Trois
ans après la création de ce blog, où en sommes nous dans la prise
en compte du droit de la sécurité des systèmes d'information
(SSI)? Quelles sont les avancées pour ce droit si
particulier ?
Dressons
un rapide bilan des années 2013-2016 à ce sujet.
Le
droit de SSI ou droit-cyber se divise en deux principales catégories
qui sont les suivantes :
- la protection de la donnée ;
- la protection du système d'information.
Examinons dans chacune de ces catégories quelles ont été les progrès en matière réglementaire.
- La protection de la donnée
La
donnée ou data ,l'or noir de
notre ère du numérique, concentre des enjeux économiques,
sociétaux et de sécurité.
Face
à de tels enjeux, quelle est la réponse du droit ?
Concernant
les données à caractère personnel, l'année 2016 fait la part
belle aux réglementations européennes : qu'il s'agisse de
l'adoption du règlement européen relatif à la protection des données à caractère personnel
après quatre années de discussion ou de celle de la directive européenne sur les données des passagers aériens ou Passager Names Record (PNR) et du
futur accord-bouclier "Privacy Shield" qui devrait intervenir cet été.
Ce
qu'il faut retenir c'est que l'Union européenne n'a pas encore
trouvé son équilibre dans la protection des données à caractère
personnel avec, d'un côté, une remise en question de la protection des données personnelles
grâce à la Cour de justice de l'Union européenne (CJUE) et une longue réflexion de 4 ans , de l'autre côté, un
accord PNR pris dans l'urgence et non satisfaisant pour le G29 des
CNIL européennes. Il y a des progrès mais il reste du chemin à
parcourir.
Concernant
plus généralement toutes les données sensibles (données
bancaires, données de recherche, etc.), la législation reste timide
autant au niveau européen qu'au niveau national, en démontre
l'adoption de la directive sur la protection du secret des affaires qui reste encore
insuffisante.
Pas
de législation nationale mais la protection des données par l'utilisation du chiffrement a
fait, elle, un grand pas. L'exemple
de la bataille juridique entre Apple puis Twitter contre les autorités américaines met en avant cette volonté forte
du consommateur à disposer d'outils chiffrés. Cela contribue
également à une prise de conscience citoyenne, post-Snowden,
face à l'espionnage numérique de masse autant par les géants de
l'Internet (Facebook, Amazon, Google et Apple) que par les services
de renseignements étatiques.
Le
chiffrement se retrouve également de plus en plus dans le cadre des
moyens de paiement, d'abord avec le Bitcoin et maintenant avec
la Blockchain.
Ces nouveaux moyens de paiement ne sont pas encore pris en compte par
la législation française notamment car ils ne correspondent pas aux
exigences des monnaies électroniques définies aux articles L 315-1et suivants du code monétaire et financier.
2.
La protection des systèmes d'information (SI)
Le vol de données à cause de l'intrusion
dans un intranet non sécurisé ou même la destruction de parc informatique entier sont des faits divers qui fleurissent chaque semaine notre actualité spécialisée dans le cyber.
La
protection pénale française prévue par la loi Godfrain de 1988 résiste
toujours au passage du temps voire même connaît un regain
d'activité. En effet, la condamnation de Bluetouff avec un
arrêt du 20 mai 2015 de la cour de cassation a pu consacré le vol
des données informatiques.
Dans
un autre registre, la protection des systèmes d'information est
requise à la fois par la loi de programmation militaire du 18 décembre 2013 (LPM) mais également par la directive européenne Network Security and Information (NIS).
Ces
dispositions réglementaires exigent que les entreprises
stratégiques, les opérateurs d'importance vitale (OIV) en France,
mettent en place des mesures nécessaires à la protection de leurs
systèmes d'information en exigeant des contrôles, la déclaration
de leurs incidents et la détection d’événements affectant leurs
SI.
Cette
prise de conscience « forcée » des grandes entreprises
françaises et européennes œuvrent au rattrapage devenu urgent dans la cybersécurité.
Et
même si aucune sanction ne devrait être prise, ces réglementations
ont le grand mérite d'avoir pu sensibiliser sur l'état de la menace
et faire travailler ensemble l’État avec ces opérateurs pour
trouver des solutions adaptées à chacun des secteur concerné.
En
dehors des réglementation protégeant les données et les systèmes
d'information, il existe également des dispositions qui concernent
plus généralement le monde du numérique telles les règles de la
propriété intellectuelle, les règles associées à toutes les
technologies du numérique (la géolocalisation, la
vidéosurveillance, le Cloud, etc.) qui méritent d'être aussi
soulignées et mises en cohérence avec les deux autres catégories
précédentes.
En
effet, le droit de la SSI ou droit-cyber n'existe toujours pas !
L'appel reste donc toujours ouvert pour la mise en place d'un travail
de codification afin d'unifier toutes les dispositions juridiques
existantes.
Ce
qu'il faut retenir sur ces dispositions réglementaires concernant le
numérique, c'est l'effort non négligeable de concertation avec les
acteurs parties prenantes. Que ce soit pour la mise en place de la
LPM ou pour la rédaction du projet de loi sur le numérique,
l’État a pris son temps pour réglementer. Dommage que la même
méthode de travail n'ait pas été adoptée pour d'autres sujets
politiques et sociétaux !
Aucun commentaire:
Enregistrer un commentaire