Le rôle de l’ANSSI (L’Agence Nationale de la Sécurité des Systèmes d’Information) :
Les fournisseurs de services numériques, au sens de cette loi, sont des personnes morales qui fournissent un service « normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services » (art. 10 de la loi).
Le législateur en distingue 3 catégories :
- Les places de marché en ligne
- Les moteurs de recherche en ligne
- Les services d’informatique en nuage
Relèvent du champ d’application de cette loi (art. 11 de la loi) :
- Les fournisseurs qui offrent des services numériques dans l’Union européenne et qui, soit ont leur siège social ou leur établissement principal sur le territoire national, soit sont établis hors de l’Union européenne mais ont désigné un représentant sur le territoire national.
- A condition qu’ils emploient au moins 50 salariés et aient un chiffre d’affaires d’au moins 10 millions d’euros.
Deux grands types d’obligations s’imposent à eux.
D’une part, ils sont tenus de garantir, « compte tenu de l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d’information (RSI) nécessaires à la fourniture de leurs services (…) adapté aux risques existants ».
Cela implique qu’ils doivent :
- Identifier les risques affectant la sécurité de leurs RSI
- Prendre des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer ces risques, éviter les incidents de sécurité et en réduire au minimum l’impact, de manière à garantir la continuité de leurs services. Ces mesures concernent les 5 domaines suivants : la sécurité des systèmes et des installations, la gestion des incidents, la gestion de la continuité des activités, le suivi, l’audit et le contrôle et, enfin, le respect des normes internationales ( 12 de la loi).
D’autre part, ils doivent déclarer à l’ANSSI, « sans délai après en avoir pris connaissance », les incidents affectant les RSI nécessaires à la fourniture de leurs services dans l’Union européenne, « lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services, compte tenu notamment du nombre d’utilisateurs touchés par l’incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service et de l’ampleur de son impact sur le fonctionnement de la société ou de l’économie » (art. 13, I de la loi).
Le manquement à cette obligation de déclaration est sanctionné par une amende de 50 000 euros à la charge des dirigeants du fournisseur de services numériques concerné (art. 15 de la loi).
L’ANSSI peut alors décider d’en informer le public ou d’imposer au fournisseur de le faire, après consultation de ce dernier, si « cette information est nécessaire pour prévenir ou traiter un incident ou est justifiée par un motif d’intérêt général ».
Elle peut également en informer les autorités compétentes d’autres Etats membres de l’Union européenne « lorsqu’un incident a des conséquences significatives sur les services fournis dans d’autres Etats membres de l’Union européenne » (art. 13, II de la loi).
Enfin, le respect de ces diverses obligations peut être contrôlé par l’ANSSI (le coût des contrôles étant à la charge des fournisseurs de services numériques en application de l’art. 15 de la loi, et tout obstruction à ces contrôles est sanctionnée par une amende de 1OO 000 euros à la charge des dirigeants du fournisseur de services numériques concerné en vertu de l’art. 14 de la loi).
En cas de non-conformité, l’ANSSI peut mettre en demeure les dirigeants du fournisseur de services numériques concerné de respecter leurs obligations légales dans un certain délai, à peine de s’exposer à une amende pouvant s’élever à 75 000 euros (art. 15 de la loi).
Ces dispositions entreront en vigueur à compter d’une date fixée par décret en Conseil d’Etat, et au plus tard le 10 mai 2018 (art. 25 de la loi).
Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris
Mise en ligne: 22/05/2018