Droit du numérique : quels changements pour 2023 ?

Publié le 09/03/2023
Numérique, droits
Imajinajib/AdobeStock

En France et partout en Europe, les événements récents accélèrent l’urgence à faire intervenir et évoluer le droit du numérique. L’augmentation du nombre d’incidents de cybersécurité subis par les entreprises de l’Union européenne met en péril les données personnelles des usagers, autant qu’elle fragilise l’activité économique des acteurs de toutes les tailles dans un contexte déjà largement complexifié.

Tirant les conclusions de ce constat, le législateur européen a entendu accélérer son travail, saisir et réguler des aspects de l’environnement numérique qui échappaient jusqu’à présent à toute réglementation. Autant de changements que les acteurs économiques devront parvenir à appréhender et à intégrer ces deux prochaines années et qu’il nous appartient d’aborder.

Qui dit nouvelle année dit, avec elle, son lot de mesures et de réformes législatives qui entreront en vigueur dans les prochains mois.

Écartées les questions récemment débattues du budget de l’État et de la Sécurité sociale, de la réforme de la justice et de l’assurance-chômage, il demeure un sujet pour lequel plusieurs événements récents ont accéléré l’urgence à faire intervenir et évoluer le droit : le numérique.

Fin décembre, le géant de l’intérim Adecco a été victime d’une cyberattaque, les données personnelles de certains de ses intérimaires ayant été subtilisées par un tiers hacker. Parmi les victimes, plus d’une centaine d’entre elles ont eu de l’argent prélevé, par l’entité inconnue, directement sur leurs comptes bancaires.

Quelques jours plus tôt, l’hôpital André-Mignot (centre hospitalier de Versailles) dans les Yvelines a lui aussi subi les conséquences d’une cyberattaque comparable à celle du centre hospitalier sud-francilien de Corbeil-Essonnes de l’été dernier. L’attaque a paralysé le système informatique de l’hôpital pendant de nombreuses heures et nécessité notamment le transfert de certains patients vers d’autres établissements.

Ces incidents, parmi d’autres, révèlent à quel point cybersécurité et protection des données personnelles peuvent être intimement liées. Au-delà de la question publique liée à la sécurité et à la stratégie de défense nationale, ces sujets sont désormais au cœur des préoccupations des acteurs privés, et doivent être intégrés à leur modèle économique et organisationnel.

L’Union européenne dispose dans ces matières d’une compétence partagée avec celle de ses États membres : elle intervient, à la fois dans l’objectif d’améliorer le fonctionnement du marché intérieur (TFUE, art. 114), d’assurer un niveau élevé de protection des consommateurs (TFUE, art. 169), et plus spécifiquement, de garantir la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Sur ce dernier point, l’article 16 du traité sur le fonctionnement de l’Union européenne (TFUE) lui offre une base juridique spécifique pour lui permettre de légiférer.

Et, face à la multiplication des incidents subis, à la fois par les organismes publics et les acteurs économiques privés de ses États membres, ainsi qu’au peu de cyberrésilience dont la plupart d’entre eux ont pu témoigner, le législateur européen a depuis plusieurs mois accéléré son travail1.

En 2023, la législation française devra donc s’adapter aux nouvelles mesures en matière de cybersécurité (I), de protection des données personnelles (II) et, plus largement, de l’internaute « consommateur » (III).

I – Les nouvelles règles cyber de la directive Network and Information Security 2

Le 14 décembre dernier, l’Union européenne a définitivement adopté la directive Network and Information Security 2 ou NIS22. Elle entrera en vigueur avant la fin du mois de janvier 2023, les États membres devant alors transposer ses dispositions avant le 17 octobre 20243.

En France néanmoins, les premières mesures de transposition devraient apparaître dès 2023.

NIS2 succède à NIS1 qui a été transposée dans notre ordre juridique interne en 20184 et fait naître les premières règles de cybersécurité élaborées avec le concours de l’agence nationale de la sécurité des systèmes d’information (ANSSI).

