La Commission européenne s’attaque au problème de la cybersécurité des appareils connectés grand public

Commission européenne Cybersécurité

La Commission européenne vient d’adopter des mesures pour améliorer la cybersécurité des dispositifs sans fil disponibles sur le marché européen - téléphones portables, montres intelligentes, moniteurs d'activité physique, jouets sans fil… - pour lesquels les cybermenaces représentent un risque croissant pour les consommateurs. ...Concrètement, la Commission a publié un acte délégué (*) relatif à la directive sur les équipements radioélectriques du 16 avril 2014 qui vise à garantir l'innocuité de tous les dispositifs sans fil avant leur vente sur le marché. Cet acte juridique fixe de nouvelles exigences, relatives aux garanties en matière de cybersécurité, dont les fabricants devront tenir compte lors de la conception et de la fabrication des produits concernés. L'objectif à terme est aussi de protéger la vie privée et les données à caractère personnel des citoyens, de prévenir des risques de fraude monétaire et de garantir une meilleure résilience des réseaux de communication.

Au sein de ces nouvelles mesures, le texte indique que les produits sans fil devront intégrer des fonctionnalités pour éviter qu'ils ne nuisent aux réseaux de communication et empêcher qu'ils ne soient utilisés pour perturber le bon fonctionnement d'un site Web ou d'autres services.

Ces dispositifs connectés devront en outre être dotés de fonctionnalités garantissant la protection des données à caractère personnel, y compris la protection des droits de l'enfant.

Enfin, ces objets devront également comporter, si besoin, des fonctionnalités permettant de réduire au minimum le risque de fraude lors des paiements électroniques (contrôle de l’authentification de l'utilisateur).

La Commission européenne précise que cet acte délégué sera complété par une loi sur la cyber-résilience, annoncée récemment par la présidente von der Leyen dans son discours sur l'état de l'Union, qui devrait régir davantage de produits sur la totalité de leur cycle de vie. Cet acte délégué entrera en vigueur après une période d'examen de deux mois, si le Conseil et le Parlement européens ne formulent pas d'objections, et les fabricants disposeront alors d'une période de transition de 30 mois pour commencer à se conformer à ces nouvelles exigences légales, qui deviendront applicables à partir de la mi-2024.

La Commission indique enfin qu’elle aidera les fabricants à respecter les nouvelles exigences en demandant aux organismes européens de normalisation d'élaborer des normes pertinentes. Les fabricants pourront prouver la conformité de leurs produits en les faisant évaluer par des organismes notifiés compétents.

L'acte délégué n'énonce en fait que des exigences légales essentielles, les fabricants étant pas la suite libres de choisir les spécifications techniques pour se conformer aux exigences légales. Ils peuvent en particulier, pour justifier leurs choix, utiliser des normes harmonisées, lorsqu'elles sont disponibles, et/ou choisir la procédure d'évaluation de la conformité aux exigences légales de leur produit.

(*) Dans l’organisation européenne, l'article 290 autorise le Parlement et le Conseil à déléguer à la Commission le pouvoir d'adopter des actes non législatifs de portée générale qui complètent ou modifient certains éléments non essentiels d’un acte législatif. Les actes non législatifs ainsi adoptés par la Commission sont appelés “actes délégués”