52020AE0956

Language
- My EUR-Lex
- Sign in
- Register
- My recent searches (0)

This document is an excerpt from the EUR-Lex website

Search tips

Need more search options? Use the Advanced search

EUROPA
EUR-Lex home
EUR-Lex - 52020AE0956 - EN

Document 52020AE0956

Help

Avis du Comité économique et social européen sur la «Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions: Sécurité du déploiement de la 5G dans l’UE – Mise en œuvre de la boîte à outils de l’UE» [COM(2020) 50 final]

EESC 2020/00956

OJ C 429, 11.12.2020, p. 281–289 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

HTML

PDF

Official Journal

11.12.2020

Journal officiel de l'Union européenne

C 429/281

[COM(2020) 50 final]

(2020/C 429/37)

Rapporteur:	Alberto MAZZOLA
Corapporteur:	Dumitru FORNEA

Saisine	Commission européenne, 9.3.2020
Base juridique	Article 304 du traité sur le fonctionnement de l’Union européenne.
Compétence	Section «Transports, énergie, infrastructures et société de l’information»
Adoption en section	3.9.2020
Adoption en session plénière	16.9.2020
Session plénière no	554
Résultat du vote (pour/contre/abstentions)	217/0/2

1. Conclusions et recommandations

1.1.

Le CESE se félicite de l’initiative des États membres et de la Commission européenne visant à vérifier la mise en œuvre par les États membres de l’ensemble des mesures recommandées dans les conclusions du paquet de mesures stratégiques et techniques et de mesures de sécurité essentielles concernant le déploiement de l’écosystème 5G.

1.2.

Le CESE estime que, compte tenu de la complexité et de la diversité croissantes des applications 5G (pour 2025, la Commission a fixé les objectifs de connectivité suivants: les établissements scolaires, les universités, les centres de recherche, les hôpitaux, les principaux fournisseurs de services publics et les entreprises à forte intensité numérique devraient disposer de connexions internet à débits montants/descendants d’un gigabit de données par seconde; les ménages urbains et ruraux devraient avoir accès à une connectivité avec une vitesse de téléchargement d’au moins 100 mégabits par seconde; les zones urbaines, les principaux axes routiers et ferroviaires devraient bénéficier d’une couverture 5G ininterrompue), une telle vérification de l’écosystème 5G ainsi que des actions relevant de la compétence de la Commission qui visent à assurer la cybersécurité des réseaux 5G et de la diversité de la chaîne de valeur 5G, la normalisation et la certification techniques, les investissements directs étrangers, la défense commerciale et la concurrence, les obligations de service public, les marchés publics et la cyberdiplomatie, devrait porter aussi sur la sécurité géopolitique, la sécurité des infrastructures et des données et la protection de la santé, y compris au sens de l’article 168, paragraphe 1, du traité sur le fonctionnement de l’Union européenne.

1.3.

De l’avis du CESE, il est important pour l’écosystème 5G européen de garantir l’intégrité, la confidentialité, les responsabilités de gestion et de fonctionnement, la sécurité, la substituabilité de l’approvisionnement, l’interopérabilité des composants matériels et logiciels, des normes techniques et réglementaires communes, la continuité du service, la fiabilité du flux et la protection des données, la couverture de toutes les zones, y compris celles à faible densité de population, la clarté de la communication à l’intention de l’utilisateur considéré comme un acteur du marché numérique, et l’adhésion dynamique aux lignes directrices de la CIPRNI visant à protéger la santé de la population tout en réduisant les radiations autant que possible. En conséquence, la CIPRNI a mis à jour, dans les lignes directrices de 1998, le volet concernant les champs électromagnétiques (CEM) liés aux radiofréquences. Ce document expose ces lignes directrices révisées, qui assurent la protection des personnes contre l’exposition aux CEM de 100 kHz à 300 GHz. Health Phycs. 118(5):483–524; 2020 — Mars 2020. La CIPRNI a apporté (en 2020) un certain nombre de modifications pour faire en sorte que les nouvelles technologies, telles que la 5G, ne soient pas susceptibles de causer un préjudice, quelles que soient nos attentes actuelles.

1.4.

Le CESE demande à la Commission de suivre de près les progrès accomplis dans le déploiement et l’utilisation réelle de la 5G, de même qu’il invite les États membres à accélérer encore le processus et à garantir une mise en œuvre responsable, qui tienne compte de tous les aspects de la sécurité et de la sûreté, y compris ceux liés à l’impact des technologies 5G sur la santé de la population et des écosystèmes vivants et l’incidence sur le plan socio-économique et concurrentiel et sur l’éducation et la formation, et qui assure le respect des droits fondamentaux.

1.5.

Le CESE appelle l’UE à être un acteur mondial de premier plan dans la prochaine génération de technologies mobiles 5G, équipé d’une infrastructure numérique sécurisée en tant que composante solide d’une nouvelle stratégie industrielle européenne moderne, par un changement radical de la connectivité mobile et une forte dynamique potentielle pour accroître la productivité et stimuler l’économie et les services au bénéfice des citoyens.

1.6.

