Cyberlégislation

Source: news.admin.ch (Berne, 29.09.2025). Contexte: six mois après l’entrée en vigueur (1er avril 2025) de l’obligation légale de signaler les cyberattaques visant les infrastructures critiques, l’Office fédéral de la cybersécurité (OFCS) publie un bilan et annonce l’entrée en vigueur des sanctions au 1er octobre 2025. • L’OFCS se dit globalement satisfait: les organisations respectent le délai de 24 heures pour signaler et l’usage du Cyber Security Hub facilite nettement le traitement des incidents. La relation de confiance préexistante entre l’OFCS et de nombreux exploitants a favorisé ce lancement réussi. ...

Contexte: The Record rapporte, sur la base d’un communiqué de presse, que les sénateurs Chuck Schumer (D‑NY), Maria Cantwell (D‑WA) et Ed Markey (D‑MA) portent un projet de loi ciblant l’usage commercial des signaux cérébraux. — Objet du texte: protéger les individus contre la collecte, la vente ou le mélange de leurs signaux cérébraux par des entités commerciales. — Risque visé: empêcher des pratiques susceptibles d’influencer les décisions, les émotions ou les achats des personnes via l’exploitation de ces données neuronales. ...

Selon une plainte déposée au US District Court for the District of New Jersey, Ace American Insurance Co. (filiale de Chubb Ltd.) poursuit des sociétés de gestion de données et de cybersécurité, affirmant qu’elles ont échoué à prévenir ou atténuer une attaque par ransomware ayant touché l’assuré CoWorx Staffing Services. 💼⚖️ L’assureur indique avoir versé plus de 500 000 $ au titre de la police cyber en réponse à l’attaque survenue en 2024. 💸 L’action vise à recouvrer ces coûts auprès des prestataires jugés défaillants. ...

Source: oag.dc.gov (Office of the Attorney General for the District of Columbia). Contexte: Le 8 septembre 2025, le procureur général Brian L. Schwalb a intenté une action en justice contre Athena Bitcoin, Inc., opérateur majeur de distributeurs de bitcoins (BTMs), pour frais cachés et manquements aux mesures antifraude. L’OAG affirme qu’Athena « sait » que ses machines sont massivement utilisées dans des escroqueries et qu’elle applique des frais non divulgués tout en refusant les remboursements aux victimes. L’enquête indique que les BTMs d’Athena attirent des criminels en raison d’une surveillance inefficace, facilitant une fraude internationale, avec un ciblage fréquent des personnes âgées. ...

Source: The Record (Recorded Future News) — Dans un article de Suzanne Smalley, le média décrit un projet de réglementation suisse qui inquiète fortement les acteurs de la confidentialité numérique et les défenseurs des libertés en ligne. Le projet imposerait aux fournisseurs de services de plus de 5 000 utilisateurs la collecte d’une pièce d’identité officielle, une rétention de données de 6 mois (adresses email, numéros de téléphone, noms, adresses IP et numéros de port des appareils), et, dans de nombreux cas, la désactivation du chiffrement. Selon Chloé Berthélémy (eDRI), les autorités pourraient obtenir ces données via une simple demande, court-circuitant des mécanismes de contrôle existants comme les ordonnances judiciaires. ...

Selon The Record, un projet de mise à jour de la loi nationale chinoise sur la cybersécurité vise à modifier le cadre actuel de supervision et de conformité. Points clés 📌 Renforcement du contrôle étatique sur les produits technologiques. Hausse des pénalités à l’encontre des entreprises et dirigeants ne respectant pas les exigences. (Notamment en cas de cyber incident) Portée et cibles Le texte vise l’écosystème technologique en Chine et s’appliquerait aux organisations et responsables soumis aux exigences de la loi nationale sur la cybersécurité. Conclusion ...

Selon The Record, le Tribunal de l’Union européenne a rejeté le recours d’un parlementaire français contre le EU–U.S. Data Privacy Framework (DPF), le mécanisme encadrant les transferts de données entre l’UE et les États‑Unis. ⚖️ Décision clef: le Tribunal a considéré qu’une juridiction américaine de protection des données fournit un contrôle indépendant des agences de renseignement américaines concernant la surveillance potentielle des données des Européens. 🧩 Enjeu: la décision confirme la validité du cadre de transfert de données transatlantique face à cette contestation spécifique, en s’appuyant sur l’existence d’un mécanisme de recours et d’oversight du côté américain. ...

Selon Bridewell, la Cour générale de l’Union européenne a confirmé la validité du Data Privacy Framework (DPF) UE–États-Unis, préservant une voie légale pour transférer des données personnelles depuis l’UE vers des organisations américaines certifiées. L’analyse souligne que cette décision apporte une certitude à court terme aux entreprises, mais rappelle l’historique de contestations de cadres similaires, incitant à ne pas se reposer exclusivement sur le DPF. Elle recommande de mettre en place des mécanismes de transfert alternatifs comme les Clauses Contractuelles Types (SCCs) en solution de secours, de réaliser des Transfer Impact Assessments (TIAs) ou Transfer Risk Assessments (TRAs), et d’assurer une veille réglementaire continue pour maintenir la conformité et la continuité d’activité. ...

Selon L’Usine Digitale (26 août 2025), la Commission européenne et l’ENISA ont signé un accord de contribution confiant à l’agence l’administration et le fonctionnement de la Réserve européenne de cybersécurité, avec une enveloppe de 36 M€ sur trois ans, contrôlée par l’exécutif européen et s’ajoutant à un budget annuel de 26,9 M€. Cette réserve, prévue à l’article 14 du Cyber Solidarity Act (adopté en 2024), vise à doter l’UE de capacités communes de réponse aux incidents majeurs et à répondre aux incidents transfrontaliers significatifs. Elle comble une lacune de longue date en matière de réponse coordonnée aux attaques de grande ampleur. ...

Selon incyber.org (article signé par Marie De Freminville, 26 août 2025), la directive européenne NIS2 doit être transposée par chaque État membre (échéance octobre 2024) et renforce fortement les exigences de cybersécurité, de gestion des risques et de réponse aux incidents par rapport à NIS 2016. Bien que non directement applicable en Suisse, de nombreuses entreprises suisses sont concernées dès lors qu’elles opèrent dans l’UE, font partie de chaînes d’approvisionnement critiques ou traitent des données de citoyens européens. ...