LOI n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité
Chapitre III : Dispositions relatives à la sécurité des réseaux et systèmes d'information des fournisseurs de service numérique
1° Par service numérique tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services ;
2° Par fournisseur de service numérique toute personne morale qui fournit l'un des services suivants :
a) Place de marché en ligne, à savoir un service numérique qui permet à des consommateurs ou à des professionnels, au sens du dernier alinéa de l'article liminaire du code de la consommation, de conclure des contrats de vente ou de service en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d'un professionnel qui utilise les services informatiques fournis par la place de marché en ligne ;
b) Moteur de recherche en ligne, à savoir un service numérique qui permet aux utilisateurs d'effectuer des recherches sur, en principe, tous les sites internet ou sur les sites internet dans une langue donnée, sur la base d'une requête lancée sur n'importe quel sujet sous la forme d'un mot clé, d'une phrase ou d'une autre entrée, et qui renvoie des liens à partir desquels il est possible de trouver des informations en rapport avec le contenu demandé ;
c) Service d'informatique en nuage, à savoir un service numérique qui permet l'accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.
II. - Sont soumis aux dispositions du présent chapitre les fournisseurs de service numérique qui offrent leurs services dans l'Union européenne :
1° Lorsque leur siège social ou leur établissement principal est établi sur le territoire national ;
2° Ou qui ont, en application du I, désigné un représentant sur le territoire national.
III. - Les dispositions du présent chapitre ne sont pas applicables aux entreprises qui emploient moins de cinquante salariés et dont le chiffre d'affaires annuel n'excède pas 10 millions d'euros.
A cet effet, ils sont tenus d'identifier les risques qui menacent la sécurité de ces réseaux et systèmes d'information et de prendre des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer ces risques, pour éviter les incidents de nature à porter atteinte à ces réseaux et systèmes d'information ainsi que pour en réduire au minimum l'impact, de manière à garantir la continuité de leurs services. Ces mesures interviennent dans chacun des domaines suivants :
1° La sécurité des systèmes et des installations ;
2° La gestion des incidents ;
3° La gestion de la continuité des activités ;
4° Le suivi, l'audit et le contrôle ;
5° Le respect des normes internationales.
II. - Après avoir consulté le fournisseur de service numérique concerné, l'autorité administrative peut informer le public d'un incident mentionné au I ou imposer au fournisseur de le faire lorsque cette information est nécessaire pour prévenir ou traiter un incident ou est justifiée par un motif d'intérêt général. Lorsqu'un incident a des conséquences significatives sur les services fournis dans d'autres Etats membres de l'Union européenne, l'autorité administrative en informe les autorités ou organismes compétents de ces Etats, qui peuvent rendre public l'incident.
Les contrôles sont effectués, sur pièce et sur place, par l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense ou par des prestataires de service qualifiés par le Premier ministre. Le coût des contrôles est à la charge des fournisseurs de service numérique.
Les fournisseurs de service numérique sont tenus de communiquer à l'autorité ou au prestataire de service chargé du contrôle prévu au premier alinéa du présent article les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes d'information, y compris les documents relatifs à leurs politiques de sécurité, et, le cas échéant, leur permettre d'accéder aux réseaux et systèmes d'information faisant l'objet du contrôle afin d'effectuer des analyses et des relevés d'informations techniques.
En cas de manquement constaté à l'occasion d'un contrôle, l'autorité mentionnée au deuxième alinéa peut mettre en demeure les dirigeants du fournisseur concerné de se conformer, dans un délai qu'elle fixe, aux obligations qui incombent au fournisseur en vertu du présent chapitre. Le délai est déterminé en tenant compte des conditions de fonctionnement du fournisseur et des mesures à mettre en œuvre.
Est puni de 50 000 € d'amende le fait, pour les mêmes personnes, de ne pas satisfaire aux obligations de déclaration d'incident ou d'information du public prévues à l'article 13.
Est puni de 100 000 € d'amende le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle mentionnées à l'article 14.