Cybersécurité : panorama des obligations de notification des violations de données et d'incidents de sécurité applicables au secteur bancaire

Ces dernières années, les établissements financiers ont vu surgir des obligations de notification des événements affectant la sécurité de leur système d’information (SI), susceptibles de porter atteinte à la qualité du service rendu ou à la sécurité et à la confidentialité des données à caractère personnel traitées. Plusieurs législations européennes et nationales imposent de procéder au signalement de ces incidents, dont la définition peut varier d’un texte à l’autre, à destination d’autorités distinctes dont certaines sont dotées d’un pouvoir de contrôle et de sanction. Ces textes aboutissent à la création d’un véritable mille-feuille législatif et réglementaire peu lisible pour les professionnels du secteur bancaire, ce qui accroît d’autant le risque de non-conformité par rapport à ces obligations, dont certaines peuvent donner lieu à des sanctions administratives et pénales (voir Tableau). Dès lors, comment ne pas se perdre dans ce labyrinthe ? Que notifier et à qui ? Pour y voir plus clair, voici un panorama de ces obligations.

Le règlement relatif à la protection des données (RGPD)

L’article 33 du Règlement général sur la protection des données [1] impose au responsable de traitement de notifier à l’autorité de protection des données (en France, la Commission nationale de l’informatique et des libertés) les violations de données personnelles. Ces violations sont définies comme « une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l’altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d’une autre manière, l’accès non autorisé à de telles données » (article 4, 12).

Cette obligation figure à l’article 34 bis de la loi n° 78-17 du 6 janvier 1978 modifiée, mais elle est uniquement applicable aux fournisseurs de services de communications électroniques au public, tels que définis par l’article L. 33-1 du Code des postes et des communications électroniques. Le périmètre des responsables de traitement soumis à cette obligation est donc limité notamment aux fournisseurs d’accès à Internet et aux opérateurs de téléphonie. Cette obligation sectorielle sera donc généralisée à tous les responsables de traitement dont les établissements financiers au moment de l’entrée en vigueur du Règlement européen, à compter du 25 mai 2018.

Les dispositions du RGPD apparaissent particulièrement contraignantes. Elles imposent, en effet, de procéder à une notification des violations mentionnées précédemment à l’autorité de protection des données dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. Dans l’hypothèse où la notification n’aurait pas pu être réalisée dans ce délai, le responsable de traitement devra indiquer les motifs du retard à l’autorité de contrôle. Par ailleurs, si la violation en question est susceptible d’engendrer un risque élevé pour les droits et libertés des personnes physiques concernées, le responsable de traitement devra les en informer. L’article 34 fixe la liste des informations à lui communiquer, parmi lesquelles doivent figurer les conséquences probables de la violation et les mesures prises par le responsable de traitement pour y remédier, ce qui inclut les mesures destinées à en atténuer les conséquences négatives. Un établissement financier devra donc non seulement indiquer à ses clients qu’il a perdu des données les concernant, mais également que cet incident pourrait entraîner une gêne ou un préjudice à leur encontre (par exemple, une impossibilité d’utiliser sa carte bancaire), ce qui pourrait s’avérer dévastateur en termes d’image et affecter durablement la confiance des clients en leur banquier.

Les établissements financiers devront donc intégrer cette nouvelle contrainte et, de manière préventive, renforcer les mesures de sécurité ou de confidentialité mises en œuvre afin de limiter les incidents devant donner lieu à notification. La notification à l’autorité de contrôle n’est effectivement pas requise si la violation en question n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques concernées. Dans ce cas, il convient simplement de documenter l’incident en interne (article 33, 5).

Cette notification devra être articulée avec les obligations résultant de la directive relative à la Sécurité des réseaux et des systèmes d’information (SRI).

La directive sur la Sécurité des réseaux et des systèmes d’information (SRI) [2]

La Directive n° 2016/1148 du 6 juillet 2016 concernant les mesures destinées à assurer un niveau élevé commun de SRI dans l’Union européenne prévoit que les entreprises ayant un rôle important pour la société et l’économie désignées dans la directive sous l’appellation « opérateurs de service essentiels » mettent en place « des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leurs activités ». L’article 14 prévoit en outre que ces opérateurs notifient à l’autorité compétente « sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels qu’ils fournissent ». La notion d’incident significatif n’est pas définie, la directive prévoyant simplement trois critères permettant de déterminer l’ampleur d’un incident :

• le nombre d’utilisateurs touchés par la perturbation du service essentiel ;
• la durée de l’incident ;
• la portée géographique, eu égard à la zone touchée par l’incident.

