Réf. : Directive n° 2022/2555, du 14 décembre 2022, du Parlement européen et du Conseil du 14-12-2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148, « NIS II », art. 6, §2 N° Lexbase : L3158MG3
Lecture: 44 min
N6746BZU
Citer l'article
Créer un lien vers ce contenu
par le Dr Nicolas Catelan, Maître de conférences à l’Université Paris Cité
le 27 Septembre 2023
Mots-clés : cybersécurité • justice pénale • conformité • compliance • illégalisme
Avec la Directive « NIS II » l’Union européenne a décidé en 2022 de faire basculer la cybersécurité dans le giron du droit répressif. Afin que les obligations reposant sur certaines entités ne restent lettres-mortes, l’Union a en effet choisi d’accompagner la « conformité cyber » de sanctions dissuasives. Celles-ci seront avant tout administratives et portées par l’ANSSI. À l’heure de la transposition de la directive, la place du droit pénal doit être interrogée même s’il est constant, en droit de la régulation, de ne mobiliser qu’accessoirement la justice pénale.
Normativité accélérée. Le temps long n’est plus l’unité à l’aune de laquelle les normes européennes peuvent être appréhendées et évaluées. Le droit de la cybersécurité [1] en atteste : les textes sont adoptés à une vitesse croissante. Si l’agence européenne de cybersécurité voyait certes le jour en 2004 [2], ce n’est qu’en 2016 que la sécurité des systèmes d’information sortait de terre avec la directive « NIS I » [3] suivie en 2019 par le règlement sur la cybersécurité [4]. Et la directive NIS « II » faisant suite et abrogeant le texte de 2016, était déjà publiée au JOUE en décembre 2022 [5]. 6 ans à peine ont ainsi suffi pour qu’un consensus d’obsolescence se dégage quant au texte initial. À cela s’ajoutait en 2022 encore la nécessité de prévoir un droit spécifique pour le secteur financier [6], et enfin un encadrement de la sécurité physique des opérateurs de services critiques [7]. Le temps long, nécessaire à la compréhension des phénomènes, à leur structure globale et à leurs effets parfois sous-terrains, ne permettra sans doute pas de mesurer la déflagration que devrait provoquer la directive « NIS II ». Car la directive « NIS III » imposera tôt ou tard, et sans doute plus tôt que tard, de changer à nouveau de braquet, de champs, d’impératifs... en raison de nouvelles menaces toujours plus graves.
Marché numérique. Le tournant numérique au début du XXIè siècle a permis l’essor de nouvelles activités économiques à telle enseigne qu’en 2023 peu de secteurs marchands peuvent se targuer d’être indifférents à l’endroit de ce que l’informatique permet. Si le fleuriste de quartier n’a sans doute pas de site internet (quoique...), il serait étonnant qu’il ne dispose pas d’un terminal de paiement avec ou sans contact. De sorte que la cybersécurité sera une composante fondamentale de son activité, sans doute de lui inconnue (comme de ses clients), mais que sa banque, les intermédiaires de paiement ou encore les confectionneurs de cartes bancaires ou de smartphones ne peuvent ignorer. La Directive « NIS II » mentionne évidemment l’importance du numérique pour la construction et la pérennisation du marché intérieur, et ce très tôt dans ses considérants [8]. Cela n’étonnera pas les lecteurs habitués au principe de subsidiarité [9] et coutumiers de la référence à l’article 114 TUE pour justifier l’action des institutions européennes. L’Europe est économique avant tout, il faudrait être atteint d’une grave cécité et/ou d’une mémoire particulièrement entamée pour l’ignorer. Derrière cette constante économique, se retrouvent évidemment de nombreuses variables d’action à l’aune des risques [10] pesant sur les systèmes d’information. Le passage de « NIS I » à « NIS II » offrait un vaste champ d’évolutions [11].
Réaction. Construire un droit de la cybersécurité implique fort logiquement d’identifier les menaces[12] avec cette précision, toujours inquiétante, qu’anticiper ne permet jamais de prévenir toutes les ingéniosités. Il n’en demeure pas moins que la cybersécurité, fut-elle condamnée à la réaction plus qu’à la pro-action, comporte encore de nos jours une marge d’amélioration considérable. Nul ne peut affirmer que cette sécurité est prise au sérieux par chacun, l’hygiène numérique est tout sauf un réflexe acquis (et encore moins inné). Les risques numériques sont encore très virtuels pour de nombreux citoyens et entreprises même si l’étau se resserre inexorablement. On sait que les comportements individuels ont ici une importance capitale. On n’ignore pas davantage que certaines pratiques restent le fruit d’un effet de structure de sorte qu’une implication affirmée d’une équipe dirigeante en faveur de la cybersécurité peut déverrouiller des prises de conscience et de vrais changements dans les pratiques quotidiennes des employés et usagers. En d’autres termes, montrer l’exemple présente des vertus inexorables. Reste à construire une articulation juridique qui innerve cette vertu en permettant aux responsables, prima facie, de prendre conscience des enjeux. Le droit est ici monté en régime à trois égards qui font la substance de la directive « NIS II » : toucher plus de structures que la directive « NIS I », passer par leur gouvernance, et imposer un régime d’obligations bien plus impératives. L’expression ne manquera pas de surprendre mais il faut bien reconnaître que les obligations de cybersécurité prévues dans la directive « NIS I » ne bénéficiaient pas d’un cadre particulièrement contraignant en raison d’un système de sanctions peu dissuasif [13]. On le sait, à défaut de sanction [14], le droit s’apparente à de la poésie pour techniciens, le style en moins : sans sanction effective et dissuasive les normes ressemblent à de vagues commandements, plus proches de la charte éthique (propre à rassurer un régulateur peu exigeant), que d’une véritable norme [15]. L’énoncé juridique, pour imposer ses vues et ses objectifs, a besoin que les transgressions de ses commandements soient effectivement sanctionnées [16]. Et souvent le droit pénal est alors appelé en renfort [17].
