CHAPITRE II - LE CADRE NATIONAL DE LA MISE EN oeUVRE DE LA SÉCURITÉ NUMÉRIQUE
En complément des normes techniques, les normes juridiques continuent de jouer un rôle majeur en imposant des cadres évolutifs dans le respect des libertés.
I. NUMÉRIQUE ET LIBERTÉS
Face aux conséquences du numérique pour les libertés, à ses imperfections, la nécessité de légiférer est souvent évoquée. Mais l'amélioration de toutes les composantes de la sécurité informatique passe-t-elle par l'adoption de nouvelles règles juridiques ?
En matière de protection des droits fondamentaux, la section du rapport et des études du Conseil d'État a jugé nécessaire et urgent de répondre, en 2014, de manière très approfondie, à cette interrogation.
De leur côté, la CNIL et l'ANSSI conjuguent leurs efforts, complémentaires plutôt que concurrents, pour assurer la protection des entreprises comme celle des personnes.
A. LE RAPPORT DU CONSEIL D'ÉTAT SUR LE NUMÉRIQUE ET LES DROITS FONDAMENTAUX
Pour le Vice-président du Conseil d'État, M. Jean-Marc Sauvé, « Les technologies de l'Internet et les espaces numériques qu'elles ont engendrés n'invitent pas seulement les juristes à l'exploration et à la conquête d'une nouvelle terra incognita ; ils transforment de l'intérieur, voire dérèglent, les conditions d'exercice des droits fondamentaux et les mécanismes traditionnels de leur conciliation » .
Le droit à l'oubli, le déréférencement, très souvent cités comme des avancées notables, ne sont pas de véritables garanties de sécurité.
L'étude annuelle du Conseil d'État de 2014 a porté sur « Le numérique et les droits fondamentaux » et a constaté que le numérique représente à la fois un atout et une menace pour les droits fondamentaux .
Les rapporteurs, M. Jacky Richard, rapporteur général de la section du rapport et des études, et M. Laurent Cytermann, rapporteur général adjoint, ont noté que le numérique permettait à la fois le développement de certaines libertés (d'expression, d'association ou d'entreprendre, par exemple) tout en menaçant la vie privée et la sûreté en général , compte tenu du développement rapide de la cybercriminalité.
Ils ont relevé plusieurs spécificités du numérique qui rendent difficile son encadrement par la règle de droit .
C'est ainsi que la gouvernance de l'Internet n'est pas régie par un texte international mais par des rapports de négociations qui ne résultent même pas de la confrontation d'États mais d'équilibres de pouvoirs au sein d'une fondation de droit privé américain , l' ICANN , où les États sont peu représentés - même si un rééquilibrage de cette gouvernance a été envisagé depuis la réunion de São Paulo d'avril 2014.
La règle de droit, qui se caractérise d'abord par la territorialité de la norme, semble ne pas avoir prise sur le numérique qui se trouve, de fait, régi par le droit nord-américain .
Il est à noter également que, si la circulation des données est de la compétence européenne , la sécurité nationale est régie par la loi des États membres . Toutefois, les rapporteurs ont souligné que, dans ce domaine, le droit dur devrait être largement associé au droit souple pour permettre l'organisation de transitions conduisant à de bonnes pratiques.
Ils ont rappelé aussi le rôle fondamental de la CNIL qui a su faire prospérer les principes fondamentaux issus de la loi de 1978 devenus aujourd'hui communs aux États européens .
Parmi ces principes figure l'encadrement de la collecte des données qui doit avoir une finalité déterminée et lui être proportionnée ou encore l'idée qu' une autorité indépendante doit surveiller la mise en oeuvre de la législation .
Les rapporteurs ont toutefois relevé que la question du stockage et du traitement des données massives était difficilement conciliable avec ces principes de finalité déterminée et de proportionnalité d'où l'intérêt de reconnaître une grande liberté de réutilisation des données à des fins statistiques mais sans transiger sur le respect des données des personnes privées .
