Depuis quelques jours, les données personnelles de millions de demandeurs d’emploi sont échangées sur le darkweb contre quelques centaines de dollars[1] comme conséquence d’une cyberattaque ayant visé une entreprise prestataire de Pôle Emploi.

Les nom, prénom, adresses e-mail et numéro de sécurité sociale des demandeurs d’emploi sont concernés, l’établissement public indiquant par ailleurs que les numéros de téléphone, mots de passe et coordonnées bancaires ne le seraient pas.

Si Pôle Emploi indique avoir « procédé à une notification auprès de la CNIL », conformément à ses obligations au regard du Règlement Général sur la Protection des Données, il ne mentionne rien sur le terrain de la cybersécurité, et rejette d’ailleurs toute la responsabilité sur son prestataire[2].

Pourtant, cet acte de cyber malveillance n’est pas le premier dans son genre. A l’été 2021 déjà, l’organisme avait été victime d’un hacker isolé[3] qui avait été capable de récupérer les données de plus d’un million de demandeurs d’emploi.

Alors, aussi inquiétante que soit cette fuite de données personnelles, ce nouvel incident interroge : quelles sont les obligations de Pôle Emploi, « Opérateur de Services Essentiels » (OSE), au regard du droit de la cybersécurité ? Peut-il être désigné « garant » des règles de sécurité appliquées par l’un ou l’autre de ses sous-traitants ?

I. Pôle Emploi : un « Opérateur de Services Essentiels »

L’état du droit actuel

Dans l’Union Européenne, les premières règles communes sur la sécurité des réseaux et des systèmes d’information ont été introduites en 2016 par la directive « NIS 1[4] » pour « Network and Information Security 1 ».

Ladite directive a ensuite été traduite dans notre ordre juridique interne grâce au travail de l’Agence Nationale de la Sécurité des Systèmes d’Information (« ANSSI ») créée en 2009[5]. La transposition fût ainsi parachevée à travers une loi, celle du 26 février 2018[6], un décret d’application[7], et trois arrêtés ministériels[8].

            Dans un premier temps et dès 2006, le droit de la défense s’est saisi de la cybersécurité des Organismes d’Importance Vitale (« OIV ») – entendre par là, les infrastructures critiques, essentielles et difficilement substituables ou remplaçables visant à produire et à distribuer des biens ou des services indispensables à la satisfaction des besoins essentiels pour la vie des populations, à l’exercice de l’autorité de l’Etat, au fonctionnement de l’économie, ou au maintien du potentiel de défense et à la sécurité de la Nation[9] – à travers la mise en place du dispositif de « sécurité des activités d’importance vitale[10] » qui donnera lieu plus tard, à l’introduction dans le Code de la défense d’un Chapitre II « Protection des installations d’importance vitale »[11] tel qu’on le connait aujourd’hui.

            La notion d’OSE

            En 2016, au-delà de l’argument sécuritaire, l’Union Européenne commence à percevoir l’impact potentiel de la cybermenace sur l’économie de l’Union et le fonctionnement de son marché intérieur.

La directive européenne « NIS 1 » débouche alors sur un certain nombre de mesures parmi lesquelles notamment, l’identification de plusieurs vagues d’« Opérateurs de Services Essentiels » (« OSE ») et de « Fournisseurs de Services Numériques » (« FSN ») désormais tenus d’appliquer de nouvelles règles de cybersécurité.

Depuis lors, les Opérateurs de Services Essentiels sont définis comme des « opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services[12] ».

En coordination avec les ministères, l’ANSSI les désigne sur la base d’une liste de services essentiels au fonctionnement de la société ou de l’économie[13], dès lors qu’elle estime qu’ils fournissent au moins un des services mentionnés sur la liste, et qu’un incident affectant leurs réseaux aurait des conséquences graves au regard d’un certain nombre de critères tels que le nombre d’utilisateurs dépendant du service, la portée géographique, l’incidence sur le fonctionnement de l’économie ou de la société, ou sur la sécurité publique[14].

