La réglementation de l’Internet est un sujet délicat en droit français car il faut trouver le juste équilibre entre la garantie d’un espace libre protégeant les libertés fondamentales et la lutte contre des cyberattaques et la cybercriminalité. L’analyse d’affaires concernant exclusivement Google met en exergue la fragilité de cet équilibre.
dimanche 1 décembre 2013
Google versus le droit français d'Internet : and the winner is...
La réglementation de l’Internet est un sujet délicat en droit français car il faut trouver le juste équilibre entre la garantie d’un espace libre protégeant les libertés fondamentales et la lutte contre des cyberattaques et la cybercriminalité. L’analyse d’affaires concernant exclusivement Google met en exergue la fragilité de cet équilibre.
vendredi 1 novembre 2013
mardi 1 octobre 2013
Le droit de la SSI : la solution européenne?
Riches sont les années 2012 et 2013 pour la réglementation
de la SSI au niveau européen. Le dernier exemple en date est la directive du 12
août 2013 relative aux attaques contre les systèmes d’information [1].
Cette directive vise à harmoniser les législations en vigueur en matière de
lutte contre la cybercriminalité et à instaurer une coopération renforcée dans
l’Union européenne par la mise en place d’un système coordonné de suivi des
infractions. La directive devra être transposée en droit national d’ici le 4
septembre 2015.
La directive n’apporte pas d’avancée majeure en matière de
réglementation de la cybercriminalité. Toutefois, elle a le mérite
d’uniformiser et de mieux définir les infractions pénales. Elle permet aussi de
contraindre les entreprises à qui il revient d’apporter la preuve de leur
diligence en matière de surveillance et de protection contre les cyberattaques
commises par leurs propres salariés. Enfin, elle favorise le renforcement de la
coopération entre les Etats membres toujours en matière de cybercriminalité.
Pourtant, ce nouvel acte législatif européen a le défaut de
n’être seulement « qu’une » directive [2].
En effet, l’Union européenne a à sa disposition plusieurs outils règlementaires dont la directive et le règlement. A la différence de la directive qui ne fixe seulement que des objectifs à tous les pays-membres de l'Union Européenne, en leur laissant à chacun le choix des moyens pour les atteindre, le règlement est lui, au contraire, un acte législatif contraignant qui doit être mis en œuvre dans son intégralité et dans toute l'Union européenne.
Le règlement est également d’application directe et permet d’imposer à tous
les Etats membres la même et unique réglementation sur un sujet précis. En
matière de droit de la SSI qui a dû mal à contraindre [3],
le règlement européen apparaît comme un outil efficace.
Par exemple, le
règlement européen du 24 juin 2013 concernant les mesures relatives à
la notification des violations de données à caractère personnel [4] impose aux
opérateurs de communications électroniques de notifier la CNIL dans les 24h
de la violation puis dans les 4 jours lui adresser un ensemble d’informations à ce
sujet [5].
Ces délais sont impératifs.
Souhaitons la même efficacité pour le projet
de règlement européen sur la protection des données [6] qui est prévu pour
la fin de l’année 2013.
Mais, le règlement comporte également des
inconvénients. Le principal s’illustre au travers du projet de règlement
européen sur l'identification électronique et les services de confiance pour
les transactions électroniques au sein du marché intérieur [7]. Ce règlement, par son
manque de précision et par ses nombreux renvois aux actes délégués et
d’exécution [8], présage un certain
nivellement par le bas au niveau des exigences de sécurité [9]. En effet, l’objectif
principal affiché du règlement est la restriction des obstacles au
développement du marché européen en la matière.
La sécurité, souvent vue comme un centre de coûts, pourrait donc
représenter un obstacle majeur.
Cette hypothèse mise à part, l’action
européenne se voit plébiscitée dans le domaine de la fiscalité du numérique.
