swissprivacy.law
  • Décision
  • Doctrine
  • Jurisprudence
  • Réglementation
  • À propos
  • Abonnement à notre newsletter
swissprivacy.law
  • Décision
  • Jurisprudence
  • Doctrine
  • Réglementation
  • À propos
S'abonner
Generic selectors
Expression exacte
Rechercher dans le titre
Rechercher dans le contenu
Post Type Selectors
Filtrer par catégorie
Décision
Doctrine
Jurisprudence
Réglementation

Sécurité des produits et protection des données : les assurer et les associer, ça coule de source

Pauline Meyer, le 15 décembre 2022
Le Contrôleur euro­péen de la protec­tion des données salue la propo­si­tion de loi sur la cyber-rési­lience. Il estime cepen­dant que la protec­tion des données person­nelles devrait être mieux intégrée.

Opinion 23/​2022 on the Proposal for a Regulation of the European Parliament and of the Council on hori­zon­tal cyber­se­cu­rity requi­re­ments for products with digi­tal elements and amen­ding Regulation (EU) 2019/​1020

L’opinion du Contrôleur euro­péen de la protec­tion des données 

Le 9 novembre 2022, le Contrôleur euro­péen de la protec­tion des données (European Data Protection Supervisor, EDPS) émet une opinion sur la propo­si­tion de loi sur la cyber-rési­lience. La propo­si­tion de loi vise à poser des exigences mini­males de cyber­sé­cu­rité appli­cables aux produits compor­tant des éléments numériques.

La propo­si­tion de la Commission euro­péenne rela­tive à une nouvelle loi sur la cyber-rési­lience (Proposal for a Cyber Resilience Act, P‑CRA) fait suite au constat selon lequel le niveau global de cyber­sé­cu­rité n’est pas suffi­sam­ment élevé, de même que le niveau de compré­hen­sion par les utili­sa­teurs des produits compor­tant des éléments numé­riques (« products with digi­tal elements »).

La P‑CRA cherche à poser les condi­tions hori­zon­tales mini­males pour que des produits compor­tant des éléments numé­riques moins vulné­rables soient mis sur le marché et pour que les utili­sa­teurs puissent prendre la cyber­sé­cu­rité en compte pour orien­ter leur choix et leur utili­sa­tion de tels produits. Ces produits vont des logi­ciels ou systèmes d’ex­ploi­ta­tion aux télé­phones portables et ordinateurs.

Pour ce faire, la P‑CRA intro­duit des exigences essen­tielles pour la concep­tion, le déve­lop­pe­ment et la produc­tion de tels produits. Elle pose aussi des exigences pour les proces­sus de gestion de vulné­ra­bi­li­tés durant tout leur cycle de vie et des obli­ga­tions pour les acteurs écono­miques en rela­tion avec ces dernières. Finalement, la P‑CRA prévoit des règles pour surveiller le marché et la confor­mité aux obli­ga­tions susmentionnées.

La propo­si­tion de loi prend en compte la protec­tion des données, notam­ment en impo­sant la prise en consi­dé­ra­tion, pour déter­mi­ner le niveau de risque de cyber­sé­cu­rité d’un produit, des fonc­tions critiques ou sensibles comme le trai­te­ment de données (art. 6 let. c P‑CRA). Les exigences de sécu­rité comprennent la protec­tion de la confi­den­tia­lité et de l’intégrité des données, notam­ment person­nelles, ainsi que le prin­cipe de mini­mi­sa­tion des données (Annexe I ch. 3 let. c, d et e en lien avec l’art. 5 par. 1 let. c RGPD).

L’EDPS salue la propo­si­tion et soutient son objec­tif géné­ral d’améliorer le fonc­tion­ne­ment du marché interne en posant un cadre légal uniforme en termes d’exigences mini­males de cyber­sé­cu­rité pour les produits compor­tant des éléments numé­riques. La sécu­rité des données, figu­rant aux art. 5 par. 1 let. f RGPD et 32 RGPD, consti­tue l’un des prin­cipes cardi­naux en protec­tion des données. L’EDPS est donc satis­fait des consi­dé­ra­tions de protec­tion des données dans la propo­si­tion et estime que la cyber­sé­cu­rité contri­bue à la protec­tion de la sphère privée.

En revanche, l’EDPS recom­mande que les exigences comprennent égale­ment la protec­tion des données dès la concep­tion et par défaut. Cette recom­man­da­tion vaut prin­ci­pa­le­ment pour les fabri­cants de produits qui ne traitent pas eux-mêmes ensuite des données. Les fabri­cants se limitent en effet souvent à four­nir un produit à des particuliers.

Le consid. 78 RGPD incite les fabri­cants à prendre en consi­dé­ra­tion la protec­tion des données lors de la concep­tion de produits pour permettre aux respon­sables du trai­te­ment et aux sous-trai­tants d’assumer leurs obli­ga­tions subsé­quentes. Il ne s’agit que d’une inci­ta­tion pour les fabri­cants qui ne traitent pas de données person­nelles. Selon l’EDPS, il est néces­saire que la protec­tion des données par défaut et dès la concep­tion soit exigée dans la P‑CRA dès le début du cycle de vie d’un produit.

L’EDPS formule deux commen­taires spéci­fiques au sujet du champ d’application de la P‑CRA. D’une part, il lui semble­rait judi­cieux d’expliquer dans le préam­bule de la P‑CRA l’importance, en cyber­sé­cu­rité et en protec­tion des données, des produits numé­riques servant à des opéra­tions cryp­to­gra­phiques (comme le chif­fre­ment, en tran­sit ou au repos, ou la pseu­do­ny­mi­sa­tion). L’EDPS souhaite par ailleurs que le maté­riel de cryp­to­gra­phie soit consi­déré comme critique (par son ajout à la classe II de l’annexe III) et qu’il soit par consé­quent sujet à des procé­dures d’analyse de risque plus strictes.