            Sur cette liste socle le calcul et le paiement des aides à l’emploi réalisés par les opérateurs de paiement agissant dans le secteur de l’emploi et de la formation professionnelle ont été désignés comme comptant parmi les « services essentiels au fonctionnement de la société ou de l’économie ».

Et, si la liste des OSE qui ont fait l’objet d’un arrêté de désignation demeure confidentielle, il n’y a plus aucun doute sur le fait que Pôle Emploi, établissement public administratif exerçant les services essentiels mentionnés, ait été désigné OSE au regard de l’ensemble des autres critères définis par le décret de 2018.

Pôle Emploi, OSE, est donc mû par les règles de cybersécurité issues de la directive NIS 1, et bientôt, par celles de la directive NIS 2[15] qui devra être transposée rapidement.

II. Quelles obligations ?

Les obligations des OSE sont de plusieurs ordres.

            L’obligation d’alerte

            La première d’entre elles, qui intéresse notre cas pratique, est inscrite à l’article 11 du décret de 2018. Les OSE désignés doivent, « dès qu’ils en ont connaissance »[16] déclarer à l’ANSSI les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de services essentiels lorsque ces incidents « ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d'utilisateurs et de la zone géographique touchés ainsi que de la durée de l'incident, un impact significatif sur la continuité de ces services ».

Le système d’alerte ainsi défini doit permettre à l’entité concernée de demander une assistance si nécessaire, et à l’ANSSI, d’en mesurer – voire d’en limiter – rapidement l’impact et la gravité, d’identifier les éléments de compromission, et d’évaluer plus tard les mesures de détection et de prévention déployées.

Peut-on considérer que Pôle Emploi était alors tenu d’alerter l’ANSSI au même titre qu’il était tenu de le faire pour la CNIL ?

La négative semble s’imposer, pour deux raisons principales.

            La première, – Pôle Emploi s’est d’ailleurs attaché à le préciser dans chacun de ses messages d’alerte, y compris dans son Communiqué de Presse – est qu’il ne semble pas que l’incident de cybersécurité ait entraîné un risque sur l’indemnisation et l’accompagnement des demandeurs d’emploi, ni sur leur accès à leur espace personnel. En ce sens, il serait difficile de considérer que l’incident ait eu « un impact significatif sur la continuité » des services essentiels délivrés par Pôle Emploi à savoir, le calcul et le paiement des aides à l’emploi.

            La question de la sous-traitance

            La seconde, et non des moindres, est que s’il fallait appliquer l’obligation à Pôle Emploi, cette dernière ne s’appliquerait pas pour autant à son sous-traitant, la société Majorel, en cause dans le cas présent. Aucune des règles de cybersécurité ayant permis de transposer la directive NIS 1 ne fait référence à la question de la chaîne logistique et de la sous-traitance.

D’ailleurs, au sein de la directive européenne elle-même, le seul renvoi aux sous-traitants se manifeste dans le préambule[17] sous l’emploi du conditionnel : « Les exigences en matière de sécurité et de notification devraient s'appliquer aux opérateurs de services essentiels et aux fournisseurs de service numérique concernés, que la maintenance de leurs réseaux et systèmes d'information soit assurée en interne ou qu'elle soit sous-traitée ».

Sur ce sujet, l’ANSSI a fait le choix de ne pas aller au-delà de ce dont dispose la directive. Pourtant, consciente depuis longtemps que les sous-traitants représentent aujourd’hui le maillon le plus faible de la chaîne de sécurité déployée par l’opérateur (public ou privé), elle indique tout de même sur son site internet[18] :

« Les OSE doivent prendre les mesures nécessaires notamment par voie contractuelle pour garantir le respect des règles de sécurité par les opérateurs tiers dont les systèmes d’information participent à la sécurité ou au fonctionnement de leurs SIE[19]. De ce fait, il apparaît nécessaire que les contrats conclus entre les OSE et les prestataires de services contiennent une clause d’auditabilité afin de permettre l’application du cadre réglementaire NIS et par conséquent des contrôles ».