Par ailleurs, cet incident doit avoir un impact sur la continuité de service (par exemple une attaque par déni de service paralysant l’accès aux comptes bancaires des clients) ; les attaques ne rentrant pas dans cette catégorie ne sont pas concernées, ce qui limite les catégories d’incident à notifier. Le secteur bancaire et, en particulier, les institutions de crédit définies au point (1) de l’article 4 du règlement (UE) n° 575/201 du Parlement européen et du Conseil font partie des acteurs concernés. Ils devront donc notifier ces incidents de sécurité à l’autorité compétente qui, en France, devrait être l’Agence nationale de la sécurité des systèmes d’information (ANSSI), que ces derniers aient ou non des impacts en matière de protection des données à caractère personnel.

Cette directive qui traduit la volonté des autorités européennes de disposer d’un environnement digital fiable et sécurisé devra être transposée en droit national avant le 9 mai 2018, date concomitante avec l’entrée en vigueur du RGDP. Il faut donc espérer que cette transposition viendra apporter des précisions quant aux incidents devant être notifiés et aux modalités de cette notification, la directive restant imprécise sur ce point. L’article 5 laisse, en outre, une période de six mois supplémentaire aux États membres (c'est-à-dire jusqu’au 9 novembre 2018) pour identifier les opérateurs de services essentiels ayant un établissement sur leur territoire. Cette liste devra ensuite être régulièrement mise à jour.

Un même incident de sécurité au titre du RGDP et de la directive SRI pourra donc donner lieu à deux notifications distinctes auprès de deux autorités différentes. Le sujet pourrait encore se complexifier si l’établissement de crédit est également prestataire de services de paiement.

La directive sur les services de paiement (DSP2)

La Directive n° 2015/2366 du 25 novembre 2015 concernant les services de paiement dans le marché intérieur [3] prévoit qu’« en cas d’incident opérationnel ou de sécurité majeur, les prestataires de services de paiement informent sans retard injustifié l’autorité compétente dans l’État membre d’origine du prestataire de services de paiement » (article 96). Si les incidents à notifier relève de la catégorie des incidents de sécurité et semble donc se rapprocher de ceux notifiables au titre de SRI, il convient toutefois de souligner que cette définition semble plus large. En effet, il n’est pas nécessaire que l’incident ait un impact significatif sur la qualité du service, il suffit que ce dernier soit considéré comme majeur. Notons cependant que le texte ne précise pas de critères permettant d’évaluer les incidents et de les qualifier ou non de majeurs. Il prévoit cependant que l’Autorité bancaire européenne (ABE), en étroite collaboration avec la Banque Centrale Européenne (BCE) et après avoir consulté toutes les parties concernées, émette des orientations (conformément à l’article 16 du règlement n° 1093/2010) :

• à l’intention des prestataires de services de paiement, concernant la classification des incidents, et donc l’identification des incidents majeurs, ainsi que les modalités de notification (modèle et procédures) ;
• à destination des autorités compétentes en ce qui concerne notamment les critères permettant d’évaluer la pertinence de l’incident.

Lorsque l’incident est susceptible d’avoir des répercussions sur les intérêts financiers des utilisateurs, le prestataire de services de paiement doit les en informer sans retard injustifié. Cette information doit notamment mentionner «  toutes les mesures disponibles qu’ils peuvent prendre pour atténuer les effets dommageables de l’incident ». Cette notification aux personnes n’est pas sans rappeler celle qui doit être faite au titre du RGDP. Elle est cependant plus spécifique, car elle ne concerne que les incidents susceptibles d’avoir des conséquences financières pour le client et non les événements susceptibles d’entraîner une atteinte à sa vie privée ou à la sécurité et à la confidentialité de ses données.

L’autorité habilitée à recevoir ces notifications (désignée sous le terme d’« autorité compétente ») doit, dès réception de la notification et sans retard injustifié, communiquer les détails importants de l’incident à l’ABE et à la BCE. Le texte n’étant pas transposé en droit français (les dispositions nécessaires pour se conformer à la présente directive doivent être adoptées et publié avant le 13 janvier 2018), l’autorité compétente n’a pas encore été désignée. Toutefois, dans la mesure où celle-ci devra procéder à une transmission d’information à la BCE, il pourrait logiquement s’agir de l’Autorité de contrôle prudentiel et de résolution (ACPR) qui coopère déjà avec la BCE dans d’autres domaines. Dans cette hypothèse, cela conduirait les établissements financiers à notifier une troisième catégorie d’incident à une troisième autorité. À noter que la notification doit être effectuée dans l’État membre d’origine du prestataire, donc dans l’hypothèse où un établissement de paiement agréé en France exercerait son activité en libre prestation de service dans un autre pays européen, la notification devra être effectuée en France, ce qui peut être un facteur de complexification, notamment en raison des délais laissés pour procéder à cette notification.