Ces règles ont donné lieu à l’identification d’« opérateurs de services essentiels » (OSE), de « fournisseurs de services numériques » (FSN), et d’« opérateurs d’importance vitale » (OIV), désignés en fonction d’une liste de services essentiels au fonctionnement de la société ou de l’économie5 dans les domaines suivants : l’énergie, les transports, les banques et institutions financières, la santé, les réseaux d’eau et le traitement des eaux non potables, les infrastructures numériques, les assurances, les organismes sociaux et organismes de gestion de l’emploi et de la formation professionnelle, les opérateurs chargés du parcours éducatif national et de l’organisation d’examens nationaux, ainsi que la restauration collective destinée aux secteurs de la santé.

Aujourd’hui, seuls les OSE, les FSN et les OIV sont régis par ces règles et tenus notamment de déclarer à l’ANSSI, « dès qu’ils en ont connaissance »6, les incidents affectant leurs réseaux et systèmes d’information utilisés pour la fourniture de leurs services essentiels lorsqu’ils ont (ou sont susceptibles d’avoir) un impact significatif sur la continuité de ces mêmes services7.

Jusqu’à présent donc, PME et ETI, à moins qu’elles n’aient été qualifiées d’OSE, de FSN ou d’OIV, ne sont soumises à aucune règle en la matière, excepté à celles qui seraient liées à la mise en œuvre du règlement général sur la protection des données (RGPD)8. Elles sont pourtant la cible privilégiée, et de façon accélérée depuis plusieurs mois, de cyberattaques qui peuvent désormais concerner, outre les données personnelles (des clients, des salariés, des fournisseurs ou des prestataires), des données économiques, des données techniques (de fabrication ou de production, d’informations liées aux chaînes d’approvisionnement…) et des brevets.

Face à ce constat et à la multiplication des incidents mentionnés plus tôt, NIS2 veut s’imposer, non plus comme une seule mesure de sécurité informatique, mais aussi et avant tout comme une mesure de sécurité économique.

Ainsi, en rentrant dans le champ d’application de la nouvelle directive, les entreprises désormais concernées seront contraintes de communiquer sur le fait qu’elles ont été attaquées mais, surtout, seront nécessairement amenées à se questionner sur leur niveau de cybersécurité, ainsi qu’à créer des appels de moyens pour se conformer à la loi.

En effet, en France et dans tous les pays de l’Union européenne, NIS2 aura pour premier effet de gonfler le nombre d’entités – publiques, certes – mais surtout privées concernées par les mesures cyber qu’elle dessine et qui seront précisées dans les ordres juridiques nationaux. En France, de nouveaux secteurs s’ajouteront désormais au champ d’application des règles européennes (en sus de ceux que nous avons déjà énoncés) : l’administration publique, le secteur spatial, les réseaux de gestion des déchets, les services postaux, les services de transformation et de distribution des denrées alimentaires ou encore les fabricants de produits chimiques et pharmaceutiques.

Oubliés les OSE et autres FSN et OIV, NIS2 met en place une nouvelle nomenclature.

Seront désormais concernées, pour les secteurs indiqués, les entités publiques et privées dites « essentielles » et « importantes » 9 désignées comme telles en fonction de leur niveau de criticité et de l’impact que leur dysfonctionnement pourrait avoir.

Notons qu’en principe les dispositions de la directive ne devraient pas s’appliquer aux microentreprises et aux petites entreprises au sens où les définit la Commission européenne10.

Pour autant, certaines entreprises devront être soumises aux mesures et ce, quelle que soit leur taille : principalement, les réseaux de communication électroniques publics ou accessibles au public, les registres des noms de domaines (DNS) et leurs prestataires de services, les administrations publiques. L’autorité nationale compétente (en France, l’ANSSI) pourrait également désigner des structures pour lesquelles l’interruption du service est susceptible d’avoir une incidence sur la sécurité, la sûreté ou la santé publiques ; ou encore d’induire des risques systémiques et une incidence transfrontalière. Auquel cas, la taille de la structure désignée ne sera plus un critère excluant pour l’application des règles de cybersécurité.

