L’essentiel :

1. La CNIL accueille favorablement le renforcement général du niveau de sécurité des systèmes d’information et estime qu’il peut être de nature à converger avec les principes de la protection des données à caractère personnel.

2. Concernant les entités importantes, la CNIL appelle toutefois l’attention sur le risque de disparités entre les exigences de sécurité découlant des principes de la protection des données et celles relatives aux obligations de la directive NIS 2. Elle souligne qu’un travail d’harmonisation pourra également être nécessaire concernant les sanctions encourues par ces entités, pour lesquelles les dispositions du projet de loi et de la loi Informatique et Libertés divergent.

3. La mise en œuvre de la directive NIS 2 sur le territoire national nécessite une coopération importante des autorités ayant des compétences en termes de cybersécurité, en particulier en ce qui concerne les échanges d’informations entre ces autorités.

4. Le renforcement des pouvoirs de contrôle et de sanction de l’ANSSI, prévu par la directive NIS 2, implique également une coordination accrue avec la CNIL, à laquelle cette dernière est favorable. La CNIL préconise que le projet de loi prévoit un mécanisme d’orientation préalable des poursuites vers la Commission des sanctions de l’ANSSI ou vers la CNIL afin d’écarter tout cumul de sanctions pour des manquements identiques.

­­­­­­­­­­­­­­­­­­­­­­­­­­­­___________________

La Commission nationale de l’informatique et des libertés,

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (« loi informatique et libertés ») ;

Après avoir entendu le rapport de M. Fabien Tarissan, commissaire, et les observations de M. Damien Milic, commissaire du Gouvernement,

Adopte la délibération suivante :

I. La saisine

A. Le contexte

La directive n° 2016/1148 pour la " sécurité des réseaux et de l’information « du 6 juillet 2016 (ci-dessous » directive NIS ") formalise, au niveau de l’Union européenne, des exigences minimales communes en matière de cybersécurité. Elle fut transposée en droit français par la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.

Face à l’accroissement du risque cyber, et dans l’objectif d’accompagner la transformation numérique, la directive n° 2022/2555 (ci-dessous « directive NIS 2 ») a été adoptée le 14 décembre 2022 avec l’ambition d’améliorer la cyberrésilience de l’Union. Alors que la directive NIS ne concernait qu’environ 500 opérateurs régulés en France et ne couvrait que six secteurs d’activité stratégiques, NIS 2 élargit le champ d’application des exigences en termes de cybersécurité à près de 15 000 entités opérant en France dans dix-huit secteurs d’activité. Cette extension permet de couvrir un plus grand nombre d’acteurs, en cohérence avec les constats de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) dans son rapport « Panorama de la cybermenace 2022 » (janvier 2023), montrant que 63% des victimes de rançongiciels en 2021 et 2022 étaient des petites ou moyennes entités (PME, TPE, ETI, collectivités territoriales).

B. L’objet de la saisine

La CNIL a été saisie pour avis, sur le fondement du e) du 2° du I de l’article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée, du projet de loi relatif à la résilience des activités d’importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier. Le titre II du projet de loi, dite « Résilience », sur lequel les observations de la CNIL portent, vise la transposition nationale au niveau législatif de la directive NIS 2.

En particulier, le projet de loi :

• désigne l’ANSSI comme autorité compétente chargée de la cybersécurité au niveau national, au sens de la directive NIS 2 ;
• prévoit le champ d’application des exigences de sécurité des systèmes d’information ;
• organise une coopération entre l’ANSSI et les différentes autorités nationales et européennes possédant une compétence en matière de cybersécurité, dont la CNIL ;
• encadre les pouvoirs de contrôle et de sanction de l’ANSSI pour la recherche des manquements aux exigences de la directive NIS 2.