Dans son rapport d’information « l'Union
européenne, colonie du monde numérique ? », la sénatrice Mme
Catherine MORIN-DESAILLY invite
« la Commission européenne à proposer la création d’un impôt numérique
européen destiné à contribuer au financement des réseaux de nouvelle génération
et à celui de la création, neutre à l’égard des modèles d’affaires, visant une
matière imposable qui soit au cœur de l’économie numérique et non délocalisable
et enfin propice au développement du numérique et à l’innovation» [10].
Ce rapport insiste bien sur la création d’un impôt
européen malgré le fait que la souveraineté fiscale est en principe nationale.
Cette proposition a été renforcée par l’avis du 10 septembre
2013 du Conseil national du numérique [11]
qui rejette également l’idée d’une fiscalité nationale du numérique. En effet,
il s’oppose à l’adoption d’une taxe nationale destinée aux entreprises du
numérique calculée sur la base du volume des données personnelles qu’elles
exploitent et collectent. Il conseille de « déployer, à l’initiative de la
France et ses partenaires, une politique industrielle européenne du numérique
qui permette de cultiver l’écosystème des entreprises ». Ces
recommandations devraient prises en compte dans le cadre du projet de loi de
finances pour 2014.
Cette volonté de pousser l’Union européenne à créer des
impôts est significative de la période de crise économique dans lequel nous
nous trouvons et où la création de nouveaux impôts est difficile à faire
accepter à l’opinion publique. Mais
au-delà, il s’agit d’un exemple que l’action commune européenne est motrice et
a toujours en bel avenir, notamment en droit de la SSI.
[1] La directive
2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux
attaques contre les systèmes d’information et remplaçant la décision-cadre
2005/222/JAI du Conseil.
[2] Le même regret peut être exprimé
concernant le projet de la directive SRI (sécurité des réseaux et de l’information).
[3]Cf article du 1er août 2013 « Le
droit de la SSI, quelles sanctions ? ».
[4] Le règlement européen 611/2013
du 24 juin 2013 concernant
les mesures relatives à la notification des violations de données à caractère
personnel en vertu de la directive 2002/58/CE du Parlement européen et du
Conseil sur la vie privée et les communications électroniques est entré en
vigueur le 25 août 2013.
[5] Dans les 4 jours, les opérateurs
doivent adresser à la CNIL les informations suivantes : date et heure de
l’incident et de sa constatation, circonstances de la violation, nature et
teneur des données concernées, mesures techniques et organisationnelles
appliquées, recours à d’autres fournisseurs pour fournir le service, résumé de
l’incident à l’origine de la violation, nombre d’abonnés ou de particuliers
concernés, conséquences et préjudices potentiels pour les abonnés ou
particulier, mesures techniques et organisationnelles prises par le fournisseur
pour atténuer les préjudices potentiels, contenu de l’information des personnes
concernées, moyens de communication utilisés, nombre d’abonnés ou de
particuliers informés, violation de données à caractère personnel concernant des
abonnés ou des particuliers dans d’autres Etats membres, notification à
d’autres autorités nationales compétentes.
[6] Proposition 2012/0011 du 25
janvier 2012 de règlement européen et du Conseil relatif à la protection des
personnes physiques à l’égard du traitement des données à caractère personnel
et à la libre circulation des données.
[7] Cette proposition de règlement date
du 4 juin 2013.
[8] Les actes délégués et
d’exécution sont des actes non législatifs de portée générale qui complètent ou
modifient certains éléments non essentiels de l'acte législatif mais sont
maîtrisés uniquement par la Commission européenne.
[9] En matière d’identification
électronique et de services e confiance pour les transactions électroniques,
les exigences de sécurité françaises sont celles du Référentiel Général de
Sécurité.
[10] Proposition
n°15 du rapport d’information fait au nom de la commission des affaires européennes sur
l'Union européenne, colonie du monde numérique? par Mme Catherine
MORIN-DESAILLY, Sénatrice, enregistré à la présidence du Sénat le 20mars 2013.
