Retour aux actualités
Article suivant Article précédent

Revue 174 - L'Europe met en place un cadre juridique pour la cybersécurité

Articles Revue TELECOM

-

15/10/2014

L’Europe met en place un cadre juridique pour la cybersécurité

Par Fabrice Mattatia1 (1995) dans la revue TELECOM n° 174

L’obtention de la cybersécurité nécessite certes des outils techniques performants et des mesures organisationnelles pour les mettre en œuvre, mais elle ne peut se faire que dans un cadre juridique propice. La menace étant par nature internationale, il était logique que l’Union européenne harmonisât le droit applicable dans les Etats membres. L’Union souhaite ainsi promouvoir en amont l’utilisation d’outils et de services de confiance, qui font l’objet d’un règlement adopté en 2014. Elle a également adopté en 2013 une directive sur la lutte contre la cybercriminalité.

Le règlement sur les services de confiance

Le règlement, qui entrera en vigueur à partir de 2016, remplace et complète la directive européenne de 1999 sur la signature électronique, actuellement en vigueur. En effet, la Commission européenne a considéré que le manque de succès que l’on constate actuellement pour la signature électronique provient des différences nationales de transposition de cette directive. Le règlement crée donc des règles communes à tous les Etats membres pour l’identité numérique ainsi que pour la signature électronique des personnes physiques et (ce qui est nouveau) morales. En France, ce texte remplace la loi de 2000 sur la signature électronique, qui transposait la directive de 1999.

Qu’est-ce que l’identité numérique ?

L’identité numérique (ou électronique) est ici entendue comme un moyen de prouver sur internet sa véritable identité. Une telle démarche n’a aucune raison d’être systématique : l’internaute a parfaitement le droit de naviguer de manière anonyme ou en adoptant despseudonymes. La preuve d’identité doit se limiter aux seuls services qui justifient cette exigence, comme par exemple l’accès à des dossiers personnels.
 

Concrètement, de nombreux Etats européens ont émis ces identités électroniques sous forme de certificats contenus dans les puces de cartes d’identité électroniques : Finlande, Estonie, Belgique, Espagne, Portugal, Suède, Allemagne, etc. En France, une disposition adoptée par le Parlement a été censurée en mars 2012 par le Conseil constitutionnel, qui estimait que la rédaction de l’article concernant l’identité numérique était maladroite.
 

Notons que les mêmes outils techniques permettent souvent de réaliser des signatures électroniques, c’est-à-dire d’apposer électroniquement son approbation sur un document.

La création d’un cadre européen d’interopérabilité

Le règlement crée les conditions selon lesquelles chaque Etat devra reconnaître et accepter les identités numériques émises par un autre Etat. Ainsi, chaque Etat pourra notifier à la Commission des systèmes d’identité numérique qui respectent les conditions suivantes :
 

a) Les identités numériques sont émises par cet Etat, pour son compte ou sous son contrôle ;
 

b) Elles servent au moins à accéder aux services d’administration électronique ;
 

c) L’Etat garantit l’identité du titulaire.
 

L’Etat garantit la disponibilité en ligne, 24/7 des éléments de vérification (comme les listes d’opposition). Il n’impose aucune spécification technique excessive pour utiliser l’identité électronique.

A partir de 2016 les Etats membres de l’Union devront reconnaître les identités électroniques émises par les autres Etats à partir du moment où elles sont inscrites sur la liste publiée par la Commission. Ils devront notamment les accepter pour leurs services d’administration électronique requérant une identité numérique avec un niveau de sécurité important.
 

Par ailleurs, si l’outil d’identité numérique permet de générer des signatures électroniques avec un degré suffisant de sécurité, alors cette signature électronique aura une validité juridique équivalente à celle d’une signature manuscrite, reconnue dans toute l’Union.

Il est important de souligner que ce texte ne crée aucune obligation pour un Etat de l’Union de délivrer ou de faire délivrer des identités numériques (avec ou sans outil de signature), ni de notifier à la Commission celles qu’il délivre ou fait délivrer.
 

On peut toutefois s’interroger sur la réalité du besoin, pour le grand public, de disposer d’une identité numérique reconnue dans un autre Etat membre. Les transactions électroniques avec notre propre administration nationale, nécessitant une identité de niveau desécurité important ou une signature électronique, sont déjà très rares (cf. l’abandon de la signature électronique pour la télédéclaration des revenus…) ; les occasions de traiter avec une administration étrangère le sont encore plus, sauf cas particuliers (travailleurs transfrontaliers ou expatriés, par exemple).