En particulier, le CESE estime indispensable d’évaluer les profils de risque des fournisseurs et d’appliquer des restrictions pertinentes pour ceux qui sont considérés comme à haut risque, y compris en procédant aux exclusions nécessaires pour atténuer effectivement les risques et définir les responsabilités, en ce qui concerne pour les actifs essentiels désignés comme critiques et sensibles dans l’évaluation coordonnée des risques au niveau de l’UE.

1.7.

Le CESE estime qu’il est essentiel que l’Europe vise, à moyen terme, l’autonomie et l’autosuffisance dans ce domaine, en soutenant fermement la recherche et toute une série d’entreprises européennes. Le CESE estime qu’il est important d’accroître les ressources de l’Union destinées à la R&I numérique et de soutenir les investissements des opérateurs et des fournisseurs en ce qui concerne les nouvelles fonctionnalités techniques de sécurité, investissements qui devraient pouvoir aller de pair avec la capacité du marché à reconnaître et rémunérer toutes les initiatives visant à accroître la sécurité et la résilience des systèmes.

1.8.

Il importe de garantir la sécurité de tous les États membres, notamment en maintenant des centres de recherche dans plusieurs régions de l’UE. En outre, le CESE suggère à nouveau que chaque pays devrait compter au moins deux fournisseurs, dont au moins un qui soit européen, ce afin de garantir la sécurité des données sur le plan politique et le respect des contraintes sanitaires.

1.9.

Le CESE est d’avis qu’il y a lieu de mettre davantage l’accent sur les instruments destinés aux utilisateurs, aux citoyens et aux organisations de la société civile concernées qui sont limités et peu efficaces, au-delà de l’accent mis sur les mesures appropriées concernant le pouvoir des régulateurs nationaux et le rôle des opérateurs de télécommunications, l’objectif étant de promouvoir l’autonomisation des consommateurs en renforçant leurs capacités afin de les rendre proactifs sur le marché numérique.

1.10.

La Commission, le Parlement européen, le Conseil et les gouvernements et parlements des États membres devraient fournir un cadre de consultation démocratique, dans lequel les arguments scientifiques ou technologiques, les garanties juridiques et les réponses des institutions compétentes aux questions de la société civile puissent être présentés au public.

1.11.

Le CESE recommande de renforcer la diplomatie technologique européenne afin que l’UE garantisse des conditions plus équilibrées et réciproques en matière de commerce et d’investissement, notamment en ce qui concerne l’accès des entreprises au marché, aux subventions et aux marchés publics, les transferts technologiques, la propriété industrielle et les normes sociales et environnementales.

2. Introduction

2.1.

La question de la sécurité des réseaux 5G revêt une importance stratégique pour les citoyens et les entreprises, l’ensemble du marché unique et la souveraineté technologique de l’UE. Dès 2013, la Commission a lancé l’initiative phare de l’UE visant à mettre en place un partenariat public-privé de la 5G (5G PPP) pour accélérer la recherche et l’innovation dans le domaine de la technologie 5G.

2.2.

La 5G, dont les recettes mondiales devraient dépasser 100 milliards d’EUR en 2025, est un atout majeur de la compétitivité de l’Europe sur le marché mondial, et la cybersécurité de ses réseaux est essentielle pour garantir l’autonomie stratégique de l’Union.

2.3.

Les réseaux 5G s’appuient sur l’actuelle 4e génération (4G) de technologies de réseau et les infrastructures de fibre optique pour fournir de nouvelles capacités de service et devenir l’infrastructure centrale et le catalyseur de pans considérables de l’économie de l’Union, afin de constituer la cheville ouvrière d’un large éventail de services essentiels au fonctionnement du marché intérieur et au maintien et à l’exercice de fonctions sociétales et économiques vitales, dans les domaines de l’énergie, des transports, de la banque et de la santé, ainsi que des systèmes de production, de distribution et de consommation dans l’agriculture et l’industrie.

2.4.

Étant donné le rôle central joué par les réseaux 5G dans la réalisation de la transformation numérique de l’économie et de la société de l’UE, et compte tenu du caractère interconnecté et transnational des infrastructures qui sous-tendent l’écosystème numérique et de la nature transfrontière des menaces, toute vulnérabilité importante et/ou tout incident de cybersécurité majeur concernant les réseaux 5G dans un État membre auraient des répercussions sur l’Union dans son ensemble. C’est pourquoi des mesures devraient être prises pour soutenir un niveau élevé commun de cybersécurité des réseaux 5G.

2.5.

En 2016, la Commission européenne — dans le cadre d’un ensemble d’initiatives lancées avec la communication intitulée «Connectivité pour un marché unique numérique compétitif — Vers une société européenne du gigabit» (1) (2) et comprenant une proposition de réforme du cadre réglementaire pour les communications électroniques (3) et les fonctions de l’Organe des régulateurs européens des communications électroniques (ORECE) (4), des «Priorités pour la normalisation en matière de TIC dans le marché unique numérique» (5), ainsi que des mesures visant à promouvoir la connectivité internet dans les communautés locales (6) — a adopté un plan d’action pour la 5G en Europe (7), sur lequel le CESE a émis un avis positif (8) et qui vise à renforcer les efforts de l’UE pour déployer dans le marché unique numérique les infrastructures et les services 5G, avec une feuille de route pour les investissements publics et privés dans les infrastructures 5G dans l’UE et l’objectif de lancer les réseaux commerciaux 5G avant la fin de 2020.