Parmi les cinquante recommandations de ce rapport , vos rapporteurs ont retenu particulièrement celles relatives à la réduction du risque numérique dont celles consistant à :
- promouvoir la démocratisation de l' ICANN en créant une assemblée générale rassemblant l'ensemble des parties prenantes et pouvant mettre en cause la responsabilité du conseil d'administration ; renforçant les mécanismes de recours internes, par exemple, en dotant d'une portée contraignante le mécanisme d' Independant Review Panel permettant au comité représentant les gouvernements ( GAC ) d'adopter des résolutions contraignantes ;
- diversifier la composition des instances de gouvernance de l'Internet , par des critères de sélection imposant une réelle diversité linguistique et géographique et la mise en place de stratégies d'influence au niveau de la France et de l'Union européenne incluant notamment l'obligation de traduction simultanée lors des travaux de ces instances.
En effet, une partie du risque numérique provient du contrôle de l'Internet par un État étranger .
Dans ce rapport du Conseil d'État est également préconisée une profonde transformation des instruments de protection des données avec, par exemple, l'utilisation de technologies permettant de rendre les données moins accessibles aux tiers et de renforcer la capacité des personnes à contrôler l'utilisation de leur données . À ces fins, l'ensemble des technologies de cryptologie ou encore l'usage du réseau TOR , qui permet de rendre anonymes des échanges sur l'Internet, pourraient être optimisés.
Il existe déjà la possibilité de bloquer l'enregistrement de fichiers ou cookies sur un terminal, d'exprimer ses préférences en matière de traçage de ses données, ou encore de permettre à un individu de recourir à une plate-forme d'accès à toutes les données personnelles détenues par un ensemble de partenaires. Cela est peu connu.
Ce rapport estime qu'il serait souhaitable de mettre en place un affichage généralisé des politiques d'utilisation des données personnelles suivies par chaque site en faisant figurer sur l'écran de l'ordinateur, dans un format simple et lisible, une signalétique appropriée dont, par exemple celle préconisée par la Fondation Mozilla indiquant la durée de la période de rétention des données, la possibilité de leur utilisation par un tiers, leur partage d'annonce, la transparence du processus au moyen des icônes ci-après.
Schéma n° 4 : Signalétique d'information sur l'utilisation des données personnelles développée par la fondation Mozilla
Source : Mozikko Wiki, Privacy Icons project (beta release), Owner : Ben Moskowitz, Mozilla ; Aza Raskin (initiator), Designs by Michael Nieling & Ocupop, designers of the official HTMLS logos, Updated : June 15, 2011, https://wiki.mozilla.org/Privacy_Icons
Vos rapporteurs sont très favorables au développement de ce type d'icônes pour renseigner utilement et immédiatement les utilisateurs sur la confiance à accorder aux outils et applications qui leur sont proposés.
En conclusion de son étude, le Conseil d'État a estimé que les quatre grandes hypothèses de travail formulées au commencement de ses travaux avaient été validées.
Mais il y a une nuance entre son affirmation de 1998 selon laquelle il n'y aurait eu nul besoin d'un droit spécifique de l'Internet et des réseaux et ce qui a été observé depuis, à savoir le décalage entre le rythme des innovations dont le numérique est porteur et le temps d'adaptation du régime juridique des droits fondamentaux s'est manifesté à de nombreuses reprises.
C'est pourquoi le Conseil d'État recommande aujourd'hui de s'engager dans la reconnaissance du droit et de devoirs pour les individus de protéger leurs données personnelles , ce qu'il désigne par l'expression « autodétermination informationnelle ».
Il reconnaît aussi la nécessité :
- de la définition d'une catégorie juridique de plates-formes respectant le principe de loyauté à l'égard de leurs utilisateurs ;
- d'un droit au déréférencement sur les moteurs de recherche assorti d'une décision unique de déréférencement ;
- de la définition d'un droit des algorithmes prédictifs ;
- de la réforme du régime de la concentration en matière de presse d'information ;
- de la conciliation entre la protection de la vie privée et la conservation des métadonnées à des fins de prévention des atteintes à la sécurité nationale.
