Précédemment, nous évoquions que le droit de la SSI
n’existait pas en tant que tel mais qu’il existait plutôt une multitude de
dispositions légales relatives à la SSI,
éparpillées dans le vaste corpus juridique français[1].
Toutefois,
peut importe de l’existence d’un droit sanctifié de la SSI tant que celui-ci
arrive à s’imposer. Ainsi, il s’agit surtout de s‘interroger sur
l’applicabilité réelle des aspects légaux de la SSI et, notamment, de l’efficacité des éventuelles
sanctions existantes.
L’actualité
des derniers mois souligne que certaines de ces sanctions SSI semblent un peu
malmenées.
Tout d’abord, dans un arrêt du 5 juillet 2013, le Conseil Constitutionnel saisi d’une question prioritaire de constitutionnalité (QPC) a déclaré inconstitutionnels les 12 premiers alinéas de l’article L36-11 du code des postes et des communications électroniques (CPCE) relatifs aux modalités de sanction par l’ARCEP d’exploitants de réseaux ou de fournisseurs de services de communications électroniques en cas de manquements de ces derniers. Le Conseil Constitutionnel a déclaré que ces dispositions violaient le principe d’impartialité garanti par la Constitution en n’assurant pas « la séparation au sein de l’Autorité entre, d’une part, les fonctions de poursuite et d’instruction des éventuels manquements et, d’autre part, les fonctions de jugement des mêmes manquements »[2].
Cette
décision est d’effet immédiat et est donc applicable à toutes les procédures en
cours devant l'ARCEP ainsi qu'à toutes les instances non définitivement jugées
à cette date. Ainsi, un vide juridique est apparu et l’ARCEP se retrouve, en
partie, démunie pour sanctionner les opérateurs.
Un autre exemple emblématique est la suppression de la sanction phare du dispositif HADOPI à savoir la coupure d’accès à Internet d’un abonné suite à des téléchargements illégaux réitérés. En cause
Un autre exemple emblématique est la suppression de la sanction phare du dispositif HADOPI à savoir la coupure d’accès à Internet d’un abonné suite à des téléchargements illégaux réitérés. En cause
L’HADOPI
ne se retrouve pas, sans cette menace, désarmée dans sa lutte contre le
téléchargement illégal mais le symbole de la suppression reste fort. D'autant
Ces deux exemples spécifiques ne font que souligner le constat évident que le droit de la SSI est difficilement applicable en raison du manque de sanctions efficaces.
Pourtant, les efforts en matière
de cybersécurité sont de plus en plus mis en avant. En témoigne, entre autres, la
montée en puissance de l’ANSSI. Sauf que, l’ANSSI, autorité nationale, ne
dispose pas de pouvoir de sanction. Or, dans un domaine voisin, celui de la
protection des données à caractère personnel, la CNIL, Autorité Administrative
Indépendante (AAI) le possède.
En
effet, la CNIL a, notamment, recours aux sanctions pécuniaires et pour des motifs de plus en
plus large : par exemple,
Cependant,
les contrôles de la CNIL,
Le Livre
blanc de la défense et de la sécurité nationale paru le 29 avril 2013 met en
avant le renforcement législatif et réglementaire du domaine cyber et notamment
concernant les opérateurs d’importance vitale (OIV) qui devront respecter des
standards de sécurité mais surtout,
Les
fondements de ce nouveau dispositif devraient être mis en place dans la
prochaine loi de programmation militaire (LPM) dont le vote est prévu pour la
fin de l’été. Souhaitons que
ce dispositif prévoit des sanctions réalistes, justes et
efficaces.
Enfin,
dernière proposition : agir sur l’humain.
La bonne
application de toute loi s’effectue par une bonne compréhension des
dispositions législatives par les juges et avocats, premiers destinataires des
lois. Or, force est de constater que les dispositions pénales relatives à la
SSI[8] qui devraient être, par
principe, assorties de sanctions efficaces sont rarement utilisées. Les jurisprudences sont quasiment
absentes et les peines maximales indiquées ne sont que partiellement
appliquées.
Ainsi,
le levier de la formation et la sensibilisation des professions judicaires à la
SSI et à ses problématiques doit être rapidement actionné. Dans un premier
temps, la vulgarisation et une bonne pédagogie devront permettre une meilleure compréhension des enjeux stratégiques de
la SSI.
[1]Cf
article du 1er juillet « le droit de la sécurité des systèmes
d’information (SSI) n’existe pas »
[2]Décision n°
2013-331 QPC du 05 juillet 2013 Société Numéricâble SAS et autre-JORF
du 7 juillet 2013 page 11356
[3]Décret
n° 2013-596 du 8 juillet 2013 supprimant la peine contraventionnelle
complémentaire de suspension de l'accès à un service de communication au public
en ligne et relatif aux modalités de transmission des informations prévue à l'article L.
331-21 du code de la propriété intellectuelle.
[4]Les
trois autres procédures ont abouti à une amende de 150 euros, une relaxe et une
condamnation, assortie d'une dispense de peine.
[5]Le
9 juillet 2013, Madame Fillippetti, ministre de la Culture et de la
Communication, aurait déclaré que l’HADOPI allait être supprimée.
[6]Délibération
de la formation restreinte n° 2013-139 du 30 mai 2013 SAS PROFESSIONAL SERVICE
CONSULTING dite PS Consulting
[7]Rapport
annuel 2012 de la CNIL.
[8]Articles
321-1 à 321-4 du code pénal
Aucun commentaire:
Enregistrer un commentaire