En d’autres termes, l’ANSSI appelle de ses vœux, mais ne peut imposer, que les OSE intègrent dans leurs relations contractuelles avec les tiers sous-traitants des clauses leur imposant le respect des mêmes règles de sécurité, voire, la possibilité de se voir soumettre, au même titre que leur donneur d’ordres, aux mêmes contrôles de sécurité.

            Règles de sécurité et contrôles aléatoires

C’est là la deuxième partie de notre propos, les conclusions qui s’appliquent à l’obligation d’alerte précoce, s’appliquent malheureusement aussi aux autres catégories d’obligations imposées aux OSE, à savoir : l’application des règles de sécurité pour prévenir les incidents qui compromettent la sécurité des réseaux et des systèmes d’information[20] d’un côté, et la soumission à des contrôles aléatoires destinés à vérifier le niveau de sécurité de ces mêmes réseaux, de l’autre[21].

Les règles de sécurité qui s’appliquent aux OSE à compter de la date de leur désignation sont définies à l’arrêté du 14 septembre 2018[22] et s’intéressent à la fois à la gouvernance, la protection, la défense des réseaux et systèmes d’information des opérateurs, ainsi qu’à la résilience des activités qu’ils mènent et à la gestion des crises en cas d’incidents.

Parmi elles, on peut notamment s’intéresser à l’obligation de déployer et de mettre à jour une analyse de risque et une politique de sécurité des réseaux et des systèmes d’information (« PSSI ») adaptées, impliquant, pour ce qui concerne notre cas pratique, que soient identifiés en amont les rôles et les responsabilités du personnel interne et externe à l’égard de la sécurité des services d’information essentiels (« SIE »), ou encore par exemple, que soient définies les mesures de sécurité permettant de contrôler l’accès aux SIE, de détecter, de traiter, de gérer les risques, et d’assurer la reprise des activités.

Les systèmes d’information essentiels devraient être correctement cartographiés, configurés et cloisonnés, leur sécurité régulièrement auditée et homologuée pour permettre en fonction des cas d’éviter, ou de limiter la propagation des attaques informatiques.

L’opérateur doit protéger l’accès à ses systèmes d’information essentiels accessibles à distance, tout particulièrement lorsqu’ils sont accessibles à des utilisateurs externes via les réseaux publics : au moyen de mécanismes de chiffrement et d’authentification (notamment), conformes aux règles préconisées par l’ANSSI[23].

Elément important, l’opérateur doit également mettre en place des mécanismes de filtrage des flux de données qui circulent dans ses systèmes d’information essentiels de manière à limiter la circulation de flux de données inutiles qui seraient susceptibles de faciliter des attaques informatiques.

Enfin, la politique de sécurité implique qu’une attention particulière soit portée à l’égard des droits d’accès, à la fois de ceux des comptes administrateurs, et de ceux des utilisateurs externes, afin de s’assurer de la légitimité d’une personne à exécuter certaines actions d’administration, ou à accéder à certaines ressources. On le comprend, cette partie nous renvoie directement à la question de la sécurité des données, celles nécessaires de manière générale à la fourniture du service essentiel, mais celles, aussi, qui sont personnelles aux utilisateurs.

En outre, nous le mentionnions plus tôt, l’OSE désigné pourrait être soumis à un ou plusieurs contrôles destinés à vérifier le respect des règles de sécurité énoncées, et le niveau de sécurité de ses réseaux et systèmes d’information nécessaires à la fourniture de ses services essentiels.

