Cybersécurité : les obligations des fournisseurs de services numériques issues de la loi du 26 février 2018 transposant la directive NIS

Le rôle de l’ANSSI (L’Agence Nationale de la Sécurité des Systèmes d’Information) :

Les fournisseurs de services numériques, au sens de cette loi, sont des personnes morales qui fournissent un service « normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services » (art. 10 de la loi).

 

Le législateur en distingue 3 catégories :

  • Les places de marché en ligne
  • Les moteurs de recherche en ligne
  • Les services d’informatique en nuage

 

Relèvent du champ d’application de cette loi (art. 11 de la loi) :

 

  • Les fournisseurs qui offrent des services numériques dans l’Union européenne et qui, soit ont leur siège social ou leur établissement principal sur le territoire national, soit sont établis hors de l’Union européenne mais ont désigné un représentant sur le territoire national.

 

  • A condition qu’ils emploient au moins 50 salariés et aient un chiffre d’affaires d’au moins 10 millions d’euros.

 

Deux grands types d’obligations s’imposent à eux.

 

D’une part, ils sont tenus de garantir, « compte tenu de l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d’information (RSI) nécessaires à la fourniture de leurs services (…) adapté aux risques existants ».

 

Cela implique qu’ils doivent :

 

  • Identifier les risques affectant la sécurité de leurs RSI

 

  • Prendre des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer ces risques, éviter les incidents de sécurité et en réduire au minimum l’impact, de manière à garantir la continuité de leurs services. Ces mesures concernent les 5 domaines suivants : la sécurité des systèmes et des installations, la gestion des incidents, la gestion de la continuité des activités, le suivi, l’audit et le contrôle et, enfin, le respect des normes internationales ( 12 de la loi).

 

D’autre part, ils doivent déclarer à l’ANSSI, « sans délai après en avoir pris connaissance », les incidents affectant les RSI nécessaires à la fourniture de leurs services dans l’Union européenne, « lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services, compte tenu notamment du nombre d’utilisateurs touchés par l’incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service et de l’ampleur de son impact sur le fonctionnement de la société ou de l’économie » (art. 13, I de la loi).

 

Le manquement à cette obligation de déclaration est sanctionné par une amende de 50 000 euros à la charge des dirigeants du fournisseur de services numériques concerné (art. 15 de la loi).

 

L’ANSSI peut alors décider d’en informer le public ou d’imposer au fournisseur de le faire, après consultation de ce dernier, si « cette information est nécessaire pour prévenir ou traiter un incident ou est justifiée par un motif d’intérêt général ».

 

Elle peut également en informer les autorités compétentes d’autres Etats membres de l’Union européenne « lorsqu’un incident a des conséquences significatives sur les services fournis dans d’autres Etats membres de l’Union européenne » (art. 13, II de la loi).

 

Enfin, le respect de ces diverses obligations peut être contrôlé par l’ANSSI (le coût des contrôles étant à la charge des fournisseurs de services numériques en application de l’art. 15 de la loi, et tout obstruction à ces contrôles est sanctionnée par une amende de 1OO 000 euros à la charge des dirigeants du fournisseur de services numériques concerné en vertu de l’art. 14 de la loi).

 

En cas de non-conformité, l’ANSSI peut mettre en demeure les dirigeants du fournisseur de services numériques concerné de respecter leurs obligations légales dans un certain délai, à peine de s’exposer à une amende pouvant s’élever à 75 000 euros (art. 15 de la loi).

 

Ces dispositions entreront en vigueur à compter d’une date fixée par décret en Conseil d’Etat, et au plus tard le 10 mai 2018 (art. 25 de la loi).

 

 

  Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris

 Mise en ligne: 22/05/2018

 

Application mobile

LaywerToLawyer, l'application mobile Alta-Juris des avocats pour les avocats

Ventes aux enchères immobilières

Actualités en partenariat avec DALLOZ

L’article 40 du code de procédure pénale impose l’obligation, « […]
dim 29 Juil 2018
C’est aujourd’hui la dernière édition avant une reprise, que nous […]
dim 29 Juil 2018
Dans une décision du 20 juillet 2018, le tribunal administratif […]
jeu 26 Juil 2018
Le 24 juillet 2018, l’Ordre des avocats du barreau de […]
mer 25 Juil 2018

Village de la Justice

Ville de la Justice

Rechercher un avocat