Commission Delegated Regulation (EU) 2022/30 of 29 October 2021 supplementing Directive 2014/53/EU of the European Parliament and of the Council with regard to the application of the essential requirements referred to in Article 3(3), points (d), (e) and (f), of that Directive (Text with EEA relevance)

Published date12 January 2022
Subject MatterTelecommunications,Internal market - Principles,Approximation of laws
Official Gazette PublicationOfficial Journal of the European Union, L 007, 12 January 2022
L_2022007FR.01000601.xml
12.1.2022 FR Journal officiel de l’Union européenne L 7/6

RÈGLEMENT DÉLÉGUÉ (UE) 2022/30 DE LA COMMISSION

du 29 octobre 2021

complétant la directive 2014/53/UE du Parlement européen et du Conseil en ce qui concerne l’application des exigences essentielles visées à l’article 3, paragraphe 3, points d), e) et f), de cette directive

(Texte présentant de l’intérêt pour l’EEE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne,

vu la directive 2014/53/UE du Parlement européen et du Conseil du 16 avril 2014 relative à l’harmonisation des législations des États membres concernant la mise à disposition sur le marché d’équipements radioélectriques et abrogeant la directive 1999/5/CE (1), et notamment son article 3, paragraphe 3, second alinéa, lu conjointement avec son article 3, paragraphe 3, premier alinéa, points d), e) et f),

considérant ce qui suit:

