EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52021XX0511(01)
Summary of the Opinion of the European Data Protection Supervisor on the Cybersecurity Strategy and the NIS 2.0 Directive (The full text of this Opinion can be found in English, French and German on the EDPS website www.edps.europa.eu) 2021/C 183/03
Résumé de l’avis du contrôleur européen de la protection des données sur la stratégie en matière de cybersécurité et la directive SRI 2.0 (Le texte complet de l’avis en anglais, français et allemand est disponible sur le site Internet du CEPD www.edps.europa.eu) 2021/C 183/03
Résumé de l’avis du contrôleur européen de la protection des données sur la stratégie en matière de cybersécurité et la directive SRI 2.0 (Le texte complet de l’avis en anglais, français et allemand est disponible sur le site Internet du CEPD www.edps.europa.eu) 2021/C 183/03
OJ C 183, 11.5.2021, p. 3–7
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
|
11.5.2021 |
FR |
Journal officiel de l’Union européenne |
C 183/3 |
Résumé de l’avis du contrôleur européen de la protection des données sur la stratégie en matière de cybersécurité et la directive SRI 2.0
(Le texte complet de l’avis en anglais, français et allemand est disponible sur le site Internet du CEPD www.edps.europa.eu)
(2021/C 183/03)
Le 16 décembre 2020, la Commission européenne a adopté une proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (ci-après la «proposition»). Parallèlement, la Commission européenne et le haut représentant de l’Union pour les affaires étrangères et la politique de sécurité ont publié une communication conjointe au Parlement européen et au Conseil, intitulée «La stratégie de cybersécurité de l’UE pour la décennie numérique» (ci-après la «stratégie»).
Le CEPD soutient pleinement l’objectif général de la stratégie visant à garantir un internet ouvert et mondial doté de solides garde-fous pour faire face aux risques pour la sécurité et les droits fondamentaux, tout en reconnaissant la valeur stratégique de l’internet et de sa gouvernance et en renforçant l’action de l’Union en la matière grâce à un modèle multipartite.
Par conséquent, le CEPD se félicite également de l’objectif de la proposition consistant à apporter des modifications systémiques et structurelles à l’actuelle directive SRI, afin de couvrir un ensemble plus large d’entités dans l’Union, avec des mesures de sécurité renforcées, notamment l’obligation de gestion des risques, la création de normes minimales et la mise en place de dispositions pertinentes en matière de surveillance et d’exécution. À cet égard, le CEPD estime qu’il est nécessaire d’intégrer pleinement les institutions, organes et organismes de l’Union dans le cadre général de cybersécurité à l’échelle de l’UE, afin de garantir un niveau de protection uniforme, en incluant explicitement les institutions, organes et organismes de l’Union dans le champ d’application de la proposition.
Le CEPD souligne en outre l’importance d’intégrer la dimension de la protection de la vie privée et des données dans les mesures de cybersécurité découlant de la proposition ou des autres initiatives de la stratégie en matière de cybersécurité, de façon à garantir une approche holistique et à permettre des synergies dans la gestion de la cybersécurité et la protection des informations personnelles traitées par les institutions européennes. De même, il est important que toute limitation potentielle du droit à la protection de la vie privée et des données à caractère personnel suscitée par ces mesures respecte les critères énoncés à l’article 52 de la Charte des droits fondamentaux de l’Union européenne, et, en particulier, qu’elle soit mise en œuvre par le biais d’une mesure législative et qu’elle soit à la fois nécessaire et proportionnée.
Le CEPD s’attend à ce que la proposition ne vise pas à affecter l’application de la législation de l’Union en vigueur régissant le traitement des données à caractère personnel, y compris les missions et les pouvoirs des autorités de contrôle indépendantes chargées de contrôler le respect de ces instruments. En d’autres termes, tous les systèmes et services de cybersécurité intervenant dans la prévention, la détection et la réaction aux cybermenaces devraient être conformes au cadre actuel de protection de la vie privée et des données. À cet égard, le CEPD estime qu’il est important et nécessaire d’établir une définition claire et univoque du terme «cybersécurité» aux fins de la proposition.
