Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 346

Quant aux « fournisseurs de services
numériques », il s'agit notamment des
prestataires de cloud, des moteurs de
recherche ou encore des plateformes en
ligne comme Amazon.
La directive oblige chaque Etat membre
à s'assurer que ces acteurs économiques
prennent toutes mesures techniques
et organisationnels appropriées dans
le cadre d'une politique de gestion de
risques. Ces mesures ayant vocation
à éviter autant que possible ou à tout
le moins réduire les conséquences des
éventuels incidents de sécurité. En cas
d'incident ayant un impact significatif
sur la continuité de services de ces opérateurs, ces derniers devront les notifier aux
autorités désignées, répondre à leurs
demandes d'information et se conformer
à leurs instructions.
Le niveau de sécurité mis en œuvre par
ces acteurs devra être proportionnel aux
risques potentiels qu'ils rencontrent dans
le cadre de leur activité. Il s'agit donc
de prendre en compte des facteurs de
risques tels que la continuité de service,
la sécurité logique et physique des
infrastructures ou encore leur degré de
conformité aux standards internationaux en matière de sécurité. Cependant,
dans le cas des « fournisseurs de service
numérique », ces exigences ne devraient
pas être applicables aux micro-entreprises et aux petites entreprises13.
Outre
les
obligations
imposées
aux « fournisseurs de service numérique » et aux « opérateurs de services
essentiels », chaque État membre devra
également adopter une stratégie nationale en matière de sécurité des réseaux.
A ce titre, des objectifs stratégiques et
des mesures politiques et réglementaires
concrètes devront être définies et régulièrement actualisées. Les États membres
devront également veiller à disposer
de CSIRT14, afin de garantir l'existence
de moyens effectifs et compatibles pour
gérer les incidents et les risques et assurer une coopération efficace au niveau
de l'Union.

Un texte qui suscite des
interrogations de la part des
praticiens
En premier lieu, on peut regretter que
le périmètre de cette directive soit assez
étroit et ne concerne que deux types
d'acteurs : les opérateurs fournissant
des services essentiels et certaines plateformes numériques.
Par ailleurs, la directive est imprécise sur
de nombreux points. Quelles seront les
mesures techniques et organisationnelles
concrètes à mettre en œuvre dans le

346

cadre d'une gestion de risques ? Qu'est-ce
qu'un impact significatif sur les services
fournis par les opérateurs concernés ? En
cas d'incident, quelles sont les modalités
d'information du public par les autorités
désignées ? Quels seront les pouvoirs et
compétences de ces dernières ? Quelles
seront les sanctions en cas de non-conformité ? Les seules exigences pour les
sanctions étant qu'elles soient effectives,
proportionnées et dissuasives.
La définition de « place de marché en
ligne » semble assez réductrice eu égard
aux ambitions affichées par le législateur
européen. Il s'agit, au sens de la directive, d'un service numérique permettant
de conclure des contrats en ligne avec
des professionnels soit sur le site internet de la place de marché en ligne, soit
sur le site internet d'un professionnel qui
utilise les services informatiques fournis
par la place de marché en ligne. Qu'en
est-il des entreprises qui vendent leurs
produits et services sur leurs propres sites
internet ?
La Commission, consciente de l'évolution
des technologies et de la marge d'appréciation laissée aux Etats membres qui
impliquent un risque de non-cohérence
entre les législations, a d'ores et déjà
prévu un réexamen de la directive dès le
9 novembre 2018.
Les travaux d'harmonisation des règles
relatives à la sécurité des réseaux et des
systèmes d'information au sein de l'Union
reviendront donc régulièrement dans les
agendas des institutions européennes.

Garance MATHIAS
Avocat à la Cour
MATHIAS Avocats

Notes
(1) JOUE du 19.07.2016, Directive (UE) 2016/1148
du Parlement européen et du Conseil du
6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de
sécurité des réseaux et des systèmes d'information dans l'Union et qui est entrée en
vigueur en août 2016.
(2) JOUE du 04.05.2016, Règlement (UE) 2016/679
du Parlement européen et du Conseil du
27 avril 2016 relatif à la protection des
personnes physiques à l'égard du traitement des données à caractère personnel
et à la libre circulation de ces données, et
abrogeant la directive 95/46/CE (règlement
général sur la protection des données) (Texte
présentant de l'intérêt pour l'EEE).
(3) h t t p : / / e c . e u r o p a . e u / p r i o r i t i e s /
digital-single-market_en
(4) Voir notamment la communication conjointe
au Parlement européen et au Conseil en date
du 6 avril 2016 « Cadre commun en matière
de lutte contre les menaces hybrides - une

