Obligations légales

La réglementation renforce la responsabilité des acteurs financiers en matière de cybersécurité

Face à l’évolution des cybermenaces, anticiper et organiser la cybersécurité est une nécessité. C’est également une obligation qui s’intensifie : la réglementation française et européenne contraint à amplifier la sécurité du numérique. Toutes les organisations sont concernées et plus particulièrement le secteur financier.

L'auteur

Revue de l'article

La sécurité du numérique est un enjeu majeur. Il s’agit de protéger les données, les clients et la continuité d’activité. Or la volonté de l’Union européenne (UE) est de promouvoir l’industrie du numérique et de défendre un modèle démocratique assurant la protection des droits fondamentaux.

Cette évolution de la régulation bouscule les pratiques des entreprises. Se conformer aux nouvelles règles signifie s’approprier la connaissance, gérer ce risque réglementaire, investir, mettre en application les principes, adapter voire bouleverser l’organisation.

Quelles sont les tendances majeures de cette réglementation ?

Responsabilisation renforcée

Un ensemble de textes récents obligent l’entreprise à mettre en action les principes de sécurité du numérique. Cette sécurité passe par une responsabilité renforcée. Les textes créent de nouvelles obligations pour les acteurs du numérique, notamment celle de notifier aux autorités de contrôle (ANSSI, CNIL, etc.) les incidents de sécurité.

Par ailleurs, l’obligation de sécuriser l’information est présente aussi dans la directive dite « Secret des affaires » [1], publiée en juin 2016. Elle vise à harmoniser la protection des informations ayant une valeur économique, à la condition que les entreprises en assurent la protection [2]. La transposition de cette directive en France doit intervenir avant le 9 mai 2018.

Plus largement, l'UE veut devenir plus résiliente face aux cyberattaques et adopter des mesures efficaces, en matière de cyberdissuasion et de répression par le droit pénal. C’est l’ambition du « Paquet Cyber » proposé par la Commission le 13 septembre dernier et en préparation à Bruxelles, pour lancer un ensemble de mesures visant à harmoniser et renforcer la cybersécurité européenne. Parmi ces mesures, un projet de directive [3] de lutte contre la fraude aux moyens de paiement autres que les espèces, la transformation de l’ENISA [4] en Agence européenne de cybersécurité, le développement de labels de sécurité et une amélioration des poursuites pénales des cybercriminels.

Quelle sécurité pour les nouveaux entrants ?

La Directive concernant les services de paiement (dite DSP2) [5] organise la création d’un cadre juridique et de contrôle des acteurs émergents du marché des paiements.

L’ordonnance [6] du 9 août 2017 portant transposition de cette directive crée, pour les prestataires de services de paiement, des obligations en matière de sécurité des services en ligne, l’authentification forte [7] du client devient obligatoire notamment [8].

 

Dans le cadre de l’ouverture du marché, quelles sont les exigences de sécurité des systèmes pour ces acteurs [9] ? La Commission a adopté, le 27 novembre 2017, des règles garantissant une plus grande sécurité des paiements électroniques (standards techniques ou RTS [10]). Elle a entendu les critiques de l’Autorité bancaire européenne (ABE) et de la Fédération bancaire européenne (EBF) qui voulaient interdire, pour des questions de sécurité, le recours au web scraping pour aspirer les données des clients. Le web scraping sera limité en cas d’indisponibilité des API [11] bancaires. Ces nouvelles règles permettront aux consommateurs d'utiliser les services innovants proposés par les FinTechs, tout en conservant des mesures strictes de protection et de sécurité des données.

Le Parlement européen et le Conseil disposent d’une période d’examen de trois mois depuis le 27 novembre avant leur publication. Banques et FinTechs disposeront alors de 18 mois pour mettre en place ces mesures de sécurité.

Protection datacentrique

L’incontournable RGPD [12] sera applicable d’ici quelques mois, le 25 mai 2018. Les établissements financiers traitent, souvent à grande échelle, les données de clients, salariés et fournisseurs.