Régulation et répression. Le droit du numérique, comme droit régulé, ne participe pourtant pas de cette logique « pénale ». Pour le dire autrement, le droit du numérique est économiquement trop important pour que le politique abandonne la sanction des comportements illicites à la justice pénale. Le propos peut étonner ou choquer mais il peut se réclamer d’une constance historique certaine. On sait à quel point le droit pénal des affaires souffre d’une vraie concurrence : qu’il s’agisse de droit fiscal, de droit répressif administratif des marchés financiers (assuré en première instance par l’AMF), de droit de la concurrence, ou encore de données personnelles, la justice pénale joue ici une partition minimaliste voire inexistante. Dans l’orchestre de la régulation [18], le droit pénal a la place du triangle. Le droit de la cybersécurité n’échappe pas à cette logique de fond, structurelle qui tient la justice pénale à distance d’activités bien trop importantes pour l’économie. Les stigmates de la condamnation pénale vont ici s’effacer au nom d’un très officiel besoin de spécialisation [19]. Mais puisqu’être incitatif ne suffisait plus, la directive « NIS II » est montée elle-même en puissance. Aux sanctions très virtuelles que le droit français avait mises en place en 2018 dans le cadre de la transposition de « NIS I », devra succéder un vrai droit répressif tel que prévu aux articles 31 et s. du nouveau texte. Qu’est-ce à dire ? Le lecteur familier du RGPD [20] ne sera pas décontenancé par le système mis en place : les sanctions, et la procédure pour y parvenir, sont en effet calquées sur les mécanismes existant dans le champ du droit des données à caractère personnel (la sémantique en moins). Il est à parier que la France choisira, dans le cadre da la transposition, une procédure similaire à celle construite autour de la CNIL. L’ANSSI, en tant qu’autorité compétente, devrait ainsi connaître un vrai bouleversement de son organisation avec l’apparition en son sein d’une commission des sanctions. Ce droit à venir repose évidemment sur des obligations imposées à certaines entités (I.). Les manquements permettront une réponse juridique (en ce compris l’infliction de sanctions) (II.), qui devra composer avec ce qui a déjà été éventuellement accompli au niveau de la CNIL et de la justice pénale. Le droit à venir sera donc le fruit d’une vaste conciliation (III.)...
I. Les obligations
A. Les entités
Extension. La directive « NIS II » impose un « changement de paradigme » [21] en termes de cybersécurité puisque, si à date, la directive « NIS I » permettait d’encadrer environ 300 opérateurs de service essentiel, il est acquis que « NIS II » concernera des milliers de régulés une fois la directive transposée. Il s’agit de passer, d’une sécurité des systèmes d’information propre à des opérateurs critiques, à une véritable cybersécurité de masse, et ce afin de mailler un territoire de sûreté numérique. Cette (r)évolution substantielle du périmètre de la cybersécurité accompagne et reflète l’évolution de la menace cyber [22]. Cette extension du périmètre emporte tout d’abord un premier changement sémantique puisque les anciens « opérateurs » deviennent désormais des « entités ». Alors que la directive « NIS I » ne concernait que quelques opérateurs de services essentiels et certains fournisseurs de service numériques (prestataires de services en nuage, places de marché et moteurs de recherche), la directive « NIS II » vise beaucoup plus large. La directive couvre désormais 18 secteurs d’activité répartis dans deux annexes accompagnant le texte. Au surplus, la directive inclut à la fois des administrations publiques et la chaîne d’approvisionnement [23] car évidemment, les failles d’une entité peuvent se trouver en dehors de celle-ci. De la même manière que l’anti-corruption ou l’anti-blanchiment impose une salutaire « due diligence » à l’endroit des fournisseurs et intermédiaires, la cybersécurité, qui repose sur une vraie compliance, ne saurait s’arrêter pas aux portes de l’entité concernée.
Entités essentielles et importantes. L’architecture essentielle du texte repose sur le partage « entités essentielles / importantes ». La qualification dépend du secteur et de la nature de l’activité, mais également de la taille de l’entité. En fonction de la qualification, un régime de supervision et d'obligation plus ou moins rigoureux s’applique. L’objectif de la norme tombe sous le sens : définir « un équilibre entre le régime de cybersécurité et la charge administrative que le contrôle de conformité implique pour elles » (cons. 15). Plus précisément, les entités essentielles (EE) sont :
Il en résulte que, par défaut, les moyennes entreprises relevant de l'annexe I sont, sauf les exceptions précitées, des entités importantes. Comme l’observent Thibault Douville et Sarah Porcher « ce faisant, les fournisseurs de service numérique pourront dorénavant être qualifiés d'entités essentielles et être soumis à un contrôle plus important ». Les entités concernées devront être identifiées par les États membres au plus tard le 17 avril 2025.
B. Les impératifs
Compliance orientée cyber-résilience. L’article 21 de la Directive « NIS II » constitue le cœur de la conformité « cyber » en ce qu’il précise le contenu des mesures devant être adoptées. Il s’agit logiquement de mesures de cyber-résilience destinées à accomplir deux séries d’objectifs :
Le texte liste pêle-mêle :
Les termes employés restent vagues, incontestablement. La directive précise au demeurant que la Commission adoptera des actes d’exécution établissant les exigences techniques et méthodologiques liées aux principales mesures.