D’autre part, l’EDPS recom­mande que la P‑CRA clari­fie sa rela­tion avec d’autres légis­la­tions. Par exemple, les dispo­si­tifs médi­caux sont exclus de la propo­si­tion car soumis à une régle­men­ta­tion spéci­fique (cf. Règlement (UE) 2017/​745). Néanmoins, celle-ci ne prévoit pour l’EDPS pas d’exigences suffi­santes en termes de cyber­sé­cu­rité et de protec­tion des données, raison pour laquelle son appli­ca­tion ne devrait pas être exclue de l’application de la P‑CRA.

Pour l’EDPS, les syner­gies entre la P‑CRA et le RGPD confor­mé­ment au consid. 17 doivent se réper­cu­ter dans la loi. Concrètement, la P‑CRA doit prévoir les aspects rela­tifs à la créa­tion de syner­gies en termes de stan­dar­di­sa­tion et certi­fi­ca­tion, par exemple lorsqu’il en va de l’échange d’information. En outre, la propo­si­tion doit clari­fier qu’elle n’affecte ni les régle­men­ta­tions préexis­tantes de protec­tion de données ni les pouvoirs des auto­ri­tés de surveillance en vertu de celles-ci.

L’EDPS soutient la recon­nais­sance par la P‑CRA du trai­te­ment de données comme une fonc­tion critique et sensible suscep­tible de justi­fier une certi­fi­ca­tion de cyber­sé­cu­rité. Il lui importe toute­fois de clari­fier qu’une telle certi­fi­ca­tion n’équivaut pas en soi à une confor­mité au RGPD.

L’EDPS salue fina­le­ment les sanc­tions propo­sées à l’art. 53 P‑CRA, simi­laires à celles prévues par le RGPD. Pour non-confor­mité aux exigences essen­tielles de l’Annexe I ou aux obli­ga­tions de fabri­cants, la P‑CRA habi­lite les auto­ri­tés de surveillance du marché dési­gnées par les États membres à infli­ger des amendes admi­nis­tra­tives allant jusqu’à 15 millions d’euros ou jusqu’à 2.5% du revenu global. En cas de non-confor­mité à d’autres obli­ga­tions de la P‑CRA, l’amende peut se monter à 10 millions d’euros ou 2% du revenu global. L’amende peut atteindre 5 millions d’euros ou 1% du revenu global pour l’information incor­recte ou incom­plète faisant suite à la requête d’une auto­rité d’application de la loi.

La situa­tion en Suisse

Le droit suisse ne prévoit actuel­le­ment pas de régle­men­ta­tion spéci­fique de cyber­sé­cu­rité pour les produits à compo­santes numé­riques ou pour les fabri­cants de tels produits. Il n’existe en effet à notre connais­sance aucun instru­ment légal impo­sant des exigences mini­males en termes de cyber­sé­cu­rité aux fabri­cants et autres inter­ve­nants dans le cycle de vie de tels produits, sous réserve des consi­dé­ra­tions de la Loi sur la sécu­rité des produits (LSPro). Elles se limitent à assu­rer la sécu­rité physique et la santé des utilisateurs.

D’autres régle­men­ta­tions s’appliquant à un cercle spéci­fique de produits se limitent au renvoi ponc­tuel à des consi­dé­ra­tions très géné­rales de cyber­sé­cu­rité, comme l’art. 4 de l’Ordonnance sur les dispo­si­tifs médi­caux (ODim) qui renvoie au Règlement (UE) 2017/​745 susmentionné.

Par ailleurs, la LPD, comme le RGPD, se limite à impo­ser des obli­ga­tions de protec­tion des données unique­ment aux personnes trai­tant de telles données. Partant, le fabri­cant qui se limite à la mise sur le marché de produits utili­sés ensuite par d’autres personnes n’est pas soumis en tant que tel à des obli­ga­tions de protec­tion des données.

L’art. 7 nLPD impo­sant au respon­sable du trai­te­ment de garan­tir la protec­tion des données dès la concep­tion et par défaut, il serait judi­cieux de prévoir en droit suisse des obli­ga­tions appli­cables égale­ment aux fabri­cants, afin d’une part de ne pas surchar­ger les respon­sables du trai­te­ment qui traitent des données par le biais de produits fabri­qués par des tiers et, d’autre part, de n’exclure aucune étape du cycle de vie d’un produit compor­tant des éléments numériques.



Proposition de citation : Pauline Meyer, Sécurité des produits et protection des données : les assurer et les associer, ça coule de source, 15 décembre 2022 in www.swissprivacy.law/190


Les articles de swissprivacy.law sont publiés sous licence creative commons CC BY 4.0.
Sur ce thème
  • Documentation externe et interne aux entreprises en matière de protection de données
  • Jeu, set et match : tour d’horizon des récentes avancées législatives
  • Reconnaissance des SCC par la Suisse : tour d’horizon pour les entreprises helvétiques
  • RGPD et amendes administratives: le CEPD présente ses lignes directrices
Derniers articles
  • Consécration du principe de la gratuité de la transparence
  • Un licenciement fondé sur les données GPS conforme à la CEDH ?
  • Sujets traités lors d’une séance d’un exécutif communal vaudois : publics ou confidentiels ?
  • Cyberattaques : vers une nouvelle obligation d’annonce
Abonnement à notre newsletter
swissprivacy.law