II. L’avis de la CNIL

À titre liminaire :

• la CNIL accueille favorablement le changement de paradigme en termes de cybersécurité qu’introduit la directive NIS 2 et sa transposition en droit français. Elle estime que le principe de sécurisation des traitements de données à caractère personnel applicable à tous les organismes publics et privés converge directement avec le souci d’améliorer le niveau de cybersécurité des acteurs sur un périmètre significativement plus large que celui couvert par la directive NIS ;
• dans cette optique, la mise en œuvre de la directive NIS 2 appelle à étendre le champ de la coopération, déjà approfondie, entre l’ANSSI et la CNIL, afin d’offrir aux entités concernées un cadre cohérent entre la directive et les exigences de sécurité issues du RGPD, sur les plans de l’accompagnement et de l’action répressive ;
• concernant l’innovation dans le domaine de la cybersécurité, la CNIL souligne que de nombreuses technologies, dont la directive conduit à encourager le développement, œuvrent en faveur à la fois de la cybersécurité des entités et de l’amélioration de la protection des données à caractère personnel. Cependant, la portée de ces technologies doit s’analyser de manière plus large que sur la seule obligation de sécurité du RGPD et concilier cette préoccupation avec les autres principes de protection des données. La recherche, le développement et le déploiement de telles technologies doivent donc se faire dans une démarche conforme à la protection des données dès la conception ;
• concernant la lisibilité et l’intelligibilité des exigences en termes de cybersécurité, la CNIL observe qu’il existe un risque de confusion pour les opérateurs du fait de l’existence de multiples textes dont les champs d’application et la portée des obligations se superposent. À titre d’illustration, les dispositions de la directive NIS 2 devront coexister avec celles prévues par le Cyber Resilience Act (CRA), visant à assurer un niveau de cybersécurité minimal pour les composants numériques utilisés dans le marché intérieur de l’Union, ou avec le volet cyber de la loi de programmation militaire pour les années 2024 à 2030 concernant la sécurité des " opérateurs d’importance vitale " au niveau national. À cet égard, l’administration précise qu’une stratégie d’harmonisation et de simplification des normes de cybersécurité applicables sera mise en œuvre. La CNIL accueille favorablement une telle stratégie et estime qu’elle devrait inclure les exigences spécifiques découlant des principes de la protection des données.

A. Sur le champ d’application

Par comparaison avec la directive NIS, le nombre d’entités soumises aux obligations de cybersécurité est sensiblement augmenté par le champ d’application de la directive NIS 2. L’article 6 de la section 2 du projet de loi transpose les dispositions relatives au champ d’application de cette directive en introduisant dans le droit national la notion d’" entités importantes ", pour lesquelles un seuil d’exigences en matière de cybersécurité sera fixé, ainsi que la notion d’" entités essentielles ", dont le nombre sera a priori plus limité et qui devront répondre à un niveau d’exigences renforcé au regard de la criticité de leur activité.

La CNIL accueille favorablement le renforcement général du niveau de sécurité des systèmes d’information des entités nouvellement soumises aux exigences de la directive NIS 2. Elle rappelle que celles-ci sont soumises aux obligations prévues par le RGPD, auxquelles la directive NIS 2 ne déroge pas (paragraphe 12 de l’article 2 de cette dernière).

Elle relève que les marges de manœuvre nationales ouvertes par la directive NIS 2, en application de ses articles 2 et 3, relèvent des textes réglementaires. Sur le principe, la CNIL estime souhaitable que ces marges de manœuvre soient mises à profit pour que le champ des acteurs soumis aux exigences de cybersécurité introduites par la directive NIS 2, en particulier en ce qui concerne les " entités importantes ", soit le plus étendu possible. Le texte consoliderait ainsi les obligations qui pèsent déjà sur ces acteurs dès lors qu’ils traitent des données à caractère personnel.

Les annexes première et deuxième de la directive NIS 2 listent les secteurs et les types d’entités entrant dans son champ d’application.

La CNIL remarque que les définitions de certains types d’entités concernées par les exigences de la directive NIS 2 gagneraient à être clarifiées, et ce, afin d’assurer la conformité et la sécurité juridique de ces entités. Ce serait par exemple le cas du secteur de l’alimentation pour la " distribution en gros ". L’administration précise que des consultations de l’écosystème (fédérations professionnelles et prestataires de confiance, en particulier) ont d’ores et déjà été engagées afin d’assurer une telle clarification du champ d’application de la directive NIS 2.