Le niveau de sécurité doit logiquement être adapté au risque existant, en tenant compte de l’état des connaissances et, s’il y a lieu, des normes européennes et internationales applicables, ainsi que du coût de mise en œuvre [25]. De manière intéressante, ces mesures doivent, on l’a dit, couvrir les chaînes d'approvisionnement et donc de fournisseurs qui n'entrent pas par nature dans le champ d'application de la directive. Comme l’observent très pertinemment Th. Douville et S. Porcher, « l'objectif est similaire à celui qui sous-tend le régime de la sous-traitance en droit des données à caractère personnel ». Les entités essentielles et importantes seront ainsi soumises à une véritable compliance : l’approche par les risques [26] est de mise, et la gouvernance en constitue la force motrice. En effet, en application de l’article 20, les organes de direction des entités essentielles et importantes doivent approuver les mesures de gestion des risques en matière de cybersécurité prises afin de se conformer à l’article 21. Elles doivent superviser sa mise en œuvre et sont tenues responsables en cas de manquement.
Obligations d’information. Assez logiquement, l’article 23 reprend l’obligation de notification des incidents de cybersécurité affectant une entité importante ou essentielle [27]. Cette notification déjà connue de « NIS I » [28] doit tout d’abord se faire à un CSIRT [29] ou à l’autorité compétente (ANSSI) et concerne tout incident ayant un impact important [30] sur la fourniture des services. Et le texte d’ajouter que, le cas échéant, les entités concernées notifient, sans retard injustifié, aux destinataires de leurs services les incidents importants susceptibles de nuire à la fourniture de ces services. Étrangement, le texte précise que « Le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité qui est à l’origine de la notification ».
Les différentes obligations pesant sur les entités importantes et essentielles exposent ces dernières à des sanctions en cas de manquements. L’ANSSI disposera en effet de mesures de supervision lui permettant d’effectuer ou de faire effectuer des audits et de requérir la fourniture de certains documents[31]. Si cette supervision permet de constater des violations, alors des mesures d’exécution deviennent possibles afin de corriger les mauvaises pratiques constatées ou de les sanctionner. En accompagnant ainsi les nouvelles contraintes, la Directive « NIS 2 » N° Lexbase : L3158MG3 permettra à la cybersécurité d’entrer dans l’ère du risque punitif.
II. Les sanctions
En application de l’article 36, il est acquis que les « États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la présente directive et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Les sanctions prévues sont effectives, proportionnées et dissuasives ». La directive ne précise ni la nature de ces sanctions ni toutes les articulations possibles. À la lecture de la norme européenne et de ses dispositions préliminaires, il est évident que ce sont avant tout, comme à l’accoutumée, des sanctions administratives qui doivent être mises en place.
A. L’éventail des sanctions administratives
Du contrôle à la sanction en passant par la correction. La directive innove à nouveau sur le plan sémantique puisque, en lieu et place des mesures correctrices, telles que contenues dans le « RGPD » N° Lexbase : L0189K8I, apparaissent dans « NIS 2 » N° Lexbase : L3158MG3 des « mesures d’exécution ». Les mesures de contrôle sont quant à elles nommées « mesures de supervision ». Les audits, contrôles, scans de sécurité et demandes de documents sont ainsi détaillés aux articles 32 et 33 pour, respectivement, les entités essentielles et importantes. Elles prévoient logiquement un contrôle plus rigoureux pour les premières que pour les secondes. Quant aux mesures d’exécution, elles sont par nature des mesures correctrices destinées à mettre une entité en conformité avec ses obligations, mais une dynamique répressive s’en évince. Outre la possibilité de prononcer une amende – qui implique on le verra une transformation du système juridique - le droit applicable aux entités essentielles atteste de la dynamique répressive de la réaction puisqu’il est possible de prononcer à leur endroit des interdictions (suspension temporaire de certification, ou d’activité autorisée) lorsque certaines mesures d’exécution n’ont pas été respectées. Il s’agit bien de sanctions à la progressivité avérée qui va imposer, dans le cadre de la transposition, de créer une procédure ad hoc respectueuse des droits de la défense. La directive, en ses dispositions préliminaires, ne peut que le concéder [32].
1) Mesures d’exécution
Les articles 32 et 33 décrivent, pour les entités essentielles et importantes, les mesures d’exécution de manière similaire. A minima, l’autorité compétente - l’ANSSI en France - doit pouvoir dans le cadre du contrôle :
a) émettre des avertissements ;
b) adopter des instructions contraignantes, ou une injonction exigeant de remédier aux insuffisances constatées ou aux violations de la présente directive;
c) ordonner de mettre un terme à un comportement qui viole la directive « NIS II » et de ne pas le réitérer ;
d) ordonner de garantir la conformité de leurs mesures de gestion des risques en matière de cybersécurité avec l’article 21 ou de respecter les obligations d’information énoncées à l’article 23, de manière spécifique et dans un délai déterminé ;
e) d’ordonner d’informer les personnes physiques ou morales à l’égard desquelles elles fournissent des services ou exercent des activités susceptibles d’être affectées par une cybermenace importante de la nature de la menace, ainsi que de toutes mesures préventives ou réparatrices que ces personnes physiques ou morales pourraient prendre en réponse à cette menace;
f) d’ordonner de mettre en œuvre les recommandations formulées à la suite d’un audit de sécurité dans un délai raisonnable ;
g) de désigner, pour une période déterminée, un responsable du contrôle ayant des tâches bien définies pour superviser le respect, par les entités concernées, des articles 21 et 23;
h) d’ordonner de rendre publics les aspects de violations de la présente directive de manière spécifique ;
i) d’imposer ou de demander aux organes compétents ou aux juridictions d’imposer, conformément au droit national, une amende administrative en vertu de l’article 34 en plus de l’une ou l’autre des mesures d’exécution précédentes.
