Ces dernières années, les établissements financiers ont vu surgir des obligations de notification des événements affectant la sécurité de leur système d’information (SI), susceptibles de porter atteinte à la qualité du service rendu ou à la sécurité et à la confidentialité des données à caractère personnel traitées. Plusieurs législations européennes et nationales imposent de procéder au signalement de ces incidents, dont la définition peut varier d’un texte à l’autre, à destination d’autorités distinctes dont certaines sont dotées d’un pouvoir de contrôle et de sanction. Ces textes aboutissent à la création d’un véritable mille-feuille législatif et réglementaire peu lisible pour les professionnels du secteur bancaire, ce qui accroît d’autant le risque de non-conformité par rapport à ces obligations, dont certaines peuvent donner lieu à des sanctions administratives et pénales (voir Tableau). Dès lors, comment ne pas se perdre dans ce labyrinthe ? Que notifier et à qui ? Pour y voir plus clair, voici un panorama de ces obligations.
Le règlement relatif à la protection des données (RGPD)
L’article 33 du Règlement général sur la protection des
Cette obligation figure à l’article 34 bis de la loi n° 78-17 du 6 janvier 1978 modifiée, mais elle est uniquement applicable aux fournisseurs de services de communications électroniques au public, tels que définis par l’article L. 33-1 du Code des postes et des communications électroniques. Le périmètre des responsables de traitement soumis à cette obligation est donc limité notamment aux fournisseurs d’accès à Internet et aux opérateurs de téléphonie. Cette obligation sectorielle sera donc généralisée à tous les responsables de traitement dont les établissements financiers au moment de l’entrée en vigueur du Règlement européen, à compter du 25 mai 2018.
Les dispositions du RGPD apparaissent particulièrement contraignantes. Elles imposent, en effet, de procéder à une notification des violations mentionnées précédemment à l’autorité de protection des données dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Dans l’hypothèse où la notification n’aurait pas pu être réalisée dans ce délai, le responsable de traitement devra indiquer les motifs du retard à l’autorité de contrôle. Par ailleurs, si la violation en question est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques concernées, le responsable de traitement devra les en informer. L’article 34 fixe la liste des informations à lui communiquer, parmi lesquelles doivent figurer les conséquences probables de la violation et les mesures prises par le responsable de traitement pour y remédier, ce qui inclut les mesures destinées à en atténuer les conséquences négatives. Un établissement financier devra donc non seulement indiquer à ses clients qu’il a perdu des données les concernant, mais également que cet incident pourrait entraîner une gêne ou un préjudice à leur encontre (par exemple, une impossibilité d’utiliser sa carte bancaire), ce qui pourrait s’avérer dévastateur en termes d’image et affecter durablement la confiance des clients en leur banquier.
Les établissements financiers devront donc intégrer cette nouvelle contrainte et, de manière préventive, renforcer les mesures de sécurité ou de confidentialité mises en œuvre afin de limiter les incidents devant donner lieu à notification. La notification à l’autorité de contrôle n’est effectivement pas requise si la violation en question n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques concernées. Dans ce cas, il convient simplement de documenter l’incident en interne (article 33, 5).
Cette notification devra être articulée avec les obligations résultant de la directive relative à la Sécurité des réseaux et des systèmes d’information (SRI).
La directive sur la Sécurité des réseaux et des systèmes d’information
La Directive n° 2016/1148 du 6 juillet 2016 concernant les mesures destinées à assurer un niveau élevé commun de SRI dans l’Union européenne prévoit que les entreprises ayant un rôle important pour la société et l’économie désignées dans la directive sous l’appellation « opérateurs de service essentiels » mettent en place « des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leurs activités ». L’article 14 prévoit en outre que ces opérateurs notifient à l’autorité compétente « sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels qu’ils fournissent ». La notion d’incident significatif n’est pas définie, la directive prévoyant simplement trois critères permettant de déterminer l’ampleur d’un incident :
- le nombre d’utilisateurs touchés par la perturbation du service essentiel ;
- la durée de l’incident ;
- la portée géographique, eu égard à la zone touchée par l’incident.
Cette directive qui traduit la volonté des autorités européennes de disposer d’un environnement digital fiable et sécurisé devra être transposée en droit national avant le 9 mai 2018, date concomitante avec l’entrée en vigueur du RGDP. Il faut donc espérer que cette transposition viendra apporter des précisions quant aux incidents devant être notifiés et aux modalités de cette notification, la directive restant imprécise sur ce point. L’article 5 laisse, en outre, une période de six mois supplémentaire aux États membres (c'est-à-dire jusqu’au 9 novembre 2018) pour identifier les opérateurs de services essentiels ayant un établissement sur leur territoire. Cette liste devra ensuite être régulièrement mise à jour.
Un même incident de sécurité au titre du RGDP et de la directive SRI pourra donc donner lieu à deux notifications distinctes auprès de deux autorités différentes. Le sujet pourrait encore se complexifier si l’établissement de crédit est également prestataire de services de paiement.
