Protection des données, transparence sur les cyberattaques : attention aux amendes

L’entrée en vigueur de la loi sur la cybersécurité la semaine prochaine s’accompagne d’amendes potentiellement salées pour ceux qui ne respecteront pas les règles.

Seul le Royaume-Uni a annoncé le montant des amendes que se verront infliger les sociétés qui n’informent pas les autorités en cas de cyberattaques. Et l’addition sera salée : 19 millions d’euros, soit 17 millions de livres.

Un montant similaire à celui dont les entreprises seront passibles si elles enfreignent le règlement européen sur la protection des données, connu sous l’acronyme GDPR, qui entrera en vigueur fin mai. Dans le cadre du GDPR, les entreprises risqueront des amendes pouvant aller jusqu’à 20 millions d’euros, ou 4 % de leur chiffre d’affaires mondial, en fonction de celui qui sera le plus élevé.

Les responsables de la Commission attendent des autres pays européens qu’ils fixent des montants similaires en vertu de la loi sur la cybersécurité.

« Tout le monde parle du GDPR, mais la « directive SRI » va considérablement changer les choses », a déclaré un responsable, faisant référence à la loi sur la cybersécurité, connue sous le nom de directive sur la sécurité des réseaux et des systèmes d’information.

Les entreprises en lien avec des infrastructures essentielles comme les systèmes bancaires, les transports, la gestion de l’eau ou encore les services numériques comme les fournisseurs de services en « cloud » et les commerces en ligne, seront obligées de dire aux autorités lorsqu’elles se font pirater.

La directive est la première pièce d’une législation paneuropéenne sur la cybersécurité. Les gouvernements nationaux devront commencer à l’appliquer à partir du 9 mai et choisir le montant de l’amende maximale qui pourra être imposée aux entreprises.

Les responsables de la Commission ont déclaré le 4 mai qu’ils attendaient jusqu’au 9 mai de voir quel montant exact auront fixé les autres pays. « Nous attendons des autres États membres qu’ils choisissent des sanctions élevées. »

Bruxelles s'attaque aux hackers

La Commission européenne veut renforcer les fonds et les pouvoirs de l’agence européenne de cybersécurité. Et introduire une série de mesures contre les hackers.

Les États membres sont censés envoyer à la Commission leur version nationale de la directive avant la semaine prochaine. Jusqu’à présent, seule Chypre l’a fait. « Cinq à dix » autres pays sont prêts à le faire et les autres sont en retard, affirme un responsable de l’exécutif.

Certaines violations graves des données obligeront les entreprises à alerter diverses autorités nationales dans le cadre de directive relative à la cybersécurité et du GDPR. La Commission publiera un document pour expliquer aux autorités comment ne pas doubler le montant de l’amende si une entreprise enfreint les deux lois en même temps en ne rapportant pas les incidents.

« Une fois que nous aurons une vision d’ensemble de la manière dont les États membres ont transposé la directive sur la cybersécurité, nous devrons nous assurer qu’il n’y a pas de chevauchement ou de redondance inutile », a expliqué le responsable.

La loi exige aussi des gouvernements nationaux qu’ils nomment une équipe d’experts qui réagira aux incidents liés à la cybersécurité et communiquera avec les autorités des autres pays de l’UE lorsque des hackers s’en prennent à des infrastructures essentielles.

La plupart des États membres a déjà commencé à mettre sur pied ces unités, indiquent les représentants de la Commission pour qui les cyberattaques massives WannaCry et NotPetya l’année dernière, qui ont ciblé des entreprises à travers toute l’Europe, étaient les premiers tests de ce nouveau réseau. En effet, peu de temps après ces incidents, les autorités de toute l’UE ont échangé sur l’impact de ces attaques sur les entreprises dans chacun de leur pays.

La cybersécurité est un domaine sensible de politique européenne puisque les gouvernements nationaux sont réticents à partager trop d’informations sur leurs failles sécuritaires avec d’autres pays.

Mais selon un responsable de la Commission, les attaques de l’année dernière ont permis aux dirigeants européens de se rendre compte de l’importance d’une nouvelle directive sur la cybersécurité. « La compréhension, les connaissances et la volonté d’agir en matière de cybersécurité au niveau européen se sont développées, tout comme les investissements au niveau national. »

Outre la directive SRI, la Commission a proposé une nouvelle loi en septembre 2017, qui donnera plus de pouvoir à l’agence européenne de cybersécurité, l’ENISA, et mettra en place un système paneuropéen de certification pour le niveau de sécurité des objets connectés. Cette loi est en cours de négociation au Parlement européen.

L’agence de cybersécurité européenne se renforce

L’ENISA, l’agence européenne de cybersécurité, s’apprête à recevoir un nouveau mandat. Face à l’augmentation des piratages liés aux objets connectés, le directeur de l’agence a demandé une hausse de budget.

Subscribe to our newsletters

Subscribe