Quelle évolution de la réglementation pour le secteur financier ?

Comment &eacute;voluent les r&egrave;gles &eacute;labor&eacute;es par les instances nationales et europ&eacute;ennes pour contribuer &agrave; renforcer la cybers&eacute;curit&eacute; ? Un cadre l&eacute;gislatif &eacute;volutif Le cadre l&eacute;gislatif europ&eacute;en dans le domaine de la s&eacute;curit&eacute; de l&rsquo;information comprend quelques textes majeurs. Le texte g&eacute;n&eacute;rique est la directive NIS (Network Information Security ou SRI &ndash; s&eacute;curit&eacute; des r&eacute;seaux et de l&rsquo;information) qui, depuis le 6 juillet 2016 [1] , vise &agrave; assurer un niveau &eacute;lev&eacute; commun de s&eacute;curit&eacute; des r&eacute;seaux et des syst&egrave;mes d'information dans l'Union. Aux c&ocirc;t&eacute;s de cette directive, d&rsquo;autres r&eacute;gulations sp&eacute;cialis&eacute;es int&egrave;grent des obligations de s&eacute;curit&eacute;, comme le R&egrave;glement eIDAS [2] , qui instaure un cadre europ&eacute;en en mati&egrave;re d&rsquo;identification &eacute;lectronique et de services de confiance, afin de faciliter l&rsquo;&eacute;mergence du march&eacute; unique num&eacute;rique. Il couvre notamment le sujet de la signature &eacute;lectronique. De m&ecirc;me, la directive concernant les services de paiement (dite DSP2 [3] ) organise la cr&eacute;ation d&rsquo;un cadre juridique et de contr&ocirc;le des acteurs &eacute;mergents du march&eacute; des paiements. Sa transposition fran&ccedil;aise [4] int&egrave;gre, pour les prestataires de services de paiement, des obligations en mati&egrave;re de s&eacute;curit&eacute; des services en ligne. Gouvernance et s&eacute;curit&eacute; des donn&eacute;es Le tableau ne serait pas complet sans &eacute;voquer le R&egrave;glement europ&eacute;en le plus m&eacute;diatis&eacute; : le RGPD [5] . Ce r&egrave;glement relatif &agrave; la protection des donn&eacute;es personnelles, applicable depuis le 25 mai 2018, a renforc&eacute; les obligations des responsables de traitements. Pour parfaire le dispositif l&eacute;gislatif fran&ccedil;ais, le RGPD a &eacute;t&eacute; compl&eacute;t&eacute; par l&rsquo;ordonnance du 12 d&eacute;cembre 2018 [6] et le d&eacute;cret du 29 mai 2019 [7] . En pratique, les responsables de traitement doivent assurer une protection optimale des donn&eacute;es et &ecirc;tre en mesure de documenter leur conformit&eacute;. Parmi les dispositifs cr&eacute;&eacute;s par le RGPD et relatifs &agrave; la s&eacute;curit&eacute;, figure la notification des violations de s&eacute;curit&eacute; aupr&egrave;s de la CNIL. Dans son rapport annuel 2018, l&rsquo;autorit&eacute; a indiqu&eacute; avoir re&ccedil;u en 6 mois plus de 1 000 notifications de violations. Les premi&egrave;res sanctions fran&ccedil;aises sous le r&eacute;gime du RGPD ont &eacute;t&eacute; publi&eacute;es en 2019, avec notamment l&rsquo;amende de 50 millions d&rsquo;euros inflig&eacute;e par la CNIL &agrave; l&rsquo;encontre de Google [8] , pour ne pas avoir fourni assez d&rsquo;informations sur le traitement de leurs donn&eacute;es. Un autre m&eacute;canisme issu du RGPD pr&eacute;voit les actions de groupe [9] . Il s&rsquo;agit du droit pour les particuliers de demander r&eacute;paration en justice, lorsqu&rsquo;ils sont en mesure de prouver qu'ils ont subi un dommage ou bien qu&rsquo;ils consid&egrave;rent que la violation de leurs droits n&eacute;cessite une r&eacute;paration financi&egrave;re par l'entreprise responsable. Les premi&egrave;res actions ont &eacute;t&eacute; lanc&eacute;es d&egrave;s 2018, notamment par la Quadrature du Net [10] et plus r&eacute;cemment par l&rsquo;UFC-Que Choisir [11] . Il est fort probable que ces actions collectives soient amen&eacute;es &agrave; se d&eacute;velopper [12] , notamment en cas d&rsquo;incident de s&eacute;curit&eacute;. Afin de