[cyber-sécurité] loi n°2018-133 du 26 février 2018 « sécurité des réseaux et des systèmes d’information »

Mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne.

La loi n°2018-133 du 26 février 2018 « portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité » a été adoptée le 15 février 2018 et promulguée le 26 février 2018 (ci-après la « loi sécurité des réseaux et des systèmes d’information »). 

Cette loi transpose la Directive (UE) 2016/1148 du 6 juillet 2016, connue sous l’acronyme « NIS » (National Information Security) et relative aux mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne. Cette Directive s’inspire assez largement de la législation française sur les systèmes d’information d’importance vitale et notamment de la loi n°2013-1168 du 18 décembre 2013 (dite « loi de programmation militaire ») qui permet la sécurisation des Opérateurs d’Importance Vitale (OIV), soit des opérateurs de systèmes pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation. 

La loi de transposition sur la sécurité des réseaux et des systèmes d’information permet ainsi d’étendre à d’autres catégories d’opérateurs que les simples OIV un certain nombre d’obligations en matière de sécurité des réseaux et des systèmes d’information. A ce titre, la loi rappelle que la sécurité des réseaux et systèmes d’information « consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmis ou faisant l’objet d’un traitement et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles ».

Ainsi, la loi sécurité des réseaux et des systèmes d’information crée deux nouvelles catégories d’acteurs à savoir d’une part les Opérateurs de Services Essentiels (OSE) et les Fournisseurs de Service Numérique (FSN). 

On entend par Opérateurs de Services Essentiels toute entité publique ou privée qui fournit un «service essentiel au maintien d’activités sociétales et/ou économiques critiques, tributaires des réseaux et des systèmes d’informations et dont le service serait susceptible d’être gravement affecté en cas d’incident de sécurité sur les réseaux ». Ces opérateurs seront désignés en France par le Premier ministre, dans des secteurs divers comme par exemple l’Energie, le Transport, la Banque, les Infrastructures de Marchés Financiers, la Santé et les Infrastructures Numériques. Cette liste (qui devra nécessairement intervenir par décret avant le 9 novembre 2018) sera actualisée tous les deux ans (1).

Ces OSE seront tenus (i) de prendre des mesures techniques afin de gérer en amont les risques menaçant la sécurité des réseaux, (ii) de prévenir les incidents compromettant la sécurité mais également (iii) de veiller à notifier l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) des incidents ayant un impact significatif sur la sécurité des réseaux. A défaut, les OSE seraient passibles d’une amende pénale pouvant aller de 75 000 à 125 000 euros (2). 

Les Fournisseur de Service Numérique désignent « les personnes morales fournissant un service numérique »  et recouvrent trois types de services numériques»(3): les moteurs de recherche en ligne, les places de marché en ligne et les services d’informatiques en nuage (4). 

Ces derniers sont soumis à des obligations semblables à celles des OSE. Les FSN employant au moins cinquante salariés et ayant plus de dix millions d’euros de chiffres d’affaires annuels  devront garantir un niveau de sécurité satisfaisant des systèmes d’information en identifiant les risques pour éviter les incidents et recourir à des mesures préventives . Enfin, comme les OSE, les FSN devront notifier à l’ANSSI les incidents en matière de sécurité des réseaux ayant un impact important sur la fourniture du service qu’ils délivrent. En cas de manquement à ces obligations, ils risquent de 50 000 à 100 000 euros d’amende pénale . 

Finalement, la loi sécurité des réseaux et des systèmes d’information s’applique, pour les OIV et FSN, (i) à tout réseau de communications électroniques, (ii) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numérique ; (iii) ainsi qu’aux données numériques stockées, récupérées ou transmises par ces réseaux et systèmes d’information  en vue de leur fonctionnement, utilisation, protection et maintenance. Par conséquent, elle s’applique à tout traitement de données numériques, qu’il s’agisse ou non de données à caractère personnel. 

A l’aube de l’entrée en application du Règlement général sur la protection des données et de la publication de la Loi Informatique et Libertés révisée, une nouvelle pierre à l’arsenal français de la protection des données au sens large est donc posée !

(1) Article 5 de la loi n°2018-133 
(2) Article 9 de la loi 2018-133 
(3) Article 4 6) Directive 2016/1148 
(4) Annexe III de la Directive 2016/1148 et article 10 de la loi 2018-133