COMMUNAUTÉS & EXPERTISES — Expertises

EXPERTISES - DROIT: ICT, GDPR ET IMMATÉRIEL

La sécurité de l’information n’est plus un luxe mais la règle



264770.jpg

Mickaël Tome et Cyril Pierre-Beausse, Avocats à la Cour – Etude / C-L aw Photo : C-Law

Le 28 mai 2019, la loi a transposé en droit luxembourgeois les règles issues de la directive européenne Network and Information System Security (directive NIS), complétant ainsi l’environnement réglementaire complexe qui s’applique aux organisations établies sur le territoire luxembourgeois.

De nouvelles règles sont récemment venues se superposer au cadre juridique existant au Luxembourg en matière de sécurité de l’information. Le 28 mai 2019, la loi a en effet transposé en droit luxembourgeois la directive européenne «NIS» du 6 juillet 2016 qui établit des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne.

L’objectif essentiel de cette nouvelle réglementation est d’imposer aux acteurs essentiels de la vie quotidienne des Luxembourgeois de se doter des moyens nécessaires pour lutter contre la cybercriminalité. Ce nouveau cadre juridique vient souligner l’importance qu’ont pris les technologies de l’information dans nos sociétés, notre dépendance à ces technologies et leur propre vulnérabilité aux attaques informatiques. Les nouvelles règles dessinent une responsabilité accrue sur les organisations dans le but de faire face à la fréquence et l’impact des incidents de sécurité.

Dans le collimateur, les opérateurs de «services essentiels» (énergie, transports, santé, eau, établissements de crédit et infrastructures de marchés financiers, infrastructures numériques) et les «fournisseurs de service numérique» (services informatiques en nuage ou cloud, moteurs de recherche, places de marché en ligne).

Ils doivent (avec des nuances selon le type d’acteur concerné) adopter des mesures techniques et organisationnelles de nature à réduire les risques pesant sur la sécurité de leurs réseaux et systèmes d’information, prévenir et gérer les incidents mais aussi notifier promptement à l’autorité compétente les incidents ayant un impact significatif.

Les principes qui sont à la base de cette réglementation sont bien connus: approche par les risques, gouvernance de la sécurité, préservation de la continuité des services, prévention et gestion des incidents, notification des incidents au régulateur. Ce sont les mêmes principes qui sont imposés depuis mai 2018 par le fameux RGPD à toutes les organisations du pays qui traitent des données personnelles.

Il est toutefois logique que les obligations pesant sur les opérateurs de «services essentiels» et les fournisseurs de services numériques soient renforcées, puisqu’un incident les affectant peut créer un effet domino. Et donc présenter un risque systémique, une menace générale pour l’économie ou la sécurité nationale.

Les acteurs concernés doivent quant à eux tenir compte de plusieurs réglementations parallèles, mais qui n’ont parfois pas été pensées pour s’appliquer de manière combinée. À titre d’illustration, plusieurs obligations de notification des incidents de sécurité existent désormais à l’égard de différentes autorités de régulation (Commission nationale pour la protection des données/CNPD en cas de violation de données à caractère personnel en vertu du RGPD, Commission de surveillance du secteur financier/CSSF ou Institut luxembourgeois de régulation/ILR en cas d’incident significatif sur la continuité de services essentiels ou sur la fourniture d’un service numérique en vertu des nouvelles règles). Bref, une source de complexité alors que, dans le cas d’un incident majeur, les sources de préoccupation ne manquent pas, le temps est compté et les délais de notification extrêmement courts. En outre, les obligations varient selon la qualification juridique de l’incident au regard des différentes réglementations applicables. Les organisations devront donc trancher dans l’urgence et donner (sans trembler) une qualification précise, étayée et documentée.

Un point d’intérêt de la loi du 28 mai 2019 est le choix fait par le législateur de désigner des autorités compétentes en matière de sécurité des réseaux et des systèmes d’information qui sont différentes selon le secteur concerné: la CSSF a compétence pour le secteur financier (y compris les fournisseurs de services numériques à destination de ce secteur), tandis que l’ILR s’occupera des autres secteurs. Une spécialisation intéressante, qui n’a pas été retenue en matière de protection des données, par exemple.

En cas de manquement constaté, les acteurs concernés s’exposent à une sanction de la part de ces autorités allant du simple avertissement à une amende pouvant atteindre 125.000 euros. On ne pourra que déplorer l’insignifiance de ce montant au regard du niveau d’amende prévu par le RGPD en cas de violation de données personnelles par n’importe quelle organisation («essentielle» ou pas) de la Place.

Face à cela, les acteurs doivent penser les risques en amont et de manière globale et améliorer de manière continue la prévention et la gestion des incidents. D’un autre côté, il est essentiel de rationaliser les efforts de mise en conformité, créer les synergies nécessaires entre différents projets possibles (RGPD, sécurité de l’information, archivage électronique, numérisation), et maîtriser les coûts et délais associés. Le niveau de préparation aux nouvelles exigences est à cet égard très différent selon les secteurs.

Mickaël Tome et Cyril Pierre-Beausse

Retrouvez l’intégralité de Droit: ICT, GDPR & Immatériel