Cybersécurité : panorama de l’actualité juridique
Article rédigé le 06 février 2023 par Me Laurence Huin et Francois Gorriez
Face aux attaques cyber qui se généralisent y compris dans le secteur de la santé, la maîtrise du risque cyber impose aux juristes une connaissance des règles en matière de sécurité des systèmes d’information, corpus très épars.
[>>>Cet article a été publié dans une première version au sein du numéro de novembre de la revue Expertise(s)]
Demandes de rançon, espionnage, sabotage, autant de situations qui se multiplient sur Internet et touchent tous types d’organisations, privées et publiques, comme en témoigne le dernier rapport de l’ANSSI sur le panorama de la menace informatique.
La maîtrise du risque cyber passe aussi et surtout par la connaissance de l’ensemble des règles qui encadrent la sécurité des systèmes d’information. Appréhender cette réglementation n’est pas aisé dans la mesure où la cybersécurité touche à de multiples référentiels juridiques pour lesquels un suivi de leur actualité est essentiel (droit des données personnelles, droit des marchés publics, compliance, jurisprudences, etc.).
Sans prétendre à une exégèse approfondie des textes et jurisprudences présentés, cet article a pour objectif de prendre du recul sur l’actualité juridique de la cybersécurité permettant à chacun d’avoir une vision d’ensemble de la matière.
Prévention et gestion du risque cyber
Mise à jour des CCAG
Actualité juridique essentielle impactant aussi bien les organisations publiques que leurs prestataires, l’année 2021 a été marquée par la mise à jour des cahiers des clauses administratives générales (CCAG), soit 12 ans après leur dernière modification.
Les CCAG, au nombre de six, sont des documents généraux auxquels l’acheteur public peut se référer pour définir les règles d’exécution du marché notamment les clauses administratives. Les acheteurs publics n’ont pas l’obligation de se référer à un CCAG mais, en pratique, ils le font dans la très grande majorité des cas, le cas échéant en dérogeant à certaines de ses clauses. Nous analyserons ici les nouvelles règles posées dans le CCAG TIC en matière de sécurité des systèmes d’information.
En complément des obligations classiques imposées à un prestataire en matière de sécurité informatique (obligation de conseil sur le niveau de sécurité (Article 3.9 du CCAG TIC.) , intégration du PAS et de la PSSI du titulaire dans les documents de marché (Article 4.1 du CCAG TIC.)), la réforme du CCAG-TIC introduit de nouvelles obligations qui se retrouvent non pas dans la clause relative aux mesures de sécurité(Article 5.3 du CCAG TIC.) dédiée mais sont disséminées au sein de différentes clauses.
Ainsi la clause relative aux pénalités (Article 14.3 du CCAG TIC.) prévoit deux pénalités spécifiques en cas de violation des obligations de sécurité ou de confidentialité selon laquelle :
- il sera appliqué une pénalité égale à 0,5 % du montant exécuté du marché public à la date de constatation du fait générateur si aucune donnée personnelle n’est concernée par la violation;
- il sera appliqué une pénalité égale à 2 % du montant exécuté du marché public à la date de constatation du fait générateur si des données personnelles sont concernées par la violation.
La nouvelle version des CCAG TIC prévoit également la possibilité de conduire un audit de sécurité auprès du titulaire ou de ses sous-traitants afin de s’assurer du respect du niveau de sécurité requis par l’acheteur au sein des documents du marché (Article 24 du CCAG TIC.). La clause des CCAG TIC fixe un préavis de 15 jours avant la réalisation de l’audit ; cette information pouvant prévoir notamment les modalités financières de l’audit. Ce préavis et les modalités financières de l’audit peuvent être amendés et modifiés lors de la rédaction des documents du marché, les CCAG ayant un caractère seulement supplétif.
Enfin, au regard des obsolescences dont souffre le secteur public sur son système d’information, la nouvelle version des CCAG TIC ajoute une clause sur les obligations relatives à la « maintenance en condition de sécurité », comprenant (i) le traitement des obsolescences et (ii) des obligations relatives à la livraison des correctifs de sécurité(Article 40 du CCAG TIC.).
