L'UE dévoile son plan pour la sécurité des appareils intelligents
Les législateurs de l'Union européenne ont proposé un nouvel ensemble de règles sur les produits à appliquer aux appareils intelligents dans le but d'obliger les fabricants de matériel connecté à Internet - tels que les machines à laver "intelligentes" ou les jouets connectés - à accorder une attention particulière à la sécurité des appareils.
La proposition de loi européenne sur la cyber-résilience introduira des exigences obligatoires en matière de cybersécurité pour les produits contenant des "éléments numériques" vendus dans l'ensemble du bloc, les exigences s'appliquant tout au long de leur cycle de vie - ce qui signifie que les fabricants de gadgets devront fournir un support de sécurité continu et des mises à jour pour corriger les vulnérabilités émergentes - a déclaré la Commission aujourd'hui.
Le projet de règlement met également l'accent sur les fabricants d'appareils intelligents communiquant aux consommateurs "des informations suffisantes et précises" - pour s'assurer que les acheteurs sont capables de saisir les considérations de sécurité au point d'achat et de configurer les appareils en toute sécurité après l'achat.
Les sanctions proposées par la Commission pour non-conformité aux exigences « essentielles » en matière de cybersécurité peuvent atteindre 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel mondial, les autres infractions aux obligations réglementaires étant passibles d'une sanction maximale de 10 millions d'euros ou 2 % du chiffre d'affaires.
L'exécutif de l'UE a déclaré que le règlement proposé s'appliquera à tous les produits connectés "directement ou indirectement à un autre appareil ou réseau" - à quelques exceptions près pour les produits pour lesquels des exigences de cybersécurité sont déjà définies dans les règles européennes existantes, tels que les dispositifs médicaux, l'aviation et les voitures.
Dans un résumé des mesures proposées, qui sont basées sur un cadre législatif pour la législation européenne sur les produits qui a été mis à jour en 2008, la Commission a déclaré qu'elles établiront :
a) des règles de mise sur le marché de produits contenant des éléments numériques pour assurer leur cybersécurité;
(b) les exigences essentielles pour la conception, le développement et la production de produits contenant des éléments numériques, et les obligations des opérateurs économiques concernant ces produits;
c) les exigences essentielles relatives aux processus de traitement des vulnérabilités mis en place par les fabricants pour garantir la cybersécurité des produits contenant des éléments numériques tout au long de leur cycle de vie, et les obligations des opérateurs économiques en rapport avec ces processus. Les fabricants devront également signaler les vulnérabilités et les incidents activement exploités ;
d) des règles de surveillance du marché et d'application.
"Les nouvelles règles rééquilibreront la responsabilité vis-à-vis des fabricants, qui doivent garantir la conformité aux exigences de sécurité des produits contenant des éléments numériques mis à disposition sur le marché de l'UE", écrit-il dans un communiqué de presse. "En conséquence, ils bénéficieront aux consommateurs et aux citoyens, ainsi qu'aux entreprises utilisant des produits numériques, en améliorant la transparence des propriétés de sécurité et en favorisant la confiance dans les produits contenant des éléments numériques, ainsi qu'en assurant une meilleure protection de leurs droits fondamentaux, tels que la vie privée et la protection des données."
Une session de questions-réponses de la Commission sur l'initiative stipule en outre que les fabricants seraient soumis à "un processus d'évaluation de la conformité pour démontrer si les exigences spécifiées relatives à un produit ont été respectées". Il note que cela pourrait se faire par le biais d'une auto-évaluation ou d'une évaluation de la conformité par une tierce partie « en fonction de la criticité du produit en question ».
Lorsque la conformité aux exigences applicables a été démontrée, les fabricants d'appareils pourraient apposer le marquage CE de l'UE, indiquant la conformité des éléments numériques avec le règlement sur la sécurité des produits.
La non-conformité serait traitée par les autorités de surveillance du marché nommées par les États membres qui seraient responsables de l'application - avec des pouvoirs proposés non seulement pour ordonner l'arrêt de la non-conformité, mais aussi "éliminer le risque" en interdisant la vente d'un produit ou en restreignant autrement sa disponibilité sur le marché. Les autorités compétentes pourraient également ordonner le retrait ou le rappel des produits contrefaisants. Alors que fournir des informations incorrectes, incomplètes ou trompeuses aux régulateurs et aux autorités de surveillance risquerait une amende pouvant aller jusqu'à 5 millions d'euros ou 1% du chiffre d'affaires.
Les appareils intelligents ont été un foyer d'histoires d'horreur en matière de sécurité pendant des années. Bien qu'il y ait eu des mesures législatives antérieures pour combler des lacunes de sécurité flagrantes, comme une loi californienne de 2018 interdisant aux fabricants de définir des mots de passe par défaut facilement devinables dans les appareils.
Le Royaume-Uni travaille également depuis plusieurs années sur une loi de « sécurité dès la conception » pour les gadgets connectés – en diffusant un projet de loi en 2019 (bien que ce projet de loi sur la sécurité des produits, qui regroupe les dispositions relatives à la sécurité des infrastructures de télécommunications, soit toujours en cours d'examen au Parlement britannique).
Bien qu'elle n'ait pas été la première à donner un coup de poing en matière de sécurité des appareils intelligents, l'UE espère que son approche naissante deviendra un point de référence international, le communiqué de presse de la Commission suggérant : "Les normes de l'UE basées sur la loi sur la cyber-résilience faciliteront sa mise en œuvre et seront un atout pour l'industrie de la cybersécurité de l'UE sur les marchés mondiaux".
Cependant, la proposition a encore un long chemin à parcourir avant de devenir une loi de l'UE, car le Parlement européen et le Conseil devront examiner le projet et pourraient chercher à le modifier.
La Commission a également proposé un délai de deux ans une fois le règlement adopté pour que les fabricants d'appareils et les États membres de l'UE s'adaptent à l'ensemble des nouvelles règles. Ainsi, la réglementation ne sera probablement pas mordante avant 2025.
Cela dit, il existe un délai plus court pour l'obligation de déclaration des fabricants pour les "vulnérabilités et incidents activement exploités" - qui s'appliquerait un an à compter de la date d'entrée en vigueur du règlement, car la Commission s'attend à ce que cet élément soit plus facile à mettre en œuvre.
La loi britannique sur la «sécurité par conception» de l'IoT couvrira également les smartphones