La décision de procéder à un contrôle relève de la compétence du Premier Ministre[24], le contrôle lui-même est exercé par l’ANSSI[25], et donne lieu, à son issue, à la rédaction d’un rapport exposant les constatations de l’Agence. En cas de manquement constaté à l’occasion du contrôle qu’elle effectue, l’ANSSI est investie du pouvoir de mettre en demeure les dirigeants de l’opérateur de se conformer, dans le délai qu’elle fixe, aux obligations qui lui incombent quant au respect des règles de sécurité. L’article 9 de la loi de 2018 prévoit même la possibilité pour l’ANSSI d’infliger des amendes administratives à l’encontre de ces mêmes dirigeants dans plusieurs hypothèses parmi lesquelles, la non-conformité aux règles de sécurité passé le délai de la mise en demeure[26]. 

Opérateur de services essentiels, si ses sous-traitants y échappent, Pôle Emploi est bel et bien soumis à l’obligation d’appliquer les règles de sécurité ainsi exposées, et peut faire l’objet de contrôles aléatoires.

Ayant ces éléments en tête, plusieurs questions se posent alors à nous naturellement.

Si Pôle Emploi avait déjà été victime d’un incident de cybersécurité de grande ampleur en 2021, l’application des règles de sécurité élaborées par l’ANSSI auxquelles il est normalement soumis n’aurait-elle pas quand même pu permettre d’y échapper à l’été 2023 ?

Pôle Emploi avait-il, ou aurait-il dû être soumis à un contrôle de sécurité qui aurait permis de détecter les failles de sécurité, y compris via les accès autorisés à ses prestataires ?

Compte tenu de la dangerosité des fournisseurs et des sous-traitants par lesquels passent de plus en plus les cyber-attaquants, et dont s’inquiète elle-même l’ANSSI[27], les règles de cybersécurité auxquelles sont soumis les OSE ne devraient-elles pas aussi s’appliquer par extension à ces premiers ?

Sur ce dernier point, la directive NIS 2, récemment adoptée, pourrait bien changer la donne.

III. Les nouvelles règles de NIS 2.

            Devant la multiplication des incidents subis par les organismes publics et les acteurs économiques privés des Etats Membres de l’Union Européenne, ainsi que le constat du peu de cyber-résilience dont la plupart d’entre eux ont pu témoigner, le législateur européen s’est récemment emparé de la question cyber[28].

Le 14 décembre dernier, l’Union européenne a ainsi définitivement adopté la directive Network and Information Security 2 ou NIS2[29].

Publiée au Journal Officiel de l’Union Européenne le 27 décembre dernier, les Etats membres disposent d’un délai de 21 mois pour en transposer les exigences dans leur droit national soit, au plus tard, jusqu’au 17 octobre 2024.

En France, l’ANSSI travaille à élaborer avec les ministères compétents les premières mesures de transposition.

NIS 2 emporte avec elle d’importantes évolutions au droit de la cybersécurité[30]. Elle s’impose, non plus comme une seule mesure de sécurité informatique, mais aussi et avant tout, comme une mesure de sécurité économique à l’égard des acteurs du marché intérieur européen.

Ainsi, en France et dans tous les pays de l’Union Européenne, NIS 2 aura pour premier effet de gonfler le nombre d’entités – publiques autant que privées – concernées par les mesures cyber qu’elle dessine et qui seront précisées dans les ordres juridiques nationaux.

Oubliés les OSE et les FSN, NIS 2 met en place une nouvelle nomenclature. Seront désormais concernées par les règles de cybersécurité pour les secteurs indiqués, les entités publiques et privées dites « essentielles » et « importantes » [31] désignées comme telles en fonction de leur niveau de criticité et de l’impact que leur dysfonctionnement pourrait avoir, à l’exclusion, sauf exception, des micro et petites entreprises[32]. À l’échelle nationale, les mesures édictées par la directive devraient ainsi trouver à s’appliquer auprès de milliers d’entités appartenant à dix-neuf secteurs, soit environ 600 types d’entités différentes dont des administrations de toutes tailles, et des entreprises allant désormais de la PME à la multinationale[33].

