Fuite massive de données personnelles : quelle est la responsabilité de Pôle emploi au regard du droit de la cybersécurité ?

Publié le 19/10/2023
Fuite massive de données personnelles : quelle est la responsabilité de Pôle emploi au regard du droit de la cybersécurité ?
Mono/AdobeStock

Depuis fin août, les données personnelles de millions de demandeurs d’emploi sont échangées sur le darkweb contre quelques centaines de dollars comme conséquence d’une cyberattaque ayant visé une entreprise prestataire de Pôle emploi. Très inquiétant, cet incident, qui n’est pas le premier dans son genre, interroge sur la nature des obligations de Pôle emploi, et des opérateurs de services essentiels de son type, au regard du droit de la cybersécurité. La responsabilité ne repose-t-elle vraiment que sur son prestataire ?

Depuis la fin du mois d’août, les données personnelles de millions de demandeurs d’emploi sont échangées sur le darkweb contre quelques centaines de dollars1 comme conséquence d’une cyberattaque ayant visé une entreprise prestataire de Pôle emploi.

Les nom, prénom, adresse de courrier électronique2 et numéro de sécurité sociale des demandeurs d’emploi sont concernés, l’établissement public indiquant par ailleurs que les numéros de téléphone, mots de passe et coordonnées bancaires ne le seraient pas.

Si Pôle emploi a rapidement indiqué avoir « procédé à une notification auprès de la CNIL », conformément à ses obligations au regard du règlement général sur la protection des données, il n’a rien mentionné sur le terrain de la cybersécurité, rejetant d’ailleurs toute la responsabilité sur son prestataire3.

Pourtant, cet acte de cybermalveillance n’est pas le premier dans son genre. À l’été 2021 déjà, l’organisme avait été victime d’un hacker isolé4 qui avait été capable de récupérer les données de plus d’un million de demandeurs d’emploi.

Alors, aussi inquiétante que soit cette fuite de données personnelles, ce nouvel incident interroge : Pôle emploi agissant en tant qu’opérateur de services essentiels (I), quelles sont ses obligations au regard du droit de la cybersécurité ? Peut-il être désigné « garant » des règles de sécurité appliquées par l’un ou l’autre de ses sous-traitants (II) ? Les nouvelles règles communes européennes à venir seront-elles en mesure d’empêcher ce type d’incidents (III) ?

I – Pôle emploi : un Opérateur de services essentiels (OSE)

L’état du droit actuel

Dans l’Union européenne, les premières règles communes sur la sécurité des réseaux et des systèmes d’information ont été introduites en 2016 par la directive NIS 15  pour Network and Information Security 1.

Ladite directive a ensuite été traduite dans notre ordre juridique interne grâce au travail de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) créée en 20096. La transposition fut ainsi parachevée à travers une loi, celle du 26 février 20187, un décret d’application8 et trois arrêtés ministériels9.

Dans un premier temps et dès 2006, le droit de la défense s’est saisi de la cybersécurité des organismes d’importance vitale (OIV) – entendre par là les infrastructures critiques, essentielles et difficilement substituables ou remplaçables visant à produire et à distribuer des biens ou des services indispensables à la satisfaction des besoins essentiels pour la vie des populations, à l’exercice de l’autorité de l’État, au fonctionnement de l’économie, ou au maintien du potentiel de défense et à la sécurité de la Nation10 – à travers la mise en place du dispositif de « sécurité des activités d’importance vitale11 » qui donnera lieu, plus tard, à l’introduction dans le Code de la défense d’un chapitre II « Protection des installations d’importance vitale »12 tel qu’on le connaît aujourd’hui.

La notion d’OSE

En 2016, au-delà de l’argument sécuritaire, l’Union européenne commence à percevoir l’impact potentiel de la cybermenace sur l’économie de l’Union et le fonctionnement de son marché intérieur.

La directive européenne NIS 1 débouche alors sur un certain nombre de mesures parmi lesquelles, notamment, l’identification de plusieurs vagues d’opérateurs de services essentiels (OSE) et de fournisseurs de services numériques (FSN) désormais tenus d’appliquer de nouvelles règles de cybersécurité.

