Nous avons été invités à intervenir sur les enjeux du renforcement de la sécurité.
Il appelle plusieurs remarques préalables en ce qui concerne la situation française.
Toutes les initiatives gouvernementales prises jusqu'à très récemment en matière de NTIC partaient du constat simple que les nouvelles technologies apporteraient un plus décisif à notre pays si elles s'appuyaient sur une diffusion de masse et l'action publique se limitait presque exclusivement à cette problématique.
Reconnaissons le. Le volet sécurité a été longtemps marginal dans l'action législative de notre pays.
Certes, les projets successifs de la loi n° 2000-719 du 1er août 2000 et la loi n° 2000-230 du 13 mars 2000 ont mis, respectivement, en place un régime de responsabilité pour les hébergeurs et une première libéralisation de la cryptologie, avec l'adaptation du droit de la preuve aux technologies de l'information relative à la signature électronique.
Mais nous attendions toujours un projet de loi d'ensemble sur la société de l’information qui devait parachever cet effort en vue de construire un cadre à la fois stimulant et régulateur pour les activités de l’Internet. Ce projet a été mis au point à la suite d’un long travail interministériel, présenté en Conseil des ministres, et même déposé sur le bureau de l’Assemblée nationale le 14 juin 2001. Il constituait un premier effort intéressant pour synthétiser, au travers d’un texte fondateur, l’ensemble des aménagements du droit que suppose un développement équilibré des nouvelles technologies. Il comportait notamment déjà une partie relative au commerce électronique, dans une courageuse tentative pour défricher le terrain difficile de la transposition de la directive 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur. Malheureusement, ce projet n’est jamais venu en discussion, et est donc resté dans l’état d’une ébauche attendant qu’un bâtisseur réutilise ses matériaux pour une construction nouvelle.
La situation change avec l'arrivée à Matignon de Jean-Pierre Raffarin, qui présente le 12 novembre 2002, son plan RE/SO 2007 pour une « République numérique dans la société de l’information ». Ce plan sur cinq ans comporte trois volets chacun s’appuyant sur le vote d’une loi :
• Le premier d’entre eux concerne le commerce électronique, qui constitue le cœur du projet de loi relatif à la confiance dans l'économie numérique appelé aussi LEN et sera adopté définitivement d'ici la fin de l'année;
• Le deuxième sera axé sur la diffusion et de l'appropriation des nouvelles technologies, en vue de réduire la « fracture numérique » ;
• Le troisième visera à redéfinir les conditions de la concurrence dans les technologies des télécommunications, à l’occasion de la transposition des directives sur la "communication électronique" prévu en première lecture d'ici la fin de l'année.
Le plan RESO 2007 fixe des objectifs ambitieux pour la République « numérique » à l’horizon 2007 :
– amener tous les Français qui le souhaitent à être capables d'utiliser les services de base de l'Internet et de l'administration électronique;
– atteindre un niveau d’équipement à hauteur d'un ordinateur pour 3 élèves dans les collèges et lycées, d'un ordinateur pour deux étudiants à l'université, et d'un ordinateur dans chaque famille ayant un enfant scolarisé;
– faire en sorte que toutes les entreprises françaises soient connectées à Internet, et que le nombre de celles qui pratiquent le commerce électronique ait triplé ;
– accélérer la diffusion de l’Internet à haut débit pour que le nombre d’abonnés dépasse dix millions.
Le projet de loi dont j'ai été nommé le rapporteur vise donc à promouvoir le commerce électronique, et s’attache pour cela à créer les conditions de la « confiance dans l’économie numérique », comme son titre l’indique. Au passage, il effectue la transposition de la directive 2000/31/CE du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur. Il y avait là matière à une certaine urgence, puisque la date limite de transposition de cette directive était fixée au 17 janvier 2002.
