Skip to content Skip to footer

Risque Cyber & Extraterritorialité du Droit

« Environ 430 câbles sous-marins sont déployés dans le monde sur plus de 550.000 miles, soit environ 800.000 km, ce qui représente plus de 20 fois le tour de notre planète. En 2016, plus de 90% des échanges intercontinentaux, comprenant les liaisons téléphoniques et de données (internet), passaient par les océans. La problématique des câbles sous-marins prend donc tout son sens dans notre monde de l’information. L’intérêt stratégique évident qui découle du contrôle de ces liaisons, que ce soit pour un Etat ou pour une entreprise, doit être pris en compte pour comprendre une scène internationale future composée de puissances, d’acteurs, de flux et d’intérêts ». in https://geolinks.fr/grands-enjeux/les-cables-sous-marins-la-guerre-invisible-de-linformation/

Le risque n’est pas que cyber

La dimension immatérielle du numérique fait trop souvent oublier sa dimension matérielle et son rattachement à des infrastructures, elles-mêmes régies par des législations rattachées à des États, ou des institutions supranationales.

Aujourd’hui le numérique se loge partout dans les activités du quotidien, professionnelles et privées. Alors que les autoroutes de l’information étaient présentées, il y a une vingtaine d’années, comme une promesse de fluidité, de partage, et d’horizontalité (tout le monde au même niveau d’information), le contexte géopolitique nous rappelle que les apparences peuvent être trompeuses, tant les enjeux commerciaux, et la recherche du pouvoir qui les sous-tend, dessinent la trajectoire desdites autoroutes.

Et quand le droit n’est plus assigné en première intention à la cohésion sociale et à la protection de l’économie réelle (celle adossée à des actifs tangibles) et des populations, mais à la liberté des échanges et des flux, il convient d’être lucide sur les forces en présence.

Du contrôle de la monnaie (sensée n’être qu’une valeur d’échange), découle la maitrise du pouvoir. Du contrôle des infrastructures, découle le contrôle de l’information.

Aussi, qui peut prétendre à la protection du savoir-faire, à la sécurité des données, à une gestion du risque cyber effectif et réputationnel, quand l’infrastructure numérique peut être accaparée par des forces hostiles ?

Les trois dimensions du cyberespace

En 2012, Oliver Kempf présente le cyberspace, dans son ouvrage « introduction à la cyberstratégie », en trois couches :

  • Une première couche physique : infrastructure matérielle permettant de faire fonctionner Internet ;
  • Une seconde couche logique et applicative : des services qui permettent de transmettre les informations comme les logiciels et les applications ;
  • Une troisième couche cognitive et sémantique : désigne les internautes.

D’évidence, pas d’internet et pas d’usage sans infrastructure première. Pourtant, c’est de la partie émergée de l’iceberg dont on parle le plus.

Si l’on veut bien raisonner, c’est la partie immergée qui doit faire l’objet d’une réflexion: de l’autonomie et de la sécurité des infrastructures dépendront la sécurité des couches suivantes, des activités commerciales des entreprises, et in fine de la protection des libertés publiques et individuelles.

En effet, que se passe-t-il quand les satellites, les câbles sous-marins et les datas center sont l’objet d’entreprises de prédation?

Autonomie stratégique

C’est l’autre nom donné à une notion souvent dévoyée: la souveraineté. En sciences politique, celle-ci est définie comme « le pouvoir de commander et de contraindre, sans être ni commandé ni contraint« , depuis le 16e siècle dans les écrits de Jean Bodin.

La souveraineté est cette notion juridique qui caractérise l’Etat détenant et exerçant le pouvoir politique, ordonné à la cohésion sociale, cadrant et gérant le pouvoir économique, par l’expression des fonctions régaliennes :

– assurer la sécurité extérieure du pays par la diplomatie et la Défense ;

– assurer la sécurité intérieure et l’ordre public avec, notamment, les forces de police ;

– définir le droit et rendre la justice ;

– émettre de la monnaie.