Conformément à la nouvelle directive, les législations nationales devront prévoir que les entités « essentielles » et « importantes » désormais concernées prennent des mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité de leurs réseaux et de leurs systèmes d’information11. Ces mesures devront couvrir, au minimum, les aspects liés à l’analyse et à l’évaluation des risques encourus, à la gestion des incidents cyber, à la continuité des activités et à la gestion des crises en cas d’attaque, à l’utilisation du cryptage et de la cryptographie ou d’autres solutions de contrôle des accès et, enfin, à la sécurité de la chaîne d’approvisionnement (incluant donc notamment la question des fournisseurs, des sous-traitants et des prestataires de services).

Ce dernier point est intéressant, il n’avait pas été traité par NIS1 alors même que les sous-traitants représentent souvent le maillon le plus faible de la chaîne de sécurité mise en place dans l’entreprise (ou l’entité) concernée.

Pour les administrations publiques et les entreprises de taille moyenne principalement, ces nouvelles obligations à paraître pourraient être perçues comme autant de contraintes lourdes et coûteuses à déployer, techniquement, et financièrement. Faute de personnel qualifié et dédié en matière de sécurité informatique et de sécurité des réseaux, elles pourraient devoir faire appel à des prestataires, revoir leurs procédures internes et externes (incluant celles mises en place avec les fournisseurs, les sous-traitants, les clients…) ou encore passer par l’achat de matériel ou de logiciels.

Pour certains observateurs, cet état de fait pourrait être de nature à créer de nouvelles disparités entre les grandes entités, celles qui ont les moyens de mettre en place de nouvelles contraintes, et celles de taille plus modeste, qui ont déjà été récemment confrontées aux difficultés de mise en conformité avec les règles du RGPD.

Néanmoins, la cybermenace expose désormais toutes les structures, y compris celles de tailles plus modestes.

Si, à première vue, la mise en conformité peut donc apparaître comme un coût d’investissement supplémentaire, le bénéfice tiré de l’amortissement des conséquences de l’attaque et de la vitesse de réponse pourrait être bien plus rentable.

Par ailleurs, et sans trop entrer dans les détails, l’intégration de certaines règles de « base » pourrait permettre à ces dernières d’entamer une mise en conformité avec les règles cyber : l’établissement d’une cartographie exhaustive des systèmes d’information et des flux réseaux, d’une liste complète des actifs matériels (serveurs, PC…), des actifs immatériels (logiciels de base, logiciels métiers…) et des comptes utilisateurs ; puis la segmentation des flux et des réseaux.

Notons que tout comme l’a fait le RGPD, NIS2 place les organes de direction des entités concernées au centre des décisions en matière de cybersécurité. Ils devront avoir nécessairement approuvé de telles mesures avant qu’elles ne puissent être déployées12.

Mais en contrepartie, ils pourront être tenus pour responsables en cas de défaut et d’absence de dispositions suffisantes, la directive incluant, à ce titre13, la responsabilité des personnes physiques exerçant des responsabilités dirigeantes dans l’entité, ou capable de la représenter.

En outre, NIS2 renforce les obligations des entités essentielles et importantes en matière de communication. Désormais, tout incident « ayant une incidence significative sur la fourniture de leurs services » ou « toute cybermenace importante qui aurait pu entraîner un incident significatif » doit être communiqué. Sauf exception, la directive pose ainsi le principe selon lequel les entités seront soumises à un délai de 24 heures pour émettre une première alerte auprès de l’autorité compétente (l’ANSSI pour la France), et lui indiquer si cette intrusion « a été causée par une action illicite ou malveillante ou pourrait avoir un impact transfrontalier »14.

Pour s’assurer de l’exécution des nouvelles règles cyber, les autorités nationales compétentes disposeront de nouveaux leviers de surveillance et de mise à exécution, voire, de sanction : inspections, surveillance distanciée, audits réguliers ou ciblés, scans de sécurité, demande(s) d’accès à des données ou à des documents.

