Cybersécurité et objets connectés : la proposition du Cyber Resilience Act est-elle une réponse adaptée ?
Corinne Thiérache
Le 15 septembre 2022, la Commission européenne proposait le Cyber Resilience Act, portant sur les exigences horizontales en matière de cybersécurité applicables aux produits comportant des éléments numériques.
Etat des lieux et objectifs poursuivis
Le constat de la Commission est le suivant : la plupart des produits connectés et des logiciels ne sont couverts par aucune législation européenne traitant de leur cybersécurité. En effet, seuls les produits médicaux[1], automobiles[2] et aériens[3] sont couverts par des règlements préexistants. Ainsi, les autres produits connectés et logiciels font de plus en plus l’objet de cyberattaques, entraînant un coût annuel mondial de la cybersécurité avoisinant les 5 5000 milliards d’euros depuis 2021.
La Commission a relevé deux problèmes majeurs :
- Un faible niveau de cybersécurité qui se traduit par des vulnérabilités généralisées, accompagnées d’une fourniture insuffisante de mises à jour de sécurité pour y remédier ;
- Une compréhension et un accès insuffisants aux informations par les utilisateurs, ce qui empêche ces derniers de choisir des produits présentant des propriétés de cybersécurité adéquates ou de les utiliser de manière sécurisée.
Une cyberattaque peut affecter toute une organisation ou toute une chaîne d’approvisionnement. Plus encore, cela peut entraîner une grave perturbation des activités économiques et sociales. La Commission souligne également qu’une cyberattaque peut même mettre des vies en danger et, surtout, que des telles attaques ont bien souvent une dimension transfrontalière, se propageant en quelques minutes à l’ensemble du marché intérieur.
C’est dans ce contexte que s’inscrit cette proposition de Règlement, qui vise à établir :
- Des règles pour la mise sur le marché de produits comportant des éléments numériques afin de garantir la cybersécurité de ces produits ;
- Des exigences essentielles pour la conception, le développement et la production de produits comportant des éléments numériques, et des obligations pour les opérations économiques en relation avec ces produits en matière de cybersécurité ;
- Des exigences essentielles pour le processus de traitement des vulnérabilités mis en place par les fabricants afin de garantir la cybersécurité des produits comportant des éléments numériques tout au long de leur cycle de vie, et des obligations pour les opérateurs économiques en ce qui concerne ces processus ;
- Les règles relatives à la surveillance du marché et à l’application des règles et exigences susmentionnées.
A chaque produit technologique, son niveau de risque et ses contraintes
Cette proposition est importante, car elle témoigne de l’attachement de l’Union européenne à prendre en compte l’explosion du nombre de cyberattaques ces dernières années, afin de renforcer la sécurité et la confiance des consommateurs et, plus largement, des citoyens européens.
A ce titre, la Commission propose de distinguer entre plusieurs produits : le « produit comportant des éléments numériques », « le produit critique comportant des éléments numériques »et « produit hautement critique comportant des éléments numériques ».
La Commission définit le premier comme « tout produit logiciel ou matériel et ses solutions de traitement des données à distance, y compris les composants logiciels ou matériels destinés à être mis sur le marché séparément ».
Le « produit critique comportant des éléments numériques »et le « produit hautement critique comportant des éléments numériques » sont tous deux des produits présentant un risque de cybersécurité :
- La première catégorie sur les critères visés à l’article 6, paragraphe 2, dont les fonctionnalités essentielles sont définies à l’annexe III. Pour déterminer son niveau de risque de cybersécurité, un ou plusieurs critères sont pris en compte comme, l’utilisation prévue pour l’exécution de fonctions critiques ou sensibles, telles que le traitement de données à caractère personnel et l’étendue potentielle d’un impact négatif, notamment en termes d’intensité et de capacité à affecter une pluralité de personnes.
- La seconde repose sur les critères visés à l’article 6, paragraphe 5. Ce sont les produits pour lesquels les fabricants doivent obtenir un certificat de la cybersécurité, conformément au règlement (UE) 2019/881.
Cette distinction entre plusieurs types de produits est un point intéressant, qui permet au Cyber Resilience Act de s’appliquer largement, afin de couvrir concrètement les produits qui sont actuellement dépourvus de toute législation.
