Newsletter
Mai – Juin 2022
SOMMAIRE :
Article
Vers un renforcement du cyberdroit
Brèves
Vers un renforcement du cyberdroit
Durant la crise sanitaire, le nombre de cyberattaques dans les entreprises a été multipliée par 4 en France. Cette explosion de la cybercriminalité a révélé la nécessité d’adapter rapidement le cadre normatif en matière de cybersécurité.
L’encadrement normatif de la cybercriminalité reste cependant disséminé entre plusieurs textes touchant à différents domaines du droit. Par exemple, le droit pénal donne les instruments pour la répression des cyberattaquants, le droit de la propriété intellectuelle offre des outils pour lutter contre les conséquences des vols et usurpations des données d’une entreprises, le droit du travail peut permettre de mettre en place des systèmes de prévention internes aux entreprises.
Il était donc nécessaire de centraliser l’ensemble de ces règles afin de clarifier et d’harmoniser les instruments juridiques permettant de lutter contre la cybercriminalité. Dans ce contexte, le 2 juin 2022 paraitra, aux éditions DALLOZ, le Code de la cybersécurité rendant plus accessible la réponse juridique à apporter à la cybermenace.
Cette restructuration du cadre normatif se conjugue à un mouvement de consolidation qui s’est récemment illustré à travers l’adoption de la loi n° 2022-309 du 3 mars 2022 pour la mise en place d’une certification de cybersécurité.
Plus précisément, il a souvent été question de la protection des entreprises victimes de cyber attaques, or ces entreprises peuvent également traiter les données personnelles de consommateurs, données qui peuvent faire l’objet de vol lors d’une cyberattaque.
Jusqu’à présent le consommateur n’avait que peu ou pas de moyen de lutter contre la distraction indirecte de ses propres données en cas de cyber attaque d’une des entreprises avec laquelle il consent à un partage de données personnelles en échange des biens et services qu’elle lui offre.
L’article 32 du RGPD précise bien que le responsable du traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, mais ce texte n’apporte pas d’outils aux consommateurs pour connaitre le degré de protection déployé par l’entreprise pour garantir l’inviolabilité de leurs propres données.
C’est pourquoi, le 3 mars 2022, a été adoptée la loi dite « cyberscore » qui impose de nouvelles obligations en matière de cybersécurité aux grandes plateformes numériques, aux messageries instantanées et aux sites de visioconférence les plus utilisés.
Ces opérateurs devront informer les internautes, par un visuel “cyberscore”, de la sécurité de leur site ou service et de la sécurisation ainsi que de la localisation des données qu’ils hébergent par eux-mêmes ou leurs prestataires (cloud notamment).
Les informations du cyberscore seront tirées d’un audit de sécurité qu’ils devront réaliser. La nouvelle loi prévoit que cet audit soit effectué par des prestataires qualifiés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Le dispositif est prévu pour entrer en application le 1er octobre 2023. Si le visuel cyber score permet de changer les habitudes des utilisateurs des plateformes numériques comme l’a permis la mise en place du nutri-score avec les produits alimentaires, cela ne pourra que conduire les différents acteurs à renforcer la sécurité des espaces numériques.
En matière commerciale ces pratiques seront étendues dans les relations entre sociétés commerciales ce qui conduira à inclure des clauses en matière de cybersécurité dans les contrats. Il y existe déjà des clauses de garantie en cas de failles de sécurité pour obliger société à avoir une vigilance accrue.
Brèves :
Le Cabinet Cazeau organise, en collaboration avec le Barreau des avocats des Iles Baléares, une matinée consacrée aux enjeux légaux de la cyberdélinquance. Ce séminaire se tiendra à Palma de Majorque le 29 septembre 2022 et fera intervenir tant des professionnels du droit que des spécialistes de la cybersécurité.
Alexia Duran Froix
