Close
  • Français
  • English

Droit du numérique : halte à la dispersion (par le Général d’armée (2S) Watin-Augouard, Fondateur du FIC)

21/03/2018

Le droit de l’espace numérique évolue (presque) en même temps que les nouvelles technologies et les menaces qui pèsent sur les systèmes d’information et de communication.

La loi du 26 février 2018 a transposé la directive NIS en créant des obligations concernant les opérateurs fournissant des « services essentiels » (OSE) à la continuité des activités économiques et sociales critiques de la nation ainsi que les « fournisseurs de services numériques » (FSN), services eux-mêmes utilisés par les opérateurs de services essentiels.

Le renforcement du dispositif législatif devrait se poursuivre avec la future LPM dont l’examen vient de commencer au Parlement. Elle vise à renforcer la résilience des systèmes d’information que les opérateurs de communications électroniques mettent à la disposition de leurs abonnés via leurs réseaux et celle des systèmes d’information des autorités publiques et des OIV. Comme le souligne la revue stratégique cyberdéfense, les opérateurs de communications électroniques « ont un rôle clé à jouer dans la cyberdéfense des opérateurs essentiels à l’économie et à la société » et « doivent donc être des partenaires majeurs de l’État dans la lutte contre la cybermenace ». Ainsi est reconnue la contribution nécessaire des acteurs privés à la cybersécurité.

La mise en place de « marqueurs », à l’initiative des opérateurs ou sur demande de l’ANSSI a pour objectif de détecter les cyberattaques. L’Agence se voit reconnaitre le droit, lorsqu’elle a connaissance d’une menace « susceptible de porter atteinte » à leurs systèmes d’informations, de mettre en œuvre un dispositif de marqueurs sur le réseau d’un opérateur de communications électroniques, sur celui d’une personne, dont l’activité est d’offrir un accès à des services de communication au public en ligne (fournisseur d’accès), ou sur celui d’un hébergeur. L’ARCEP voit ses compétences élargies au contrôle de ces mesures.

La jurisprudence est aussi source de droit. La Cour européenne des droits de l’homme (CEDH), par un arrêt du 22 février 2018, a confirmé qu’un employeur peut accéder aux données stockées sur l’ordinateur professionnel d’un employé, dès lors qu’elles ne sont pas identifiées comme étant privées. La Cour de cassation (1ère chambre civile, (17-10.499) Google/M. Thierry X., 14 février 2018) a précisé qu’une juridiction saisie d’une demande de déréférencement ne peut ordonner au moteur de recherche une mesure d’injonction d’ordre général et doit mettre en balance les intérêts en présence. Elle applique ainsi l’arrêt de la Cour de justice de l’Union européenne du 13 mai 2014 (C-131/12, Google Spain et Google) relatif au « droit à l’oubli ». Enfin, le 30 mars, le Conseil constitutionnel devrait statuer sur une QPC relative à l’article 434-15-2 du code pénal qui incrimine toute personne ayant connaissance d’une clef de déchiffrement et qui refuse de la remettre aux autorités judiciaires. Si l’on ajoute le projet de loi sur les fake news, annoncé par le Président de la République le 3 janvier dernier, on constate que le corpus juridique de la cybersécurité se construit avec un seul défaut : son éparpillement dans de très nombreux codes qui nuisent à une approche globale. Il faudra bien un jour rassembler le tout dans un document unique qui garantisse une cohérence d’ensemble. Avec l’Agora parlementaire, le FIC a bien l’ambition de contribuer à cette clarification.