Lors des travaux parlementaires du printemps dernier, nous avons beaucoup travaillé sur la sécurité. Ceci en particulier lors des débats sur l'article 12 relatifs au SPAM. Nous le savons tous, le courrier électronique est le vecteur le plus important des virus informatiques et il fallait trouver un moyen de limiter la prolifération massive des courriers électroniques indésirables, à la fois pour des objectifs de sécurité et pour éviter de faire perdre du temps inutilement aux internautes français.
Nous avons confirmé le choix européen pour l'opt-in qui, nous en avons acquis la certitude, est plus protecteur pour l'utilisateur final. A notre avis en effet, l'opt-out- que nous avons maintenu pour les relations business to business - qui demande à l'internaute de se désabonner d'une liste de diffusion est une démarche plus fastidieuse que la démarche contraire consistant à obliger l'émetteur de courriels à requérir l'accord préalable du destinataire. Nous avons veillé à rendre opérationnel le mécanisme judiciaire de dépôt de plainte et de sanction pour le spammeur en confiant à la CNIL (Commission Nationale d'informatique et Libertés) un rôle majeur d'intermédiaire en l'internaute spammé et l'institution judiciaire.
La loi sur l'économie numérique a également redéfini la responsabilité des hébergeurs. L'article 2 en effet, introduit une obligation de surveillance du contenu. Il a été donc proposé en première lecture d’alourdir la contrainte pesant sur les hébergeurs pour ce qui concerne le risque de diffusion d’un noyau de données particulièrement sensibles, mais de l’alléger pour ce qui concerne les litiges courants.
Enfin, tout un titre, le Titre II, de la LEN traite des questions relatives à la sécurité dans l'économie numérique au sens propre du terme. La cryptologie, car c'est de cela qu'il est question, a complètement changé de nature en espace de ces dernières années.
La réglementation de la cryptologie a, en effet, longtemps été commandée exclusivement par les nécessités de la défense nationale et de la sécurité de l'Etat qui conduisaient à limiter drastiquement l'accès des particuliers aux moyens de cryptologie. L'évolution technique a toutefois multiplié les usages civils de la cryptologie, dont l'utilité dans la lutte contre les agressions informatiques s'est révélée croissante. Il est donc apparu nécessaire de faire évoluer la réglementation, évolution dans laquelle la LEN, en libéralisant totalement l’utilisation des moyens de cryptologie, marque une étape importante.
Toutes les dispositions que j'ai mentionnées participent au renforcement de la sécurité de l'utilisateur donc au renforcement de la sécurité numérique
De façon plus générale, la question de la sécurité numérique devient centrale pour nos sociétés. Et nous ne pouvons pas dire comme c'était le cas jusqu'à présent "dans nos société occidentales ou industrialisées". Car désormais, comme l'information et la communication sont des réalités planétaires, elles touchent aussi bien les pays industrialisés que les pays en développement. L'insécurité informatique est devenue un des principaux freins au développement des NTIC.
Comment persuader un utilisateur débutant sur l'internet que les connexions sont sûres s'il est victime d'un ver comme Blaster ? Comment lui expliquer que les connexions sont sécurisées et qu'il ne risque rien en effectuant le paiement en ligne s'il entend parler des piratages informatiques parmi les plus audacieux comme l'intrusion dans les systèmes informatiques des agences nationales d'une puissance mondiale ? Comment enfin, lui dire qu'il peut faire confiance dans la technologie qu'on lui propose s'il entend parler d'une défaillance de système énergétique de cette même puissance ?
Les acteurs majeurs de ce secteur industriel en sont d'ailleurs parfaitement conscients. J'ai récemment écouté à Rome Bill Gates nous présenter les objectifs de Microsoft pour les années à venir. Il a présenté l'amélioration de la sécurité comme une des priorités majeures des années à venir.
Compte tenu de la mobilisation de l'industrie du logiciel, une partie des questions relatives à la sécurité sera probablement dépassée dans quelques années.
Deux axes de développement permettront cette amélioration durable :
• C'est d'abord la mise à jour systématique de certaines couches de logiciels, notamment de la famille Windows, datant des années 80, particulièrement perméables aux attaques virales.
• C'est ensuite le développement des solutions pare-feu d'un bon niveau professionnel accessible en prix et en ergonomie à chaque internaute.
