Cyberdéfense, cybersécurité, cybercriminalité : le législateur se mobilise

Par Myriam Quéméner, magistrat, docteur en droit 

Face à une augmentation des cyberattaques en 2017 avec notamment Wannacry et Not Petya, qui ont causé des préjudices à la fois pour les citoyens, les entreprises et les institutions publiques, les évolutions législatives en cours de mise en œuvre ou de transposition tombent à point nommé1.

Tel est le cas tout d’abord du règlement européen sur la protection des données personnelles (RGPD), de la directive NIS et enfin du « paquet cyber » annoncé par la commission européenne qui plaide à juste titre pour une mobilisation renforcée dans un objectif de souveraineté numérique européenne2.

Le règlement général sur la protection des données

Le Parlement européen a adopté le 14 avril 2016 le « Règlement Général sur la protection des données » qui sera directement applicable dans les pays de l’Union européenne le 25 mai 2018. Les entreprises doivent se préparer à la réforme. Le règlement vient remplacer les dispositions existantes de la Loi Informatique & Libertés. Le texte concerne les « données personnelles », définies comme « toute information relative à une personne physique identifiée ou identifiable, directement ou indirectement, en particulier par référence à un identifiant tel qu’un nom, un numéro identifiant, une donnée de localisation, un identifiant en ligne ou un ou plusieurs facteurs spécifiques relevant de l’identité physique, psychologique, génétique, mentale, économique, culturelle ou sociale de cette personne » (art. 4.1). Les données génétiques et biométriques entrent désormais dans la catégorie des données sensibles (art. 9). Le règlement s’appliquera aux opérateurs non établis dans l’Union européenne, dès lors que leur activité consiste à offrir des biens ou services, payants ou gratuits, ou encore à analyser le comportement des utilisateurs de leurs services prenant place dans l’Union européenne (art. 3.2). Il reprend les principes d’un traitement légal, loyal et transparent (art. 5), en exigeant le consentement de la personne concernée, pour une ou plusieurs finalités spécifiques du traitement (art. 6a), sur lequel cette dernière peut revenir (art. 7.3). Le consentement loyal des mineurs de moins de seize ans et des titulaires de l’autorité parentale doit également être collecté par les responsables de traitement des services internet ciblant cette population (art. 8). Le règlement accorde aussi de nouveaux droits aux personnes concernées : « droit à l’oubli » (art. 17) et à la portabilité des données (art. 18) pour faciliter leur transfert d’un prestataire à un autre. Voulu comme un texte de modernisation du droit des données à caractère personnel, qui avait effectivement besoin d’un toilettage pour tenir compte du développement d’internet, des réseaux sociaux, des objets connectés… il vise à renforcer les droits des personnes, tout en assouplissant les formalités pour les entreprises. L’objectif est d’encadrer les nouveaux modes d’utilisation des données par les entreprises sans freiner leur développement économique. Ce règlement offre le niveau de protection le plus élevé au monde3 en matière de données personnelles. A la différence d’une directive européenne, les État-membres n’ont pas à transposer ce règlement dans leur droit national.4

Les amendes pénales et peines d’emprisonnement des articles 226-16 à 226-24 du Code pénal restent applicables. Le règlement conduira nécessairement les entreprises et leurs dirigeants à la mise en œuvre de plans de conformité efficaces et plus généralement au développement de leur activité de compliance.

Le renforcement des obligations des responsables de traitement 

Le règlement est très incitatif puisqu’il renforce les obligations des responsables des  traitements de données et sanctionne les manquements en imposant des amendes administratives aux montants inégalés. Les autorités de contrôle nationales, la Commission nationale informatique et libertés en France, chargées de la mise en œuvre de ces sanctions, sont ainsi placées au cœur du droit des données à caractère personnel.

Le règlement européen sur la protection des données vise à responsabiliser les acteurs des traitements de données en uniformisant les obligations et le niveau de responsabilité pesant sur les responsables de traitements et les sous-traitants. L’entreprise sous-traitante sera par conséquent tenue des mêmes obligations en matière de sécurité que le responsable de traitement. Ce dernier doit néanmoins veiller à faire appel à des sous-traitants qui présentent des garanties suffisantes quant à la mise en œuvre de mesures techniques et organisationnelles appropriées, et ce notamment en matière de sécurité des données.

Le traitement par un sous-traitant peut être régi par un contrat qui lie le sous-traitant à l’égard du responsable du traitement, et qui prévoit notamment que le sous-traitant prend toutes les mesures requises en matière de sécurité des données. Le sous-traitant aide également le responsable du traitement, compte tenu de la nature du traitement et des informations à la disposition du sous-traitant, à garantir le respect des obligations en matière de sécurité.