[11] Concertation sur la fiscalité du numérique-Avis
n° 2013-3 du Conseil national du numérique remis à Bercy le 10 septembre 2013.
dimanche 1 septembre 2013
Les chartes de bonne pratique, une réglementation alternative ?
La
difficulté principale de toute réglementation réside dans l’équilibre entre
l’acceptation et l’application des règles par les destinataires de la
réglementation et les sanctions en cas de violation des règles.
Une bonne
réglementation est une réglementation qui est effectivement appliquée et qui
sanctionne réellement son non-respect. L’absence de sanction n’incite pas à
l’application car rien n’y contraint tandis que l’existence de sanctions peut
être rendue inefficace par crainte justement de la sanction.
Quelles
solutions peuvent-elles être envisagées ?
Un code de
bonnes pratiques relatif à l’utilisation des caméras de surveillance par les
autorités locales et les forces de police vient d’être mis en œuvre en
Angleterre et au Pays de Galles le 12 août dernier [1].
Ce code de bonnes pratiques met l’accent sur le fait que les caméras doivent
être uniquement utilisées dans la poursuite d’un but légitime et en cas de besoin
urgent. Cette précision apparaît explicitement afin de rassurer les citoyens
que ce dispositif est uniquement installé pour leur sécurité et non pour les
espionner.
Ce code a
été introduit suite à la publication du « Protection of
Freedoms Act 2012 » qui a
également créé le poste de commissaire
des caméras de surveillance et restreint l’accès aux informations et la rétention des
informations.
Il est
intéressant de noter que cette initiative vient renforcer un premier acte
normatif contraignant pour rassurer les individus même si aucune sanction n’est
prévue en cas de violation de ce code de bonnes pratiques.
Cette
initiative fait doublement écho à la réglementation française. D’une part,
cette dernière a également autorisé les
systèmes de vidéosurveillance
tant publics que privés avec la loi Informatique et Libertés de 1978 [2].
Depuis la loi LOPPSI 2 [3], ils sont regroupés sous
l'expression de vidéo-protection. L’installation
de caméras de vidéo-protection doit faire l'objet d'une autorisation préalable
et est limitée par un cadre juridique [4]
qui garantit notamment un droit d'information, d'accès et de recours aux
particuliers.
D’autre
part, une charte relative aux conditions de mise en œuvre des dispositifs de
vidéo-protection a, également été signée le 5 avril 2013 entre la CNIL et la
SNCF concernant les dispositifs déployés dans les gares, les boutiques SNCF et
les trains de la vie quotidienne (TER, RER et tramways) [5].
Afin de vérifier le respect des engagements de la charte, la SNCF va systématiser
la réalisation d'audits réguliers dont les résultats et les préconisations
seront communiqués à la CNIL à l'occasion d'un rendez-vous annuel.
Le constat
est donc similaire de part et d’autre de la Manche, la législation
contraignante se voit accompagnée de chartes de bonnes pratiques dans le but de
tranquilliser les concitoyens mais sans pour autant assurer l’efficacité de
tels documents.
De la « marteauthérapie »
à la « calinothérapie » ?
Les chartes ont
pour objectif de rajouter une couche réglementaire à des sujets déjà
réglementés mais dont la dimension contraignante n’est pas satisfaisante.
Les chartes sont initialement associées à l’énoncé de grands principes de bonne
conduite. Cet instrument de gouvernance régissant principa
jeudi 1 août 2013
Le droit de la SSI, quelles sanctions ?
Précédemment, nous évoquions que le droit de la SSI
n’existait pas en tant que tel mais qu’il existait plutôt une multitude de
dispositions légales relatives à la SSI,
éparpillées dans le vaste corpus juridique français[1].
Toutefois,
peut importe de l’existence d’un droit sanctifié de la SSI tant que celui-ci
arrive à s’imposer. Ainsi, il s’agit surtout de s‘interroger sur
l’applicabilité réelle des aspects légaux de la SSI et, notamment, de l’efficacité des éventuelles
sanctions existantes.
