Cyberrésilience : le Conseil de l’UE propose d’exclure les logiciels en tant que service de la nouvelle législation
Un nouveau texte du Conseil de l’UE place les logiciels en tant que service (Software-as-a-Service, SaaS) en dehors du champ d’application de la loi sur la cyberrésilience, alors que la Commission a précisé que la base juridique ne le permettait pas.
Un nouveau texte du Conseil de l’Union européenne place les logiciels en tant que service (Software-as-a-Service, SaaS) en dehors du champ d’application de la loi sur la cyberrésilience, alors que la Commission européenne a précisé que la base juridique ne le permettait pas.
La loi sur la cyberrésilience (Cyber Resilience Act) est une proposition législative qui introduit des exigences essentielles en matière de cybersécurité pour les produits connectés. Déterminer dans quelle mesure ces obligations s’appliqueraient également aux logiciels a fait l’objet de discussions politiques au sein du Conseil de l’UE.
Certains États membres du bloc ont également demandé l’inclusion des logiciels en tant que service (SaaS), qui regroupent des services en ligne tels que Netflix et Google Workspace hébergés sur l’infrastructure cloud des fournisseurs.
Un nouveau texte de la présidence tchèque de l’UE daté du 2 décembre et que nous avons pu consulter a mis à jour une version précédente du texte, mentionnée par EURACTIV il y a deux semaines. Ce nouveau texte place les SaaS en dehors du champ d’application du règlement.
Le projet de loi a notamment été reformulé pour ne s’appliquer qu’aux solutions de traitement des données à distance reposant sur des logiciels ou du matériel prenant en charge le fonctionnement d’un appareil connecté.
« Les solutions de SaaS ne constituent des solutions de traitement de données à distance au sens du présent règlement que si elles répondent à cette définition. Par exemple, les services de cloud conçus et développés en dehors de la responsabilité d’un fabricant d’un produit comportant des éléments numériques n’entrent pas dans le champ d’application du présent règlement », peut-on lire dans le texte.
Un champ d’application précisé
En d’autres termes, la loi sur la cyberrésilience ne s’appliquerait que si une application était explicitement créée pour prendre en charge un produit connecté. C’est par exemple le cas d’un pèse-personne intelligent, car l’application relève de la responsabilité du fabricant du produit.
La volonté de maintenir les SaaS en dehors des nouvelles règles de cybersécurité est cohérente avec les déclarations du commissaire européen au Marché intérieur, Thierry Breton, qui avait déclaré lors de la réunion du Conseil « Télécommunications » de mardi que les logiciels en tant que service étaient déjà couverts par la directive SRI2 (sécurité des réseaux et de l’information).
Il a également ajouté que l’intégration de ces services dans la loi sur la cyberrésilience constituerait un défi juridique en raison de la base juridique sur laquelle repose la proposition.
Le compromis explique également que les sites web ne constitueraient pas les solutions de traitement des données à distance des navigateurs web. En effet, ceux-ci ne sont pas développés sous la responsabilité du fabricant du navigateur, et l’absence d’un site web individuel n’empêcherait pas le navigateur de fonctionner.
Inclure les sites web dans le champ d’application aurait été très peu pratique pour évaluer leur conformité aux exigences de cybersécurité de l’UE.
Les discussions continuent
« Avec le texte actuel, il est difficile pour les entreprises de voir si le règlement couvre leurs produits. Il faudrait travailler davantage pour éviter l’insécurité juridique. De plus, des discussions supplémentaires pourraient être nécessaires pour savoir dans quelle mesure les services devraient et pourraient être inclus », a déclaré Alexandra van Huffelen, secrétaire d’État néerlandaise au Numérique, lors de la réunion ministérielle.
La Haye a été la première à réclamer l’inclusion des SaaS dans le champ d’application. Avant même la publication de la proposition, les Pays-Bas, le Danemark et l’Allemagne ont rédigé un document officieux en faveur d’une telle inclusion.
L’exclusion des SaaS serait accueillie avec un immense soulagement par une grande partie du secteur. Toutefois, bien que le texte semble aller dans cette direction, la question du champ d’application est encore loin d’être réglée. En effet, les représentants nationaux tentent toujours de comprendre comment les nouvelles règles s’intégreraient dans un environnement informatique complexe.
« C’est encore un peu flou à ce stade », a déclaré un diplomate européen à EURACTIV. « Nous espérons tous davantage de discussions à ce sujet. »
Ainsi, si un site web devient connecté à une application par le biais d’une interface de programmation d’applications (application programming interface, API), l’application entrerait dans le champ du règlement, ce qui ne serait pas le cas du logiciel lui-même en raison de l’exclusion de responsabilité.
Sécurité nationale
La révision concerne également la partie qui exclut les questions de sécurité nationale, une compétence jalousement conservée par les États membres.
Un nouveau paragraphe a été ajouté. Ce dernier indique que les États membres ne doivent pas mettre en place d’obstacles susceptibles d’empêcher les produits connectés d’être introduits et de circuler sur le marché unique de l’UE. Les restrictions ne peuvent porter que sur des facteurs non techniques, conformément à la législation européenne.
La capacité des États membres à introduire des exigences de sécurité supplémentaires pour les produits de l’Internet des objets (IDO) destinés à des fins militaires, de défense ou de sécurité nationale a été maintenue avec des modifications mineures. Il en va de même pour l’exemption de partage des informations qui pourraient être utilisées contre les intérêts essentiels de sécurité des pays de l’Union.
[Édité par Anne-Sophie Gayet]
