swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
  • Generic selectors
    Expression exacte 
    Rechercher dans le titre 
    Rechercher dans le contenu 
    Post Type Selectors
S'abonner
-->

Sécurité des produits et protection des données : les assurer et les associer, ça coule de source

Pauline Meyer, le 15 décembre 2022
Le Contrôleur euro­péen de la protec­tion des données salue la propo­si­tion de loi sur la cyber-rési­lience. Il estime cepen­dant que la protec­tion des données person­nelles devrait être mieux intégrée.

Opinion 23/​2022 on the Proposal for a Regulation of the European Parliament and of the Council on hori­zon­tal cyber­se­cu­rity requi­re­ments for products with digi­tal elements and amen­ding Regulation (EU) 2019/​1020

L’opinion du Contrôleur euro­péen de la protec­tion des données 

Le 9 novembre 2022, le Contrôleur euro­péen de la protec­tion des données (European Data Protection Supervisor, EDPS) émet une opinion sur la propo­si­tion de loi sur la cyber-rési­lience. La propo­si­tion de loi vise à poser des exigences mini­males de cyber­sé­cu­rité appli­cables aux produits compor­tant des éléments numériques.

La propo­si­tion de la Commission euro­péenne rela­tive à une nouvelle loi sur la cyber-rési­lience (Proposal for a Cyber Resilience Act, P‑CRA) fait suite au constat selon lequel le niveau global de cyber­sé­cu­rité n’est pas suffi­sam­ment élevé, de même que le niveau de compré­hen­sion par les utili­sa­teurs des produits compor­tant des éléments numé­riques (« products with digi­tal elements »).

La P‑CRA cherche à poser les condi­tions hori­zon­tales mini­males pour que des produits compor­tant des éléments numé­riques moins vulné­rables soient mis sur le marché et pour que les utili­sa­teurs puissent prendre la cyber­sé­cu­rité en compte pour orien­ter leur choix et leur utili­sa­tion de tels produits. Ces produits vont des logi­ciels ou systèmes d’ex­ploi­ta­tion aux télé­phones portables et ordinateurs.

Pour ce faire, la P‑CRA intro­duit des exigences essen­tielles pour la concep­tion, le déve­lop­pe­ment et la produc­tion de tels produits. Elle pose aussi des exigences pour les proces­sus de gestion de vulné­ra­bi­li­tés durant tout leur cycle de vie et des obli­ga­tions pour les acteurs écono­miques en rela­tion avec ces dernières. Finalement, la P‑CRA prévoit des règles pour surveiller le marché et la confor­mité aux obli­ga­tions susmentionnées.

La propo­si­tion de loi prend en compte la protec­tion des données, notam­ment en impo­sant la prise en consi­dé­ra­tion, pour déter­mi­ner le niveau de risque de cyber­sé­cu­rité d’un produit, des fonc­tions critiques ou sensibles comme le trai­te­ment de données (art. 6 let. c P‑CRA). Les exigences de sécu­rité comprennent la protec­tion de la confi­den­tia­lité et de l’intégrité des données, notam­ment person­nelles, ainsi que le prin­cipe de mini­mi­sa­tion des données (Annexe I ch. 3 let. c, d et e en lien avec l’art. 5 par. 1 let. c RGPD).

L’EDPS salue la propo­si­tion et soutient son objec­tif géné­ral d’améliorer le fonc­tion­ne­ment du marché interne en posant un cadre légal uniforme en termes d’exigences mini­males de cyber­sé­cu­rité pour les produits compor­tant des éléments numé­riques. La sécu­rité des données, figu­rant aux art. 5 par. 1 let. f RGPD et 32 RGPD, consti­tue l’un des prin­cipes cardi­naux en protec­tion des données. L’EDPS est donc satis­fait des consi­dé­ra­tions de protec­tion des données dans la propo­si­tion et estime que la cyber­sé­cu­rité contri­bue à la protec­tion de la sphère privée.

En revanche, l’EDPS recom­mande que les exigences comprennent égale­ment la protec­tion des données dès la concep­tion et par défaut. Cette recom­man­da­tion vaut prin­ci­pa­le­ment pour les fabri­cants de produits qui ne traitent pas eux-mêmes ensuite des données. Les fabri­cants se limitent en effet souvent à four­nir un produit à des particuliers.

Le consid. 78 RGPD incite les fabri­cants à prendre en consi­dé­ra­tion la protec­tion des données lors de la concep­tion de produits pour permettre aux respon­sables du trai­te­ment et aux sous-trai­tants d’assumer leurs obli­ga­tions subsé­quentes. Il ne s’agit que d’une inci­ta­tion pour les fabri­cants qui ne traitent pas de données person­nelles. Selon l’EDPS, il est néces­saire que la protec­tion des données par défaut et dès la concep­tion soit exigée dans la P‑CRA dès le début du cycle de vie d’un produit.

L’EDPS formule deux commen­taires spéci­fiques au sujet du champ d’application de la P‑CRA. D’une part, il lui semble­rait judi­cieux d’expliquer dans le préam­bule de la P‑CRA l’importance, en cyber­sé­cu­rité et en protec­tion des données, des produits numé­riques servant à des opéra­tions cryp­to­gra­phiques (comme le chif­fre­ment, en tran­sit ou au repos, ou la pseu­do­ny­mi­sa­tion). L’EDPS souhaite par ailleurs que le maté­riel de cryp­to­gra­phie soit consi­déré comme critique (par son ajout à la classe II de l’annexe III) et qu’il soit par consé­quent sujet à des procé­dures d’analyse de risque plus strictes.