Depuis lors, les OSE sont définis comme des « opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services13 ».

En coordination avec les ministères, l’ANSSI les désigne sur la base d’une liste de services essentiels au fonctionnement de la société ou de l’économie14, dès lors qu’elle estime qu’ils fournissent au moins un des services mentionnés sur la liste, et qu’un incident affectant leurs réseaux aurait des conséquences graves au regard d’un certain nombre de critères tels que le nombre d’utilisateurs dépendant du service, la portée géographique, l’incidence sur le fonctionnement de l’économie ou de la société, ou sur la sécurité publique15.

Sur cette liste socle, le calcul et le paiement des aides à l’emploi réalisés par les opérateurs de paiement agissant dans le secteur de l’emploi et de la formation professionnelle ont été désignés comme comptant parmi les « services essentiels au fonctionnement de la société ou de l’économie ».

Et, si la liste des OSE qui ont fait l’objet d’un arrêté de désignation demeure confidentielle, il n’y a plus aucun doute sur le fait que Pôle emploi, établissement public administratif exerçant les services essentiels mentionnés, a été désigné OSE au regard de l’ensemble des autres critères définis par le décret de 2018.

Pôle emploi, OSE, est donc mû par les règles de cybersécurité issues de la directive NIS 1 et, bientôt, par celles de la directive NIS 216 qui devra être transposée rapidement.

II – Quelles sont les obligations des OSE ?

Les obligations des OSE sont de plusieurs ordres.

L’obligation d’alerte

La première d’entre elles, qui intéresse notre cas pratique, est inscrite à l’article 11 du décret de 2018. Les OSE désignés doivent, « dès qu’ils en ont connaissance »17 déclarer à l’ANSSI les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de services essentiels lorsque ces incidents « ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services ».

Le système d’alerte ainsi défini doit permettre à l’entité concernée de demander une assistance si nécessaire et, à l’ANSSI, d’en mesurer – voire d’en limiter – rapidement l’impact et la gravité, d’identifier les éléments de compromission et d’évaluer plus tard les mesures de détection et de prévention déployées.

Peut-on considérer que Pôle emploi était alors tenu d’alerter l’ANSSI au même titre qu’il était tenu de le faire pour la CNIL ?

La négative semble s’imposer, pour deux raisons principales.

La première – Pôle emploi s’est d’ailleurs attaché à le préciser dans chacun de ses messages d’alerte, y compris dans son communiqué de presse – est qu’il ne semble pas que l’incident de cybersécurité ait entraîné un risque sur l’indemnisation et l’accompagnement des demandeurs d’emploi, ni sur leur accès à leur espace personnel. En ce sens, il serait difficile de considérer que l’incident ait eu « un impact significatif sur la continuité » des services essentiels délivrés par Pôle emploi, à savoir le calcul et le paiement des aides à l’emploi.

La question de la sous-traitance

La seconde, et non des moindres, est que s’il fallait appliquer l’obligation à Pôle emploi, cette dernière ne s’appliquerait pas pour autant à son sous-traitant, la société Majorel, en cause dans le cas présent. Aucune des règles de cybersécurité ayant permis de transposer la directive NIS 1 ne fait référence à la question de la chaîne logistique et de la sous-traitance.

D’ailleurs, au sein de la directive européenne elle-même, le seul renvoi aux sous-traitants se manifeste dans le préambule18 sous l’emploi du conditionnel : « Les exigences en matière de sécurité et de notification devraient s’appliquer aux opérateurs de services essentiels et aux fournisseurs de service numérique concernés, que la maintenance de leurs réseaux et systèmes d’information soit assurée en interne ou qu’elle soit sous-traitée ».