Sur le volet des sanctions, l’ANSSI se verrait également octroyer de nouveaux moyens, telles que la possibilité d’émettre des instructions contraignantes, d’opérer des déclarations publiques pour désigner les responsables des violations des règles cyber, d’imposer une amende administrative15, voire, de nommer dans l’entité désignée, pour une période déterminée, un responsable du contrôle ayant des tâches définies pour superviser le respect des obligations en la matière.

Tous ces aspects soulèveront certainement des questions liées à la frontière entre sûreté et sécurité publiques d’un côté, respect de la vie privée de la personne morale16 et liberté d’exercer librement une activité économique17, de l’autre.

En conclusion, certaines des nouvelles mesures imposées par la directive NIS2, directement aux États membres ou indirectement à leurs entités essentielles et importantes, sont ambitieuses.

Elles traduisent, malgré l’outil d’harmonisation minimale que représente la directive, la volonté d’avancer vers un système plus efficace d’anticipation et de gestion du risque et de la menace cyber pour préserver les économies européennes.

Pour certaines entreprises, bien qu’a priori coûteux et technique, le déploiement de mesures propres à gérer les risques liés à la sécurité des réseaux et des systèmes d’information sur toute la chaîne d’approvisionnement (intégrant fournisseurs, prestataires et sous-traitants) pourrait manifester un gain d’efficacité et, à terme, la réduction des coûts supplémentaires générés par les incidents de cybersécurité. Si les données économiques liées aux conséquences des cyberattaques sont encore compliquées à obtenir, l’on peut tout de même croire que sur le long terme, et dans un contexte de plus en plus insécuritaire, les bénéfices de telles mesures pourraient l’emporter sur les coûts d’investissement nécessaires au départ.

Néanmoins, plusieurs questions demeurent irrésolues dans la pratique et certaines frontières devront être clairement délimitées. Dotée de nouveaux pouvoirs et de moyens pour les appliquer à l’échelle nationale, l’ANSSI ne devrait pas avoir à agir comme une police répressive à l’encontre des entreprises, de plus en plus guidées et ralenties par des contraintes législatives et réglementaires, plutôt que par leur initiative propre à assurer leur sécurité. Des différends liés à l’articulation entre ces nouvelles prérogatives et la liberté d’entreprendre et d’exercer librement une activité économique pourraient se manifester une fois la directive transposée.

Il est utile à cet égard de se demander quelle(s) voie(s) de recours ces entités seront autorisées à actionner en cas de désaccord, alors que l’on sait que le décret de 2018 pris en application de NIS1 imposait à tout opérateur de services essentiels de former un recours administratif préalable (Rapo) auprès du Premier ministre avant de pouvoir former un recours contentieux recevable.

II – La certification RGPD : le nouveau « faire-valoir » des acteurs économiques ?

Plus de quatre années après l’entrée en application dans l’Union européenne du règlement général sur la protection des données18, le comité européen de protection des données19 a approuvé, le 10 octobre dernier20, le premier référentiel de certification RGPD.

Le RGPD lui-même prévoyait le déploiement d’un tel mécanisme, son article 42 intitulé « Certification », disposant à cet égard :

« Les États membres, les autorités de contrôle, le comité et la Commission encouragent, en particulier au niveau de l’Union, la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière, aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent le présent règlement. Les besoins spécifiques des micro, petites et moyennes entreprises sont pris en considération (…).

La certification est volontaire et accessible via un processus transparent ».

Le mécanisme de certification ainsi autorisé, appelé Europrivacy21 du nom de l’autorité luxembourgeoise qui en détient la paternité22 constitue, à ce jour, le seul référentiel permettant à une organisation de faire reconnaître un niveau de conformité opposable au sens du RGPD et répondant aux exigences de son article 42.

D’après ce que l’on sait déjà, la certification Europrivacy pourrait être utilisée pour de nombreuses catégories d’activités de traitement des données et être adaptée en fonction du secteur et des technologies utilisées23.

En outre, Europrivacy peut être étendue aux obligations nationales spécifiques et s’adapter aux technologies émergentes (telles que l’intelligence artificielle, la blockchain…).

