Réglementation
La place des questions juridiques dans le monde de la cybersécurité s’est considérablement accrue, au point que le responsable juridique est désormais souvent le meilleur allié du RSSI. Pourquoi un tel rapprochement ? Les explications de Maître Olivier Itéanu, du cabinet Iteanu Avocats.
Depuis quelques années, cybersécurité et droit sont un couple souvent accolé. Alors qu’on y parle d’abord technique et organisation, le droit est venu s’immiscer dans les débats. Comment en est-on arrivé là et pourquoi ? Nous proposons une manière de comprendre ce phénomène, illustrée par deux normes juridiques communautaires récemment prises et devant entrer en vigueur en mai 2018, le Règlement Général sur la Protection des Données dit RGPD¹ et la Directive sur la Cybersécurité dite NIS². Coïncidence ou pas, ces deux textes s’appliqueront tous deux dès mai 2018³.
(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
(2) Directive 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union.
(3) Le Règlement s’appliquera directement dans tous les Etats membres le 25 mai 2018. La directive devra être transposée par les Parlements nationaux de chaque Etat membre dans leur droit interne avant mai 2018.
Explication par la terminologie
Le phénomène qui est désigné par le terme cybersécurité n’est pas né en 2016. Ces problématiques ont accompagné la naissance de l’informatique. Dans la Loi, elles sont apparues en France pour la première fois avec la Loi dite Godfrain du 5 Janvier 1988, du nom du Député Jacques Godfrain, qui l’avait proposée. Ce texte instaurait les premiers délits informatiques. Le terme employé pour désigner ce phénomène était à l’époque celui de « fraude informatique », dans la mesure où l’informatique communicante et l’internet n’étaient pas encore arrivés dans le grand public. La Loi Godfrain est désormais codifiée au Code pénal, aux articles L 323-1 et suivants.
Cette Loi, une des plus claires des trente dernières années, reste aujourd’hui la pierre angulaire des délits informatiques. Ces délits sont pour l’essentiel les délits d’accès ou du maintien frauduleux dans un SI, celui d’entraver ou de fausser son fonctionnement visant les virus, les vers, les bombes logiques et tous les malwares, celui d’introduire, de modifier, de supprimer et, depuis fin 2014, d’extraire illicitement toutes données du SI. Mais si la Loi Godfrain qui a évolué, reste au cœur du droit pénal de l’informatique, la terminologie a radicalement changé. La fraude informatique a d’abord laissé sa place à la cybercriminalité.
Le préfixe « cyber » marque l’arrivée en force d’internet sur et autour duquel nos sociétés s’organisent. Des délits spécifiques aux réseaux numériques ont même été créés comme le délit aggravé de pédopornographie réalisé en réseaux ou l’usurpation d’identité numérique.
Le premier Traité international de Cybercriminalité date de novembre 2001 et il s’intitule justement « Convention sur la cybercriminalité ». Il s’agit de la Convention de Budapest. Mais le terme cybercriminalité laisse à penser que la réponse au phénomène est exclusivement judiciaire et pénal, en raison de l’emploi du mot « criminel ».
La cybersécurité, le troisième mot qui s’impose à ce jour, parachève cette évolution terminologique. Le changement « cybersécurité » illustre parfaitement que le phénomène doit être combattu avant l’acte criminel, de manière préventive, par l’instauration au sein des organisations de mesures d’ordre technique, organisationnelles donc humaines et juridiques. Sur ce dernier point, le contrat, l’organisation interne (chartes informatiques et / ou internet), les audits juridiques et surtout la technique participent à la lutte contre cette nouvelle forme de criminalité. L’autre raison de l’évolution est moins dite. Mais les praticiens du droit connaissent bien cette explication. Désormais, on peut être victime mais responsable sur un plan juridique. Le SI a été attaqué, je suis victime. Mais dans le cours de cette attaque, des données personnelles y ont été extraites illicitement en grand nombre, je suis peut-être responsable juridiquement de ce second acte. La cybersécurité traduit cette ambivalence. La cybersécurité tend à aménager le risque juridique des organisations, à l’anticiper, à le gérer.
Illustration par le RGPD et la Directive NIS
Cette nouvelle approche a été adoptée par le législateur européen tant pour la rédaction du RGPD que pour celle de la Directive NIS. En effet, le RGPD et la Directive NIS imposent aux acteurs du cyber espace de prendre des mesures dites « techniques et organisationnelles » afin d’assurer la sécurité de leurs activités (traitement des données, réseaux et systèmes d’information). Cette nouvelle formulation met en avant la collaboration obligatoire aujourd’hui entre la technique et le droit.