Autant d'aspects qui, selon le Conseil d'État, nécessiteraient une législation adaptée.
Il est important de noter - et cela rejoint nombre d'observations de vos rapporteurs - que, selon le rapport cité, le numérique « n'est pas un outil docile aux mains de son maître » puisqu'« il porte en lui-même des conséquences qui échappent à la volonté de ses utilisateurs » . Il ne s'agirait donc pas du tout d'un outil ni bon ni mauvais en lui-même, comme cela a été plusieurs fois affirmé au cours des auditions menées par vos rapporteurs, mais d' un outil à la fois bon et mauvais .
Il est intéressant de relever aussi que le Conseil d'État attache une grande importance au développement d' un droit souple , par opposition à un droit dur, pour fournir des solutions juridiques praticables fondées sur le recours aux recommandations , aux guides de bonnes pratiques , à l'homologation des codes de conduite professionnelle , à la certification ou à la médiation , soit un droit ajustable et réversible en fonction de l'usage.
Il rejoint en cela les positions défendues par le Professeur honoraire au Collège de France, Mme Mireille Delmas-Marty lors des auditions.
« Derrière la soft law, nous avons à la fois un droit flou , ou imprécis, fait de principes généraux qui ne sont pas définis de façon rigoureuse et un droit mou , facultatif, non obligatoire (le droit des recommandations), enfin le droit doux, qui n'est pas sanctionné. Le flou, le mou et le doux peuvent aller de pair ou séparément. [...] Le droit flou [...] Un droit qui n'uniformise pas, mais qui permet de pluraliser la régulation , me paraît une perspective très intéressante [...] Il est utile aussi, et on l'a déjà dit, de faire appel au droit mou, non obligatoire, comme manière d'amorcer un processus de régulation. Il est plus facile de commencer par des recommandations que directement par un texte de loi. Le droit mou est peut-être un moyen d' éviter que le cadre juridique soit en retard par rapport aux innovations technologiques. »
Mme Mireille Delmas-Marty
Professeur honoraire au Collège de France
(études juridiques comparatives et internationalisation du
droit)
|
Le rapport du Conseil d'État a également retenu comme hypothèse que « les internautes européens doivent se voir appliquer en priorité des règles européennes » et noté que l'Union européenne constitue, en opportunité, le niveau pertinent d'action .
Le rapport note que la proposition de règlement européen en cours de préparation prévoit, avec le G29 et avec la Commission européenne, un ensemble de mesures incluant le droit au référencement linéaire .
Toutefois, compte tenu des délais excessivement longs de mise au point d'une directive ou d'un règlement, le Conseil d'État estime que plusieurs propositions pourraient être portées en priorité par les autorités nationales même si des textes européens sont en préparation - et alors que les négociations du traité transatlantique de libre-échange ( TTIP ) sont bien engagées, ajoutent vos rapporteurs. En effet, la protection des données personnelles, les garanties offertes aux organes de presse, la réglementation de la responsabilité des plates-formes numériques ont besoin d'un encadrement rapide ; de même, pour la question de la conservation des métadonnées de communication à des fins de prévention ou de répression qui touche aux intérêts nationaux fondamentaux.
Enfin, le rapport du Conseil d'État relève que si l'Europe a été distancée quant à la génération actuelle de plates-formes, il est souhaitable que s'y développent des entreprises liées au numérique .
Mais l'enjeu n'est pas seulement économique car le numérique doit prendre plus largement en compte « les enjeux de la connaissance, de l'éducation de la culture » pour faire contrepoids aux pratiques de l'Internet.
Le rapport du Conseil d'État recommande fortement que l'Union européenne affirme ses valeurs sans imposer des règles désavantageant ses propres citoyens, ses propres entreprises et donc en affirmant la territorialité de la norme .