L’identification électronique d’une personne morale

En l’état actuel du droit français et européen, seule la signature électronique d’une personne physique dispose d’une définition juridique, grâce à la directive de 1999. La notion de signature électronique d’une personne morale n’existe pas juridiquement.
 

Le règlement comble cette lacune. Tout d’abord, il définit l’identification d’une personne morale (entreprise, association…) de la même manière que celle d’une personne physique : l’identification doit permettre de désigner sans ambiguïté cette personne. L’utilisation de cette identité numérique des personnes morales servira par exemple à lutter contre le phishing, en garantissant l’authenticité des mails expédiés par les sociétés et des sites web auxquels l’internaute se connecte.
 

Afin de permettre une reconnaissance intereuropéenne de cette identité numérique des personnes morales, le texte prévoit le même mécanisme que celui prévu pour les personnes physiques : chaque Etat pourrait notifier à la Commission des systèmes d’identiténumérique des personnes morales dans les mêmes conditions que pour les personnes physiques.

La signature électronique d’une personne morale

Le règlement innove également en créant la notion de signature électronique d’une personne morale, appelée « cachet électronique ». L’apposition d’un cachet électronique permet à une personne morale de garantir l’origine et l’intégrité de données. Par exemple, ellepermet de lutter contre le phishing en garantissant l’identité de l’émetteur des mails, ou contre la modification frauduleuse d’un code logiciel, en garantissant l’absence de modification de ce code.
 

Par ailleurs, si le cachet électronique est généré avec un degré suffisant de sécurité, alors le document portant ce cachet bénéficiera d’une présomption légale d’authenticité et d’intégrité.
 

Les entreprises ont beaucoup à gagner à disposer d’une identité numérique qui soit à la fois reconnue au niveau juridique et valable dans toute l’Union européenne. Cette identité peut servir dans leurs échanges avec le public, comme cité plus haut, pour lutter contre le phishing ; elle peut également servir dans les échanges B2B (passation de commandes, signature de contrat, garantie d’intégrité d’un logiciel) ou B2A (dématérialisation des diverses déclarations et formalités, soumission aux marchés publics…).

La directive sur la lutte contre la cybercriminalité

Les législations des différents Etats de l’Union européenne visant à réprimer les attaques informatiques sont disparates et peu dissuasives. Alors qu’on constate une recrudescence des menaces, visant notamment les infrastructures critiques, l’Union souhaite harmoniser les sanctions pénales et mieux coordonner l’action des organismes nationaux et internationaux, comme Europol ou l’Agence européenne de la sécurité des réseaux et de l’information (ENISA). Les Etats membres ont jusqu’au 4 septembre 2015 pour transposer cette directive dans leur droit interne.

Des sanctions pénales minimales

La directive prévoit des sanctions pénales pour l’accès sans droit à un système d’information. Elle précise toutefois que les Etats doivent prévoir ces sanctions au moins « lorsque l’acte est commis en violation d’une mesure de sécurité », et « au moins lorsqu’il ne s’agit pas de cas mineurs ». Il ne devrait pas être nécessaire de transposer cette disposition en droit français, puisque l’actuel article 323-1 du Code pénal prévoit déjà la répression des accès frauduleux, et ce dans tous les cas, qu’il y ait ou pas des mesures de sécurité et que le cas soit mineur ou pas.
 

Cette notion de « cas mineur », en revanche, constitue une nouveauté pour le droit français. La directive précise que les Etats peuvent, s’ils le souhaitent, ne pas sanctionner des infractions jugées mineures, la définition de ces dernières étant de leur ressort. La directive suggère que puissent être considérés comme mineurs les faits qui causent des dommages ou qui génèrent des risques « peu importants ».

La directive prévoit de même de sanctionner la « perturbation grave » d’un système, ainsi que l’altération frauduleuse de données, « lorsque l’acte est commis de manière intentionnelle et sans droit, au moins lorsqu’il ne s’agit pas de cas mineurs ». A nouveau, le code pénal français actuel réprime déjà, de manière plus large, la perturbation volontaire (article 323-2) ou involontaire (lorsqu’elle résulte d’un accès frauduleux, article 323-1) d’un système informatique, ainsi que la modification frauduleuse de données (article 323-3).
 