Recommandations de la CNIL relatives à la journalisation
Outil fortement recommandé par la CNIL pour assurer le respect du principe de sécurité des traitements de données à caractère personnel, la journalisation permet d’assurer une traçabilité des accès et des actions des différentes personnes accédant à un système d’informations. La journalisation permet alors la collecte de nombreuses données à caractère personnel telles que des identifiants, des dates et heures de connexion, etc.
La régulation d’un système de journalisation implique de trouver un équilibre entre la sécurité apportée par ledit système, la surveillance qu’il peut créer et l’émergence de risques particuliers liés à une conservation trop longue.
Dans la délibération n°2021-122 du 14 octobre 2021 portant adoption d’une recommandation relative à la journalisation, la CNIL rappelle certains principes du RGPD et de la loi Informatique et libertés et établi plusieurs bonnes pratiques.
Ainsi, toute réutilisation des données collectées pour des finalités autres que celle de la sécurisation du traitement peut constituer un détournement de finalité. Le responsable de traitement doit donc mettre en œuvre les mesures techniques et organisationnelles permettant de limiter ce risque (tel que l’engagement des personnes accédant à ces données de respecter une charte d’utilisation définissant les usages acceptables de celles-ci). Les éléments de traçabilité ne peuvent pas être conservés indéfiniment et doivent faire l’objet d’une politique d’archivage et/ou de suppression à l’issue d’un certain délai. Une synthèse des durées de conservation selon les cas est disponible sur le site Internet de la CNIL.
Tout projet impliquant la mise en œuvre d’une journalisation doit donc respecter les principes de cette délibération, qui pourra aussi être un appui pour la rédaction de contrats abordant ce sujet.
Compliance : export control & certification
Les obligations en matière de conformité directement applicables au secteur de la cybersécurité se renforcent et s’actualisent en permanence.
Export control. Il en est ainsi tout d’abord du contrôle des exportations dont le régime a été mis à jour par le règlement2021/821 du 20 mai 2021 instituant un régime de l’Union de contrôle des exportations, du courtage, de l’assistance technique, du transit et des transferts en ce qui concerne les biens à double usage. Ce régime juridique a pour objet de contrôler l’exportations de biens civils, incluant les logiciels de cybersécurité, pouvant recouvrir un usage militaire.
Ce règlement étend le contrôle des exportations aux biens de cybersurveillance définis comme les biens à double usage conçus spécifiquement pour permettre la surveillance discrète de personnes physiques par la surveillance, l’extraction, la collecte ou l’analyse de données provenant de systèmes d’information et de télécommunications. L’exportation des biens de cybersurveillance est notamment soumise à autorisation si l’autorité nationale compétente a informé l’exportateur que les produits en question sont ou peuvent être destinés, entièrement ou en partie, à une utilisation impliquant la répression interne et/ou la commission de violations graves et systématiques des droits de l’Homme et du droit humanitaire international.
La prévention des violations des droits de l’Homme devient un critère d’appréciation de la nécessité d’inclure un bien ou une technologie dans la liste des biens à double usage reprise dans le règlement européen (annexe 1).
Certification : application du Cybersecurity act. En 2019 a été adopté le règlement UE n°2019/881 relatif à l’ENISA et à la certification de cybersécurité des technologies de l’information et des communications (« Cybersecurity act ») (Voir notamment Le droit de la cybersécurité, François Gorriez, Nuvis, 2020.). Ce texte définit un cadre et les éléments constitutifs d’un schéma de certification. Il établit également une gouvernance et un processus de création de ce type de schéma.
Les schémas en cours de préparation concernent principalement les services cloud, des besoins ayant été identifiés en termes d’IoT, intelligence artificielle et cryptographie.
- Point de situation sur les référentiels relatifs à la cybersécurité
Secnumcloud, prise en considération de l’extra-territorialité du droit. Élaboré en 2016 par l’ANSSI, le référentiel « SecNumCloud » permet la qualification de prestataires de services d’informatique en nuage (cloud). Cette qualification est destinée à attester de la qualité et de la robustesse de la prestation, de la compétence du prestataire ainsi que de la confiance pouvant lui être accordée.
