Actualité juridique

Comment assurer une Cybersécurité crédible en Europe ?

Le 19/06/2013 par La Rédaction de Net-iris, dans Public / Droit Européen.

Vos réactions...


On ne peut sacrifier les impératifs de respect de la vie privée et de confiance sur l'autel de la Cybersécurité.

Le 7 février 2013, la Commission et la haute représentante de l'Union pour les affaires étrangères et la politique de sécurité ont adopté une communication conjointe pour le Parlement européen, le Conseil, le Comité économique et social européen et le Comité des régions sur la "Stratégie de cybersécurité de l'Union européenne : un cyberespace ouvert, sûr et sécurisé".

Le même jour, la Commission a adopté une proposition de directive du Parlement européen et du Conseil relative à des mesures pour assurer un niveau commun élevé de sécurité des réseaux et de l'information à travers l'Union. Cette proposition a été envoyée au Contrôleur européen de la protection des données (CEPD) pour consultation le 7 février 2013.

Le CEDP est une autorité de contrôle indépendante dont l'objectif est de protéger les données à caractère personnel et la vie privée et de promouvoir les bonnes pratiques dans les institutions et organes de l'Union Européenne. Dans l'UE, le respect de la vie privée et la protection des données sont des droits fondamentaux. Le garant des libertés et des droits tires notamment ses prérogatives du règlement sur la protection des données (CE) n° 45/2001.
L'une des fonctions du CEPD est de conseiller la Commission européenne, le Parlement européen et le Conseil sur les propositions de nouvelle législation et sur toute question impactant la protection des données.

C'est dans le cadre de ces missions que par son avis rendu sur la stratégie de l'UE en matière de Cybersécurité, le Contrôleur européen de la protection des données (CEDP), a affirmé qu'il ne pouvait être mis en place une surveillance illimitée ni une analyse des données personnelles sans bornes se dispensant d'une stratégie claire en terme d'application pratique.
Dans le cadre d'une politique en matière de sécurité des réseaux et de l'information, la stratégie développée par la Commission accorde une vraie importance à l'exigence de la protection des données, néanmoins elle néglige de préciser l'application pratique de ce principe en vue d'assurer une sécurité des personnes, de l'industrie, des gouvernements et d'autres organisations.

Le contrôleur européen Peter Hustinx, a donc déclaré "la sécurité passe par la protection de la vie privée ; je suis donc ravi que la stratégie de l'UE reconnaisse qu'il n'y a pas d'opposition entre respect de la vie privée et cybersécurité, et que les principes de protection des données personnelles servent plutôt que ne desservent. Toutefois ces ambitions légitimes ne se reflètent pas dans son implémentation pratique. Nous reconnaissons volontiers que les questions de cybersécurité doivent être abordées au niveau international au travers de normes internationales et la coopération, mais si l'UE veut coopérer sur la cybersécurité avec d'autres pays, dont les Etats-Unis, cela doit forcément passer par une confiance mutuelle et le respect des droits fondamentaux, prémisses qui paraissent actuellement compromis ".

La stratégie de l'UE est de rendre l'utilisation de l'internet ou de tout système d'information connecté plus sure en permettant aux organisations des pays membres de l'UE de prévenir et réagir aux Cyberattaques. Selon le contrôleur si la commission ne tient pas suffisamment compte du rôle du cadre légal de protection des données il en résultera un manque d'efficience de la stratégie. Il rappelle en outre les exigences encadrant le traitement de ces données tenant aux principes suivants : proportionnalité, nécessité et légitimité.
Les autorités nationales représentent un relai approprié dans la mise en oeuvre de la Cybersécurité et doivent être informées de toute violation (informations personnelles perdues, volées, interceptées ou divulguées) ou nouvelle opération impliquant un traitement de données personnelles.

Ainsi, une collaboration avec Europol, ENISA doit être mise en oeuvre dans le cadre du traitement de toute information concernant une personne physique identifiée ou identifiable collectée qu'à des fins déterminées, explicites et légitimes.

© 2013 Net-iris

Commentaires et réactions :