A y regarder de très près, il existe même une tradition étatique, et pas seulement française, à envisager le droit, plus ou moins officiellement, comme moyen de défense.
Par ailleurs, dans une société démocratique et un Etat de droit, la cybersécurité devra emporter l’adhésion de la population qu’elle est censée défendre. Rien ne peut se faire en ce domaine, sans les populations.
Or, le droit est le seul outil capable de tracer les limites de la cybersécurité.
Le droit, comme moyen de la cybersécurité
Le droit descend de la morale : vérité, Justice et Paix sont les trois piliers du monde dit un psaume du roi David. Mais à l’époque moderne, le droit peut servir à tout autre chose qu’à la Justice. Il peut se baser sur tout autre chose que sur la vérité et conduire à tout autre chose qu’à la paix sociale ou la paix des peuples. Ainsi, depuis l’avènement de l’ère industrielle et la création des Etats de droit moderne, le droit sert aussi à protéger un investissement, à contrer l’ascension d’un concurrent, à collecter du renseignement. Dans ce dernier cas, on parle d’un droit de l’intelligence économique ou « Law Intelligence ». Le droit rapproché de la cybersécurité, peut être vu de deux façons. En premier lieu, le droit est un corps de règles normatives. Il se différencie de la morale ou même de la norme, en ce que la règle de droit est sanctionnée par les Tribunaux lorsqu’elle est violée. Il existe tout un corpus de règles de droit protectrices des droits de l’Etat. C’est par exemple le cas en matière de propriété industrielle. Le droit des inventions et des brevets est ainsi un très bel exemple de cette évolution fondamentale. Sait on par exemple que des délégués du ministre chargé de la défense nationale français, spécialement habilités et dont les noms et qualités ont été portés à la connaissance du ministre chargé de la propriété industrielle, prennent légalement connaissance dans les locaux de l’Institut national de la propriété industrielle (INPI) de toutes demandes de brevet déposées, demandes pourtant confidentielles, pour savoir si l’invention en question n’intéresse pas la défense nationale. Sait on encore qu’il est interdit à une personne résidant ou domiciliée en France de déposer une demande de brevet sur l’une de ses inventions à l’étranger sous peine de sanctions pénales ? Chacun aura compris le sens de cette interdiction qui tend à réserver à la communauté nationale la primeur des inventions élaborées dans la sphère nationale. La réglementation restrictive sur la cryptologie est une autre illustration « vivante » de cette évolution. Jusqu’à un Décret du 1er Février 1986, l’Etat français, comme la quasi majorité des Etats de la planète, avait classé les moyens de cryptologie comme armes de seconde catégorie. La cryptologie était soumise au décret- loi du 18 avril 1939 fixant le régime des matériel de guerre, les interdisant de fait et sanctionnant l’usage de ces moyens sous peine, là encore, de prison et d’amendes. En 1939, à une époque où l’histoire de France bégayait, l’Etat ne voulait simplement pas autoriser des individus à communiquer secrètement par ce moyen, de peur que ces échanges ne lui échappent. Ce régime fut maintenu, sous d’autres justifications, pendant les 47 années qui suivirent. En second lieu, le droit n’est pas seulement un corps de règles impératives destinées à s’appliquer dans un territoire donné. Le droit, c’est aussi la création d’institutions, d’autorités, de corps, tendant à faire vivre le droit. Le cas d’Internet est de ce point de vue exemplaire. L’Internet est structuré autour d’un système dit de nommage sans lequel ses principaux services, le courrier électronique et le Web, ne pourraient être utilisés par le grand public. Or, ce système dit de nommage est géré par une Société américaine dénommée l’ICANN constituée le 6 Novembre 1998. Cet acronyme signifie « Internet Corporation for Assigned Names and Numbers ». A y regarder de plus près, la forme de Société a de quoi surprendre le juriste Européen. L’ICANN est en effet une « Société de droit Californien à but non lucratif ». En Europe, le but non lucratif est habituellement attaché à la forme associative, pas à la forme sociétale. La Société européenne, quant à elle, est toujours « à but lucratif ». Or, cette forme de Société de droit californien présente une particularité qui n’est ni un détail, ni n’est neutre. Elle ne dispose ni de capital social, ni de membres cotisants. Elle n’est pas une Société à but lucratif, donc elle ne dispose pas d’actionnaires. Pas d’actionnaires, signifie également pas d’assemblées d’associés qui nomme ses mandataires sociaux, ou risque de les révoquer si une majorité de son capital le décide. Pas de membres cotisants comme pour une association, signifie pas d’assemblées de membres ni de risque de voir une telle assemblée « débarquer » l’équipe dirigeante. Ainsi, donc, par sa seule forme, la Société qui gère mondialement les noms de domaine n’est contrôlé ni par des actionnaires, ni par des membres. En réalité, l’ICANN est une organisation toujours contrôlée par le Gouvernement américain et le Départment Of Commerce (DOC) avec lequel elle a signé un accord (un Memorandum Of Understanding) qui donne à ce dernier une sorte de droit de veto sur toutes décisions prises par l’ICANN. Il faut dire que le nommage est une ressource rare de l’Internet et que l’ICANN est capable à elle seule de créer un domaine ou de faire disparaître de la surface de la toile n’importe quel autre domaine, tel que le .com ou même le .fr. Tout cela bien évidemment en théorie …. Dans ces conditions, chacun aura compris l’importance stratégique du contrôle d’une telle organisation.