compl&eacute;ter le RGPD par la gouvernance des donn&eacute;es non personnelles, le r&egrave;glement europ&eacute;en sur la libre circulation des flux de donn&eacute;es &agrave; caract&egrave;re non personnel est paru le 14 novembre 2018 [13] . Ce r&egrave;glement, entr&eacute; en vigueur le 29 mai 2019, consacre la libre circulation des donn&eacute;es. Il &eacute;limine notamment toute restriction g&eacute;ographique de stockage de donn&eacute;es non personnelles sur le sol d&rsquo;un &Eacute;tat membre. Par ailleurs, le principe de s&eacute;curisation de l&rsquo;information est pr&eacute;sent &eacute;galement dans la directive dite &laquo; Secret des affaires &raquo;, publi&eacute;e en juin 2016 [14] . Elle a &eacute;t&eacute; transpos&eacute;e en France par la loi du 30 juillet 2018 [15] , loi qui vise &agrave; prot&eacute;ger les informations ayant une valeur &eacute;conomique, &agrave; la condition que les entreprises en assurent la protection [16] . Avec cette loi, il ne s&rsquo;agit pas d&rsquo;une obligation suppl&eacute;mentaire de protection de l&rsquo;information. C&rsquo;est davantage une opportunit&eacute; pour l&rsquo;&eacute;tablissement financier par exemple de prot&eacute;ger des informations secr&egrave;tes ayant une valeur commerciale, &agrave; la condition que ces informations fassent l&rsquo;objet de &laquo; mesures de protection raisonnables &raquo; [17] . Dans ce cas, l&rsquo;obtention, l&rsquo;utilisation ou la divulgation du secret d&rsquo;affaires par un tiers sont consid&eacute;r&eacute;s comme illicites et peuvent faire l&rsquo;objet de recours civil. Gestion de l&rsquo;externalisation L&rsquo;externalisation repr&eacute;sente naturellement l&rsquo;un des pans de la s&eacute;curit&eacute; du syst&egrave;me d&rsquo;information. Dans un contexte de cybermenace, les risques li&eacute;s aux tiers doivent &ecirc;tre trait&eacute;s &agrave; leur juste mesure [18] . L&rsquo;Autorit&eacute; bancaire europ&eacute;enne (ABE) a publi&eacute; le 25 f&eacute;vrier 2019 ses &laquo; Lignes directrices sur l&rsquo;externalisation &raquo;. D&egrave;s leur entr&eacute;e en vigueur, soit le 30 septembre 2019, les &eacute;tablissements assujettis auront un certain nombre de d&eacute;marches &agrave; accomplir, afin d&rsquo;&ecirc;tre en conformit&eacute; avec ces r&egrave;gles. Ils devront &eacute;tablir un registre des externalisations, les qualifier selon leur importance et &eacute;valuer les prestataires. Certaines de ces recommandations se rapprochent de celles applicables aux op&eacute;rations de sous-traitance au sens du RGPD. Sur le th&egrave;me de l&rsquo;externalisation, la CNIL a partag&eacute; en mars 2019 [19] les premi&egrave;res tendances, depuis le RGPD, sur la responsabilisation des sous-traitants informatiques. La CNIL, au travers de questionnaires &eacute;crits, s&rsquo;est pench&eacute;e sur les m&eacute;canismes mis en œuvre par les sous‑traitants pour r&eacute;pondre &agrave; leurs nouvelles obligations r&eacute;sultant de l&rsquo;entr&eacute;e en vigueur du RGPD : s&eacute;curit&eacute;, pr&eacute;cision du r&ocirc;le des parties dans les contrats, transparence, tra&ccedil;abilit&eacute;, assistance, etc. Au-del&agrave; des bonnes pratiques relev&eacute;es, selon la CNIL, des marges de progression sont identifi&eacute;es, notamment le fait que certaines soci&eacute;t&eacute;s interrog&eacute;es ont mentionn&eacute; n&rsquo;avoir mis en place aucune proc&eacute;dure de gestion d&rsquo;incident de s&eacute;curit&eacute;. Coop&eacute;ration du secteur financier &laquo; Le secteur financier ne conna&icirc;t pas de menace plus certaine que celle des cyber-risques &raquo; a rappel&eacute; Fran&ccedil;ois Villeroy de Galhau, Gouverneur de la Banque de France, lors d&rsquo;une conf&eacute;rence de presse du 28 mai 2019 [20] . Les &eacute;tablissements financiers sont incit&eacute;s &agrave; coop&eacute;rer pour optimiser la s&eacute;curit&eacute; de l&rsquo;information. Lors de la conf&eacute;rence sur la cybers&eacute;curit&eacute; organis&eacute;e le 10 mai 2019 par la Banque de France, dans le cadre de la pr&eacute;sidence fran&ccedil;aise du G7, les intervenants ont r&eacute;p&eacute;t&eacute; un m&ecirc;me message : la coordination et le partage d&rsquo;informations sont devenus indispensables face aux cybermenaces. L&rsquo;ACPR et la Banque de France sont en premi&egrave;re ligne des actions men&eacute;es pour renforcer la cybers&eacute;curit&eacute; du secteur financier. Dans ce contexte d&rsquo;urgence, des mesures concr&egrave;tes ont &eacute;t&eacute; mises en œuvre. Les services de l&rsquo;ACPR ont &eacute;labor&eacute; une d&eacute;finition et une cat&eacute;gorisation du risque informatique, afin d&rsquo;en couvrir les diff&eacute;rentes dimensions et de pouvoir le traiter dans sa globalit&eacute;. Cette cat&eacute;gorisation [21] peut servir aux &eacute;tablissements plac&eacute;s sous son contr&ocirc;le pour &eacute;laborer ou renforcer leur propre cartographie. Plus largement, un exercice de simulation de cyberattaque internationale a &eacute;t&eacute; organis&eacute; en juin 2019 par la Banque de France. Enjeu de souverainet&eacute; nationale Au-del&agrave; du maintien de l&rsquo;activit&eacute; du secteur financier, la cybers&eacute;curit&eacute; est un enjeu de souverainet&eacute; nationale. L&rsquo;interd&eacute;pendance des syst&egrave;mes fait que le l&eacute;gislateur renforce la coordination avec la puissance publique, afin d&rsquo;&eacute;lever collectivement le niveau de s&eacute;curit&eacute;. La France a &eacute;t&eacute; le premier pays &agrave; s&rsquo;appuyer sur la r&eacute;glementation pour d&eacute;finir un dispositif de cybers&eacute;curit&eacute; de ses infrastructures d&rsquo;importance vitale. Depuis la loi de programmation militaire (LPM) de 2013, certains acteurs financiers consid&eacute;r&eacute;s comme op&eacute;rateurs d&rsquo;importance vitale (OIV) sont tenus de mettre en œuvre des syst&egrave;mes de d&eacute;tection des &eacute;v&eacute;nements. Leurs noms rel&egrave;vent du secret-d&eacute;fense. La LPM 2019-2025 [22] comporte &eacute;galement des dispositions relatives au renforcement des capacit&eacute;s de d&eacute;tection des attaques informatiques. Sur le plan europ&eacute;en, la directive NIS pr&eacute;cit&eacute;e vise &agrave; assurer un niveau &eacute;lev&eacute; commun de s&eacute;curit&eacute; des r&eacute;seaux et des syst&egrave;mes d'information dans l'Union. Elle pr&eacute;voit le renforcement de la cybers&eacute;curit&eacute; par chaque &Eacute;tat membre, en cr&eacute;ant le concept d&rsquo;op&eacute;rateurs de services essentiels (OSE) et de fournisseurs de services num&eacute;riques (FSN). La loi de transposition fran&ccedil;aise de cette directive, publi&eacute;e le 26 f&eacute;vrier 2018 [23] , en pr&eacute;cise le cadre. Parmi ces OSE, la liste des services essentiels [24] comprend notamment des banques, assurances, services financiers et infrastructures de march&eacute;s financiers. Les OSE, dont les noms rel&egrave;vent &eacute;galement du secret-d&eacute;fense, ont &eacute;t&eacute; d&eacute;sign&eacute;s individuellement par d&eacute;cret le 9 novembre 2018. Ces OSE doivent se conformer &agrave; un niveau national de r&egrave;gles de cybers&eacute;curit&eacute;, incluant l&rsquo;obligation de notifier les incidents. L&rsquo;objectif de cette notification pour l&rsquo;ANSSI est de permettre une &eacute;valuation de la menace, de proposer une assistance adapt&eacute;e et d&rsquo;organiser une r&eacute;ponse collective aux attaques majeures, &eacute;ventuellement entre diff&eacute;rents &Eacute;tats membres. Convergence des r&egrave;gles internationales Outre la coop&eacute;ration interne, la dimension internationale de la