Les principaux textes qui régissent le cyberespace
Introduction
Photo de Tingey Injury Law Firm sur Unsplash
Les États-Unis
Un arsenal législatif aux services des affaires et à la portée internationale.
Dans le précédent chapitre, nous avons effleuré le sujet législatif à propos des USA qui favorisent ainsi leur tissu économique, stimulent l’innovation et, in fine, dominent le monde dans de nombreux sujets de nature commerciale.
Il convient maintenant de regarder de plus près les dispositifs réglementaires ainsi que les instances qui parachèvent cette construction et qui permettent aux USA de se « croire un peu chez eux » un peu partout dans le monde, à commencer par la France et l’Europe.
Dans l’arsenal législatif américain, deux grandes lois nous intéressent plus que les autres vu les conséquences qu’elles peuvent avoir sur les activités des personnes et entreprises étrangères : le Patriot Act et le Cloud Act.
1. Le Patriot Act
Le Patriot Act est une loi fédérale américaine qui a été adoptée par le Congrès américain à la demande de Georges W. Bush alors Président en exercice, à la suite des attentats du 11 septembre 2001.
Le titre complet de la loi est Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act, ce qui peut être traduit par : unir et renforcer l’Amérique en fournissant les outils appropriés nécessaires pour intercepter et entraver l’acte terroriste ».
Cette loi élargit de manière significative les pouvoirs des organismes chargés de son application, mais surtout des services de renseignements dans leurs missions de lutte et de prévention du terrorisme (CIA, FBA, NSA et aussi l’armée).
Ci-après quelques dispositions clés du Patriot Act :
-
Autorisation de la surveillance, y compris les écoutes téléphoniques et la surveillance électronique, dans le cadre des enquêtes de sécurité nationale.
-
Élargissement de la définition du terrorisme intérieur pour inclure les activités qui menacent la santé et la sécurité publiques, en plus de celles qui impliquent de la violence ou la destruction de biens....
La Russie
Les lois russes dans le domaine cyber visent à renforcer la souveraineté numérique de l’état russe et au même niveau, à réglementer l’utilisation d’Internet dans le pays.
1. Protection des données à caractère personnel
La Russie s’est dotée en 2006 d’une loi cadrant la gestion des données à caractère personnel (loi 149FZ). Elle impose des obligations aux entreprises et aux organisations qui traitent des données personnelles en Russie, notamment :
-
Informer les personnes concernées de la collecte, du traitement et de la conservation de leurs données personnelles.
-
Obtenir le consentement préalable des personnes concernées par le traitement de leurs données personnelles.
-
Assurer la sécurité des données personnelles en prenant des mesures techniques et organisationnelles appropriées.
-
Informer les autorités compétentes en cas de violation des données personnelles.
-
Respecter les droits des personnes concernées, tels que le droit d’accès, le droit de rectification, le droit à l’oubli et le droit à la portabilité des données.
Pour nous européens qui sommes rodés au RGPD, tout cela est très classique.
Cette loi a été amendée en juillet 2014 par la loi 242-FZ...
La Chine
Des lois au service de l’idéologie et des ambitions du Parti Communiste Chinois.
Les caractéristiques des lois chinoises en matière de cybersécurité sont de protéger au maximum les intérêts de l’état chinois qui prime très largement sur les intérêts des citoyens chinois en tant qu’individus et des entreprises installées en Chine, en particulier les entreprises étrangères.
Ces lois interviennent à plusieurs niveaux. Elles se complètent et donnent au gouvernement chinois toute latitude pour contrôler tant Internet que les échanges de données dans le pays (pas d’extraterritorialité des lois chinoises).
On peut classer les lois en cinq domaines d’application : la cybersécurité que nous verrons ensuite, les infrastructures critiques (ce qui nuirait à la sécurité nationale au sens large en cas de problème), les données personnelles (voir ci-après), les données importantes (de même, les données qui concernant la sécurité nationale, la stabilité du pays…), enfin le système de protection à plusieurs niveaux dit MLPS (certification obligatoire des réseaux informatiques non domestiques de 1 (le moins critique) à 5 (le plus critique). Cette certification est gérée par le ministère de la sécurité publique et passe en revue la cybersécurité de tous les constituants et conditions de gestion des réseaux.
