RETROUVEZ CET ARTICLE ET PLUS ENCORE DANS NOTRE GUIDE PRATIQUE : DROIT DE L'INFORMATION, 6E ÉDITION
Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.
Les questions liées à la protection des données sont une source intarissable d’évolutions législatives. Le Parlement européen a récemment adopté deux règlements majeurs en la matière :
- le Data Act (Règlement (UE) 2023/2854 du 13 décembre 2023 portant sur l’équité de l’accès aux données et de l’utilisation des données.), adopté en novembre 2023, qui crée un cadre juridique spécifique aux données générées par les objets et services connectés ;
- le Data Governance Act (Règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données.), entré en application le 24 septembre 2023, qui vise notamment à faciliter le partage de données au sein de l’Union européenne et à encadrer l’activité des fournisseurs de services d’intermédiation de données (Entreprises qui offrent, au sein de l’Union européenne, un service qui, dans le cadre d’un partage de données personnelles ou non personnelles, établit une relation commerciale entre les détenteurs de données ou les personnes concernées et les utilisateurs de données.) ;
- autre actualité marquante sur le terrain des données personnelles, l’adoption, le 7 juillet 2023, d’une nouvelle décision d’adéquation pour les transferts de données vers les États-Unis.
La régulation des marchés numériques est également au cœur de l’actualité récente, avec l’entrée en vigueur de deux règlements européens d’importance :
- le Digital Services Act (DSA) (Règlement (UE) 2022/2065 du 19 octobre 2022 relatif à un marché unique des services numériques.) ;
- le Digital Markets Act (DMA) (Règlement (UE) 2022/1925 du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur du numérique.). Ces textes ont pour objectifs communs de renforcer la protection des internautes et de lutter contre la prolifération des contenus illicites et des pratiques anticoncurrentielles en ligne. À cette fin, de nouvelles obligations, à la charge des différents acteurs du numérique (plateformes, moteurs de recherches, réseaux sociaux, etc.), ont été consacrées.
Le législateur français n’est pas en reste. Outre la nécessaire adaptation du droit national au droit européen, notamment avec la promulgation de la loi SREN (Loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique.) qui permet l’applicabilité des règlements européens précités, de nouveaux textes franco-français ont émergé.
On peut citer, entre autres, la loi n° 2024-120 du 19 février 2024 qui vise à garantir le respect du droit à l’image des enfants (Loi n° 2024-120 du 19 février 2024 visant à garantir le respect du droit à l’image des enfants.) ou la loi n° 2023-566 du 7 juillet 2023 qui a instauré une majorité numérique sur les réseaux sociaux (Loi n° 2023-566 du 7 juillet 2023 visant à instaurer une majorité numérique et à lutter contre la haine en ligne.).
L’utilisation massive d’outils et d’équipements numériques, toujours plus dépendants les uns des autres du fait de leurs interconnexions, nous rend davantage vulnérables aux cyberattaques et aux dysfonctionnements des systèmes d’information. Ce constat place la cybersécurité et son efficacité au cœur des préoccupations récentes du législateur. Cette matière, plus que tout autre, a connu une révolution ces dernières années.
Lire aussi : Thomson Reuters lance CoCounsel, une plateforme d'IA générative pour les professionnels du droit
La cybersécurité, un défi perpétuellement renouvelé
La fréquence, l’ampleur, la sophistication et l’impact des incidents de cybersécurité ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et systèmes d’information qui sont aujourd’hui essentiels à nos activités quotidiennes. Afin d’appréhender pleinement les évolutions réglementaires intervenues ces dernières années en la matière, il est essentiel de comprendre la nature du "risque cyber".
La réalisation du risque cyber "peut nuire à la poursuite des activités économiques, entraîner des pertes financières, entamer la confiance des utilisateurs et causer un préjudice majeur à l’économie et la société dans son ensemble" (Considérant n° 3, NIS 2.). Ce risque est d’autant plus important lorsque sont touchés des acteurs critiques, dont les services sont considérés comme vitaux ou essentiels, tels que les hôpitaux, les banques ou les aéroports. Dès lors, le risque cyber n’est pas un simple risque privé, mais un risque systémique. L’effectivité de la cybersécurité est en effet essentielle au bon fonctionnement de la société.