En mars 2022 l’ANSSI a publié une nouvelle version (3.2) de ce référentiel en prenant en considération un sujet juridique de premier ordre : l’extra-territorialité de certains droits étrangers.
La version 3.2 de SecNumCloud explicite des critères de protection vis-à-vis des lois extra-européennes. Ces exigences garantissent ainsi que le fournisseur de services cloud et les données qu’il traite ne peuvent être soumis à des lois non européennes. Ces nouvelles exigences concernent notamment la détention du capital social et le lieu du siège social des fournisseurs de cloud ou encore le contrôle des prestataires non européens.
Cyberscore. Autre référentiel concernant la cybersécurité, le cyberscore est issu de la loi du 3 mars 2022 visant à mettre en place une certification de cybersécurité des plateformes numériques destinée au grand public favorisant ainsi la transparence et la confiance des utilisateurs dans ce domaine.
Sont concernés par ce nouveau référentiel, les opérateurs de plateformes en ligne mentionnés à l’article L111-7 du code de la consommation mais également les personnes qui fournissent des services de communications interpersonnelles non fondés sur la numérotation (WhatsApp, Messenger, les logiciels de visioconférence…) dont l’activité dépasse un ou plusieurs seuils à définir par décret.
Transposant le nutriscore au domaine de la cybersécurité, le cyberscore devra être affiché par les plateformes numériques à partir du 1er octobre 2023. Le cyberscore offrira une information compréhensible aux consommateurs grâce à un système d’étiquetage simplifié avec un système d’information coloriel.
Le cyberscore sera le reflet d’un audit de cybersécurité réalisé par un prestataire d’audit qualifié par l’Agence Nationale de la Sécurité des Systèmes d’Information. Cet audit portera sur la sécurisation et la localisation des données hébergées, directement ou par l’intermédiaire d’un tiers, et sur la propre sécurisation des plateformes numériques.
La méthodologie du dispositif sera précisée par un arrêté des ministres chargés du numérique et de la consommation après avis de la CNIL. Il clarifiera les critères d’évaluation de l’audit, ses conditions de validité et ses modalités de présentation qui ont fait l’objet de débats animés au Parlement. On ne peut qu’espérer que la saisine de la CNIL permettra d’intégrer à l’audit des facteurs de conformité avec la réglementation sur les données personnelles.
Gestion des incidents de cybersécurité
Obligation de notification
L’obligation de notification commence à être bien connue par les acteurs : notamment grâce au RGPD qui prévoit une notification à la CNIL en cas de violation de données mais également pour d’autres secteurs spécifiques (Opérateurs de service essentiel notamment).
CCAG TIC. Dans cette optique de transparence, la nouvelle version des CCAG TIC introduit à la charge du prestataire une obligation d’information propre aux vulnérabilités et incidents de sécurité détectés sur le système d’information(Article 5.4 du CCAG TIC.). Il ne s’agit donc pas en tant que tel d’une notification à une autorité administrative mais d’une information au pouvoir adjudicateur.
Pour cela, le titulaire doit mettre à la disposition de l’acheteur « un dispositif d’information dédié à la sécurité informatique (notamment flux RSS/ATOM, liste de diffusion par courriel ou autre) » qui vise à tenir l’acheteur informé de tout événement susceptible d’impacter la sécurité de son système (par exemple annonce de correctif, attaque en cours, violation de données à caractère personnel).
Lignes directrices du CEPD sous forme de cas pratiques relatifs aux violations de données. A la suite des lignes directrices publiées en 2017 par le G29, le Comité européen de la protection des données (CEPD) a publié des lignes directrices comprenant 18 cas pratiques relatifs aux violations de données à caractère personnel. Ces cas pratiques sont issus des expériences acquises par les autorités de protection des données ces dernières années.