            Sur le fond, pour se conformer à la directive, les législations nationales devront prévoir que les entités « essentielles » et « importantes » prennent toutes les mesures techniques et organisationnelles appropriées pour gérer les risques liés à la sécurité de leurs réseaux et de leurs systèmes d’information[34].

Et, bouleversement important pour ce qui nous concerne, ces règles contraignantes intègrent désormais pleinement la sécurité de la chaîne d’approvisionnement, « y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs »[35].

Au sens de la directive NIS 2, la sécurité des réseaux et des systèmes d’information ne peut donc plus s’envisager sans que ne soit appréhendée la question des fournisseurs, des sous-traitants, et des prestataires de services.

En préambule[36], elle indique d’ailleurs à ce titre que les entités essentielles et importantes devraient être invitées par les législateurs nationaux à évaluer et à prendre en compte les pratiques de cybersécurité de leurs fournisseurs, et à intégrer des clauses particulières de gestion des risques cyber dans leurs relations contractuelles.

Elément important pour notre analyse également, NIS 2 prévoit pour la première fois des éléments d’articulation entre ses propres règles et celles du RGPD, dans tous les cas où une infraction aux règles cyber commise par une entité essentielle ou importante donnerait lieu à une violation de données à caractère personnel[37]. Elle oblige les autorités de contrôle à communiquer entre elles (en France, l’ANSSI et la CNIL), et prévoit qu’un même comportement ne puisse pas faire l’objet à la fois d’une sanction administrative au titre du RGPD, et d’une amende administrative prononcée pour violation des règles cyber issues de la transposition de la directive NIS 2.

Notons à ce titre que, tout comme l’a fait le RGPD, puis l’a initié NIS 1, NIS 2 place les organes de direction des entités concernées par ses règles au centre des décisions en matière de cybersécurité.

Ces derniers devront avoir nécessairement approuvé de telles mesures avant qu’elles ne puissent être déployées dans l’entité[38],  mais en contrepartie, pourront être tenus pour responsable en cas de défaut et d’absence de dispositions suffisantes. La directive inclut à ce titre[39] la responsabilité des personnes physiques exerçant des responsabilités dirigeantes dans l’entité, ou capable de la représenter.

            Certaines des nouvelles mesures imposées par la directive NIS 2 sont ambitieuses, elles traduisent, malgré l’outil d’harmonisation minimale que représente la directive, la volonté d’avancer vers un système plus efficace d’anticipation et de gestion de la menace cyber pour préserver les économies européennes, en faisant pour la première fois le lien avec le volet de la protection des données personnelles des utilisateurs.

Cet été 2023 nous l’a encore démontré, le risque cyber n’a jamais été aussi élevé dans l’Union Européenne. Il menace, outre la viabilité économique de centaines de milliers d’acteurs, la fourniture de services essentiels au fonctionnement de nos sociétés, et les droits de leurs utilisateurs.

Espérons que le législateur national, encouragé par le travail de l’Agence Nationale de la Sécurité des Systèmes d’Information, opte pour une transposition ambitieuse des règles édictées par la nouvelle directive NIS 2.

[1] L’ensemble de la base de données s’échange contre 900 dollars sur un forum de hackers. Voir Numerama,  « Cyberattaque Pôle Emploi : les données de 10 millions de personnes vendues pour 900 dollars », 25 août 2023, https://www.numerama.com/cyberguerre/1482876-que-sait-on-de-la-fuite-de-donnees-de-pole-emploi.html

[2] Communiqué de Presse de la Direction Générale de Pôle Emploi, le 23 août 2023 : « Un prestataire de Pôle Emploi victime d’un acte de cyber-malveillance ».

[3] Voir notamment, Article Les Numériques, « 1,2 millions de Pôle Emploi sur le Net : le pirate renonce à la vente », 17 juin 2021.

[4] Directive (UE) 2016/1148 du Parlement Européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.

[5] Décret n°2009-834 du 7 juillet 2009 portant création d’un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d’information ».