Les termes employés ont évidemment leur importance et la répétition du verbe « ordonner » ne laisse pas de place au doute. La menace d’une sanction pécuniaire en atteste : il s’agit bien d’un droit répressif, à dynamique essentiellement pédagogique et correctrice certes, mais qui confère à l’ANSSI un pouvoir dépassant nettement ce qu’elle est actuellement autorisée à accomplir. La possibilité de prononcer une amende en atteste plus que de raison.
2) L’amende
L’article 34 de la directive « NIS II » N° Lexbase : L3158MG3 détermine les conditions générales pour imposer des amendes administratives [33] à des entités essentielles et importantes [34] à raison des manquements aux différentes obligations pesant sur elles. Elles se doivent évidemment d’être effectives, proportionnées et dissuasives, compte tenu des circonstances de chaque cas (§ 1). Elles peuvent, au surplus, être imposées en complément des autres mesures d’exécution (§ 2). Lorsqu’une entité essentielle manque à ses obligations de compliance cyber ou de notification, les États devront prévoir des amendes administratives d’un montant maximal s’élevant à au moins 10 000 000 EUR ou à au moins 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu (§ 4). Quant aux entités importantes, doivent être envisagées des amendes d’un montant maximal s’élevant à au moins 7 000 000 EUR ou à au moins 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient. Une fois de plus, le montant le plus élevé doit être retenu (§ 5). La directive ajoute la possibilité d’imposer des astreintes pour contraindre une entité essentielle ou importante à mettre un terme à une violation de la présente directive conformément à une décision préalable de l’autorité compétente.
B. Le prononcé des sanctions administratives
Selon l’article 32, § 7, applicable aux « EE » mais également aux « EI » par renvoi de l’art. 33§5, lorsqu’une autorité compétente prend toute mesure d’exécution visée au paragraphe 4 ou 5, elle doit respecter les droits de la défense. Cette exigence impose en réalité de mettre en place une procédure de sanction également respectueuse des règles applicables au procès équitable. Au-delà, et dans une perspective de conformité au principe d’individualisation des sanctions, le texte ajoute que les autorités de contrôle doivent tenir compte « des circonstances propres à chaque cas ». La directive impose de prendre en considération « au minimum »,
a) la gravité de la violation et de l’importance des dispositions enfreintes, les faits suivants, entre autres, devant être considérés en tout état de cause comme graves :
i) les violations répétées ;
ii) le fait de ne pas notifier des incidents importants ou de ne pas y remédier ;
iii) le fait de ne pas pallier les insuffisances à la suite d’instructions contraignantes des autorités compétentes ;
iv) le fait d’entraver des audits ou des activités de contrôle ordonnées par l’autorité compétente à la suite de la constatation d’une violation ;
v) la fourniture d’informations fausses ou manifestement inexactes relatives aux mesures de gestion des risques en matière de cybersécurité ou aux obligations d’information prévues aux articles 21 et 23 ;
b) la durée de la violation ;
c) toute violation antérieure pertinente commise par l’entité concernée ;
d) des dommages matériels, corporels ou moraux causés, y compris des pertes financières ou économiques, des effets sur d’autres services et du nombre d’utilisateurs touchés ;
e) le fait que l’auteur de la violation a agi délibérément ou par négligence ;
f) les mesures prises par l’entité pour prévenir ou atténuer les dommages matériels, corporels ou moraux ;
g) l’application de codes de conduite approuvés ou de mécanismes de certification approuvés ;
h) le degré de coopération avec les autorités compétentes des personnes physiques ou morales tenues pour responsables.
À la lecture des critères minimaux individualisation, on peut aisément affirmer que l’exigence formulée est rigoureuse. Le vade mecum, très proche de celui imposé par le RGPD [35], est infiniment plus précis que ce que le droit pénal impose, qui, rappelons-le, ne fait référence qu’à la gravité des fats reprochés et à la personnalité de l’auteur.
Obligation de motivation. Évidement, l’obligation d’individualisation n’aurait que peu de sens si l’autorité jugeant les faits n’avait pas à laisser trace de son respect. C’est la raison pour laquelle, en son § 8, l’article 32 formule une obligation de motivation : les « autorités compétentes exposent en détail les motifs de leurs mesures d’exécution ». Car la procédure est primordiale, il est précisé, au surplus, qu’avant « de prendre de telles mesures, les autorités compétentes informent les entités concernées de leurs conclusions préliminaires. Elles laissent en outre à ces entités un délai raisonnable pour communiquer leurs observations, sauf dans des cas exceptionnels dûment motivés où cela empêcherait une intervention immédiate pour prévenir un incident ou y répondre ».
La justice pénale aimerait sans doute se targuer d’un dispositif aussi complet au moment où un magistrat prononce les sanctions les plus lourdes que le droit connaisse. Et pourtant si certaines peines connaissent un régime assez rigoureux de motivation [36], le principe général d’individualisation en fonction de la gravité et de la personnalité [37] n’est pas aussi contraignant en droit pénal qu’en droit du numérique. On peut autant s’en étonner que s’en inquiéter. Est-il en effet normal qu’une amende pénale repose sur l’analyse des charges et ressources [38], et le binôme gravité/ personnalité, quand une amende administrative repose, a minima, sur 8 critères fort précis ?
