jeudi 1 août 2013

Le droit de la SSI, quelles sanctions ?

Précédemment,  nous évoquions que le droit de la SSI n’existait pas en tant que tel mais qu’il existait plutôt une multitude de dispositions légales relatives à la SSI, éparpillées dans le vaste corpus juridique français[1].
Toutefois, peut importe de l’existence d’un droit sanctifié de la SSI tant que celui-ci arrive à s’imposer. Ainsi, il s’agit surtout de s‘interroger sur l’applicabilité réelle des aspects légaux de la SSI et, notamment, de l’efficacité des éventuelles sanctions existantes.
L’actualité des derniers mois souligne que certaines de ces sanctions SSI semblent un peu malmenées.

Tout d’abord, dans un arrêt du 5 juillet 2013, le Conseil Constitutionnel saisi d’une question prioritaire de constitutionnalité (QPC) a déclaré inconstitutionnels les 12 premiers alinéas de l’article L36-11 du code des postes et des communications électroniques (CPCE) relatifs aux modalités de sanction par l’ARCEP d’exploitants de réseaux ou de fournisseurs de services de communications électroniques en cas de manquements de ces derniers. Le Conseil Constitutionnel a déclaré que ces dispositions violaient le principe d’impartialité garanti par la Constitution en n’assurant pas « la séparation au sein de l’Autorité entre, d’une part, les fonctions de poursuite et d’instruction des éventuels manquements et, d’autre part, les fonctions de jugement des mêmes manquements »[2].
Cette décision est d’effet immédiat et est donc applicable à toutes les procédures en cours devant l'ARCEP ainsi qu'à toutes les instances non définitivement jugées à cette date. Ainsi, un vide juridique est apparu et l’ARCEP se retrouve, en partie, démunie pour sanctionner les opérateurs.  
Un autre exemple emblématique est la suppression de la sanction phare du dispositif HADOPI à savoir la coupure d’accès à Internet d’un abonné suite à des téléchargements illégaux réitérés. En cause, le décret du 8 juillet 2013[3] qui supprime la peine contraventionnelle complémentaire de suspension de l’accès Internet.  Le texte stipule donc que « seule une peine d'amende [...] pourra désormais être prononcée pour l'infraction de négligence caractérisée. » Officiellement, en quatre ans d’existence de la Haute autorité, seules quatre procédures ont fait l'objet de décisions judiciaires définitives dont une seule avait prononcé, en juin 2013, une suspension de 15 jours de la connexion internet[4].
L’HADOPI ne se retrouve pas, sans cette menace, désarmée dans sa lutte contre le téléchargement illégal mais le symbole de la suppression reste fort. D'autant plus que l’avenir de l’HADOPI apparaît de plus en plus incertain[5].

Ces deux exemples spécifiques ne font que souligner le constat évident que le droit de la SSI est difficilement applicable en raison du manque de sanctions efficaces.
Pourtant, les efforts en matière de cybersécurité sont de plus en plus mis en avant. En témoigne, entre autres, la montée en puissance de l’ANSSI. Sauf que, l’ANSSI, autorité nationale, ne dispose pas de pouvoir de sanction. Or, dans un domaine voisin, celui de la protection des données à caractère personnel, la CNIL, Autorité Administrative Indépendante (AAI) le possède.
En effet, la CNIL a, notamment, recours aux sanctions pécuniaires et pour des motifs de plus en plus large : par exemple, la délibération du 30 mai 2013, a sanctionné, en partie, la présence de mots de passe trop simples (suites de 5 caractères)[6].
Cependant, les contrôles de la CNIL, augmentent mais restent toujours une goutte d’eau dans un océan : 458 contrôles en 2012 soit une augmentation de 19 % par rapport à 2011 avec 173 contrôles relatif au dispositif de vidéosurveillance parmi 8946 déclarations relatives à ce même dispositif de vidéosurveillance soit un pourcentage de contrôle de 2%[7]. C’est déjà ça !
Le Livre blanc de la défense et de la sécurité nationale paru le 29 avril 2013 met en avant le renforcement législatif et réglementaire du domaine cyber et notamment concernant les opérateurs d’importance vitale (OIV) qui devront respecter des standards de sécurité mais surtout, prendre des mesures nécessaires pour détecter et traiter tout incident informatique touchant leurs systèmes d’information sensibles.
Les fondements de ce nouveau dispositif devraient être mis en place dans la prochaine loi de programmation militaire (LPM) dont le vote est prévu pour la fin de l’été. Souhaitons que ce dispositif prévoit des sanctions réalistes, justes et efficaces.

Enfin, dernière proposition : agir sur l’humain.
La bonne application de toute loi s’effectue par une bonne compréhension des dispositions législatives par les juges et avocats, premiers destinataires des lois. Or, force est de constater que les dispositions pénales relatives à la SSI[8] qui devraient être, par principe, assorties de sanctions efficaces sont rarement utilisées. Les jurisprudences sont quasiment absentes et les peines maximales indiquées ne sont que partiellement appliquées.
Ainsi, le levier de la formation et la sensibilisation des professions judicaires à la SSI et à ses problématiques doit être rapidement actionné. Dans un premier temps, la vulgarisation et une bonne pédagogie devront permettre une meilleure compréhension des enjeux stratégiques de la SSI.


[1]Cf article du 1er juillet « le droit de la sécurité des systèmes d’information (SSI) n’existe pas »
[2]Décision n° 2013-331 QPC du 05 juillet 2013 Société Numéricâble SAS et autre-JORF du 7 juillet 2013 page 11356
[3]Décret n° 2013-596 du 8 juillet 2013 supprimant la peine contraventionnelle complémentaire de suspension de l'accès à un service de communication au public en ligne et relatif aux modalités de transmission des informations prévue à l'article L. 331-21 du code de la propriété intellectuelle.
[4]Les trois autres procédures ont abouti à une amende de 150 euros, une  relaxe et une condamnation, assortie d'une dispense de peine.
[5]Le 9 juillet 2013, Madame Fillippetti, ministre de la Culture et de la Communication, aurait déclaré que l’HADOPI allait être supprimée.
[6]Délibération de la formation restreinte n° 2013-139 du 30 mai 2013 SAS PROFESSIONAL SERVICE CONSULTING dite PS Consulting
[7]Rapport annuel 2012 de la CNIL.
[8]Articles 321-1 à 321-4 du code pénal