Council Regulation (EU) 2019/796 of 17 May 2019 concerning restrictive measures against cyber-attacks threatening the Union or its Member States

• Published date: 17 May 2019
• Official Gazette Publication: Journal officiel de l'Union européenne, L 129 I, 17 mai 2019,Gazzetta ufficiale dell'Unione europea, L 129 I, 17 maggio 2019,Diario Oficial de la Unión Europea, L 129 I, 17 de mayo de 2019

17.5.2019 FR Journal officiel de l'Union européenne LI 129/1

---

RÈGLEMENT (UE) 2019/796 DU CONSEIL

du 17 mai 2019

concernant des mesures restrictives contre les cyberattaques qui menacent l'Union ou ses États membres

LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 215,

vu la décision (PESC) 2019/797 du 17 mai 2019 du Conseil concernant des mesures restrictives contre les cyberattaques menaçant l'Union ou ses États membres (1),

vu la proposition conjointe du haut représentant de l'Union pour les affaires étrangères et la politique de sécurité et de la Commission européenne,

considérant ce qui suit:

(1) Le 18 octobre 2018, le Conseil européen a adopté des conclusions invitant à poursuivre les travaux sur la capacité de réaction aux cyberattaques et de dissuasion de ces attaques par des mesures restrictives de l'Union, à la suite des conclusions du Conseil du 19 juin 2017.

(2) Le 17 mai 2019, le Conseil a adopté la décision (PESC) 2019/797. La décision (PESC) 2019/797 établit un cadre pour des mesures restrictives ciblées visant à dissuader et contrer les cyberattaques ayant des effets importants qui constituent une menace extérieure pour l'Union ou ses États membres. Les personnes, entités et organismes faisant l'objet des mesures restrictives sont inscrits sur la liste qui figure à l'annexe de ladite décision.

(3) Le présent règlement respecte les droits fondamentaux et observe les principes reconnus par la charte des droits fondamentaux de l'Union européenne, notamment les droits à un recours effectif et à accéder à un tribunal impartial, ainsi que le droit à la protection des données à caractère personnel. Il convient que le présent règlement soit appliqué dans le respect de ces droits.

(4) Le pouvoir d'établir et de modifier la liste figurant à l'annexe I du présent règlement devrait être exercé par le Conseil dans un souci de cohérence avec la procédure d'élaboration, de modification et de révision de l'annexe de la décision (PESC) 2019/797.

(5) Aux fins de l'exécution du présent règlement et en vue d'assurer une sécurité juridique maximale dans l'Union, les noms et autres données utiles concernant les personnes physiques et morales, les entités et les organismes dont les fonds et les ressources économiques doivent être gelés conformément au présent règlement devraient être rendus publics. Tout traitement de données à caractère personnel devrait être conforme aux règlements (UE) 2016/679(2) et (UE) 2018/1725 (3) du Parlement européen et du Conseil.

(6) Il convient que les États membres et la Commission s'informent mutuellement des mesures prises en vertu du présent règlement et se communiquent toute autre information utile dont ils disposent en relation avec le présent règlement.

(7) Il convient que les États membres fixent les règles régissant les sanctions applicables en cas de violation des dispositions du présent règlement et veillent à ce qu'elles soient appliquées. Il convient que lesdites sanctions soient effectives, proportionnées et dissuasives,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

Article premier

1. Le présent règlement s'applique aux cyberattaques ayant des effets importants, y compris les tentatives de cyberattaques ayant des effets potentiels importants, qui constituent une menace extérieure pour l'Union ou ses États membres.

2. Les cyberattaques constituant une menace extérieure sont notamment celles qui:

a) ont leur origine ou sont menées à l'extérieur de l'Union;

b) utilisent des infrastructures situées à l'extérieur de l'Union;

c) sont menées par toute personne physique ou morale, toute entité ou tout organisme établi ou agissant à l'extérieur de l'Union; ou

d) sont menées avec l'appui, sur les instructions ou sous le contrôle de toute personne physique ou morale, entité ou organisme agissant à l'extérieur de l'Union.

3. À cette fin, les cyberattaques sont des actions faisant intervenir l'un ou l'autre des éléments suivants:

a) l'accès aux systèmes d'information;

b) les atteintes à l'intégrité d'un système d'information;

c) les atteintes à l'intégrité des données; ou

d) l'interception de données,

lorsque ces actions ne sont pas dûment autorisées par le propriétaire du système ou des données ou d'une partie du système ou des données ou par une autre personne détenant des droits sur le système ou les données ou une partie du système ou des données, ou sont en contravention avec le droit de l'Union ou de l'État membre concerné.