III. Les conciliations
Prima facie, on peut observer que la France choisira sans doute à nouveau d’adopter un système alternatif quant à la qualification « entités importantes ou essentielles » d’une part, et « opérateurs d’importance vitale » [39] d’autre part. On sait en effet qu’à l’heure de transposer la directive « NIS I », le droit français avait préféré conserver le régime national des OIV en parallèle de celui des « OSE » tout en excluant leur cumul [40]. Au moment de mettre en musique « NIS II » N° Lexbase : L3158MG3, la France optera certainement pour une solution similaire. Surtout, des procédures répressives peuvent se retrouver en concours en cas de manquement à une obligation de cybersécurité car de nombreuses autorités, tant administratives que judiciaires, pourront être compétentes afin de constater des manquements. Il en va ainsi tant en termes de données à a caractère personnel (ci-après « DCP ») depuis le RGPD (A.), que dans le cadre du droit pénal stricto sensu (B.).
A. Avec le droit des DCP
Assez logiquement, la Directive « NIS II » N° Lexbase : L3158MG3 institue un principe de bonne intelligence au moment d’envisager les règles applicables à un cumul de sanctions. Ainsi aux termes de l’article 31, § 3, « lorsqu’elles traitent des incidents donnant lieu à des violations de données à caractère personnel, les autorités compétentes coopèrent étroitement avec les autorités de contrôle en vertu du règlement (UE) 2016/679, sans préjudice de la compétence et des missions des autorités de contrôle ». L’article 35§1 précise ainsi que lorsque l’ANSSI prendra connaissance, dans le cadre de la supervision ou de l’exécution, du fait que la violation commise par une entité essentielle ou importante à l’égard des obligations énoncées aux articles 21 et 23 peut donner lieu à une violation de données à caractère personnel (cf. RGPD, art. 4, 12°), devant être notifiée (cf. RGPD, art. 33), elle en informe sans retard injustifié la CNIL [41]. Il est à parier que ces cas seront tout sauf rares. On sait en effet que l’obligation de cybersécurité est une pierre de touche du droit des DCP. Ce principe est formulé à l’article 5, § 1, f et rappelé in concreto à l’article 32 du RGPD. Et les sanctions pour non-respect des articles 25 ou 32 et s. ne sont pas rares devant la CNIL [42]. À terme les entités sanctionnées pour ces faits seront, pour certaines d’entre elles, classées a minima « EI » de sorte que le manquement à une obligation de cybersécurité sera de nature à la soumettre au contrôle de l’ANSSI. C’est déjà le cas actuellement puisqu’un OSE exposé à une violation de sécurité concernant des DCP doit, sous certaines conditions, notifier la violation tant à la CNIL [43] qu’à l’ANNSI [44]. Une fois la directive « NIS II » transposée, un régime de sanction propre à la cybersécurité pourrait s’appliquer en parallèle de la procédure suivie devant la CNIL. Aussi la Directive prend-elle le soin de cadrer le cumul de sanctions à venir.
Impossible cumul d’amendes. En vertu de l’article 35, § 2 si la CNIL impose une amende administrative (cf. art. 58, § 2, i « RGPD »), l’ANSSI ne pourra pas imposer de sanction pécuniaire pour une violation découlant du même comportement. Les autorités compétentes peuvent toutefois imposer les mesures d’exécution prévues à l’article 32, paragraphe 4, points a) à h), à l’article 32, paragraphe 5, et à l’article 33, paragraphe 4, points a) à g), de la directive « NIS II ».
Ce faisant, la directive « NIS II » N° Lexbase : L3158MG3 n’ a pas mis sur le même pied l’amende et les autres mesures d’exécution. La règle ne bis in idem, proscrivant de sanctionner deux fois un comportement similaire, ne joue ici qu’à l’endroit de la sanction patrimoniale. La Directive n’est malheureusement pas aussi précise au moment d’aborder le cumul de sanctions administratives et pénales.
B. Avec le droit pénal
1) Ne bis in idem et CJUE
Largesses. Les normes européennes n’ont jamais été particulièrement exigeantes au moment d’envisager les cumuls de poursuites administratives et pénales [45]. Une certaine gêne peut ici transparaître tant il est difficile d’imposer à un État membre la marche à suivre en droit pénal. Hautement régalienne, la justice pénale est en effet suffisamment sensible pour que les institutions européennes n’y touchent qu’avec précaution et parcimonie. On ne s’étonnera donc pas que seuls les considérants de la Directive « NIS II » N° Lexbase : L3158MG3 abordent la difficulté et ce, au moyen de mécanismes éculés et peu contraignants. Qu’on en juge : le considérant n° 113 indique ainsi que « lorsque les États membres exercent leur compétence, ils ne devraient pas imposer de mesures d’exécution ou de sanctions plus d’une fois pour un même comportement, conformément au principe non bis in idem ». Sur des œufs, le Parlement et le Conseil précisent que « les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violations des dispositions nationales transposant la présente directive. Toutefois, l’imposition de sanctions pénales en cas de violation de ces dispositions nationales et l’imposition de sanctions administratives connexes ne devraient pas entraîner la violation du principe non bis in idem tel qu’il a été interprété par la Cour de justice de l’Union européenne » (cons. n° 131). Le texte ajoute que « lorsque la présente directive n’harmonise pas les sanctions administratives ou, si nécessaire dans d’autres circonstances, par exemple en cas de violation grave de la présente directive, les États membres devraient mettre en œuvre un système qui prévoit des sanctions effectives, proportionnées et dissuasives. La nature de ces sanctions et le fait qu’elles soient pénales ou administratives devraient être déterminés par le droit national » (cons. n° 132).
