Ces obligations concernant uniquement des données à caractère personnel, le législateur européen a aussi ressenti le besoin de réglementer de manière plus stricte certains secteurs à travers la directive NIS (Network and Information Systems – Réseaux et systèmes d’information) qui oblige les acteurs de secteurs importants et essentiels à appliquer des mesures d’identification, de traitement et de surveillance des cyberrisques. Si certains seuils de gravité sont franchis, une notification sectorielle doit être transmise à l’autorité compétente, à savoir l’ILR pour plusieurs secteurs et la CSSF pour le secteur financier. Les secteurs concernés incluent notamment les banques, les marchés financiers, l’infrastructure numérique, le transport, l’énergie, la santé. Cette liste a été étendue au secteur public et à la fabrication de certains produits essentiels (alimentation, produits chimiques, automobiles, produits informatiques…).
À partir du 1er janvier 2025, le secteur financier au sens large devra intégrer la règlementation européenne DORA sur la résilience opérationnelle numérique qui fournit un cadre plus détaillé pour la gestion des risques et la réponse aux incidents informatiques. Par ailleurs, elle réglemente l’offre des géants du Web dans le secteur financier.
Toutes ces règles entraînent des enjeux juridiques de taille. Tout d’abord, la conformité pose plusieurs questions juridiques et en cas de non-respect, des sanctions sont prévues, dont des amendes potentiellement très élevées.
À partir du 1 er janvier 2025, le secteur financier au sens large devra intégrer la règlementation européenne DORA sur la résilience opérationnelle numérique.
Comme ces règles renforcent la gestion des risques tout au long de la chaîne de valeur et d’approvisionnement, les contrats avec tous les fournisseurs de services informatiques et les fournisseurs qui utilisent l’informatique dans leur prestation de services à l’organisation, doivent prévoir des garanties solides en matière de sécurité et de continuité des opérations, une sortie potentielle en cas de problèmes, etc. Une règlementation comme DORA dans le secteur financier prévoit, entre autres, les points essentiels à reprendre dans les contrats avec les fournisseurs de services informatiques. Cela veut dire que la majorité du secteur financier au sens large, y compris la gestion de fonds et l’assurance, doit revoir ses contrats, même si une partie du secteur financier au Luxembourg était déjà bien préparée grâce aux règles européennes et celles de la CSSF relatives à l’externalisation de services (informatiques notamment). Toutefois, le règlement DORA ne concerne pas que les services externalisés, mais englobe tous les services informatiques ayant une certaine importance, donc ceux qui ne constituent pas une externalisation proprement dite.
Le RGPD, la directive NIS et le règlement DORA prévoient tous les trois des règles en cas de cyberincident, dont une obligation de notification pour des incidents relevant d’un certain degré de gravité. Il convient bien d’analyser leur champ d’application, qui peut être différent.
Cependant, le volet juridique en cas d’incident ne s’arrête pas à cette obligation de notification, loin de là. En effet, un cyberincident a très souvent des répercussions significatives sur le fonctionnement de l’organisation et peut vite causer des dommages considérables, par exemple, en cas d’arrêt des systèmes informatiques pendant plusieurs semaines à la suite d’un rançongiciel. Dans ce cas, non seulement l’organisation subit un préjudice, mais celui-ci est susceptible de se répercuter sur ses partenaires commerciaux et ses clients en particulier, ce qui soulève des questions importantes en matière de responsabilité civile. On pourrait également se demander si l’organisation a pris les mesures de gestion, de traitement et de détection des cyberrisques et risques informatiques qu’une organisation moyenne aurait prises dans les mêmes circonstances. Il s’agit d’un exercice difficile pour lequel tant les parties intéressées et les tribunaux doivent se faire assister par des experts pour analyser l’adéquation de ces mesures. Par ailleurs, plusieurs compagnies d’assurance proposent des cyberassurances, mais les couvertures peuvent aussi être une source de discussion. Ainsi, un tribunal allemand a jugé en faveur d’un bénéficiaire d’une cyberassurance. L’assuré a pu prouver que les faiblesses de son système informatique n’étaient pas à l’origine du cyberincident pour lequel il réclamait une indemnisation dans le cadre de son assurance. En France, on constate également une évolution intéressante ou les victimes des rançongiciels doivent déposer une plainte au pénal avant qu’elles ne puissent être dédommagées dans le cadre d’une cyberassurance.
Un cyberincident a très souvent des répercussions significatives sur le fonctionnement de l’organisation et peut vite causer des dommages considérable.
Bref, beaucoup de questions juridiques autour d’un sujet profondément technique!