La directive NIS : un texte majeur

Au niveau national, la directive requiert notamment l’établissement d’une stratégie cybersécurité et la mise en place d’un CSIRT ainsi que d’une autorité en charge de ces sujets. Pour les entreprises, elle introduit deux volets d’obligation pour deux types d’acteurs :

• Les Opérateurs de Services Essentiels doivent mettre en œuvre des mesures techniques et organisationnelles pour gérer les risques menaçant la sécurité des réseaux et et des systèmes d’information
• Les Fournisseurs de Services Numériques sont tenus de notifier les incidents de sécurité à l’autorité compétente

La nécessité d’orientations fortes et communes

La directive NIS est le pendant sécurité de la stratégie européenne du Marché Unique Numérique, lancée en 2015, qui vise à faire du numérique un moteur de la croissance : la confiance des entreprises et des consommateurs est indispensable pour ce projet, car sans confiance, pas de croissance !

Les pays européens sont de plus en plus dépendants du numérique et des systèmes d’information, et leurs réseaux sont de plus en plus reliés. Et cette interconnectivité fait leur force comme leur faiblesse, puisque le niveau de sécurité d’un système d’information est équivalent à celui de son point le plus faible.

Or, on observe une très forte hétérogénéité entre les Etats Membres au regard de ces enjeux, étant donné que la prise en charge de la cybersécurité se faisait jusqu’ici au niveau national.

C’est à ce risque systémique que l’Europe cherche à remédier avec la directive NIS. Il s’agit de la première législation européenne régissant les pratiques cybersécurité de façon cross-sectorielle.

Elle se démarque des textes spécifiques à une problématique particulière, tels que le GDPR. Souvent associé à la directive NIS, il n’a pourtant pas les mêmes objectifs puisqu’il se concentre sur le seul périmètre de la protection des données personnelles tandis que la directive vise à assurer un certain niveau de cybersécurité via la définition de standards de sécurité et la notification des incidents (qu’ils touchent à des données personnelles ou non). Reste qu’une cyber-attaque mettra souvent en jeu les deux domaines, et qu’il fait donc sens de ne pas considérer ces deux textes séparément lors de la mise en conformité.

Un processus de transposition déjà engagé

Le texte étant une directive et non un règlement, il est nécessaire que chaque Etat Membre transpose ces orientations dans son cadre législatif national.

De nombreux pays ont déjà annoncé des premières mesures s’inscrivant dans le cadre de la directive :

• Le Royaume-Uni a confirmé son intention de transposer le texte malgré le Brexit ; le montant des pénalités prévues dans le texte vient d’être communiqué et celles-ci sont particulièrement importantes
• La Pologne a annoncé l’ouverture d’un nouveau centre national dédié à la cybersécurité (NC Cyber) ;
• La Belgique a présenté six mesures phares pour renforcer la cybersécurité, à la suite de WannaCry, cyberattaque mondiale qui a paralysé de nombreuses entreprises le mois dernier ;
• La République Tchèque a amendé sa loi cybersécurité pour prendre un compte plus de secteurs critiques et se conformer aux exigences de la directive ;
• L’Italie a révisé son Plan National pour la Cyber Protection et la Sécurité Digital, en accord avec les orientations données par la directive ;
• La Croatie a mis en place un groupe de travail pour préciser les modalités de transposition de la directive ;
• La Suède a d’ores et déjà fourni des détails sur la transposition, tels que l’ordre de grandeur des pénalités applicables, ou encore les entités responsables de la mise en œuvre.

Sur un certain nombre d’aspects, le texte est très peu directif et fixe des objectifs sans imposer de moyens. Il est du ressort de chaque pays de travailler à l’interprétation et de définir des mesures plus concrètes permettant l’atteinte de ces objectifs.

L’enjeu est donc d’atténuer l’hétérogénéité entre les pays européens et de parvenir à lisser le niveau de cybersécurité en limitant les écarts trop importants, afin de réduire la complexité de mise en conformité pour les acteurs présents dans plusieurs pays.

Pour ce faire, une collaboration structurée s’organise à l’échelle de l’UE :

• Une révision du mandat de l’ENISA, l’agence européenne en charge de la sécurité des réseaux et de l’information, est à l’étude, avec entre autres l’objectif de lui donner la latitude nécessaire à l’accomplissement des missions relatives à la directive ;
• Un Groupe de Coopération, composé de représentants nationaux ainsi que de l’ENISA et la Commission Européenne, donnera des orientations stratégiques ;
• Un réseau de CSIRT s’organise aussi, et sera en mesure d’assurer la communication et l’échange de bonnes pratiques, ainsi que d’appuyer les Etats Membres pour les sujets relatifs à la directive.

