen, à l’exception de dispositions relatives à la notification des failles de sécurité (pour lesquelles le délai serait raccourci à un an).

A peine publié, ce projet suscite déjà des inquiétudes au vu des imprécisions de certaines dispositions et de l’articulation avec d’autres règlementations existantes, et est déjà critiqué. Les discussions à venir devant le Parlement Européen devraient venir préciser certaines dispositions et leur articulation avec d’autres règlementations.

Source ici