[Éclairage] Pour un Code de la cybersécurité

Aujourd’hui, les textes juridiques qui encadrent la cybersécurité sont éparpillés. Parce qu’ils ne sont pas accessibles de façon pratique, il est essentiel de les rassembler en un même ouvrage : un code de la cybersécurité. Éclairage par Michel Séjean, professeur agrégé en droit privé et sciences criminelles à l’Université Bretagne Sud et enseignant-chercheur au Lab_LEX (UR 7840).

« Code is law », « Le code fait loi », écrivait le juriste américain Lawrence Lessig en 2000, en soulignant l’influence du code informatique sur les règles de droit. Encore faut-il, en amont, que l’activité informatique s’épanouisse librement dans un cadre juridique sûr.

Dans le langage des juristes, on pourrait dire que la sécurité juridique fait la cybersécurité. Une bonne sécurité juridique repose sur quatre piliers : les règles de droit doivent être matériellement accessibles (on doit pouvoir facilement les trouver), intelligibles (on doit pouvoir les comprendre quand on les a trouvées), raisonnablement stables dans le temps (ni volatiles, ni immobiles), et elles doivent être prévisibles (on doit savoir qui, du législateur, du régulateur, ou du juge, est le garant de nos droits dans chaque situation).

Dans la tradition juridique française, commune à l’Europe continentale, à l’Amérique du sud et à un grand nombre de pays d’Afrique et d’Asie, l’incarnation d’une bonne sécurité juridique passe par la codification des règles de droit. En un seul ouvrage, rédigé en une langue claire, les usagers du droit doivent pouvoir accéder à des règles qui leur permettent de s’organiser de manière fiable.

Or, les règles de prévention et de réponse aux cyberattaques sont dispersées dans un grand nombre de textes : qu’il s’agisse du Code de la Sécurité intérieure, du Code de la Défense, du Code des Postes et des Communications Électroniques, du Code pénal ou encore du Code de procédure pénale, l’éparpillement est manifeste, et la sécurité juridique du praticien s’en ressent.

Nécessité de la création d’un Code de la cybersécurité

Il est essentiel que tous les professionnels qui sont connectés en ligne et qui sont menacés par une cyberattaque disposent d’un outil pratique qui rassemble les règles relatives au matériel et aux logiciels informatiques, ainsi qu’aux données numériques. Sont concernés les Responsables de Sécurité des Systèmes d’Information (RSSI), les Délégués à la Protection des Données (DPD ou DPO en anglais), les forces de l’ordre (police, gendarmerie, douanes), mais également tout professionnel qui engage sa responsabilité civile s’il est victime d’une fuite de données ou d’une cyberattaque.

La recherche juridique doit œuvrer pour une sécurité juridique au service de la cybersécurité. Pour y parvenir, il nous faut aboutir à la confection d’un Code de la cybersécurité qui offrirait à tout responsable de la prévention et de la réponse aux cyberattaques un ouvrage qui rassemble non seulement des textes en vigueur, mais également des commentaires, des annotations bibliographiques et des éclairages jurisprudentiels de nature à traiter juridiquement la menace et les conséquences d’une cyberattaque. Outre le droit français en vigueur, il inclurait les règles du droit de l’Union européenne, ainsi que plusieurs règles de droit souple (soft law). Il s’agirait d’un code « d’éditeur », c’est-à-dire un instrument éditorial qui ordonnerait et compilerait des textes déjà existants, à l’image de ce qui existe déjà aux éditions Dalloz avec le Code de la protection des données personnelles.

Ce code de la cybersécurité, qui serait un code de la prévention et de la réponse aux cyberattaques, rassemblerait les règles relatives aux trois couches de toute cyberstructure : la couche matérielle (le hardware), la couche logicielle (le software) et la couche sémantique (la donnée). Ce code s’appuierait sur la définition de la cybersécurité que donne l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).

Selon l’ANSSI, la cybersécurité est « l’état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles. La cybersécurité fait appel à des techniques de sécurité des systèmes d’information et s’appuie sur la lutte contre la cybercriminalité et sur la mise en place d’une cyberdéfense »

Ces trois piliers étant juridiquement émiettés dans plusieurs textes, il serait temps de disposer d’un véritable Code de la cybersécurité qui rassemble le droit en vigueur selon trois livres : la sécurité des systèmes d’information (Livre I), la lutte contre la cybercriminalité (Livre II), et la cyberdéfense nationale (Livre III). Tel est l’objectif que poursuit notre recherche juridique, dans le cadre du Lab-LEX, et avec l’appui du Cybersecurity Center de l’Université Bretagne Sud. Être chercheur en droit de la cybersécurité, c’est rendre possible ce qui est nécessaire. C’est œuvrer à une meilleure sécurité juridique garante de la cybersécurité.

Pour aller plus loin :

1. QUEMENER, « Quel arsenal juridique pour lutter efficacement contre la cybercriminalité ? », https://sd- magazine.com, 14 avr. 2016
2. WATIN-AUGOUARD, « Cybermenaces et sécurité nationale », in C. VALLAR et X. LATOUR (dir.), Le droit de la sécurité et de la défense en 2013, PUAM, 2014, p. 297 s.