Pour se conformer au RGPD, les évolutions sont majeures : renforcer la structure en charge des données personnelles, formaliser les accords avec les sous-traitants, recueillir les consentements des personnes et faciliter l’exercice de leurs droits. Parmi ces droits, la portabilité des données bancaires suscite encore des interrogations pratiques et nécessite des travaux de coordination.

Les responsables de traitement devront également notifier les violations de sécurité auprès de la CNIL, voire des personnes concernées. Le 3 octobre 2017, le G29 [13] a publié [14] ses recommandations sur les modalités de notification. Le RGPD s’accompagnera de sanctions administratives fortes [15].

Le futur règlement ePrivacy complétera le RGPD sur les métadonnées, afin d’harmoniser la législation des États membres en matière de confidentialité des communications électroniques. L’objectif de Bruxelles est que les règlements GDPR et ePrivacy soient applicables simultanément, mais ce calendrier semble ambitieux car le futur règlement doit encore être adopté par le Parlement européen.

La loi pour une République numérique [16] a déjà fait évoluer quelques principes de la protection des données personnelles en France.

Le projet de nouvelle loi de protection des données personnelles [17], publié le 13 décembre dernier, modifiera les pouvoirs de contrôle de la Commission. Ce texte remplace le système de contrôle a priori de la CNIL (régimes de déclaration et autorisation préalables) par un système de contrôle a posteriori, fondé sur l’appréciation des risques par le responsable de traitement. Les formalités préalables seront maintenues pour les données les plus sensibles (données biométriques ou génétiques, données de santé, données utilisant le numéro d’inscription au RNIPP [18]).

Ce projet de 24 articles est minimal, en attendant la réécriture de la réglementation pour compléter le RGPD, vraisemblablement par voie d’ordonnance.

Conformité et gestion des risques

La fonction de conformité, traditionnellement axée sur la gestion des risques financiers, voit son périmètre s’élargir. La direction des risques ne peut ignorer le risque lié à la sécurité de l’information. Quels que soient l’organigramme et le positionnement du CISO [19], la gestion du risque cyber est devenue une composante majeure du risque opérationnel [20]. L’ABE a publié [21] en mai 2017 des orientations sur les risques liés aux technologies de l’information et de la communication. Depuis le 1er janvier 2018, ces lignes directrices s’appliquent aux autorités nationales de supervision, dont l’ACPR, pour les inciter à la prise en compte de ces risques dans l’évaluation du risque opérationnel.

Un enjeu de souveraineté nationale

Au-delà du maintien de l’activité de l’entreprise, la cybersécurité est un enjeu de souveraineté nationale. Les systèmes d’information des acteurs majeurs sont complexes et interconnectés. Cela les rend vulnérables et le législateur renforce la coordination avec la puissance publique.

L’objectif est d’élever le niveau de sécurité collectivement. La France est le premier pays à s’appuyer sur la réglementation pour définir un dispositif de cybersécurité de ses infrastructures d’importance vitale. Depuis la Loi de programmation militaire (LPM) [22] de 2013 les acteurs financiers considérés comme opérateurs d’importance vitale (OIV) sont tenus de mettre en œuvre des systèmes de détection des événements. L’arrêté du 28 novembre 2016 [23] concernant le secteur Finances a formalisé la mise en place effective des dispositions réglementaires.

Au plan européen, la directive dite SRI ou NIS [24] du 6 juillet 2016 veut assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union. Elle prévoit le renforcement de la cybersécurité par chaque État membre, en créant le concept d’« opérateurs de services essentiels » (OSE). Ces opérateurs, plus nombreux que les OIV, devront se conformer à un niveau national de règles de cybersécurité, incluant l’obligation de notifier les incidents.

La directive SRI instaure aussi des règles communes en matière de cybersécurité des prestataires de services numériques dans les domaines de l’informatique en nuage, des moteurs de recherche et places de marché en ligne. Les États membres ont jusqu’au 9 mai 2018 pour la transposer dans leur droit national.

