Le cyberespace est-il une zone de non droit ?
Depuis la création de son ancêtre « Arpanet » en 1969, l’internet est devenu un enjeu important dans nos sociétés. Que ce soit dans les domaines politiques, culturels ou encore économiques, ce réseau a obligé les acteurs de la scène internationale à redéfinir leurs actions dans un champ encore inconnu il y a quelques années : le cyberespace.
Il est décrit comme un espace d’échanges créé par l’interconnexion mondiale des ordinateurs dans lequel se partagent des informations et où il est possible de communiquer. Cet espace est inédit dans le sens où il est le théâtre qui mélange des acteurs privés et étatiques voulant rester anonymes dans leurs actions ou non. En effet le cyber espace est un phénomène mondial et en apparence sans frontières bien définies. « En apparence » car ce réseau repose tout de même sur des infrastructures techniques physiques qui se trouvent sur un territoire bien définit. Créé pour être un espace ouvert, mondialisé et libre, il se fragmente peu à peu au profit de contrôle plus fréquent des Etats qui veulent imposer leur souveraineté dans le cyber. Si tout le monde est donc propriétaire d’une fine fraction de cet univers, peu de gens le contrôlent entièrement. De plus l’un des grands enjeux de cette notion sont les différentes applications associées aux données et aux outils du type « Big Data ». Sa production, son transport, son stockage ou encore son traitement. La question de la préservation des données personnelles est au cœur de tous les débat cyber et les Etats ont des visions bien différentes comme nous allons le voir. Le caractère anomique de cet espace et ses différentes utilisations font peur aux Etats qui veulent en faire un espace de droit, c’est-à-dire un espace où des dispositions interprétatives ou directives sont mise en place, règlent le statut des personnes et des biens, ainsi que les rapports que les personnes publiques ou privées entretiennent.
Pourtant nous sommes en droit de nous demander si le cyberespace est un espace protégeant les données personnelles, et donc la vie privée de ces utilisateurs, ou s’il est plutôt un espace hors du contrôle de toute(s) autorité(s) ? Nous pouvons aussi nous demander si une territorialisation des données est possible.
Pour cela dans un premier temps nous allons voir quelles ont été les initiatives de régulation du cyberespace et enfin quelles en sont les limites.
Penser que les données numériques peuvent être territorialisées à priori est difficile à imaginer, dans le sens où nous avons une vision du cyberespace comme étant un « réseau mondial » s’affranchissant des lieux et des territoires, connectant de manière instantanée ses usagers quel que soit leur lieu de connexion. C’est une déclaration partagée par le poète John Perry dans son texte de 1996 « la déclaration d’indépendance du cyber espace ». Il y décrit ce lieu comme « au-delà du réel », qui pourrait échapper aux juridictions classiques du monde physiques. De ce fait, l’idée d’« initiatives » pour le réguler semble inappropriée et pourtant nous pouvons en définir trois grands axes d’actions géographiques. Premièrement à l’échelle française, puis européenne, et enfin au niveau international. Dans cette partie je vais donc démontrer à travers différentes législations régulant le cyberespace, pourquoi nous pouvons dire que c’est un espace de droit à part entière. A qui appartient le cyberespace ? Qui devrait le réguler et comment est-ce possible de le faire ?
Pour commencer, au niveau français, le cyberespace est entré dès 2008 (puis 2013) -avec les Livres blancs sur la défense et la sécurité nationale- dans le champ de la sécurité nationale française. Il est désormais perçu comme une zone de confrontations directes entre les Etats et où se développent des actions d’espionnage, de guerre économique, jugées dangereuses pour la liberté des citoyens.
Ainsi plusieurs lois ont été mises en place : la première législation mise en vigueur est la loi S.A.F.A.R.I de 1978. Avec notamment l’article 8 où il nous est précisé qu’il « est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ». Pour s’assurer de la bonne conduite de cette loi la Commission Nationale de l’Informatique et des Libertés a été créée – sous l’acronyme CNIL-. Cette autorité administrative indépendante ne répondant qu’au nom de l’Etat est donc en charge de la protection de nos données personnelles, ce qui lui confère une grande autorité de contrôle et de sanction. Elle a aussi un rôle de conseil et d’information auprès des citoyens français.
Toujours en France il y a eu la création en 2009 de l’ANSSI -Agence Nationale de la Sécurité des Systèmes d’Information- qui a pour mission la défense des systèmes d’information de l’État. Cet aspect est renforcé par la loi de programmation militaire de 2013. Cette loi ayant été promulguée suite aux préconisations du Livre Blanc sur la Défense et la Sécurité Nationale de cette même année. Elle apporte une réflexion sur la notion d’infrastructure critique afin de moderniser la protection des points faibles et des réseaux sensibles. Le ministère des armées a aussi un rôle important à jouer dans la régulation ; en effet depuis 2017 a été créé le COMCYBER, placé sous l’autorité du chef de l’Etat-major qui a pour mission d’assurer la protection des réseaux.
