Paris, le 26 novembre 2014 – L’Association des Services Internet Communautaires (ASIC) s’inquiète du choix du Gouvernement français de vouloir permettre à l’Agence gouvernementale de cybersécurité (ANSSI) de mettre la main sur les systèmes techniques des acteurs du numérique. Un nouveau coup dur après la loi de programmation militaire.
Les Ministres européens chargés du numérique se réunissent ce jeudi afin de discuter d’une position commune sur le champ d’application de la future directive sur la sécurité des réseaux (dite directive “NIS”) qui souhaite confier aux diverses agences gouvernementales de cybersécurité de plus amples pouvoirs.
L’ASIC se félicite de l’actuelle discussion autour de cette proposition qui vient ainsi compléter le cadre juridique actuellement applicable au sein de l’Union européenne. Ce texte permettra ainsi à chaque État membre d’adopter un ensemble commun de règles de sécurité applicables à tous les secteurs critiques comme l’énergie, la banque ou les transports.
Au mois de mars 2014, le Parlement européen avait adopté une version de cette proposition de directive en se focalisant sur les infrastructures réellement vitales. Or, il semble aujourd’hui que cet équilibre soit remis en cause par plusieurs États membres, dont la France. Ceux-ci souhaitent ainsi étendre très largement le champ d’application du texte en couvrant toutes les industries du numérique y englobant les intermédiaires, les sites de commerce électronique, les hébergeurs de données, les sites de médias ou les développeurs d’objets connectés.
Si la sécurité des données et des infrastructures est au coeur des priorités de tous les acteurs du numérique, leur transformation en “opérateurs d’infrastructures critiques” aura pour effet de les soumettre à une régulation bien différente et potentiellement bloquante pour leur développement ou pour la protection même de certains secrets.
Ainsi, les agences de cybersécurité – comme par exemple l’ANSSI – auront la compétence pour expertiser et ainsi s’introduire dans tous les systèmes informatiques de ces acteurs du numérique. Un développeur d’objets connectés devra-t-il bientôt confier les clés à l’ANSSI ? Un hébergeur de données devra-t-il également offrir un accès à toutes les données stockées ? Un site de médias devra-t-il aussi donner à l’ANSSI une porte d’accès à l’ensemble de ses serveurs, notamment e-mails ?
Or, cette extension ne va pas sans poser de sérieux problèmes. Elle est, hélas, la suite tout à fait logique de la loi de programmation militaire qui avait étendu les pouvoirs attribués à l’ANSSI – non sans soulever de très vives oppositions.
Soumettre l’ensemble des acteurs du numérique à un contrôle plein et entier de la part de l’ANSSI soulève de nombreuses questions, notamment en termes de protection des données ou d’informations confidentielles. Les propos tenus, en coulisses, par des membres de cabinets ministériels souhaitant permettre à l’ANSSI de “mettre la main” sur les acteurs du numérique sont tout aussi inquiétants.
En conséquence, l’ASIC appelle le Gouvernement à ne pas permettre, sans aucune limite, un contrôle par une autorité gouvernementale des données circulant sur les réseaux. Il en va de la préservation de la confiance des usagers dans le numérique. La France doit réserver l’application de la directive aux secteurs réellement vitaux, tels que définis par le Parlement européen.
L’ASIC demande au Gouvernement français, dans le cadre de la Directive NIS:
-
de conserver le périmètre de la directive NIS tel que défini par le Parlement européen, c’est à dire en le limitant aux infrastructures réellement vitales comme les centrales nucléaires ou les réseaux de transport ;
-
de ne pas permettre, sans le contrôle préalable d’un juge, à une administration d’accéder aux données des acteurs du numérique – y compris pour des raisons dictées par la “sécurité des infrastructures vitales”
A défaut, et à partir du moment où l’Etat veut devenir le Directeur des services informatiques de l’ensemble des acteurs du numérique, aura-t-il les moyens d’assumer ce rôle ? Et, en cas de failles et d’atteintes à des données personnelles, en assumera-t-il aussi la responsabilité ?