2.6.

Selon la définition donnée dans la recommandation de la Commission européenne (9), on entend par «réseau 5G»«un ensemble composé de tous les éléments des infrastructures de réseau pertinents pour la technologie de communication sans fil et mobile utilisés pour la connectivité et des services à valeur ajoutée et offrant des performances avancées telles que des capacités et des vitesses de débit très élevées, des communications à temps de latence faibles, une excellente fiabilité, ou supportant un nombre élevé d’appareils connectés».

2.7.

La recommandation précise que la Commission soutiendra la mise en œuvre d’une approche européenne de la cybersécurité de la 5G et veillera, à la demande des États membres, à assurer la sécurité de l’infrastructure 5G et de la chaîne d’approvisionnement, en recourant, le cas échéant, à tous les instruments à sa disposition:

—	les règles en matière de télécommunications, de multimédia et de cybersécurité,

—	la coordination dans le domaine de la normalisation et de la certification au niveau de l’UE,

—	le cadre pour le filtrage des investissements directs étrangers, destiné à protéger la chaîne d’approvisionnement de la 5G européenne,

—	les instruments de défense commerciale,

—	les règles de concurrence,

—	les marchés publics, en veillant à ce que les aspects liés à la sécurité soient dûment pris en compte,

—	les programmes de financement de l’UE, en garantissant à ce que les bénéficiaires respectent les exigences applicables en matière de sécurité.

2.8.

En juillet 2019, les États membres ont présenté au groupe de coopération établi au titre de la directive SRI (10) (composé de représentants de tous les États membres), à la Commission et à l’ENISA les résultats de leurs évaluations des risques à l’échelle nationale, en délivrant, conformément à la norme ISO/IEC 27005, des informations sur les principales activités, menaces et vulnérabilités relatives aux infrastructures 5G et aux principaux scénarios de risques, décrivant les manières dont les auteurs de menaces pourraient profiter de certaines faiblesses d’une activité donnée: ces évaluations nationales ont servi de base à l’élaboration d’une évaluation coordonnée ultérieure et d’une «boîte à outils» commune concernant les mesures possibles d’atténuation des risques.

2.9.

En octobre 2019, le groupe de coopération SRI, avec le soutien de la Commission et de l’ENISA, a présenté un rapport sur l’évaluation coordonnée, à l’échelle de l’UE, des risques liés à la cybersécurité des réseaux de cinquième génération 5G, lequel inventorie plusieurs défis majeurs en matière de sécurité liés aux innovations technologiques essentielles dans les logiciels, les applications et les services, ainsi qu’au rôle des fournisseurs dans le déploiement et l’utilisation des réseaux 5G et au degré de dépendance à l’égard d’un fournisseur unique:

—	augmentation de l’exposition aux attaques et augmentation du nombre de points d’accès potentiels pour les auteurs des attaques,

—	sensibilité accrue aux nouvelles caractéristiques d’architecture et fonctionnalités des réseaux 5G,

—	risques liés à la dépendance des opérateurs de réseau mobile à l’égard des fournisseurs, avec une augmentation du nombre de chemins d’attaque qui pourraient être exploités par des acteurs malveillants,

—	importance du profil de risque des différents fournisseurs en ce qui concerne une possible ingérence de pays extérieurs à l’UE,

—	risques accrus, en raison de la forte dépendance vis-à-vis des fournisseurs, de ruptures d’approvisionnement causées par des tensions commerciales ou autres causes,

—	menaces pesant sur la disponibilité et l’intégrité des réseaux, en ce qui concerne la sécurité, la confidentialité et la protection de la vie privée.

2.10.

Tous ces défis créent un nouveau paradigme de sécurité qui nécessite un réexamen du cadre actuel d’action et de sécurité applicable au secteur et à son écosystème et fait de l’adoption de mesures d’atténuation une nécessité impérative pour les États membres.

2.11.

Le 21 novembre 2019, l’ENISA a publié un rapport intitulé «Threat landscape for 5G networks» (Inventaire des menaces propres aux réseaux 5G), dans lequel elle formule ses évaluations des menaces liées à la cinquième génération de réseaux de télécommunications mobiles et qui complète le rapport des États membres de l’UE.

2.12.

Le 29 janvier 2020, le groupe de coopération SRI a publié ses orientations intitulées «Cybersécurité des réseaux 5G — Boîte à outils de l’UE: mesures destinées à atténuer les risques» (11), qui comprend un ensemble commun potentiel de mesures visant à atténuer les principaux risques en matière de cybersécurité des réseaux 5G et à fournir des orientations pour la sélection des mesures qui devraient être prioritaires dans les plans d’atténuation au niveau national et au niveau de l’UE. Le même jour, la Commission européenne a adopté une communication pour soutenir la boîte à outils (12). Ce document fait l’objet du présent avis.

2.13.

