Exclure les fournisseurs à risque des domaines économiques stratégiques, dont les sociétés chinoises : voilà l’objectif de l’Union européenne, qui s’apprête à lancer la mise à jour de sa réglementation sur la cybersécurité. Quelle société sera exclue de quel marché sensible ? Le sujet inflammable devrait entraîner de nombreux débats.
Mieux se protéger de l’espionnage économique et des cyberattaques : mardi 20 janvier, la Commission européenne présentera la révision du Cybersecurity Act, son règlement sur la cybersécurité. Comme la Chine l’a récemment fait, en excluant du pays les logiciels de cybersécurité considérés comme non fiables, la future législation européenne cherche aussi à interdire les sociétés à risque des marchés sensibles ou stratégiques. L’objectif : se prémunir de pressions de pays tiers et de dépendance dangereuse, en plus de l’espionnage et des attaques informatiques.
Reste à savoir quels fournisseurs et quels marchés seront concernés : un sujet politiquement brûlant qui a déjà poussé la Commission européenne à retarder d’une semaine la présentation du texte. Et dans ce dossier, les entreprises de la tech chinoise seraient particulièrement visées, rapporte Politico, le 12 janvier dernier. De quoi mettre vent debout les lobbys des industries chinoises.
De nombreux secteurs concernés, et des règles contraignantes ?
Les tensions seraient telles que la dernière version du projet a été partagée avec un nombre très restreint de fonctionnaires, soulignent nos confrères. Ces derniers étaient tenus de se rendre dans une salle sécurisée de la Commission, sans téléphone, pour travailler sur le texte.
Car contrairement à la législation initiale, la mise à jour étendrait sensiblement l’application de la loi. D’abord, le Cybersecurity Act ne se concentrerait plus sur le seul secteur de la 5G. Toute la chaîne d’approvisionnement technologique serait concernée, dont les marchés des caméras de surveillance, des panneaux solaires et des scanners de sécurité, domaines dominés par la Chine. La liste pourrait s’étendre, Bruxelles étant en train d’évaluer les risques liés à la cybersécurité dans les voitures connectées, l’éolien, le solaire et les appareils médicaux.
Autre nouveauté, rapportée par MLex et Contexte : Bruxelles ne compte pas reproduire les erreurs du passé. En 2020, le texte précédent préconisait aux 27 pays de l’UE de ne pas s’adresser aux « fournisseurs à risque » pour la construction des infrastructures 5G, des sociétés décrites comme « dépendant fortement d’un État, ou qu’un État peut obliger à divulguer les données de ses clients », à l’image de Huawei. Mais près de trois ans plus tard, ces recommandations n’avaient pas été suivies à la lettre : seul un tiers des États-membres s’y serait plié. De quoi entraîner des rappels à l’ordre de Bruxelles.
À lire aussi : 5G : Pourquoi l’Europe rappelle à l’ordre les pays qui n’ont pas encore exclu Huawei de leurs infrastructures
Cette fois, le texte serait bien plus ambitieux. Pour éviter de voir des capitales faire fi de ses préconisations, Bruxelles souhaite rendre ses recommandations plus contraignantes. Si les 27 comprennent bien la nécessité pour l’UE de mieux protéger ses marchés de la concurrence déloyale et des risques liés à la cybersécurité, aller jusqu’à des règles obligatoires ne serait pas du goût de toutes. Certaines capitales hésiteraient même à laisser Bruxelles diriger une telle politique.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.