mardi 1 octobre 2013

Le droit de la SSI : la solution européenne?


Riches sont les années 2012 et 2013 pour la réglementation de la SSI au niveau européen. Le dernier exemple en date est la directive du 12 août 2013 relative aux attaques contre les systèmes d’information [1]. Cette directive vise à harmoniser les législations en vigueur en matière de lutte contre la cybercriminalité et à instaurer une coopération renforcée dans l’Union européenne par la mise en place d’un système coordonné de suivi des infractions. La directive devra être transposée en droit national d’ici le 4 septembre 2015.
La directive n’apporte pas d’avancée majeure en matière de réglementation de la cybercriminalité. Toutefois, elle a le mérite d’uniformiser et de mieux définir les infractions pénales. Elle permet aussi de contraindre les entreprises à qui il revient d’apporter la preuve de leur diligence en matière de surveillance et de protection contre les cyberattaques commises par leurs propres salariés. Enfin, elle favorise le renforcement de la coopération entre les Etats membres toujours en matière de cybercriminalité.
Pourtant, ce nouvel acte législatif européen a le défaut de n’être seulement « qu’une » directive [2].

En effet, l’Union européenne a à sa disposition plusieurs outils règlementaires dont la directive et le règlement.  A la différence de la directive qui ne fixe seulement que des objectifs à tous les pays-membres de l'Union Européenne, en leur laissant à chacun le choix des moyens pour les atteindre, le règlement est lui, au contraire, un acte législatif contraignant qui doit être mis en œuvre dans son intégralité et dans toute l'Union européenne.  
Le règlement est également d’application directe et permet d’imposer à tous les Etats membres la même et unique réglementation sur un sujet précis. En matière de droit de la SSI qui a dû mal à contraindre [3], le règlement européen apparaît comme un outil efficace. 
Par exemple, le règlement européen du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel [4] impose aux opérateurs de communications électroniques de notifier la CNIL dans les 24h de la violation puis dans les 4 jours lui adresser un ensemble d’informations à ce sujet [5]. Ces délais sont impératifs.
Souhaitons la même efficacité pour le projet de règlement européen sur la protection des données [6]  qui est prévu pour la fin de l’année 2013.
Mais, le règlement comporte également des inconvénients. Le principal s’illustre au travers du projet de règlement européen sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur [7]. Ce règlement, par son manque de précision et par ses nombreux renvois aux actes délégués et d’exécution [8], présage un certain nivellement par le bas au niveau des exigences de sécurité [9]. En effet, l’objectif principal affiché du règlement est la restriction des obstacles au développement du marché européen en la matière.  La sécurité, souvent vue comme un centre de coûts, pourrait donc représenter un obstacle majeur.

Cette hypothèse mise à part, l’action européenne se voit plébiscitée dans le domaine de la fiscalité du numérique.
Dans son rapport d’information « l'Union européenne, colonie du monde numérique ? », la sénatrice Mme Catherine MORIN-DESAILLY  invite « la Commission européenne à proposer la création d’un impôt numérique européen destiné à contribuer au financement des réseaux de nouvelle génération et à celui de la création, neutre à l’égard des modèles d’affaires, visant une matière imposable qui soit au cœur de l’économie numérique et non délocalisable et enfin propice au développement du numérique et à l’innovation» [10].
Ce rapport insiste bien sur la création d’un impôt européen malgré le fait que la souveraineté fiscale est en principe nationale.
Cette proposition a été renforcée par l’avis du 10 septembre 2013 du Conseil national du numérique [11] qui rejette également l’idée d’une fiscalité nationale du numérique. En effet, il s’oppose à l’adoption d’une taxe nationale destinée aux entreprises du numérique calculée sur la base du volume des données personnelles qu’elles exploitent et collectent. Il conseille de « déployer, à l’initiative de la France et ses partenaires, une politique industrielle européenne du numérique qui permette de cultiver l’écosystème des entreprises ». Ces recommandations devraient prises en compte dans le cadre du projet de loi de finances pour 2014.
Cette volonté de pousser l’Union européenne à créer des impôts est significative de la période de crise économique dans lequel nous nous trouvons et où la création de nouveaux impôts est difficile à faire accepter à l’opinion publique.  Mais au-delà, il s’agit d’un exemple que l’action commune européenne est motrice et a toujours en bel avenir, notamment en droit de la SSI.


[1] La directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil.
[2] Le même regret peut être exprimé concernant le projet de la directive SRI (sécurité des réseaux et de l’information).
[3]Cf  article du 1er août 2013 « Le droit de la SSI, quelles sanctions ? ».
[4] Le règlement européen 611/2013 du 24 juin 2013 concernant les mesures relatives à la notification des violations de données à caractère personnel en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques est entré en vigueur le 25 août 2013.
[5] Dans les 4 jours, les opérateurs doivent adresser à la CNIL les informations suivantes : date et heure de l’incident et de sa constatation, circonstances de la violation, nature et teneur des données concernées, mesures techniques et organisationnelles appliquées, recours à d’autres fournisseurs pour fournir le service, résumé de l’incident à l’origine de la violation, nombre d’abonnés ou de particuliers concernés, conséquences et préjudices potentiels pour les abonnés ou particulier, mesures techniques et organisationnelles prises par le fournisseur pour atténuer les préjudices potentiels, contenu de l’information des personnes concernées, moyens de communication utilisés, nombre d’abonnés ou de particuliers informés, violation de données à caractère personnel concernant des abonnés ou des particuliers dans d’autres Etats membres, notification à d’autres autorités nationales compétentes.
[6] Proposition 2012/0011 du 25 janvier 2012 de règlement européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données.
[7] Cette proposition de règlement date du 4 juin 2013.
[8] Les actes délégués et d’exécution sont des actes non législatifs de portée générale qui complètent ou modifient certains éléments non essentiels de l'acte législatif mais sont maîtrisés uniquement par la Commission européenne.
[9] En matière d’identification électronique et de services e confiance pour les transactions électroniques, les exigences de sécurité françaises sont celles du Référentiel Général de Sécurité.
[10] Proposition n°15 du rapport d’information fait au nom de la commission des affaires européennes sur l'Union européenne, colonie du monde numérique? par Mme Catherine MORIN-DESAILLY, Sénatrice, enregistré à la présidence du Sénat le 20mars 2013.
[11] Concertation sur la fiscalité du numérique-Avis n° 2013-3 du Conseil national du numérique remis à Bercy le 10 septembre 2013.

Aucun commentaire:

Enregistrer un commentaire