Si on doit appliquer cette notion de souveraineté au numérique, cela signifie que l’autonomie technologique devrait donc se décliner sur les trois couches pour éviter les adhérences, de telle sorte à rendre l’ensemble robuste face aux intrusions ou tentatives de placement entre des mains hostiles.

Le Cloud est (presque) partout

Au début de l’ère digitale, les acteurs se sont concentrés sur les questions contractuelles, pour penser et organiser les rapports entre les parties prenantes sur les couches deux et trois. Puis la tâche des DSI a été de travailler d’arrache pied sur l’élaboration des solutions les plus efficaces et plus fluides possibles dans une démarche de « Move to cloud ».

Celui-ci est le processus de déplacement d’applications et de données d’un emplacement, souvent les serveurs privés locaux, sur site, d’une entreprise vers un des serveurs de Cloud Computing du fournisseur, ainsi qu’entre différents clouds.

Ainsi le recours au Nuage explose. De plus en plus d’entreprises s’engagent dans cette transformation à grande échelle (58 % des entreprises interrogées dans la Cloud Survey 2023 de PwC déclarent avoir adopté le cloud dans la plupart ou la totalité de ses fonctions).

Recueillir les données des internautes est une pratique commerciale courante des entreprises. Mais pour garantir le droit de chacun au respect de sa vie privée, elles sont tenues de respecter les exigences de la directive européenne e-Privacy de 2002, reprise en droit français dans la loi Informatique et libertés (dont l’origine date de 1978).

C’est ce que le Conseil d’État a rappelé à deux géants du numérique dans deux décisions en janvier et juin 2022 contre Google et Amazon, condamnées par la CNIL à une amende de 100 et 35 millions d’euros. https://www.conseil-etat.fr/site/publications-colloques/rapports-d-activite/bilan-d-activite-2022/garantir-aujourd-hui-et-demain-nos-droits-numeriques

Mais le Cloud n’est pas tout

La réflexion grand public est rarement menée sur les enjeux que recèlent la première couche et partant la nationalité des opérateurs ou la réglementation applicable intégrée dans la stratégie industrielle des entreprises.

Or, c’est la première couche qui les expose à une grande vulnérabilité, notamment concernant leur savoir-faire et leurs données stratégiques.

On comprend alors qu’au-delà de la sécurité des données, c’est bien la sécurité des approvisionnements dans la durée, et la pérennité des équilibres qui commandent cette réflexion sur les changements à l’œuvre dans les architectures numériques et du cloud en particulier.

Il y a bien sûr une inégalité manifeste entre les entreprises, puisque toutes n’ont pas les moyens requis pour assurer leur autonomie structurelle. Faute de demander des comptes à ceux sensés assurer cette autonomie (institutions, représentants politiques), elles doivent dans l’immédiat s’interroger sur ce qui est le plus critique, le plus sensible, le plus stratégique et le plus confidentiel.

L’enjeu, comme lors de l’avènement du RGPD, est de transformer ce qui est perçu comme un centre de coût en avantage concurrentiel, et développer une vision à 360 des sujets.

Intégrer cette réflexion permet de questionner les priorités, d’apprécier les forces en présence pour se repositionner et faire levier dans le but de se défendre d’abord, et si possible, de développer de nouveaux avantages concurrentiels.

Que dit le Droit français en la matière ?

La Loi Godfrain du 5 janvier 1988 relative à la fraude informatique, est la première loi française réprimant les actes de criminalité informatique et de piratage. Après la loi informatique et libertés de 1978, qui a introduit la notion système de traitement informatique des données, elle a été intégrée au Code Pénal en prévoyant « des atteintes aux systèmes de traitement automatisé de données ».

Selon les infractions retenues, les peines peuvent aller de 2 ans de prison et 30 000 euros d’amende à 10 ans d’emprisonnement et 150 000 euros d’amende.

En 2004, la loi pour la confiance dans l’économie numérique a modifié l’existant en ajoutant un art. L. 323-3-1, lequel réprime « le fait, sans motif légitime, d’importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 ».