La panne informatique majeure intervenue chez Microsoft en juillet dernier en est un parfait exemple. La mise à jour défectueuse d’un unique outil de cybersécurité a engendré une panne mondiale sur les systèmes d’information utilisant les services de Microsoft touchant plus de 8,5 millions d’appareils. Cette panne a eu des répercussions pour des milliers d’entreprises et a notamment provoqué d’importants dysfonctionnements dans des secteurs clés tels que les transports, la santé ou encore les médias.
C’est la nature systémique du risque cyber, et la volonté de faire de ce risque, qui ne peut être totalement supprimé, un risque non plus systémique, mais privé, qui semblent désormais guider le législateur européen. Ont ainsi été adoptés, le 14 décembre 2022, trois textes d’envergure : la directive sur la sécurité des réseaux et des systèmes d’information (NIS 2) (Directive (UE) 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.), la directive sur la résilience des entités critiques (REC) (Directive (UE) 2022/2557 du 14 décembre 2022 sur la résilience des entités critiques.) et le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) (Règlement (UE) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier.).
- NIS 2 : la directive NIS 2 a pour objectif d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés afin de contribuer à la sécurité de l’Union et au bon fonctionnement de son économie et de sa société. Le caractère systémique du risque cyber est, ici, pris en compte de façon évidente puisque le texte ne prétend pas éradiquer, mais limiter ce risque et vise spécifiquement les infrastructures et entités essentielles au bon fonctionnement des activités économiques et sociétales dans le marché intérieur. Sont notamment concernés : les administrations publiques, les infrastructures télécoms, les services de l’information et de la communication, les fournisseurs de services numériques, etc ;
- REC : il en va de même pour la directive REC qui entend mettre en place des mesures permettant aux "entités critiques", en tant que fournisseurs de services essentiels au fonctionnement du marché intérieur, de prévenir de manière plus efficace les incidents susceptibles de perturber la fourniture de leurs services. Les secteurs concernés sont notamment l’énergie, les transports, le secteur bancaire, la santé, l’espace, etc ;
- DORA : le règlement DORA tient également compte de ce risque systémique. Il vise à assurer la stabilité financière du marché européen grâce à la mise en place d’exigences de sécurité propres aux réseaux d’information des entités financières afin de renforcer et d’harmoniser la gestion des risques liés aux technologies de l’information et de la communication (TIC).
La nature systémique du risque cyber guide ainsi le législateur dans l’élaboration des textes en matière de cybersécurité, mais également dans d’autres domaines. À titre d’exemple, le DSA impose aux très grandes plateformes et aux très grands moteurs de recherche qui présentent des risques systémiques, liés à la diffusion de contenus illicites, à l’incidence de leurs services sur l’exercice des droits fondamentaux, les processus démocratiques, la santé et la protection des mineurs, de prendre des mesures d’atténuation appropriées.
Lire aussi : Ces règlements qui transforment le paysage numérique européen
Sécuriser les systèmes d’information : une obligation envers la société
De la nature systémique du risque cyber découlent des obligations, applicables notamment aux acteurs fournissant des services essentiels, destinées à sécuriser les réseaux et systèmes d’information contre les cybermenaces, dès lors que la sécurité de leurs systèmes est une partie intégrante de la cybersécurité globale de la société.
La directive NIS 2 impose ainsi aux entités concernées de prendre les "mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées" pour gérer les risques qui menacent la sécurité de leurs réseaux et systèmes d’information et "pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services".
Ces mesures de sécurité, fondées sur une approche "tous risques", comprennent notamment : les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ; la gestion des incidents et des crises ; la sécurité de l’acquisition, du développement et de la maintenance des réseaux et systèmes d’information, etc.
De même, la directive REC impose aux entités critiques de prendre des mesures afin de "prévenir la survenance d’incidents" sous le contrôle des États membres concernés, telles que la protection physique des locaux ou la vérification des antécédents des membres du personnel.
S’agissant du règlement DORA, il fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d’information des entités qui opèrent dans le secteur financier, telles que : le partage d’informations entre les entités concernées, afin d’échanger des renseignements liés aux cybermenaces ; l’utilisation de solutions et de processus TIC appropriés (garantissant la sécurité des moyens de transfert de données, réduisant au minimum le risque de corruption ou de perte de données, garantissant que les données sont protégées contre les risques découlant de la gestion des données, etc.) ; les mécanismes permettant de détecter rapidement les activités anormales, etc.