cybercriminalit&eacute; implique d&rsquo;harmoniser les l&eacute;gislations nationales et de faciliter la coop&eacute;ration entre les &Eacute;tats. Le ministre de l'&Eacute;conomie et des Finances, Bruno Le Maire, a appel&eacute; &agrave; &laquo; une plus grande convergence des r&egrave;gles &raquo; au niveau international, lors de la conf&eacute;rence sur la cybers&eacute;curit&eacute; organis&eacute;e le 10 mai 2019 par la Banque de France, dans le cadre de la pr&eacute;sidence fran&ccedil;aise du G7. L&rsquo;Union europ&eacute;enne veut devenir plus r&eacute;siliente face aux cyberattaques et adopter des mesures efficaces. Ainsi, ce pan de la l&eacute;gislation europ&eacute;enne se construit progressivement. Pour renforcer la cybers&eacute;curit&eacute;, le r&egrave;glement europ&eacute;en Cybersecurity Act du 17 avril 2019 [25] poursuit un double objectif : la cons&eacute;cration de l&rsquo;ENISA [26] , l&rsquo;Agence europ&eacute;enne pour la cybers&eacute;curit&eacute; afin de fournir une assistance aux &Eacute;tats membres, pour d&eacute;velopper leurs capacit&eacute;s de pr&eacute;vention et r&eacute;action aux attaques informatiques ; la d&eacute;finition d&rsquo;un cadre europ&eacute;en de certification de cybers&eacute;curit&eacute; pour des produits, services ou processus de cybers&eacute;curit&eacute;. Les m&eacute;thodes d&rsquo;&eacute;valuation et les diff&eacute;rents niveaux d&rsquo;assurance de la certification seront harmonis&eacute;s. Les certificats d&eacute;livr&eacute;s par les autorit&eacute;s nationales, comme l&rsquo;ANSSI [27] , b&eacute;n&eacute;ficieront d&rsquo;une reconnaissance mutuelle au sein de l&rsquo;Union europ&eacute;enne. Pour se mettre en conformit&eacute; avec ces dispositions, les &Eacute;tats membres disposent d&rsquo;un d&eacute;lai de 2 ans &agrave; compter de la publication. Quelles transformations l&eacute;gislatives &agrave; venir ? Les applications de l&rsquo;intelligence artificielle, le recours &agrave; des cloud complexes, l&rsquo;usage des cryptomonnaies et des objets connect&eacute;s soul&egrave;vent de nouvelles questions relatives &agrave; la s&eacute;curit&eacute;. Ces d&eacute;veloppements technologiques conjugu&eacute;s &agrave; l&rsquo;internationalisation de la menace de cybercriminalit&eacute; feront encore &eacute;voluer les r&egrave;gles juridiques nationales et europ&eacute;ennes vers une obligation croissante de s&eacute;curisation des donn&eacute;es. Beaucoup de questions restent ouvertes. Les r&egrave;gles europ&eacute;ennes inspireront-elles d&rsquo;autres r&eacute;gimes l&eacute;gislatifs dans le monde ? Quelle sera la place de la certification des produits et services de cybers&eacute;curit&eacute; ? Comment &eacute;voluera la coop&eacute;ration judiciaire et p&eacute;nale internationale pour la r&eacute;pression de la cybercriminalit&eacute; ? Aujourd&rsquo;hui, pour les &eacute;tablissements du secteur financier, les obligations croissantes de s&eacute;curit&eacute; de l&rsquo;information et le renforcement des sanctions se traduisent par des contraintes et des co&ucirc;ts importants. Le d&eacute;fi est permanent pour les fonctions de RSSI ou CISO [28] , pour les d&eacute;partements de conformit&eacute; et de gestion des risques et pour toutes les structures. Au-del&agrave; de la pression r&eacute;glementaire, la cybers&eacute;curit&eacute; reste un enjeu majeur pour la protection des clients et la solidit&eacute; m&ecirc;me du secteur financier. 1 Directive (dite SRI/NIS) 016/1148 du Parlement europ&eacute;en et du Conseil du 6 juillet 2016 concernant des mesures destin&eacute;es &agrave; assurer un niveau &eacute;lev&eacute; commun de s&eacute;curit&eacute; des r&eacute;seaux et des syst&egrave;mes d'information dans l'Union. 2 R&egrave;glement n&deg; 910/2014/UE du 23 juillet 2014 sur l&rsquo;identification &eacute;lectronique et les services de confiance pour les transactions &eacute;lectroniques au sein du march&eacute; int&eacute;rieur. 