Paris 16ème
06 79 58 19 92
contact@legalbrain-avocats.fr

Les règles juridiques de la cybersécurité

Numérique et juridique

Les règles juridiques de la cybersécurité

Règles juridiques de la cybersécurité

Aujourd’hui, plus que tout, il faut s’intéresser aux règles juridiques de la cybersécurité. En effet, la crise sanitaire de la Covid-19 a mis à l’épreuve l’économie des sociétés en les confrontant directement à leur capacité à être autonome numériquement parlant. Tandis que les Etats-Unis et la Chine restent les leaders du marché numérique, l’Europe peine à rattraper son retard même si les propositions de règlement telles que le DMA et le DSA pourraient bien faire évoluer les choses.

Comme l’affirmait Emmanuel Macron en 2020 “Les Américains ont les GAFA [Google, Amazon, Facebook, Apple], les Chinois ont les BATX [Baidu, Alibaba, Tencent, Xiaomi] et les Européens ont la RGPD.” En manque de géants du numérique, l’Europe se réduit à construire des outils de défense pour ne pas devenir un far west numérique.

Pourtant, ces outils de défense ne sont pas suffisants en matière de cybersécurité. La cybersécurité renvoie, au sens de la loi européenne sur la cybersécurité, aux actions nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs de ces systèmes et les autres personnes exposées aux cybermenaces.

Hameçonage, piratage, chantage à la webcam, virus, cyberharcèlement… le nombre de cyberattaques a drastiquement augmenté depuis 2020, touchant autant les particuliers que les entreprises ou les administrations. Renforcé par le climat de guerre actuel, les cybermenaces n’ont jamais été aussi présentes et il est urgent pour l’Europe de réagir. Il est donc nécessaire de s’intéresser aux règles juridiques de la cybersécurité.

Quelles sont les règles juridiques de la cybersécurité en Europe ?

Le renforcement de la cybersécurité passe bien évidemment par une évolution technologique mais également par une régulation des comportements humains. Le droit permet d’encourager ou d’interdire certains d’entre eux. C’est pourquoi le droit de l’Union cherche à encourager les administrations, les entreprises et les citoyens à adopter une « hygiène informatique », c’est-à-dire des mesures simples, de routine, qui, lorsqu’ils les mettent en oeuvre et les effectuent régulièrement, réduisent au minimum leur exposition aux risques liés aux cybermenaces. La régulation juridique des comportements a donc une place essentielle dans les questions de cybersécurité.

Avant 2019, les réactions défensives face aux cyberattaques étaient surtout nationales et chaque Etat européen disposait de son propre fonctionnement juridique et technologique. Or, dans son Règlement 2019/881, l’Union Européenne pointe le fait que des incidents majeurs pourraient survenir au point de toucher l’Union européenne toute entière. Ainsi, le parlement européen affirme que “cela nécessite de mettre en place des réponses efficaces et coordonnées et une gestion de la crise à l’échelon de l’Union, sur la base de politiques spécifiques et d’instruments élargis aux fins de la solidarité européenne et de l’assistance mutuelle”.

Qu’est-ce que le Cybersecurity Act  ?

Le Cybersecurity Act est un acte législatif européen adopté par le Parlement Européen en 2019. L’objectif principal est de renforcer les pouvoirs de l’ENISA (European Union Agency for Cybersecurity), l’agence européenne chargée de la cybersécurité, mais aussi de faire de l’Europe un acteur mondial en matière de cybersécurité.

Ce cadre européen de certification de cybersécurité établit un ensemble de règles, d’exigences techniques, de normes et de procédures qui s’appliquent à la certification ou à l’évaluation de la conformité de produits et de services liés aux technologies de l’information et des communications (TIC).

Afin de renforcer la confiance des consommateurs , le règlement européen instaure pour la première fois des exigences pour ce qu’on appelle “les schémas européens de certifications de sécurité”. Qu’est-ce donc ? Les schémas de certification de sécurité visent à protéger les données. La certification est une attestation de protection des données contre le stockage, le traitement, l’accès ou la diffusion, la destruction, l’altération accidentels ou non des produits TIC à l’échelle européenne (à la manière du sigle “CE” sur les produits non alimentaires).

Il existe plusieurs niveaux de certification : élémentaire, substantiel, élevé, en fonction du niveau de résistance des produits TIC aux cybermenaces :

  • Le niveau élémentaire est le niveau de cybersécurité le plus bas : il sera exigé pour les produits destinés au grand public.
  • Le niveau élevé minimise le risque que des cyberattaques de pointe soient menées par des acteurs aux compétences ou ressources importantes (exemple : dispositifs médicaux connectés).
  • Le niveau substantiel vise le risque médian. Il est plus important que le niveau élémentaire mais ne nécessite pas une cybersécurité hautement développée non plus.

Ce cadre de certification est assuré par différents acteurs au niveau européen et national.

Qu’est-ce que la directive SRI ?

La directive sur la sécurité des réseaux et des systèmes d’information (SRI), introduite en 2016, a été la première mesure législative prise à l’échelle de l’UE pour intensifier la coopération entre les États membres sur la question essentielle de la cybersécurité.