Par ailleurs, la demande d’agrément en tant qu’établissement de paiement comprend une description de la procédure en place pour assurer la surveillance, le traitement et le suivi des incidents de sécurité et des réclamations de clients liées à la sécurité, y compris un mécanisme de signalement des incidents qui tient compte des obligations de notification incombant à l’établissement de paiement en application de l’article 96. Les modalités de traitement de ces incidents font donc partie des conditions de délivrance de l’agrément, ce qui atteste de l’importance du sujet.

À ces législations, il convient d’ajouter également d’ajouter la réglementation française relative aux opérateurs d’importance vitale (OIV) résultant de la loi de programmation militaire.

La loi de programmation militaire

La loi de programmation militaire (LPM) [4] impose aux opérateurs dits « d’importance vitale » définis aux articles L. 1332-1 et L. 1332-2 [5] « d’informer sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité des systèmes d’information » (qu’ils mettent en œuvre) ou qui sont mis en œuvre par des opérateurs publics ou privés qui participent à ces systèmes [6] « pour lesquels l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ». Le secteur financier fait partie des douze secteurs d’activité d’importance vitale qui ont été définis dans un arrêté du 2 juin 2006. La liste des opérateurs concernés est classée secret-défense.

Les incidents « affectant la sécurité ou le fonctionnement des systèmes d’information d’importance vitale » doivent être déclarés auprès des services du Premier ministre, c’est-à-dire auprès de l’ANSSI. À noter que seuls les incidents affectant les systèmes identifiés comme d’importance vitale (SIIV) sont concernés. Comme indiqué précédemment, il s’agit des SIIV « pour lequel l’atteinte à la sécurité ou au fonctionnement risquerait de diminuer d’une façon importante le potentiel de guerre ou économique ou la capacité de survie de la Nation », ainsi que les SI pour lesquels l’atteinte à la sécurité « pourrait présenter un danger grave pour la population » (articles L. 1332-6-1 et L. 1332-2 du Code de la défense nationale).

Comme dans le cadre de la directive SRI ou de la DSP2, les incidents à signaler sont ceux affectant la sécurité du système d’information et susceptible d’entraîner une perturbation du service. Les informations à communiquer, les modalités de leur transmission ainsi que les types d’incidents auxquels s’applique cette obligation sont définis par arrêtés. À cette date, tous les arrêtés sectoriels prévus par la LPM n’ont pas été adoptés, en particulier celui relatif au secteur financier. On constate toutefois que les arrêtés publiés (notamment ceux des secteurs « Produits de santé », « Gestion de l’eau » et « Alimentation ») sont relativement similaires et que l’annexe IV fixant le type d’incident à notifier n’est pas rendue publique, pour des raisons évidentes de confidentialité. L’ANSSI a cependant mis en ligne sur son site Internet un formulaire permettant de procéder à la déclaration de ces incidents [7] .

Les incidents de sécurité à notifier au titre de la LPM se rapprochent donc de ceux notifiables au titre de la directive SRI. Par ailleurs, l’autorité compétente pour recueillir ces notifications étant l’ANSSI, on peut supposer que l’agence veillera, dans le cadre de la transposition de la SRI, à garantir la cohérence de ces nouvelles dispositions avec celles applicables au titre de la LPM.

À noter enfin que la BCE a lancé un pilote en février 2016, présenté comme un test qui pourrait bien déboucher sur une nouvelle réglementation visant à lui communiquer l’ensemble des incidents de sécurité autres que ceux concernant les opérations de paiement.

L’ensemble de ces initiatives visent à contraindre les établissements financiers à renforcer la sécurité de leur SI. Toutefois, les différences de rédaction notamment quant au type d’incidents à notifier sont de nature à entraîner des incertitudes quant à l’application de ces obligations. La transposition des directives SRI et la DSP2 devant intervenir avant l’entrée en vigueur du RGDP, il faut espérer qu’elle sera l’occasion de clarifier ces dispositions et qu’elle permettra d’assurer leur cohérence au niveau national.