Comment se préparer à l’arrivée de la directive ?

Concrètement, comment anticiper dès maintenant ce nouveau texte et quel plan d’actions déployer ? Cela dépend en pratique du type de structure (OSE ou FSN).

Concernant les fournisseurs de service numériques (FSN), une approche harmonisée est requise : les Etats Membres ne peuvent pas imposer d’autres exigences liées à la sécurité ou aux notifications, et en ce sens, la directive se rapproche d’un règlement pour ce type d’acteur. Cette singularité par rapport aux OSE provient du caractère transfrontalier de leurs activités et du fait que beaucoup sont des entreprises étrangères non implantées sur le territoire européen, qui devront désigner un représentant basé dans un Etat Membre pour être l’interlocuteur attitré concernant les questions liées à NIS (Article 18 de la directive). Il est donc essentiel que chaque pays impose les mêmes obligations, dans l’objectif d’éviter que le choix du pays d’implantation ne soit orienté par ce critère.

Les obligations pour les FSN sont d’ailleurs un peu moins contraignantes : par exemple, ils ne sont dans l’obligation de notifier un incident que s’ils ont accès aux informations nécessaires pour évaluer son impact au regard des critères définis dans la directive (Article 16).

D’ici le 9 août prochain, la Commission Européenne publiera les actes d’exécution et il sera alors possible de commencer le processus de mise en conformité.

Pour les Opérateurs de Services Essentiels (OSE), en France, il y a deux principaux cas de figure.

D’abord, les opérateurs déjà identifiés comme OIV, opérateurs d’importance vitale, dans le cadre de la Loi de programmation militaire française (LPM). Pour eux, l’enjeu de mise en conformité est moins significatif, puisque la LPM introduit déjà de nombreuses obligations ; la directive n’en introduira probablement pas de plus exigeantes. Quelques éléments tels que le reporting pourraient être à adapter, mais il n’y a pas de changement majeur à prévoir.

Toutefois le périmètre de la directive est susceptible d’être plus large que celui de la LPM, et certains opérateurs des secteurs critiques définis par chaque Etat devront alors commencer leur mise en conformité. Les Etats Membres ont jusqu’à novembre 2018 pour désigner les OSEà partir des critères définis dans le texte. La liste des opérateurs désignés sera ensuite passée en revue par la Commission Européenne en mai 2019.

Les structures concernées devront ensuite mettre en place une veille juridique pour suivre l’évolution du processus de transposition, puisque pour les OSE, les Etats Membres sont en droit d’imposer des mesures allant au-delà du socle commun défini par la directive.

Beaucoup de chantiers restent maintenant à mener par les Etats Membres : spécification des mesures de sécurité à mettre en place, définition des procédures de notification, sanctions applicables, sans oublier la désignation des secteurs critiques et des OES par chaque pays.

On assiste ainsi à un véritable renouveau du paysage législatif de la cybersécurité en Europe visant avant tout à homogénéiser le niveau de sécurité des SI entre états membres, dont il sera intéressant de suivre l’évolution.

Cet article Directive NIS : quels enjeux et comment s’y préparer ? est apparu en premier sur RiskInsight.

Concernant les comptes bancaires inactifs, la loi renforce les obligations des professionnels à l’égard des épargnants (principalement par une obligation d’information) et prévoit le plafonnement des frais prélevés par les banques.

La loi met alors en place un dispositif en trois temps : constatation du caractère inactif du compte bancaire ; dépôt des fonds à la Caisse des Dépôts et Consignations (CDC) à l’issue d’un délai variable; et transfert des sommes à l’État en application de la prescription trentenaire.

Les principales dispositions prévues par la loi

Pour être considéré comme inactif, le compte bancaire ne doit faire l’objet d’aucune opération, (à l’exception des inscriptions d’intérêts et débits par l’établissement tenant le compte, de frais et commissions de toutes natures ou versements de produits, ou remboursements de titres de capital ou de créance), à l’initiative de son titulaire (ou personne habilitée).