Ainsi, dans chaque pays européen, l’autorité nationale de protection des données (en France, la CNIL)24, accréditera des cabinets autorisés à auditer et à délivrer – ou refuser – la certification.

Pour beaucoup d’entreprises, cette certification représente l’opportunité de faire vérifier, par un tiers indépendant, leur conformité au RGPD et donc, d’atténuer les risques juridiques et financiers.

Pour rappel et à ce titre, dans le pire des cas, une entreprise dont le manquement au RGPD serait constaté peut se voir infliger une sanction pécuniaire pouvant être portée jusqu’à 4 % de son chiffre d’affaires annuel mondial25.

La certification exclurait ainsi toute contestation de non-conformité avec les règles et donc toute sanction. Mais, au-delà de ces aspects, l’avantage réputationnel s’impose également comme un argument convaincant pour les entreprises, dès lors qu’une telle certification serait de nature à démontrer publiquement la conformité au règlement et aux règles nationales spécifiques de traitement et de protection des données personnelles. En outre, l’outil pourrait s’imposer comme un critère supplémentaire pour la sélection de nouveaux partenaires commerciaux, de fournisseurs ou de sous-traitants, ou encore constituer un critère supplémentaire pour l’attribution d’offres ou de commandes publiques.

A contrario, certaines voix s’élèvent contre ce type de mécanisme, considérant qu’il serait de nature à privilégier une nouvelle fois parmi les plus grandes des entreprises et à isoler celles de taille plus « modeste ». Seules les premières seraient ainsi capables de financer un accompagnement vers la certification, ainsi que l’ensemble des coûts liés à son obtention, incluant, outre les frais d’accompagnement du prestataire accrédité : des frais de publication, d’éventuels frais d’achat de logiciel(s), ou de formation du DPO. A contrario, de plus petites entreprises, faute de moyens, pourraient être exclues de ce schéma, et exclues de certains marchés si, dans l’avenir, la certification RGPD devenait l’usage.

III – Le règlement Digital Service Act pour une protection accrue des internautes

C’est un autre point majeur – et complémentaire – du droit du numérique : la protection des consommateurs, des internautes, et de leurs droits fondamentaux en ligne, sur laquelle le règlement sur les services numériques26 entend agir.

Le règlement relatif à un marché unique des services numériques, autrement appelé règlement DSA (pour Digital Service Act) complète – et modifie sur certains aspects27 – la fameuse directive dite e-commerce28 de juin 2000 obsolète sur de nombreux points, compte tenu de l’évolution technologique et de la place désormais prise, dans le quotidien des consommateurs et dans l’économie, des services de la société de l’information et surtout, des services dits intermédiaires.

Poursuivant l’objectif latent d’amélioration du fonctionnement du marché intérieur, le règlement DSA entend notamment harmoniser les règles applicables aux services intermédiaires et à leurs fournisseurs pour garantir un environnement en ligne plus sûr, qui facilite l’innovation, dans lequel les droits fondamentaux consacrés de la Charte29 seraient efficacement protégés.

Il s’agit d’appliquer le principe, répété par les institutions de l’Union30, selon lequel « ce qui est illégal hors ligne est illégal en ligne ».

Pour le législateur européen, la lutte contre les contenus illicites, la vente de produits illégaux, la désinformation et les pratiques frauduleuses devra donc nécessairement se faire par le biais de l’harmonisation des règles applicables aux services de la société de l’information et notamment aux fournisseurs de services intermédiaires auxquels il s’adresse.

Sont ainsi principalement concernés : les services dédiés dans la transmission d’informations fournies par un utilisateur, la fourniture d’accès à un réseau de communication (réseaux sociaux…) ou de mise en relation des utilisateurs (plateformes en ligne telles que Le Bon Coin, Vinted, AirBnb…), les services de « mise en cache », les services d’hébergement et de stockage et, plus généralement encore, tous les services fournis normalement contre rémunération, à distance par voie électronique.