Sur ce sujet, l’ANSSI a fait le choix de ne pas aller au-delà de ce dont dispose la directive. Pourtant, consciente depuis longtemps que les sous-traitants représentent aujourd’hui le maillon le plus faible de la chaîne de sécurité déployée par l’opérateur (public ou privé), elle indique tout de même sur son site internet19 : « Les OSE doivent prendre les mesures nécessaires notamment par voie contractuelle pour garantir le respect des règles de sécurité par les opérateurs tiers dont les systèmes d’information participent à la sécurité ou au fonctionnement de leurs SIE20. De ce fait, il apparaît nécessaire que les contrats conclus entre les OSE et les prestataires de services contiennent une clause d’auditabilité afin de permettre l’application du cadre réglementaire NIS et par conséquent des contrôles ».

En d’autres termes, l’ANSSI appelle de ses vœux, mais ne peut imposer, que les OSE intègrent dans leurs relations contractuelles avec les tiers sous-traitants des clauses leur imposant le respect des mêmes règles de sécurité, voire la possibilité de se voir soumettre, au même titre que leur donneur d’ordres, aux mêmes contrôles de sécurité.

Règles de sécurité et contrôles aléatoires

C’est là la deuxième partie de notre propos, les conclusions qui s’appliquent à l’obligation d’alerte précoce s’appliquent malheureusement aussi aux autres catégories d’obligations imposées aux OSE, à savoir : l’application des règles de sécurité pour prévenir les incidents qui compromettent la sécurité des réseaux et des systèmes d’information21 d’un côté, et la soumission à des contrôles aléatoires destinés à vérifier le niveau de sécurité de ces mêmes réseaux, de l’autre22.

Les règles de sécurité qui s’appliquent aux OSE à compter de la date de leur désignation sont définies à l’arrêté du 14 septembre 201823 et s’intéressent à la fois à la gouvernance, la protection, la défense des réseaux et systèmes d’information des opérateurs, ainsi qu’à la résilience des activités qu’ils mènent et à la gestion des crises en cas d’incidents.

Parmi elles, on peut notamment s’intéresser à l’obligation de déployer et de mettre à jour une analyse de risque et une politique de sécurité des réseaux et des systèmes d’information (PSSI) adaptées, impliquant, pour ce qui concerne notre cas pratique, que soient identifiés en amont les rôles et les responsabilités du personnel interne et externe à l’égard de la sécurité des services d’information essentiels (SIE) ou encore, par exemple, que soient définies les mesures de sécurité permettant de contrôler l’accès aux SIE, de détecter, de traiter, de gérer les risques et d’assurer la reprise des activités.

Les SIE devraient être correctement cartographiés, configurés et cloisonnés, leur sécurité régulièrement auditée et homologuée pour permettre en fonction des cas d’éviter ou de limiter la propagation des attaques informatiques.

L’opérateur doit protéger l’accès à ses systèmes d’information essentiels accessibles à distance, tout particulièrement lorsqu’ils sont accessibles à des utilisateurs externes via les réseaux publics : au moyen de mécanismes de chiffrement et d’authentification, notamment, conformes aux règles préconisées par l’ANSSI24.

Élément important, l’opérateur doit également mettre en place des mécanismes de filtrage des flux de données qui circulent dans ses systèmes d’information essentiels, de manière à limiter la circulation de flux de données inutiles, qui seraient susceptibles de faciliter des attaques informatiques.

Enfin, la politique de sécurité implique qu’une attention particulière soit portée à l’égard des droits d’accès, à la fois de ceux des comptes administrateurs et de ceux des utilisateurs externes, afin de s’assurer de la légitimité d’une personne à exécuter certaines actions d’administration ou à accéder à certaines ressources. On le comprend, cette partie nous renvoie directement à la question de la sécurité des données, celles nécessaires de manière générale à la fourniture du service essentiel, mais celles, aussi, qui sont personnelles aux utilisateurs.

En outre, nous le mentionnions plus tôt, l’OSE désigné pourrait être soumis à un ou plusieurs contrôles destinés à vérifier le respect des règles de sécurité énoncées et le niveau de sécurité de ses réseaux et systèmes d’information nécessaires à la fourniture de ses services essentiels.

