Cyber Resilience Act : l’Europe veut renforcer la sécurité de tous les objets connectés

La loi sur la cyberrésilience proposée par la Commission européenne (le Cyber Resilience Act) devrait constituer la pierre angulaire d’une nouvelle norme de cybersécurité pour les appareils connectés. Une norme dont l’impact dépassera largement les frontières de l’Europe.

Présentée le 15 septembre 2022 – après avoir été annoncée par la présidente Ursula von der Leyen il y a 12 mois – cette loi s’inscrit dans le cadre de la stratégie de cybersécurité de l’Union européenne (Cybersecurity Strategy).

Elle impose des exigences et des obligations en matière de cybersécurité aux fabricants d’objets connectés, au sens large, en les forçant à fournir un support continu et des correctifs logiciels, et à donner des informations suffisantes aux consommateurs sur la sécurité de leurs produits.

« Nous devons pouvoir nous sentir en sécurité quand nous achetons des produits au sein du marché unique », a déclaré pour l’occasion Margrethe Vestager, la commissaire européenne chargée du projet Europe Fit for the Digital Age. « Tout comme nous pouvons faire confiance à un jouet ou à un réfrigérateur portant le label “CE”, la loi sur la cyberrésilience garantira que les objets connectés et les logiciels que nous achetons sont conformes et apportent de solides garanties de cybersécurité. Elle placera la responsabilité là où elle doit être, c’est-à-dire chez ceux qui mettent les produits sur le marché ».

« La loi sur la cyberrésilience garantira que les objets connectés et les logiciels que nous achetons sont conformes et apportent de solides garanties de cybersécurité. »

« Ordinateurs, téléphones, appareils ménagers, dispositifs d’assistance virtuelle, voitures, jouets : ces centaines de millions de produits connectés sont des points d’entrée potentielle pour une cyberattaque », liste Thierry Breton, commissaire européen chargé du marché intérieur. « Et pourtant, aujourd’hui, la plupart des produits et des logiciels ne sont soumis à aucune obligation en matière de cybersécurité », souligne-t-il. « En introduisant la notion de “cybersécurité par défaut” (“security by design”), le Cyber Resilience Act contribuera à protéger l’économie européenne et notre sécurité collective ».

La Commission avance que les nouvelles règles rééquilibreront les responsabilités en matière de sécurité en impliquant plus les fabricants et les éditeurs. Ceux-ci seront tenus de s’assurer qu’ils se conforment bien aux nouvelles exigences, ce qui devrait renforcer la transparence, favoriser la confiance, assurer une meilleure protection des droits fondamentaux sur le respect de la vie privée, et influer sur les exigences réglementaires partout dans le monde, espère l’Europe.

« Cette loi ne doit pas être considérée comme une exigence européenne », confirme Keiron Holyome, vice-président de BlackBerry pour le Royaume-Uni, l’Irlande et la région EMEA. « En fait, elle sera comme une nouvelle norme mondiale ». Comme le RGPD avant elle, ou/et l’AI Act en cours d’élaboration.

« Les nouvelles règles proposées s’inscrivent dans le cadre d’une initiative réglementaire plus large sur la cybersécurité dans l’Union », ajoute Rod Freeman, associé du cabinet d’avocats Cooley qui possède un bureau à Bruxelles. Pour lui, cet « Act » annonce un « niveau beaucoup plus élevé de contrôle réglementaire et de responsabilité pour les fabricants de produits connectés. L’impact de la conformité sur les entreprises du domaine de l’IoT (internet des objets) ne doit pas être sous-estimé ».

« Le renforcement de la sécurité des produits et la protection des consommateurs sont des préoccupations majeures de l’Union européenne. Le Cyber Resilience Act devrait ajouter de nombreuses contraintes légales et multiplier les risques de rappel de produits pour fabricants de produits connectés », continue l’avocat. « Ces nouvelles règles annoncent aussi probablement la création d’une agence de réglementation spécialisée dans la cybersécurité des produits connectés, rendant le paysage juridique beaucoup plus difficile et plus risqué pour les entreprises de ce secteur ».

La loi proposée par la Commission va maintenant être examinée par le Parlement européen en première lecture, puis par le Conseil de l’Union européenne selon la procédure législative classique. Comme il s’agit d’un règlement, une fois voté et validé par les deux institutions européennes, il sera directement applicable dans les États membres. Mais la procédure totale peut prendre deux ans.