LOI n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité (1)

Sur la loi

Entrée en vigueur : 28 février 2018
Dernière modification : 10 mai 2018
Codes visés : Code de la défense., Code de la sécurité intérieure

Commentaires67


1[CYBERRISQUE] Obligation des éditeurs de logiciel de notifier les incidents et vulnérabilités affectant leurs produits : les précisions du projet de décret…
Lexcase Avocats · 31 janvier 2024

[…] La loi n°2023-703 du 1er août 2023 relative à la programmation militaire (« LPM ») a inséré un nouvel article L. 2321-4-1 dans le Code de la défense imposant aux éditeurs de logiciels : · L'obligation de notifier à l'ANSSI (i) les vulnérabilités significatives affectant un de leurs produits […] Seules certaines catégories d'opérateurs (les opérateurs d'importance vitale visés par l'article L. 1332-6-2 du Code de la défense, et les opérateurs de services essentiels visés par la loi n°2018-133 du 26 février 2018) étaient concernées par des obligations de notification des menaces cyber.

 

2LMR #101 : Les nouvelles obligations s’imposant aux places de marché en ligne
Lettre des Réseaux · 12 janvier 2024

La législation française propose une définition de la place de marché en ligne (Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité (1)).

 

3Politique de confidentialité
avocat-stefania.fr · 27 juillet 2023

[…] Dans les conditions définies par la loi […] lorsque celui-ci est exigé par la loi (notamment en cas d'opposition). […] informatique et libertés, du règlement européen sur la protection des données (RGPD) et de la loi n°2018-133 du 26 février 2018 « portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité ».

 

Décisions3


1CADA, Avis du 16 janvier 2020, Association française pour le nommage internet en coopération (AFNIC), n° 20193176

— 

[…] un opérateur offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services, au sens de l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité et du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique. […]

 

2Conseil d'État, 10ème - 9ème chambres réunies, 30 décembre 2021, 428028, Inédit au recueil Lebon

Rejet — 

[…] — la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 ; — la loi n° 78-17 du 6 janvier 1978 ; — la loi n° 2018-133 du 26 février 2018 ; — la loi n° 2018-607 du 13 juillet 2018 ; — le code de la défense ;

 

3ADLC, Avis 23-A-05 du 20 avril 2023 concernant le projet de loi visant à sécuriser et réguler l’espace numérique

— 

[…] le régime transitoire devrait autant que possible s'aligner avec les dispositions qui prendront effet lors de l'entrée en vigueur du Data Act. b) L'encadrement des frais de transfert et des avoirs d'informatique en nuage (article 7 du projet de loi) 47. […] l'article 7 du projet de loi propose d'insérer la définition de « service d'informatique en nuage » suivante au I du nouvel article L.442-12 : « un service tel que défini au c) du 2° de l'article 10 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité ». 49. […] L'Autorité est consultée sur les projets de lois et de décrets relatifs aux services d'intermédiation de données. […]

 

Documents parlementaires189

Mesdames, Messieurs, Le projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité a pour objet de transposer deux directives : la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (Titre I er ) et la directive (UE) 2017/853 du Parlement européen et du Conseil du 17 mai 2017 modifiant la directive 91/477/CEE du Conseil relative au contrôle de l'acquisition et de la … 
Mesdames, Messieurs, Le projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité a pour objet de transposer deux directives : la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (Titre I er ) et la directive (UE) 2017/853 du Parlement européen et du Conseil du 17 mai 2017 modifiant la directive 91/477/CEE du Conseil relative au contrôle de l'acquisition et de la … 

Versions du texte


L'Assemblée nationale et le Sénat ont adopté,
Le Président de la République promulgue la loi dont la teneur suit :

Titre Ier : DISPOSITIONS TENDANT À TRANSPOSER LA DIRECTIVE (UE) 2016/1148 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 6 JUILLET 2016 CONCERNANT DES MESURES DESTINÉES À ASSURER UN NIVEAU ÉLEVÉ COMMUN DE SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D'INFORMATION DANS L'UNION
Chapitre Ier : Dispositions communes
Article 1

Pour l'application du présent titre, on entend par réseau et système d'information :
1° Tout réseau de communications électroniques tel que défini au 2° de l'article L. 32 du code des postes et des communications électroniques ;
2° Tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques ;
3° Les données numériques stockées, traitées, récupérées ou transmises par les éléments mentionnés aux 1° et 2° du présent article en vue de leur fonctionnement, utilisation, protection et maintenance.
La sécurité des réseaux et systèmes d'information consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles.

Article 2

Les dispositions du présent titre ne sont pas applicables aux opérateurs mentionnés au 15° de l'article L. 32 du code des postes et des communications électroniques pour leurs activités liées à l'exploitation de réseaux de communications électroniques ou à la fourniture de services de communications électroniques, ni aux prestataires de services de confiance soumis aux exigences énoncées à l'article 19 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.
Elles ne sont pas non plus applicables aux opérateurs de services essentiels ni aux fournisseurs de service numérique pour les réseaux et systèmes d'information mentionnés au premier alinéa des articles 5 et 12 de la présente loi, qui sont soumis, en application d'un acte juridique de l'Union européenne, à des exigences sectorielles de sécurité et de notification d'incidents ayant un effet au moins équivalent aux obligations résultant de l'application du présent titre.

Article 3

I. - Les prestataires de service habilités à effectuer des contrôles en application du présent titre sont soumis aux mêmes règles de confidentialité et de discrétion professionnelle que les agents publics et les services de l'Etat à l'égard des informations qu'ils recueillent auprès des opérateurs mentionnés à l'article 5 et des fournisseurs de service numérique mentionnés à l'article 11.
II. - Lorsqu'elle informe le public ou les Etats membres de l'Union européenne d'incidents dans les conditions prévues aux articles 7 et 13, l'autorité administrative compétente tient compte des intérêts économiques de ces opérateurs et fournisseurs de service numérique et veille à ne pas révéler d'informations susceptibles de porter atteinte à leur sécurité et au secret en matière commerciale et industrielle.