Cybersécurité : Bruxelles veut rendre les appareils connectés plus sûrs

Bruxelles vient de proposer une révision de la directive sur les équipements radioélectroniques de 2014 afin de protéger les appareils connectés des attaques informatiques. Les mesures incluent un renforcement des normes afin d'attester de l'innocuité des appareils sans fil avant leur mise en vente sur le marché européen. La protection des données des enfants fait également l'objet de règles plus strictes. Le texte devrait être applicable à la mi-2024. 

Cybersécurité : Bruxelles veut rendre les appareils connectés plus sûrs © Unsplash

La Commission européenne a adopté le 29 octobre 2021 une série de mesures visant à renforcer la cybersécurité des appareils sans fil. Sont concernés les appareils "capables de communiquer via Internet", c'est-à-dire les smartphones, les tablettes, les appareils photo…, "les jouets et matériel de puériculture", tels que les babyphones et les jouets connectés, ainsi que les "wearables" comme les montres connectées.

Une révision de la directive de 2014
Plus précisément, Bruxelles a adopté un acte délégué relatif à la directive sur les équipements radioélectroniques du 16 avril 2014. Il s'agit de mettre à jour ce texte afin de garantir "l'innocuité de tous les dispositifs sans fil avant leur vente sur le marché de l'Union européenne", explique la Commission dans son communiqué.

"Il s'agit d'une étape importante vers l'instauration d'un ensemble complet de normes européennes communes en matière de cybersécurité pour les produits (y compris les objets connectés) et pour les services mis sur notre marché", s'est réjoui Thierry Breton, le commissaire européen au marché intérieur.

Dans les détails, les appareils sans fil devront intégrer des fonctionnalités pour éviter qu'ils ne "nuisent aux réseaux de communication" et empêcher qu'ils ne soient utilisés pour perturber "le bon fonctionnement d'un site web ou d'autres services", peut-on lire dans le nouveau texte. 

Empêcher la transmission de données personnelles
Plaçant la vie privée au cœur de ses préoccupations, la Commission souhaite aussi que les fabricants mettent en œuvre de nouvelles mesures pour empêcher l'accès ou la transmission non autorisée des données personnelles. Cette mesure vise en particulier à protéger les informations des enfants qui utilisent des jouets connectés.

La Commission nationale de l'informatique et des libertés (Cnil) avait également émis une alerte sur ce sujet. Elle a publié un guide en décembre 2019 adressé aux parents dans lequel elle rappelait que les données récoltées par les objets connectés pouvaient être utilisés à des fins de ciblage publicitaire mais également par un acteur malveillant.

De plus, l'exécutif européen souhaite durcir les règles afin de réduire le risque de fraude monétaire lors des paiements électroniques. Par conséquent, les appareils visés devront garantir un meilleur contrôle d'authentification de l'utilisateur pour éviter les paiements frauduleux.

Une mise en application prévue pour la mi-2024
Le nouveau texte entrera en vigueur après une période d'examen de deux mois, si le Conseil et le Parlement ne formulent pas d'objection. Après son entrée en vigueur, les fabricants disposeront de 30 jours pour commencer à se conformer aux nouvelles exigences. Elles devront être totalement respectées à partir de la mi-2024, précise Bruxelles. 

Cette nouvelle règlementation s'inscrit dans la stratégie de cybersécurité de l'UE, présentée en décembre 2020 par la Commission et le haut représentant de l'Union pour les affaires étrangères et la politique de sécurité. Elle vise à renforcer la résilience collective de l'Europe face à l'augmentation des cyberattaques.