Cybersécurité : Transposition de la directive dite « NIS » en droit français
Loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité : extension des obligations en matière de sécurité des réseaux et des systèmes d’information aux « opérateurs de services essentiels » (OSE) et aux « fournisseurs de service numérique » (FSN).
La loi n°2018-133 du 26 février 2018 (« Loi sur la cybersécurité ») transpose dans son Titre Ier les mesures de la directive UE 2016/1148 du 6 juillet 2016 destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union dite « NIS » (National Information Security).
Cette loi entrera en vigueur à compter d’une date fixée par décret, et au plus tard le 10 mai 2018. Elle vient compléter les dispositifs préexistants concernant les systèmes d’information d’importance vitale initialement prévus par la loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019. Cette dernière imposait déjà aux « opérateurs d’importance vitale », définis comme les « opérateurs de systèmes pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation », un certain nombre d’obligations en matière de cybersécurité.
La loi sur la cybersécurité crée deux nouvelles catégories d’acteurs devant respecter des obligations similaires :
- Les « opérateurs de services essentiels » (OSE). Il s’agit de toute entité publique ou privée qui fournit « des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services ». Ces opérateurs, dont la liste doit être établie par un décret du Premier ministre d’ici au 9 novembre 2018, devront :
– respecter des règles de sécurité fixées par un décret du premier ministre attendu d’ici le 10 mai 2018. Ces règles doivent définir « les mesures appropriées pour prévenir les incidents qui compromettent la sécurité […] ou pour en limiter l’impact afin d’assurer la continuité [des] services essentiels » ;
– notifier à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) les incidents affectant les réseaux et systèmes d’information susceptibles d’avoir un impact significatif sur la continuité des services ;
– se soumettre à des contrôles effectués par l’ANSSI ou par des prestataires de service qualifiés par le Premier ministre destinés à vérifier le respect de leurs obligations et le niveau de sécurité des réseaux et systèmes d’information. Les OSE devront supporter le coût de ces contrôles.
Tout manquement à l’une de ces obligations pourra donner lieu à une amende pénale allant de 75 000 à 125 000 euros.
- Les « fournisseurs de service numérique » (FSN). Cette terminologie recouvre trois types de services numériques : les places de marché en ligne, les moteurs de recherche en ligne et les services d’informatique en nuage. A l’exception des entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaires annuel n’excède pas 10 millions d’euros, ces fournisseurs devront :
– désigner auprès de l’ANSSI un représentant établi sur le territoire national lorsqu’ils sont établis hors de l’Union européenne et n’ont désigné aucun représentant dans un autre Etat membre ;
– garantir un niveau de sécurité adapté aux risques existants, en identifiant les risques et prenant des mesures techniques et organisationnelles nécessaires et proportionnées pour les gérer et éviter les incidents ou pour en réduire l’impact ;
– notifier à l’ANSSI les incidents affectant les réseaux et systèmes d’information lorsqu’ils ont un impact significatif sur la fourniture des services ;
– se soumettre à des contrôles dont ils supporteront le coût, sur décision du Premier ministre.
Ces contrôles, effectués par l’ANSSI ou par des prestataires de service qualifiés par le Premier ministre, sont destinés à vérifier le respect par les FSN de leurs obligations et le niveau de sécurité des réseaux et systèmes d’information.
En cas de manquement à l’une de ces obligations, des amendes pénales sont prévues allant de 75 000 à 100 000 euros. La loi sur la cybersécurité vient ainsi étendre le champ d’application des opérateurs tenus de mettre en place des mesures de sécurité renforcées sur leur système d’informations.
Soulignons qu’un projet de loi relatif à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense est actuellement en discussion au Parlement.
En matière de cybersécurité, ce projet prévoit d’autoriser les opérateurs de télécoms à mettre en place des dispositifs permettant de détecter les événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés et de leur imposer d’alerter leurs abonnés en cas de vulnérabilité en insérant un nouvel article dans le Code des postes et des communications électroniques (article 19 du projet de loi).
Auteur
Maxime Hanriot, avocat, droit de la propriété Intellectuelle et des nouvelles technologies.