L’ordonnance du 24 août 2011, qui transpose les directives 2009/136 et 2009/140 relatives au secteur des communications électroniques, impose aux opérateurs de faire état de toute fuite d’information à caractère personnel. Il est envisagé depuis plusieurs mois d’étendre ces directives à l’ensemble des secteurs d’activités, pour des entreprises et organismes, assorties d’astreintes financières très fortes lors de fuite. Il s’agit de cadres législatifs qui visent à protéger les usagers et consommateurs desdits services. Quelle est aujourd’hui la réalité de l’application de cette loi dans les différents pays d’Europe ? Tous les pays ont-ils transcrits dans leur droit national ces obligations ? Quelles sont réellement les mesures mises en œuvre et les sanctions sont-elles appliquées ?
Le 23 novembre 2001, à Budapest, une Convention sur la cybercriminalité a été conclue entre différents pays des cinq continents. Tous les pays développés n’y ont pas adhérés, majoritairement des pays non membres de l’OCDE. Pour autant, l’Europe commerce avec ces pays, les échanges commerciaux de l’économie traditionnelle (en opposition à la net-économie) se chiffrent en milliards d’Euros. Une proportion quasi identique à celle de l’économie souterraine générée par la cybercriminalité. Quels sont aujourd’hui les moyens de contrôler pour les pays signataires de cette convention ces flux financiers ainsi générés ? Comment les services de lutte contre la criminalité traditionnelle et financière arrivent-ils à avancer dans le cyberespace ?
Si d’un côté nous disposons de cadres de loi pour contraindre les entreprises et organismes à prendre en compte la SSI dans leur système d’information (exemple de l’art. 34 de la loi informatique et liberté), si d’un autre côté les pays se dotent d’un arsenal juridique pour lutter contre la prolifération de la cybercriminalité (voir la création en janvier 2013 du Centre européen de lutte contre la cybercriminalité ou EC3), peut-on parler d’une réglementation uniforme en Europe, dans le monde, qui instaure un climat de confiance uniforme ? Les entreprises et organismes ont-ils les mêmes droits, de protection, et de devoir, des contraintes réglementaires, pour survivre dans le cyberespace ?
Une possible disparité de l’application des lois entre les pays de l’Union, voire au-delà de ses frontières, ne risque-t-elle pas d’encourager une expatriation d’entreprises vers des territoires où les mesures sont plus clémentes et les contraintes moins fortes ?
Comment après l’été 2013 où le monde s’est réveillé avec la même défiance à l’égard du pouvoir fédéral américain, comme un simple de ses citoyens, nous pouvons imaginer qu’il existe une vraie coopération entre les états, pour au moins envisager une lutte contre la cybercriminalité ordonnée ?
Pour apporter un éclairage sur ces questions, le CLUSIF a organisé une conférence le 12 décembre 2013 à Paris.