Cette démarche vise à aider les organismes à traiter les violations de données et présenter les facteurs à prendre en compte lors de l’évaluation des risques. Les obligations à suivre sont détaillées au travers d’illustrations regroupées en six catégories : i. rançongiciel ; ii. attaques d’exfiltration de données ; iii. source interne de risque humain ; iv. appareils ou documents papier perdus ou volés ; v. erreur d’envoi ; vi. ingénierie sociale.
Délibérations de la CNIL du 7 décembre 2020 (SAN-2020-014 et SAN-2020-015.) et Décision du Conseil d’Etat du 22 juillet 2022. Par deux délibérations distinctes, la CNIL avait sanctionné deux médecins libéraux pour leur manquement non seulement à l’obligation de sécurité des données traitées mais également pour leur manquement à l’obligation de notification de la violation de données.
Or, il est intéressant de noter que dans les deux cas d’espèce, la violation de données avait été constatée par la CNIL lors d’un contrôle en ligne réalisé après qu’elle ait eu connaissance de ces violations de données par le biais d’un article de presse. Les médecins libéraux avaient donc eu connaissance de la violation de données directement par la délégation de contrôle de la CNIL. Dans ce contexte, les deux médecins n’avaient pas estimé utile de notifier à la CNIL la violation de données, par le bais du téléservice disponible sur le site de la CNIL.
Suivant un formalisme d’une rigueur absolue, la CNIL avait considéré que le responsable de traitement doit, « en toute circonstance », lui notifier une telle violation, sauf à démontrer que la violation n’était pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques.
Dans une récente décision n°449694 du 22 juillet 2022, le Conseil d’Etat a considéré que la CNIL avait entaché sa délibération( SAN-2020-014 du 7 décembre 2020.) d’une erreur de droit considérant au sujet du manquement à l’obligation de notification de la violation de données « qu’eu égard à l’information dont disposait déjà la CNIL et qui lui avait permis d’engager un contrôle, [le médecin libéral] n’entrait pas dans le champ de cette obligation ».
Décret n° 2022-715 du 27 avril 2022. Enfin, actualité spécifique au secteur de la santé et du médico-social, le décret n°2022-715 du 27 avril 2022(Décret n° 2022-715 du 27 avril 2022 relatif aux conditions et aux modalités de mise en œuvre du signalement des incidents significatifs ou graves de sécurité des systèmes d’information.) est venu modifier les dispositions du code de la santé publique relatives aux signalements des incidents de sécurité des systèmes d’information du secteur de la santé et du médico-social.
Pour rappel lorsqu’un incident cyber touche les établissements de santé ou médicosocial, ces derniers doivent faire remonter l’information sur un portail dédié à ces signalements. Ces signalements seront à présent traités par l’Agence du numérique en santé (ANS).
Par ailleurs, le nouveau décret prévoit dorénavant que :
- D’une part ce ne sont plus seulement les incidents graves mais également les évènements significatifs qui devront faire l’objet d’une notification ;
- D’autre part les établissements médicosociaux et tous les organismes et services exerçant des activités de prévention, de diagnostic ou de soins devront également procéder au signalement de ces incidents.
Actualité judiciaire
Les cours et tribunaux sont de plus en plus régulièrement concernés par des litiges informatiques impliquant des questions de sécurité. La Cour d’appel de Paris a notamment jugé qu’un virus informatique (cryptolocker en l’espèce) ne présente ni un caractère imprévisible, ni un caractère irrésistible et ne constitue donc pas un cas de force majeure ni même un fait fortuit exonératoire de responsabilité (CA Paris, pôle 5, ch. 11, 7 févr. 2020, n° 18/03616.).
Concernant les atteintes aux systèmes de traitement automatisé de données (STAD), la Cour de cassation a par ailleurs jugé que les modifications ou suppressions de données contenues dans un système de traitement automatisé sont nécessairement frauduleuses, au sens de l’article 323-3 du code pénal, lorsqu’elles ont été sciemment dissimulées à au moins un autre utilisateur d’un tel système, même s’il n’est pas titulaire de droits de modification(Cass. crim. 8 juin 2021, nº 20-85.853.).
