La sécurité des produits connectés doit aller de soi

La Commission européenne a pris  des mesures pour améliorer la cybersécurité des dispositifs sans fil disponibles sur le marché européen.

Préserver la cybersécurité des dispositifs électroniques

Étant donné que les téléphones portables, les montres intelligentes, les moniteurs d’activité physique et les jouets sans fil sont de plus en plus présents dans notre vie quotidienne, les cybermenaces représentent un risque croissant pour tous les consommateurs.

L’acte délégué relatif à la directive sur les équipements radioélectriques adopté le 29 octobre 2021 vise à garantir l’innocuité de tous les dispositifs sans fil avant leur vente sur le marché de l’UE. Cet acte fixe de nouvelles exigences juridiques relatives aux garanties en matière de cybersécurité, dont les fabricants devront tenir compte lors de la conception et de la fabrication des produits concernés. Il protégera également la vie privée et les données à caractère personnel des citoyens, préviendra les risques de fraude monétaire et garantira une meilleure résilience de nos réseaux de communication.

Margrethe Vestager, vice-présidente exécutive pour une Europe adaptée à l’ère du numérique, a déclaré à ce propos: «La sécurité des produits connectés doit aller de soi. Sinon comment pourrait-on s’y fier dans la communication entre entreprises ou dans la sphère privée? Les nouvelles obligations légales proposées aujourd’hui permettront de préserver la cybersécurité des dispositifs électroniques.»

Thierry Breton, commissaire au marché intérieur, a souligné quant à lui: «Les cybermenaces évoluent rapidement, et leur complexité comme leur capacité d’adaptation ne cessent de croître. Avec les exigences que nous introduisons aujourd’hui, nous améliorerons considérablement la sécurité d’un large éventail de produits et renforcerons notre résilience face aux cybermenaces, conformément à nos ambitions numériques en Europe. Il s’agit d’une étape importante vers l’instauration d’un ensemble complet de normes européennes communes en matière de cybersécurité pour les produits (y compris les objets connectés) et pour les services mis sur notre marché.»

Les mesures proposées aujourd’hui couvriront les dispositifs sans fil tels que les téléphones portables, les tablettes et d’autres produits capables de communiquer à travers l’internet; les jouets et le matériel de puériculture comme les dispositifs de surveillance des nourrissons et une série d’équipements portables tels que les montres intelligentes ou les moniteurs d’activité physique.

Les nouvelles mesures contribueront à:

améliorer la résilience des réseaux: les dispositifs et produits sans fil devront intégrer des fonctionnalités pour éviter qu’ils ne nuisent aux réseaux de communication et empêcher qu’ils ne soient utilisés pour perturber le bon fonctionnement d’un site web ou d’autres services;

mieux protéger la vie privée des consommateurs: les dispositifs et produits sans fil devront être dotés de fonctionnalités garantissant la protection des données à caractère personnel. La protection des droits de l’enfant deviendra un élément essentiel de cette législation. Les fabricants devront par exemple mettre de nouvelles mesures en œuvre pour empêcher l’accès ou la transmission non autorisés de données à caractère personnel;

réduire le risque de fraude monétaire: les dispositifs et produits sans fil devront comporter des fonctionnalités permettant de réduire au minimum le risque de fraude lors des paiements électroniques. Ils devront, par exemple, garantir un meilleur contrôle d’authentification de l’utilisateur afin d’éviter les paiements frauduleux.

L’acte délégué sera complété par une loi sur la cyber-résilience, annoncée récemment par la présidente von der Leyen dans son discours sur l’état de l’Union, qui devrait régir davantage de produits et envisager la totalité de leur cycle de vie. La proposition d’aujourd’hui, ainsi que la future loi sur la cyber-résilience, font suite aux actions annoncées dans la nouvelle stratégie de cybersécurité de l’Union, présentée en décembre 2020. 

Prochaines étapes

L’acte délégué entrera en vigueur après une période d’examen de deux mois, si le Conseil et le Parlement ne formulent pas d’objections.

Après l’entrée en vigueur, les fabricants disposeront d’une période de transition de 30 mois pour commencer à se conformer aux nouvelles exigences légales. Les entreprises du secteur auront ainsi suffisamment de temps pour adapter les produits concernés avant que les nouvelles exigences ne deviennent applicables, ce qui est prévu à partir de la mi-2024.

La Commission aidera également les fabricants à respecter les nouvelles exigences en demandant aux organismes européens de normalisation d’élaborer des normes pertinentes. Les fabricants pourront également prouver la conformité de leurs produits en les faisant évaluer par des organismes notifiés compétents.

Contexte

Les dispositifs sans fil sont devenus une composante essentielle de la vie des citoyens. Ils accèdent à nos informations personnelles et utilisent les réseaux de communication. La pandémie de COVID-19 a entraîné une augmentation spectaculaire de l’utilisation des équipements radioélectriques, que ce soit à des fins professionnelles ou personnelles.

Ces dernières années, des études de la Commission et de diverses autorités nationales ont recensé un nombre croissant de dispositifs sans fil qui présentent des risques en matière de cybersécurité. Ces études ont, par exemple, souligné le risque lié aux jouets qui espionnent les actes ou les conversations des enfants; aux données à caractère personnel non chiffrées stockées dans nos dispositifs, y compris celles liées aux paiements, auxquelles il est facile d’accéder et même aux équipements capables de faire une mauvaise utilisation des ressources du réseau et donc de réduire leurs capacités.