Les institutions rappellent ainsi quelques principes essentiels :
À cet égard, il convient de préciser que dans ses derniers développements la juridiction de Luxembourg a accepté, dans le champ fiscal, sous condition de prévisibilité, que des cumuls de poursuites aient lieu [46]. Mais en cas de cumul de sanctions, elle impose que toutes les mesures prononcées soient analysées à l’aune du principe de proportionnalité de sorte que même les peines d’emprisonnement doivent être appréhendées globalement [47]. La Cour de cassation en a dégagé une exigence de motivation in concreto reposant sur les juges du fond et contrôlée par la Cour elle-même [48].
2) Droit pénal positif ?
Réalisme. Reste alors à savoir ce que le législateur décidera de faire en termes de droit pénal de la cybersécurité. Les précédents n’éclairent sans doute que les phénomènes passés comme l’expérience n’est une lumière que pour celui qui la porte. Certes. Mais deux constats peuvent ici être dressés :
Ces deux constats conduisent à imaginer une transposition de la directive « NIS II » N° Lexbase : L3158MG3 faisant la part belle à l’ANSSI avec, peut-être, quelques manquements graves pénalement sanctionnés. Cela ne devrait pas ouvrir la boite de Pandore de la justice pénale. La régulation a de tout temps eu le même effet sur la justice pénale : ce contentieux échappe, nonobstant l’existence de lois pénales, à la justice pénale au bénéfice d’une « justice » feutrée, entre pairs sans emprisonnement à la clef, les manquements fussent-ils qualifiés de graves.
Cet instantané de la réglementation européenne (et de sa transposition à venir) interroge quant au rôle que la justice pénale est censée jouer dans un État de droit. Le partage des contentieux, les répartitions officieuses à côté des séparations normatives, doivent être continuellement interrogés. La cybersécurité est suffisamment importante pour que le droit soit pensé en termes d’efficience. Le droit pénal doit quant à lui être interrogé à l’aune de pratiques qui l’excluent de facto quand bien même la loi n’en soufflerait mot. On retrouve là la thématique chère à Michel Foucault depuis Surveiller et punir [52] à travers sa théorie des illégalismes. On peine à sortir de la question foucaldienne lorsqu’on se penche sur les droits répressifs qui accompagnent la régulation à la française, surtout depuis qu’elle est modelée par le droit de l’Union : « Les questions qu'il faut poser au pouvoir ne sont pas : est-ce que oui ou non vous allez cesser de faire fonctionner de vilaines prisons, qui nous font tant de mal à l'âme ? — quand nous ne sommes pas prisonniers et qu'elles ne nous font pas mal au corps. Il faut dire au pouvoir : arrêtez vos bavardages sur la loi, arrêtez vos soi-disant efforts pour faire respecter la loi, dites-nous plutôt un peu ce que vous faites avec les illégalismes ? Le vrai problème est : quelles sont les différences que vous, les gens au pouvoir, vous établissez entre les différents illégalismes ? Comment vous traitez les vôtres et comment vous traitez ceux des autres ? À quoi vous faites servir les différents illégalismes que vous gérez ? Quels profits vous tirez de ceux-ci et de ceux-là ? Ce sont ces questions-là, ces questions sur l'économie générale des illégalismes, qu'il faut poser au pouvoir, mais comme, bien sûr, il ne faut pas espérer qu'il réponde, ce sont ces questions-là qu'il faut essayer d'analyser. Et toute mise en question de la loi pénale, toute mise en question de la pénalité qui ne tiendra pas compte de ce gigantesque contexte économico-politique qu'est le fonctionnement des illégalismes dans une société, sera nécessairement une manière abstraite de poser la question » [53].
La cybersécurité n’échappe pas à cette problématisation quand bien même la spécialisation [54] de ses « juges » relève tout à la fois de l’évidence et de l’exigence.
[1] Entendue comme la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles (v. art. 4, § 2 Directive (UE) 2016/1148, du 6 juillet 2016, du Parlement européen et du Conseil, 06-07-2016, concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, « NIS I » N° Lexbase : L3613K9P et Directive n° 2022/2555, du 14 décembre 2022, du Parlement européen et du Conseil du 14-12-2022, concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148, « NIS II », art. 6, §2 N° Lexbase : L3158MG3).
[2] Règlement (CE) n° 460/2004, du 10 mars 2004, instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information N° Lexbase : L0750I38.
[3] Directive (UE) 2016/1148, du 6 juillet 2016, concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union N° Lexbase : L3613K9P.
[4] Règlement (UE) 2019/881, du 17 avril 2019, relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013, « Cybersecurity Act » N° Lexbase : L4354LQC.
[5] Directive n° 2022/2555, du 14 décembre 2022, « NIS II » N° Lexbase : L3158MG3.
[6] Règlement n° 2022/2554, du 14 décembre 2022, sur la résilience opérationnelle numérique du secteur financier N° Lexbase : L2960MGQ. La perspective d’un droit commun de la cybersécurité fond comme neige au soleil : v. Th. Douville, L'émergence d'un droit commun de la cybersécurité, D., 16 novembre 2017, n° 39, p. 2255.
