LA CASA DE DATA. SAISON 2

La Commission européenne propose une révision de la directive Network and Information Security (NIS), visant à assurer un certain niveau de sécurité pour les réseaux et les systèmes d’information de l’Union.

  • La directive Network and Information Security d’origine, NIS 1 datant de 2016, n’intégrait que les secteurs sensibles, tels que l’énergie, le cloud, ou le transport. Un certain nombre d’autres secteurs, comme les entreprises de services numériques, échappaient donc à la législation.
  • NIS 2, intégrant la modification de la directive, sur laquelle se sont entendus le Parlement européen et la Commission concernera donc l’ensemble de l’économie, à l’exception des entreprises de moins de 50 salariés.
    • Selon Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), à laquelle les entreprises de services numériques devront rendre davantage de comptes, affirme qu’il s’agit d’une « aberration que les fabricants du substrat numérique ne soient pas concernés par la réglementation ».
      • Côté sanctions, le non-respect des mesures prises conduira à une amende pouvant aller jusqu’à 2% du chiffre d’affaires total de l’entreprise, rappelle Les Échos.
      • Les entreprises disposent encore de temps car cette mesure nécessite tout d’abord une transposition dans chaque législation nationale dans les deux années à venir.
  • En parallèle, un marché unique de la cyber sécurité devait se mettre en place, mais cette mesure reste en suspens.
    • Il s’agit d’établir une politique commune d’évaluation et de labellisation des technologies de cyber sécurité, afin de garantir un niveau élevé de sécurité informatique, pour faire face aux attaques cyber.
    • Ce cadre européen de certification de cyber sécurité permettrait d’harmoniser à l’échelle européenne les méthodes d’évaluation et les différents niveaux d’assurance.
      • Pierre-Yves Hentzen, PDG de Stormshield, un éditeur de logiciels pare-feu, rappelle que l’enjeu d’établir cette labélisation est de pouvoir accélérer l’exportation des services des champions de ce secteur à l’échelle européenne.
    • Cependant, les négociations patinent sur les critères communs. Les discussions achoppent sur les aspects juridiques, la difficulté tenant au fait qu’il convient d’articuler marché unique, protection des données et exportation du modèle afin d’assurer un soft power efficace.

  • Enfin, concernant la protection des utilisateurs, la Commission européenne rappelle son exigence de davantage de clarté de la part de WhatsApp sur l’actualisation de ses conditions d’utilisation.
    • Après une première pression en janvier, la Commission juge insuffisantes les explications fournies, et plus précisément à propos des données des utilisateurs européens.
    • Dans son dernier courrier, la Commission insiste tout particulièrement que cette modification ne peut se faire à l’encontre du cadre législatif européen.
      • En d’autres termes, elle s’oppose à ce que ces entreprises américaines fassent du vol de données personnelles une source de revenus.
    • Le Journal du Geek nous explique que WhatsApp a un mois pour démontrer à la Commission que ses pratiques sont conformes au droit de la consommation de l’Union