Les principales parties prenantes de l’infrastructure de réseau 5G sont les suivantes:

—	les citoyens, les consommateurs et les utilisateurs finals de la 5G,

—	les opérateurs de réseaux mobiles (ORM): entités qui fournissent aux utilisateurs des services de réseau mobile, en gérant leur propre réseau avec l’aide de tiers,

—

les fournisseurs d’opérateurs de réseaux mobiles: entités qui fournissent des services ou des infrastructures aux ORM afin qu’ils mettent en place et/ou gèrent leurs réseaux. Cette catégorie comprend: les fabricants d’équipements de télécommunications; d’autres fournisseurs de tiers, comme des fournisseurs d’infrastructures en nuage, des intégrateurs de systèmes, des contractants pour la sécurité et l’entretien, des producteurs d’équipements de transmission,

—

les producteurs de dispositifs connectés et fournisseurs de services correspondants: entités fournissant des objets ou services qui seront connectés aux réseaux 5G (par exemple, des smartphones, des véhicules connectés ou des services de santé en ligne) et composantes correspondantes de services hébergés dans le plan de contrôle 5G, comme défini dans l’architecture basée sur les services, ou traitement des données mobiles à la périphérie,

—	d’autres parties prenantes, y compris les fournisseurs de services et de contenus.

Toutes ces parties prenantes sont des acteurs importants de la sécurité, tant pour la contribution à la cybersécurité des réseaux 5G que comme points d’entrée potentiels ou de vecteurs d’attaque. Il est donc important d’évaluer les risques liés à leur position dans l’écosystème 5G.

2.14.

Les principales catégories traditionnelles de menaces sont celles qui pèsent, respectivement, sur la confidentialité, l’intégrité et la disponibilité. Plus précisément, il a été constaté qu’un certain nombre de scénarios de menace pour les réseaux 5G concernent notamment:

—	la perturbation du réseau 5G local ou mondial (disponibilité),

—	l’espionnage du trafic de données dans l’infrastructure de réseau 5G (confidentialité),

—	la modification ou le réacheminement du trafic de données dans l’infrastructure de réseau 5G (intégrité et/ou confidentialité),

—	la destruction ou l’altération d’autres infrastructures numériques ou systèmes d’information numérique par l’intermédiaire des réseaux 5G (intégrité et/ou disponibilité).

2.15.

Les menaces que font peser les États ou les acteurs soutenus par un État sont perçues comme étant de la plus haute importance, étant donné qu’ils représentent effectivement les auteurs de menace les plus sérieux et les plus probables, car ils peuvent avoir des raisons, des intentions et, surtout, la capacité de mener des attaques persistantes et sophistiquées sur la sécurité des réseaux 5G.

Si bon nombre de ces vulnérabilités ne sont pas spécifiques aux réseaux 5G, il est probable que leur nombre et leur gravité augmenteront avec la 5G, en raison du niveau plus élevé de complexité technologique et des attentes accrues que les économies et les sociétés ont vis-à-vis de cette infrastructure.

2.16.

En particulier, étant donné que les réseaux 5G seront largement basés sur des logiciels, les principales failles de sécurité, telles que celles résultant de processus peu performants de développement des logiciels de la part des fournisseurs d’équipements, pourraient permettre aux acteurs malveillants d’insérer intentionnellement des portes dérobées délibérées dans les produits et de les rendre encore plus difficiles à détecter. Il en résulte que leur exploitation est davantage susceptible d’avoir un impact négatif particulièrement grave et étendu. Les problèmes de sécurité liés à la 4G n’ayant pas encore été entièrement résolus, ceux de la 5G pourraient connaître une croissance exponentielle.

2.17.

Il convient également d’envisager des vulnérabilités liées au processus ou à la configuration:

—	manque de personnel spécialisé et formé pour protéger, surveiller et entretenir les réseaux 5G,

—	faiblesses dans les contrôles de sécurité internes, les pratiques de contrôle et les systèmes de gestion de la sécurité, et lacunes dans les pratiques de gestion des risques,

—	inadéquation des procédures de sécurité ou d’entretien opérationnel, telles que la mise à niveau des logiciels ou la gestion des correctifs dans les réseaux 5G,

—	non-respect de la norme du 3GPP ou mauvaise application des normes,

—	défaillances dans la conception ou l’architecture des réseaux, notamment l’absence de mécanismes d’urgence et de continuité efficaces, configuration inadéquate ou malfaçon, par exemple dans la virtualisation, les droits d’administration ou les droits d’accès,

—	critères inappropriés pour l’accès local et à distance aux composants du réseau,

—	exigences de sécurité insuffisantes dans le cadre du processus d’approvisionnement: cette vulnérabilité peut prendre la forme de stratégies inadéquates pour la sélection de fournisseurs ou d’un degré de priorité insuffisant accordé à la sécurité par rapport à d’autres aspects.

2.18.

Les profils de risque des différents fournisseurs doivent être évalués sur la base de plusieurs facteurs, notamment: la possibilité que le fournisseur soit soumis à l’ingérence d’un pays extérieur à l’UE, facilitée lorsqu’il existe des liens étroits entre le fournisseur et le gouvernement d’un pays tiers donné; la législation d’un pays tiers, en particulier lorsqu’il n’y existe pas de contrôles ou d’équilibres législatifs ou démocratiques, et que par conséquent, les filiales d’une entreprise de ce pays actives dans l’UE pourraient être dissuadées de se conformer à la législation européenne, ou encore lorsqu’il n’existe pas d’accords en matière de sécurité ou de protection des données entre l’UE et le pays tiers en question; les caractéristiques du fournisseur en ce qui concerne la propriété; la capacité du pays tiers à exercer une forme de pression, y compris s’agissant du lieu de production de l’équipement; la qualité générale des produits et pratiques du fournisseur en matière de cybersécurité, y compris le degré de contrôle sur sa chaîne d’approvisionnement et la question de savoir si un degré de priorité suffisant a été accordé aux pratiques en matière de sécurité.