Décisions de la CNIL : la responsabilité des sous-traitants
La délibération de la formation restreinte de la CNIL prononçant une amende de 1,5 millions d’euros à l’encontre de la société DEDALUS BIOLOGIE (Délibération CNIL n°SAN-2022-009 du 15 avril 2022.)(éditeur notoire de solutions logicielles à destination de laboratoires d’analyses médicales) au titre de plusieurs manquements au RGPD, illustre le nouveau rapport de force entre un responsable de traitement et un sous-traitant.
En effet, à la suite d’une fuite de données majeures tant concernant la quantité des données que les catégories de données concernées, cette décision de la CNIL vise à rechercher en priorité la responsabilité propre du sous-traitant, éditeur de logiciels, agissant pour le compte de deux laboratoires d’analyses de biologie médicale, responsables de traitement.
Outre un manquement à l’obligation de sécurité, la CNIL a retenu de manière plus innovante à l’encontre du sous-traitant, non seulement un manquement à l’article 29 du RGPD ayant agi en dehors des instructions du responsable de traitement, mais également un manquement à l’obligation d’encadrer par un acte juridique les traitements réalisés par le sous-traitant prévue à l’article 28 du RGPD ; obligation pourtant portée généralement par les responsables de traitement.
Cette délibération à l’encontre de la société DEDALUS BIOLOGIE s’inscrit dans le sillage de la décision, pour laquelle la CNIL avait mis en demeure la société Francetest ( Décision CNIL MED-2021-093 du 4 octobre 2021) proposant un service de formulaire en ligne aux officines de pharmacie qui effectuent des tests antigéniques au SRAS-CoV2, de prendre toute mesure à la suite d’une faille de sécurité entrainant une fuite de données concernant environ 400 000 personnes, mais non les officines de pharmacie qui y faisaient appel.
Aussi bien côté prestataires que clients, il conviendra donc de se montrer particulièrement vigilant à cette attention prononcée pour les sous-traitants par l’autorité de contrôle.
Doctrine de la CNIL sur la recherche sur internet de fuites d’informations (RIFI)
L’information disponible en source ouverte (ou « open source ») est par définition au cœur de la cybersécurité, qui repose sur la collecte de renseignement à des fins de compréhension et d’analyse de la menace, et in fine de prévention des attaques et de protection des organisations. Parmi les diverses sources d’informations, les données disponibles en sources ouvertes, bien qu’accessibles à tous, constituent une aide précieuse. Elles contribuent en effet à la fois à l’identification des vulnérabilités de l’organisation, à l’évaluation de son niveau d’exposition et de sa surface d’attaque.
L‘obtention de renseignement obtenu par une source d’information publique est qualifiée de renseignement d’origine sources ouvertes (ROSO) ou open source intelligence (OSINT). L’OSINT est par exemple indispensable pour contextualiser les menaces, détecter les fuites d’information, établir et alimenter les tableaux de bords et plateformes de visualisation.
La notion de « source ouverte » ne signifie pas liberté totale de collecte et de traitement des données, notamment à caractère personnel. La CNIL aborde l’OSINT par le concept de recherche sur internet de fuites d’informations (RIFI)(Doctrine disponible sur le site Internet de la CNIL.). Selon la CNIL, une opération de RIFI consiste à analyser le web de manière automatisée, afin de vérifier si des informations, préalablement identifiées par le biais de mots‑clés, ont été rendues publiques. Cela revient, pour une organisation, à rechercher sur Internet, les données qui ont fuité et implique donc d’analyser un important volume de données.
Plusieurs règles, articulées autour de trois axes essentiels, doivent être respectées par les organismes qui décident de recourir à la RIFI (et leurs prestataires) afin de respecter le RGPD :
- répartir les rôles et responsabilité des acteurs (encadrés par un contrat) ;
- s’assurer que la RIFI est autorisée (au travers de six conditions principales à remplir concernant l’intérêt légitime à faire une RIFI, la durée de conservation, le respect du droit des personnes, etc.) ;
- l’apport de garanties afin de limiter les conséquences d’une opération de RIFI sur le droit des personnes concernées (dans la phase de recherche et en cas de fuite de données identifiée par une RIFI).
