mardi 31 mai 2016

Droit de la sécurité des systèmes d'information, trois ans plus tard

Trois ans après la création de ce blog, où en sommes nous dans la prise en compte du droit de la sécurité des systèmes d'information (SSI)? Quelles sont les avancées pour ce droit si particulier ?
Dressons un rapide bilan des années 2013-2016 à ce sujet.
Le droit de SSI ou droit-cyber se divise en deux principales catégories qui sont les suivantes :
  • la protection de la donnée ;
  • la protection du système d'information.

Examinons dans chacune de ces catégories quelles ont été les progrès en matière réglementaire.


  1. La protection de la donnée 
La donnée ou data ,l'or noir de notre ère du numérique, concentre des enjeux économiques, sociétaux et de sécurité.
Face à de tels enjeux, quelle est la réponse du droit ?
Concernant les données à caractère personnel, l'année 2016 fait la part belle aux réglementations européennes : qu'il s'agisse de l'adoption du règlement européen relatif à la protection des données à caractère personnel après quatre années de discussion ou de celle de la directive européenne sur les données des passagers aériens ou Passager Names Record (PNR) et du futur accord-bouclier "Privacy Shield" qui devrait intervenir cet été.
Ce qu'il faut retenir c'est que l'Union européenne n'a pas encore trouvé son équilibre dans la protection des données à caractère personnel avec, d'un côté, une remise en question de la protection des données personnelles grâce à la Cour de justice de l'Union européenne (CJUE) et une longue réflexion de 4 ans , de l'autre côté, un accord PNR pris dans l'urgence et non satisfaisant pour le G29 des CNIL européennes. Il y a des progrès mais il reste du chemin à parcourir.
Concernant plus généralement toutes les données sensibles (données bancaires, données de recherche, etc.), la législation reste timide autant au niveau européen qu'au niveau national, en démontre l'adoption de la directive sur la protection du secret des affaires qui reste encore insuffisante.
Pas de législation nationale mais la protection des données par l'utilisation du chiffrement a fait, elle, un grand pas. L'exemple de la bataille juridique entre Apple puis Twitter contre les autorités américaines met en avant cette volonté forte du consommateur à disposer d'outils chiffrés. Cela contribue également à une prise de conscience citoyenne, post-Snowden, face à l'espionnage numérique de masse autant par les géants de l'Internet (Facebook, Amazon, Google et Apple) que par les services de renseignements étatiques.
Le chiffrement se retrouve également de plus en plus dans le cadre des moyens de paiement, d'abord avec le Bitcoin et maintenant avec la Blockchain. Ces nouveaux moyens de paiement ne sont pas encore pris en compte par la législation française notamment car ils ne correspondent pas aux exigences des monnaies électroniques définies aux articles    L 315-1et suivants du code monétaire et financier.

    2. La protection des systèmes d'information (SI) 
Le vol de données à cause de l'intrusion dans un intranet non sécurisé ou même la destruction de parc informatique entier sont des faits divers qui fleurissent chaque semaine notre actualité spécialisée dans le cyber.
La protection pénale française prévue par la loi Godfrain de 1988 résiste toujours au passage du temps voire même connaît un regain d'activité. En effet, la condamnation de Bluetouff avec un arrêt du 20 mai 2015 de la cour de cassation a pu consacré le vol des données informatiques.
Dans un autre registre, la protection des systèmes d'information est requise à la fois par la loi de programmation militaire du 18 décembre 2013 (LPM) mais également par la directive européenne Network Security and Information (NIS).
Ces dispositions réglementaires exigent que les entreprises stratégiques, les opérateurs d'importance vitale (OIV) en France, mettent en place des mesures nécessaires à la protection de leurs systèmes d'information en exigeant des contrôles, la déclaration de leurs incidents et la détection d’événements affectant leurs SI.
Cette prise de conscience « forcée » des grandes entreprises françaises et européennes œuvrent au rattrapage devenu urgent dans la cybersécurité.
Et même si aucune sanction ne devrait être prise, ces réglementations ont le grand mérite d'avoir pu sensibiliser sur l'état de la menace et faire travailler ensemble l’État avec ces opérateurs pour trouver des solutions adaptées à chacun des secteur concerné.

En dehors des réglementation protégeant les données et les systèmes d'information, il existe également des dispositions qui concernent plus généralement le monde du numérique telles les règles de la propriété intellectuelle, les règles associées à toutes les technologies du numérique (la géolocalisation, la vidéosurveillance, le Cloud, etc.) qui méritent d'être aussi soulignées et mises en cohérence avec les deux autres catégories précédentes.
En effet, le droit de la SSI ou droit-cyber n'existe toujours pas ! L'appel reste donc toujours ouvert pour la mise en place d'un travail de codification afin d'unifier toutes les dispositions juridiques existantes.

Ce qu'il faut retenir sur ces dispositions réglementaires concernant le numérique, c'est l'effort non négligeable de concertation avec les acteurs parties prenantes. Que ce soit pour la mise en place de la LPM ou pour la rédaction du projet de loi sur le numérique, l’État a pris son temps pour réglementer. Dommage que la même méthode de travail n'ait pas été adoptée pour d'autres sujets politiques et sociétaux !




Aucun commentaire:

Publier un commentaire