par Olivier Iteanu – Avocat à la Cour
Le 11 Août 2014, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), agence gouvernementale placée auprès du Premier Ministre, a publié un appel public à commentaires sur un référentiel applicable « aux prestataires de services sécurisés d’information en nuage ». Ce document de quelques dizaines de pages dresse un inventaire des bonnes pratiques dans le domaine de la sécurité et du cloud computing. De la gestion des biens jusqu’à celle des incidents affectant un système d’information, en passant par la cryptologie, toutes les problématiques sont traitées de manière générale. A quoi sert un tel référentiel ? Comment l’évaluer en termes juridiques ?
La nature juridique d’un référentiel
Un référentiel n’est pas une norme juridique. En effet, le non-respect d’un référentiel n’est pas susceptible d’une sanction prononcée par un tribunal. Le référentiel, qu’on peut encore appeller recommandations ou guide de bonnes pratiques, est une liste de points que des experts invitent à respecter. Le référentiel est plutôt un document pédagogique ou didactique, censé apporter un savoir-faire, une connaissance à des lecteurs professionnels. Les référentiels peuvent émaner de personnes publiques, comme c’est le cas avec l’ANSSI. Depuis sa création en 1978, jusqu’en 2004, la Commission Nationale de l’Informatique et des Libertés (CNIL) ne disposait que de recommandations pour faire valoir un point de vue tranché, avant qu’elle n’acquière un pouvoir de sanction. Au niveau international, une norme ISO est en cours d’élaboration, qui touche également à la sécurité et au cloud1, dont le statut juridique est identique au référentiel en cours d’élaboration par l’ANSSI. Enfin, les référentiels ne se cantonnent pas au monde public. On trouve également des organisations de droit privé, souvent associatives, qui élaborent elles aussi des référentiels que leurs membres s’engagent, dans leurs offres, à respecter.
Il convient cependant de modérer notre propos. Certes, le référentiel n’est pas une norme juridique, mais en dépit de ce statut, son pouvoir d’influence peut être important. Pour comprendre notre point et illustrer notre propos, prenons la disposition de la Loi relative à l’informatique, aux fichiers et aux libertés du 6 Janvier 19782 qui traite de la sécurité des données à caractère personnel. Aux termes de l’article 34 de cette Loi « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » L’article L 226-17 du Code pénal prévoit que « le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites à l’article 34 (…) est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende ». Cinq ans de prison et 300 000 euros d’amende pour ne pas avoir pris « toutes précautions utiles », le quidam a le droit de se poser la question de savoir ce qu’entend la Loi par « précautions utiles » ? Dans sa grande sagesse, le législateur n’a pas voulu déterminer dans la Loi ce qu’il entendait en pratique par cette expression. Cependant, il est évident ici que la Loi y voit le respect par le responsable d’un traitement de données à caractère personnel, des règles de l’art en vigueur, c’est-à-dire celles communément admises par le marché. Et c’est ici qu’interviennent les référentiels, qui vont acquérir une importance cruciale. Un Tribunal saisi d’une plainte pour manquement à l’obligation de sécurité, aura tendance à confier la question de savoir si les précautions utiles ont été respectées, à un expert généralement choisi sur des listes d’experts en informatique mis à disposition en France par les cours d’appel et la Cour de Cassation. Ces experts se reporteront immanquablement aux référentiels existant.
L’autre intérêt du référentiel pour soi même
L’autre grand intérêt d’un référentiel est moins avouable et on l’entend beaucoup moins invoqué. La cybercriminalité a grandement évolué. Elle dispose avec Internet d’un réseau des réseaux mondial, qui lui permet à partir de n’importe quel point du globe d’attaquer presque tous les systèmes d’information connectés. Or, la partie de gendarme et de voleur qui s’en suivra pour identifier l’auteur de l’attaque n’est pas facile pour le gendarme. Dans un rapport publié par le Conseil Economique, Social et Environnemental en Janvier 2014 sur la gouvernance Internet, on pouvait lire au chapitre cybercriminalité, le texte suivant : « l’annonce de cyberattaques ponctue régulièrement l’actualité et si leur nombre s’accroît, c’est surtout leur hyper-sophistication qui frappe les esprits (…) Or dans les faits, il s’avère souvent impossible d’identifier et de poursuivre les coupables. » Les logs de connexion identifiant des adresses IP elles-mêmes désignant des pays exotiques jouant ainsi sur le caractère transnational des réseaux, la multiplicité des réseaux empruntés, les leurres etc…. font qu’il est particulièrement difficile d’identifier les auteurs d’attaques. Sans identification, nulle poursuite pénale et nul coupable sanctionné. Or, les préjudices sont souvent là, et les victimes ont alors la tentation de trouver un responsable. Ce responsable peut être leur prestataire technique, lui-même pourtant victime de l’attaque. On peut donc se trouver aujourd’hui victime et responsable. La sécurité ne sera jamais une obligation de résultat sur un plan juridique. En revanche, on peut affirmer que l’obligation de moyens va, dans ce contexte, se renforcer considérablement. Un prestataire cloud qui se sera engagé au respect d’un référentiel et pourra prouver qu’il s’y est conformé, verra le risque de responsabilité s’éloigner.
Oui, si les référentiels pullulent dans le monde du cloud Computing, c’est donc bien qu’ils correspondent au besoin de notre temps.
1 http://www.iso27001security.com/html/27017.html
2 Loi n°78-17 modifiée