D’autre part, l’EDPS recom­mande que la P‑CRA clari­fie sa rela­tion avec d’autres légis­la­tions. Par exemple, les dispo­si­tifs médi­caux sont exclus de la propo­si­tion car soumis à une régle­men­ta­tion spéci­fique (cf. Règlement (UE) 2017/​745). Néanmoins, celle-ci ne prévoit pour l’EDPS pas d’exigences suffi­santes en termes de cyber­sé­cu­rité et de protec­tion des données, raison pour laquelle son appli­ca­tion ne devrait pas être exclue de l’application de la P‑CRA.

Pour l’EDPS, les syner­gies entre la P‑CRA et le RGPD confor­mé­ment au consid. 17 doivent se réper­cu­ter dans la loi. Concrètement, la P‑CRA doit prévoir les aspects rela­tifs à la créa­tion de syner­gies en termes de stan­dar­di­sa­tion et certi­fi­ca­tion, par exemple lorsqu’il en va de l’échange d’information. En outre, la propo­si­tion doit clari­fier qu’elle n’affecte ni les régle­men­ta­tions préexis­tantes de protec­tion de données ni les pouvoirs des auto­ri­tés de surveillance en vertu de celles-ci.

L’EDPS soutient la recon­nais­sance par la P‑CRA du trai­te­ment de données comme une fonc­tion critique et sensible suscep­tible de justi­fier une certi­fi­ca­tion de cyber­sé­cu­rité. Il lui importe toute­fois de clari­fier qu’une telle certi­fi­ca­tion n’équivaut pas en soi à une confor­mité au RGPD.

L’EDPS salue fina­le­ment les sanc­tions propo­sées à l’art. 53 P‑CRA, simi­laires à celles prévues par le RGPD. Pour non-confor­mité aux exigences essen­tielles de l’Annexe I ou aux obli­ga­tions de fabri­cants, la P‑CRA habi­lite les auto­ri­tés de surveillance du marché dési­gnées par les États membres à infli­ger des amendes admi­nis­tra­tives allant jusqu’à 15 millions d’euros ou jusqu’à 2.5% du revenu global. En cas de non-confor­mité à d’autres obli­ga­tions de la P‑CRA, l’amende peut se monter à 10 millions d’euros ou 2% du revenu global. L’amende peut atteindre 5 millions d’euros ou 1% du revenu global pour l’information incor­recte ou incom­plète faisant suite à la requête d’une auto­rité d’application de la loi.

La situa­tion en Suisse

Le droit suisse ne prévoit actuel­le­ment pas de régle­men­ta­tion spéci­fique de cyber­sé­cu­rité pour les produits à compo­santes numé­riques ou pour les fabri­cants de tels produits. Il n’existe en effet à notre connais­sance aucun instru­ment légal impo­sant des exigences mini­males en termes de cyber­sé­cu­rité aux fabri­cants et autres inter­ve­nants dans le cycle de vie de tels produits, sous réserve des consi­dé­ra­tions de la Loi sur la sécu­rité des produits (LSPro). Elles se limitent à assu­rer la sécu­rité physique et la santé des utilisateurs.

D’autres régle­men­ta­tions s’appliquant à un cercle spéci­fique de produits se limitent au renvoi ponc­tuel à des consi­dé­ra­tions très géné­rales de cyber­sé­cu­rité, comme l’art. 4 de l’Ordonnance sur les dispo­si­tifs médi­caux (ODim) qui renvoie au Règlement (UE) 2017/​745 susmentionné.

Par ailleurs, la LPD, comme le RGPD, se limite à impo­ser des obli­ga­tions de protec­tion des données unique­ment aux personnes trai­tant de telles données. Partant, le fabri­cant qui se limite à la mise sur le marché de produits utili­sés ensuite par d’autres personnes n’est pas soumis en tant que tel à des obli­ga­tions de protec­tion des données.

L’art. 7 nLPD impo­sant au respon­sable du trai­te­ment de garan­tir la protec­tion des données dès la concep­tion et par défaut, il serait judi­cieux de prévoir en droit suisse des obli­ga­tions appli­cables égale­ment aux fabri­cants, afin d’une part de ne pas surchar­ger les respon­sables du trai­te­ment qui traitent des données par le biais de produits fabri­qués par des tiers et, d’autre part, de n’exclure aucune étape du cycle de vie d’un produit compor­tant des éléments numériques.



Proposition de citation : Pauline Meyer, Sécurité des produits et protection des données : les assurer et les associer, ça coule de source, 15 décembre 2022 in www.swissprivacy.law/190


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • DORA, le règlement européen sur la résilience opérationnelle numérique du secteur financier 
  • Rapports d’incidents et prothèses : la transparence est de mise
  • Nouvelle cyberstratégie nationale: objectif de protection contre les cybermenaces
  • Rapport semestriel du Centre national pour la cybersécurité : cybersécurité des PME
Derniers articles
  • Collectes de données personnelles par des étudiants dans le cadre de travaux académiques : qui est responsable du traitement ?
  • La LPD refoulée en clinique : des sanctions pénales plus théoriques que pratiques
  • La protection des personnes physiques à l’égard du traitement des données à caractère personnel en vertu de l’art. 58 par. 2 RGPD
  • 2e révision des ordonnances de la LSCPT : vers une surveillance de tout un chacun toujours plus intrusive pour l’internet suisse
Abonnement à notre newsletter
swissprivacy.law