Les fabricants d’appareils connectés de tous types pourraient avoir à payer des amendes allant jusqu’à 15 millions d’euros en cas de non-conformité avec les nouvelles règles de cybersécurité envisagées par la Commission Européenne (CE).

La Commission a publié le 15 septembre le projet d’un nouveau texte baptisé Cyber Resilience Act (Législation sur la cyber résilience) qui vise à renforcer la sécurité sur les appareils connectés et les logiciels associés vendus dans l’Union Européenne.

Les fabricants seraient en particulier tenus responsables de la sécurité des produits pendant leur cycle de vie complet.

Thierry Breton, commissaire responsable du marché intérieur, a souligné que de nombreux équipements et logiciels ne sont sujets à aucune règle en matière de sécurité.

« Quand il s’agit de cybersécurité, l’Europe est aussi forte que son maillon le plus faible, qu’il s’agisse d’un État membre vulnérable, ou un produit mal sécurisé dans la chaîne d’approvisionnement », a expliqué le commissaire européen.

Thierry Breton note que chaque appareil mal sécurisé, qu’il s’agisse d’un ordinateur, d’un smartphone, d’un jouet ou d’une voiture, « est un point d’entrée possible pour une cyberattaque ».

Les pénalités infligées pour d’éventuelles violations de la nouvelle réglementation seront sévères, avec des amendes pouvant grimper jusqu’à 15 millions d’euros ou 2,5 % du chiffre d’affaires mondial – la somme la plus élevée étant payable.

Les entreprises contrevenantes pourraient également avoir à payer jusqu’à 10 millions d’euros ou 2 % du CA pour des manquements moins sérieux, tandis que celles qui fourniront des informations « incorrectes, incomplètes ou trompeuses » devront régler des amendes allant jusqu’à 5 millions ou 1 % du CA.

Le Parlement européen et le Conseil doivent maintenant examiner le projet. Une fois adopté, les sociétés concernées et les États membres auront deux années pour s’adapter aux nouvelles exigences.