Les sous-traitants auront désormais une responsabilité identique à celle des responsables de traitement, et devront leur faire part d’une éventuelle violation : la consécration d’un droit à un recours jurisprudentiel pour les personnes concernées contre le sous-traitant ou le responsable de traitement. Ces obligations de notification restent « lourdes pour les entreprises » eu égard aux nombreuses attaques cybercriminelles dont la France fait l’objet… De même, on notera que les sanctions financières en cas de violation du dispositif ont été singulièrement alourdies, puisqu’elles porteront jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel et mondial. Le plafond maximal des sanctions de la CNIL passe de 150.000€ à 3 millions € (anticipation sur l’augmentation du plafond du montant des sanctions par le règlement européen qui sera applicable le 25 mai 2018 et prévoit un plafond pouvant aller jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, 4% du chiffre d’affaires mondial).

Enfin, les consommateurs seront rassurés par le fait que le règlement s’appliquera à tout traitement, même situé hors de l’Union européenne, dès lors qu’il concerne des données de personnes européennes. Par ailleurs, les responsables de traitement auront l’obligation de notifier les failles de sécurité aux autorités nationales de contrôle (art. 31).

Les sanctions administratives ne constituent pas les seuls risques auxquels s’exposent les particuliers et les entreprises. Le risque pénal ne doit pas être éludé. Le règlement prévoit que les États membres sont libres de déterminer le régime des sanctions applicables en cas de violation du texte (Règl. no 2016/679 préc., consid. 149). Pour l’heure, Il conforte en outre la possibilité d’actions en responsabilité civile afin d’obtenir réparation du dommage subi en raison d’une violation des obligations imposées par le règlement (Règl. no 2016/679, art. 82). Une obligation de notification étendue à tous les responsables de traitement : également reçues par la CNIL, non plus comme les fournisseurs de services dans un délai immédiat, mais 72 heures après avoir pris connaissance de la violation. Le règlement général de la protection des données (RGPD) fait ainsi de la « privacy » un enjeu d’entreprise.

La directive sur la sécurité des réseaux et de l’information5 (SRI) ou directive « NIS » (« Network and Information Security ») 

La directive devra être transposée par les États membres de l’Union européenne avant mai 2018. En renforçant les obligations de sécurité des entreprises du secteur privé, elle devrait permettre de réduire leurs vulnérabilités face à une cybercriminalité en pleine essor.

La directive prévoit des obligations en matière de sécurité interne incombant aux « opérateurs de services essentiels » et aux « fournisseurs de services numériques ».

Dans un certain nombre de secteurs critiques, tels que l’énergie, les transports, les services financiers et la santé, les États membres devront identifier, sur la base de critères énoncés dans la directive, les opérateurs de services essentiels, qui seront soumis à des exigences et à une surveillance renforcées Des obligations moins lourdes pèseront sur les fournisseurs de services numériques, à savoir les moteurs de recherche, les services en nuage et les plates-formes de commerce électronique. Les micro-entreprises de ces secteurs en seront toutefois exemptées, au même titre que les réseaux sociaux, comme Facebook et Twitter.

La directive oblige aussi les opérateurs concernés à signaler aux autorités nationales compétentes les incidents de sécurité majeurs dont ils sont victimes. Si le dispositif français met déjà en œuvre l’essentiel des mesures préconisées6, elle devrait surtout contribuer à rendre les partenaires européens plus coopératifs.

Le « paquet cybersécurité » de la commission européenne 

À l’occasion de son discours annuel sur l’état de l’Union européenne prononcé le 13 septembre 2017, la Commission européenne a présenté son paquet « Cybersécurité » avec notamment le projet de transformer l’ENISA en agence européenne de cybersécurité, la création d’un label européen pour les entreprises, des investissements dans l’innovation technologique et enfin renforcer la lutte contre la fraude aux moyens de paiement

La Commission européenne souhaite se doter de moyens supplémentaires capables de répondre aux cyberattaques. Selon elle, le cadre juridique actuel relatif à la lutte contre la fraude et la contrefaçon des moyens de paiement autres que les espèces (décision-cadre 2001/413/JAI, 28 mai 2001) n’étant plus en phase avec les défis et les évolutions technologiques d’aujourd’hui, elle propose d’adopter des mesures efficaces en matière de « cyberdissuasion » et de répression par le droit pénal.

Dans ce but, une nouvelle directive va adapter la législation à l’utilisation croissante des paiements mobile, des monnaies virtuelles et autres nouveaux instruments de paiement issus des évolutions technologiques.

La directive proposée élargira le champ des infractions relevant de la cybercriminalité en y intégrant les transactions effectuées grâce à des monnaies virtuelles. Elle introduira également des règles communes relatives au niveau des peines pour une durée minimale allant de deux ans à cinq ans pour les sanctions les plus élevées. En outre, elle précisera la portée de la compétence juridictionnelle des États membres en ce qui concerne ces infractions et garantira les droits des victimes de la cybercriminalité.

Enfin, en renforçant la coopération en matière de justice pénale à l’échelle européenne, la directive aura pour objectif de faciliter l’accès transfrontalier aux preuves électroniques. A cet effet, la Commission présentera au mois d’octobre 2018 les résultats de ses réflexions sur le rôle du cryptage dans les enquêtes pénales.