• Informatique et TIC

    par brm_admin

    La nouvelle directive cybersécurité (Directive NIS) : un mal vraiment nécessaire ?

     

    L’arsenal juridique européen dans le domaine du numérique ne cesse de s’enrichir en cette année 2016, aussi convient-il  de ne pas oublier « la directive (UE) 2016/1148 du Parlement et du Conseil du 6 juillet 2016 relatives aux  mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union ».

    • Objectif de la nouvelle législation

    Ce texte a pour objet d’établir « des mesures visant à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union afin d’améliorer le fonctionnement du marché intérieur[1] ».  S’agissant des traitements des données à caractère personnel, la nouvelle directive se réfère pour l’instant à la directive 95/46/CE qui est appelée à disparaître au profit du Règlement général sur la protection des données personnelles[2].

    • Autorités visées par le texte

    Pour veiller à la bonne application de cette directive, chaque Etat membre devra désigner une autorité nationale compétente en matière de sécurité des réseaux et des systèmes d’information (l’ANSSI joue actuellement ce rôle en France) et un point de contact national unique en matière de sécurité des réseaux et des systèmes d’information (CERT-FR). Ces autorités disposeront de pouvoirs et de moyens nécessaires pour évaluer le respect, par les opérateurs de services essentiels et les fournisseurs de services numérique des obligations qui leur incombe en vertu de la directive.

    • Acteurs visés

    Le texte vise essentiellement deux types d’acteurs : les opérateurs de services essentiels[3] (notion qui se rapproche fortement de la notion française d’Opérateur d’importance vitale) et les fournisseurs de services numériques[4].

    Avant tout, chaque acteur aura pour obligation d’identifier les risques susceptibles de menacer la sécurité de ses réseaux et des systèmes d’information qu’il utilise. Cette première démarche s’effectuera sans doute par le recours à des audits, des analyses d’impacts ou des tests d’intrusion… , toutes diligences qui correspondent déjà aujourd’hui aux bonnes pratiques et aux recommandations de la Cnil.

    Pour chacun de ces acteurs, la directive impose une obligation de sécurité et de notification des incidents[5].

    Sur les mesures de sécurité

    Chaque acteur aura l’obligation de prendre « des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leur activité ». Cette obligation est exactement celle imposée par le règlement européen sur la protection des données à tous les responsables de traitement. Aussi le respect strict du règlement européen sur la protection des données constituera-t-il une présomption de respect de l’obligation de sécurité imposée par la directive. Quant à l’obligation de notification, chaque opérateur devra notifier à l’autorité compétente, au CSIRT, sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services.

    Sur l’obligation de notification

    Cette obligation de notification est également présente dans le règlement européen du 20 mai 2016 pour les violations de données personnelles et est faite dans ce cadre à l’autorité de contrôle nationale , en France la Cnil.

    Or dans la plupart des cas la violation de données personnelles sera la conséquence d’un « incident » au sens de la directive,  de sorte qu’il faut comprendre qu’il y aura dans ces cas ( majoritaires ) à pratiquer deux notifications et un dialogue avec deux organismes de contrôle !

    Même si on imagine que le process de notification sera mutualisé par l’équipe « faille de sécurité » , il n’en reste pas moins qu’il faudra répondre , dans des délais très brefs ( 72 heures au niveau du Règlement européen ) à ces deux autorités qui auront parfois des exigences différentes : de quoi clairement alourdir les démarches et processus.

    Les Etats membres ont jusqu’au 9 mai 2018 (soit 16 jours avant l’entrée en vigueur du règlement général sur la protection des données) pour se conformer à ce nouvel arsenal juridique.  Les états membres devront prévoir des sanctions  et de point de vue la directive ouvre la voie à des divergences alors que le Règlement européen sur les données réalise une harmonisation et permet d’ailleurs déjà de sanctionner un défaut de sécurité .

    Eu égard au temps de transposition du législateur français ( 9 ans pour la directive données personnelles ) l’application de la directive risque d’intervenir bien après que les guidelines du Règlement Européen de protection des données auront donné le tempo.

    L’articulation entre les deux textes en sera peut-être, espérons le, facilité.

     

    Martine Ricouart-Maillet                                                          Nick Nzengolo

    Avocat Associée, Responsable d’audit                                     Juriste

    VP de l’AFCDP

     

    Pour en savoir plus :

     

    [1] Article 1e de la directive

    [2] Selon l’article 94 §2 du Règlement, « les références faites à la directive abrogée s’entendent comme faite au présent règlement… »

    [3] La directive définit dans son article 5 les différents critères à remplir pour être qualifié comme tel.

    [4] Il est défini dans l’article 5 de la directive comme une personne morale qui fourni un service numérique (place de marché, moteur de recherche, service informatique en nuage)

    [5] La directive définit l’incident comme tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d’information