LE CYBER RESILIENCE ACT vers une protection renforcée des données personnelles ?
Une organisation est victime d’un rançongiciel ou ransomware toutes les 11 secondes dans le monde. En 2021 la cybercriminalité a ainsi atteint à l’échelle mondiale un coût sans précédent de 5 500 mds€1. Face à l’ampleur du phénomène, la Commission européenne a inscrit la cybersécurité sur la liste de ses actions prioritaires et présenté, le 15 septembre 2021, un projet de règlement, le Cyber Resilience Act (CRA), visant à encadrer la sécurité des « produits numériques ».
Motivé par les nombreuses failles de sécurité de produits connectés, comme les caméras de surveillance, le CRA est élaboré dans le cadre de la stratégie de cybersécurité de l’UE. Elle a été initiée et déployée depuis 2020 pour créer un marché unique de la donnée en soutenant l’accès, le partage et la réutilisation responsables des données dans le respect, notamment, de la protection des données personnelles. Entré en vigueur au sein de l’UE le 25 mai 2018, le Règlement général sur la protection des données personnelles (RGPD) a eu un fort impact sur le traitement et la protection des données personnelles, comme les sanctions régulièrement prononcées par la Commission nationale de l’informatique et des libertés (CNIL) et ses homologues européens en attestent. La Commission annonce une série de mesures qui s’articulent autour de deux axes : le renforcement du niveau de cybersécurité des produits et du niveau d’information à destination des consommateurs et des entreprises.
Dans ce cadre, le CRA crée un arsenal de règles minimales en termes de cybersécurité à respecter lors de la conception, du développement et de la production des produits, lors de leur mise sur le marché, mais également durant l’intégralité de leur cycle de vie. Elles couvrent également les informations sur les produits à délivrer aux consommateurs. Ces règles s’imposent aux fabricants et éditeurs de produits connectés, qui jusqu’alors bénéficiaient d’une brèche dans la législation. Introduisant la notion de « sécurité par défaut », le CRA renforce leur responsabilité en leur interdisant de livrer des produits comportant des failles de sécurité connues au jour de la mise sur le marché du produit. Ils doivent également assurer un suivi de leurs produits et fournir des mises à jour de sécurité et des correctifs pendant au moins 5 ans après sa mise sur le marché. Dans un objectif de transparence et d’information des utilisateurs, similaire à celui poursuivi par le RGPD, les produits doivent être accompagnés d’une documentation claire au sujet de leur sécurité et de leurs mises à jour. À l’instar de la notification à la CNIL de la violation de données personnelles (article 33 du RGPD) à réaliser dans les meilleurs délais, ces fabricants et éditeurs sont tenus de signaler sous 24 heures à l’Agence de l’Union européenne pour la cybersécurité (ENISA) d’éventuelles nouvelles failles dans leurs produits, qui pourraient conduire à un piratage et à la violation de données personnelles.
En cas de manquement, le texte fixe des amendes pouvant s’élever jusqu’à 15 M€ ou 2,5% du chiffre d’affaires de l’entreprise fautive, qui peut se voir interdire la commercialisation d’un produit sur le sol européen. Dans sa première version le texte pose déjà des exceptions en excluant les produits connectés du secteur de l’aéronautique, les voitures ou même encore les dispositifs médicaux, couverts par d’autres textes. Toutefois à l’heure où la multiplication des cyberattaques contre les hôpitaux et systèmes de santé est devenue un phénomène mondial, le parti pris interroge. Le CRA n’est-il pas l’occasion de renforcer l’arsenal législatif existant ? Le texte identifie par ailleurs une catégorie de produits dits « critiques », qui représenteraient environ 10 % de l’ensemble des objets connectés concernés par la régulation. On y retrouve notamment les produits et services au coeur des système de sécurité des réseaux, dont les failles de sécurité sont susceptibles de toucher le plus grand nombre (antivirus, gestionnaires de mots de passe, etc). Des voix s’élèvent déjà pour juger la liste trop courte et les associations de consommateurs montent au créneau.
Cette proposition de la Commission n’est que le début d’un parcours législatif européen long, puisque le texte devra être adopté par le Parlement européen et le Conseil de l’Union européenne, avant que les trois ne s’accordent sur un texte final. Il pourrait alors fort bien beaucoup évoluer d’ici là. Une fois adopté, la Commission a déjà annoncé laisser deux ans aux entreprises pour se mettre en conformité. Le cyberpiratage a encore vraisemblablement un peu de temps devant lui…