Si la CNIL a déjà eu l’occasion de sensibiliser la population sur les dangers liés aux jouets connectés [1], la Commission Européenne a une ambition encore plus grande : apporter un socle commun de règles applicables aux objets connectés à travers le « Cyber Resilience Act » [2] (CRA).
CRA : De quoi s’agit-il ?
Le CRA est une proposition de règlement présentée par la Commission européenne le 15 septembre 2022, ayant pour vocation d’établir des règles harmonisées en matière de sécurité et de protection des données pour les objets connectés et les logiciels intégrés.
A travers ce règlement, la Commission européenne souhaite atteindre 4 objectifs :
Fixer des règles de mise sur le marché afin de garantir la cybersécurité des objets connectés ;
Améliorer la sécurité des objets connectés en imposant des exigences en matière de conception, développement et de production ;
Soumettre les fabricants à des obligations d’établir des processus de traitement des vulnérabilités tout au long du cycle de vie des produits ;
Donner une vision claire en matière de sécurité des produits par une surveillance du marché.
Quels sont les objets connectés concernés par le CRA ?
Seront concernés par le CRA :
Les produits dits « critiques », ayant un rôle central dans la sécurité des réseaux ou qui présentent des failles de sécurité pour un grand nombre de personnes. Par exemple, on y trouve les VPN, les antivirus, les objets connectés industriels ou encore les compteurs connectés ;
Les systèmes d’exploitation dans leur ensemble (smartphone, ordinateurs, routeurs et objets connectés domestiques).
Néanmoins, ne seront pas concernés les objets connectés du secteur aéronautique, médical ou automobiles, ces derniers étant déjà soumis à d’autres règlementations en vigueur [3].
Qui est concerné par le CRA ?
Seront concernés par le CRA :
Les fabricants et leurs mandataires ;
Les éditeurs de logiciel ;
Les importateurs ;
Les distributeurs.
Comment ?
Le CRA impose aux opérateurs économiques plusieurs normes de sécurité sur la base de deux mesures principales :
Inclure des mesures de sécurité dès la conception des objets connectés. Par exemple, par des mesures de protection contre les accès non autorisés (système d’authentification, gestion des accès …) ou encore pour protéger la confidentialité et l’intégrité des données stockées, personnelles ou non ;
S’assurer de l’absence de toutes failles de sécurité à la livraison des produits.
En outre, ces entreprises devront fournir une documentation détaillée afin d’informer clairement les consommateurs, notamment sur :
La sécurité ;
Les risques associés aux produits ;
Le support technique ;
L’installation des mises à jour.
Enfin, ces entreprises auront également pour obligation de produire des correctifs de sécurité et des mises à jour pendant au moins 5 ans après la mise sur le marché du produit.
Concernant les produits « critiques », des exigences supplémentaires s’appliqueront. Précisément, les entreprises seront libres de choisir leur méthode pour atteindre ces normes de sécurité et devront démontrer la conformité de leurs produits par une auto-évaluation ou par un tiers pour les produits les plus critiques. Les fabricants devront également signaler les vulnérabilités découvertes à l’Agence de l’Union européenne pour la cybersécurité (ENISA) dans un délai de 24 heures.
Dès lors que ces exigences sont respectées, les fabricants pourront apposer la mention « CE » sur leurs produits, garantissant leur conformité au CRA et leur autorisation de circulation sur le marché européen.
Quelles seront les sanctions en cas de non-respect des dispositions du CRA ?
Deux sanctions seront infligées aux opérateurs économiques ne respectant par les dispositions du CRA.
D’une part, une sanction pécuniaire selon trois plafonds de référence :
- Jusqu’à 15 millions d’euros d’amende ou 2,5% du chiffre d’affaires mondial sur le dernier exercice fiscal pour non-conformité aux exigences de sécurité ;
- Jusqu’à 10 millions d’euros d’amende ou 2% du chiffre d’affaires pour non-conformité à d’autres exigences ;
- Jusqu’à 5 millions d’euros d’amende ou 1% du chiffre d’affaires pour la fourniture d’informations incorrectes, incomplètes ou trompeuses aux autorités compétentes.
D’autre part, le non-respect des obligations entraînera l’interdiction de vente des produits concernés sur le marché.
Que faut-il retenir ?
Le CRA apportera un socle commun de règle en matière de sécurité des objets connectés dans l’objectif d’améliorer la qualité de ces produits en matière de cybersécurité. Les entreprises auront deux ans pour s’adapter à ces nouvelles exigences à compter de son adoption.
Le CRA étant une proposition de règlement,il faudra attendre l’accord du Parlement européen, puis du Conseil de l’Union européenne avant d’aboutir à un règlement européen en vigueur. Il est probable que des dispositions proposées soient modifiées.
- Donc … à suivre !