Tous les services intermédiaires sont concernés dès lors qu’ils sont proposés à des destinataires situés dans l’Union, et ce, quel que soit le lieu d’établissement du fournisseur.

En préférant le choix du pays de destination plutôt que celui du lieu d’établissement du prestataire, le législateur – sur le modèle instauré par le RGPD – balaie une difficulté majeure liée à l’interprétation du champ d’application ratione loci de la réglementation européenne.

Applicable à compter du 17 février 2024, le règlement s’applique néanmoins depuis le 16 novembre 2022 pour certaines de ses dispositions qui concernent principalement les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne31 et produira donc ses premiers effets dans les mois à venir.

Pour toutes les entreprises dont les services entrent dans son champ d’application, et à l’exclusion des micro et petites entreprises32, le règlement DSA fera ainsi désormais peser de nouvelles obligations que l’on peut catégoriser :

La transparence :

Les entreprises concernées devront répondre sans délai aux injonctions de fournir des informations concernant des destinataires spécifiques que les autorités nationales compétentes leur adresseraient.

Elles auront à charge d’identifier un point de contact unique pour communiquer avec les autorités nationales et européennes désignées (et en faire de même pour les destinataires de leurs services).

Elles devront assurer la clarté de leurs conditions générales en ligne et inclure impérativement des renseignements précis sur les politiques, procédures, mesures et outils utilisés à des fins de modération, y compris – et c’est innovant – s’agissant des prises de décisions issues d’un algorithme.

Lesdites entreprises devront également garantir la diffusion d’une information suffisante à destination des mineurs et de leurs éventuelles conditions de restriction relatives à l’utilisation du service.

Une fois par mois, elles auront la tâche de produire un rapport de « transparence »33 placé à la disposition du public et concernant les éventuelles actions de modération des contenus auxquelles elles se sont livrées.

La lutte contre les contenus et les pratiques illicites.

Les fournisseurs des services concernés devront mettre en place un mécanisme spécifique de notification pour permettre aux destinataires de leurs services de signaler la présence d’éléments ou d’informations considérés comme du contenu illicite.

En outre, ils seront désormais tenus par une obligation de diligence pour la notification des infractions pénales : lorsque le fournisseur a connaissance d’information(s) conduisant à soupçonner qu’une infraction pénale présentant une menace pour la vie ou la sécurité d’une ou plusieurs personnes est commise ou est susceptible d’être commise, il devra en informer « promptement »34 les autorités judiciaires ou répressives de l’État membre concerné. Cette obligation renvoie, parmi d’autres exemples nombreux, aux cas de harcèlements en ligne.

Les fournisseurs auront également pour obligation de suspendre la fourniture de leurs services aux destinataires qui fournissent fréquemment des contenus manifestement illicites.

La protection de l’internaute « consommateur ».

Le règlement dispose en outre que les fournisseurs de plateformes en ligne ne puissent plus concevoir, organiser ou exploiter leurs interfaces en ligne de façon à tromper ou manipuler les destinataires de leurs services, ou – et c’est une approche pour le moins élargie – « de toute autre façon propre à altérer ou à entraver substantiellement la capacité des destinataires de leur service à prendre des décisions libres et éclairées ».

De nouveaux garde-fous entoureront également la publicité sur les plateformes en ligne, dans le but d’améliorer l’information des internautes : ces derniers devront notamment pouvoir se rendre compte que les informations concernées consistent en de la publicité y compris, si nécessaire, par le biais de marquages bien visibles. Il s’agit par ce biais d’écarter les « pièges à utilisateurs ».

De la même façon, le système de « recommandation » de certaines plateformes en ligne qui permet de suggérer certaines informations plutôt que d’autres aux destinataires des services devra désormais être transparent35.

En outre, les plateformes qui mettent en relation les internautes avec des professionnels pour la conclusion de contrats à distance devront assurer la traçabilité de ces mêmes professionnels et de leur identité.