Le CEPD formule des recommandations spécifiques pour s’assurer que la proposition complète de manière correcte et efficace la législation existante de l’Union en matière de protection des données à caractère personnel, en particulier le RGPD et la directive «vie privée et communications électroniques», en faisant appel également au CEPD et au comité européen de protection des données lorsque cela est nécessaire, et en établissant des mécanismes clairs pour la collaboration entre les autorités compétentes des différents domaines réglementaires.
En outre, les dispositions relatives à la gestion des registres des domaines de premier niveau de l’internet devraient définir clairement le champ d’application et les conditions pertinentes dans la loi. Le concept de scannage proactif des réseaux et des systèmes d’information par les CSIRT nécessite également des clarifications supplémentaires en ce qui concerne le champ d’application et les types de données à caractère personnel traitées. L’attention est attirée sur les risques d’éventuels transferts de données non-conformes liés à la sous-traitance de services de cybersécurité ou à l’acquisition de produits de cybersécurité ainsi qu’à leur chaîne d’approvisionnement.
Le CEPD se félicite de l’appel visant à promouvoir l’utilisation du chiffrement, et en particulier du chiffrement de bout en bout, et réitère sa position sur la question du cryptage, qu’il considère comme une technologie critique et irremplaçable pour assurer une protection efficace des données et de la vie privée, et dont le contournement priverait le mécanisme de toute capacité de protection en raison du risque d’utilisation illicite et de la perte de confiance dans les contrôles de sécurité. À cet effet, il convient de préciser que rien dans la proposition ne devrait être interprété comme un avis favorable à l’affaiblissement du chiffrement de bout en bout par le biais de «portes dérobées» ou de solutions similaires.
1. INTRODUCTION
|
1. |
Le 16 décembre 2020, la Commission européenne a adopté une proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148 (1) (ci-après la «proposition»). |
|
2. |
À la même date, la Commission européenne et le haut représentant de l’Union pour les affaires étrangères et la politique de sécurité ont publié une communication conjointe au Parlement européen et au Conseil, intitulée «La stratégie de cybersécurité de l’UE pour la décennie numérique» (ci-après la «stratégie»). (2) |
|
3. |
La stratégie vise à renforcer l’autonomie stratégique de l’Union dans les domaines de la cybersécurité et à améliorer sa résilience et sa réponse collective, ainsi qu’à construire un internet mondial et ouvert doté de solides garde-fous pour faire face aux risques pour la sécurité et les libertés et droits fondamentaux des citoyens en Europe (3). |
|
4. |
La stratégie contient des propositions d’initiatives réglementaires, d’investissement et de politique dans trois domaines d’action de l’Union: (1) la résilience, la souveraineté technologique et le leadership, (2) le renforcement des capacités opérationnelles de prévention, de dissuasion et de réaction, et (3) la promotion d’un cyberespace mondial et ouvert. |
|
5. |
La proposition constitue l’une des initiatives réglementaires de la stratégie, en particulier dans les domaines de la résilience, de la souveraineté technologique et du leadership. |
|
6. |
Selon l’exposé des motifs, l’objectif de la proposition est de moderniser le cadre juridique existant, à savoir la directive (UE) 2016/1148 du Parlement européen et du Conseil (ci-après la «directive SRI») (4). La proposition vise à capitaliser sur l’actuelle directive SRI, qu’elle abroge, et qui était le premier acte législatif adopté à l’échelle de l’Union européenne dans le domaine de la cybersécurité et prévoyait des mesures juridiques pour renforcer le niveau général de cybersécurité dans l’Union. La proposition tient compte de l’utilisation croissante de supports et formats numériques dans le marché intérieur ces dernières années et de l’évolution du paysage des menaces qui pèsent sur la cybersécurité, qui se sont encore amplifiées depuis le début de la pandémie de COVID-19. La proposition vise à combler plusieurs lacunes identifiées dans la directive SRI et à accroître le niveau de cyber-résilience de tous les secteurs, publics et privés, qui remplissent une fonction importante pour l’économie et la société. |
|
7. |
Les principaux éléments de la proposition sont les suivants:
|
|
8. |
Le 14 janvier 2021, le CEPD a reçu une demande de consultation formelle de la Commission européenne sur la «proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148». |
