Contrairement à l’année précédente, le président de la Commission européenne, Jean-Claude Juncker, n’a que brièvement évoqué les dossiers numériques dans son discours sur l’état de l’Union, mercredi 13 septembre. Il s’est borné à mentionner de nouvelles initiatives en matière de lutte contre les cyberattaques, sans entrer dans les détails, et sans évoquer celles adoptées le même jour sur la libre circulation des données.
« Les cyberattaques sont parfois plus dangereuses pour la stabilité des démocraties et des économies que les fusils et les chars. Rien que l'année dernière, on a enregistré plus de 4 000 attaques par rançongiciel et 80% des entreprises européennes ont connu au moins un incident lié à la cybersécurité », a déclaré le président Juncker, face à un rempli.
Pas moins de six documents ont été adoptés le 13 septembre sur la politique numérique : un règlement sur la libre circulation des données, une communication générale sur la cybersécurité, un règlement concernant l’Agence européenne de cybersécurité (ENISA) et le cadre de certification, un rapport d’évaluation sur ENISA, une recommandation organisant la réponse européenne en cas d’attaque et une communication pour faciliter la mise en œuvre de la directive sur la sécurité des réseaux (NIS).
Cybersécurité
Le premier train de mesures s’attache à protéger l’Union européenne des cyberattaques. La communication générale, intitulée « Résilience, dissuasion et défense : renforcer la cybersécurité pour l’Europe », résume la stratégie de la Commission.
Sans surprise, elle propose de renforcer le rôle de l’ENISA en lui donnant un mandat permanent. L'agence aura un rôle de conseil en matière de développement et de mise en œuvre des politiques et organisera des exercices européens annuels de préparation aux cyberattaques. La Commission propose aussi d'établir un cadre européen volontaire en matière de certification. Elle encouragera les parties prenantes à se concentrer sur 3 volets prioritaires, à savoir : la sécurité pour les applications critiques ou à haut risque ; la cybersécurité pour les produits/réseaux/systèmes/services numériques utilisés par les secteurs privé et public pour se défendre contre les attaques ; l'utilisation des méthodes de « sécurité lors de la conception » pour les objets connectés fortement utilisés.
Plus étonnant, en revanche, elle évoque l’idée de mettre en place un fonds d’intervention d’urgence en cas de cyberattaque. « Étant donné que les incidents liés à la cybersécurité pourraient avoir une incidence importante sur le fonctionnement des économies et sur la vie quotidienne des personnes, une option serait d'étudier la possibilité d'un Fonds d'intervention en cas d'intervention d’urgence en matière de cybersécurité. (…) Cela permettrait aux États membres de demander de l'aide au niveau de l'UE pendant ou à la suite d'un incident majeur, à condition que l'État membre ait mis en place un système prudent de cybersécurité avant l'incident », indique la communication. Dans une recommandation distincte, la Commission demande aux États membres et aux institutions européennes d’établir un cadre de réponse de crise listant la procédure à suivre en cas d’attaque à grande échelle.
Libre circulation des données
Parallèlement, la Commission européenne a publié un projet de règlement pour stimuler la libre circulation des données non personnelles dans l'Union européenne. Comme indiqué dans un précédent numéro (EUROPE 11855), le texte s’attaque à quatre chantiers : les conditions de localisation des données, leur disponibilité pour les autorités compétentes, la transparence contractuelle en matière d’accès et la sécurité du stockage et de la transformation des données. Il se concentre sur le stockage des données et les services de traitement, laissant de côté la délicate question de la portabilité des services en nuage.
Concrètement, il impose aux États membres l’obligation de notifier des règles nationales qui introduiraient des obligations de localisation et les charge de supprimer les restrictions injustifiées existantes un an après l’application dudit règlement. Il précise en outre qu’un État membre qui souhaiterait maintenir des dispositions contraires serait obligé de le notifier et de le justifier auprès de la Commission. Ces dispositions seraient reprises sur un « point d’information unique en ligne » librement accessible. En matière d'accès, le projet prévoit l’adoption de codes de conduite 2 ans après son entrée en vigueur. Il précise toutefois que, si des mesures d’autoréglementation ne sont pas mises en œuvre dans une « période de temps raisonnable », il restera possible à la Commission d’établir les conditions de cet accès à travers un acte d’exécution.
Initiatives numériques d’ici 2018
Dans sa lettre d’intention aux présidents du Parlement et du Conseil, Jean-Claude Juncker annonce une initiative sur les plateformes en ligne visant à garantir, dans l’économie en ligne, un environnement équitable, prévisible, durable et suscitant la confiance. Il annonce également des orientations de la Commission sur l’application du règlement général sur la protection des données ainsi que la révision des lignes directrices sur l’analyse du marché et l’évaluation de la puissance sur le marché dans le secteur des communications électroniques.
Réactions
Les opérateurs historiques de télécommunications (ETNO) ont réagi positivement aux propositions de la Commission en matière de cybersécurité. « Nous reconnaissons qu'un système volontaire de certification et d'étiquetage pourrait renforcer la confiance des consommateurs dans les dispositifs connectés et les services en ligne et nous recommandons que ces systèmes offrent une flexibilité suffisante pour s'adapter au paysage de menace cybernétique en évolution rapide ». L'eurodéputé Jan Philipp Albrecht (Verts/ALE, allemand), vice-président de la commission des libertés civiles, de la justice et des affaires intérieures, a, quant à lui, appelé ses collègues à travailler sur ces questions en respectant certaines exigences minimales obligatoires, telles que le chiffrement sécurisé de bout en bout et les mots de passe sécurisés par défaut.
Sur la libre circulation des données, seule l'Alliance des grands fabricants de logiciels propriétaires a réagi en se félicitant du travail mené par la Commission. « Bien que la proposition de la Commission ait besoin de certaines précisions quant à sa portée et à la nature des limitations qu'elle cherche à imposer aux États membres, nous sommes heureux que le processus avance », a déclaré Thomas Boué, directeur général du bureau 'Europe, Moyen-Orient et Afrique'. (Sophie Petitjean)