L’assurance cyber
Vaste sujet dont la revue Expertises s’est déjà fait l’écho(Revue Expertises numéro n°479 Mai 2022), l’actualité a été marquée à la fois par un rapport parlementaire (Rapport sur La cyber-assurance par Valéria FAURE-MUNTIAN, Députée de la Loire et Présidente du Groupe d’études Assurances de l’Assemblée nationale, 2021) d’octobre 2021 établissant 20 propositions destinées à améliorer la couverture des entreprises face à l’explosion des cyberattaques et également par un projet de loi (Projet de loi d’orientation et de programmation du ministère de l’intérieur, n° 5185, déposé le mercredi 16 mars 2022 et renvoyé à la Commission des lois constitutionnelles, de la législation et de l’administration générale de la République.).
Parmi les propositions du rapport parlementaire, deux ont retenu l’attention des juristes :
- l’interdiction pour les assureurs de garantir et d’indemniser le paiement des rançons, en cas d’attaque par rançongiciel afin d’éviter toute incitation pour les cybercriminels
- l’autorisation pour les assureurs de couvrir et prendre en charge les amendes administratives dont la légalité fait débat au sein de la doctrine
A l’inverse le projet de loi déposé n’interdit par les assureurs de garantir les rançongiciels mais encadre les clauses de remboursement des rançongiciels par les assurances, en conditionnant ce remboursement au dépôt rapide d’une plainte par la victime dans un délai maximal de 48h à compter du paiement de la rançon.
La thèse de l’assurabilité des rançongiciels se voit à nouveau conforter par le tout récent rapport de la Direction générale du Trésor sur Le Développement de l’assurance du risque cyber(Le Développement de l’assurance du risque cyber, Septembre 2022, Direction générale du Trésor, ministère de l’Économie, des finances et de la souveraineté industrielle et numérique) qui conditionne « l’indemnisation d’une assurance cyber-rançons au dépôt de plainte de la victime ».
Les juristes ne pourront que se montrer particulièrement vigilants sur la suite donnée à ces textes qui n’ont à ce jour pas force de loi et sont en contradiction avec les conseils (« Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ? » Août 2020 ANSSI) de l’ANSSI.
Les textes à venir
Vers la directive NIS 2. Premier instrument législatif de l’UE en matière de cybersécurité, la directive NIS a ouvert la voie, dans de nombreux États membres de l’UE, a une approche réglementaire structurée concernant la sécurité numérique. Une seconde version de cette directive sera applicable dans les prochains mois et viendra alors étendre le champ d’intervention de la directive, mettre fin à la distinction entre opérateurs de services essentiels et fournisseurs de services numériques ou encore renforcer les exigences de sécurité applicables aux entreprises en leur imposant une liste d’éléments de sécurité de base.
Normalisation : nouvelle stratégie européenne. Thierry Breton, Commissaire européen au marché intérieur, a présenté à Bruxelles le 2 février 2022 une nouvelle stratégie européenne d’élaboration des standards industriels et technologiques.
Cette nouvelle stratégie vise à éviter toute influence indue d’acteurs de pays non-membres de l’UE dans les processus de décision lors de l’élaboration de normes pour des domaines clés comme celui de la cybersécurité. Un des cinq grands domaines d’action consistera en la modification du règlement relatif à la normalisation (Règlement (UE) n°1025/2012 du parlement européen et du conseil du 25 octobre 2012 relatif à la normalisation européenne.).
Avocat depuis 2015, Laurence Huin exerce une activité de conseil auprès d’acteurs du numérique, aussi bien côté prestataires que clients.
Elle a rejoint le Cabinet Houdart & Associés en septembre 2020 et est avocate associée en charge du pôle Santé numérique.
Elle consacre aujourd’hui une part importante de son activité à l’accompagnement des établissements de santé publics comme privés dans leur mise en conformité à la réglementation en matière de données personnelles, dans la valorisation de leurs données notamment lors de projets d’intelligence artificielle et leur apporte son expertise juridique et technique en matière de conseils informatiques et de conseils sur des projets de recherche.