L’actualité
des derniers mois souligne que certaines de ces sanctions SSI semblent un peu
malmenées.
Tout d’abord, dans un arrêt du 5 juillet 2013, le Conseil Constitutionnel saisi d’une question prioritaire de constitutionnalité (QPC) a déclaré inconstitutionnels les 12 premiers alinéas de l’article L36-11 du code des postes et des communications électroniques (CPCE) relatifs aux modalités de sanction par l’ARCEP d’exploitants de réseaux ou de fournisseurs de services de communications électroniques en cas de manquements de ces derniers. Le Conseil Constitutionnel a déclaré que ces dispositions violaient le principe d’impartialité garanti par la Constitution en n’assurant pas « la séparation au sein de l’Autorité entre, d’une part, les fonctions de poursuite et d’instruction des éventuels manquements et, d’autre part, les fonctions de jugement des mêmes manquements »[2].
Cette
décision est d’effet immédiat et est donc applicable à toutes les procédures en
cours devant l'ARCEP ainsi qu'à toutes les instances non définitivement jugées
à cette date. Ainsi, un vide juridique est apparu et l’ARCEP se retrouve, en
partie, démunie pour sanctionner les opérateurs.
Un autre exemple emblématique est la suppression de la sanction phare du dispositif HADOPI à savoir la coupure d’accès à Internet d’un abonné suite à des téléchargements illégaux réitérés. En cause,
le décret du 8 juillet 2013[3] qui supprime la peine contraventionnelle complémentaire de suspension
de l’accès Internet. Le texte stipule
donc que « seule une peine d'amende [...]
pourra désormais être prononcée pour l'infraction de négligence caractérisée.
»
Officiellement, en quatre ans d’existence de la Haute autorité, seules quatre
procédures ont fait l'objet de décisions judiciaires définitives dont une seule
avait prononcé, en juin 2013,
une suspension de 15 jours de la connexion internet[4].
Un autre exemple emblématique est la suppression de la sanction phare du dispositif HADOPI à savoir la coupure d’accès à Internet d’un abonné suite à des téléchargements illégaux réitérés. En cause
L’HADOPI
ne se retrouve pas, sans cette menace, désarmée dans sa lutte contre le
téléchargement illégal mais le symbole de la suppression reste fort. D'autant plus que l’avenir de l’HADOPI apparaît de plus en plus incertain[5].
Ces deux exemples spécifiques ne font que souligner le constat évident que le droit de la SSI est difficilement applicable en raison du manque de sanctions efficaces.
Pourtant, les efforts en matière
de cybersécurité sont de plus en plus mis en avant. En témoigne, entre autres, la
montée en puissance de l’ANSSI. Sauf que, l’ANSSI, autorité nationale, ne
dispose pas de pouvoir de sanction. Or, dans un domaine voisin, celui de la
protection des données à caractère personnel, la CNIL, Autorité Administrative
Indépendante (AAI) le possède.
En
effet, la CNIL a, notamment, recours aux sanctions pécuniaires et pour des motifs de plus en
plus large : par exemple, la délibération du 30 mai 2013, a sanctionné, en partie, la
présence de mots de passe trop simples (suites de 5 caractères)[6].
Cependant,
les contrôles de la CNIL, augmentent mais restent
toujours une goutte d’eau dans un océan : 458
contrôles en 2012 soit une augmentation de 19 % par rapport à 2011 avec 173
contrôles relatif au dispositif de vidéosurveillance parmi 8946 déclarations relatives
à ce même dispositif de vidéosurveillance soit un pourcentage de contrôle de 2%[7]. C’est déjà ça !
Le Livre
blanc de la défense et de la sécurité nationale paru le 29 avril 2013 met en
avant le renforcement législatif et réglementaire du domaine cyber et notamment
concernant les opérateurs d’importance vitale (OIV) qui devront respecter des
standards de sécurité mais surtout, prendre
des mesures nécessaires pour détecter et traiter tout incident informatique
touchant leurs systèmes d’information sensibles.
