(1)

La protection du réseau ou de son fonctionnement contre les dommages, la protection des données à caractère personnel et de la vie privée de l’utilisateur et de l’abonné et la protection contre la fraude sont des éléments qui contribuent à la protection contre les risques en matière de cybersécurité.

(2)

Comme le précise le considérant 13 de la directive 2014/53/UE, des fonctionnalités spéciales des équipements radioélectriques permettraient de renforcer la protection des données à caractère personnel et de la vie privée des utilisateurs d’équipements radioélectriques et des abonnés à ces derniers, de même que la protection contre la fraude. Selon ce même considérant, dans les cas appropriés, les équipements radioélectriques devraient donc être conçus de manière à être compatibles avec ces fonctionnalités.

(3)

La 5G jouera un rôle déterminant dans le développement de l’économie et de la société numériques de l’Union dans les prochaines années et est susceptible d’influer sur presque tous les aspects de la vie des citoyens de l’Union. Le document intitulé «Cybersecurity of 5G networks — EU Toolbox of risk mitigating measures» (Cybersécurité des réseaux 5G — Boîte à outils de l’UE contenant des mesures d’atténuation des risques) (2) définit un ensemble commun possible de mesures permettant d’atténuer les principaux risques en matière de cybersécurité des réseaux 5G et fournit des orientations pour la sélection de mesures à privilégier dans les plans d’atténuation à l’échelon national et de l’Union. Outre ces mesures, il est très important d’adopter une approche harmonisée en ce qui concerne les exigences essentielles relatives aux éléments de protection de la cybersécurité applicables aux équipements radioélectriques 5G lorsqu’ils sont mis sur le marché de l’Union.

(4)

Le niveau de sécurité applicable en vertu des exigences essentielles de l’Union énoncées à l’article 3, paragraphe 3, points d), e) et f), pour assurer la protection du réseau, garantir des sauvegardes afin d’assurer la protection des données à caractère personnel et de la vie privée et assurer la protection contre la fraude ne doit pas compromettre le niveau élevé de sécurité requis au niveau national pour les réseaux intelligents décentralisés dans le domaine de l’énergie, pour lesquels des compteurs intelligents soumis à ces exigences doivent être utilisés, et pour les équipements du réseau 5G utilisés par les fournisseurs de réseaux de communications électroniques publics et de services de communications électroniques accessibles au public au sens de la directive (UE) 2018/1972 du Parlement européen et du Conseil (3).

(5)

De nombreuses préoccupations ont également été exprimées quant à l’augmentation des risques en matière de cybersécurité résultant de l’utilisation accrue par les professionnels et les consommateurs, y compris les enfants, d’équipements radioélectriques qui: i) sont capables de communiquer par eux-mêmes sur l’internet, qu’ils communiquent directement ou par l’intermédiaire d’autres équipements («équipements radioélectriques connectés à l’internet»), c’est-à-dire que ces équipements connectés à l’internet exécutent les protocoles nécessaires pour échanger des données avec l’internet, directement ou au moyen d’un équipement intermédiaire; ii) peuvent être des jouets dotés d’une fonction radio, qui relèvent également de la directive 2009/48/CE du Parlement européen et du Conseil (4), ou bien être destinés exclusivement à la garde d’enfants, ou être conçus à cette fin, comme les moniteurs de surveillance des enfants; ou iii) sont conçus ou destinés, exclusivement ou non, à être portés sur une partie du corps (y compris la tête, le cou, le torse, les bras, les mains, les jambes et les pieds) ou sur tout vêtement porté par des êtres humains (y compris les vêtements couvrant la tête, les mains et les pieds), ou bien attachés ou suspendus à ceux-ci, tels que les équipements radioélectriques sous forme de montres-bracelets, de bagues, de bracelets, de casques, d’écouteurs ou de lunettes («équipements radioélectriques portables»).

(6)

Dans ce contexte, tout équipement radioélectrique destiné à la garde d’enfants, tout équipement radioélectrique couvert par la directive 2009/48/CE ou tout équipement radioélectrique portable, capable de communiquer par lui-même sur l’internet, qu’il communique directement ou par l’intermédiaire d’un autre équipement, doit être considéré comme un équipement radioélectrique connecté à l’internet. Les implants, par exemple, ne devraient pas être considérés comme des équipements radioélectriques portables car ils ne sont pas portés sur une partie du corps ou sur un vêtement, ni attachés ou suspendus à ceux-ci. Ils devraient toutefois être considérés comme des équipements radioélectriques connectés à l’internet s’ils sont capables de communiquer par eux-mêmes sur l’internet, qu’ils communiquent directement ou par l’intermédiaire d’un autre équipement.

(7)

Compte tenu des préoccupations soulevées par le fait que les équipements radioélectriques n’assurent pas une protection contre les éléments de risques en matière de cybersécurité, il est nécessaire de rendre applicables, pour les équipements radioélectriques de certaines catégories ou classes, les exigences essentielles de la directive 2014/53/UE associées à la protection contre les atteintes au réseau, à la protection des données à caractère personnel et de la vie privée des utilisateurs et des abonnés et à la protection contre la fraude.

