Cybersécurité : les obligations des fournisseurs de services numériques issues de la loi du 26 février 2018 transposant la directive NIS

Le rôle de l’ANSSI (L’Agence Nationale de la Sécurité des Systèmes d’Information) :

Les fournisseurs de services numériques, au sens de cette loi, sont des personnes morales qui fournissent un service « normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services » (art. 10 de la loi).

 

Le législateur en distingue 3 catégories :

  • Les places de marché en ligne
  • Les moteurs de recherche en ligne
  • Les services d’informatique en nuage

 

Relèvent du champ d’application de cette loi (art. 11 de la loi) :

 

  • Les fournisseurs qui offrent des services numériques dans l’Union européenne et qui, soit ont leur siège social ou leur établissement principal sur le territoire national, soit sont établis hors de l’Union européenne mais ont désigné un représentant sur le territoire national.

 

  • A condition qu’ils emploient au moins 50 salariés et aient un chiffre d’affaires d’au moins 10 millions d’euros.

 

Deux grands types d’obligations s’imposent à eux.

 

D’une part, ils sont tenus de garantir, « compte tenu de l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d’information (RSI) nécessaires à la fourniture de leurs services (…) adapté aux risques existants ».

 

Cela implique qu’ils doivent :

 

  • Identifier les risques affectant la sécurité de leurs RSI

 

  • Prendre des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer ces risques, éviter les incidents de sécurité et en réduire au minimum l’impact, de manière à garantir la continuité de leurs services. Ces mesures concernent les 5 domaines suivants : la sécurité des systèmes et des installations, la gestion des incidents, la gestion de la continuité des activités, le suivi, l’audit et le contrôle et, enfin, le respect des normes internationales ( 12 de la loi).

 

D’autre part, ils doivent déclarer à l’ANSSI, « sans délai après en avoir pris connaissance », les incidents affectant les RSI nécessaires à la fourniture de leurs services dans l’Union européenne, « lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services, compte tenu notamment du nombre d’utilisateurs touchés par l’incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service et de l’ampleur de son impact sur le fonctionnement de la société ou de l’économie » (art. 13, I de la loi).

 

Le manquement à cette obligation de déclaration est sanctionné par une amende de 50 000 euros à la charge des dirigeants du fournisseur de services numériques concerné (art. 15 de la loi).

 

L’ANSSI peut alors décider d’en informer le public ou d’imposer au fournisseur de le faire, après consultation de ce dernier, si « cette information est nécessaire pour prévenir ou traiter un incident ou est justifiée par un motif d’intérêt général ».

 

Elle peut également en informer les autorités compétentes d’autres Etats membres de l’Union européenne « lorsqu’un incident a des conséquences significatives sur les services fournis dans d’autres Etats membres de l’Union européenne » (art. 13, II de la loi).

 

Enfin, le respect de ces diverses obligations peut être contrôlé par l’ANSSI (le coût des contrôles étant à la charge des fournisseurs de services numériques en application de l’art. 15 de la loi, et tout obstruction à ces contrôles est sanctionnée par une amende de 1OO 000 euros à la charge des dirigeants du fournisseur de services numériques concerné en vertu de l’art. 14 de la loi).

 

En cas de non-conformité, l’ANSSI peut mettre en demeure les dirigeants du fournisseur de services numériques concerné de respecter leurs obligations légales dans un certain délai, à peine de s’exposer à une amende pouvant s’élever à 75 000 euros (art. 15 de la loi).

 

Ces dispositions entreront en vigueur à compter d’une date fixée par décret en Conseil d’Etat, et au plus tard le 10 mai 2018 (art. 25 de la loi).

 

 

  Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris

 Mise en ligne: 22/05/2018

 

Application mobile

LaywerToLawyer, l'application mobile Alta-Juris des avocats pour les avocats

Ventes aux enchères immobilières

Actualités en partenariat avec DALLOZ

Me Étienne Ambroselli, avocat des opposants au projet « Cigéo […]
ven 22 Juin 2018
L’acquittement par la Cour pénale internationale (CPI) de l’ancien vice-président […]
jeu 21 Juin 2018
Le défaut de signature d’une convention ne prive pas l’avocat […]
mar 19 Juin 2018
L’article 19, alinéa 2, de la loi du 31 décembre […]
lun 18 Juin 2018
L’ex-directrice du magasin Tati de Barbès, qui comparaît pour harcèlement […]
dim 17 Juin 2018

Village de la Justice

Ville de la Justice

Rechercher un avocat