Règlement (UE) 2019/881 sur la Cybersécurité ENISA
Le devoir de prudence dans la gestion des données personnelles est l’affaire de tous,
et spécialement celui du maillon faible, “l’utilisateur final”
tenu au strict respect d’une hygiène numérique au quotidien.
Il n’est évidemment pas contesté, ni contestable que le RGPD – et bien avant lui, le droit français “informatique et libertés” – procure à toute personne physique, utilisateur final, une “protection” sous la forme de “droits” (droit d’information, droit d’accès, droit de rectification, droit d’opposition, droit à l’effacement, droit au déréférencement, droit à la portabilité…) sur le traitement de ses données personnelles opposables à tout responsable de traitements.
Mais à l’inverse, et au-delà de toute gestion du «risque cyber» prise sur le plan organisationnel et technique par les “fournisseurs de services numériques”, l’utilisateur final devrait être aussi astreint, pour sa part, à un certain nombre de devoirs, parmi lesquels, et en premier lieu, celui de soumettre à une certaine “hygiène numérique” au quotidien destinée à réduire au minimum l’exposition aux risques liés aux cybermenaces (vulnérabilité ou faille de données exploitées par des hackers, phishing, ransomware, usurpation d’identité numérique, etc…) dans la mesure où, quelle que soit la robustesse des mesures de sécurité technique et informatique attachées aux services, produits et autres processus NTIC qui lui sont fournis, l’utilisateur personne physique reste “le maillon faible” de la chaîne du numérique, soit par sa méconnaissance en toute bonne foi des comportements à adopter à l’égard des NTIC, soit, au contraire, par sa négligence ou sa légèreté en pleine conscience de la prudence minimale dont il doit faire preuve face à la matière du numérique.
La croissance exponentielle des volumes de trafic de données, à caractère personnel s’est amplifiée dans des proportions considérables du fait de la pandémie de Covid-19 et du développement corrélatif de nouveaux modèles et mode du travail à distance ou télétravail.
Comme le rappelle le législateur européen, ce phénomène accroît les vulnérabilités aux cyberattaques et la surface d’exposition aux actes de cybermalveillance constituée par les objets connectés.
En effet et dans le même sens, la mise en place de la 5G aggrave ce phénomène de vulnérabilité par l’interconnexion croissante des objets connectés (IoT, IIoT), cibles privilégiées des cyberattaques dont la conception ne répond pas, pour la plupart, aux standards minimaux de cybersécurité et offre une porte d’entrée royale à l’accès illicite des données à caractère personnel.
Toutefois, si la cybersécurité repose en grande partie sur des moyens techniques et informatiques, il reste néanmoins que c’est une matière où le comportement humain est déterminant des conséquences dommageables des risques et menaces encourus.
A l’inverse, la source de la cybercriminalité, en l”état, reste toujours et exclusivement “humaine”.
C’est pourquoi la gestion et la prévention des cybermenaces et des cyberattaques touchant pour certaines aux “services essentiels” (eau, énergie, santé, transports, marchés bancaires et financiers, infrastructure numérique…) a été sérieusement pris en considération par l’Union Européenne sous la forme d’un plan réglementaire qualifié de “Stratégie de l’UE pour une Cybersécurité”.
L’Union Européenne précise que cette stratégie globale de prévention, détection et réponse aux cybermenaces se fera en intégrant à chaque étape la problématique de la protection de la vie privée et des données personnelles, de sorte d’être pleinement conforme au cadre actuel posé par le diptyque RGPD/ePrivacy et de n’y porter atteinte que de manière nécessaire et proportionnée.
A ce propos, l’UE rappelle, par l’intermédiaire de son EDPS, que le rôle de premier plan de l’intelligence Artificielle – dans la détection, l’analyse, le confinement et la réponse en temps réel aux cybermenaces – nécessitera le traitement de volumes très importants de données (données personnelles, données de trafic, données de communication, adresses IP, identifiants d’appareil, fichiers de journaux de réseaux et de contrôles d’accès, etc…) emportant de fait des risques corrélatifs de biais et de manque de transparence.
Par suite, l’UE s’engage à éviter et atténuer ces risques en appliquant les exigences de protection des données visées à l’article 25 du RGPD par l’intégration de garanties appropriées (pseudonymisation, chiffrement, minimisation des données…) dès la conception (by design) de ces technologies et systèmes visant à améliorer la cybersécurité.
Avec l’adoption du “Cybersecurity Act” 2019 (Règlement (UE) 2019/881 du 17 avril 2019) l’Union Européenne renforce la coopération européenne en matière de cybersécurité avec l’appui d’une Agence Européenne de Cybersécurité (ENISA) dotée de moyens renforcés qui sera chargée de l’élaboration de schémas de certification des produits, services et processus dits TIC (technologies de l’information et de la communication) et de l’adoption de normes harmonisées, de lignes directrices, de recommandations et de codes de conduite destinés à mieux informer et protéger consommateurs, entreprises et autres personnes morales de l’Union.
Le Cybersecurity Act vient compléter la Directive “Network and Information Security (NIS)” (UE) 2016/1148 – Directive Européenne du 6 juillet 2016 relative aux mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union – pour assurer un niveau encore plus élevé de sécurité des réseaux et des systèmes d’information de l’Union.
Une proposition de Directive Européenne “NIS 2.0” du 16 décembre 2020 [(EU) COM (2020) 823 final] est actuellement en cours de discussion devant les instances européennes, visant principalement à élargir le champ d’application de la Directive NIS à de nouveaux secteurs, en fonction de leur criticité pour l’économie et la société, à rendre plus strictes les exigences de sécurité pour les entreprises et les entités concernées – leur imposant en outre ne intégration de la question “cybersécurité” dans les chaînes d’approvisionnement et les relations avec les fournisseurs – et à renforcer la coopération entre les autorités de régulation des Etats de l’UE dans le traitement des activités liées à la cybersécurité, y compris la gestion des cybercrises.