(8)

La directive 2014/53/UE s’applique aux produits qui répondent à la définition de l’«équipement radioélectrique» donnée à l’article 2 de ladite directive, sous réserve de certaines exclusions précisées à l’article 1er, paragraphes 2 et 3, de ladite directive. Alors que la définition de l’équipement radioélectrique énoncée à l’article 2 de la directive 2014/53/UE fait référence aux équipements capables de communiquer au moyen d’ondes radioélectriques, il n’est fait, dans les exigences de ladite directive, aucune distinction entre les fonctions radio et non radio des équipements radioélectriques; par conséquent, tous les aspects et toutes les parties de l’équipement devraient être conformes aux exigences essentielles prévues par le présent règlement délégué.

(9)

En ce qui concerne les atteintes au réseau ou à son fonctionnement ou la mauvaise utilisation des ressources du réseau, une détérioration inacceptable du service peut être provoquée par des équipements radioélectriques connectés à l’internet qui ne garantissent pas qu’il n’est pas porté atteinte aux réseaux ou que ceux-ci ne sont pas utilisés à mauvais escient. Par exemple, un attaquant peut «inonder» le réseau internet par malveillance pour empêcher le trafic légitime sur le réseau, perturber les connexions entre deux produits radioélectriques, empêchant ainsi l’accès à un service, empêcher une personne particulière d’accéder à un service, perturber le service d’un système ou d’une personne spécifique ou interrompre l’information. La dégradation des services en ligne peut ainsi donner lieu à des cyberattaques malveillantes, qui entraîneront une augmentation des coûts, des désagréments ou des risques pour les opérateurs, les fournisseurs de services ou les utilisateurs. L’article 3, paragraphe 3, point d), de la directive 2014/53/UE, qui dispose que les équipements radioélectriques ne portent pas atteinte au réseau ou à son fonctionnement ni ne font une mauvaise utilisation des ressources du réseau, provoquant ainsi une détérioration inacceptable du service, devrait donc s’appliquer aux équipements radioélectriques connectés à l’internet.

(10)

Des préoccupations ont également été exprimées en ce qui concerne la protection des données à caractère personnel et de la vie privée des utilisateurs d’équipements radioélectriques connectés à l’internet et des abonnés à ces derniers en raison de la capacité de ces équipements à enregistrer, à stocker et à partager des informations, à interagir avec l’utilisateur, y compris les enfants, lorsque des haut-parleurs, microphones et autres capteurs sont intégrés dans ceux-ci. Ces préoccupations concernent notamment la capacité de ces équipements radioélectriques à enregistrer des photos, des vidéos, des données de localisation, des données liées à l’expérience de jeu, ainsi que la fréquence cardiaque, les habitudes de sommeil ou d’autres données personnelles. Il est par exemple possible d’accéder aux paramètres avancés de l’équipement radioélectrique avec un mot de passe par défaut si la connexion ou les données ne sont pas cryptées ou si un mécanisme d’authentification forte n’est pas en place.

(11)

Il est donc important que les équipements radioélectriques connectés à l’internet qui sont mis sur le marché de l’Union comportent des sauvegardes afin d’assurer la protection des données à caractère personnel et de la vie privée lorsqu’ils sont capables de traiter des données à caractère personnel telles que définies à l’article 4, point 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil (5) ou des données telles que définies à l’article 2, points b) et c), de la directive 2002/58/CE du Parlement européen et du Conseil (6). L’article 3, paragraphe 3, point e), de la directive 2014/53/UE devrait donc s’appliquer aux équipements radioélectriques connectés à l’internet.

(12)

En outre, en ce qui concerne la protection des données à caractère personnel et de la vie privée, les équipements radioélectriques destinés à la garde d’enfants, les équipements radioélectriques couverts par la directive 2009/48/CE et les équipements radioélectriques portables présentent des risques pour la sécurité même en l’absence d’une connexion internet. Des données à caractère personnel peuvent être interceptées lorsque ces équipements radioélectriques émettent ou reçoivent des ondes radioélectriques et ne comportent pas de sauvegardes visant à assurer la protection des données à caractère personnel et de la vie privée. Les équipements radioélectriques destinés à la garde d’enfants, les équipements radioélectriques couverts par la directive 2009/48/CE et les équipements radioélectriques portables peuvent surveiller et enregistrer un certain nombre de données (à caractère personnel) sensibles de l’utilisateur au fil du temps et les retransmettre par l’intermédiaire de technologies de communication qui pourraient ne pas être sécurisées. Les équipements radioélectriques destinés à la garde d’enfants, les équipements radioélectriques couverts par la directive 2009/48/CE et les équipements radioélectriques portables devraient également assurer la protection des données à caractère personnel et de la vie privée lorsqu’ils sont capables de procéder au traitement, au sens de l’article 4, point 2, du règlement (UE) 2016/679, des données à caractère personnel, telles que définies dans l’article 4, point 1, dudit règlement, ou des données relatives au trafic et des données de localisation, telles que définies dans l’article 2, points b) et c), de la directive 2002/58/CE. L’article 3, paragraphe 3, point e), de la directive 2014/53/UE devrait donc s’appliquer à ces équipements radioélectriques.