2.19.

Les États membres sont convenus de veiller à ce que des mesures soient prises pour réagir de manière appropriée et proportionnée aux risques déjà recensés et aux éventuels risques futurs, et de faire en sorte, en particulier, d’être en mesure d’imposer des restrictions, des interdictions et/ou des exigences ou conditions spécifiques, suivant une approche fondée sur les risques, en ce qui concerne la fourniture, le déploiement et l’exploitation d’équipements de réseau 5G.

2.20.

Dans cette perspective, les États membres devraient:

—	renforcer les exigences de sécurité pour les opérateurs de réseau mobile (contrôles d’accès stricts, règles concernant la sécurité de l’exploitation et de la surveillance, limitations concernant l’externalisation de certaines fonctions),

—

évaluer les profils de risque des fournisseurs sur la base de critères objectifs et clairs; en conséquence, appliquer des restrictions pertinentes, conformément aux principes de proportionnalité et de sécurité juridique, pour ceux qui sont considérés comme à haut risque, y compris en procédant aux exclusions nécessaires pour atténuer effectivement les risques, en ce qui concerne les actifs essentiels définis comme critiques et sensibles dans l’évaluation coordonnée des risques au niveau de l’UE,

—	adopter des normes de sécurité et meilleures pratiques reconnues et mises en œuvre à l’échelle mondiale et fondées sur le consensus,

—	veiller à ce que chaque opérateur se dote d’une stratégie appropriée à fournisseurs multiples pour éviter ou limiter toute forte dépendance à l’égard d’un seul fournisseur ou de fournisseurs présentant un profil de risque similaire,

—

promouvoir un contrôle rigoureux de l’accès et une gestion, un fonctionnement et une surveillance sûrs du réseau et recourir à la certification pour les composants et/ou processus du réseau 5G. Cette stratégie doit être fondée sur une analyse des risques réalisée par les États membres et les opérateurs, de sorte que le choix d’une stratégie à fournisseurs multiples n’augmente pas le niveau de risque pour le réseau de l’opérateur,

—	garantir un équilibre suffisant entre les fournisseurs au niveau national et éviter la dépendance à l’égard des fournisseurs considérés comme à haut risque, également en promouvant une interopérabilité accrue des équipements,

—

maintenir une chaîne d’approvisionnement durable et diversifiée dans le domaine de la 5G, en vue d’éviter une dépendance à long terme, en tirant pleinement parti des instruments de filtrage des investissements directs étrangers, des dispositifs de défense commerciale, de la discipline de la concurrence et de la réglementation de l’UE en matière de marchés publics,

—

renforcer les capacités internes de l’UE dans les technologies 5G et post-5G en faisant appel aux programmes et aux financements de l’UE pertinents, faciliter la coordination entre les États membres dans le domaine de la normalisation, par le renforcement des capacités de test et d’audit, de sorte à atteindre des objectifs spécifiques en matière de sécurité et développer des systèmes de certification pertinents de l’UE dans le cadre de la loi sur la cybersécurité et de la promotion de l’interopérabilité.

2.21.

Comme l’a souligné à plusieurs reprises la Commission, le marché intérieur européen est et reste ouvert à ceux qui souhaitent venir en Europe, pour autant qu’ils se conforment tous à des règles claires et contraignantes fondées sur des critères objectifs.

2.22.

Le 6 juin 2020, le Conseil a souligné qu’il importe de renforcer la souveraineté et la coopération numériques dans l’UE, ainsi que la création de synergies au moyen de programmes de l’UE tels que le mécanisme pour l’interconnexion en Europe et le programme pour une Europe numérique, grâce au développement des compétences numériques et de l’économie fondée sur les données, et a insisté sur l’importance de l’intelligence artificielle et de la cybersécurité, le numérique ayant un rôle actif à jouer dans la réalisation des objectifs du pacte vert pour l’Europe.

3. La communication de la Commission

3.1.

En réponse à la boîte à outils en matière de sécurité 5G proposée par le groupe de coopération SRI, la Commission européenne:

—	s’emploie, à la demande des États membres, à assurer la sécurité de l’infrastructure 5G et de la chaîne d’approvisionnement, en recourant, le cas échéant, à tous les instruments à sa disposition,

—	invite les États membres et les institutions à veiller à la mise en œuvre de stratégies efficaces d’atténuation des risques, et à prendre de nouvelles mesures de coordination au niveau de l’UE en vue d’une approche concertée de la cybersécurité 5G,

—	invite les États membres à mettre en œuvre l’ensemble des mesures recommandées dans les conclusions de la panoplie d’instruments de l’UE et à préparer un rapport conjoint de mise en œuvre, tandis que le groupe de coopération SRI continuera à travailler pour soutenir la mise en œuvre du paquet,

—

envisage, dans les domaines qui relèvent de sa compétence, des actions visant à sauvegarder la cybersécurité des réseaux 5G et une chaîne de valeur 5G diversifiée, la normalisation et la certification techniques, les investissements directs étrangers, la défense commerciale et la concurrence, les marchés publics et la cyberdiplomatie, ainsi que ses propres programmes et fonds pertinents en matière de R&I, de cohésion et de développement.