3. Conclusions
|
77. |
À la lumière des considérations qui précèdent, le CEPD émet les recommandations suivantes: |
Concernant la stratégie de cybersécurité
|
— |
tenir compte du fait que la première étape pour atténuer les risques liés à la protection des données et de la vie privée que présentent les nouvelles technologies visant à améliorer la cybersécurité, telles que l’IA, consiste à appliquer les exigences de protection des données dès la conception et par défaut visées à l’article 25 du RGPD, ce qui contribuera à intégrer les garanties appropriées, telles que la pseudonymisation, le chiffrement, l’exactitude des données ou la minimisation des données, dans la conception et l’utilisation de ces technologies et systèmes; |
|
— |
tenir compte de l’importance d’intégrer la dimension de la protection de la vie privée et des données dans les politiques et normes liées à la cybersécurité et dans la gestion traditionnelle de la cybersécurité, afin de garantir une approche holistique et de permettre aux organisations publiques et privées de bénéficier de synergies dans la gestion de la cybersécurité et dans la protection des informations qu’elles traitent, sans multiplier inutilement les efforts; |
|
— |
envisager et prévoir l’utilisation de ressources par les institutions européennes pour renforcer les capacités de ces dernières en matière de cybersécurité, et ce d’une manière qui respecte pleinement les valeurs de l’UE; |
|
— |
prendre en compte les dimensions de la cybersécurité liées à la protection de la vie privée et des données en investissant dans des politiques, des pratiques et des instruments permettant d’intégrer la dimension de protection de la vie privée et des données dans la gestion traditionnelle de la cybersécurité et de mettre en place des garanties efficaces de protection des données dans le traitement de données à caractère personnel effectué dans le cadre d’activités de cybersécurité. |
Concernant le champ d’application de la stratégie et de la proposition aux institutions, organes et organismes de l’Union
|
— |
tenir compte des besoins et du rôle des institutions européennes afin que celles-ci soient intégrées dans le cadre global de cybersécurité à l’échelle de l’UE, et qu’elles bénéficient du même niveau élevé de protection que les entités des États membres; et |
|
— |
inclure explicitement les institutions, organes et organismes de l’Union dans le champ d’application de la proposition. |
Concernant la relation avec la législation existante de l’Union en matière de protection des données à caractère personnel
|
— |
préciser, à l’article 2 de la proposition, que la législation de l’Union en matière de protection des données à caractère personnel, en particulier le RGPD et la directive «vie privée et communications électroniques», s’applique à tout traitement de données à caractère personnel entrant dans le champ d’application de la proposition (et pas seulement dans des contextes spécifiques); et |
|
— |
préciser également dans un considérant pertinent que la proposition ne vise pas à affecter l’application de la législation de l’Union en vigueur régissant le traitement des données à caractère personnel, y compris les missions et les pouvoirs des autorités de contrôle compétentes pour contrôler le respect de ces instruments. |
Concernant la définition de la cybersécurité
|
— |
clarifier l’utilisation différente des termes «cybersécurité» et «sécurité des réseaux et des systèmes d’information», et utiliser le terme «cybersécurité» en général et le terme «sécurité des réseaux et des systèmes d’information» uniquement lorsque le contexte le permet (par exemple, dans un contexte purement technique, sans tenir compte des incidences sur les utilisateurs des systèmes et d’autres personnes). |
Concernant les noms de domaine et données d’enregistrement (les «données WHOIS»)
|
— |
définir clairement ce qui constitue des «informations pertinentes» afin d’identifier et de contacter les titulaires des noms de domaines et les points de contact qui gèrent les noms de domaines dans les registres des noms de domaines de premier niveau; |
|
— |
préciser de manière plus détaillée quelles catégories de données d’enregistrement de noms de domaines (qui ne constituent pas des données à caractère personnel) devraient faire l’objet d’une publication; |
|
— |
préciser davantage quelles entités (publiques ou privées) pourraient constituer des «demandeurs d’accès légitimes»; |
|
— |