En matière de droit pénal français, il faut attendre le 5 janvier 1988 avec la loi Godfrain pour avoir les tous premiers articles français réprimant les actes criminels liés aux systèmes d’information.
Cette loi Godfrain sera rejointe par la loi pour la confiance dans l’économie numérique – LCEN- du 21 juin 2004. C’est une transposition de la directive européenne du 8 juin 2000 ainsi que de certaines dispositions de la directive européenne du 12 juillet 2002 sur la protection de la vie privée pour le domaine des communications électroniques. Elle renforce les sanctions liées à la cybercriminalité tout en mettant l’accent sur la protection des consommateurs et de pouvoir le commerce électronique dans l’Union Européenne.
A ce niveau, le but est de permettre à l’Union Européenne d’atteindre une autonomie stratégique dans le domaine du cyber. Pour cela nous avons par exemple le Règlement Général sur la protection des Données (RGPD) aussi appelé GDPR. C’est une directive européenne qui garantit et renforce la protection des données à caractère personnelles des citoyens européens. Ce règlement s’adresse à toute organisation publique ou privée, traitant des données quel que soit son pays d’implantation. Dans un autre registre nous avons aussi la directive européenne de 1997 sur le « secret des correspondances ». Cette loi applicable en France se base sur le respect de la vie privée des particuliers ainsi que des entreprises européennes. Les Etats membres sont donc tenus de garantir la confidentialité des communications. Enfin nous pouvons parler de « The Directive Network and Information Security » publié en 2013 par la Commission qui a pour but de promouvoir un cyberespace « libre et sécurisé » pour la prospérité des activités numériques. Elle assure une moyenne européenne élevée en termes de cybersécurité afin notamment de se protéger an cas de cyberattaque.
Enfin au niveau mondial, la prise en compte des enjeux du cyber espace ont un poids considérable dans le maintien de la paix entre les nations. Nous pouvons parler ainsi du lancement de l’appel de Paris effectué par Emmanuel Macron à l’UNESCO ce 12 novembre 2018. Pour je cite « soutenir un cyberespace ouvert, sûr, stable, accessible et pacifique. » Soutenu par plus de 500 entités selon le Ministère de l’Europe et des Affaires Étrangères, des dispositions à la régulation du cyberespace devrait prochainement voir le jour et être applicable dans le droit international et les droits de l’Homme. Dans une autre partie du globe la Corée du Sud a mis en place depuis 2011 des lois strictes sur la confidentialité des données, qui contiennent un grand nombre de dispositions similaires à celles du RGPD. Avec l’acronyme PIPA, cette loi a été créée afin de promouvoir la protection et l’utilisation des réseaux de communication et de l’information. L’article 26 de PIPA contient notamment des dispositions en cas de perte, de vol de matériels électroniques. Au Japon, depuis mai 2017 a été créé the Protection of Personal Information Act –APPI-, qui vise à protéger les droits et les intérêts des individus. Il a d’ailleurs été le premier pays d’Asie à avoir adhéré aux Cross-Border Privacy Rules systeme – CBPRs- qui est un ensemble de règles de confidentialité transfrontières des pays de l’APEC - Coopération Economique des pays d'Asie-Pacifique -.
De plus lors du Sommet de Varsovie de 2016, les 28 nations de l’Alliance Atlantique ont tenu un engagement pour la cyberdéfense, reconnaissant cette notion comme un domaine d’opérations et engageant ainsi l’OTAN à traiter les conflits liés aux cyber espace comme des conflits parts entières. Il existe également l’Internet Corporation for Assigned Names and Numbers – ICANN- qui est l’autorité de régulation d’internet. C’est notamment elle qui contrôle et gère les noms de domaines ainsi que l’administration des adresses IP. Officiellement elle est indépendante, mais elle est subventionnée en majeure partie par le département du Commerce américain et est soumise au droit californien. Cela dit c’est un outils stratégique américain primordial dans ce domaine.
Donc comme nous l’avons vu de nombreuses dispositions ont été mise en place afin d’assurer la régulation du cyberespace. Pourtant nous allons voir dans une seconde partie qu’entre les engagements pris par des Etats et leur bonne implication, il y a un gouffre assez conséquent. Nous allons aussi voir que certains pays comme les USA ne sont pas prêts à voir le cyberespace devenir un espace de droit.