4. Observations générales

4.1.

Le CESE est convaincu que les nouvelles technologies 5G sont susceptibles de transformer la manière dont nous interagissons avec le monde, en offrant des possibilités de nouvelles applications, modèles d’entreprise et modes de vie, des usines intelligentes, une productivité accrue et de nouveaux services de qualité pour les citoyens, pouvant ainsi ouvrir des portes aux technologies de pointe telles que les voitures automatisées et les systèmes de fabrication et de distribution avancés, ainsi que permettre l’éclosion d’une multitude d’appareils interconnectés qui devraient entrer dans notre monde quotidien dans le cadre de l’internet des objets (IdO). Toutefois, le CESE souhaiterait que la Commission renforce les études d’impact et de faisabilité et l’analyse coûts-avantages de la 5G par rapport à l’utilisation de la technologie 4G ou des télécommunications à fibres optiques. Le CESE considère qu’il est essentiel que la 5G soit axée sur une meilleure utilisation circulaire des ressources et sur la réduction de l’importante empreinte carbone liée à l’énergie. Le CESE souligne l’importance de faire face aux changements sociaux d’ordre structurel en favorisant une transition juste et fluide, ainsi qu’en s’attaquant au déficit de compétences, afin de générer des emplois mieux rémunérés, flexibles et hautement qualifiés.

4.2.

La triade de menaces formée par des pandémies incontrôlées, des lacunes dans l’arsenal des mesures de politique économique et les «cygnes noirs» de la géopolitique risque de faire basculer l’économie mondiale dans une dépression persistante et de provoquer un effondrement des marchés financiers et des mouvements de fuite des capitaux, au moment même où toutes les composantes de la société européenne prennent de plus en plus conscience qu’un développement économique durable et la révolution numérique en cours, dont la 5G est un des instruments et principes, appellent des actions combinant tout à la fois la souveraineté technologique, l’augmentation de la productivité et une utilisation plus efficace des ressources. à disposition, avec l’appui d’un cadre juridique, réglementaire, économique et financier adéquat.

4.3.

Le CESE invite les institutions de l’UE à parachever le marché unique numérique, y inclus le développement de capacités à intégrer et à utiliser les services 5G pour défendre et améliorer la compétitivité des industries européennes: il demande à la Commission de suivre de près les progrès accomplis dans le déploiement et l’utilisation réelle de la 5G et invite les États membres à accélérer encore le processus, en tenant compte de tous les aspects de la sécurité et de la sûreté, y compris les aspects liés à l’impact des technologies 5G sur la santé de la population et des écosystèmes vivants et à l’incidence sur le plan socio-économique et concurrentiel et sur l’éducation et la formation, et en assurant le respect des droits fondamentaux, tels que le droit de propriété ou celui au respect de la vie privée et à la sécurité des données à caractère personnel.

4.4.

4.5.

Étant donné que la cybersécurité et la sécurité nationale sont des aspects inextricablement liés, le CESE estime que toute décision sur la sécurité nationale d’un pays de l’UE doit être prise dans le contexte de l’UE, et que les évaluations non techniques devraient être mises en œuvre de manière objective, sur la base de critères d’évaluation des risques définis au niveau européen. Ces éléments sont nécessaires pour garantir dans toute l’Europe un environnement réglementaire harmonisé et prévisible, qui garantisse une pleine interopérabilité.

4.6.

Le CESE estime que la qualité de l’information et la manière dont elle est communiquée — l’«effet de cadrage», autrement dit l’effet associé à un contexte ou à la mise en relief d’un élément — ont une influence significative sur le comportement des destinataires. Ainsi, l’objectif consistant à promouvoir l’autonomisation des consommateurs est pris en compte dans l’identification des outils destinés à les éduquer, à renforcer leurs capacités et à en faire des acteurs du marché numérique. Le CESE reconnaît qu’il est nécessaire de fournir aux citoyens des informations actualisées et exactes sur les bénéfices et les risques de la 5G, en se fondant sur les données qui font consensus parmi la grande majorité de la communauté scientifique, tout en signalant les aspects sur lesquels elle n’est pas unanime.

4.7.

Le CESE est convaincu que l’accès au marché numérique européen doit rester ouvert à toute entreprise sans discrimination, mais dans les limites d’un cadre européen constitué de règles, de normes et de critères fermes et clairs en matière d’évaluation et de sécurité, qui placent au cœur de la stratégie européenne le redressement et la relance de la souveraineté technologique européenne.

4.8.

Bien que les cinq principaux fournisseurs d’infrastructures comprennent deux fournisseurs européens, deux chinois et un coréen (13), aucune entreprise européenne majeure n’est parmi les premières à produire des appareils et puces 5G; le CESE est convaincu qu’il doit exister une pluralité de fournisseurs, dont au moins un ayant sa maison mère en Europe, et qu’un cadre d’interopérabilité et d’entière substituabilité des composants matériels et logiciels devrait également être assuré afin de garantir la pleine souveraineté technologique européenne dans le contexte d’une coopération internationale forte et d’une réciprocité totale sur les marchés en matière d’ouverture, d’accès et d’exploitation. Cette diversification peut s’appliquer tant que l’interopérabilité des services est possible et que la diversité n’augmente pas les risques en matière de cybersécurité.