Ces deux textes imposent dans cette optique de nouvelles obligations, souvent à titre de prévention, et étendent leur champ d’application à de nouveaux acteurs (sous-traitants, fournisseur de service Cloud), faisant du droit un élément central de toute activité technique entreprise. Concernant le RGPD tout d’abord, de nouvelles obligations ont été créées à la charge du responsable de traitement et du sous-traitant.
Avec le nouveau Règlement, le droit s’immisce dans toutes les phrases du traitement des données à caractère personnel, devenant un élément incontournable : des mesures « techniques et organisationnelles » devront donc être mises en place dès la conception du traitement (Privacy by design, Privacy by default, et évaluation des risques), mais également tout au long du processus (avec la mise en place de mesures permettant de garantir un niveau de sécurité adapté – chiffrement, pseudonimisation), jusqu’à même une éventuelle violation (Breach notification).
Avec les nouveaux concepts de « Privacy by design » et « Privacy by default » (tous deux prévus à l’article 25 du Règlement), le responsable de traitement devra mettre en œuvre des « mesures techniques et organisationnelles » afin de s’assurer que la protection des données traitées est prise en compte dès la détermination des moyens du traitement.
Le concept de « Privacy by default » implique également que le responsable de traitement s’assure qu’il ne collecte que les données véritablement nécessaires à chaque finalité du traitement. Ainsi le droit s’invite désormais dès la création de la technique, et ne se cantonne plus à sanctionner les attaques en aval. Le RGPD impose également au responsable de traitement et au sous-traitant d’évaluer les risques que le traitement présente pour les droits et libertés des personnes concernées et surtout de mettre en place des mesures techniques et organisationnelles afin de garantir un niveau de sécurité adapté à ces risques (art. 32 du Règlement).
Parmi les mesures préventives proposées par le Règlement figure par exemple le chiffrement, ou encore la pseudonimisation. Il est clair qu’ici le droit sort encore une fois de son rôle initialement répressif, et va jusqu’à dicter aux cyber acteurs comment se comporter face aux risques qu’ils auront évalués.
Le RGPD a également étendu et alourdi l’obligation de notification en cas de violation de données à caractère personnel, déjà prévue par la Directive 1995. L’article 33 et 34 du nouveau Règlement imposent au responsable de traitement de notifier tout violation de données à caractère personnel à l’autorité de contrôle (la CNIL en France) dans un délai de 72h – ainsi qu’à la personne concernée dans certains cas – et prévoient le contenu de cette notification. Cette obligation de notification s’applique désormais également au sous-traitant, qui a quant à lui l’obligation de notifier toute violation « dans les meilleurs délais après en avoir pris connaissance ».
Victime et responsable
Mais la victime d’une cyberattaque peut elle-même être responsable juridiquement. En effet, bien que victime, la personne n’en reste pas moins responsable juridiquement des données qu’elle collecte, et doit donc sur le plan du droit répondre de ses actes. Le RGPD précise dans ce sens qu’en cas de violation des données à caractère personnel, le responsable de traitement devra « documenter » cette violation, et justifier auprès de la CNIL des mesures et procédures mises en place afin de pallier cette attaque (art. 33 (5) du Règlement). Le statut de victime de cyberattaque ne suffit donc pas à protéger, laquelle victime ne peut se contenter d’avoir un simple rôle passif. Bien au contraire, elle devra démontrer avoir tout mis en œuvre pour éviter cette attaque, et le cas échéant minimiser ses conséquences.
La Directive NIS présente la même logique préventive que le RGPD, allant même jusqu’à reprendre certaines tournures du RGPD : les « opérateurs de services essentiels » et « fournisseurs de service numérique », les deux entités visées par la Directive, devront prendre des « mesures techniques et organisationnelles » afin de prévenir et gérer les risques qui menacent les réseaux et systèmes d’information qu’ils utilisent dans le cadre de leurs activités (article 14 et 16 de la Directive). La Directive NIS, tout comme le RGPD, impose également une obligation de notification en cas d’incident ayant un « impact significatif sur la continuité des services essentiels qu’ils fournissent ». Cette notification devra être effectuée auprès de l’autorité compétente, c’est-à-dire l’ANSSI en France.
Pour conclure : oui, il va falloir s’habituer à ce qui s’affirme comme une évolution et une tendance lourde qui s’installe : la cybersécurité nécessite une pluridisciplinarité qui à côté du RSSI, de la DSI et de la Direction Générale, associe désormais pleinement le juriste.