Comme le dirait le philosophe Jean Paul Sarthe « La Liberté, ce n'est pas de pouvoir ce que l'on veut, mais de vouloir ce que l'on peut. » Cette notion est assez descriptive du cyberespace dans le sens où essayer d’instaurer un droit dans un espace aussi mondialisé et ouvert que celui-ci requiert selon moi une action collective d’ordre mondial. Cependant ce n’est clairement pas le cas et ce pour plusieurs raisons.
Nous parlions de sauvegarde et de protection des données personnelles, et notre premier point va porter sur cet aspect. Les différentes régions du globe n’ont pas le même rapport à ces données. Si la France et l’Union Européenne font tous pour les protéger avec des règlements ce n’est pas le cas des Etats-Unis où encore de la Chine. Les américains par exemple voient d’un mauvais œil ces actions. Réguler le cyberespace reviendrait à limiter leurs actions en la matière et ainsi contraindre leur position de leader prédominant de la scène cybernétique. Ils voient en cette source de données, un outil de renforcement de leur hégémonie mais aussi de leur domination sur leur sol, surtout au niveau politique. Par exemple nous pouvons parler du « Cloud Act Clarifying Lawful Overseas Use of Data Act ». La nouvelle loi sécuritaire des Etats Unis signé et ratifié en 2018. Modifiant principalement l’article 121 du Titre 18 United States Code, il permet ainsi aux agences de renseignements américaines de récupérer quel que soit le pays d’implantation des données des citoyens américains via les services de Cloud computing ou d’opérateurs télécoms. Autre motif qui expliquerait ces politiques : le motif sécuritaire. Nous pouvons ainsi parler du célèbre USA PATRIOT ACT qui est une loi anti-terroriste votée en 2001. Cela juste après l’attentat du 11 septembre de cette même année, dans un contexte où le monde se rend compte de la vulnérabilité des USA, inébranlable jusque-là, en s’attaquant aux symboles de la globalisation – une notion purement occidentale- que sont les avions. Une lutte acharnée contre le terrorisme s’est installée depuis cet instant, ce qui pourrait expliquer le désir des autorités américaines de réduire la liberté de ces citoyens au profit de mesures sécuritaires.
Le dernier scandale en date au niveau politique est celui de l’élection présidentielle de 2017 où un proche du président actuel Donald Trump aurait fait appel à l’entreprise Cambridge Analytica- une entreprise britannique spécialisée dans la collecte de données-. Ces actions avaient pour but de mener des campagnes d’influence ciblée afin d’attirer le plus d’électeurs dans son camp. Je pense que cette stratégie est grave dans nos démocraties. En effet détourner la collecte de données en instrument politique représente un danger pour nos régimes car cela veut dire que notre liberté de choix est, premièrement, indirectement influencée, et deuxièmement, qu’elle est soumise et vendue sans notre permission à différents acteurs dont on ne connait pas forcément les intérêts.
Enfin cette entreprise n’en est pas à son premier scandale, presque au même moment elle se retrouve impliquée dans la capitalisation de Facebook. Et c’est ce cas du scandale Facebook/ Cambridge Analytica qui va constituer notre second point. Le cyberespace mêle des acteurs privés, publics et étatiques qui ont les mêmes droits et devoirs sans qu’il y ait en soit une hiérarchie, une autorité à respecter. Comme il n’y a pas de réglementation pour protéger les données personnelles à part entière aux Etats Unis, les entreprises présente sur son sol ont une marge de manœuvre assez grande. Cela pose un problème pour des entreprises traitant de ce genre de sujets ayant une portée internationale comme c’est le cas de Facebook. Ce réseau social est accusé depuis mars 2018 d’avoir illégalement acquis des données personnelles d’environ 50 millions d’utilisateurs de son site. Et tout cela par le biais d’un quizz constitué par un sous-traitant de Cambridge Analytica en 2014, qui récupéraient non seulement les données des participants mais aussi ceux de leurs amis du réseau. De plus, à ce lien s’ajoute une notion de responsabilité. En effet à l’époque des faits, Facebook n’a pas appliqué les mesures nécessaires pour protéger les données personnelles de ses adhérents et a autorisé cette pratique. Ce phénomène prend encore plus d’ampleur quand les reproches envers ce réseau se sont accumulés. Notamment quand les anglais et les américains ont reproché à Mark Zuckerberg de ne pas sanctionner l’apparition et la visibilité des fakes news présentent sur Facebook.
Par Sara FARIA TEIXEIRA,
étudiante en 3ème année de Relations Internationales à l'ILERI et membre de Cyb-RI.
#Cybersecurite #Donnees #RGPD #GDPR #Strategie #Cyber #Defense #Liberte #Technologies #Tech #Numerique #SSI #France #ILERI #Hacker #Hacking #Cyberdefense #CloudAct #Droit #BigData #Data