Les
fondements de ce nouveau dispositif devraient être mis en place dans la
prochaine loi de programmation militaire (LPM) dont le vote est prévu pour la
fin de l’été. Souhaitons que
ce dispositif prévoit des sanctions réalistes, justes et
efficaces.
Enfin,
dernière proposition : agir sur l’humain.
La bonne
application de toute loi s’effectue par une bonne compréhension des
dispositions législatives par les juges et avocats, premiers destinataires des
lois. Or, force est de constater que les dispositions pénales relatives à la
SSI[8] qui devraient être, par
principe, assorties de sanctions efficaces sont rarement utilisées. Les jurisprudences sont quasiment
absentes et les peines maximales indiquées ne sont que partiellement
appliquées.
Ainsi,
le levier de la formation et la sensibilisation des professions judicaires à la
SSI et à ses problématiques doit être rapidement actionné. Dans un premier
temps, la vulgarisation et une bonne pédagogie devront permettre une meilleure compréhension des enjeux stratégiques de
la SSI.
[1]Cf
article du 1er juillet « le droit de la sécurité des systèmes
d’information (SSI) n’existe pas »
[2]Décision n°
2013-331 QPC du 05 juillet 2013 Société Numéricâble SAS et autre-JORF
du 7 juillet 2013 page 11356
[3]Décret
n° 2013-596 du 8 juillet 2013 supprimant la peine contraventionnelle
complémentaire de suspension de l'accès à un service de communication au public
en ligne et relatif aux modalités de transmission des informations prévue à l'article L.
331-21 du code de la propriété intellectuelle.
[4]Les
trois autres procédures ont abouti à une amende de 150 euros, une relaxe et une
condamnation, assortie d'une dispense de peine.
[5]Le
9 juillet 2013, Madame Fillippetti, ministre de la Culture et de la
Communication, aurait déclaré que l’HADOPI allait être supprimée.
[6]Délibération
de la formation restreinte n° 2013-139 du 30 mai 2013 SAS PROFESSIONAL SERVICE
CONSULTING dite PS Consulting
[7]Rapport
annuel 2012 de la CNIL.
[8]Articles
321-1 à 321-4 du code pénal
lundi 1 juillet 2013
Le droit de la sécurité des systèmes d’informations (SSI) n’existe pas...
En
tout cas, il n’existe pas en tant que tel, il n’est notamment pas encore
codifié.
Actuellement,
il est seulement possible de dire que le droit de la SSI vit au travers des
autres droits. Il est composé de l’agrégation de plusieurs droits, il est formé
des parties spécifiques des droits plus « classiques » tels que le
droit pénal, le droit de la défense ou encore le droit des postes et des télécommunications
électroniques.
Il
en résulte qu’il est difficile d’exposer un panorama exhaustif de tous les
aspects juridiques de la SSI ; toutefois, il est au moins possible de
circonscrire son périmètre.
Le
droit de la SSI concerne, d’une part et de façon stricte, la protection des
réseaux et des systèmes matériels et, d’autre part et plus largement, la
protection des informations en tant que telles et leurs qualités intrinsèques
qui circulent sur les réseaux précités. .
Ainsi,
le droit de la SSI est marqué par la relation spécifique du contenant avec le
contenu.
L’intrusion
frauduleuse dans le contenant à savoir dans un système de traitement automatisé
de données (STAD)[1]
est punie par le code pénal. Ces infractions ont été créés par la loi Godfrain
du 5 janvier 1988[2]
sur la fraude informatique modifiée par la loi de 2004 sur la confiance dans
l’économie numérique[3]
(LCEN) qui a principalement augmenté les peines.
Les
quatre principaux comportements punis lors d’une intrusion frauduleuse dans un
STAD sont les suivants :
-
Le
fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un
STAD est puni d'un an d'emprisonnement et de 15 000 euros d'amende[4]
à savoir, par exemple, l’installation de programmes espions (sniffer)ou l’administration à distance frauduleuse
du poste.