[6] Loi n°2018-133 du 6 février 2018 portant diverses dispositions d’adaptation au droit de l’Union Européenne dans le domaine de la sécurité.

[7] Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique.

[8] Arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l’article 10 du décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique ; Arrêté du 13 juin 2018 fixant les modalités des déclarations prévues aux articles 8, 11 et 20 du décret n°2018-384 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de services numérique ; Arrêté du 1 er août 2018 relatif au coût d’un contrôle effectué par l’Agence nationale de la sécurité des systèmes d’information en application des articles 8 et 14 de la loi n°2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.

[9] Article R1332-2 du Code de la défense.

[10] Décret n°2006-212 du 23 février 2006 relatif à la sécurité des activités d’importance vitale ; Arrêté du 3 juillet 2008 portant modification de l'arrêté du 2 juin 2006 fixant la liste des secteurs d'activités d'importance vitale et désignant les ministres coordonnateurs desdits secteurs ;

[11] Loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale, Article 22.

[12] Loi n°2018-133 du 6 février 2018 précitée, Article 5.

[13] Liste annexée au Décret n°2018-384 prec.

[14] Article 2, Décret prec.

[15] Directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2)

[16] Article 11, Décret prec.

[17] §52, Directive (UE) 2016/1148 du parlement européen et du conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.

[18]https://www.ssi.gouv.fr/entreprise/reglementation/directive-nis/faq-operateurs-de-services-essentiels-ose/#:~:text=Seul%20l'%C3%A9tablissement%20support%20est,les%20SI%20de%20cet%20%C3%A9tablissement.

[19] Systèmes d’Information Essentiels.

[20] Article 6 de la loi 2018-384 précitée.

[21] Article 8 de la loi 2018-384 précitée.

[22] Arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l’article 10 du décret n°2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique, Annexe I.

[23] Voir « Recommandations pour la protection des systèmes d’information essentiels », guide ANSSI, ANSSI-PA-085, 18/12/2020.

[24] Article 13, Décret n°2018-384 prec.

[25] Ou par un prestataire de service qualifié.

[26] Le montant des amendes s’élève entre 75 000 € à 125 000 €, voir Loi n°2018-133 du 6 février 2018 précitée, article 9.

[27] Voir, « L’Anssi alerte sur la multiplication des cyberattaques via les fournisseurs et sous-traitants », Usine Nouvelle, 11 juin 2021.

[28] COM (2021) 574 final, ANNEX, Proposition de décision du Parlement européen et du Conseil établissant le programme d’action à l’horizon 2030 « La voie à suivre pour la décennie numérique », Bruxelles, le 15 sept. 2021.

[29] PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.

[30] Nous renvoyons le lecteur à notre article « Droit du numérique : quels changements pour 2023 ? », mars 2023.

[31] PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art.2.

[32] Commission européenne, recomm. n° 2003/361/CE, 6 mai 2003, concernant la définition des micro, petites et moyennes entreprises. Pour les microentreprises, il s’agit des entreprises qui occupent moins de dix personnes et dont le chiffre d’affaires annuel ou le total du bilan annuel n’excède pas deux millions d’euros. Pour les petites entreprises, les chiffres sont portés à 50 personnes et dix millions d’euros.

[33] « Directive NIS 2 : ce qui va changer pour les entreprises et les administrations françaises », Interview de Yves Verhoeven, Sous-Directeur Stratégie de l’ANSSI : https://www.ssi.gouv.fr/directive-nis-2-ce-qui-va-changer-pour-les-entreprises-et-ladministration-francaises/

[34] PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art.21.

[35] Idem.

[36] PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, Préambule, §85.

[37] PE et Cons. UE, dir. n° 2022/2555, 14 déc. 2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, art.35.

[38] Idem, art.20.

[39] Idem, art.32. De toute évidence, l’autorité nationale compétente devrait se voir reconnaître la possibilité de prononcer la responsabilité pénale du dirigeant d’entreprise.