préciser si les données à caractère personnel détenues par les registres des noms de domaines de premier niveau et les entités fournissant des services d’enregistrement de noms de domaines pour le registre de noms de domaines de premier niveau devraient également être accessibles aux entités situées en dehors de l’EEE et, si tel est le cas, définir clairement les conditions, les limitations et les procédures applicables à un tel accès, en tenant compte également, le cas échéant, des exigences de l’article 49, paragraphe 2, du RGPD; et |
|
— |
introduire des précisions supplémentaires sur ce qui constitue une demande «légitime et dûment justifiée», grâce à laquelle l’accès est accordé, et sous quelles conditions. |
Concernant le «scannage proactif du réseau et des systèmes d’information» par les CSIRT
|
— |
délimiter clairement les types d’analyse proactive que les CSIRT peuvent être invités à mener, et identifier les principales catégories de données à caractère personnel concernées dans le texte de la proposition. |
Concernant la sous-traitance et la chaîne d’approvisionnement
|
— |
prendre en compte les caractéristiques garantissant la mise en œuvre effective du principe de protection des données dès la conception et par défaut, lors de l’évaluation des chaînes d’approvisionnement en technologies et des systèmes traitant des données à caractère personnel; |
|
— |
prendre en compte les exigences spécifiques du pays d’origine qui pourraient représenter un obstacle au respect de la législation européenne en matière de protection de la vie privée et des données, lors de l’évaluation des risques liés à la chaîne d’approvisionnement de services, systèmes ou produits TIC; |
|
— |
inclure dans le texte juridique l’obligation de consulter le comité lors de la définition des caractéristiques susmentionnées et, le cas échéant, lors de l’évaluation coordonnée sectorielle des risques mentionnée au considérant 46; et |
|
— |
recommander de préciser dans un considérant que les produits de cybersécurité libres (logiciels et matériel), y compris les systèmes de cryptage à source ouverte, pourraient offrir la transparence nécessaire pour atténuer les risques spécifiques aux chaînes d’approvisionnement. |
Concernant le chiffrement
|
— |
préciser, au considérant 54, que rien dans la proposition ne doit être interprété comme un avis favorable à l’affaiblissement du chiffrement de bout en bout par le biais de «portes dérobées» ou de solutions similaires. |
Concernant les mesures de gestion des risques en matière de cybersécurité
|
— |
inclure, dans les considérants et dans la partie consacrée au fond de la proposition, le concept selon lequel l’intégration de la dimension de la protection de la vie privée et des données dans la gestion traditionnelle des risques de cybersécurité garantira une approche holistique et permettra aux organisations publiques et privées de bénéficier de synergies dans la gestion de la cybersécurité et la protection des informations qu’elles traitent, sans multiplier inutilement les efforts; |
|
— |
ajouter dans le texte juridique l’obligation pour l’ENISA de consulter le comité lors de l’élaboration des avis pertinents. |
Concernant les violations de données à caractère personnel
|
— |
remplacer le texte «dans un délai raisonnable» de l’article 32, paragraphe 1, par «dans les meilleurs délais». |
Concernant le groupe de coopération
|
— |
inclure dans le texte juridique la participation du comité au groupe de coopération, en tenant compte du lien entre la mission de ce groupe et le cadre de la protection des données. |
Concernant la compétence et la territorialité
|
— |
préciser dans le texte juridique que la proposition n’affecte pas les compétences des autorités de contrôle de la protection des données en vertu du RGPD; |
|
— |
fournir une base juridique complète pour la coopération et l’échange d’informations entre les autorités compétentes et les autorités de contrôle, chacune agissant dans ses domaines de compétence respectifs; et |
|
— |
préciser que les autorités compétentes en vertu de la proposition devraient être en mesure de fournir aux autorités de contrôle compétentes en vertu du règlement (UE) 2016/679, sur demande ou de leur propre initiative, toute information obtenue dans le cadre d’audits et d’enquêtes ayant trait au traitement de données à caractère personnel et d’inclure une base juridique explicite à cet effet. |
Bruxelles, le 11 mars 2021.
Wojciech Rafał WIEWIÓROWSKI
(1) Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148, COM (2020) 823 final.
(2) La stratégie de cybersécurité de l’UE pour la décennie numérique, JOIN (2020) 18 final.
(3) Voir chapitre I. INTRODUCTION, page 4 de la stratégie.
(4) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1).