-
Le fait d'entraver ou de fausser le
fonctionnement d'un système de traitement automatisé de données est puni de
trois ans d'emprisonnement et de 45 000 euros d'amende[5] à savoir, par exemple,
fausser le fonctionnement d’une messagerie électronique.
-
Le fait d'introduire frauduleusement des données
dans un système de traitement automatisé ou de supprimer ou de modifier
frauduleusement les données qu'il contient est puni de trois ans
d'emprisonnement et de 45 000 euros d'amende[6] à savoir, par exemple,
modifier les données d’une offre commerciale publiée sur Internet.
-
La participation à un groupement formé ou à une
entente établie en vue de la préparation, caractérisée par un ou plusieurs
faits matériels, d'une ou de plusieurs des infractions prévues par les articles
323-1 à 323-3 est punie des peines prévues pour l'infraction elle-même ou pour
l'infraction la plus sévèrement réprimée[7] à savoir, par exemple,
posséder un logiciel malveillant.
L’intrusion
frauduleuse dans un système d’informations est punie car cette intrusion porte
préjudice au contenu informationnel du système.
En
effet, certaines informations sont précieuses car ce sont des données à
caractère personnel, des informations relevant du secret de la défense
nationale, des informations stratégiques d’un point de vue économique, etc. Il
est donc important que la protection de ces informations intègre les mesures de
sécurité relatives aux systèmes traitant, stockant et diffusant ces
informations.
Prenons,
par exemple, des données de santé à caractère personnel hébergées par un
organisme distinct du professionnel ou de l’établissement de santé qui soigne
le malade, c’est à dire chez un hébergeur de données. La loi relative aux
droits des malades et à la qualité du système de santé[8]
a instauré une procédure d’agrément des hébergeurs qui vise à garantir la
sécurité de ces données. Selon l’article L.1111-8 du code de la santé publique,
ils doivent respecter des règles de sécurité et de confidentialité très précises
sous les conditions et sous les peines définies par l’article 226-13 du code
pénal[9].
L’interpénétration
de la protection du réseau avec la protection des informations particulières
qui y circulent élargit considérablement le champ d’application du droit de la SSI.
Ce large périmètre est d’autant plus diffus que de nombreux dispositifs
particuliers fleurissent pour la protection de catégories particulières d’informations
(dispositifs CNIL, HADOPI, opérateurs d’importance vitale (OIV), etc.).
Afin
de rationaliser et de capitaliser le droit de la SSI, une réflexion sur la
possibilité d’établir un code du droit de la SSI semble devoir s’imposer. Ces
travaux permettraient de mettre à plat les différents aspects du droit de la
SSI et de trouver un dénominateur commun formant le socle intangible du droit
de la SSI. Un droit de la SSI qui se déclinerait ensuite en fonction des
spécificités identifiées.
[1] La notion de
STAD n’est pas définie dans la loi mais la jurisprudence l’assimile à un
système d’information.
[2] Loi n°88-19 du 5 janvier 1988
sur la fraude informatique
[3] Loi n°2004-575 du 21 juin 2004
pour la confiance dans l’économie numérique.
[4] Article 323-1 du code pénal. Lorsqu'il en est résulté
soit la suppression ou la modification de données contenues dans le système,
soit une altération du fonctionnement de ce système, la peine est de deux ans
d'emprisonnement et de 30 000 euros d'amende.
[5] Article 323-2 du code pénal
[6] Article 323-3 du code pénal
[7] Article 323-4 du code pénal
[8] Loi n°2002-303 du 4mars 2002
relative aux droits des malades et à la qualité du système de santé.
[9]
Article
226-13 : « La révélation d'une information à caractère secret par une
personne qui en est dépositaire soit par état ou par profession, soit en raison
d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement
et de 15000 euros d'amende ».
Inscription à :
Articles (Atom)