Mais la mobilisation des acteurs industriels ne suffira pas. Elle doit être impérativement complétée par une action vigoureuse au niveau institutionnel.
Je voudrais mettre en exergue trois éléments, essentiels à mon sens, dans cette discussion :
1. le rôle des pouvoirs publics,
2. la nécessité d'une coordination entre les différents acteurs économiques et administratifs à l'échelle internationale,
3. les limites de l'intervention publique dans ce domaine.
Tout d'abord le rôle des pouvoirs publics.
Il est complexe car il faut à la fois accompagner le développement des nouvelles technologies, adapter les textes en fonctions de l'évolution en cours et des évolutions probables dans ce domaine.
Inutile de vous rappeler que cela représente une nouveauté pour l'ensemble des acteurs de la vie publique.
Cette démarche demande non seulement une réactivité accrue mais aussi une imagination technologique. Ceci introduit la nécessité d'une collaboration très étroite entre les acteurs industriels, les pôles recherche&développement et les pouvoirs publics. Dans le cas contraire on risque de créer des cadres juridiques obsolètes. Outre la nécessité d'adaptation à un mode de travail nouveau nous devons aussi nous poser la question des limites de la légitimité de chaque intervenant dans ce domaine. Cette interrogation était toujours présente dans mon esprit quand je travaillais sur la Loi sur l'économie numérique. Mais en fin de compte, malgré les faiblesses liées à une législation strictement nationale dans ce domaine j'ai été toujours en "ligne" avec mes convictions qui consistent à dire qu'il faut faire de l'internet un espace de droit. Ce fut même la raison principale de mon engagement dans ce travail.
Et même si les débuts sont toujours difficiles, nous devons essayer de commencer ce travail pour pouvoir arriver à des résultats tangibles à plus ou moins long terme. C'est certain qu'un opérateur peu scrupuleux peut toujours "délocaliser" son activité à l'étranger pour échapper à la législation en vigueur dans tel ou tel état. Mais je suis certain qu'à long terme l'utilisateur final saura faire le tri entre ceux qui cherchent à contourner la loi et ceux qui s'y soumettent.
Il faut ensuite voir comment ce travail fait au niveau national ou régional peut porter ses fruits à une échelle plus importante. Comment faire en sorte que les dispositifs légaux soient proches ou similaires ? Au niveau européen nous avons une longueur d'avance dans ce domaine, notamment grâce aux directives que nous sommes en train de transposer dans la législation française. Nous sommes toutefois conscients que ce n'est que le début d'un travail qui devrait être coordonné à une échelle internationale voir globale.
Il reste enfin de voir quelles sont les limites de l'action publique dans ce domaine. Jusqu'où nous pouvons aller dans la législation ? Est-ce que les pouvoirs publics ne doivent pas se limiter juste à fixer un cadre légal global en laissant ensuite le marché se réguler lui-même ? Nous pouvons trouver des arguments pour ou contre selon que l'on se réclame d'une sensibilité plus ou moins libérale. Une chose est certaine : les NTIC ont modifié notre système de penser car désormais, dans pratiquement toutes les dispositions législatives on voit apparaître un chapitre ou un passage les concernant.
Plus fondamentalement, la technologie d'aujourd'hui permet en effet le développement des nouvelles applications que ce soit dans le domaine des technologies fixes ou mobiles En même temps comment inciter les utilisateurs des nouvelles technologies à continuer d'en profiter si l'espace de liberté symbolisé par internet rétrécit comme une peau de chagrin, sous la pression des contraintes sécuritaires.
La vraie responsabilité du législateur se trouve ici, dans l'équilibre à construire en permanence entre les libertés individuelles des internautes et la sécurisation de cet espace d'échange et d'affaires qu'est Internet.
Je vous remercie.
Actualités
Toute l'actualité de Jean Dionis
26/09/03 - Intervention de Jean Dionis au Forum de la Démocratie Electronique à Issy les Moulineaux.
Réagir à cet article