4.9.

Le CESE estime qu’il est essentiel que l’Europe adopte une approche à moyen terme en ce qui concerne l’autonomie et l’autosuffisance dans ce domaine, en soutenant fermement la recherche et toute une série d’entreprises européennes. Le CESE se félicite de l’ensemble de mesures adopté par les États membres pour traiter les risques en matière de sécurité et de sûreté liés à l’introduction de la technologie 5G, qui ont déjà été recensés dans le cadre de l’évaluation européenne. Il estime toutefois que les limites d’exposition strictes et sûres aux champs électromagnétiques recommandées au niveau de l’Union et fondées sur des orientations mises à jour par la Commission internationale de protection contre les rayonnements non ionisants (CIPRNI), reconnue par l’Organisation mondiale de la santé (OMS), devraient s’appliquer à toutes les bandes de fréquences prévues pour la 5G (14): les limites de la CIPRNI sont fondées sur le principe de précaution, puisqu’elles sont 50 fois inférieures aux niveaux d’effet sur la santé publique qui ont été établis sur la base des preuves scientifiques disponibles.

4.10.

Toutefois, le CESE observe que les recommandations de la CIPRNI ne sont pas reconnues par l’ensemble de la communauté scientifique, dont certains membres préconisent des limites d’exposition de la population bien plus strictes, conformément au principe «aussi bas que raisonnablement possible» (ALARA). Les solutions qui pourraient être proposées pour venir compléter les infrastructures de communication 5G comprennent notamment le recours à des liaisons fixes pour données au moyen des technologies sans rayonnements qui existent déjà (câbles ethernet, fibres optiques, etc.), dans les situations d’utilisation non mobile (par exemple pour les distributeurs de billets, les terminaux de points de vente, les robots industriels, les robots médicaux contrôlés à distance, etc.) et dans les secteurs concernés par des transmissions massives de données (prestataires de services numériques, entreprises ou grandes sociétés, etc.), ainsi que pour l’internet des objets (IdO), dans des configurations fixes, non mobiles (maisons intelligentes, villes intelligentes, capteurs sur des équipements de service public, etc.).

4.11.

4.12.

4.13.

Le CESE a reconnu (15) l’existence du problème de l’hypersensibilité électromagnétique et a souligné ses préoccupations sur ce point, tout en estimant qu’il est encourageant de constater que de nouvelles recherches approfondies sont en cours afin de comprendre le problème et ses causes et en incitant la Commission à poursuivre et à mettre à jour ses travaux dans ce domaine.

4.14.

De l’avis du CESE, la crédibilité des fournisseurs de services de télécommunications et de services d’applications 5G est essentielle, étant donné que la gestion des informations sur l’internet forme la base des services de données agrégées qui sont collectées et traitées par les utilisateurs, par l’intermédiaire de mécanismes technologiques, juridiques et fiscaux interconnectant objets, machines et algorithmes.

4.15.

Le CESE a suggéré (16) de passer d’un concept de propriété des données à une définition des droits en matière de données pour les personnes physiques et les personnes morales. Les consommateurs devraient avoir le contrôle des données produites par les dispositifs connectés de manière à garantir le respect de leur vie privée au même titre que l’accessibilité, l’interopérabilité et le transfert desdites données, tout en en assurant de manière adéquate la protection et la confidentialité, ainsi qu’une concurrence loyale et un plus grand choix pour ces mêmes consommateurs.

4.16.

Il y aurait lieu d’enrichir le règlement général sur la protection des données (RGPD) par des lignes directrices de mise en œuvre claires, afin de parvenir à une application uniforme et à un niveau élevé de protection des données et des consommateurs dans la perspective de l’interconnectivité des machines et des objets, et il convient de réviser les règles relatives à la responsabilité civile et à l’assurance des produits pour les adapter à une situation où les décisions seront de plus en plus prises par les logiciels dans un environnement pleinement sécurisé.

4.17.

Le CESE estime qu’il est essentiel que les États membres suivent les recommandations stratégiques et techniques figurant dans la boîte à outils de l’UE, en évitant de développer des approches nationales spécifiques, telles que des essais et une certification supplémentaires, qui entraîneraient un morcellement du marché, des retards dans la mise en œuvre des technologies et des incohérences entre les marchés, avec le risque d’affaiblir la confiance dans les systèmes d’essai et d’agrément.

4.18.

Le CESE estime qu’il est essentiel d’utiliser les normes mondiales, avec un soutien européen accru, et de mettre en place des bonnes pratiques communes et reconnues pour parvenir à une gestion efficace des menaces, générer des économies d’échelle, éviter le morcellement et assurer l’interopérabilité des systèmes européens. Les discussions sur les normes techniques peuvent apporter la clarification voulue pour que les entreprises puissent être à nouveau compétitives et mener à bien ces activités essentielles, afin de mettre en œuvre des technologies avancées telles que la 5G et l’intelligence artificielle (IA) sur tous les marchés.

