FR EN

Toute l'actualité sur le public

12.11.2024 10:59

Altij & Oratio Avocats rejoint le programme “Your Experts in France”

Accompagner l'implantation des entreprises britanniques grâce à une expertise juridique en...


Cat: Droit des Affaires et de l'Entreprise, Droit des sociétés , Les essentiels, Veille Juridique
08.11.2024 23:18

Soutenez Altij & Oratio avocats au Palmarès du Droit

Notre cabinet participe au "Palmarès du Droit – Toulouse 2024" et nous avons besoin de vous !


Cat: Corporate, M&A et restructuring, Droit de la Propriété Intellectuelle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
05.11.2024 12:58

Occupation du bien social par un associé : le rappel opportun que le commodat ne peut se déduire de l’objet social

Mise à disposition d’un bien social : ce que dit la loi


Cat: Baux commerciaux & professionnels - Droit des affaires et de l'Entreprise, Droit des Personnes et du Patrimoine, Les essentiels, Veille Juridique
28.10.2024 09:10

La CNIL étend son contrôle aux entreprises hors UE collectant des données d’Européens : comprendre les nouvelles obligations RGPD

La CNIL peut désormais contrôler les entreprises hors UE collectant des données d’Européens, même...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
28.10.2024 08:24

Comment encadrer le déploiement de l'IA dans vos organisations ? Participez à notre webinaire exclusif !

Rejoignez-nous le 5 novembre 2024 pour un webinaire dédié à la gestion sécurisée et conforme de...


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit des Technologies Avancées, Les essentiels, Veille Juridique
23.10.2024 21:26

Questionner la conformité RGPD de son SIRH

Votre SIRH respecte-t-il les obligations du règlement général sur la protection des données ?


Cat: Données - Bases de données – RGPD / DPO - Big Data et intelligence artificielle, Droit Social, Les essentiels, Veille Juridique
voir les archives ->
< Les aides financières de l’INPI : préfinancement des prestations PI
02.08.2023 14:22 Il y a: 1 year
Categorie: Les actualités d'ALTIJ, Droit des Technologies Avancées, Veille Juridique
Auteur : Pôle IP/IT-Data

LPM 2023 : obligations en matière de défense cyber pour les éditeurs de logiciel

Loi de programmation militaire : diverses dispositions intéressant la défense visent à moderniser les forces armées pour « permettre à la France de faire face à de nouvelles menaces ».


LPM Cyber Défense

La loi du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense vise à moderniser les forces armées pour « permettre à la France de faire face à de nouvelles menaces »[1]. Cette loi renforce également les dispositions en matière de défense cyber et crée de nouvelles obligations à la charge des éditeurs de logiciel.

Notamment, l’article 66 de la loi précitée crée un article L.2321-4 du code de la défense prévoyant une double obligation à la charge des éditeurs en cas d’incident :

  • Une obligation de déclaration auprès de l’ANSSI : Les éditeurs de logiciels doivent, en cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits, notifier à l’ANSSI cette vulnérabilité ou cet incident ainsi que l’analyse de ses causes et de ses conséquences.

L’article précité indique le champ d’application de cette obligation, laquelle s’applique donc aux éditeurs qui fournissent ce produit sur le territoire français, à des sociétés ayant leur siège social sur le territoire français, ou encore à des entités contrôlées[2] par des sociétés ayant leur siège social sur le territoire français.

  • Une obligation d’information des utilisateurs du produit, dans un délai fixé par l’ANSSI et déterminé en fonction de l’urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre des mesures correctives.

SI l’éditeur ne procède pas lui-même à l’information des utilisateurs, l’ANSSI peut l’y contraindre. Si cette injonction n’a pas été mise en œuvre, l’ANSSI peut alors informer les utilisateurs ou rendre publics cette vulnérabilité ou cet incident ainsi que l’injonction non suivie d’effet.

L’article propose également deux définitions :

  • L’éditeur de logiciel est « toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d'utilisateurs, à titre onéreux ou gratuit » ;
  • L’incident informatique est relatif à « tout évènement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement ou des services que les réseaux et les systèmes d'information offrent ou rendent accessibles. »

Toutefois, il conviendra d’attendre le décret en Conseil d’État, pris après l’avis de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) pour que soient définies les modalités d’application du nouvel article L.2321-4 du code de la défense. Ce décret aura vocation à préciser notamment les critères d’appréciation du caractère significatif de la vulnérabilité ou de l’incident mentionné ci-dessus.

D’ores et déjà, l’article précise toutefois que le caractère significatif de la vulnérabilité sera défini en fonction des pratiques et des standards internationaux communément admis.

Nos avocats du pôle Data vous accompagnent afin de mener, avec notre partenaire QUID IA, des tech due diligences sur vos logiciels et, en toute hypothèse, pour élaborer avec vous la documentation nécessaire vous permettant de gérer techniquement, juridiquement et opérationnellement les situations de crise.

 


[1] Voir le site du Gouvernement : https://www.gouvernement.fr/actualite/la-loi-de-programmation-militaire-quest-ce-que-cest.

[2] Conformément à la définition de contrôle telle que prévue par l’article L. 233-3 du code de commerce.