Nous vivons dans une société où le nombre d'objets connectés explose - 1,8 milliard en Europe, selon une étude de 2022 [1] réalisée par l'ADEME (Agence de la transition écologique) et l'ARCEP (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse) - alors que les risques cyber se démultiplient. Depuis 2015, le coût annuel mondial de la cybercriminalité aurait doublé, jusqu'à atteindre 5 500 milliards d'euros en 2020 [2] !
Comme il est établi que les failles de sécurité seraient dues, le plus souvent, à un défaut de conception dès l'origine plutôt qu'aux suites d'une attaque informatique [2], le « by design » s'est progressivement imposée comme le moyen de « penser la conformité » en amont de la conception d'un objet ou d'un système connecté et, ensuite, tout au long de son cycle de vie.
RGPD : protéger les données personnelles dès la conception
Le concept « by-design » désigne un principe de « conformité dès la conception » qui se décline en deux notions relatives, d'une part, à la vie privée et, d'autre part, à la sécurité.
Le plus souvent, il se traduit en obligations contraignantes.
Le RGPD consacre ainsi un article spécifique à ce qu'on appelle le « privacy-by-design » (RGPD, art. 25, §1). Afin de protéger efficacement la « privacy » (la vie privée), le texte européen prévoit une liste non exhaustive de mesures techniques et organisationnelles contraignantes pour protéger les données personnelles, dès la conception du traitement (RGPD, art. 32). Au chapitre des mesures d'ordre technique, on peut citer la pseudonymisation et le chiffrement des données, le principe de minimisation qui limite la quantité de données collectées au regard de la finalité du traitement et la mise en place de procédures de contrôle permettant d'évaluer la sécurité du traitement, tel que les tests d'intrusion pour identifier les éventuelles failles de sécurité.
Les mesures organisationnelles doivent également permettre de restreindre, au sein même de la structure de l'entreprise ou de l'institution, l'accès aux données ainsi qu'aux résultats obtenus par leur recoupement, de former le personnel aux enjeux de protection des données personnelles ou encore d'associer le délégué à la protection des données le plus en amont possible, à la conception d'un projet. Par ailleurs, le responsable de traitement a l'obligation de mener des études d'impact sur la vie privée (Privacy Impact Assessment) afin de cartographier les risques (RGPD, art. 35). Autant d'obligations pour l'entreprise dont le non-respect expose à de lourdes amendes pouvant s'élever à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial de l'entreprise [3] !
DSA : veiller à l'information du consommateur
Plus récemment, le Digital Service Act, entré en vigueur le 25 août 2023, contraint « les fournisseurs des plateformes en ligne permettant aux consommateurs de conclure des contrats à distance avec des professionnels » à veiller « à ce que leur interface en ligne soit conçue et organisée d'une manière permettant aux professionnels de respecter leurs obligations en matière d'informations précontractuelles, de conformité et d'informations sur la sécurité des produits qui leur incombent en vertu du droit applicable de l'Union. » (DSA, art. 31).
Parfois, le concept de « by design » s'inscrit dans une simple démarche de certification non contraignante, le « security-by-design ». Il en est ainsi du Cyber Security Act de 2019 qui incite les fournisseurs de TIC à garantir [4] la sécurité des produits dès le stade de la conception et à la prendre en charge tout au long du cycle de vie du produit (Cyber Security Act, art. 56). Il devrait néanmoins se généraliser car il fait l'objet d'une proposition de règlement européen, le « cyber résilience act », visant à imposer des règles essentielles relatives à la conception du produit numérique afin de garantir sa cybersécurité [5].
Le by-default complémentaire du by-design
En marge du by-design, un autre concept, le « by-default », s'est développé. Dans une première déclinaison dite « privacy-by-default », l'opérateur a l'obligation de garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées (RGPD, art 25§2). Le législateur européen a, ici, voulu imposer le plus haut degré de protection, lequel est mis en place par défaut. C'est dans cet objectif que l'utilisateur est seul à pouvoir autoriser de nouveaux traitements (par exemple, en téléchargeant une application sur son smartphone, c'est à l'utilisateur d'autoriser l'accès ou non à l'appareil photo).
Dans une déclinaison « security-by-default », le Cyber Security Act invite les concepteurs à configurer leurs produits, services et processus « de manière à assurer un niveau de sécurité plus élevé » (Cyber Security Act, considérant 13). Ainsi, le premier utilisateur reçoit une configuration par défaut avec les paramétrages les plus sûrs possibles, sans avoir à procéder à une quelconque manipulation. Une fois mis à la disposition de l'utilisateur, l'objet ou le système connecté doit être configuré de telle sorte qu'il soit, par défaut, résistant aux techniques d'exploitation les plus répandues, et ce, sans frais supplémentaires.
Autant de règles qui ont vocation à garantir la conformité... à condition de bien maîtriser le dispositif !
[1] https://medias.vie-publique.fr/data_storage_s3/rapport/pdf/283889.pdf, citant Ademe et Arcep (2022), Évaluation de l'impact environnemental du numérique en France et analyse prospective, janvier.
[2] Source : Dalloz, Larcier, Le Data Protection Officer
[3] Plus spécifiquement, l'amende peut s'élever jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires annuel mondial en cas de non-respect des principes fondamentaux du RGPD, des droits des personnes, des dispositions sur les transferts ou de non-respect d'une injonction d'une autorité. (RGPD art 83 °5)
[4] Cyber Security Act, art 56. 3 : « La Commission évalue régulièrement l'efficacité et l'utilisation des systèmes européens de certification de cybersécurité adoptés et détermine si un système européen spécifique de certification de cybersécurité doit être rendu obligatoire par le droit pertinent de l'Union afin de garantir un niveau adéquat de cybersécurité des produits TIC »
[5] Voir considérant 5 du « cyber resilience act »