La Commission européenne souhaite améliorer la sécurité des appareils équipés de la technologie radio. À cette fin, elle a publié un acte dit délégué pour la directive sur les équipements radio. Cela signifie que la Commission veut faire passer la mise en œuvre de la directive dans un délai court. Elle devrait s’appliquer aux téléphones mobiles, tablettes, babyphones, smartwatches, trackers de fitness et autres gadgets IoT similaires qui peuvent communiquer sans fil via Internet.
La Commission européenne formule les objectifs suivants pour la directive sur les équipements radio :
- Améliorer la stabilité du réseau
- Améliorer la protection de la vie privée
- Réduire le risque de fraude
À cette fin, les appareils sans fil devraient à l’avenir être dotés de fonctions permettant d’éviter d’endommager les réseaux de communication et de prévenir d’éventuelles interférences avec des sites web ou d’autres services. En outre, ils doivent assurer la protection des données à caractère personnel ; en particulier, la protection des droits de l’enfant doit devenir un élément essentiel de la législation. Pour réduire le risque de fraude dans les paiements électroniques, les dispositifs doivent assurer un meilleur contrôle de l’authentification des utilisateurs.
La directive doit compléter une loi sur la cyber-résilience non encore précisée, annoncée par la présidente de la Commission, Mme von der Leyen, dans son récent discours sur l’état de l’Union. Cela permettra de couvrir encore plus de produits et de prendre en compte l’ensemble de leur cycle de vie. Ces deux mesures peuvent être affectées à la mise en œuvre de la stratégie de cybersécurité de l’UE annoncée en décembre 2020.
La situation de l’étude montre la nécessité d’agir
La Commission européenne a estimé qu’il était nécessaire d’agir, car diverses autorités nationales et études de la Commission ont constaté que de plus en plus de dispositifs sans fil pouvaient présenter des risques pour la cybersécurité. Les études ont montré, par exemple, les risques liés aux jouets qui espionnent les actions ou les conversations des enfants. En outre, les données personnelles, y compris les informations de paiement, sont parfois stockées en clair sur les appareils et peuvent être facilement accessibles. En outre, les études mettent en garde contre les dispositifs qui peuvent abuser des ressources du réseau et en réduire la capacité – un euphémisme quelque peu maladroit pour désigner les attaques par déni de service distribué (DDoS), par exemple par les dispositifs de l’Internet des objets.
Si le Parlement européen et le Conseil ne s’y opposent pas, cet acte délégué entrera en vigueur dans deux mois. Il ne s’agit pas de simples recommandations, mais d’exigences à respecter. Les fabricants disposeront alors de 30 mois pour commencer à se conformer aux nouvelles exigences. Celles-ci devraient ensuite entrer en vigueur à la mi-2024.
Dans environ deux ans et demi, le thème de la sécurité informatique sera donc également obligatoire pour de nombreux gadgets et appareils de l’Internet des objets. Une évolution qui a pris du temps, mais qui était très attendue par les experts en sécurité informatique.
Compte tenu des millions, voire des milliards, de ces dispositifs importés chaque année dans l’UE, la question se pose de savoir qui contrôlera tout cela. Vraisemblablement, l’inspection sera effectuée par les douanes sur une base aléatoire, comme c’était le cas jusqu’à présent. Il s’agirait d’un simple ajout aux contrôles existants concernant le respect des droits de marque ou des directives d’étiquetage telles que « CE ». En cas de non-conformité, les appareils seraient alors également détruits ou renvoyés à l’expéditeur.
Voir aussi :
- Commentaire de Jürgen Schmidt : L’Internet (des objets) ne doit pas rester un espace de non-droit