La production, la vente, ou la diffusion de programmes de piratage informatique sont également visées par la directive, ainsi que la diffusion de mots de passe ou codes d’accès. Cela nécessitera peut-être un ajustement de la rédaction de l’actuel article 323-3-1 de notre Code pénal, qui ne vise que les « programmes ou données spécialement conçus ou adaptés » pour commettre des infractions : il est difficile de soutenir qu’un mot de passe ou un code d’accès entrerait dans cette définition.
 

La directive exige que les peines encourues soient au moins de deux ans de prison (sauf « cas mineurs »), et de trois ans lorsque l’infraction est intentionnelle et qu’un nombre important de systèmes d’information est atteint. La peine encourue doit être d’au moinscinq ans lorsque l’infraction est commise par une organisation criminelle, ou cause un préjudice grave, ou est commise à l’encontre d’un système ou d’une infrastructure critique. Il est à noter que l’article 323-1 français actuel ne prévoit que deux ans de prison pourles accès frauduleux et trois ans pour l’altération de données qui en résulte ; les articles 323-2 et 323-3 prévoyant déjà une peine de 5 ans de prison. La participation à une organisation criminelle en vue de commettre une de ces infractions est punie des mêmes peines(article 323-4).
 

La directive prévoit que l’usurpation des données personnelles d’une personne, en vue de gagner la confiance d’un tiers et causant un préjudice au propriétaire légitime de l’identité, constitue une circonstance aggravante.

La responsabilité des personnes morales

La directive prévoit que les personnes morales doivent être tenues responsables des infractions commises pour leur compte par leurs dirigeants. La personne morale est également responsable si son absence de surveillance a rendu l’infraction possible par ses salariés. Cela n’exclut pas les poursuites individuelles contre les personnes physiques en cause.
 

En droit français, l’actuel article 323-6 du Code pénal prévoit déjà la responsabilité des personnes morales.

Le renforcement de la coopération internationale

La directive prévoit que les Etats sont compétents pour les infractions commises sur leur territoire, ou par leurs ressortissants, ou lorsque l’infraction vise un système situé sur son territoire.
 

Des échanges d’informations sont mis en place entre les Etats, avec des points de contacts opérationnels 24h/24 et 7 jours sur 7.
 

La transposition de cette directive n’impactera que peu notre droit pénal national, qui prend en compte les attaques informatiques depuis la loi Godfrain de 1988. C’est dans l’amélioration de l’efficacité de la coopération contre la cybercriminalité que réside le principal espoir d’endiguer ce fléau.
 

En conclusion, l’Union européenne se dote de deux outils juridiques pour lutter contre la cybercriminalité : l’un, préventif, vise à augmenter le niveau de sécurité des échanges ; l’autre, répressif, harmonise et augmente les sanctions infligées aux cybercriminels.


1  Auteur de Traitement des données personnelles, Eyrolles, 2013, et de Loi et internet, Eyrolles, 2014
 


Loi et internet 
(Eyrolles, 2014, 230 pages)
 

En sept chapitres consacrés à la liberté d’expression, aux données personnelles, à l’e-réputation, au droit d’auteur, aux transactions en ligne, à internet dans la vie professionnelle et à la cybercriminalité, vous découvrirez le cadre légal rendu clair et accessible, émaillé de définitions, de jurisprudences, de perspectives, d’élément à retenir, de résumés des débats en cours, de points de vue de spécialistes, … Que vous surfiez pour votre vie privée ou pour votre travail, que vos soyez utilisateur ou responsable informatique, toutes les situations sont envisagées et illustrées d’exemples concrets.






L’auteur


Fabrice 
Mattatia 
(1995) , Polytechnicien, ingénieur Télécom ParisTech et docteur en droit, Fabrice Mattatia a été en 2009-2010 le conseiller de la secrétaire d’Etat à l’économie numérique. Il est expert en confiance numérique (identité numérique, données personnelles, droit du numérique) et a publié en 2013 chez Eyrolles Traitement des données personnelles : le guide juridique. Son nouvel ouvrage, Loi et Internet, vient de paraître chez le même éditeur.

 

 

 

255 vues Visites

J'aime

Commentaires0

Veuillez vous connecter pour lire ou ajouter un commentaire

Articles suggérés

Articles Revue TELECOM

Quels rôles jouent les technologies numériques dans l’évolution de la médecine du travail ? Groupe Santé#196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

Le numérique au service de la décarbonisation #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril

Articles Revue TELECOM

DC Brain nommé au prix de la croissance #196

photo de profil d'un membre

Rédaction Revue TELECOM

01 avril