01 56 43 68 80

6, rue de Saint-Petersbourg, 75008 Paris

Fournisseurs de services numériques : les obligations légales avec le RGPD

FSN Fournisseurs de services numériques les obligations légales en matière de sécurité informatique
  • Actualité juridique, Base de données, BIG DATA, Communication, Contrat informatique, Cybercriminalité, Cybermarchand, Cybersurveillance, Data, Données personnelles, Droit de l'Internet, E-Commerce, Information et libertés, Loi Informatique et libertés, RGPD, Sanctions, Site internet

Par Stéphane ASTIER & Paul BENELLI

Le Règlement Général Européen pour la Protection des données personnelles [1] (RGPD) [2] est sur toutes les lèvres. Entrant en vigueur le 25 mai 2018, ce texte fondateur renforce drastiquement les obligations de chaque acteur en matière de sécurité informatique. Et pour cause, faisant suite à des vagues de cyber attaques sans précédent, l’ANSSI [3] rappelle que 2018 sera une année déterminante pour la sécurité du numérique [4].

Que faut-il en déduire si ce n’est le fait que la gestion des cyber risques et cyber menaces devient un impératif pour l’ensemble des acteurs qu’ils soient publics ou privés, du secteur du digital ou non.

Naturellement, les plateformes Web, moteurs de recherche et autres acteurs du web sont directement impactés par ce type de risque.

C’est la raison pour laquelle le législateur français est récemment intervenu avec la loi n°2018-133 du 26 février 2018 « portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité » qui a été promulguée le 26 février 2018 (ci-après la Loi)).

Cette Loi transpose la Directive Européenne (UE) 2016/1148 du 6 juillet 2016, connue sous l’acronyme « NIS » [5] qui préconise des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne.

Au terme des articles 10 à 15 de ce texte, les places de marché, les moteurs de recherche en ligne et les services « d’informatique en nuage » se voient tous prescrire un certain niveau de sécurité pour leurs systèmes d’information.

En effet, cette nouvelle législation crée une nouvelle catégorie d’acteur : les FOURNISSEURS DE SERVICE NUMERIQUE (FSN). Sont désormais considérés comme des FSN :

  1. Les places de marché en ligne, ou « marketplace » ;
  2. Les Moteurs de recherche en ligne ;
  3. Les services d’informatique en nuage (ou services de « cloud »).

Les FSN, qu’ils soient ou non implantés en France, dès lors qu’ils offrent leurs services sur le territoire français, emploient plus de 50 salariés et ont un chiffre d’affaires annuel excédant 10 millions d’euros, doivent désormais garantir un niveau de sécurité des réseaux et des systèmes d’information (SI) adapté aux risques existants.

En pratique, les FSN et notamment les Marketplace doivent désormais :

  1. Identifier les risques pesant sur la sécurité de leurs réseaux, notamment par l’intermédiaire d’une étude d’impact [6], d’ores et déjà préconisée par le RGPD [7]. L’analyse des risques doit porter sur :

    a. La sécurité des systèmes et des installations ;

    b. La gestion des incidents ;

    c. La gestion de la continuité des activités ;

    d. Le suivi, l’audit et le contrôle ;

    e. Le respect des normes internationales.

  2. Déclarer à l’ANSSI les incidents qui auraient affecté leur SI lorsque ces incidents ont un impact significatif sur la fourniture de ces services (que ce soit au niveau des marchands référencés sur une place de marché ou sur les consommateurs finaux) ;
  3. Si l’autorité le demande, informer personnellement le public de cet incident lorsque l’information est nécessaire pour prévenir ou traiter un incident, ou si elle est justifiée par un motif d’intérêt général, ce qui présente un risque majeur au regard du préjudice d’image potentiel.
  4. Se soumettre à un éventuel contrôle de l’ANSSI, diligenté par le Premier ministre informé qu’un FSN ne satisfait pas aux obligations précitées.
  5. Coopérer avec les autorités de l’Etat membre de l’UE où sont situés les réseaux et SI. Dans ce cadre, le FSN devra communiquer à l’autorité ou au prestataire chargé du contrôle :

a. sa politique de sécurité [8][9]

b. un accès au réseau

SANCTIONS : En cas de manquement constaté lors de son contrôle, l’autorité missionnée pourrait mettre en mesure les dirigeants du FSE de se conformer dans un certain délai aux obligations listées dans la Loi.
Au-delà de la simple mise en demeure, est désormais puni :

  1. de 75.000€ d’amende le fait, pour les dirigeants de FSN, de ne pas se conformer au contenu de la Mise en demeure de l’autorité de contrôle ;
  2. de 50.000€ le fait de ne pas satisfaire aux obligations de déclaration d’un incident sur les réseaux et systèmes d’info ;
  3. De 100.000€ le fait de faire obstacle à une opération de contrôle.

En conclusion, on constate un renforcement du risque pesant sur la responsabilité civile et pénale du FSN et de son dirigeant. En effet, différentes dispositions font peser sur le dirigeant un large panel de sanctions :

  • Civiles, notamment dans le cadre de la sécurité des objets connectés [10] ;
  • Administratives et pénales, dans le cadre de l’obligation de conformité aux réglementations propres aux traitements de données personnelles, notamment suite à l’entrée en vigueur du RGPD [11] et plus particulièrement dans le domaine de la E-santé [12],

Le Cabinet HAAS, fort d’une expertise de plus de vingt ans en droit des nouvelles technologies, bénéficie d’une triple labellisation CNIL et accompagne régulièrement les entreprises dans la mise en conformité de leur sécurité informatique.

Le cabinet HAAS propose à ce titre :

  • L’externalisation de la fonction Correspondant Informatique et Libertés /DPO [13],
  • La réalisation d’études d’impact (PIA),
  • La formalisation de référentiels sécurité ou encore la dispense de formations relatives à la prévention des risques liés aux cyber menaces dans le cadre d’une offre globale de Data Compliance.

 

 

 

[1] http://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679&from=FR

[2] Voir notre site internet https://www.avocat-rgpd.com/

[3] Agence nationale de la sécurité des systèmes d’information : https://www.ssi.gouv.fr/

[4]

[5] National Information Security)

[6] https://www.haas-avocats.com/data/raisons-mener-une-etude-dimpact/

[7] Article 35 RGPD

[8] https://www.haas-avocats.com/actualite-juridique/sensibiliser-lentreprise-risque-securite-informatique/

[9] https://www.haas-avocats.com/data/pourquoi-rediger-plan-dassurance-securite/

[10] https://www.haas-avocats.com/ecommerce/securite-des-produits-responsabilite/

[11] https://www.haas-avocats.com/data/rgpd-quelles-responsabilites-du-dirigeant/

[12] https://www.haas-avocats.com/actualite-juridique/les-professionnels-de-la-sante-a-lepreuve-de-la-securite-informatique/ / Cf. également

[13] http://www.haas-avocats.com/ecommerce/pourquoi-les-entreprises-doivent-preparer-designer-dpo/

ENVELOPPE NEWSLETTER copie

L'actu juridique numérique
du mardi matin.

Inscrivez-vous pour recevoir nos derniers articles, podcasts, vidéos et invitations aux webinars juridiques.

*Champs requis. Le cabinet HAAS Avocats traite votre adresse e-mail pour vous envoyer ses newsletters.

Vous pouvez accéder aux données vous concernant, les rectifier, demander leur effacement ou exercer votre droit à la limitation du traitement de vos données en nous contact à l’adresse mail suivante : dpo@haas-avocats.com