La directive sur les services de paiement (DSP2)
La Directive n° 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le
- à l’intention des prestataires de services de paiement, concernant la classification des incidents, et donc l’identification des incidents majeurs, ainsi que les modalités de notification (modèle et procédures) ;
- à destination des autorités compétentes en ce qui concerne notamment les critères permettant d’évaluer la pertinence de l’incident.
L’autorité habilitée à recevoir ces notifications (désignée sous le terme d’« autorité compétente ») doit, dès réception de la notification et sans retard injustifié, communiquer les détails importants de l’incident à l’ABE et à la BCE. Le texte n’étant pas transposé en droit français (les dispositions nécessaires pour se conformer à la présente directive doivent être adoptées et publié avant le 13 janvier 2018), l’autorité compétente n’a pas encore été désignée. Toutefois, dans la mesure où celle-ci devra procéder à une transmission d’information à la BCE, il pourrait logiquement s’agir de l’Autorité de contrôle prudentiel et de résolution (ACPR) qui coopère déjà avec la BCE dans d’autres domaines. Dans cette hypothèse, cela conduirait les établissements financiers à notifier une troisième catégorie d’incident à une troisième autorité. À noter que la notification doit être effectuée dans l’État membre d’origine du prestataire, donc dans l’hypothèse où un établissement de paiement agréé en France exercerait son activité en libre prestation de service dans un autre pays européen, la notification devra être effectuée en France, ce qui peut être un facteur de complexification, notamment en raison des délais laissés pour procéder à cette notification.
Par ailleurs, la demande d’agrément en tant qu’établissement de paiement comprend une description de la procédure en place pour assurer la surveillance, le traitement et le suivi des incidents de sécurité et des réclamations de clients liées à la sécurité, y compris un mécanisme de signalement des incidents qui tient compte des obligations de notification incombant à l’établissement de paiement en application de l’article 96. Les modalités de traitement de ces incidents font donc partie des conditions de délivrance de l’agrément, ce qui atteste de l’importance du sujet.
À ces législations, il convient d’ajouter également d’ajouter la réglementation française relative aux opérateurs d’importance vitale (OIV) résultant de la loi de programmation militaire.
La loi de programmation militaire
La loi de programmation militaire
Les incidents « affectant la sécurité ou le fonctionnement des systèmes d’information d’importance vitale » doivent être déclarés auprès des services du Premier ministre, c’est-à-dire auprès de l’ANSSI. À noter que seuls les incidents affectant les systèmes identifiés comme d’importance vitale (SIIV) sont concernés. Comme indiqué précédemment, il s’agit des SIIV « pour lequel l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique ou la capacité de survie de la Nation », ainsi que les SI pour lesquels l’atteinte à la sécurité « pourrait présenter un danger grave pour la population » (articles L. 1332-6-1 et L. 1332-2 du Code de la défense nationale).
Comme dans le cadre de la directive SRI ou de la DSP2, les incidents à signaler sont ceux affectant la sécurité du système d’information et susceptible d’entraîner une perturbation du service. Les informations à communiquer, les modalités de leur transmission ainsi que les types d’incidents auxquels s’applique cette obligation sont définis par arrêtés. À cette date, tous les arrêtés sectoriels prévus par la LPM n’ont pas été adoptés, en particulier celui relatif au secteur financier. On constate toutefois que les arrêtés publiés (notamment ceux des secteurs « Produits de santé », « Gestion de l’eau » et « Alimentation ») sont relativement similaires et que l’annexe IV fixant le type d’incident à notifier n’est pas rendue publique, pour des raisons évidentes de confidentialité. L’ANSSI a cependant mis en ligne sur son site Internet un formulaire permettant de procéder à la déclaration de ces
Les incidents de sécurité à notifier au titre de la LPM se rapprochent donc de ceux notifiables au titre de la directive SRI. Par ailleurs, l’autorité compétente pour recueillir ces notifications étant l’ANSSI, on peut supposer que l’agence veillera, dans le cadre de la transposition de la SRI, à garantir la cohérence de ces nouvelles dispositions avec celles applicables au titre de la LPM.
À noter enfin que la BCE a lancé un pilote en février 2016, présenté comme un test qui pourrait bien déboucher sur une nouvelle réglementation visant à lui communiquer l’ensemble des incidents de sécurité autres que ceux concernant les opérations de paiement.
L’ensemble de ces initiatives visent à contraindre les établissements financiers à renforcer la sécurité de leur SI. Toutefois, les différences de rédaction notamment quant au type d’incidents à notifier sont de nature à entraîner des incertitudes quant à l’application de ces obligations. La transposition des directives SRI et la DSP2 devant intervenir avant l’entrée en vigueur du RGDP, il faut espérer qu’elle sera l’occasion de clarifier ces dispositions et qu’elle permettra d’assurer leur cohérence au niveau national.