Sécurisation de toutes les données.
On se souvient que la loi de programmation militaire du 18 décembre 2013, complétée par le décret du 27 mars 2015 relatif à la sécurité des systèmes d’information des opérateurs d’importance vitale, a imposé des obligations importantes, en matière de défense de leurs réseaux numériques, aux opérateurs d’importance vitale (OIV), c’est-à-dire ceux pour lesquels l’atteinte à la sécurité ou au fonctionnement « risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation » (art. L.1332-1 du Code de la défense).
La directive NIS (Network and Information Security) du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (M. Quéméner, La directive NIS, un texte majeur en matière de cybersécurité, Sécurité et stratégie 2016/3 (23), p. 50-56 ; G. Mathias, Cybersécurité. La directive SRI : vers un cadre harmonisé ?, Legalis, 5 décembre 2016), quant à elle, a souhaité harmoniser le niveau de sécurité des réseaux et infrastructures en Europe et a imposé des obligations, en matière de sécurité numérique, à deux nouveaux acteurs : les « opérateurs de services essentiels » et les « fournisseurs de services numériques ».
Elle a été déjà largement anticipée par la législation française, dont elle s’inspirait, mais sa transposition devait intervenir avant le 9 mai 2018.
C’est chose faite (du moins lorsque seront adoptés les décrets d’application) avec l’adoption du titre 1er de la loi du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité, en attendant l’adoption du prochain « paquet cyber » prévu pour 2018 (S. Rolland, Cyberattaques : que contient le « paquet cyber » que l’Europe veut voter en 2018 ?, La Tribune, 20 septembre 2017 ; Commission européenne, Cybersécurité et libre circulation des données dans l’UE, 19 septembre 2017).
Il convient de ne pas sous-estimer la portée de ce texte : même s’il reprend de nombreuses notions présentes dans le RGPD, il concerne toutes les données, et pas seulement les données à caractère personnel (qui imposent aussi des obligations particulières en matière de sécurité).
Plus précisément, il s’applique aux « données numériques stockées, traitées, récupérées ou transmises par » un réseau de communications électroniques ou par un dispositif de traitement automatisé de données numériques (art. 1er de la loi).
Ce texte vise donc un objectif de sécurisation de toutes les données, ce qui constitue une préoccupation majeure des entreprises (D. Cuny, Le risque cyber, le 2ème le plus redouté par les entreprises, La Tribune, 18 janvier 2018) comme des Etats (J.-Y. Latournerie, Cyber menaces et protection des entreprises : une priorité de l’Etat, Dalloz IP/IT 2016, p.8 ; K. Bannelier et Th. Christakis, Cyberattaques. Prévention-réactions : rôle des Etats et des acteurs privés, Les Cahiers de la Revue Défense Nationale, Paris, 2017).
A cet égard, il définit la sécurité des réseaux et systèmes d’information (RSI) comme la « capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces RSI offrent ou rendent accessibles » (art. 1er de la loi).
On retrouve ici la formulation qui figure dans le projet « e-Privacy » de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques du 20 octobre 2017 (En ce sens, V. M.-A. Ledieu, [cyber-sécurité] loi n° 2018-133 du 26 février 2018 « sécurité des réseaux et des systèmes d’information », Blog Ledieu-Avocats, 27 février 2018).
Sont toutefois exclus du champ d’application de la loi nouvelle (art. 2 de la loi) :
- Les opérateurs au sens de l’article L.32-15° du Code des postes et des communications électroniques, c’est-à-dire les personnes « exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques ».
- Les prestataires de confiance, qui ont notamment pour rôle de délivrer les certificats de sécurité. Ils relèvent du Règlement « eIDAS » du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.
Annabel QUIN,
Maître de conférences à l’Université de Bretagne-Sud
Ancienne avocat au Barreau de Paris
Mise en ligne: 02/05/2018