Parce que les entreprises ont l’obligation d’assurer la confidentialité, l'intégrité et la disponibilité des systèmes d'information, la cybersécurité et la cybercriminalité font l’objet d’un ensemble de textes visant à protéger aussi bien les systèmes d'information de certaines catégories d’opérateurs que les utilisateurs des services en ligne et leurs données personnelles.
Afin d’assurer une mise en œuvre efficace de ces textes, certaines autorités ont été désignées au niveau national.
Nous ferons un rapide panorama des principales dispositions légales en vigueur applicables à la sécurisation aussi bien des activités en ligne (1) que des opérateurs (2), et présenterons le rôle des principales autorités chargées de leur mise en œuvre (3).
Deux principaux textes seront présentés, à savoir la LCEN et la Loi SREN.
La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique dite LCEN, prévoit plusieurs dispositions majeures en matière de cybersécurité pour encadrer et renforcer la protection des utilisateurs dans l’espace numérique.
Elle établit un régime de responsabilité spécifique pour les prestataires techniques (hébergeurs et fournisseurs d'accès), qui doivent agir promptement pour retirer ou bloquer l’accès aux contenus illicites dès qu’ils en ont connaissance. Les prestataires sont également tenus de mettre en place des dispositifs permettant aux internautes de signaler les contenus problématiques et doivent informer rapidement les autorités compétentes.
La LCEN renforce également la lutte contre la cybercriminalité en prévoyant des peines plus sévères pour les infractions liées à la pornographie enfantine, l’accès frauduleux aux systèmes informatiques, et la manipulation ou l’altération de données. Les prestataires techniques doivent conserver les données permettant d’identifier les auteurs d’infractions et les transmettre aux autorités judiciaires en cas de besoin.
Enfin, des sanctions pénales sont prévues pour les infractions liées à l’utilisation d’équipements informatiques permettant de commettre des délits, tout en introduisant des mécanismes permettant la saisie et l’effacement des données dans le cadre des enquêtes judiciaires.
Quant à la loi n°2024-449 visant à sécuriser et à réguler l’espace numérique dite loi SREN du 21 mai 2024, elle a pour objectif de renforcer la protection des citoyens et des entreprises en ligne.
Plus spécialement, les objectifs poursuivis par cette loi sont de :
En vue de renforcer la cybersécurité des utilisateurs en ligne, la loi n° 2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité des plateformes numériques destinées au grand public, a instauré l’obligation de mise en place d’un cyberscore à la charge des grandes plateformes numériques, messageries instantanées, et sites de visioconférence les plus utilisés.
En effet, ces opérateurs ont désormais l’obligation d’informer leurs utilisateurs, par un cyberscore, de la sécurité de leur site ou service, ainsi que de la sécurisation et localisation des données qu’ils hébergent ou qu’hébergent leurs prestataires cloud.
L’objectif du cyberscore est donc de permettre aux utilisateurs d’être informés sur le niveau de sécurisation de leurs données lorsqu’ils visitent des sites internet et réseaux sociaux.
Le cyberscore doit à cet égard répondre à un certain nombre d’exigences, notamment être présenté au consommateur de façon lisible, claire et compréhensible, et résulter d’un audit de sécurité de l’opérateur concerné, réalisé par un prestataire qualifié par l’ANSSI.
Le Règlement (UE) 2016-679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) comporte des obligations visant à imposer aux entreprises la mise en place de mesures de sécurité appropriées pour protéger les données personnelles contre les violations, ainsi que le signalement des violations visant ces données aux autorités compétentes et aux personnes concernées.
Le RGPD impose ainsi aux entreprises :
En cas de non-respect de ces dispositions, l’entreprise peut être sanctionnée par la CNIL (autorité de contrôle en la matière) d’une amende pouvant s’élever jusqu’à 20 millions d’euros ou 4% de son chiffre d’affaires mondial.
La directive européenne n°2022/2555 dite « NIS 2 » (Network and Information Security Directive) du 14 décembre 2022 vise à renforcer la cybersécurité des réseaux et des systèmes d’information au sein de l'Union européenne.
Cette directive vise en effet à créer un nouveau cadre pour renforcer la cybersécurité et la résilience des opérateurs à l’échelle de l’UE, en vue de répondre à l’évolution rapide des menaces cybernétiques.
Ses objectifs principaux couvrent notamment :
La directive NIS 2 devait être transposée dans les Etats-membres de l’UE, au plus tard le 17 octobre 2024. En France, la transposition de la directive NIS 2 reste attendue, le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la sécurité portant transposition de ladite directive n’ayant été présenté en Conseil des ministres qu’en octobre 2024.
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a pour mission générale de construire et d’organiser une politique de protection face aux cyberattaques et de renforcer le niveau de cybersécurité global et la stabilité du cyberespace.
Cela passe notamment, au-delà de la mise en place de mesures de cyber défense, par le déploiement de capacités de détection des cyberattaques, par des contrôles de sécurités, par des recommandations en matière de cybersécurité, par le partage de solutions et d’outils au profit des acteurs de la cybersécurité visant à renforcer la cybersécurité collective, par la veille, la détection et la mise en place de dispositifs d’alerte et de réaction face aux risques d’attaques informatiques.
La Commission Nationale de l'Informatique et des Libertés (CNIL) veille au respect des règles européennes et nationales, telles que le Règlement Général sur la Protection des Données, pour garantir que les plateformes numériques et les entreprises protègent efficacement les données des utilisateurs.
La CNIL contrôle les pratiques des acteurs numériques en matière de profilage, en interdisant notamment l’exploitation de données sensibles ou concernant les mineurs à des fins publicitaires. Elle dispose de pouvoirs d’enquête, de sanction et de conseil pour aider les responsables de traitement à renforcer leurs mesures de sécurité, prévenir les violations de données et réagir rapidement en cas de cyberattaques.
La CNIL s’assure également que les systèmes utilisés pour la collecte et le stockage des données respectent les principes d’intégrité, de confidentialité et de traçabilité, renforçant ainsi la résilience du cadre numérique français.
L’Autorité de Régulation de la Communication Audiovisuelle et Numérique (ARCOM) intervient activement pour sécuriser l’espace numérique et lutter contre les contenus illicites en ligne.
Elle est notamment responsable de contrôler les plateformes numériques pour garantir qu’elles prennent des mesures adéquates pour détecter, supprimer ou bloquer rapidement les contenus tels que la pornographie infantile, la haine en ligne ou les deepfakes nuisibles.
L’ARCOM est également investie du pouvoir de déréférencer ou de bloquer des sites diffusant des contenus illégaux, en collaboration avec les autorités judiciaires.
L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) intervient également dans la régulation des activités dans l’espace numérique. Dans le cadre de la récente Loi SREN, c’est l’ARCEP qui est notamment chargée de la mise en œuvre des dispositions visant à renforcer la concurrence dans l’économie de la donnée pour réduire la dépendance des entreprises aux fournisseurs des cloud.
Sources :