B. Sur les référentiels d’exigences techniques et opérationnelles

Le II de l’article 9 du projet de loi prévoit que les entités listées au I du même article devront se conformer à un " référentiel d’exigences techniques et organisationnelles " visant à décliner les obligations juridiques formalisées par la directive NIS 2 en exigences pratiques. En application du I de l’article 10 du projet de loi, le référentiel est également mis en œuvre par les opérateurs, publics ou privés, responsables de systèmes d’information d’importance vitale, au sens du 2° du nouvel article L. 1332-1 du code de la défense. Les entités concernées pourront se prévaloir du respect de ce référentiel devant l’ANSSI.

La CNIL constate, au titre du II de l’article 9 du projet de loi, qu’un décret en Conseil d’Etat détermine les conditions d’élaboration, de modification et de publication d’un tel référentiel. Compte tenu de la superposition des principes de la protection des données découlant du RGPD et des normes de cybersécurité nouvellement introduites par la directive NIS 2, il apparaît opportun de faciliter leur mise en œuvre conjointe par les entités concernées. La CNIL estime nécessaire d’articuler les exigences de cybersécurité découlant de la directive NIS 2 avec celles relatives à la protection des données. Par exemple, si le référentiel ne prévoyait pas d’exigence de journalisation, dans certains cas, pour les entités régulées, il resterait cependant possible qu’une telle journalisation soit nécessaire au titre de la recommandation de la CNIL relative aux mesures de journalisation dès lors que des données à caractère personnel sont traitées. Le principe d’une telle articulation, qui interviendra en pratique dans l’élaboration du référentiel pour laquelle la CNIL se tient à la disposition de l’ANSSI, devrait être prévu par l’une des dispositions du décret en Conseil d’Etat susmentionné.

De plus, elle observe que les exigences de la directive NIS 2 sont susceptibles de s’appliquer à des acteurs dont l’activité est déployée dans plusieurs pays de l’Union européenne. En particulier, certains fournisseurs de services numériques ayant une activité en France ne seront pas couverts par les exigences issues de la transposition nationale de la directive, notamment dans le cas où ils sont établis dans un autre Etat membre. Dans ce cadre, l’harmonisation des mesures techniques, opérationnelles et organisationnelles entre les Etats-membres de l’Union européenne constitue un point d’attention important.

C. Sur la coopération entre l’ANSSI et d’autres entités, dont la CNIL

L’article 17 du projet de loi prévoit des échanges d’informations entre l’ANSSI et un certain nombre d’autorités, dont la CNIL, aux fins de l’accomplissement de leurs missions respectives, à l’exception des informations dont la communication porterait atteinte à la sécurité publique, à la défense et la sécurité nationale ou à la conduite des relations internationales. Le secret de la procédure et de l’instruction pénales, au titre de l’article 11 du code de procédure pénale, de même que les autres secrets protégés par la loi, ne font pas obstacles à de telles communications.

La CNIL est favorable à tout échange d’informations pertinentes en matière de cybersécurité, qu’il s’agisse d’éléments techniques ou de procédures utiles à la réalisation des missions respectives de chaque entité, tels que la notification d’incidents, la recherche et le constat de manquements ainsi que la suite qui leur est donnée. Elle précise que l’échange de documents serait également opportun. Un tel cadre d’échange sera bénéfique à l’ensemble des parties prenantes aux problématiques de cybersécurité et permettra d’amplifier la collaboration entre la CNIL et l’ANSSI en la matière.

Le I de l’article 11 du projet de loi prévoit une obligation de notification de l’ANSSI par les entités concernées lorsque celles-ci subissent un " incident ayant un impact important sur la fourniture de leurs services. ". Le II de l’article 14 prévoit que l’ANSSI peut, après avoir consulté l’entité concernée, " exiger de l’entité qu’elle informe le public de l’incident ou le faire elle-même. ".