EXPERTISES OCTOBRE 2016

réponse de l'Union européenne » http://eur-lex.
europa.eu/legal-content/FR/TXT/HTML/?uri=
CELEX:52016JC0018&from=EN ou encore la
communication en date du 20 avril 2016 « Mise
en œuvre du programme européen en
matière de sécurité pour lutter contre le terrorisme et ouvrir la voie à une union de la
sécurité réelle et effective», http://ec.europa.
eu/dgs/home-affairs/what-we-do/policies/
european-agenda-security/legislative
(5) Communication de la Commission en date
du 31 mai 2006, Une stratégie pour une société de l'information sûre - "Dialogue, partenariat et responsabilisation" [COM(2006)
251 final - Non publié au Journal officiel]
http://eur-lex.europa.eu/legal-content/FR/
TXT/?uri=URISERV%3Al24153a
(6) Selon l'article 4-2 de la directive (UE)
2016/1148 du Parlement européen et du
Conseil du 6 juillet 2016 concernant des
mesures destinées à assurer un niveau
élevé commun de sécurité des réseaux et
des systèmes d'information dans l'Union,
la « sécurité des réseaux et des systèmes
d'information » désigne la capacité
de « résister, à un niveau de confiance
donné, à des événements accidentels ou
à des actions malveillantes qui compromettent la disponibilité, l'authenticité,
l'intégrité et la confidentialité de données
stockées ou transmises, et des services
connexes que ces réseaux et systèmes
offrent ou qu'ils rendent accessibles ».
(7) http://europa.eu/rapid/press-release_IP-162321_fr.htm - « La Commission signe un
accord avec le secteur de la cybersecurité
et redouble d'efforts pour lutter contre les
cybermenaces » en date du 5 juillet 2016 qui
cite une étude réalisée par le Cabinet PWC
- http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey.html
(8) http://www.ssi.gouv.fr/actualite/adoptionde-la-directive-network-and-informationsecurity-nis-lanssi-pilote-de-la-transposition-en-france/
(9) Article 8 de la directive (UE) 2016/1148
du Parlement européen et du Conseil du
6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de
sécurité des réseaux et des systèmes d'information dans l'Union.
(10) L'annexe II de la directive comprend des
catégories d'acteurs pouvant être qualifiés d'opérateurs fournissant des services
essentiels.
(11) Cette liste sera, à « intervalles réguliers »,
mise à jour par les Etats membres et ce,
conformément à l'article 5-5 de la directive
(UE) 2016/1148 du Parlement européen et
du Conseil du 6 juillet 2016 concernant des
mesures destinées à assurer un niveau
élevé commun de sécurité des réseaux et
des systèmes d'information dans l'Union.
(12) l'article 22 de la loi n° 2013-1168 du
18 décembre 2013 de programmation militaire complétés par des arrêtes
sectoriels dont certains ont été publiés
le 1er juillet 2016 (secteurs d'activité
suivants « produits de santé », « gestion de
l'eau » et « alimentation .
(13) Article 16-11 de la directive (UE) 2016/1148
du Parlement européen et du Conseil du
6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de
sécurité des réseaux et des systèmes d'information dans l'Union
(14) Centres de réponse aux incidents de sécurité informatique, également connus sous
la dénomination de centres de réponse aux
urgences informatiques (CERT).


http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52016JC0018&from=EN http://ec.europa.eu/dgs/home-affairs/what-we-do/policies/european-agenda-security/ http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=URISERV%3Al24153a http://europa.eu/rapid/press-release_IP-16-2321_fr.htm http://www.pwc.com/gx/en/issues/cyber-security/information-security-survey.html http://www.ssi.gouv.fr/actualite/adoption-de-la-directive-network-and-information-security-nis-lanssi-pilote-de-la-transposition-en-france/

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417

Couverture
Editorial & Sommaire
MAGAZINE RÉSEAUX SOCIAUX : ENTRE MODÉRATION ET CENSURE
INTERVIEW PRÉVENIR LES DÉRIVES DES PROJETS INFORMATIQUES
DOCTRINE
CYBERCRIMINALITÉ : RÉSEAUX ET «BOTS» SOCIAUX, DU MEILLEUR ATTENDU AU PIRE À CRAINDRE
SECRET D’AFFAIRES : TOUT EST QUESTION DE MESURE !
CYBERSÉCURITÉ : LA DIRECTIVE SRI, VERS UN CADRE HARMONISÉ ?
DONNÉES PERSONNELLES : L’IMPACT DU GDPR SUR LES ÉDITEURS DE LOGICIEL
DROIT SOCIAL : LE SMS DANS LE CONTENTIEUX PRUD’HOMAL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - MAGAZINE RÉSEAUX SOCIAUX : ENTRE MODÉRATION ET CENSURE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 316
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 317
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 318
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 319
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 320
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 321
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 322
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 323
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 324
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 325
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - INTERVIEW PRÉVENIR LES DÉRIVES DES PROJETS INFORMATIQUES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 327
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 328
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 329
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - CYBERCRIMINALITÉ : RÉSEAUX ET «BOTS» SOCIAUX, DU MEILLEUR ATTENDU AU PIRE À CRAINDRE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 331
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 332
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 333
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 334
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 335
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - SECRET D’AFFAIRES : TOUT EST QUESTION DE MESURE !
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 337
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 338
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 339
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 340
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 341
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 342
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 343
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 344
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - CYBERSÉCURITÉ : LA DIRECTIVE SRI, VERS UN CADRE HARMONISÉ ?
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 346
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - DONNÉES PERSONNELLES : L’IMPACT DU GDPR SUR LES ÉDITEURS DE LOGICIEL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 348
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 349
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - DROIT SOCIAL : LE SMS DANS LE CONTENTIEUX PRUD’HOMAL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 351
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Octobre 2016 - n°417 - 352
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com