Les législateurs de l’Union européenne ont proposé un nouvel ensemble de règles sur les produits à appliquer aux appareils intelligents dans le but d’obliger les fabricants de matériel connecté à Internet – tels que les machines à laver “intelligentes” ou les jouets connectés – à accorder une attention particulière à la sécurité des appareils.
La proposition de loi sur la cyber-résilience de l’UE introduira des exigences obligatoires en matière de cybersécurité pour les produits contenant des “éléments numériques” vendus dans tout le bloc, les exigences s’appliquant tout au long de leur cycle de vie – ce qui signifie que les fabricants de gadgets devront fournir un support de sécurité continu et des mises à jour pour corriger les vulnérabilités émergentes – la Commission dit aujourd’hui.
Le projet de règlement met également l’accent sur les fabricants d’appareils intelligents communiquant aux consommateurs “des informations suffisantes et précises” – pour s’assurer que les acheteurs sont capables de saisir les considérations de sécurité au point d’achat et de configurer les appareils en toute sécurité après l’achat.
Les sanctions proposées par la Commission pour non-conformité aux exigences de cybersécurité « essentielles » peuvent atteindre 15 millions d’euros ou 2,5 % du chiffre d’affaires annuel mondial, les autres infractions aux obligations réglementaires étant passibles d’une sanction maximale de 10 millions d’euros ou 2 % du chiffre d’affaires.
L’exécutif de l’UE a déclaré que le règlement proposé s’appliquera à tous les produits qui sont connectés “directement ou indirectement à un autre appareil ou réseau” – à quelques exceptions près pour les produits pour lesquels les exigences de cybersécurité sont déjà définies dans les règles européennes existantes, telles que les dispositifs médicaux, l’aviation et les voitures.
Règles paneuropéennes pour la sécurité des appareils intelligents
Dans un résumé des mesures proposées, qui sont basées sur un cadre législatif pour la législation européenne sur les produits qui a été mis à jour en 2008, la Commission a déclaré qu’elles établiront :
a) des règles de mise sur le marché de produits contenant des éléments numériques pour assurer leur cybersécurité;
(b) les exigences essentielles pour la conception, le développement et la production de produits contenant des éléments numériques, et les obligations des opérateurs économiques concernant ces produits;
c) les exigences essentielles relatives aux processus de traitement des vulnérabilités mis en place par les fabricants pour garantir la cybersécurité des produits contenant des éléments numériques tout au long de leur cycle de vie, et les obligations des opérateurs économiques en rapport avec ces processus. Les fabricants devront également signaler les vulnérabilités et les incidents activement exploités ;
d) des règles de surveillance du marché et d’application.
“Les nouvelles règles rééquilibreront la responsabilité vis-à-vis des fabricants, qui doivent garantir la conformité aux exigences de sécurité des produits contenant des éléments numériques mis à disposition sur le marché de l’UE”, écrit-il dans un communiqué de presse. « En conséquence, ils bénéficieront aux consommateurs et aux citoyens, ainsi qu’aux entreprises utilisant des produits numériques, en améliorant la transparence des propriétés de sécurité et en favorisant la confiance dans les produits contenant des éléments numériques, ainsi qu’en garantissant une meilleure protection de leurs droits fondamentaux, tels que comme la vie privée et la protection des données.
Une session de questions-réponses de la Commission sur l’initiative stipule en outre que les fabricants seraient soumis à “un processus d’évaluation de la conformité pour démontrer si les exigences spécifiées relatives à un produit ont été respectées”. Il note que cela pourrait être fait via une auto-évaluation ou par une évaluation de la conformité par une tierce partie « en fonction de la criticité du produit en question ».
Lorsque la conformité aux exigences applicables a été démontrée, les fabricants d’appareils pourraient apposer le marquage CE de l’UE, indiquant la conformité des éléments numériques avec le règlement sur la sécurité des produits.
La non-conformité serait traitée par les autorités de surveillance du marché nommées par les États membres qui seraient responsables de l’application – avec des pouvoirs proposés non seulement pour ordonner l’arrêt de la non-conformité, mais “éliminer le risque” en interdisant la vente d’un produit ou en restreignant d’une autre manière sa disponibilité sur le marché. Les autorités compétentes pourraient également ordonner le retrait ou le rappel des produits contrefaisants. Alors que fournir des informations incorrectes, incomplètes ou trompeuses aux régulateurs et aux autorités de surveillance risquerait une amende pouvant aller jusqu’à 5 millions d’euros ou 1 % du chiffre d’affaires.
Commentant dans un communiqué, Margrethe Vestager, vice-présidente exécutive de la Commission pour la stratégie numérique, a ajouté : « Nous méritons de nous sentir en sécurité avec les produits que nous achetons sur le marché unique. Tout comme nous pouvons faire confiance à un jouet ou à un réfrigérateur avec un marquage CE, la loi sur la cyber-résilience garantira que les objets et logiciels connectés que nous achetons sont conformes à de solides mesures de sécurité en matière de cybersécurité. Cela mettra la responsabilité là où elle appartient, avec ceux qui placent les produits sur le marché.
Les appareils intelligents ont été un foyer d’histoires d’horreur en matière de sécurité pendant des années. Bien qu’il y ait eu des mesures législatives antérieures pour combler des lacunes de sécurité flagrantes, comme une loi californienne de 2018 interdisant aux fabricants de définir des mots de passe par défaut facilement devinables dans les appareils.
Le Royaume-Uni travaille également depuis plusieurs années sur une loi de « sécurité dès la conception » pour les gadgets connectés – en diffusant un projet de loi en 2019 (bien que ce projet de loi sur la sécurité des produits, qui regroupe les dispositions relatives à la sécurité des infrastructures de télécommunications, continue de faire son chemin dans le parlement britannique).
Bien qu’elle n’ait pas été la première à donner un coup de poing en matière de sécurité des appareils intelligents, l’UE espère que son approche naissante deviendra un point de référence international, le communiqué de presse de la Commission suggérant : « Les normes de l’UE basées sur la loi sur la cyber-résilience faciliteront sa mise en œuvre et seront un atout pour l’industrie de la cybersécurité de l’UE sur les marchés mondiaux.
Cependant, la proposition a encore un long chemin à parcourir avant de devenir une loi de l’UE, car le Parlement européen et le Conseil devront examiner le projet et pourraient chercher à le modifier.
La Commission a également proposé un délai de deux ans une fois le règlement adopté pour que les fabricants d’appareils et les États membres de l’UE s’adaptent à l’ensemble des nouvelles règles. Ainsi, la réglementation ne sera probablement pas mordante avant 2025.
Cela dit, il existe un délai plus court pour l’obligation de signalement des fabricants pour les “vulnérabilités et incidents activement exploités” – qui s’appliquerait un an à compter de la date d’entrée en vigueur du règlement, car la Commission s’attend à ce que cet élément soit plus facile à mettre en œuvre. .
/cdn.vox-cdn.com/uploads/chorus_asset/file/24564602/kratos_bear_cloack.png)
:quality(70)/cloudfront-us-east-1.images.arcpublishing.com/elfinanciero/5627ZNW5MVHX3ECHHN645AVXWI.jpg)