(13)

En ce qui concerne la fraude, des informations comprenant des données à caractère personnel peuvent être volées à partir d’équipements radioélectriques connectés à l’internet qui n’assurent pas la protection contre la fraude. Certaines fraudes spécifiques concernent les équipements radioélectriques connectés à l’internet lorsque ceux-ci sont utilisés pour effectuer des paiements en ligne. Les coûts peuvent être élevés et concernent non seulement les personnes qui ont subi la fraude, mais aussi la société dans son ensemble (par exemple le coût des enquêtes de police, les coûts des services d’aide aux victimes, les coûts des procès menés pour établir les responsabilités). Il est donc nécessaire d’assurer la fiabilité des transactions et de réduire au minimum le risque de perte financière pour les utilisateurs d’équipements radioélectriques connectés à l’internet qui effectuent le paiement en utilisant ces équipements et pour le destinataire du paiement effectué au moyen de ces équipements.

(14)

Les équipements radioélectriques connectés à l’internet qui sont mis sur le marché de l’Union devraient être compatibles avec des fonctionnalités permettant d’assurer la protection contre la fraude lorsqu’ils permettent au détenteur ou à l’utilisateur de transférer de l’argent, de la valeur monétaire ou une monnaie virtuelle telle que définie à l’article 2, point d), de la directive (UE) 2019/713 du Parlement européen et du Conseil (7). L’article 3, paragraphe 3, point f), de la directive 2014/53/UE devrait donc s’appliquer à ces équipements radioélectriques.

(15)

Le règlement (UE) 2017/745 du Parlement européen et du Conseil (8) établit des règles relatives aux dispositifs médicaux et le règlement (UE) 2017/746 du Parlement européen et du Conseil (9) établit des règles relatives aux dispositifs médicaux de diagnostic in vitro. Les règlements (UE) 2017/745 et (UE) 2017/746 portent tous deux sur certains éléments des risques en matière de cybersécurité associés aux risques prévus à l’article 3, paragraphe 3, points d), e) et f), de la directive 2014/53/UE. Les équipements radioélectriques auxquels s’appliquent l’un ou l’autre de ces règlements ne devraient donc pas relever des catégories ou classes d’équipements radioélectriques qui doivent être conformes aux exigences essentielles énoncées à l’article 3, paragraphe 3, points d), e) et f), de la directive 2014/53/UE.

(16)

Le règlement (UE) 2019/2144 du Parlement européen et du Conseil (10) définit les prescriptions applicables à la réception par type des véhicules à moteur ainsi que des systèmes et composants destinés à ces véhicules. En outre, l’objectif principal du règlement (UE) 2018/1139 du Parlement européen et du Conseil (11) est d’établir et de maintenir un niveau uniforme élevé de sécurité de l’aviation civile dans l’Union. De plus, la directive (UE) 2019/520 du Parlement européen et du Conseil (12) définit les conditions pour assurer l’interopérabilité des systèmes de télépéage routier et faciliter l’échange transfrontière d’informations relatives au défaut de paiement des redevances routières dans l’Union. Les règlements (UE) 2019/2144 et (UE) 2018/1139 ainsi que la directive (UE) 2019/520 portent sur des éléments des risques en matière de cybersécurité associés aux risques prévus à l’article 3, paragraphe 3, points e) et f), de la directive 2014/53/UE. Les équipements radioélectriques auxquels s’appliquent les règlements (UE) 2019/2144 et (UE) 2018/1139 ou la directive (UE) 2019/520 ne devraient donc pas relever des catégories ou classes d’équipements radioélectriques qui doivent être conformes aux exigences essentielles énoncées à l’article 3, paragraphe 3, points e) et f), de la directive 2014/53/UE.

(17)

L’article 3 de la directive 2014/53/UE prévoit des exigences essentielles auxquelles les opérateurs économiques doivent satisfaire. Afin de faciliter l’évaluation de la conformité avec ces exigences, ladite directive prévoit une présomption de conformité pour les équipements radioélectriques qui répondent aux normes harmonisées volontaires adoptées conformément au règlement (UE) no 1025/2012 du Parlement européen et du Conseil (13) aux fins de la formulation des spécifications techniques détaillées de ces exigences. Les spécifications prendront en considération et examineront le niveau de risques correspondant à l’utilisation prévue de chaque catégorie ou classe d’équipements radioélectriques concernés par le présent règlement.

(18)

Il convient d’accorder un délai suffisant aux opérateurs économiques afin qu’ils s’adaptent aux exigences du présent règlement. Il y a donc lieu de reporter l’application du présent règlement. Le présent règlement n’empêche pas les opérateurs économiques de s’y conformer dès la date de son entrée en vigueur.

(19)

La Commission a procédé aux consultations appropriées lors des travaux préparatoires des mesures énoncées dans le présent règlement et a consulté le groupe d’experts sur les équipements radioélectriques,