Vers un renforcement de la gouvernance européenne

Publié par SDmagazine 12 mai 2020

Par Myriam Quéméner, avocat général près la Cour d’appel de Paris, docteur en droit

Les cybermenaces continuent de s’étendre, notamment pour des cas de rançongiciels et d’attaques indirectes avec l’espionnage économique. Ces attaques n’épargnent personne et ont touché aussi bien des hôpitaux que des universités, des entreprises, des collectivités territoriales… La menace va continuer à s’accroître sous toutes ses formes dans les années à venir : espionnage, sabotage, actes de destruction, manipulation de l’information. L’Union européenne doit donc se donner progressivement les moyens de développer son autonomie et son leadership en matière de cybersécurité.

Rappelons que la cybersécurité est un « état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles1« 

Au cours de ces dernières années, l’Union européenne a créé des fondations solides pour la sécurité numérique de la société et de l’économie européenne, au travers notamment de la directive NIS, du Cybersecurity Act et de son cadre européen de certification. Les effets de cet arsenal sont notoires.

La directive NIS : une réponse unifiée à l’échelle de l’Europe

La directive NIS (Network and Information System Security) (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 20162 concerne la mise en œuvre de mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information au sein de l’Union Européenne. Cette directive apporte une réponse unifiée à l’échelle de l’Europe, aux risques pesant sur les entreprises et leur niveau de cybersécurité. Le non-respect de la directive NIS peut entrainer des amendes pour les entreprises et leurs dirigeants ; les montants prévus s’élèvent par exemple à 75.000€ en cas de non déclaration d’un incident de cybersécurité.

Le RGDP : une norme mondiale

Près de deux ans après son entrée en vigueur dans l’UE, le règlement général sur la protection des données (RGPD) apparait comme le modèle européen de protection des données et inspire les législateurs du monde entier mais reste insuffisamment appliqué en Europe selon des associations. Entré en vigueur en mai 2018 dans l’UE puis étendu en juillet de la même année à l’Espace économique européen comprenant l’Islande, la Norvège et le Liechtenstein, le RGPD est devenu « une norme mondiale ». Il encadre le niveau de protection et le traitement des données personnelles par les administrations, entreprises et associations européennes ou visant le marché européen. Il garantit de nouveaux droits aux individus dont le droit à l’effacement ou à la portabilité des données. En janvier 2020, le « California Consumer Privacy Act » (CCPA) est entré en vigueur et doit garantir aux Californiens certains droits sur leurs données personnelles.

La cybersécurité : un enjeu prioritaire de la nouvelle législature européenne

Mais l’Europe doit évidemment renforcer les moyens de développer son autonomie en matière de cybersécurité.

La France est fortement investie dans la coopération avec ses partenaires européens et l’ENISA pour rendre opérationnel ce socle commun de règles. Face à l’ampleur des cybermenaces, l’ANSSI appelle à approfondir cette base et à positionner la cybersécurité comme un enjeu prioritaire de la nouvelle législature européenne.

Le 17 avril 2019, le Conseil a adopté le règlement 2019/881 sur la cybersécurité3, qui prévoit un ensemble de systèmes de certification à l’échelle de l’UE, une agence de l’UE pour la cybersécurité, qui succédera à l’actuelle Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA).

Une proposition législative est également en cours en vue d’une approche européenne coordonnée relative aux implications humaines et éthiques de l’intelligence artificielle. Cette proposition devrait examiner les moyens d’utiliser les mégadonnées pour favoriser des innovations qui créent de la valeur pour les entreprises.

Une nouvelle législation sur les services numériques renforcera, elle, nos règles en matière de responsabilité et de sécurité pour les plateformes, les services et les produits numériques, et complètera notre marché unique numérique.

Le 17 mai 2019, le Conseil a établi un cadre4 permettantà l’UE d’imposer desmesures restrictives ciblées visant à décourager et contrer les cyberattaquesqui constituent unemenace extérieure pour l’UE ou ses États membres, y compris les cyberattaquesdirigées contre des pays tiers ou des organisations internationaleslorsque des mesures restrictives sont jugées nécessaires pour réaliser les objectifs de la politique étrangère et de sécurité commune (PESC).

Le lancement d’un nouveau projet « Campus Cyber5 », dont la préfiguration va permettre de fédérer l’écosystème de la cybersécurité au travers de projets communs, et servir également de lieu d’entraînement est une initiative supplémentaire a vocation collaborative.

Vers une réglementation souple en matière d’IA ?
Enfin, la nouvelle Commission6 souhaite que la priorité soit donnée à l’intelligence artificielle grâce à la mobilisation de fonds du cadre financier pluriannuel 2021-2027, ainsi que par le biais de partenariats public-privé. L’UE prévoit également de créer un marché unique de données pour développer de nouveaux systèmes d’IA utiles et conformes à l’éthique et au droit. Il conviendra certainement d’instaurer une règlementation souple en matière d’IA et d’algorithmes. Dans ces domaines évolutifs, le droit européen est un levier puissant devant renforcer la force de l’Europe désormais numérique.

La gouvernance européenne devra donc être renforcée et favoriser encore davantage le partage d’expériences et la mise en réseau des acteurs. Elle a également permis d’identifier les domaines dans lesquels la coopération doit être renforcée pour répondre de manière concertée aux défis auxquels l’écosystème européen est confronté. En complément, le dialogue doit se développer entre les institutions européennes. L’Europe doit être en mesure d’affirmer sa souveraineté dans le domaine cyber pour promouvoir ses valeurs en matière de paix et de stabilité du cyberespace au niveau international.

1Définition de l’ANSSI

2Transposée en France par la loi 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité

3https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32019R0881&from=EN

4http://data.consilium.europa.eu/doc/document/ST-7299-2019-INIT/fr/pdf

5https://www.ssi.gouv.fr/agence/cybersecurite/un-campus-dedie-a-la-cybersecurite/

6https://ec.europa.eu/commission/sites/beta-political/files/political-guidelines-next-commission_fr.pdf

PARTAGER TWEETER EPINGLER PARTAGER PARTAGER