Les changements d’ordre climatique et géopolitique ainsi que la pandémie ont bouleversé notre mode de vie et ont remis en cause nos perceptions, nos acquis, nos automatismes y compris notre cadre normatif. Le secteur du numérique s’est révélé particulièrement crucial, garantissant la résilience de nos échanges et de nos organisations. Notre cadre réglementaire doit donc être opérationnel, efficient et dissuasif tout en étant protecteur aussi bien de nos libertés que des intérêts économiques. Tel est le défi auquel nos entreprises, l’ensemble des acteurs doivent relever afin d’être parties prenantes dans cette construction réglementaire.
Par Garance MATHIAS, Avocat Associé – Fondatrice Mathias Avocats
La cybersécurité est un enjeu stratégique pour la Commission européenne, comme l’illustre les récents discours du Commissaire européen, Thierry Breton. Des moyens conséquents sont alloués et de nombreuses réglementations sont en cours d’élaboration. C’est dans ce contexte du développement exponentiel des cybermenaces, que le besoin d’avoir un socle d’exigences organisationnelles, juridiques et techniques communes, pour les Etats membres, pour les entreprises ainsi que pour l’ensemble de la chaine de valeurs, est primordial.
Des règlementations transversales inédites
A ce jour, un changement de paradigme existe avec des réglementations transversales inédites couvrant un champ d’application vaste concernant l’ensemble des secteurs tant public que privé, tout en intégrant la culture et les traditions juridiques des Etats nationaux. Ainsi, la directive dite NIS 2 fixe des exigences minimales pour les entreprises dites critiques, les collectivités ou encore la réglementation concernant les services financiers et les cryptoactifs. Ce cadre va également s’imposer aux acteurs économiques établis ou non au sein de l’Union offrant des services ou des biens au sein du marché intérieur. Ainsi, sans exhaustivité, il convient de citer le projet de règlement « Cyber Résilience », la législation sur les services numériques régulant les plateformes ou encore le projet de « Cyber Solidarity Act » qui souhaite renforcer la coopération européenne en matière de réaction aux cyberattaques. Or, d’aucuns incriminent la construction juridique d’être complexe, non opérationnelle avec un temps d’adoption très éloigné de la réalité de la vie des affaires la rendant inefficace et rapidement obsolète.
Mais qu’en est-il réellement ?
Ce socle juridique ambitieux se veut un facteur de confiance et de transparence dans la connaissance des usages avec aussi des instruments de contrôle avec un corpus de sanctions non pas uniquement financières. Cette construction réglementaire s’appuie sur des objectifs fondamentaux de transition numérique et de développement durable tout en s’ancrant sur le respect des droits humains et des libertés fondamentales incluant les libertés économiques. Ces objectifs partagés par l’ensemble des Etats membres, font partie du socle culturel et politique commun qui anime le projet européen. Ce nouveau cadre se veut donc plus protecteur, plus résilient afin de véhiculer un niveau d’exigences et de sécurité à la hauteur des ambitions européennes et des besoins des acteurs économiques.
Le droit : une opportunité pour notre souveraineté
L’Union fédère, ainsi, une vision commune des Etats membres et a une position de force par rapport aux autres acteurs mondiaux à laquelle aucun Etat, seul, ne pourrait prétendre. La France a déjà des acteurs en cybersécurité particulièrement connus, reconnus et compétitifs. Cette vision européenne permettra donc d’accélérer la progression, le développement et le rayonnement en France, en Europe, et à l’international de ces acteurs clefs qui sont et seront incontournables. Ainsi, le cadre réglementaire ne doit pas uniquement être perçu par les acteurs économiques comme un centre de coût et d’investissement, mais comme un instrument nécessaire pour accroître leur compétitivité, gagner des parts de marchés au-delà de nos frontières.
C’est pourquoi, face à ce constat, le droit ne doit pas être uniquement et seulement au service du politique, mais les entreprises doivent s’en saisir pour créer une nouvelle approche holistique pragmatique valorisant leur savoir-faire et leur garantissant un réel avantage compétitif. Dans le cadre des transpositions en droit national les entreprises devront être force de proposition afin d’avoir un véhicule législatif adapté à leurs ambitions, tout en y associant les pouvoirs publics et les associations professionnelles du secteur de la cybersécurité.
Gageons qu’avec cette proactivité, notre cadre juridique sera façonné pour être aisément applicable et porteur de valeurs communes. Le droit est et sera un instrument, un pilier de notre souveraineté numérique essentiel pour avoir une autonomie stratégique européenne.