En application des articles 58, 83 et 102 de la loi n° 78-17 du 6 janvier 1978 modifiée et de l’article 33 du RGPD, un responsable de traitement peut être dans l’obligation de notifier une violation de données à caractère personnel à la CNIL, voire aux personnes concernées en cas de risque élevé pour ces dernières. Ainsi, une violation de données à caractère personnel pourrait également être de nature à caractériser un " incident ayant un impact important sur la fourniture de[s] services [d’une entité]", au sens de la directive NIS 2 et du projet de loi.

À ce titre, la CNIL observe que le premier alinéa de l’article 35 de la directive NIS 2, qui entraînerait que l’ANSSI " informe sans retard injustifié " la CNIL des incidents pouvant donner lieu à des violations de données à caractère personnel, ne semble pas trouver de transposition explicite dans le projet de loi. Or, elle considère que la transmission directe de telles informations présente un intérêt pour la CNIL et pour les personnes concernées. Elle appelle, en outre, à des échanges réguliers concernant les violations de données notifiées à la CNIL, d’une part, et les incidents notifiés à l’ANSSI, d’autre part.

Elle considère que de telles précisions devraient apparaître explicitement dans le projet de loi et prend acte de l’engagement de l’administration de modifier le texte en ce sens.

D. Sur les pouvoirs de contrôle et de sanction de l’ANSSI

Les sections 1, 2 et 3 du chapitre 3 du titre II du projet de loi visent à encadrer les pouvoirs de contrôle et de sanction de l’ANSSI.

Dans le cadre des contrôles administratifs pouvant être mis en œuvre par l’ANSSI en application des articles 19 et suivants du projet de loi, celle-ci peut être amenée à prendre des mesures en vertu de l’article 25 du projet de loi, telles que des mises en garde ou des injonctions.

La CNIL estime nécessaire que ces nouveaux pouvoirs de l’ANSSI et ceux qu’elle peut mettre en œuvre en vertu de la section 3 du chapitre II du titre I^er de la loi n° 78-17 du 6 janvier 1978 modifiée fassent l’objet d’une coordination étroite entre les deux autorités, afin que des mêmes faits ne fassent pas l’objet d’un cumul de mesures, tel le prononcé de deux injonctions ou mises en demeure, redondantes voire distinctes.

L’article 27 du projet de loi précise le niveau des sanctions encourues par les entités manquant à leurs obligations au titre des dispositions de la directive NIS 2 et de sa transposition en droit national. Ces sanctions sont différenciées en fonction de la nature de l’entité concernée, que celle-ci soit une entité essentielle, importante ou encore un office ou un bureau d’enregistrement de noms de domaine. Si des manquements aux obligations prévues aux chapitres II et III du projet de loi donnent lieu à une amende administrative de la CNIL au titre d’une violation du RGPD, la commission des sanctions de l’ANSSI ne pourra prononcer ensuite de sanction sous forme d’amende administrative concernant ces mêmes manquements.

La CNIL observe que, pour ce qui est des entités importantes pour lesquelles un ou plusieurs manquements aux chapitres II et III du projet de loi auraient été constatés, la sanction administrative prévue est une amende dont le montant " proportionné à la gravité du manquement, ne peut excéder 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total ". Le projet de loi s’aligne sur le plafond possible le plus bas prévu par la directive NIS 2. De même, lorsqu’un manquement aux obligations prévues à la section 3 du chapitre II du projet de loi est constaté, une sanction administrative de niveau équivalent est prévue à l’encontre des offices d’enregistrement et des bureaux d’enregistrement qui ne sont pas considérés comme des « entités essentielles ».

L’administration précise que le niveau des sanctions prévu par le projet de loi vise, d’une part, à maintenir l’approche différenciée entre les " entités essentielles « et les » entités importantes " prévue par la directive NIS 2 et, d’autre part, à assurer son acceptabilité par les entités concernées.

