Cyber-Resilience Act : la Commission européenne veut imposer la prévention pour la cybersécurité

Ce n’est encore qu’un projet mais le Cyber-Resilience Act, proposé par la Commission européenne, constituerait une nouvelle étape dans la sécurisation obligatoire des outils numériques avec une élévation des exigences en matière de cybersécurité. Les objectifs sont, d’une part, d’accroître le niveau de cybersécurité et, d’autre part, d’informer clairement les acheteurs sur le niveau de chaque produit (matériel ou logiciel) afin de le guider dans son choix. Pour que le texte acquiert une force obligatoire, il s’écoulera sans doute encore un certain temps : la proposition de la Commission doit encore effectuer le circuit législatif normal, via le Parlement européen et le Conseil de l’Union Européenne, puis la succession des transpositions dans les droits nationaux, y compris le droit français. Ce texte n’est ni inédit, ni inattendu. Il ne sera sans aucun doute pas le dernier sur le sujet.

Ursula von der Leyen, présidente de la Commission Européenne, avait annoncé le Cyber-Resilience Act dans un discours de septembre 2021. Cette initiative s’inscrit dans la continuité des autres textes, à commencer par le RGPD. Entré en application le 25 mai 2018, le Règlement Général sur la Protection des Données personnelles prévoit en effet, entre autres obligations, la nécessité de protéger les données personnelles. Un défaut de cybersécurité a déjà entraîné des sanctions d’entreprises (Slimpay, Infogreffe…) par la CNIL au titre du RGPD. Jusqu’à présent, malgré tout, la cybersécurité apparaissait dans les textes comme un accessoire au service d’une autre finalité (comme la protection des données personnelles). Dans le Cyber-Resilience Act, la cybersécurité est l’objet même du texte.

Des obligations pesant sur les fournisseurs

Les obligations nouvelles pèseront essentiellement sur les fournisseurs (fabricants/éditeurs, importateurs et distributeurs) au bénéfice des entreprises utilisatrices et des consommateurs. Exactement comme avec le RGPD, les fournisseurs devront en effet adopter une démarche de « security by design » (sécurité dès la conception). La cybersécurité devra être intégrée à chaque étape du cycle de vie de la solution numérique : planification, conception, développement, production, commercialisation, mise en œuvre et maintenance. Cette intégration devra se matérialiser notamment par une documentation des risques de cybersécurité identifiés et une notice claire et compréhensible à l’attention des utilisateurs. Durant la durée de vie du produit, et pour au minimum cinq ans, le fournisseur devra être en veille permanente sur les failles et autres problèmes de sécurité et aura aussi l’obligation de mettre à disposition les correctifs. Les sanctions prévues en cas de manquement vont de 1 % du chiffre d’affaires mondial ou cinq millions d’euros à 2,5 % du CA ou 15 millions d’euros. Avec le RGPD, les sanctions vont de 2 % à 4 % du chiffre d’affaires mondial.

La grande majorité des produits numériques (notamment la plupart des logiciels) seront, selon le projet actuel, placés dans une « catégorie par défaut » où les obligations restent faibles. L’évaluation de la sécurité demeure, dans ce cas, à la charge du fournisseur, sans contrôle a priori par les autorités. Par contre, les produits qualifiés de « critiques » (systèmes d’exploitation, logiciels de sécurité, etc.) devront faire l’objet d’une évaluation et d’une certification par un tiers avec, le cas échéant, application d’une norme obligatoire.