3 février 2018

Sur le vif

Au Royaume-Uni, la Compliance s'implante par la répression dans le Droit de la cybersécurité

par Marie-Anne Frison-Roche

La Compliance consiste à internaliser l'Ex Post dans les entreprises pour que celles-ci se structurent afin de prévenir des phénomènes systémiques néfastes. Elle le fait plus ou moins nettement, plus ou moins fortement. Au Royaume-Uni, comme en matière de Régulation, elle le fait nettement et clairement.

Par exemple à propos de la sécurité numérique.

La sécurité numérique est un jeu majeur pour toutes les entreprises, les États et les personnes privées. 

A première vue, sa garantie repose sur les États, garants de la sécurité des personnes, la "sécurité numérique" (par exemple la protection des personnes contre la cybercriminalité, comme le vol des données) n'étant qu'une modalité nouvelle de cette fonction première des États. 

Mais l'effectivité de cette sécurité numérique repose avant tout sur les entreprises et cela pour trois raisons. 

Tout d'abord parc c'est d'elles que naissent les risques, que c'est par elles qu'ils se propagent. Elles ont donc comme un "devoir" de lutter contre ce qu'elles ont elles-mêmes fait naître.

Ensuite parce que les comportements qui compromettent la sécurité numérique dépassent techniquement et politiquement les États, enfermés par nature dans des frontières alors que les comportements visés sont globaux. Ce face à quoi les entreprises sont moins démunies, puisqu'elles sont elles-mêmes globales.

Enfin, parce que les investissements en argent, en temps et en personnes (ces deux dernières dimensions pouvant se réduire à la première) sont si importants qu'il est en pratique plus pertinent pour les États de donner ordre aux entreprises de faire ces investissements structurels (mise en place de technologie, surveillance du fonctionnement efficient de celles-ci) plutôt que de le faire eux-mêmes.

Toutes les conditions de la Compliance sont remplies.

Le Droit de la Compliance n'a donc plus qu'une chose à faire : prévoit une très forte amende si les entreprises ne s'exécutent pas, en prenant en charge elles-mêmes la sécurité numérique des personnes.

Mais il ne peut s'agir de toutes les entreprises. Il est essentiel que le Droit de la Compliance ne s'applique pas aveuglement à toutes les entreprises. Il ne doit s'agir que des entreprises "en position" de remplir la fonction qui leur a été assignée pour "atteindre le but" qui a été politiquement posé.

Par un communiqué du 28 janvier 2018 venant de plusieurs ministères, le Royaume-Uni a donc fait connaître de viser les entreprises qui,, en tant qu'elles sont des "critical industries" sont objectivement aptes à garantir cette sécurité numérique, à savoir les entreprises des infrastructures numérique, mais également les entreprises du secteur de la santé, de l'énergie ou du transport, c'est-à-dire les entreprises régulées (les entreprises des secteurs financiers, bancaires et assurantiels étant déjà contraints par des règles spécifiques). Cette liste des "entreprises éligibles à la Compliance" conforte le fait que le Droit de la Compliance est l'aboutissement du Droit de la Régulation.

Présentant cela comme une décision de contrainte sur les entreprise prise pour le bien de ces entreprises, il est prévu que si celles-ci ne mettent pas en place ces dispositifs, elles pourront être sanctionnées par une amende pouvant aller jusqu'à 17 millions de livres.

Dans ces conditions, les entreprises sont effectivement incitées à suivre les lignes directrices instaurées et publiées le même jour par le National Cyber Security Centre ....

Le dispositif de l'Union européenne, par la directive européenne du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Unioncomptait sur des bonnes pratiques qu'il convenait de suivre et d'encourager par de multiples incitations. 

La France transpose avec un système qui s'appuie un organisme qui est une "agence" et non pas un "régulateur" , l'Agence nationale de la sécurité des systèmes d'information , le droit français  instaure des procédures entre les "opérateurs de services essentiels et celle-ci (dans une relation de type pédagogique), mais prévoit relativement peu de sanctions, celles-ci étant peu lourdes.

Au Royaume-Uni, qui n'est plus désormais visé par une hiérarchie des normes la rattachant à l'Union,adopte plutôt un système avant tout d'amendes et prend comme chemin principal la voie répressive. Comme tout pays adossé à un système libéral, c'est sur de la répression que le système se base.

Le choix fait par le Royaume-Uni montre une nouvelle fois que le Droit de la Compliance est un droit répressif structurel.

 

 

les commentaires sont désactivés pour cette fiche