[7] Directive (UE) 2022/2557, du 14 décembre 2022, sur la résilience des entités critiques, et abrogeant la Directive 2008/114/CE du Conseil N° Lexbase : L3160MG7.
[8] « (L)es incidents peuvent nuire à la poursuite des activités économiques sur le marché intérieur, entraîner des pertes financières, entamer la confiance des utilisateurs et causer un préjudice majeur à l’économie et la société de l’Union. La préparation à la cybersécurité et l’effectivité de la cybersécurité sont dès lors plus essentielles que jamais pour le bon fonctionnement du marché intérieur. En outre, la cybersécurité est un facteur essentiel permettant à de nombreux secteurs critiques d’embrasser la transformation numérique et de saisir pleinement les avantages économiques, sociaux et durables de la numérisation » (cons. n° 3).
[9] TUE, art. 5, § 3.
[10] V. Th. Douville, L’émergence des cyber-risques, Archives de philosophie du droit, 2020, n° 62 - p. 289.
[11] On le sait, la cybersécurité emporte avec elle de vraies questions de souveraineté, en ce sens que la cyberdéfense n’est jamais très loin.
[12] « Les réseaux et systèmes d’information sont devenus une caractéristique essentielle de la vie quotidienne en raison de la transformation numérique rapide et de l’interconnexion de la société, y compris dans le cadre des échanges transfrontières. Cette évolution a conduit à une expansion du paysage des cybermenaces et à l’émergence de nouveaux défis, qui nécessitent des réponses adaptées, coordonnées et novatrices dans tous les États membres. Le nombre, l’ampleur, la sophistication, la fréquence et l’impact des incidents ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d’information » (idem).
[13] L’article 21 de la directive « NIS I » laissait à chaque État le soin de définir les sanctions effectives, proportionnées et dissuasives, encourues en cs de manquement à la loi de transposition. La France avait opté pour des amendes pénales assez faibles à l'article 9 de la loi de transposition n° 2018-133 du 26 février 2018 N° Lexbase : L3772LIK. Sur cette transposition v. Th. Douville, Cybersécurité : transposition de la directive NIS, ses limites et ses conséquences, JCP E, 12 avril 2018, n° 15-16, p. 9.
[14] Sur cette notion v.entre autres Ph. Jestaz, La sanction ou l'inconnue du droit, D., Chron. XXXII, 1986, p. 197. V. également C. Sintez, À l’origine de la sanction, la norme ou son interprétation ?, Archives de Philosophie du Droit, n° 54, 2011, p. 389.
[15] Même si l’air du temps incite à voir du droit partout, concédons ici avec une âme assumée de pénaliste, que le droit spontané ou transactionnel, choisi, littéralement autonome, confine le plus souvent à de jolies déclarations d’intention qui n’engagent, selon le bon mot, que ceux qui y croient.
[16] Évidemment, un biais disciplinaire conduit à voir dans la norme pénale la technique inéluctable faisant entrer de plain pied la règle dans le giron de la norme réelle et effective. Le réflexe est connu mais, admettons-le, cela revient, dès lors qu’on détient un simple marteau, à voir en chaque problème un clou.
[17] Pour une déconstruction v. F. Ost François ; M. Van de Kerchove, « VI. Les lois pénales sont-elles faites pour être appliquées ? Réflexions sur les phénomènes de dissociation entre la validité formelle et l'effectivité des normes juridiques », In : Jalons pour une théorie critique du droit, Bruxelles : Presses de l’Université Saint-Louis, 1987.
[18] V. M.-A. Frison-Roche, Le droit de la régulation, D., 2001, chron., p. 610.
[19] Il faut ici bien comprendre les équilibres en mouvement : il existe bien d’un côté une justice pénale dédiée à certaines formes de déviance méritant politiquement un éventuel emprisonnement, et d’un autre côté des activités nobles, car concourant au succès économique du PIB, et qui méritent une certaine tolérance. On sait en effet que la pensée néo-libérale valorise la prise de risque au nom du succès, la transgression de la norme pouvant être assimilée à un tel risque. Si bien que le succès peut absoudre une partie des manquements. Comme l’a si bien exprimé le président Macron en visite à l’Université Georgetown : « Don't believe those who say "That's the rules of the games. Don't question the rules of the game. It's always been like that. You have to follow these rules ..." That’s bullshit ! » (avril 2018).
[20] Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE N° Lexbase : L0189K8I.
[21] Y. Verhoeven, Directive NIS 2 : Ce qui va changer pour les entreprises et l’administration françaises, 17 janvier 2023 [en ligne].
[23] V. art. 21, § 2, d.
[24] Directive, du 14 décembre 2022, sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil N° Lexbase : L3160MG7.
[25] L’article 21, § 1 précise que « lors de l’évaluation de la proportionnalité de ces mesures, il convient de tenir dûment compte du degré d’exposition de l’entité aux risques, de la taille de l’entité et de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences sociétales et économiques ».
[26] Et plus précisément sur une approche « tous risques » (v. art. 21, § 2).
[27] Pour la procédure à suivre et les délais à respecter, v. art. 23 §4.
[28] Directive « NIS I », art. 14, § 3 N° Lexbase : L3613K9P. Dans le cadre de la transposition, v. Loi n° 2018-133, du 26 février 2018, art. 7.
[29] Les Computer Security Incident Response Team sont des centres de réponse aux incidents cyber. V. « NIS II », art. 1 , § 2, a et 10 N° Lexbase : L3158MG3.
[30] Selon l’art. 23, § 3 « Un incident est considéré comme important s’il :
a) a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;
b) a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables ».
