Afin de booster le marché de l’IoT, la Commission européenne a adopté des propositions législatives pour harmoniser les certificats de cybersécurité et limiter les restrictions au transfert de données non personnelles.
L’année dernière, le président de la Commission européenne, Jean-Claude Juncker, avait mis le paquet sur le numérique dans son "discours de l’Union". En 2017, la question passe au second plan dans son discours au Parlement européen, avec pourtant deux briques essentielles pour un marché unique des objets connectés : l’interopérabilité des données et la cybersécurité.
Ces propositions qui complètent le règlement européen sur la protection des données doivent "débloquer des opportunités pour l’économie des données dans l’Union européenne", assure le vice-président de la Commission en charge du numérique, Andrus Ansip, sur son blog.
Certification renforcée et promotion de la "Cyber Hygiène"
En matière de sécurité, l’exécutif européen propose un règlement qui renforcerait les pouvoirs de l’Agence européenne de cybersécurité, l’Enisa, et créera un cadre de certification et de labellisation européen. A ce stade, le cadre européen revient à mettre en place un système de reconnaissance mutuelle des certificats délivrés dans les différents pays européens ou élaborés par les organismes internationaux.
Par la suite, lorsque les produits et services concernés ainsi que les exigences auront été mieux cernées par l’industrie et l’Enisa, la Commission européenne se propose d’adopter un cadre de certification plus contraignant via des actes délégués. Une procédure qui ne passe pas par un vote du Parlement et des États européens.
Au passage, la stratégie prévoit de promouvoir une "cyber hygiène" chez les utilisateurs afin de limiter les incidents d’origine humaine, souligne Andrus Ansip. Il veut aussi créer un réseau d’excellence et un centre de compétence pour la recherche européenne en matière de cybersécurité.
Proposition sur les données non personnelles
Côté données, la proposition attendue depuis plus de deux ans ménage la chèvre et le chou entre les Etats qui réclamaient un véritable marché unique des données, comme les Pays Bas, et ceux plus attachés à un contrôle national, comme la France et l’Allemagne. Pour ne pas marcher sur les plates-bandes du règlement sur la protection des données (GDPR) qui entrera en vigueur en mai 2018, la proposition ne porte que sur les données non personnelles.
Elle interdit les obligations de localisation des données, comme celles qui s’imposent par exemple pour le stockage des documents fiscaux. Une seule exception : "la sécurité publique" telle qu’elle est interprétée par la cour de justice européenne. Toutes les autres obligations devront être abrogées dans les douze mois qui suivent l’entrée en vigueur du règlement. La proposition introduit une obligation de transparence contractuelle sur la portabilité des données. Pas de portabilité obligatoire donc, mais une étape pour faciliter l’interopérabilité.
Dans la ligne de la "flexibilité"réclamée par l’industrie, ces propositions ont été saluées immédiatement par les représentants du secteur numérique américain réunis au sein de la CCIA, comme par IBM.
The #FreeFlowofData proposal boosts the EU Single Market. Removing national localisation barriers lowers costs & allows startups to scale up https://t.co/DfdT4prL4x
— CCIAEurope (@CCIAEurope) 13 septembre 2017
IBM expects a quick adoption of the EC's proposal on #freeflowofdata which is essential to building a #DigitalSingleMarket.
— IBM Europe Policy (@IBMEuropePolicy) 13 septembre 2017
Les Etats et le Parlement européen doivent toutefois encore se prononcer sur ces propositions législatives. Le "Sommet européen" du numérique qui se tiendra le 29 septembre 2017 à Tallinn sera l’occasion de sonder les positions des gouvernements sur la question.
Source : Article de Nathalie Steiwer pour www.usine-digitale.fr