Le Cyber Résilience Act : accord du Parlement européen et du Conseil de l’Union européenne

Publié par le dans , | Consulté 223 Fois

par Adena SEROUSSI, étudiante du Master 2 Droit des médias électroniques

En décembre 2023, s’est conclu un accord entre le Parlement européen et le Conseil de l’Union européenne afin de renforcer la sécurité des produits numériques. Cet accord s’inscrit dans la continuité du règlement du Cyber Résilience Act dévoilé le 15 septembre 2022 par la Commission européenne. 

Le Cyber Résilience Act  

Le Cyber Résilience Act est un règlement européen pensé pour répondre à la menace croissante qu’est la cybercriminalité. En ce sens, il prévoit des règles portant sur la sécurité numérique relative aux logiciels et aux matériels des développeurs, fabricants et éditeurs, commercialisés dans l’Union européenne.
Ce règlement aura vocation à s’appliquer dès 2024. 

La proposition de règlement de la Commission européenne vise à englober tous les « produits comportant des éléments numériques ». Il s’agit, plus précisément, des matériels connectés (ordinateurs, téléphones, voitures, …) et des systèmes (antivirus, produits comportant des éléments numériques avec la fonction de réseau privé virtuel, microcontrôleurs, …).
En revanche, la Commission précise que les logiciels fournis en tant que service, et non en tant que produit, sont exemptés du règlement sur la cyberrésilience

Afin de lutter contres les risques liés à la cybersécurité, le règlement instaure des règles sécurisant l’utilisation des matériels connectés, filaires et des logiciels, en vue d’une protection maximale du consommateur et des entreprises. Par ailleurs, il propose également une amélioration du niveau d’information destiné aux consommateurs et aux entreprises.
Il s’agira notamment de :
•  Garantir la sécurité des produits filaires et sans fil connectés à l’Internet ainsi que des logiciels mis sur le marché de l’Union européenne ;
•  Responsabiliser les fabricants de la cybersécurité des produits tout au long de leur cycle de vie (ex : conception, développement et mise en place de correctifs de sécurité et de mises à jour pour répondre aux vulnérabilités pour une période correspondant à la durée d’utilisation prévue des produits) ;
• Assurer aux consommateurs une information suffisante et transparente, notamment par le biais d’une documentation claire sur la cybersécurité des produits qu’ils acquièrent et de la manière dont ils doivent être utilisés. 

Enfin, les États membres de l’Union européenne nommeront des autorités de surveillance du marché pour garantir le respect des obligations énoncées dans le règlement sur la cyberrésilience ; ces autorités pourront rappeler un produit ou exiger son retrait de la vente. Par ailleurs, des amendes pourront être imposées aux entreprises en cas de non-respect des règles, pouvant atteindre jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires. 

L’accord entre le Parlement européen et le Conseil de l’Union européenne 

L’accord entre le Parlement européen et le Conseil de l’Union européenne portant sur le règlement sur la Cyberrésilience vise à renforcer la sécurité des produits commercialisés sur le marché intérieur ; et ce, tout en conservant l’essentiel de la proposition de la Commission européenne.
Cependant, nous observons quelques changements, tels que :
• Une approche simplifiée de la méthodologie de classification des produits numériques concernés a été adoptée ;
• La durée par défaut des obligations, fixée à cinq ans, est modifiée pour s’adapter aux produits à durée de vie plus courte ;
• L’obligation de signaler, en premier lieu, les vulnérabilités découvertes par les fabricants aux autorités nationales compétentes. 

Par ailleurs, les produits matériels IT et logiciels porteront le marquage CE afin d’indiquer leur conformité aux exigences du règlement et de permettre ainsi leur commercialisation sur le marché de l’Union européenne.

Désormais, l’accord est soumis à l’approbation officielle du Parlement européen et du Conseil de l’Union européenne ; suite à son adoption, il entrera en vigueur 20 jours après sa publication au Journal officiel.
Enfin, les fabricants, importateurs et distributeurs de matériels et de logiciels disposeront d’un délai de trois ans pour se conformer aux exigences du règlement du Cyber Résilience Act et de 21 mois pour signaler les incidents et vulnérabilités découvertes. 

Finalement, le Cyber Résilience Act permet de cyber-sécuriser les produits numériques commercialisés sur le marché intérieur de l’Union européenne. 

Sources : 
–  Proposition de Réglement du Parlement Européen et du Conseil – https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52022PC0454
–  Commission Européenne – Règlement sur la cyberrésilience : Questions & Réponses
–  Parlement européen – Cyber Résilience : accord pour renforcer la sécurité des produits numériques
–  Commission Européenne – Communiqué de presse : La Commission se félicite de l’accord politique sur la loi sur la cyberrésilience