Cette infraction a été controversée, du fait d’avoir été la base de nombreuses poursuites judiciaires, concernant la publication de failles de sécurité permettant d’accéder à des données personnelles.

La loi no 2013-1168 du 18 décembre 2013 « relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale » (art. 25) a amendé cet article, en ajoutant une exception concernant le fait d’avoir « un motif légitime, notamment de recherche ou de sécurité informatique », d’effectuer les opérations en question.

On voit combien la sémantique est importante … et tout ce qui n’est pas défini.

Et le Droit Européen ?

La Directive NIS (Network and Information Security) 2, adoptée par le Parlement européen en novembre 2022 et entrée en vigueur en 2023, est présentée comme un moyen de renforcer la cybersécurité dans l’Union européenne, et de protéger les réseaux et les systèmes d’information servant à fournir des services essentiels dans les secteurs clés de nos sociétés. Elle élargit considérablement le champ d’application de la directive NIS précédente, couvrant désormais environ 300 000 institutions.

Elle prévoit un socle de mesures juridiques, techniques et organisationnelles que les futures entités régulées devront mettre en œuvre, en fonction du risque existant, afin d’élever leur niveau général de cybersécurité et d’accroître leur résilience opérationnelle.(https://monespacenis2.cyber.gouv.fr/directive).

Les secteurs réglementés par la NIS 2 incluent l’aérospatiale, l’administration publique, les services postaux, la chimie, l’alimentation, l’ingénierie mécanique, les services numériques, etc. De plus, les entreprises sont maintenant classées comme « essentielles » ou « importantes » en fonction de leur secteur et de leur taille, ce qui influence les pouvoirs de surveillance des autorités compétentes.

La Directive NIS 2 s’applique également aux entreprises situées en dehors de l’UE si elles fournissent des services au sein de l’UE. La transposition de cette directive en droit national par les États membres devait être achevée d’ici le 17 octobre 2024. Certains États membres ont déjà entamé le processus législatif, mais d’autres sont en retard. La Commission européenne est également en train d’adopter un acte d’exécution pour définir les exigences techniques et méthodologiques en matière de cybersécurité.

Quel poids face à l’impact du droit US ?

  • Cloud Act

En vertu du Cloud Act américain (Clarifyng Lawful Overseas Use of Data Act) il est permis aux autorités judiciaires d’accéder aux données électroniques stockées à l’étranger par les entreprises américaines, dans le cadre de procédures pénales, en s’adressant directement aux fournisseurs de service plutôt que de passer par le biais d’une demande d’entraide judiciaire internationale MLAT (Mutual Legal Assistance Treaties ou MLAT).

Dans la loi précédente, les mandats se limitaient aux données détenues sur des serveurs hébergés aux États-Unis, même si les fournisseurs de services avaient le plein contrôle des données stockées à l’étranger.

Aujourd’hui, toute société de droit américain doit, sur demande des autorités américaines qui bénéficient d’un mandat valide, donc délivré par un juge, communiquer les données placées sous son contrôle sans considération du lieu où elles sont localisées.

  • Patriot Act

Le Cloud Act est différent du Patriot Act, les deux lois ayant un champ d’application différent et ne visant pas les mêmes acteurs pouvant accéder aux données.

Le Patriot Act permet aux agences gouvernementales américaines (FBI, CIA, NSA, armée) d’obtenir des informations dans le cadre d’une enquête relative à des actes de terrorisme ou d’espionnage industriel.

Le Cloud Act, lui, permet aux autorités américaines qui bénéficient d’un mandat d’obtenir des informations dans le cadre d’une enquête judiciaire.

Mais il prévoit aussi la possibilité pour les États-Unis de signer des accords internationaux (des « Executive Agreements ») permettant aux autorités respectives des pays signataires de demander directement aux fournisseurs de services de communiquer des données relevant de la juridiction de l’autre pays sans avoir à passer par les procédures des MLAT (sauf pour les demandes portant sur les citoyens ou résidents américains).