3 Directive 2015/23 du Parlement europ&eacute;en et du Conseil du 25 novembre 2015 concernant les services de paiement dans le march&eacute; int&eacute;rieur, modifiant les directives 2002/65/CE, 2009/110/CE, 2013/36/UE et le r&egrave;glement (UE) n&ordm;1093/2010, et abrogeant la directive 2007/64/CE. 4 Ordonnance du 9 ao&ucirc;t 2017. 5 R&egrave;glement 2016/679 (dit RGPD ou GDPR) du 27 avril 2016 relatif &agrave; la protection des personnes physiques &agrave; l'&eacute;gard du traitement des donn&eacute;es &agrave; caract&egrave;re personnel et &agrave; la libre circulation de ces donn&eacute;es. 6 Ordonnance n&deg; 2018-1125 du 12 d&eacute;cembre 2018 prise en application de l'article 32 de la loi n&deg; 2018-493 du 20 juin 2018 relative &agrave; la protection des donn&eacute;es personnelles et portant modification de la loi n&deg; 78-17 du 6 janvier 1978 relative &agrave; l'informatique, aux fichiers et aux libert&eacute;s et diverses dispositions concernant la protection des donn&eacute;es &agrave; caract&egrave;re personnel. 7 D&eacute;cret n&deg;2919-536 du 29 mai 2019 pris pour l'application de la loi n&deg; 78-17 du 6 janvier 1978 relative &agrave; l'informatique, aux fichiers et aux libert&eacute;s. 8 Sanction du 21 janvier 2019. 9 Article 79 du RGPD. 10 La Quadrature du Net contre Google, Amazon, Facebook, Apple et Microsoft, mai 2018. 11 UFC Que Choisir contre Google, juin 2019. 12 Donn&eacute;es personnelles : l&rsquo;action de groupe est amen&eacute;e &agrave; se d&eacute;velopper, interview de Sabine Marcellin par Laurence Neuer, Le Point, 19 juin 2019. 13 R&egrave;glement n&deg; 2018/1807 du 14 novembre 2018 &eacute;tablissant un cadre applicable au libre flux des donn&eacute;es &agrave; caract&egrave;re non personnel dans l&rsquo;Union europ&eacute;enne. 14 Directive 2016/943 du 8 juin 2016 sur la protection du savoir-faire et des informations commerciales non divulgu&eacute;s (secret d&rsquo;affaires) contre l&rsquo;obtention, l&rsquo;utilisation et la divulgation illicites. 15 Loi n&deg; 2018-670 du 30 juillet 2018 relative &agrave; la protection du secret des affaires. 16 Sabine Marcellin et Thibault du Manoir de Juaye, Le Secret des affaires, Lexis-Nexis, 2019. 17 Article 1 de la loi n&deg; 2018-670. 18 Th&egrave;me du colloque annuel de l&rsquo;association Forum des Comp&eacute;tences, 28 novembre 2018. 19 &laquo; Sweep 2019 &raquo; : premi&egrave;res tendances sur la responsabilisation des sous-traitants informatiques &agrave; l&rsquo;heure du RGPD, 5 mars 2019. 20 Discours de Fran&ccedil;ois Villeroy de Galhau, Gouverneur de la Banque de France, Pr&eacute;sident de l&rsquo;Autorit&eacute; de contr&ocirc;le prudentiel et de r&eacute;solution, 28 mai 2019. 21 Document de r&eacute;flexion sur le risque informatique, 30 mars 2018. 22 Loi n&deg; 2018-607 du 13 juillet 2018 relative &agrave; la programmation militaire pour les ann&eacute;es 2019 &agrave; 2025 et portant diverses dispositions int&eacute;ressant la d&eacute;fense. 23 Loi n&deg; 2018-133 du 26 f&eacute;vrier 2018 portant diverses dispositions d'adaptation au droit de l'Union europ&eacute;enne dans le domaine de la s&eacute;curit&eacute;. 24 D&eacute;cret n&deg;2018-384 du 25 mai 2018. 25 R&egrave;glement 2019/881 du Parlement europ&eacute;en et du Conseil du 17 avril 2019 relatif &agrave; l&rsquo;ENISA (Agence de l&rsquo;Union europ&eacute;enne pour la cybers&eacute;curit&eacute;) et &agrave; la certification de cybers&eacute;curit&eacute; des technologies de l&rsquo;information et des communications, et abrogeant le r&egrave;glement 526/2013. 26 European Union Agency for Network and Information Security. 27 Agence nationale de la s&eacute;curit&eacute; des syst&egrave;mes d&rsquo;information. 28 Chief Information Security Officer.