Et demain ?

Un ensemble de textes majeurs pour la sécurité du numérique s’appliquent dès 2018. Comment anticiper les évolutions réglementaires à venir ? Les développements technologiques et l’internationalisation de la menace de cybercriminalité font encore évoluer les règles juridiques nationales et internationales [25]. La réponse législative fait figurer en bonne place l’obligation croissante de sécurisation des données et la confrontation des souverainetés numériques.

Les opportunités de l’économie datacentrique et la mise en valeur de la donnée ne sont durables que si elles s’accompagnent de gestion des risques et de conformité aux règles.

Pour les établissements financiers, les obligations croissantes d’assurer la sécurité de l’information et le renforcement des sanctions représentent, au-delà des contraintes, des incitations à la prévention et à la security by design [26]. La sécurité du numérique représente surtout un avantage concurrentiel et un vecteur de confiance.

 

[1] Directive 2016/943 du 8 juin 2016 sur la protection du savoir-faire et des informations commerciales non divulgués (secret d’affaires) contre l’obtention, l’utilisation et la divulgation illicites.

[2] Sabine Marcellin et Thibault du Manoir de Juaye, Le Secret des affaires, Lexis-Nexis, 2016.

[3] Proposition de directive concernant la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces, COM (2017) 489 final du 13 septembre 2017.

[4] European Union Agency for Network and Information Security.

[5] Directive (dite DSP2) 2015/23 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE, 2013/36/UE et le règlement (UE) nº1093/2010, et abrogeant la directive 2007/64/CE.

[6] Ordonnance n° 2017-1252 du 9 août 2017 portant transposition de la directive 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur.

[7] Authentification par combinaison d'au moins deux éléments indépendants avant de pouvoir effectuer un paiement : il peut s'agir d'un objet physique, carte ou téléphone mobile, combiné avec un mot de passe ou un élément biométrique, comme les empreintes digitales.

[8] Article L. 133-44-1 du COMOFI.

[9] Eric Caprioli et al., Banque et Assurance digitales, droit et pratiques, RB Edition, 2017.

[10] Regulatory Technical Standards on strong customer authentification and secure communication under PSD.

[11] Interfaces de programmation.

[12] Règlement 2016/679 (dit RGPD ou GDPR) du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, applicable le 25 mai 2018.

[13] Le G29 est le groupement des autorités de contrôle des données européennes. Avec l’entrée en vigueur du RGPD, il sera remplacé par le Comité européen de protection des données.

[14] WP 29 Guidelines on Personal Data Breach Notification under Regulation 2016/679 (ENG).

[15] Jusqu’à 4 % du chiffre d’affaires mondial du responsable de traitement.

[16] Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

[17] Projet de loi relative à la protection des données personnelles du 13 décembre 2017.

[18] Répertoire national d’identification des personnes physiques.

[19] Chief Information Security Officer.

[20] Laure Zicry, Le Nouvel Enjeu du secteur bancaire et financier, RB Edition, 2017.

[21] European Banking Guidelines on ICT Risk Assessment under the Supervisory Review

[22] Loi de Programmation Militaire n° 2014-2019 et articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du Code de la défense.

[23] Arrêté du 28 novembre 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d'information d'importance vitale et des incidents de sécurité relatives au secteur d'activités d'importance vitale « Finances » et pris en application des articles R. 1332-41-1, R. 1332-41-2 et R. 1332-41-10 du Code de la défense.

[24] Directive (dite SRI/NIS) 016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.

[25] Mireille Delmas-Marty, Aux quatre vents du monde, Seuil, 2016.

[26] Concept d’intégration de la sécurité dès la conception des applications, repris notamment dans le RGPD.

 

Sommaire du dossier

Gérer le risque cyber à l'heure des évolutions réglementaires et digitales

Articles du(des) même(s) auteur(s)

Sur le même sujet