La définition de l’évènement générateur de l’obligation de notification a très sensiblement évolué pour se simplifier depuis « NIS I » (rapp. Directive « NIS I », art. 14, § 4 N° Lexbase : L3613K9P).
[31] V. art. 32, §2 pour les entités essentielles, art. 33, § 2 pour les entités importantes.
[32] « Les mesures d’exécution, y compris les amendes administratives, devraient être proportionnées et leur imposition soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l’Union et à la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte»), y compris le droit à un recours effectif et à accéder à un tribunal impartial, la présomption d’innocence et les droits de la défense » (§ 127).
[33] En vertu de l’art. 34, § 8, si le système juridique d’un État membre ne prévoit pas d’amendes administratives, alors l’amende doit être déterminée par l’autorité compétente et imposée par les juridictions nationales compétentes, tout en veillant à ce que ces voies de droit soient effectives et aient un effet équivalent aux amendes administratives imposées par les autorités compétentes. En tout état de cause, les amendes imposées sont effectives, proportionnées et dissuasives.
[34] Chaque État membre peut établir les règles permettant d’imposer des amendes administratives à des entités de l’administration publique. (§ 7)
[35] V. Règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, art. 83, § 2 N° Lexbase : L0189K8I.
[36] Pour la double motivation spécifique en matière d’emprisonnement prévue à l’art. 132-19 C. pén. N° Lexbase : L7614LPP, v. M. Giacopelli, Retour sur le contrôle de la peine d'emprisonnement ferme à la suite de la loi n° 2016-731 du 3 juin 2016, Lexbase Droit privé, janvier 2017, n° 683 N° Lexbase : N6110BW9 note sous Cass. crim., 29 novembre 2016, trois arrêts, n° 15-86.116 N° Lexbase : A4623SLS, n° 15-86.712 N° Lexbase : A4624SLT et n° 15-83.108 N° Lexbase : A4622SLR ».
Pour la confiscation v. Cass. crim., 12 juin 2019, n° 18-83.396 N° Lexbase : A0794ZE7.
[37] V. C. pén., art. 132-1 al. 3 N° Lexbase : L9834I3M.
[38] V. C. pén., art. 132-20 al. 2 N° Lexbase : L5004K8T.
[39] V. C. défense, art. L1332-6-1 à L1332-6-6 N° Lexbase : L9663KCU et R. 1332-41-1 et s. N° Lexbase : L2574I8T.
[40] V. Loi n° 2018-133 du 26 février 2018, art. 5, al. 2 N° Lexbase : L3772LIK.
[41] Au surplus, selon l’article 35, § 3, lorsque l’autorité de contrôle compétente en termes de DCP est établie dans un autre État membre que l’autorité compétente, l’ANSSI devra informer la CNIL de la violation potentielle de données à caractère personnel.
[42] V. entre autres Délibération CNIL, 18 novembre 2020 "Carrefour France" (SAN-2020-008) N° Lexbase : X1227CKN.
[43] RGPD, art. 33 N° Lexbase : L0189K8I.
[44] Loi n° 2018-133, du 26 février 2018, portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, art. 7 N° Lexbase : L3772LIK.
[45] V. par ex. la Directive 2014/57/UE du Parlement européen et du Conseil, du 16 avril 2014, relative aux sanctions pénales applicables aux abus de marché, cons. n° 23 N° Lexbase : L5914I3G.
[47] CJUE, 5 mai 2022, aff. C-570/20, BV, §5 0 N° Lexbase : A11807WM. V. N. Catelan et L. Saenko, Ne bis in idem, fraude fiscale et cumul des actions et sanctions : épilogue ?, GPL, 20 septembre 2022, n° GPL440b9.
[48] Cass. crim., 22 mars 2023, n° 19-81.929 N° Lexbase : A31923YU et n°19-80.689 N° Lexbase : A06949KW. V. L. Saenko, D. 2023 p. 1162 ; S. Detraz, JCP, 2023, n° 19, p. 923 ; V. Pelletier, Dr. pén., mai 2023, n° 5, Comm. 97.
[49] V. Loi n° 2018-133 du 26 février 2018, art. 9 et 15 N° Lexbase : L3772LIK.
[50] V. Ordonnance n° 2018-1125 du 12 décembre 2018, art. 13 N° Lexbase : L3271LNH : N. Martial-Braz, JCP G, 4 janvier 2019, n° 1, p. 10.
[51] Décret n° 2022-517, du 8 avril 2022, modifiant le décret n° 2019-536 du 29 mai 2019 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés N° Lexbase : L3360MCG. V. E. Netter, L'instauration d'une procédure simplifiée de sanction au profit de la CNIL, Chron. Numérique et vie des affaires, RTD Com, 2022-2, p. 308 ; CNIL, Procédure de sanction simplifiée : la CNIL présente son premier bilan 2022, 31 janvier 2023 [en ligne].
[52] M. Foucault, Surveiller et Punir, Gallimard, 1975, p. 90-91.
[53] M. Foucault, in Alternatives à la prison : diffusion ou décroissance du contrôle social : une entrevue avec Michel Foucault, par J.-P. Brodeur, Criminologie, vol. 26, n° 1, 1993, p. 33.
[54] Sur cette question v. Les nouvelles figures du juge pénal, Dr. pén., n° 5, Mai 2023, dossier. Spé. N. Catelan, Juge pénal - La spécialisation nouvelle des domaines, Dossier n° 8.
© Reproduction interdite, sauf autorisation écrite préalable
newsid:486746