Selon une étude récente, 98 % des start-ups Fintech sont cyber-vulnérables, en particulier en raison de leur non-conformité aux règles du RGPD (Règlement général européen sur la protection des données personnelles) entré en vigueur depuis le 25 mai 2018.
Ce faible résultat semble étonnant. En effet, il convient de rappeler que le RGPD, ainsi que la Loi Informatique & Libertés dans sa dernière version en vigueur1, imposent des exigences en matière de sécurité des traitements2 à toutes les organisations, aussi bien les administrations que les entreprises.
Sur ce point, la sécurité des applications Web et mobiles, très souvent fournies par des start-ups est un élément important du processus de conformité en matière de protection des données. Ainsi les données personnelles doivent-elles être traitées de manière à assurer une « sécurité appropriée »3. Par « sécurité appropriée » il convient d’entendre notamment la protection contre tout traitement non autorisé ou illicite et contre toute perte, destruction ou détérioration accidentelle, au moyen de mesures techniques ou organisationnelles adéquates en matière d’intégrité et de sécurité, pour la protection des données auxquelles ces mesures se rattachent.
Prolongeant ce dispositif visant les données personnelles, le Règlement européen sur la cybersécurité ambitionne d’améliorer la sécurité des produits TIC, services TIC et processus TIC en renforçant la confiance qui leur est accordée notamment par le biais de la certification.
Ce nouveau Règlement européen qui s’ajoute au RGPD est entré en vigueur le 28 juin 2019, sauf en ce qui concerne les dispositions relatives aux organismes de certification et au droit de recours contre l’émetteur d’un certificat dont l’entrée en vigueur est fixée au 28 juin 20214.
Il poursuit l’objectif général d’améliorer la cybersécurité dans l’Union européenne pour toutes les organisations, au-delà des seuls fabricants ou fournisseurs, des start-ups ou des Fintech. Il vise à généraliser, en particulier par le biais de la certification, la sécurité par défaut et la sécurité dès la conception pour les produits, services ou processus TIC (security by design).
Ainsi, le fabricant ou le fournisseur de produits TIC, services TIC ou processus TIC certifiés ou de produits TIC, services TIC et processus TIC pour lesquels une déclaration de conformité de l’Union européenne aura été délivrée devra mettre à la disposition du public des informations supplémentaires en matière de cybersécurité5 .
Il s’agira notamment d’une mention relative aux répertoires en ligne recensant les vulnérabilités publiquement divulguées liées au produit TIC, service TIC ou processus TIC ainsi que tout conseil pertinent en matière de cybersécurité6.
Chaque autorité nationale de certification de cybersécurité disposera du pouvoir d’imposer des sanctions conformément au droit national, comme le prévoit l’article 65 du Règlement européen sur la cybersécurité ainsi que d’exiger la cessation immédiate des violations des obligations énoncées dans ce Règlement.
Qu’il s’agisse de la qualification des incidents de sécurité, ou de l’évaluation des impacts juridiques d’une faille de sécurité, il est indispensable pour les organisations, en particulier pour les starts-up et les Fintech, d’être accompagnées sur ces enjeux juridiques. Pour les administrations ou les établissements publics, aussi bien que pour les entreprises du secteur privé, y compris les plus innovantes, il est incontournable d’anticiper ces exigences, afin de ne pas confondre les régimes et de s’assurer d’une coexistence harmonieuse et effective des règles et principes tant en matière de cybersécurité que de protection des données.
1 Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. A la suite de l’ordonnance n° 2018-1125 du 12 décembre 2018, publiée le 13 décembre 2018 et depuis le 1er juin 2019, la loi du 6 janvier 1978, dite « Informatique et Libertés », est en vigueur dans une nouvelle rédaction conforme au RGPD
2 Sécurité des traitements de données personnelles : article 32 du RGPD et article 4.6 de la Loi Informatique & Libertés dans sa dernière version en vigueur
3 Article 5, Section 1(f) du RGPD et article 4.6 de la Loi Informatique & Libertés dans sa dernière version en vigueur
4 Articles 58, 60, 61, 63, 64 et 65 du Règlement européen sur la Cybersécurité
5 Article 55 du Règlement européen sur la Cybersécurité, concernant les informations supplémentaires en matière de cybersécurité pour les produits TIC, services TIC et processus TIC certifiés
6 Article 58 du Règlement européen sur la Cybersécurité, concernant les autorités nationales de certification de cybersécurité