(1) La protection du réseau ou de son fonctionnement contre les dommages, la protection des données à caractère personnel et de la vie privée de l’utilisateur et de l’abonné et la protection contre la fraude sont des éléments qui contribuent à la protection contre les risques en matière de cybersécurité.
(2) Comme le précise le considérant 13 de la directive 2014/53/UE, des fonctionnalités spéciales des équipements radioélectriques permettraient de renforcer la protection des données à caractère personnel et de la vie privée des utilisateurs d’équipements radioélectriques et des abonnés à ces derniers, de même que la protection contre la fraude. Selon ce même considérant, dans les cas appropriés, les équipements radioélectriques devraient donc être conçus de manière à être compatibles avec ces fonctionnalités.
(3) La 5G jouera un rôle déterminant dans le développement de l’économie et de la société numériques de l’Union dans les prochaines années et est susceptible d’influer sur presque tous les aspects de la vie des citoyens de l’Union. Le document intitulé «Cybersecurity of 5G networks — EU Toolbox of risk mitigating measures» (Cybersécurité des réseaux 5G — Boîte à outils de l’UE contenant des mesures d’atténuation des risques) (2) définit un ensemble commun possible de mesures permettant d’atténuer les principaux risques en matière de cybersécurité des réseaux 5G et fournit des orientations pour la sélection de mesures à privilégier dans les plans d’atténuation à l’échelon national et de l’Union. Outre ces mesures, il est très important d’adopter une approche harmonisée en ce qui concerne les exigences essentielles relatives aux éléments de protection de la cybersécurité applicables aux équipements radioélectriques 5G lorsqu’ils sont mis sur le marché de l’Union.
(4) Le niveau de sécurité applicable en vertu des exigences essentielles de l’Union énoncées à l’article 3, paragraphe 3, points d), e) et f), pour assurer la protection du réseau, garantir des sauvegardes afin d’assurer la protection des données à caractère personnel et de la vie privée et assurer la protection contre la fraude ne doit pas compromettre le niveau élevé de sécurité requis au niveau national pour les réseaux intelligents décentralisés dans le domaine de l’énergie, pour lesquels des compteurs intelligents soumis à ces exigences doivent être utilisés, et pour les équipements du réseau 5G utilisés par les fournisseurs de réseaux de communications électroniques publics et de services de communications électroniques accessibles au public au sens de la directive (UE) 2018/1972 du Parlement européen et du Conseil (3).
(5) De nombreuses préoccupations ont également été exprimées quant à l’augmentation des risques en matière de cybersécurité résultant de l’utilisation accrue par les professionnels et les consommateurs, y compris les enfants, d’équipements radioélectriques qui: i) sont capables de communiquer par eux-mêmes sur l’internet, qu’ils communiquent directement ou par l’intermédiaire d’autres équipements («équipements radioélectriques connectés à l’internet»), c’est-à-dire que ces équipements connectés à l’internet exécutent les protocoles nécessaires pour échanger des données avec l’internet, directement ou au moyen d’un équipement intermédiaire; ii) peuvent être des jouets dotés d’une fonction radio, qui relèvent également de la directive 2009/48/CE du Parlement européen et du Conseil (4), ou bien être destinés exclusivement à la garde d’enfants, ou être conçus à cette fin, comme les moniteurs de surveillance des enfants; ou iii) sont conçus ou destinés, exclusivement ou non, à être portés sur une partie du corps (y compris la tête, le cou, le torse, les bras, les mains, les jambes et les pieds) ou sur tout vêtement porté par des êtres humains (y compris les vêtements couvrant la tête, les mains et les pieds), ou bien attachés ou suspendus à ceux-ci, tels que les équipements radioélectriques sous forme de montres-bracelets, de bagues, de bracelets, de casques, d’écouteurs ou de lunettes («équipements radioélectriques portables»).
(6) Dans ce contexte, tout équipement radioélectrique destiné à la garde d’enfants, tout équipement radioélectrique couvert par la directive 2009/48/CE ou tout équipement radioélectrique portable, capable de communiquer par lui-même sur l’internet, qu’il communique directement ou par l’intermédiaire d’un autre équipement, doit être considéré comme un équipement radioélectrique connecté à l’internet. Les implants, par exemple, ne devraient pas être considérés comme des équipements radioélectriques portables car ils ne sont pas portés sur une partie du corps ou sur un vêtement, ni attachés ou suspendus à ceux-ci. Ils devraient toutefois être considérés comme des équipements radioélectriques connectés à l’internet s’ils sont capables de communiquer par eux-mêmes sur l’internet, qu’ils communiquent directement ou par l’intermédiaire d’un autre équipement.
(7) Compte tenu des préoccupations soulevées par le fait que les équipements radioélectriques n’assurent pas une protection contre les éléments de risques en matière de cybersécurité, il est nécessaire de rendre applicables, pour les équipements radioélectriques de certaines catégories ou classes, les exigences essentielles de la directive 2014/53/UE associées à la protection contre les atteintes au réseau, à la protection des données à caractère personnel et de la vie privée des utilisateurs et des abonnés et à la protection contre la fraude.
(8) La directive 2014/53/UE s’applique aux produits qui répondent à la définition de l’«équipement radioélectrique» donnée à l’article 2 de ladite directive, sous réserve de certaines exclusions précisées à l’article 1er, paragraphes 2 et 3, de ladite directive. Alors que la définition de l’équipement radioélectrique énoncée à l’article 2 de la directive 2014/53/UE fait référence aux équipements capables de communiquer au moyen d’ondes radioélectriques, il n’est fait, dans les exigences de ladite directive, aucune distinction entre les fonctions radio et non radio des équipements radioélectriques; par conséquent, tous les aspects et toutes les parties de l’équipement devraient être conformes aux exigences essentielles prévues par le présent règlement délégué.
(9) En ce qui concerne les atteintes au réseau ou à son fonctionnement ou la mauvaise utilisation des ressources du réseau, une détérioration inacceptable du service peut être provoquée par des équipements radioélectriques connectés à l’internet qui ne garantissent pas qu’il n’est pas porté atteinte aux réseaux ou que ceux-ci ne sont pas utilisés à mauvais escient. Par exemple, un attaquant peut «inonder» le réseau internet par malveillance pour empêcher le trafic légitime sur le réseau, perturber les connexions entre deux produits radioélectriques, empêchant ainsi l’accès à un service, empêcher une personne particulière d’accéder à un service, perturber le service d’un système ou d’une personne spécifique ou interrompre l’information. La dégradation des services en ligne peut ainsi donner lieu à des cyberattaques malveillantes, qui entraîneront une augmentation des coûts, des désagréments ou des risques pour les opérateurs, les fournisseurs de services ou les utilisateurs. L’article 3, paragraphe 3, point d), de la directive 2014/53/UE, qui dispose que les équipements radioélectriques ne portent pas atteinte au réseau ou à son fonctionnement ni ne font une mauvaise utilisation des ressources du réseau, provoquant ainsi une détérioration inacceptable du service, devrait donc s’appliquer aux équipements radioélectriques connectés à l’internet.
(10) Des préoccupations ont également été exprimées en ce qui concerne la protection des données à caractère personnel et de la vie privée des utilisateurs d’équipements radioélectriques connectés à l’internet et des abonnés à
...

To continue reading

Request your trial

VLEX uses login cookies to provide you with a better browsing experience. If you click on 'Accept' or continue browsing this site we consider that you accept our cookie policy. ACCEPT