Les enjeux

Portalis (1746-1807) nous alertait : « il faut être sobre de nouveautés en matière de législation, parce que s’il est possible, dans une institution nouvelle, de calculer les avantages que la théorie nous offre, il ne l’est pas de connaître tous les inconvénients que la pratique seule peut découvrir« .

Tout d’abord, on constate combien le centre de décision est éloigné des acteurs qui sont soumis à un corpus lourd et complexe qui les concerne pourtant directement.

Par ailleurs, on connait les effets pervers d’une règlementation contraignante pour les entreprises européennes en général, et françaises en particulier, qui est allée jusqu’à handicaper les fleurons français (Airbus: https://www.lemonde.fr/economie/article/2020/01/31/corruption-airbus-va-verser-a-trois-pays-dont-la-france-3-6-milliards-d-euros-d-amende-au-total_6027978_3234.html).

Une telle contrainte peut aussi obérer l’émergence de nouveaux fleurons sur tout ce qui relève du Cloud « souverain » et de l’intelligence artificielle, les deux sujets étant liés.

Alors que le premier projet GAIA X a été publié en 2020, le schéma européen de certification cloud n’a pas encore trouvé de version définitive, les États membres étant toujours en discussion sur les critères de protection, notamment contre les lois extraterritoriales https://www.usine-digitale.fr/article/gaia-x-une-alternative-serieuse-au-schema-europeen-de-certification-cloud.N2218775.

On voit combien, sous couvert de réduire les conflits juridiques internationaux et de promotion de la protection des droits fondamentaux (respect de la vie privée, droits de l’Homme, principes démocratiques), l’heure est à la « normalisation » à marche forcée dont les implications et les trajectoires ne sont pas forcément étudiées.

Quelle position doit avoir une entreprise dans tout ça ?

Intégrer des éléments de géopolitique est aujourd’hui essentiel pour celles des entreprises françaises qui ne veulent pas avoir un train de retard, comme elles l’ont eu face aux effets de l’extraterritorialité des lois américaines depuis plus de 20 ans.

Ne pas le faire, c’est prendre le risque, potentiellement fatal, raisonner sur des bases fausses. Si une uniformisation des règles peut a priori faciliter opérations dans une économie de liberté des échanges, elle expose les entreprises françaises et européennes à adopter les règles du jeu de concurrents dont le poids économique, et donc le pouvoir, est plus important.

Elles sont victimes de la guerre asymétrique qui leur est imposée. Sans répliquer, non pas en y opposant une force opposée, dont elles n’ont pas les moyens, mais une autre asymétrie en retour, elles auront grande difficulté à leur tenir tête.

C’est pourquoi elles doivent d’abord maintenir les positions qui leur restent, se protéger et se défendre.

Cela commence par s’informer, et se former, et reprendre conscience des sujets de fond que sont la monnaie, la dette et l’énergie, et actionner tous les leviers permettant de négocier de nouvelles marges de manœuvre. Car savoir, c’est pouvoir.

Il s’agit de développer l’anticipation active par l’intelligence économique. Mais ce n’est pas suffisant, au risque de laisser l’information stratégique identifiée au fond d’un tiroir.

On peut donc conseiller aux chefs d’entreprise qui veulent ne pas subir la confusion générée par la profusion de textes et d’avis, d’adopter une approche hybride, en intégrant des expertises croisées dans leur réflexion stratégique et leur politique de gestion des risques.

L’étape suivante est la coordination opérationnelle, par le développement de coopérations organiques culturelles en mobilisant les acteurs.

Toutes les fonctions, commerciales, financières, techniques et juridiques doivent être mobilisées et mises en capacité d’échanger, de se mettre autour de la table pour comprendre les enjeux et se mettre à ramer dans le même sens.

Enfin, questionner le bien-fondé des mesures qui entravent l’action des entreprises, raisonner, et interpeler ceux qui en sont à l’initiative.

Cela fait beaucoup. Mais la paresse a un coût. Prendre de la hauteur prend du temps, mais c’est la seule démarche qui permet d’en gagner, et de survivre.

Leave a comment