La CNIL :

• d’une part, constate que les dispositions nationales ne sont pas harmonisées avec les plafonds prévus à la section 3 du chapitre II de la loi du 6 janvier 1978 modifiée. En effet, s’agissant de manquements à la sécurité des données à caractère personnel, les plafonds prévus par la loi Informatique et Libertés sont fixés à 2 % du chiffre d’affaires mondial ou 10 millions d’euros en cas de manquement à l’article 32 du RGPD. Elle s’interroge sur le risque de disparité des niveaux de sanctions encourues en fonction de l’autorité qui conduirait la procédure pour des faits similaires ;
• d’autre part, observe que des manquements de sécurité identiques pourraient être poursuivis simultanément par l’ANSSI et la CNIL lorsqu’ils impliquent des données à caractère personnel. Au regard d’éventuels risques de méconnaissance du principe non bis in idem ainsi que, plus généralement, pour assurer une bonne coordination des actions de ces deux autorités en matière de répression des manquements aux obligations de sécurité informatique, la CNIL préconise la mise en place d’un mécanisme d’orientation préalable des poursuites vers la commission des sanctions de l’ANSSI ou vers la CNIL pour les dossiers dans lesquels de tels manquements auraient été constatés par l’une ou l’autre de ces administrations. Cette procédure d’orientation préalable, de nature à écarter tout cumul de sanctions, nécessite une coordination étroite, en amont de toute poursuite, par laquelle l’ANSSI interrogerait systématiquement la CNIL sur sa compétence lorsqu’un dossier le nécessite et, le cas échéant, se dessaisirait à son profit. Il reviendrait également à la CNIL de signaler à l’ANSSI les procédures engagées dont les manquements à l’obligation de sécurité fixée par l’article 32 du RGPD sont susceptibles de recouvrir également des manquements à la directive NIS 2.

Le 1° du V de l’article 27 du projet de loi prévoit que la " commission des sanctions peut abroger un agrément, une qualification ou un certificat en matière de cybersécurité ".

La CNIL remarque que de telles abrogations devraient lui être notifiées et prend acte de l’engagement de l’administration en ce sens, les manquements ayant conduit à ces sanctions pouvant également justifier l’abrogation ou l’injonction de retrait d’une ou plusieurs certifications en matière de protection des données, en application du 4° du III de l’article 20 de la loi du 6 janvier 1978 modifiée. Elle rappelle qu’au titre de ce même article de la loi du 6 janvier 1978 modifiée, sa formation restreinte est la seule à pouvoir abroger une certification que la CNIL a délivrée, ou enjoindre à un tiers certificateur de retirer une certification qu’il a pu délivrer en matière de protection des données – ce tiers certificateur pouvant aussi procéder de sa propre initiative à ce retrait lorsque les non conformités persistent. La CNIL s’engage à notifier l’administration lorsque de telles décisions sont prises par sa formation restreinte quand elles sont susceptibles de justifier une abrogation par la commission des sanctions de l’ANSSI sur un agrément, une qualification ou un certificat en matière de cybersécurité pour lequel ou laquelle cette dernière est compétente.

E. Sur la constitution de bases de données de noms de domaine

L’article 13 du projet de loi prévoit que les offices et les bureaux d’enregistrement sont responsables de traitement des données nécessaires à l’enregistrement des noms de domaine. Le dernier alinéa de cet article prévoit également qu’un décret en Conseil d’Etat fixe la liste des données relatives aux noms de domaine devant être collectées.

La CNIL recommande que ce traitement de données, encadré par un décret en Conseil d’Etat, lui soit soumis pour avis et prend acte de l’engagement de l’administration de modifier le texte en ce sens.

L’article 14 prévoit que les offices et les bureaux d’enregistrement conservent les données relatives à chaque nom de domaine dans leur base de données tant que le nom de domaine est utilisé.

La CNIL observe que cette disposition est susceptible d’entraîner un renouvellement sans limitation des durées de conservation des noms de domaine. Elle ne considère cette disposition proportionnée que sous la stricte condition de l’exactitude des données à caractère personnel conservées, en application du 4° de l’article 4 de la loi n° 78-17 du 6 janvier 1978 modifiée.

Les autres dispositions du projet de loi n’appellent pas d’observations de la part de la CNIL.

La présidente,

M.-L. Denis