Le titulaire ne doit pas non plus s’être manifesté et doit n’avoir effectué aucune autre opération sur un autre compte ouvert à son nom dans l’établissement pendant 12 mois.

Ce délai est porté à 5 ans (à compter du terme de la période d’indisponibilité) pour les comptes titres, comptes sur livret, produits d’épargne réglementée, bons de caisse et comptes à terme et à 10 ans pour les coffres forts (sous réserve que les frais de location n’aient pas été payés au moins une fois sur cette période).

En cas de décès du titulaire du compte, le compte bancaire est également considéré comme inactif si, 12 mois après le décès, les héritiers ne se sont pas manifestés.

La consultation du RNIPP obligatoire

Les établissements concernés doivent consulter chaque année le répertoire national d’identification des personnes physiques (RNIPP) afin de s’assurer que l’inactivité d’un compte n’est pas liée au décès du titulaire.

Ce répertoire est constitué à partir des registres d’état-civil et recense notamment les décès des personnes nées en France et dans les collectivités d’outre-mer.

Les modalités de cet accès doivent encore être précisées par un décret en Conseil d’État.

Les frais prélevés sur les comptes inactifs bientôt encadrés ?

La loi prévoit que le plafond des frais prélevés sur les comptes inactifs sera fixé par décret en Conseil d’État.

Quelles modalités de transfert des avoirs inscrits sur les comptes inactifs à la Caisse des Dépôts et Consignations ?

Si le transfert est déjà possible, il n’est pas obligatoire. Ainsi, selon la CDC, 29 millions d’euros seulement ont été transférés dans ce cadre entre 2006 et 2012.

La loi Eckert prévoit que 10 ans après la dernière opération ou la dernière manifestation (3 ans en cas de décès), les avoirs des comptes inactifs sont transférés à la CDC.

Ce n’est que 30 ans après la dernière opération, la dernière manifestation ou la date du décès, que les sommes sont définitivement acquises par l’État.

Le transfert à la CDC du produit de la liquidation des avoirs en instruments financiers s’effectue dans les 3 mois qui suivent l’expiration des périodes de 3 ou 10 ans. La CDC doit alors organiser une publicité appropriée pour permettre au propriétaire des avoirs ou à ses ayant droit de les récupérer. (Informations et documents d’identification du titulaire à conserver par l’établissement).

Devoir d’information

Six mois avant le transfert des avoirs à la CDC, l’établissement doit informer, par tout moyen, le titulaire (ou personne habilitée) du constat et des conséquences liées à l’inactivité du compte.

Néanmoins, et contrairement aux assureurs, les établissements n’auront pas l’obligation de rechercher les ayant droit, une fois informés du décès d’un client.

Ils devront publier annuellement le nombre de comptes inactifs ouverts dans leurs livres, le montant total des dépôts et avoirs inscrits sur leurs comptes, ainsi que le nombre de comptes et le montant des avoirs transférés à la CDC. En effet, les notaires obtiennent des informations auprès de la CDC.

Les conséquences de la loi

Vers une harmonisation des pratiques ?

Si les établissements adoptent déjà leur propre définition de l’inactivité et facturent pour la plupart des frais de tenue de compte inactif, (68,75 euros par an en moyenne au 1er juin 2014 dans les 20 principales enseignes facturant ce service), la loi Eckert vient harmoniser la pratique en instaurant une nouvelle approche et imposant de nouvelles obligations aux établissements.

La loi vient notamment instaurer un délai commun et obligatoire dès son entrée en vigueur en 2016.

C’est pourquoi certains comptes considérés aujourd’hui comme inactifs et facturés en conséquence ne le seront bientôt plus au sens de la loi. Des zones d’ombre apparaissent alors et seront éclairées par un décret d’application.

Les établissements devront non seulement adapter leur tarification, mais aussi faire l’inventaire des comptes inactifs qu’ils détiennent déjà, et à l’égard desquels ils auront bientôt de nouvelles obligations.

Anticiper les contrôles de l’ACPR ?

Dans la mesure où l’ACPR a effectué de très nombreux contrôles, lourds de conséquences, pour les assureurs, il est légitime d’attendre des contrôles similaires dans le secteur bancaire. La question de la mise à jour des bases et référentiels client et du traitement des NPAI est donc à anticiper sans trop attendre…

Cet article Loi Eckert : comment lutter contre l’argent qui dort ? est apparu en premier sur RiskInsight.