En dehors des obligations de sécurité, la nature systémique du risque cyber a conduit le législateur à imposer des obligations de notification des incidents de cybersécurité afin de cantonner le risque et d’éviter la propagation des cybermenaces à d’autres entités et secteurs.
Au titre des évolutions récentes en la matière, on peut également citer la mise en jeu de la responsabilité des organes de direction des entités en cas de non-respect des exigences européennes de cybersécurité. À titre d’exemple, l’article 5 de la directive REC indique sans ambiguïté que l’organe de direction "assume la responsabilité ultime de la gestion du risque lié aux TIC de l’entité financière".
Une autre révolution majeure en matière de cybersécurité tient à la finalité de la gestion du risque cyber. L’objectif principal du législateur n’est plus simplement d’éviter les cyberattaques, mais de permettre aux entités concernées de poursuivre leurs activités malgré la survenance d’une attaque. Le concept de résilience est désormais au cœur de la politique européenne de cybersécurité.
Un nouveau défi pour les entreprises : la "cyber résilience". La "cyber résilience" désigne "la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir" (Art. 2, 2, Directive REC.).
La "cyber résilience" se présente comme un nouveau modèle de sécurité informatique impliquant d’accepter le caractère inévitable des incidents de cybersécurité et de mettre en place des mesures permettant de garantir la continuité des opérations et de minimiser les dommages. La stratégie de cybersécurité de l’Union européenne donne désormais priorité à la résilience.
La volonté de l’Union européenne d’adopter une politique harmonisée de "cyber résilience" s’illustre clairement au sein du règlement DORA et de la directive REC : le règlement DORA vise à "atteindre un niveau commun élevé de résilience opérationnelle numérique ». À cette fin, le texte impose aux entités financières la mise en place d’un programme de "tests de résilience opérationnelle numérique".
La mise en place de ce programme doit permettre aux entités d’évaluer leur état de préparation en vue du traitement d’incidents liés aux TIC, de recenser les faiblesses et défaillances et de mettre rapidement en œuvre des mesures correctives ; la directive REC vise également à renverser la logique de cybersécurité historiquement passive, qui consistait pour les organisations à adopter une simple approche détection-réponse.
La directive prévoit la mise en œuvre de mesures appropriées et proportionnées pour garantir la résilience des entités, telles que des mesures assurant la continuité de leurs activités et la détermination d’autres chaînes d’approvisionnement, afin de reprendre la fourniture du service essentiel.
Lire aussi : Loi pour sécuriser et réguler l'espace numérique (SREN) : les réserves de la Commission européenne
La cybersécurité à l’ère de l’IA
Enfin, il est indispensable d’évoquer l’épineuse question de la cybersécurité à l’ère de l’intelligence artificielle (IA). Comme toute nouvelle technologie, l’intelligence artificielle introduit de nouveaux risques en matière de cybersécurité. Au titre des nouvelles menaces issues de l’utilisation des systèmes d’IA, nous pouvons notamment citer l’empoisonnement de données qui vise à modifier le comportement du système d’IA en introduisant des données corrompues en phase d’entraînement.
Certains concepteurs de systèmes d’IA se sont déjà saisis du sujet, de façon pour le moins contestable, en employant des travailleurs dont la seule mission est de nettoyer les contenus haineux et violents des bases d’apprentissage.
Précurseur en la matière, l’AI Act (Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle.), dont l’objectif principal est d’encadrer le développement, la mise sur le marché et l’utilisation des systèmes d’IA qui peuvent poser des risques pour la sécurité, la santé ou les droits fondamentaux, impose diverses obligations de cybersécurité à la charge des concepteurs et fournisseurs de systèmes d’IA. Le texte prévoit ainsi que les systèmes d’IA répondent, dès leur conception, à des exigences d’exactitude, de robustesse et de cybersécurité.
Reste toutefois à déterminer si et comment les différentes législations adoptées en matière d’IA à l’échelle internationale, telles que les mesures provisoires chinoises ou l’Executive Order américain, cohabiteront.
[Christiane Féral-Schuhl, Avocate associée et médiatrice, spécialiste du numérique, des données personnelles et de la propriété intellectuelle. Vice-Présidente du Conseil National de la Médiation (CNM). Ancienne Bâtonnière de Paris et ancienne Présidente du Conseil national des barreaux (CNB)]