Un nombre important de mesures a également été établi dans le but de réguler l’activité en ligne des « très grandes plateformes et des très grands moteurs de recherche », souvent étrangers, et qualifiés ainsi lorsqu’ils atteignent « un nombre mensuel moyen de destinataires actifs du service dans l’Union égal ou supérieur à 45 millions »36. Ces derniers ne pourront donc échapper à une mise en conformité avec les règles du règlement DSA qui, par ailleurs, responsabilise les États membres pour la détermination du régime des sanctions applicables37.

En France, à ce titre, les compétences de la DGCCRF (direction générale de la concurrence, de la consommation et de la répression des fraudes) pourraient être renforcées.

On le constate, le règlement DSA intègre ainsi bien des aspects encore jamais saisis par le droit « dur » (hard law) et peut à ce titre légitimement être considéré comme une « première mondiale dans le domaine de la réglementation numérique »38, destiné, grâce au choix retenu pour son champ d’application, à produire des effets au-delà des seules frontières de l’Union Européenne.

Il traduit, avec les récentes initiatives du législateur européen, une volonté ferme de saisir et de réguler des aspects de l’environnement numérique qui échappaient jusqu’à présent à toute réglementation, et que le règlement DMA (pour Digital Market Acts)39 du 14 septembre 2022 complète pour la dimension économique et concurrentielle.

À l’échelle nationale, les États membres devront intégrer ces nouvelles références comme autant d’opportunités de renforcer la sécurité de leurs agents économiques et des internautes, ainsi que de faciliter la pratique de ces marchés, sans exclure du bénéfice de ces évolutions les petites et les moyennes structures.