Plusieurs obligations sont mises à la charge des fabricants, des importateurs et des distributeurs, en fonction de leur rôle au sein de la chaîne d’approvisionnement :
- S’agissant des fabricants (articles 10 et 11), ils doivent, par exemple, procéder à une évaluation des risques de cybersécurité associés à un produit comportant des éléments numériques. Ils doivent tenir compte de cette évaluation au cours des phases de planification, de conception, de développement, de production, de livraison et de maintenance. L’objectif est de réduire les risques de cybersécurité et prévenir les incidents. Ainsi, lorsque le fabricant met un produit sur le marché, il doit inclure l’évaluation du risque dans la documentation technique. Le fabricant doit également évaluer la conformité du produit aux exigences prévues à l’annexe 1. Par ailleurs, lorsqu’un fabricant met un produit sur le marché, il doit veiller, pendant toute la durée de vie du produit ou pendant une durée de cinq ans, à ce que les vulnérabilités de ce produit soient traitées efficacement. Enfin, le fabricant doit notifier à l’ENISA, sans retard excessif et en tout cas dans les vingt-quatre heures après en avoir pris connaissance, toute vulnérabilité ou incident ayant un impact sur la sécurité du produit comportant des éléments numériques. De même, le fabricant doit informer tout utilisateur du produit de l’incident et des mesures correctives déployées.
- S’agissant des importateurs, ils doivent s’assurer, avant de mettre un produit sur le marché, que le fabricant a respecté les procédures appropriées, établi la documentation technique et que le produit porte bien le marquage CE tel que défini à l’article 30 du règlement (CE) n°765/2008. Ce marquage doit être apposé de manière visible, lisible et indélébile. D’autres obligations sont mises à leur charge à l’article 13 de la proposition.
- S’agissant des distributeurs, ils doivent s’assurent, avant de mettre un produit sur le marché, que le fabricant et l’importateur ont respecté leurs obligations et que le produit porte bien le marquage CE. Les distributeurs ne doivent pas mettre un produit sur le marché tant qu’il n’est pas en conformité. D’autres obligations sont mises à la charge des distributeurs en vertu de l’article 14 de la proposition.
Enjeux pour les opérateurs économiques
Il faut souligner la particulière densité de ce projet de règlement et du nombre d’obligations, mises à la charge des opérateurs économiques. Si ces obligations ont pour objectif de renforcer la sécurité et la confiance des consommateurs, les opérateurs économiques se doivent d’anticiper ce règlement. En effet, une fois adopté, et après une période transitoire de vingt-quatre mois, le règlement sera d’application immédiate dans tous les Etats membres de l’Union européenne, à la date qui sera arrêtée lors de son adoption. Ainsi, si les opérateurs économiques n’anticipent pas cette application, de nombreux produits risquent de voir reporter leur mise sur le marché.
La proposition de règlement vise également à mettre en place des organismes d’évaluation de la conformité des produits. Chaque Etat membre désigne aussi une ou plusieurs autorités de surveillance du marché, responsables de l’application des obligations prévues par le Cyber Resilience Act.
Enfin, les Etats membres devront déterminer le régime des sanctions applicables aux violations du Règlement par les opérateurs économiques. Par exemple, le non-respect des exigences essentielles prévues à l’annexe I et aux articles 10 et 11 est passible d’amendes administratives pour aller jusqu’à 15 millions d’euros, ou, si le contrevenant est une entreprise, jusqu’à 2,5% de son chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
La mise en place de sanctions et, surtout, de directives concernant ces dernières sera bienvenue dans le cadre d’un tel futur règlement.
Une fois adopté, avec d’éventuelles modifications qui ne manqueront pas de survenir dans le cadre du processus législatif européen en sus du lobbying de certains, ce règlement viendra combler un vide juridique en matière de cybersécurité. Il conviendra d’être attentif sur la capacité des opérateurs économiques à s’adapter à de telles exigences, sur les régimes des sanctions qui seront mis en place par les Etats membres, et sur l’application concrète de ces sanctions.
[1] Règlement (UE) 2017/744 et Règlement (UE) 2017/746
[2] Règlement (UE) 2019/2144
[3] Règlement (UE) 2018/1139
Les avocats d’Alerion du Département IP/IT/Privacy peuvent assister leurs clients sur toutes les questions liées à la cybercriminalité et en particulier afin de prendre les mesures adaptées pour anticiper l’application du Cyber Resilience Act.
Corinne Thiérache, Avocat Associée, et Océane Desplands, Master II Propriété intellectuelle et Technologies nouvelles (UGA).