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Archive

Régulation

Quelle évolution de la réglementation pour le secteur financier ?

À retrouver dans la revue

Banque de détail

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Blockchain/Cryptoactifs

Les garanties bancaires
sont d’excellents cas d’usage

Banque de financement et d'investissement (BFI)

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »

Paiements

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Archive

Panorama réglementaire des actifs numériques

Archive

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

Archive

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Suivez-nous

RECHERCHEZ UN ARTICLE, UNE CHRONIQUE, PARMI L'ENSEMBLE DES PUBLICATIONS

RECHERCHEZ UN AUTEUR

Régulation

Quelle évolution de la réglementation pour le secteur financier ?

À retrouver dans la revue

[Web Only] Tarifs bancaires : les banques amortissent l’inflation

Les garanties bancaires sont d’excellents cas d’usage

« Paris est le centre de gravité pour tous les instruments financiers traités en euros »

Le droit de la responsabilité civile appliqué à des virements frauduleux en devises

Panorama réglementaire des actifs numériques

Sberbank : une valeur anéantie à zéro en fonds de portefeuille

La transformation repose sur des directions responsables et des équipes pluridisciplinaires

Les garanties bancaires
sont d’excellents cas d’usage

« Paris est le centre de gravité
pour tous les instruments financiers traités en euros »