La Commission européenne a dévoilé, jeudi 15 septembre, sa proposition de législation sur la cyber-résilience (EUROPE 13017/6). Ce texte, qui vient s’ajouter à l’arsenal fourni par d’autres législations dans le secteur numérique, telles que le paquet numérique DSA-DMA (EUROPE 12986/3), devra permettre d’introduire des règles communes de cybersécurité pour les fabricants et les développeurs de tous les produits comportant des éléments numériques et connectés.
« Les données sont un enjeu majeur pour tous et les interconnexions entre l’espace informationnel et l’espace physique ne cessent de croître. L’architecture repose sur les textes sur lesquels nous avons déjà travaillé, comme le DSA et le DMA, mais l’espace informationnel n’étant pas protégé, nous avons besoin de barrières », a déclaré le commissaire chargé du Marché intérieur, Thierry Breton.
Dans le détail, la proposition de la Commission repose sur trois piliers. D’abord, ce texte devra fixer des exigences spécifiques pour tous les produits numériques et renverra la responsabilité vers les fabricants, qui devront assurer que les produits sont sûrs. Ceux-ci devront ainsi prendre en considération la cybersécurité dès la conception et le développement des produits concernés.
Une évaluation plus poussée pour 10% des produits
Concrètement, les fabricants, pour qu’un logiciel ou tout autre objet tombant sous le coup de cette législation puisse être admis dans le marché unique européen, devraient obtenir un label 'CE' de conformité.
Pour « 90% des objets », a détaillé M. Breton, cette évaluation de conformité pourra être réalisée par les fabricants eux-mêmes. En revanche, « pour une trentaine d’objets plus spécifiques », l’examen devra être réalisé par un tiers.
« On fait cela pour ne pas alourdir la charge, le contrôle devra être fait par tous ceux qui en ont la responsabilité : les douanes pour les produits venant de l’extérieur de l’UE, les autorités de surveillance des marchés pour tout ce qui circule sur le marché unique. Nous allons juste leur demander de bien contrôler, de vérifier, comme ils le font déjà pour d’autres produits, que les produits ‘cyber’ sont conformes », a-t-il complété.
Dans le détail, les disques durs, les hauts-parleurs intelligents, les jeux ou les logiciels de traitement de texte ou de retouche photo seraient exemptés d’évaluation par des tiers. D’autres produits seraient jugés selon des critères de fonctionnalité, d’utilisation prévue ainsi que d’autres critères comme l’ampleur de l’incidence potentielle.
Les produits qualifiés comme étant critiques, tels que les gestionnaires de mots de passe, les interfaces réseau, les pare-feu ou les microcontrôleurs, seraient assujettis à une application des normes ou une évaluation par un tiers. Les plus susceptibles d’engendrer des risques, comme les systèmes d’exploitation, les unités centrales ou les pare-feu industriels ne pourraient pas, pour leur part, échapper à une évaluation par un tiers.
Les fabricants et développeurs devraient notamment assurer, pendant toute la durée de vie d’un produit, le fait de donner des informations sur la fin de vie des produits et fournir des mises à jour et une assistance.
Des sanctions allant jusqu'à 5% du chiffres d'affaires
Ensuite, et ce sont les deux autres piliers sur lesquels repose la proposition, le texte vise à garantir que les utilisateurs disposent de plus d’informations au moment de choisir un produit numérique, les notions de frontières ne représentant pas de limites à la portée du texte. « Ce texte doit être un point de référence sur la scène internationale », a expliqué M. Breton.
En cas de manquements en matière de conformité, le texte prévoit plusieurs types de sanctions. Ainsi, la non-conformité d’un produit pourrait déboucher sur un rappel du produit en cause, voire sur son interdiction dans le marché unique. En absence de réaction de la part de l’entité incriminée, des amendes pouvant atteindre 5% du chiffre d’affaires mondial pourraient être appliquées.
Au-delà de la coopération avec les autorités nationales et les services douaniers, l’Agence de l'Union européenne pour la cybersécurité (ENISA) sera également partie prenante.
L’agence, basée à Athènes, serait chargée, en cas de doute de la part de la Commission ou dans l’éventualité où une autorité nationale n’aurait pas correctement fait son travail, d’évaluer la conformité d’un produit. Un rapport serait alors réalisé et remis à la Commission.
Une proposition qui « devrait aller plus loin »
La proposition de la Commission a rapidement fait réagir. Selon le Bureau européen des unions de consommateurs (BEUC), cette proposition « répond à un besoin de longue date » et « améliorerait considérablement la situation actuelle ».
Toutefois, a ajouté le BEUC, le texte « devrait aller plus loin », notamment « reconnaître la nécessité d'une évaluation par un tiers indépendant de certains produits qui présentent des risques plus élevés » et « exiger des fabricants qu'ils remédient en permanence aux failles de sécurité en fournissant des mises à jour logicielles pendant la durée de vie prévue du produit ». L’organisme plaide aussi en faveur d’un mécanisme de recours et de compensation plus efficace pour les consommateurs lésés par un produit.
Du côté du PE, certains, à l’image de Patrick Breyer (Verts/ALE, allemand), ont aussi estimé qu’une obligation de correction immédiate des failles serait la bienvenue. L’eurodéputé juge également qu’une attention particulière devrait être portée aux logiciels libres afin de ne pas compromettre leur développement.
Voir la proposition : https://aeur.eu/f/339 (Thomas Mangin)