Notes de bas de pages

  • 1.
    COM (2021) 574 final, ANNEX, Proposition de décision du Parlement européen et du Conseil établissant le programme d’action à l’horizon 2030 « La voie à suivre pour la décennie numérique », Bruxelles, le 15 sept. 2021.
  • 2.
    PE et Cons. UE, dir. n° 2020/0359, 14 déc. 2022, concernant les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.
  • 3.
    PE et Cons. UE, dir. n° 2020/0359, 14 déc. 2022, concernant les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art. 41.
  • 4.
    Par L. n° 2018-133, 6 févr. 2018 portant diverses dispositions d’adaptation au droit de l’Union Européenne dans le domaine de la sécurité – D. n° 2018-384, 23 mai 2018, relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique –  A., 14 sept. 2018, fixant les règles de sécurité et les délais mentionnés à l’article 10 du décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique – A., 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n°2018-384 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de services numérique – A., 1er août 2018 relatif au coût d’un contrôle effectué par l’Agence nationale de la sécurité des systèmes d’information en application des articles 8 et 14 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.
  • 5.
    Liste annexée à D. n° 2018-384, 23 mai 2018, relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.
  • 6.
    D. n° 2018-384, 23 mai 2018, relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique, art. 11.
  • 7.
    Notons par ailleurs que la loi de 2018 promulguée aux fins de transposer NIS 1 prévoit déjà un système de sanction, et la possibilité pour l’ANSSI de prononcer différentes amendes administratives dont le montant peut s’élever entre 75 000 € et 125 000 €, en fonction du type de règle(s) méconnue(s) par l’opérateur concerné.
  • 8.
    PE et Cons. UE, règl. n° 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
  • 9.
    PE et Cons. UE, règl. n° 2016/679, 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 2.
  • 10.
    Commission européenne, recomm. n° 2003/361/CE, 6 mai 2003, concernant la définition des micro, petites et moyennes entreprises. Pour les microentreprises, il s’agit des entreprises qui occupent moins de dix personnes et dont le chiffre d’affaires annuel ou le total du bilan annuel n’excède pas deux millions d’euros. Pour les petites entreprises, les chiffres sont portés à 50 personnes et dix millions d’euros.
  • 11.
    PE et Cons. UE, dir. n° 2020/0359, 14 déc. 2022, concernant les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art. 18.
  • 12.
    PE et Cons. UE, dir. n° 2020/0359, 14 déc. 2022, concernant les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art. 17.
  • 13.
    PE et Cons. UE, dir. n° 2020/0359, 14 déc. 2022, concernant les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art. 29, § 6. De toute évidence, l’autorité nationale compétente devrait se voir reconnaître la possibilité de prononcer la responsabilité pénale du dirigeant d’entreprise.
  • 14.
    Puis, au plus tard un mois après la date de signalement, communiquer un rapport final comprenant a minima : une description détaillée de l’incident sur sa gravité et son incidence, le type de menace ou la cause profonde qui a probablement déclenché l’incident, les mesures d’atténuation appliquées et en cours.
  • 15.
    La directive fixe un montant maximum pour les amendes administratives pouvant aller jusqu’à dix millions d’euros ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent.
  • 16.
    Incluant respect des secrets industriels et commerciaux.
  • 17.
    Reliée elle-même à la liberté d’entreprendre, un principe ayant en France valeur constitutionnelle.
  • 18.
    PE et Cons., règl. n° 2016/679, 27 avr. 2016, entré en application le 25 mai 2018.
  • 19.
    Organe indépendant réunissant les autorités nationales de protection des données de toute l’UE.
  • 20.
    Opinion 28/2022 on the Europrivacy criteria of certification regarding their approval by the Board as European Data Protection Seal pursuant to Article 42.5 (GDPR), 10 oct. 2022.
  • 21.
    Continuellement mis à jour par l’ECCP afin d’y intégrer les évolutions réglementaires et la jurisprudence la plus récente.
  • 22.
    European Centre for Certification and Privacy (ECCP) au Luxembourg.
  • 23.
    www.europrivacy.com/en/ep/benefits – Opinion 28/2022 on the Europrivacy criteria of certification regarding their approval by the Board as European Data Protection Seal pursuant to Article 42.5 (GDPR), 10 oct. 2022, art. 2.1.
  • 24.
    Le COFRAC (comité français d’accréditation) pourrait également jouer ce rôle.
  • 25.
    Le RGPD – et par extension, la CNIL – caractérisant par ailleurs la responsabilité du/des responsable(s) de traitements au sein de l’entreprise.
  • 26.
    PE et Cons., règl. n° 2022/2065, 19 oct. 2022, relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE.
  • 27.
    V. en ce sens not., PE et Cons. UE, dir. n° 2020/0359, 14 déc. 2022, concernant les mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art. 1er et 89.
  • 28.
    PE et Cons., dir. n° 2000/31, 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (directive sur le commerce électronique).
  • 29.
    Charte des droits fondamentaux de l’Union européenne (2000/C 364/01), adoptée le 7 déc. 2000.
  • 30.
    Cons. UE, communiqué de presse n° 887/21, 25 nov. 2021.
  • 31.
    V. à ce titre, PE et Cons., règl. n° 2022/2065, 19 oct. 2022, relatif à un marché unique des services numériques art. 93.
  • 32.
    PE et Cons., règl. n° 2022/2065, 19 oct. 2022, relatif à un marché unique des services numériques, art. 19, sur le même modèle que la directive NIS2.
  • 33.
    PE et Cons., règl. n° 2022/2065, 19 oct. 2022, relatif à un marché unique des services numériques art. 15, qui prévoit une liste d’informations obligatoires à mentionner dans les rapports de transparence.
  • 34.
    PE et Cons., règl. n° 2022/2065, 19 oct. 2022, relatif à un marché unique des services numériques art. 18.
  • 35.
    PE et Cons., règl. n° 2022/2065, 19 oct. 2022, relatif à un marché unique des services numériques, art. 27.
  • 36.
    PE et Cons., règl. n° 2022/2065, 19 oct. 2022, relatif à un marché unique des services numériques art. 33.
  • 37.
    PE et Cons., règl. n° 2022/2065, 19 oct. 2022, relatif à un marché unique des services numériques art. 52, le règlement énonce des montants maxima pour les amendes infligées par les États membres.
  • 38.
    Cons. UE, communiqué de presse n° 386/22, 23 avr. 2022
  • 39.
    PE et Cons., règl. n° 2022/1925, 14 sept. 2022, relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828.
Plan