La décision de procéder à un contrôle relève de la compétence du Premier ministre25, le contrôle lui-même est exercé par l’ANSSI26 et donne lieu, à son issue, à la rédaction d’un rapport exposant les constatations de l’Agence. En cas de manquement constaté à l’occasion du contrôle qu’elle effectue, l’ANSSI est investie du pouvoir de mettre en demeure les dirigeants de l’opérateur de se conformer, dans le délai qu’elle fixe, aux obligations qui lui incombent quant au respect des règles de sécurité. L’article 9 de la loi de 2018 prévoit même la possibilité pour l’ANSSI d’infliger des amendes administratives à l’encontre de ces mêmes dirigeants dans plusieurs hypothèses, parmi lesquelles la non-conformité aux règles de sécurité passé le délai de la mise en demeure27.

En tant qu’OSE, et si ses sous-traitants y échappent, Pôle emploi est bel et bien soumis à l’obligation d’appliquer les règles de sécurité ainsi exposées et peut faire l’objet de contrôles aléatoires.

Ayant ces éléments en tête, plusieurs questions se posent alors à nous naturellement.

Si Pôle emploi avait déjà été victime d’un incident de cybersécurité de grande ampleur en 2021, l’application des règles de sécurité élaborées par l’ANSSI auxquelles il est normalement soumis n’aurait-elle pas quand même pu permettre d’y échapper à l’été 2023 ?

Pôle emploi avait-il, ou aurait-il dû être soumis à un contrôle de sécurité qui aurait permis de détecter les failles de sécurité, y compris via les accès autorisés à ses prestataires ?

Compte tenu de la dangerosité des fournisseurs et des sous-traitants par lesquels passent de plus en plus les cyberattaquants, et dont s’inquiète l’ANSSI elle-même28, les règles de cybersécurité auxquelles sont soumis les OSE ne devraient-elles pas aussi s’appliquer par extension à ces premiers ?

Sur ce dernier point, la directive NIS 2, récemment adoptée, pourrait bien changer la donne.

III – Les nouvelles règles de NIS 2

Devant la multiplication des incidents subis par les organismes publics et les acteurs économiques privés des États membres de l’Union européenne, ainsi que le constat du peu de cyber-résilience dont la plupart d’entre eux ont pu témoigner, le législateur européen s’est récemment emparé de la question cyber29.

Le 14 décembre dernier, l’Union européenne a ainsi définitivement adopté la directive Network and Information Security 2 ou NIS 230.

La directive ayant été publiée au Journal officiel de l’Union européenne le 27 décembre dernier, les États membres disposent d’un délai de 21 mois pour en transposer les exigences dans leur droit national soit, au plus tard, le 17 octobre 2024.

En France, l’ANSSI travaille à élaborer avec les ministères compétents les premières mesures de transposition.

NIS 2 emporte avec elle d’importantes évolutions au droit de la cybersécurité31. Elle s’impose, non plus comme une simple mesure de sécurité informatique mais aussi, et avant tout, comme une mesure de sécurité économique à l’égard des acteurs du marché intérieur européen.

Ainsi, en France et dans tous les pays de l’Union européenne, NIS 2 aura pour premier effet de gonfler le nombre d’entités – publiques autant que privées – concernées par les mesures cyber qu’elle dessine et qui seront précisées dans les ordres juridiques nationaux.

Oubliés les OSE et les FSN, NIS 2 met en place une nouvelle nomenclature. Seront désormais concernées par les règles de cybersécurité, pour les secteurs indiqués, les entités publiques et privées dites « essentielles » et « importantes » 32 désignées comme telles en fonction de leur niveau de criticité et de l’impact que leur dysfonctionnement pourrait avoir, à l’exclusion, sauf exception, des micro et petites entreprises33. À l’échelle nationale, les mesures édictées par la directive devraient ainsi trouver à s’appliquer auprès de milliers d’entités appartenant à 19 secteurs, soit environ 600 types d’entités différentes dont des administrations de toutes tailles et des entreprises allant désormais de la PME à la multinationale34.

Sur le fond, pour se conformer à la directive, les législations nationales devront prévoir que les entités « essentielles » et « importantes » prennent toutes les mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité de leurs réseaux et de leurs systèmes d’information35.

Et, bouleversement important pour ce qui nous concerne, ces règles contraignantes intègrent désormais pleinement la sécurité de la chaîne d’approvisionnement, « y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs »36.

