LPM 2023 : obligations en matière de défense cyber pour les éditeurs de logiciel

Loi de programmation militaire : diverses dispositions intéressant la défense visent à moderniser les forces armées pour « permettre à la France de faire face à de nouvelles menaces ».

La loi du 1^er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense vise à moderniser les forces armées pour « permettre à la France de faire face à de nouvelles menaces »[1]. Cette loi renforce également les dispositions en matière de défense cyber et crée de nouvelles obligations à la charge des éditeurs de logiciel.

Notamment, l’article 66 de la loi précitée crée un article L.2321-4 du code de la défense prévoyant une double obligation à la charge des éditeurs en cas d’incident :

• Une obligation de déclaration auprès de l’ANSSI : Les éditeurs de logiciels doivent, en cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits, notifier à l’ANSSI cette vulnérabilité ou cet incident ainsi que l’analyse de ses causes et de ses conséquences.

L’article précité indique le champ d’application de cette obligation, laquelle s’applique donc aux éditeurs qui fournissent ce produit sur le territoire français, à des sociétés ayant leur siège social sur le territoire français, ou encore à des entités contrôlées[2] par des sociétés ayant leur siège social sur le territoire français.

• Une obligation d’information des utilisateurs du produit, dans un délai fixé par l’ANSSI et déterminé en fonction de l’urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre des mesures correctives.

SI l’éditeur ne procède pas lui-même à l’information des utilisateurs, l’ANSSI peut l’y contraindre. Si cette injonction n’a pas été mise en œuvre, l’ANSSI peut alors informer les utilisateurs ou rendre publics cette vulnérabilité ou cet incident ainsi que l’injonction non suivie d’effet.

L’article propose également deux définitions :

• L’éditeur de logiciel est « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit » ;
• L’incident informatique est relatif à « tout évènement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement ou des services que les réseaux et les systèmes d'information offrent ou rendent accessibles. »

Toutefois, il conviendra d’attendre le décret en Conseil d’État, pris après l’avis de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) pour que soient définies les modalités d’application du nouvel article L.2321-4 du code de la défense. Ce décret aura vocation à préciser notamment les critères d’appréciation du caractère significatif de la vulnérabilité ou de l’incident mentionné ci-dessus.

D’ores et déjà, l’article précise toutefois que le caractère significatif de la vulnérabilité sera défini en fonction des pratiques et des standards internationaux communément admis.

Nos avocats du pôle Data vous accompagnent afin de mener, avec notre partenaire QUID IA, des tech due diligences sur vos logiciels et, en toute hypothèse, pour élaborer avec vous la documentation nécessaire vous permettant de gérer techniquement, juridiquement et opérationnellement les situations de crise.

[1] Voir le site du Gouvernement : https://www.gouvernement.fr/actualite/la-loi-de-programmation-militaire-quest-ce-que-cest.

[2] Conformément à la définition de contrôle telle que prévue par l’article L. 233-3 du code de commerce.