Le droit pour poser les limites de la Cybersécurité
Dans une société démocratique et un Etat de droit comme l’est la société française, la cybersécurité ne saurait être en dehors du droit. Sans quoi, le risque de dérapage existe. Le cas des interceptions dites de sécurité, les anciennes écoutes téléphoniques, est de ce point de vue exemplaire. Ces interceptions sont de deux types : soit elles sont autorisées par l’autorité judiciaire, le juge des libertés à la requête du procureur de la République pour le flagrant délit ou le juge d’instruction dans le cadre d’une instruction judiciaire en cours au titre d’une infraction punie d’une peine minimale de deux ans d’emprisonnement ; soit elles relèvent des interceptions dites de sécurité. Dans le premier cas, c’est le juge qui contrôle la régularité des interceptions et les encadre, notamment dans le temps. Dans le second cas, les interceptions sont hors de contrôle de l’autorité judiciaire et sont encadrées par une loi de 1991 . Elles sont autorisées « à titre exceptionnel » par le Premier ministre. La loi limite le recours à ces écoutes à quatre cas. Il s’agit de la recherche de renseignements intéressant la sécurité nationale (espionnage d’État), la sauvegarde des éléments essentiels du potentiel scientifique et économique de la France (espionnage industriel), la prévention du terrorisme et enfin la criminalité et la délinquance organisées. Si le Premier ministre ordonne des interceptions, il doit le faire par écrit et motiver sa décision en la rattachant à l’une de ces quatre catégories. L’autorisation a une durée maximale de quatre mois, mais la loi ne prévoit pas de limites à son renouvellement. Les enregistrements opérés dans le cadre des écoutes ont une durée de vie limitée à dix jours après qu’ils ont été réalisés. Cela signifie en pratique que ces enregistrements doivent être retranscrits par écrit, cet écrit pouvant être conservé tant qu’il est « indispensable ».À l’origine, la loi ne prévoyait aucun mécanisme de contrôle de ces interceptions motivées par la sécurité nationale. Or, on se souvient de cette fameuse affaire des « écoutes de l’Elysées », e, plein milieu du septennat de François Mitterrand. Les écoutes alors pratiquées, n’avaient rien de la sécurité nationale mais bien plutôt étaient motivés, notamment, par des motifs de vie privée, propres au Président de la République en exercice. Cette situation a été rendue possible par l’instauration de règles sans contrôles. Cette anomalie pour une démocratie a été réparée par une loi de décembre 1992 instituant une autorité administrative indépendante, la Commission nationale de contrôle des interceptions de sécurité. Tout citoyen peut interroger cette commission basée à Paris par lettre recommandée avec accusé de réception pour savoir si des écoutes de sécurité ont été opérées à son propos. La commission réalise alors un contrôle pour savoir si les écoutes existent et si les conditions prévues ont été respectées et elle informe le citoyen qu’elle a opéré ce contrôle. Pour autant, le citoyen ne peut savoir s’il a fait l’objet d’interceptions ni pourquoi, quand et avec quel résultat. Par cet exemple, on voit bien que le droit est capable de s’adapter à l’environnement de la sécurité nationale. Il est en effet évident que celui-ci nécessite un minimum de secret et confidentialité. Pour autant, une démocratie ne peut laisser sans contrôle de telles procédures. Le droit est là pour apporter cette contrepartie. La question n’agit pas que le landerneau français. Aux Etats-Unis des suites de l’attentat du 11 Septembre 2001, le Congrès votait une Loi intitulée l’USA PATRIOT ACT. Par cette Loi, le FBI se voit attribuer, notamment, la possibilité de faire injonction à tout opérateur / FAI et tout hébergeur de lui livrer le contenu des contenus transportés ou hébergés de tout individu qu’elle que soit sa nationalité, au moitif de lutte contre le terrorisme international. Cette Loi d’Octobre 2001, remise au goût du uour du fait du Cloud Computing, fait passer la sécurité nationale de l’interception à la captation de données. Or, un juge californien par une décision de Mars 2013 et sur requête de l’Electronic Frontier Foundation vient de considérer comme inconstitutionnelle certaines injonctions aux hébergeurs faits par le FBI . Là encore, dans un Etat de droit, la matière juridique fait son office, même sur une question aussi difficile pour les Etats-Unis que la lutte contre le terrorisme international.
En conclusion, la Cybersécurité n’est probablement pas une mode mais un phénomène durable.
Les Editions « Que sais – je » viennent de lui consacrer un ouvrage précieux sur la question. On aurait tort de mettre le droit hors de la Cybersécurité.
Non seulement il existe une tradition juridique dans les Etats de droit où on associe la matière juridique à la sécurité nationale. Mais de surcroît dans un Etat de droit démocratique, on ne peut énoncer de règles sans poser de limites pour les droits fondamentaux reconnus au citoyen, le droit à la vie, le droit à la liberté et le droit au bonheur.
Mais n’est-ce pas au final, ce que justement la Cybersécurité cherche à protéger ?