Au sens de la directive NIS 2, la sécurité des réseaux et des systèmes d’information ne peut donc plus s’envisager sans que ne soit appréhendée la question des fournisseurs, des sous-traitants et des prestataires de services.

En préambule37, elle indique d’ailleurs à ce titre que les entités essentielles et importantes devraient être invitées par les législateurs nationaux à évaluer et à prendre en compte les pratiques de cybersécurité de leurs fournisseurs et à intégrer des clauses particulières de gestion des risques cyber dans leurs relations contractuelles.

Élément important pour notre analyse également, NIS 2 prévoit pour la première fois des éléments d’articulation entre ses propres règles et celles du RGPD, dans tous les cas où une infraction aux règles cyber commise par une entité essentielle ou importante donnerait lieu à une violation de données à caractère personnel38. Elle oblige les autorités de contrôle à communiquer entre elles (en France, l’ANSSI et la CNIL) et prévoit qu’un même comportement ne puisse pas faire l’objet à la fois d’une sanction administrative au titre du RGPD et d’une amende administrative prononcée pour violation des règles cyber issues de la transposition de la directive NIS 2.

Notons à ce titre que, tout comme l’a fait le RGPD, puis l’a initié NIS 1, NIS 2 place les organes de direction des entités concernées par ses règles au centre des décisions en matière de cybersécurité.

Ces derniers devront avoir nécessairement approuvé de telles mesures avant qu’elles ne puissent être déployées dans l’entité39 mais, en contrepartie, pourront être tenus pour responsable en cas de défaut et d’absence de dispositions suffisantes. La directive inclut à ce titre40 la responsabilité des personnes physiques exerçant des responsabilités dirigeantes dans l’entité ou capable de la représenter.

Certaines des nouvelles mesures imposées par la directive NIS 2 sont ambitieuses ; elles traduisent, malgré l’outil d’harmonisation minimale que représente la directive, la volonté d’avancer vers un système plus efficace d’anticipation et de gestion de la menace cyber pour préserver les économies européennes, en faisant pour la première fois le lien avec le volet de la protection des données personnelles des utilisateurs.

Cet été 2023 nous l’a encore démontré, le risque cyber n’a jamais été aussi élevé dans l’Union européenne. Il menace, outre la viabilité économique de centaines de milliers d’acteurs, la fourniture de services essentiels au fonctionnement de nos sociétés et les droits de leurs utilisateurs.

Espérons que le législateur national, encouragé par le travail de l’Agence nationale de la sécurité des systèmes d’information, opte pour une transposition ambitieuse des règles édictées par la nouvelle directive NIS 2.

