Riches sont les années 2012 et 2013 pour la réglementation
de la SSI au niveau européen. Le dernier exemple en date est la directive du 12
août 2013 relative aux attaques contre les systèmes d’information [1].
Cette directive vise à harmoniser les législations en vigueur en matière de
lutte contre la cybercriminalité et à instaurer une coopération renforcée dans
l’Union européenne par la mise en place d’un système coordonné de suivi des
infractions. La directive devra être transposée en droit national d’ici le 4
septembre 2015.
La directive n’apporte pas d’avancée majeure en matière de
réglementation de la cybercriminalité. Toutefois, elle a le mérite
d’uniformiser et de mieux définir les infractions pénales. Elle permet aussi de
contraindre les entreprises à qui il revient d’apporter la preuve de leur
diligence en matière de surveillance et de protection contre les cyberattaques
commises par leurs propres salariés. Enfin, elle favorise le renforcement de la
coopération entre les Etats membres toujours en matière de cybercriminalité.
Pourtant, ce nouvel acte législatif européen a le défaut de
n’être seulement « qu’une » directive [2].
En effet, l’Union européenne a à sa disposition plusieurs outils règlementaires dont la directive et le règlement. A la différence de la directive qui ne fixe seulement que des objectifs à tous les pays-membres de l'Union Européenne, en leur laissant à chacun le choix des moyens pour les atteindre, le règlement est lui, au contraire, un acte législatif contraignant qui doit être mis en œuvre dans son intégralité et dans toute l'Union européenne.
Le règlement est également d’application directe et permet d’imposer à tous
les Etats membres la même et unique réglementation sur un sujet précis. En
matière de droit de la SSI qui a dû mal à contraindre [3],
le règlement européen apparaît comme un outil efficace.
Par exemple, le
règlement européen du 24 juin 2013 concernant les mesures relatives à
la notification des violations de données à caractère personnel [4] impose aux
opérateurs de communications électroniques de notifier la CNIL dans les 24h
de la violation puis dans les 4 jours lui adresser un ensemble d’informations à ce
sujet [5].
Ces délais sont impératifs.
Souhaitons la même efficacité pour le projet
de règlement européen sur la protection des données [6] qui est prévu pour
la fin de l’année 2013.
Mais, le règlement comporte également des
inconvénients. Le principal s’illustre au travers du projet de règlement
européen sur l'identification électronique et les services de confiance pour
les transactions électroniques au sein du marché intérieur [7]. Ce règlement, par son
manque de précision et par ses nombreux renvois aux actes délégués et
d’exécution [8], présage un certain
nivellement par le bas au niveau des exigences de sécurité [9]. En effet, l’objectif
principal affiché du règlement est la restriction des obstacles au
développement du marché européen en la matière.
La sécurité, souvent vue comme un centre de coûts, pourrait donc
représenter un obstacle majeur.
Cette hypothèse mise à part, l’action
européenne se voit plébiscitée dans le domaine de la fiscalité du numérique.
Dans son rapport d’information « l'Union
européenne, colonie du monde numérique ? », la sénatrice Mme
Catherine MORIN-DESAILLY invite
« la Commission européenne à proposer la création d’un impôt numérique
européen destiné à contribuer au financement des réseaux de nouvelle génération
et à celui de la création, neutre à l’égard des modèles d’affaires, visant une
matière imposable qui soit au cœur de l’économie numérique et non délocalisable
et enfin propice au développement du numérique et à l’innovation» [10].
Ce rapport insiste bien sur la création d’un impôt
européen malgré le fait que la souveraineté fiscale est en principe nationale.
Cette proposition a été renforcée par l’avis du 10 septembre
2013 du Conseil national du numérique [11]
qui rejette également l’idée d’une fiscalité nationale du numérique. En effet,
il s’oppose à l’adoption d’une taxe nationale destinée aux entreprises du
numérique calculée sur la base du volume des données personnelles qu’elles
exploitent et collectent. Il conseille de « déployer, à l’initiative de la
France et ses partenaires, une politique industrielle européenne du numérique
qui permette de cultiver l’écosystème des entreprises ». Ces
recommandations devraient prises en compte dans le cadre du projet de loi de
finances pour 2014.
Cette volonté de pousser l’Union européenne à créer des
impôts est significative de la période de crise économique dans lequel nous
nous trouvons et où la création de nouveaux impôts est difficile à faire
accepter à l’opinion publique. Mais
au-delà, il s’agit d’un exemple que l’action commune européenne est motrice et
a toujours en bel avenir, notamment en droit de la SSI.
[1] La directive
2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux
attaques contre les systèmes d’information et remplaçant la décision-cadre
2005/222/JAI du Conseil.
[2] Le même regret peut être exprimé
concernant le projet de la directive SRI (sécurité des réseaux et de l’information).
[3]Cf article du 1er août 2013 « Le
droit de la SSI, quelles sanctions ? ».
[4] Le règlement européen 611/2013
du 24 juin 2013 concernant
les mesures relatives à la notification des violations de données à caractère
personnel en vertu de la directive 2002/58/CE du Parlement européen et du
Conseil sur la vie privée et les communications électroniques est entré en
vigueur le 25 août 2013.
[5] Dans les 4 jours, les opérateurs
doivent adresser à la CNIL les informations suivantes : date et heure de
l’incident et de sa constatation, circonstances de la violation, nature et
teneur des données concernées, mesures techniques et organisationnelles
appliquées, recours à d’autres fournisseurs pour fournir le service, résumé de
l’incident à l’origine de la violation, nombre d’abonnés ou de particuliers
concernés, conséquences et préjudices potentiels pour les abonnés ou
particulier, mesures techniques et organisationnelles prises par le fournisseur
pour atténuer les préjudices potentiels, contenu de l’information des personnes
concernées, moyens de communication utilisés, nombre d’abonnés ou de
particuliers informés, violation de données à caractère personnel concernant des
abonnés ou des particuliers dans d’autres Etats membres, notification à
d’autres autorités nationales compétentes.
[6] Proposition 2012/0011 du 25
janvier 2012 de règlement européen et du Conseil relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel
et à la libre circulation des données.
[7] Cette proposition de règlement date
du 4 juin 2013.
[8] Les actes délégués et
d’exécution sont des actes non législatifs de portée générale qui complètent ou
modifient certains éléments non essentiels de l'acte législatif mais sont
maîtrisés uniquement par la Commission européenne.
[9] En matière d’identification
électronique et de services e confiance pour les transactions électroniques,
les exigences de sécurité françaises sont celles du Référentiel Général de
Sécurité.
[10] Proposition
n°15 du rapport d’information fait au nom de la commission des affaires européennes sur
l'Union européenne, colonie du monde numérique? par Mme Catherine
MORIN-DESAILLY, Sénatrice, enregistré à la présidence du Sénat le 20mars 2013.
[11] Concertation sur la fiscalité du numérique-Avis
n° 2013-3 du Conseil national du numérique remis à Bercy le 10 septembre 2013.
Aucun commentaire:
Enregistrer un commentaire