4. Les cyberattaques constituant une menace pour les États membres sont notamment celles qui portent atteinte aux systèmes d'information en ce qui concerne, notamment:

a) les infrastructures critiques, y compris les câbles sous-marins et les objets lancés dans l'espace extra-atmosphérique, qui sont indispensables au maintien des fonctions vitales de la société, ou à la santé, la sûreté, la sécurité et au bien-être économique ou social des citoyens;

b) les services nécessaires au maintien d'activités sociales et/ou économiques critiques, en particulier dans les secteurs de l'énergie (électricité, pétrole et gaz); des transports (aériens, ferroviaires, fluviaux, maritimes et routiers); des activités bancaires; des infrastructures des marchés financiers; de la santé (prestataires de soins, hôpitaux et cliniques privées); de l'approvisionnement en eau potable et sa distribution; des infrastructures numériques; et tout autre secteur essentiel pour l'État membre concerné;

c) les fonctions critiques des États, en particulier dans les domaines de la défense, de la gouvernance et du fonctionnement des institutions, y compris pour ce qui est des élections publiques ou de la procédure de vote, du fonctionnement de l'infrastructure économique et civile, de la sécurité intérieure et des relations extérieures, y compris dans le cadre de missions diplomatiques;

d) le stockage ou le traitement des informations classifiées; ou

e) les équipes d'intervention d'urgence mises en place par les pouvoirs publics.

5. Les cyberattaques constituant une menace pour l'Union sont notamment celles qui sont dirigées contre ses institutions, organes et organismes, ses délégations auprès de pays tiers ou d'organisations internationales, ses opérations et missions organisées dans le cadre de la politique de sécurité et de défense commune (PSDC) et ses représentants spéciaux.

6. Lorsque cela est jugé nécessaire pour réaliser les objectifs de la politique étrangère et de sécurité commune (PESC) figurant dans les dispositions pertinentes de l'article 21 du traité sur l'Union européenne, des mesures restrictives au titre du présent règlement peuvent également être appliquées en réponse à des cyberattaques ayant des effets importants dirigées contre des pays tiers ou des organisations internationales.

7. Aux fins du présent règlement, on entend par:

a) «système d'information»: un dispositif isolé ou un ensemble de dispositifs interconnectés ou apparentés, qui assure ou dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques, ainsi que les données informatiques stockées, traitées, récupérées ou transmises par ce dispositif ou cet ensemble de dispositifs en vue du fonctionnement, de l'utilisation, de la protection et de la maintenance de celui-ci;

b) «atteinte à l'intégrité d'un système d'information»: le fait d'entraver ou d'interrompre le fonctionnement d'un système d'information en introduisant, en transmettant, en endommageant, en effaçant, en détériorant, en altérant ou en supprimant des données numériques, ou en les rendant inaccessibles;

c) «atteinte à l'intégrité des données»: l'effacement, l'endommagement, la détérioration, l'altération ou la suppression de données numériques dans un système d'information, ou le fait de rendre ces données inaccessibles; cette notion couvre également le vol de données, de fonds, de ressources économiques ou de droits de propriété intellectuelle;

d) «interception de données»: le fait d'intercepter, par des moyens techniques, des transmissions privées de données numériques à destination, à partir ou au sein d'un système d'information, y compris les émissions électromagnétiques provenant d'un système d'information transportant de telles données numériques

8. Aux fins du présent règlement, les définitions supplémentaires suivantes s'appliquent:

a) «demande»: toute demande, sous forme contentieuse ou non, introduite antérieurement ou postérieurement à la date d'entrée en vigueur du présent règlement résultant d'un contrat ou liée à l'exécution d'un contrat ou d'une opération, et notamment:

i) une demande visant à obtenir l'exécution de toute obligation résultant d'un contrat ou d'une opération ou liée à un contrat ou à une opération;

ii) une demande visant à obtenir la prorogation ou le paiement d'une obligation, d'une garantie ou d'une contre-garantie financières, quelle qu'en soit la forme;

iii) une demande d'indemnisation se rapportant à un contrat ou à une opération;

iv) une demande reconventionnelle;

v) une demande visant à obtenir, y compris par voie d'exequatur, la reconnaissance ou l'exécution d'un jugement, d'une sentence arbitrale ou d'une décision équivalente, quel que soit le lieu où ils ont été rendus;

b) «contrat ou opération»: toute opération, quelle qu'en soit la forme et quel que soit le droit qui lui est applicable, comportant un ou plusieurs contrats ou obligations similaires établis entre des parties identiques ou non; à cet effet, le terme «contrat»...