Quelle évolution des obligations légales ?

Historiquement, les banques sont assujetties au secret bancaire forgé par la jurisprudence et consacré par la loi bancaire [1] en 1984. Les acteurs financiers sont également soumis aux règles de droit commun générant une obligation de confidentialité, notamment respect de la vie privée [2] et secret des correspondances [3] . Cependant, la confidentialité n'est qu'un aspect de la sécurité complété par la disponibilité, l'intégrité et le caractère probant de l'information.

Depuis 1978, l’obligation de sécuriser les informations personnelles est applicable à toutes les organisations, selon la loi dite informatique et libertés [4] .

Le Code monétaire et financier (CMF) rassemble, depuis décembre 2000, les dispositions législatives et réglementaires applicables aux acteurs financiers. Ils doivent mettre en œuvre des dispositifs efficaces d’évaluation des risques et de contrôle des systèmes d’information (SI). Pour les prestataires de services de paiement, le CMF impose d’assurer la sécurité des moyens d’authentification offerts aux utilisateurs.

Toutes les entreprises soumises au contrôle de l’ACPR [5] , selon le règlement n° 97-02, remplacé par l’arrêté du 3 novembre 2014 [6] relatif au contrôle interne, doivent sécuriser leurs systèmes d’information. Elles doivent le formaliser par des manuels de procédures et mettre en œuvre un plan de continuité d’activité.

De plus, le règlement général de l’Autorité des marchés financiers (AMF) contient des dispositions applicables à la sécurité de l’information. Ce règlement impose [7] de mener des analyses de risque, d’établir une politique des habilitations d’accès, de formaliser la documentation du SI et d’établir une politique de sécurité physique et de continuité d’activité. Parmi ces mesures figure également l’obligation de mise en place d’indicateurs de suivi de la qualité et la sécurité de la production informatique, ainsi qu’un suivi des incidents avec leur gravité, origine et plan d’éradication.

La loi de programmation militaire (LPM) du 18 décembre 2013 [8] a introduit des mesures générales de sécurité des systèmes d’information pour les opérateurs d’importance vitale (OIV). Les OIV sont des entreprises et administrations désignées par l’instruction générale du 7 janvier 2014 [9] et considérées comme essentielles à l’activité de la nation. Si la liste des OIV n’est pas publique [10] , la finance est l’un des 12 secteurs concernés. Les établissements financiers désignés s’adaptent aux exigences du texte : mise en œuvre de systèmes qualifiés de détection d’événements susceptibles d’affecter la sécurité du SI, notification de failles et contrôles de la sécurité par l’ANSSI [11] . Après la parution du décret du 27 mars 2015, des arrêtés d’application sectoriels sont attendus pour le premier trimestre 2016.

Au plan européen

Au plan européen, signalons la publication, le 1^er février 2013, de recommandations concernant la sécurité des paiements sur internet par la Banque Centrale Européenne. Pour protéger l’initiation des paiements en ligne et les données sensibles, les recommandations incitent à la mise en œuvre de mécanismes de surveillance, de multiples niveaux de sécurité et d’assistance aux clients. Ces Recommandations [12] , sous le nouveau nom d’Orientations (guidelines), applicables depuis le 1^er août 2015, relèvent désormais de la responsabilité de l’Autorité bancaire européenne.

La directive européenne concernant les services de paiement (DSP2 ou PSD2) dans le marché intérieur est à mentionner également, car elle comprend des obligations sécuritaires. La DSP2 a été publiée le 23 décembre 2015 et devra être transposée dans les 2 ans.

Par ailleurs, le règlement européen sur l’identification électronique et les services de confiance pour les transactions électroniques a été adopté le 23 juillet 2014. Ce texte, dit PSC ou eIDAS, vise à garantir des transactions électroniques transnationales efficaces et sûres. Il fixe [13] des exigences de sécurité applicables aux prestataires de services de confiance. Et, notamment, l’obligation de notification d’atteinte à la sécurité auprès de l’organe de contrôle et, le cas échéant, « à d’autres organismes concernés, tels que l’organisme national compétent en matière de sécurité de l’information ou l’autorité chargée de la protection des données ». Ce règlement sera applicable le 1^er juillet 2016, certaines dispositions étant déjà en vigueur depuis le 17 septembre 2014.

Les fournisseurs de services de paiement par carte ont aussi intégré la norme PCI DSS (Payment Card Industry Data Security Standard). Sans être un texte d'application légale, il s'agit d’une norme visant à renforcer la sécurité des données et développée par le PCI Security Standard Council, qui réunit les principaux réseaux émetteurs de cartes. Les établissements financiers fournissant ces services appliquent la version 3.0 de cette norme depuis le 1^er janvier 2015.

Les évolutions attendues

À Bruxelles, une proposition de directive [14] concerne des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l’information. La version de cette SRI ou NIS [15] du 13 mars 2014 est en discussion [16] . Annoncée pour le printemps 2016, son objectif est d’améliorer le niveau de sécurité des SI privés dont dépend le fonctionnement de la société dans l’UE. C’est une incitation à la mise en place de mesures appropriées pour les opérateurs d'infrastructures critiques, afin de gérer les risques de sécurité et de signaler les incidents graves aux autorités nationales compétentes. La proposition prévoit des obligations à la charge des opérateurs d'infrastructures critiques similaires à celles des OIV, issues de la loi de programmation militaire.

Quant à la proposition [17] de règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel, elle a fait l’objet, le 17 décembre 2015, d’un accord entre la Commission européenne, la commission LIBE [18] du Parlement et du COREPER [19] . Elle a pour objet de réformer les règles en apportant des évolutions majeures : coopération renforcée entre agences nationales, nomination d’un correspondant aux données, notification d’incidents de sécurité et alourdissement des sanctions. Sa publication est également annoncée pour ce printemps.

Un autre projet de directive [20] intéressant la SI est celui relatif au secret des affaires. Le secret des affaires sera protégé juridiquement à la condition qu’il fasse l’objet de mesures de sécurité adaptées. Le projet est critiqué par une trentaine d’ONG qui craignent une atteinte aux libertés fondamentales, notamment la liberté de l’expression et de la presse.