Un nouveau texte du Conseil de l’UE place le logiciel en tant que service en dehors du champ d’application de la loi sur la cyber-résilience, tandis que la Commission européenne a précisé que la base juridique ne le permettrait pas.
Le Cyber Resilience Act est une proposition législative introduisant des exigences essentielles en matière de cybersécurité pour les produits connectés. La mesure dans laquelle ces obligations s’appliqueraient également aux logiciels a fait l’objet d’un débat politique au sein du Conseil de l’UE.
Certains pays de l’UE ont également demandé l’inclusion de Software-as-a-Service, qui rassemble des services en ligne comme Netflix et Google Workspace hébergés sur l’infrastructure cloud des fournisseurs.
Un nouveau texte de la présidence tchèque, daté du 2 décembre et vu par EURACTIV, a mis à jour une précédente version rapportée par EURACTIV il y a deux semaines en plaçant fermement le SaaS hors du champ d’application du règlement.
En particulier, le projet de loi a été reformulé pour ne s’appliquer qu’aux solutions de traitement de données à distance basées sur un logiciel ou un matériel prenant en charge le fonctionnement d’un appareil connecté.
« Les solutions logicielles en tant que service (SaaS) ne constituent des solutions de traitement de données à distance au sens du présent règlement que si elles répondent à cette définition. Par exemple, les services cloud conçus et développés en dehors de la responsabilité d’un fabricant d’un produit comportant des éléments numériques n’entrent pas dans le champ d’application de ce règlement », poursuit le texte.
Périmètre clarifié
En d’autres termes, la Cyber Resilience Act ne s’appliquerait que si une application était explicitement créée pour prendre en charge un produit connecté, comme une balance intelligente, car l’application relève de la responsabilité du fabricant du produit.
La volonté de maintenir le SaaS en dehors des nouvelles règles de cybersécurité est conforme à ce que le commissaire au marché intérieur Thierry Breton a déclaré lors de la réunion du Conseil Télécoms de mardi 6 décembre.
« Le logiciel en tant que service est déjà couvert par la directive NIS2 », a déclaré Breton aux ministres de l’UE, ajoutant que l’incorporation de ces services dans le cadre de la loi sur la cyber-résilience serait un défi juridique en raison de la base juridique sur laquelle la proposition était basée.
Le compromis explique également que les sites Web ne constitueraient pas les solutions de traitement de données à distance des navigateurs Web, car ils ne sont pas développés sous la responsabilité du fabricant du navigateur, et l’absence de site Web individuel n’empêcherait pas le fonctionnement du navigateur.
Inclure les sites Web dans le champ d’application aurait été très peu pratique pour évaluer leur conformité aux exigences de l’UE en matière de cybersécurité.
Toujours en discussion
« Avec le texte actuel, il est difficile pour les entreprises de voir si la réglementation couvre leurs produits. Des efforts supplémentaires doivent être déployés pour éviter l’incertitude juridique. De plus, des discussions supplémentaires pourraient être nécessaires sur la mesure dans laquelle les services devraient et pourraient être inclus », a déclaré Alexandra van Huffelen, secrétaire d’État néerlandaise à la numérisation, lors de la réunion ministérielle.
La Haye était à l’avant-garde pour exiger que le SaaS soit inclus dans le champ d’application. Avant même que la proposition ne soit publiée, les Pays-Bas, le Danemark et l’Allemagne ont rédigé un non-document réclamant une prolongation dans ce sens.
L’exclusion du SaaS serait accueillie avec un profond soupir de soulagement par une grande partie de l’industrie. Cependant, si le texte semble aller dans ce sens, la question du champ d’application semble encore loin d’être réglée car les représentants nationaux tentent encore de comprendre comment les nouvelles règles s’intégreraient dans un environnement informatique complexe.
« C’est encore un peu flou à ce stade », a déclaré un diplomate européen à EURACTIV. « Nous espérons tous plus de discussions à ce sujet. »
Par exemple, alors qu’un site Web est connecté à une application via une interface de programmation d’application (API), l’application relèverait du champ d’application, tandis que le logiciel lui-même ne le serait pas en raison de l’exclusion de responsabilité.
la sécurité nationale
La révision concernait également la partie qui délimitait les questions de sécurité nationale, une compétence jalousement gardée pour les États membres.
Un nouveau paragraphe a été ajouté imposant aux États membres de ne pas mettre en place d’obstacles empêchant le lancement et la circulation de produits connectés sur le marché unique de l’UE. Les restrictions ne peuvent porter que sur des facteurs non techniques conformes au droit européen.
La capacité des États membres à introduire des exigences de sécurité supplémentaires pour les produits de l’Internet des objets utilisés pour des produits militaires, de défense ou de sécurité nationale, ainsi que l’exemption de partager des informations qui pourraient être utilisées contre l’intérêt essentiel de sécurité des pays de l’UE, ont été maintenues avec une légère ajustements.
[Edited by Alice Taylor]