Pour rappel, une directive, à la différence d’un règlement, est un acte juridique européen qui n’a pas d’effet direct, c’est-à-dire qu’il n’impose pas directement des mesures aux Etats. Elle n’est qu’une ligne directrice listant certains objectifs  en laissant aux Etats membres le choix des moyens pour les atteindre. En revanche, si les législations nationales ne sont pas réformées conformément au droit de l’UE, des sanctions peuvent être appliquées.

La directive SRI établit des exigences en matière de sécurité et de notification pour les opérateurs de services essentiels (OSE). Les opérateurs de service essentiel sont, selon la directive, les opérateurs tributaires des réseaux ou systèmes d’information, qui fournissent un service essentiel dont l’interruption aurait un impact significatif sur le fonctionnement de l’économie ou de la société.

Les opérateurs de services essentiels (OSE) doivent mettre en œuvre des mesures techniques et organisationnelles pour gérer les risques menaçant la sécurité des réseaux et des systèmes d’information. Sont notamment visés les secteurs de l’énergie, des transports, des banques, des infrastructures de marchés financiers, de la santé, des fournitures et distributions d’eau potable et infrastructures numériques.

L’objectif de cette directive est de faire en sorte que chaque État membre renforce sa cybersécurité. De plus, la directive met en place certains objectifs destinés à renforcer la coopération entre les Etats en cas de cyberattaques  et assurer la gestion des risques liés à la sécurité avec notamment la notification des failles de sécurité.

Pour cela, la directive enjoint les Etats membres à se doter d’autorités de contrôle capables d’assurer la cybersécurité au niveau national. La France remplissait déjà cette obligation avec la création de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) en 2009. De plus, la directive prévoit la création de Centres de réponse aux incidents de sécurité informatique (CSIRT) qui doivent notamment suivre les incidents et intervenir au niveau national, analyser les risques et élaborer des mécanismes d’alertes.

La directive SRI est-elle un succès ?

Le bilan de la directive SRI est mitigé. Le manque de clarté de la directive SRI a été vivement critiquée, notamment en ce qu’elle ne détermine pas assez bien son champ d’application (qui sont vraiment les opérateurs de services essentiels ?). Résultat, la législation des États membres varient, parfois de manière importante, d’un pays à l’autre. De plus, les sanctions prévues pour les entités qui n’avaient pas mis en place des exigences de sécurité ou n’avaient pas signalé les incidents n’étaient quasiment jamais appliquées. Enfin, un effort est encore à faire au niveau de la confiance réciproque entre les Etats membres dans les échanges d’informations, confiance nécessaire à l’efficacité des mesures de cybersécurité.

C’est pourquoi, en décembre 2020, la Commission européenne a proposé une directive SRI révisée (directive SRI 2) pour remplacer la directive de 2016. La nouvelle proposition répond à l’évolution des menaces et tient compte de la mutation numérique, d’ailleurs accélérée par la crise de la COVID-19.

L’idée de cette nouvelle directive est d’étendre le champ matériel avec une surveillance plus ciblée sur les acteurs clés. Ainsi, la liste des secteurs concernés s’étend davantage. En outre, la proposition élimine la distinction entre les opérateurs de services essentiels et les fournisseurs de services numériques : les entités seraient classées en fonction de leur importance et divisées, respectivement, en catégories essentielles et importantes, avec des régimes de surveillance différents.

La proposition cherche aussi à renforcer la confiance des autorités publiques nationales et des entreprises pour encourager le partage d’informations. Pour cela, les CSIRT joueront les rôles d’intermédiaires de confiance entre les différents Etats afin de faciliter les intéractions.

Le régime des sanctions sera également harmonisé.

Quelles sont les règles juridiques de la cybersécurité au niveau national ?

La France a récemment adopté une loi visant à renforcer la protection des utilisateurs des plateformes numériques. Cette loi a été adoptée le 3 mars 2022 et est entrée en vigueur le 4. L’objet principal de cette loi est d’instaurer un cyber score (à la manière du Nutriscore pour les aliments) afin d’informer les utilisateurs de la fiabilité des plateformes numériques qu’ils consultent. 

Pour connaître leur niveau de sécurisation des données, les opérateurs devront réaliser un audit préalable effectué par des prestataires qualifiés par l’ANSSI.

Les critères seront fixés par un arrêté tandis que les plateformes concernées seront sélectionnées en fonction de l’importance de leur activité et listées dans un décret.

Le dispositif est prévu pour entrer en application le 1er octobre 2023.

A propos du cabinet Legal Brain Avocats

Que ce soit en matière contentieuse ou en matière consultative, que vous soyez une entreprise ou une personne physique, le cabinet Legal Brain Avocats saura vous offrir une assistance optimale et personnalisée selon vos besoins.

Nos avocats et les experts du droit que nous sélectionnons peuvent vous accompagner dans de multiples domaines de l’innovation tels que la propriété intellectuellele droit des relations numériques de travailla blockchainle droit pénal du numériquele droit de l’e-sport et bien d’autres.

Nos services :

Nos avocats sont à votre disposition pour vous accompagner sur la dimension juridique et répondre à vos questions : contact@legalbrain-avocats.fr


Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.