Notes de bas de pages

  • 1.
    L’ensemble de la base de données s’échange contre 900 dollars sur un forum de hackers. V. Numerama, « Cyberattaque Pôle emploi : les données de 10 millions de personnes vendues pour 900 dollars », 25 août 2023, https://lext.so/eO5ldu.
  • 2.
    L’information a été confirmée récemment dans plusieurs médias NTIC malgré ce qu’avançait initialement Pôle Emploi.
  • 3.
    Communiqué de presse de la direction générale de Pôle emploi, le 23 août 2023 : « Un prestataire de Pôle emploi victime d’un acte de cyber-malveillance ».
  • 4.
    V. not., art. Les Numériques, « 1,2 millions de Pôle emploi sur le Net : le pirate renonce à la vente », 17 juin 2021.
  • 5.
    PE et cons. UE, dir. n° 2016/1148, 6 juill. 2016, concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
  • 6.
    D. n° 2009-834, 7 juill. 2009, portant création d’un service à compétence nationale dénommé Agence nationale de la sécurité des systèmes d’information.
  • 7.
    L. n° 2018-133, 26 févr. 2018, portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.
  • 8.
    D. n° 2018-384, 23 mai 2018, relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.
  • 9.
    Arrêté du 14 septembre 2018, fixant les règles de sécurité et les délais mentionnés à l’article 10 du décret n° 2018-384 du 23 mai 2018, relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique ; Arrêté du 13 juin 2018, fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n° 2018-384, relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de services numérique ; Arrêté du 1er août 2018, relatif au coût d’un contrôle effectué par l’Agence nationale de la sécurité des systèmes d’information en application des articles 8 et 14 de la loi n° 2018-133 du 26 février 2018, portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.
  • 10.
    C. défense, article R. 1332-2.
  • 11.
    D. n° 2006-212, 23 février 2006, relatif à la sécurité des activités d’importance vitale ; Arrêté du 3 juillet 2008, portant modification de l’arrêté du 2 juin 2006 fixant la liste des secteurs d’activités d’importance vitale et désignant les ministres coordonnateurs desdits secteurs.
  • 12.
    L. n° 2013-1168, 18 déc. 2013, relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale, art. 22.
  • 13.
    L. n° 2018-133, 26 févr. 2018, art. 5.
  • 14.
    Liste annexée au décret n° 2018-384 du 23 mai 2018.
  • 15.
    D. n° 2018-384, 23 mai 2018, art. 2.
  • 16.
    PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement n° 910/2014 et la directive n° 2018/1972, et abrogeant la directive n° 2016/1148 (directive SRI 2).
  • 17.
    D. n° 2018-384, 23 mai 2018, art. 11.
  • 18.
    PE et cons. UE, dir. n° 2016/1148, 6 juill. 2016, concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union, § 52.
  • 19.
    https://lext.so/3mTgIb.
  • 20.
    Systèmes d’Information Essentiels.
  • 21.
    D. n° 2018-384, 23 mai 2018, art. 6.
  • 22.
    D. n° 2018-384, 23 mai 2018, art. 8.
  • 23.
    Arrêté du 14 septembre 2018, fixant les règles de sécurité et les délais mentionnés à l’article 10 du décret n° 2018-384 du 23 mai 2018, relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique, annexe I.
  • 24.
    V. « Recommandations pour la protection des systèmes d’information essentiels », guide ANSSI, ANSSI-PA-085, 18 déc. 2020.
  • 25.
    D. n° 2018-384, 23 mai 2018, art. 13.
  • 26.
    Ou par un prestataire de service qualifié.
  • 27.
    Le montant des amendes s’élève entre 75 000 € à 125 000 €, v. L. n° 2018-133, 26 févr. 2018, art. 9.
  • 28.
    V. « L’ANSSI alerte sur la multiplication des cyberattaques via les fournisseurs et sous-traitants », Usine Nouvelle, 11 juin 2021.
  • 29.
    COM (2021) 574 final, ANNEX, proposition de décision du Parlement européen et du Conseil établissant le programme d’action à l’horizon 2030 « La voie à suivre pour la décennie numérique », Bruxelles, le 15 sepéé&t. 2021.
  • 30.
    PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.
  • 31.
    Nous renvoyons le lecteur à notre article « Droit du numérique : quels changements pour 2023 ? », Actu-Juridique.fr 9 mars 2023, n° AJU007u5.
  • 32.
    PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art. 2.
  • 33.
    Commission européenne, recomm. n° 2003/361/CE, 6 mai 2003, concernant la définition des micro, petites et moyennes entreprises. Pour les microentreprises, il s’agit des entreprises qui occupent moins de 10 personnes et dont le chiffre d’affaires annuel ou le total du bilan annuel n’excède pas deux millions d’euros. Pour les petites entreprises, les chiffres sont portés à 50 personnes et 10 millions d’euros.
  • 34.
    « Directive NIS 2 : ce qui va changer pour les entreprises et les administrations françaises », interview d’Yves Verhoeven, sous-directeur Stratégie de l’ANSSI : https://lext.so/E_nUqI.
  • 35.
    PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art. 21.
  • 36.
    PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art. 21.
  • 37.
    PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, préambule, § 85.
  • 38.
    PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art. 35.
  • 39.
    PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art. 20.
  • 40.
    PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art. 32. De toute évidence, l’autorité nationale compétente devrait se voir reconnaître la possibilité de prononcer la responsabilité pénale du dirigeant d’entreprise.
Plan