Par Adrien Cherqui
Passage au crible n° 156
Source: Chaos International
Le 28 décembre 2016, l’OSCE (Organisation pour la sécurité et la coopération en Europe) a annoncé qu’à l’automne 2016 son système d’information avait fait l’objet d’un piratage sophistiqué. Selon cette institution, cette attaque compromet « la confidentialité de son réseau informatique interne et [met] en danger sa protection ». Courriers électroniques et dossiers confidentiels pourraient en effet être accessibles. Pour l’heure, le renseignement occidental soupçonne le groupe de hackers russes APT28, déjà connu pour ses liens avec les services spéciaux de la Russie.
> Rappel historique
> Cadrage théorique
> Analyse
> Références
Rappel historique
Cette récente intrusion dans le réseau de l’organisation basée à Vienne pose l’impérieuse question de la sécurité des données en Europe. Elle met également en première ligne les stratégies adoptées pour répondre à cet enjeu devenu un réel impératif.
Sans conteste, ces derniers mois ont marqué un tournant majeur dans le traitement de l’information numérique réalisé par l’Union européenne et plus largement sur le plan mondial. À cet égard, plusieurs évolutions sont venues actualiser et augmenter le corpus normatif européen en matière de sécurité de l’information et des données à caractère personnel. Mentionnons tout d’abord le Safe Harbor qui encadrait, depuis le 26 juillet 2000, les transferts de données personnelles des citoyens européens vers les États-Unis. Ce texte négocié par la Commission européenne et le Département du Commerce américain permettait à plus de 4000 entreprises d’héberger et d’envoyer ces informations sur le territoire américain. Relativement peu contraignants, les principes fondateurs de ce cadre juridique – la notification des individus sur le traitement de leurs données, leur possible transmission à des tiers avec autorisation préalable, etc. – ont finalement été remis en cause en 2013, après les révélations du lanceur d’alertes Edward Snowden. Mettant au jour les vastes programmes de collectes de données opérées par des sociétés américaines comme Amazon, Google, Microsoft, Facebook – et leur coopération à des fins de renseignement par la NSA (National Security Agency), le whistle blower a sonné le glas de la confiance internationale qui sous-tendait cet accord. Finalement, la CJUE (Cour de justice de l’Union européenne) a invalidé le Safe Harbor le 6 octobre 2015 avec l’arrêt C-362/14 Maximilian Schrems/Data Protection Commissionner. Néanmoins, des dispositions comme les binding corporate rules ou bien l’application de clauses contractuelles permettaient auxdites compagnies de se soustraire à l’arrêt Schrems.
Afin de pallier cette situation, la Commission européenne a annoncé, le 2 février 2016, être parvenue à une entente avec les États-Unis concrétisée par l’EU-US Privacy Shield. Ce document aspire à protéger les droits fondamentaux des citoyens de l’UE, tout en conférant par ailleurs une sécurité juridique aux entreprises qui traitent leurs données personnelles. Remarquons en outre que les obligations afférentes à ce cadre légal s’avèrent plus drastiques que celles du Safe Harbor. À titre d’exemple, l’accès des autorités américaines sera encadré, bien que le Privacy Shield conçoive une exception de sécurité nationale. Le 12 juillet 2016, la Commission européenne a finalement adopté ce traité, considérant que les garanties de transfert de données répondent aux normes de défense de l’information avancées par l’Union européenne.
La directive NIS (Network and Information Security) adoptée par le Parlement européen et le Conseil le 6 juillet 2016 est entrée en vigueur le 19 juillet de la même année. Elle s’inscrit dans la même logique normative que les précédents textes et vise à établir un niveau de sécurité commun aux pays membres de l’Union européenne. Ce faisant, elle ambitionne d’améliorer les capacités de cybersécurité et de favoriser la coopération entre les secteurs publics et privés. Enfin, elle exige que les opérateurs de services essentiels prennent mieux en compte la gestion des risques et communiquent aux autorités nationales les accidents majeurs.
Cadrage théorique
1. Le pouvoir structurel des États-Unis. Puissance de premier ordre, les États-Unis ont su s’imposer sur la scène mondiale notamment grâce à la mise en synergie de ses acteurs publics et privés. Le concept de pouvoir structurel emprunté à Susan Strange permet de comprendre comment cet État façonne aujourd’hui les structures de l’économie politique. Il met également en relief la capacité de ce pays de recourir à diverses formes de coopération dans les négociations internationales pour mieux asseoir sa puissance.
2. La normalisation du numérique. Considéré comme mature, le secteur de l’information et du numérique montre que l’État n’apparaît plus comme l’unique auteur et destinataire des normes internationales. Il partage avec des acteurs hors souveraineté (James Rosenau) ces qualités, brouillant alors la frontière entre le public et le privé. À travers le processus de normalisation, une forme de dispersion du pouvoir se donne alors à voir, tandis que les intervenants non-étatiques s’immiscent de plus en plus à la table diplomatique.