Concernant ce MLPS, il a connu deux versions : le MLPS 1.0 et le MLPS 2.0 (à partir de la publication de nouvelles normes par les régulateurs chinois en 2019). Cette deuxième version élargit le champ de compétence de ce règlement à tout ce qui concerne les infrastructures de réseau, les systèmes d’information critiques, le cloud, l’Internet des objets (IoT), les applications mobiles, les plateformes de service public… cela pour relever les défis de cybersécurité issus des nouvelles technologies et par l’évolution de l’industrie.
Beaucoup de lois, de textes et de règlements qui organisent le contrôle des échanges internet en Chine...
La France
En France, on aime faire, refaire, défaire des lois. Le cadre législatif qui nous intéresse ici est donc important et ne peut ni ne doit être décorrélé de la dimension européenne.
Les textes auxquels il faut se référer en matière de cybersécurité et de cyberdéfense sont donc très nombreux.
Le droit « classique » a du mal à réguler le cyberespace car il est basé sur des pouvoirs de l’état à l’intérieur de ses frontières et en cas d’agression par un / d’un autre état. Le cyberespace, pour faire simple, n’a que faire des frontières. Les assaillants d’un état ne sont pas que des états eux-mêmes, faciles à identifier et à localiser, mais des groupes voire des groupuscules cyber armés pouvant porter atteinte à la sécurité nationale depuis n’importe où dans le monde.
1. La Revue Stratégique de Cyberdéfense
La Revue Stratégique de Cyberdéfense (RSC) date de février 2018.
C’est un document de 167 pages (annexes inclues) qui affirme l’ambition de la France dans la cyberdéfense et formule des recommandations (orientations) pour y parvenir.
Elle parle bien de cyberdéfense et non pas de cybersécurité, en ce sens qu’elle aborde les concepts qui touchent à la défense et à la sécurité nationales. Si nécessaire, elle évoque également les aspects qui concernent les citoyens (la nation) pour par exemple élever le niveau de culture cyber de la population.
Elle doit être lue avec en perspective :
-
la Revue Nationale Stratégique (RNS) de novembre 2022, qui réaffirme les objectifs stratégiques en termes de défense et de sécurité nationale de la France à horizon 2030 ;
-
la Loi de Programmation Militaire ;
-
le Code de la Défense ;
-
la convention de Budapest sur la cybercriminalité de 2001 et ses deux protocoles additionnels sur la xénophobie et le racisme, et sur les preuves électroniques.
Publiées en 2018, plusieurs de ses orientations ont bien heureusement été mises en œuvre et suivies d’effets...
L’Union européenne
En toutes matières, il est impossible aujourd’hui de regarder les textes français sans regarder les textes européens. À plus forte raison en matière cyber et qui plus est avec un Commissaire au Marché Intérieur en charge de l’industrie, des services, du numérique, de la défense et de l’espace, ainsi que du tourisme et de l’audiovisuel, qui est français : Thierry Breton.
À l’énoncé de son titre, on constate que son champ de responsabilités est très large. Pour comprendre le sens de son action dans le numérique, il est intéressant de faire un focus sur la lettre de mission qui lui a été remise par la Présidente de la Commission européenne Ursula von der Leyen en 2019 :
Extrait concernant l’économie et la société numériques :
« Votre mission pour les cinq prochaines années consiste à mettre en place le cadre qui permettra à l’Europe d’exploiter au mieux la transition numérique, tout en veillant au respect de nos valeurs durables tandis qu’émergent de nouvelles technologies.
-
Je souhaite que vous contribuiez aux efforts visant à renforcer la souveraineté technologique de l’Europe. Cela suppose d’investir dans les nouveaux jalons technologiques comme les chaînes de blocs, le calcul à haute performance, les algorithmes et les outils de partage et d’utilisation des données. Cela implique également de définir conjointement des normes pour les réseaux 5G et les technologies de nouvelle génération.
-
Dans ce contexte, vous dirigerez les travaux sur une approche européenne coordonnée en matière d’Intelligence Artificielle. Pour faciliter ces travaux, vous élaborerez une stratégie européenne en matière de données. Vous dirigerez aussi les travaux sur la nouvelle législation sur les services numériques.
-
Je souhaite que vous contribuiez à nos travaux sur la prévention et la lutte contre la désinformation et les fausses informations en ligne, tout en préservant la liberté d’expression, la liberté de la presse et le pluralisme des médias....