Fin 2009, le ministère marocain de l’Industrie, du Commerce et des Nouvelles Technologies a lancé un vaste programme visant à développer l’usage de la technologie numérique au sein du royaume. Celui-ci a conduit notamment à une informatisation croissante des PME et de l’administration et à une meilleure accessibilité de la population à Internet.

En parallèle de cela, les dispositifs législatifs communautaires contraignent fortement l’échange de données entre l’Europe et ses voisins, complexifiant  le développement d’activités d’offshoring au Maroc.

Il devenait donc indispensable, d’une part, d’apporter au citoyen les garanties indispensables face à une hausse de l’informatisation et aux inquiétudes que cela peut générer (atteintes à la vie privée, spams commerciaux, etc.), et, d’autre part, de constituer un terrain favorable à l’afflux de capitaux internationaux.

C’est là tout l’objet de la loi 09-08 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel, équivalent marocain de la Loi Informatique et Libertés française.

Pour les entreprises, outre le respect d’une nouvelle obligation légale, il s’agit dès lors de maintenir puis faciliter les échanges avec ses partenaires européens et de protéger son image, voire de faire de son souci de la protection de la vie privée un véritable atout concurrentiel.

Que dit cette loi ?

Afin de faciliter sa reconnaissance par l’Union Européenne, le législateur marocain s’est grandement inspiré des textes communautaires et en particulier français en la matière. On retrouve ainsi dans ce texte les mêmes principes que dans ses homologues européens :

• Un traitement de données à caractère personnel doit avoir une finalité précise, à laquelle il convient de se tenir, et une durée de mise en œuvre limitée, en fonction de la finalité. Un strict principe de proportionnalité doit ainsi être respecté : seules les données permettant l’atteinte de la finalité fixée doivent être manipulées.
• Les traitements doivent faire l’objet d’une déclaration ou d’une demande d’autorisation, en fonction de leur sensibilité.
• Ils doivent être sécurisés, en particulier pour éviter tout vol ou fuite de données.
• Ils doivent être mis en œuvre en toute transparence. Les personnes concernées doivent être informées et ont un droit de regard sur l’utilisation de leurs données.

Une commission dédiée, la Commission Nationale de contrôle de la protection des Données à caractère Personnel (CNDP) est ainsi instaurée pour assurer le respect de cette loi.

Cette similarité des principes entraine bien sûr les mêmes difficultés pratiques, en particulier liées au champ d’application extrêmement étendu des définitions : la grande majorité des traitements mis en œuvre par les entreprises et administrations s’avèrent en effet être des traitements de données à caractère personnel.

Quelles conséquences concrètes pour les entreprises marocaines ?

Les entreprises marocaines ne disposent plus aujourd’hui que d’un lapse de temps réduit pour mettre en conformité l’ensemble de leurs pratiques. De manière concrète, elles ont un certain nombre d’actions à réaliser. Elles doivent ainsi inventorier l’ensemble des traitements, effectuer les évolutions nécessaires, notamment pour respecter le principe de proportionnalité, réaliser les déclarations, faire un bilan de sécurité et lancer les actions nécessaires, y compris auprès des sous-traitants, mettre en œuvre les modalités d’information des personnes, etc. Un terme devra de plus sans doute être mis à un certain nombre de pratiques de démarchage, celui n’étant plus autorisé que dans un cadre précis.

Au-delà de ce projet de mise en conformité, il conviendra sans doute de refondre un certain nombre de processus de l’entreprise, notamment les processus projet, et ainsi d’assurer un maintien dans le temps du niveau de conformité atteint.

D’ores et déjà, la réflexion est plus qu’amorcée au sein de nombreux organismes. Sous la pression d’un grand public de plus en plus averti et d’un paysage concurrentiel de plus en plus mature, le niveau d’exigence en matière de conformité ne fera que croître.

Par ailleurs, au fur et à mesure que la pédagogie laissera place à la sanction, il est fort à parier que les exigences de la loi iront en se durcissant. Par conséquent, bien plus que de se mettre en conformité à une nouvelle loi, il s’agit de se familiariser dès aujourd’hui, à son rythme, avec ce qui permettra demain de répondre à des impératifs bien plus grands et bien plus pressants.

Cet article Protection des données à caractère personnel : le Maroc renforce son arsenal juridique (avec la Loi 09-08) est apparu en premier sur RiskInsight.