4.19.

En particulier, le CESE estime qu’il est indispensable d’évaluer les profils de risque des fournisseurs et d’appliquer des restrictions pertinentes pour ceux considérés comme à haut risque, y compris en procédant aux exclusions nécessaires pour atténuer effectivement les risques, en ce qui concerne les actifs essentiels qui auront été définis comme critiques et sensibles dans l’évaluation coordonnée des risques au niveau de l’UE.

4.20.

Le CESE estime qu’il est important d’accroître les investissements des opérateurs et des fournisseurs en ce qui concerne les nouvelles fonctionnalités techniques de sécurité, cette démarche devant pouvoir aller de pair avec la capacité du marché à reconnaître et rémunérer toutes les initiatives visant à accroître la sécurité et la résilience des systèmes. Une attention accrue pour les investissements dans le domaine de la sécurité pourrait conférer de nouveaux avantages sur le marché.

4.21.

Le CESE est résolument favorable à des interventions communes en faveur du développement industriel et du déploiement de la 5G, s’agissant d’évaluer les lacunes ou défaillances potentielles du marché tout au long de la chaîne de valeur de la 5G qui justifieraient des interventions ciblées dans le cadre du prochain budget à long terme ou le lancement d’un éventuel projet d’intérêt européen commun en matière de cybersécurité de la 5G (sécurité et sûreté).

4.22.

Le CESE souligne que, même si l’infrastructure numérique a fait la preuve de sa résilience et de sa solidité lors de la crise de la COVID-19, des investissements supplémentaires dans les infrastructures 5G sont nécessaires afin de surmonter une fracture numérique qui est encore présente et est susceptible de limiter l’accès des citoyens à la santé et l’apprentissage en ligne et au télétravail.

4.23.

En ce qui concerne la diplomatie technologique, le CESE estime qu’il est essentiel que tout en favorisant une pleine concurrence et l’innovation technique sur le marché, l’UE garantisse des conditions d’échanges et d’investissement plus équilibrées et réciproques, notamment en ce qui concerne l’accès au marché, les subventions, les marchés publics, les transferts de technologie, la propriété industrielle et les normes sociales et environnementales, en particulier face à des «rivaux systémiques promouvant des modèles alternatifs de gouvernance».

4.24.

Le CESE soutient fermement l’idée qu’afin d’éviter une dépendance à long terme, il est nécessaire de maintenir une chaîne d’approvisionnement 5G diversifiée et durable, en prévoyant le recours à de multiples fournisseurs dans un cadre de substituabilité et d’interopérabilité, ainsi que de renforcer encore le cadre financier 2021-2027 pour les programmes et initiatives de développement des capacités et la souveraineté technologique européenne pour la 5G et l’après-5G.

4.25.

Dans le cadre du plan de relance pour l’Europe adopté le 27 mai 2020, l’indice relatif à l’économie et à la société numériques 2020 (DESI) servira de support à l’analyse par pays étayant les recommandations du Semestre européen concernant le numérique. Cette démarche aidera les États membres à cibler et à hiérarchiser leurs priorités en matière de réforme et d’investissement, facilitant ainsi l’accès à la facilité pour la reprise et la résilience, qui est dotée d’une enveloppe de 560 milliards d’EUR. Cet instrument fournira aux États membres des fonds destinés à rendre leurs économies plus résilientes et veillera à ce que les investissements et les réformes soutiennent les transitions verte et numérique. Étant donné que la pandémie a eu un impact significatif sur chacune des cinq dimensions de l’indice DESI, les conclusions de 2020 relatives à la 5G doivent être abordées en parallèle avec les nombreuses mesures que la Commission et les États membres ont prises pour gérer la crise et soutenir la reprise.

Bruxelles, le 16 septembre 2020.

Le président du Comité économique et social européen

Luca JAHIER

(1) Voir, à l’article 168, paragraphe 1, du TFUE, ce qui suit «L’action de l’Union, qui complète les politiques nationales…».

(2) COM(2016) 587.

(3) COM(2016) 590.

(4) COM(2016) 591.

(5) COM(2016) 176.

(6) COM(2016) 589.

(7) COM(2016) 588.

(8) JO C 125 du 21.4.2017, p. 74.

(9) Recommandation (UE) 2019/534 de la Commission du 26 mars 2019 sur la cybersécurité des réseaux 5G (JO L 88 du 29.3.2019, p. 42).

(10) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l’Union (JO L 194 du 19.7.2016, p. 1).

(11) https://ec.europa.eu/digital-single-market/en/news/cybersecurity-5 g-networks-eu-toolbox-risk-mitigating-measures

(12) https://ec.europa.eu/digital-single-market/en/news/secure-5 g-deployment-eu-implementing-eu-toolbox-communication-commission

(13) Les cinq principaux fournisseurs à l’échelle mondiale sont actuellement Ericsson, Nokia, Huawei, ZTE et Samsung.

(14) PE — E-003040/2019 — Réponse donnée par Mme Kyriakides au nom de la Commission européenne (17.1.2020).

(15) JO C 242 du 2.7.2015, p. 31.

(16) JO C 353 du 18.10.2019, p. 79.

Top