Analyse
Les NTIC (nouvelles technologies de l’information et de la communication) ont profondément transformé les formes d’interaction, de communication et de consommation. De toute évidence, l’industrie de la donnée a désormais supplanté celle du service. Compte tenu des nouveaux usages liés à l’informatique et à ce qu’il est convenu d’appeler la transformation numérique, l’Europe et ses instances politiques ont à présent initié un important mouvement de normalisation de ce secteur en s’appuyant sur la cybersécurité. Or, les révélations d’Edward Snowden ont rapidement eu raison d’un des plus importants accords transatlantiques relatifs au transfert et à l’utilisation de données personnelles par des entreprises américaines sur leur territoire national. L’action de ce lanceur d’alerte a en effet remis en question des conventions multilatérales âprement négociées, ce qui démontre bien les turbulences que James Rosenau analyse dans ses ouvrages.
Depuis lors, l’Union européenne a constitué un maillage normatif qui régule aussi bien la protection des données personnelles que celle des opérateurs de services essentiels. Cible de critiques, le Safe Harbor a rapidement été dénoncé, tant par de nombreuses ONG et associations que par la Cour de justice de l’Union européenne. Ils ont ainsi pointé la captation des données de manière indiscriminée par les autorités américaines. De plus, ils ont déploré que les ingérences portant sur les droits fondamentaux des usagers, ne fassent l’objet d’aucun contrôle. Mentionnons à ce titre, la possibilité d’autocontrôle des entreprises, quant à l’utilisation des données à caractère personnel. Dans cette même logique, le Privacy Shield fait lui aussi appel à un régime d’adhésion. S’agissant du contrôle, il est délégué à la Federal Trade Commission. Les termes de ces textes mettent en évidence une dissonance entre deux paradigmes. D’une part, une conception libérale des États-Unis où la donnée personnelle, capitalisée, possède une valeur marchande et répond à un complexe de sécurité. D’autre part une approche qui oscille entre renforcement de la sécurité, sauvegarde des droits de l’Homme et le respect de la vie privée.
Outre cette considération, l’invalidation du Safe Harbor a provoqué un renforcement des géants du numériques. Seules financièrement en mesure de mettre en place des clauses contractuelles et de les appliquer avec des binding corporate rules, les GAFA (Google, Apple, Facebook, Amazon) ont vu leur puissance s’accroître symboliquement au détriment des petites et moyennes entreprises du secteur. Par ailleurs, dans le cadre de la directive NIS, l’Union européenne a artificiellement stimulé et développé le marché de la cybersécurité en le normalisant et le conditionnant. Aujourd’hui, ce dernier voit de nouvelles offres apparaître favorisant sa croissance par l’augmentation de la demande.
Finalement, l’impulsion européenne en matière d’encadrement des données n’a pas produit l’effet escompté. En témoigne le développement toujours plus fort des firmes transnationales américaines du numérique dont les parts de marché en Europe ne cessent de croître et mettent en évidence le soft power des États-Unis. Force est donc de constater l’échec prégnant de l’Union européenne dans la négociation des accords évoqués. Il met en exergue le pouvoir structurel de la puissance américaine qui a su imposer une nouvelle fois des conditions favorables à son économie.
Bellanova Rocco, De Hert Paul, « La protection des données personnelles et mesures de sécurité : vers une perspective transatlantique », Cultures et conflits, 2 (74), 2009, pp. 63-80.
Burri Mira, Schär Rahel, « The Reform of the EU Data Protection Framework: Outlining Key Changes and Assessing Their Fitness for a Data-Driven Economy », Journal of Information Policy, 2016 (6), p. 479-511.
Cherqui Adrien, « La surveillance numérique et la prédation clandestine des États-Unis La puissance du programme PRISM dans le cyberespace», Passage au crible (89), 18 juin 2013.
Gazagne Didier, « Directive NIS : enjeux pour les OSE (OIV en France) », Alain Bensoussan Avocats, le 4 août 2016, disponible à cette adresse : https://www.alain-bensoussan.com/directive-nis-enjeux-ose-didier-gazagne-avocat/2016/08/04/
Hassid Olivier, « La protection des données au cœur de nos sociétés du XXIe siècle », Sécurité et stratégie, 2 (17), 2014, pp. 1-2.
« Invalidation du Safe Harbor : quel impact ? », Observatoire du Monde Cybernétique, 2015(43), p. 13-20.
Rosenau James N., Sign J. P. (Ed.), Information Technologies and Global Politics, The Changing Scope of Power and Governance, Albany, State University of New York Press, 2002.
Strange Susan, Le Retrait de l’État. La dispersion du pouvoir dans l’économie mondiale, trad., Paris, Temps Présent, 2011.