La loi Godfrain du 5 janvier 1988, relative à la fraude informatique, est la première loi française réprimant les actes de criminalité informatique et de piratage.
Nommée ainsi d'après le député Jacques Godfrain, c'est l'une des lois pionnières concernant le droit des NTIC, après, la loi Informatique et libertés de 1978, qui introduit la notion de système de traitement automatisé de données (STAD).
Elle concerne notamment les obligations du responsable du traitement quant à la garantie de la sécurité des données.
La loi pour la confiance dans l'économie numérique, n°2004-575 du 21 juin 2004, abrégée sous le sigle LCEN, est une loi française sur le droit de l'Internet, transposant la directive européenne 2000 / 31 / CE du 8 juin 2000 sur le commerce électronique et certaines dispositions de la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques.
Elle vise à promouvoir le commerce électronique au sein de l'Union européenne, suivant en cela la logique des traités dont le crédo est « un espace sans frontière intérieure dans lequel la libre circulation des marchandises et des services ainsi que la liberté d'établissement sont assurées » tel que préconisé par l'article 14-2 du Traité instituant la Communauté européenne.
Le secret des correspondances est un droit au maintien du caractère privé et secret.
Il s'applique aux correspondances dont l'expéditeur pouvait attendre qu'elles bénéficient d'un minimum de confidentialité.
En général, il s'applique aux courriers postaux et aux courriers électroniques.
Une correspondance est en général définie comme toute relation par écrit entre deux personnes identifiables, qu’il s’agisse de lettres, de messages ou de plis ouverts ou fermés.
Au sein de l'Union européenne, le secret des correspondances est garanti par la directive européenne 97 / 66 du 15 décembre 1997.
Cette dernière fait obligation aux états membres de garantir, par leur législation, la confidentialité des communications passées par la voie des télécommunications et d’interdire « à toute autre personne que les utilisateurs, sans le consentement des utilisateurs concernés, d’écouter, d’intercepter, de stocker les communications ou de les soumettre à quelque autre moyen d’interception ou de surveillance, sauf lorsque ces activités sont légalement autorisées ».
Il y a violation du secret de la correspondance lorsqu'une tierce personne prend connaissance, sans le consentement préalable de l'émetteur, d'un courrier à caractère privé.
En France, la violation du secret des correspondances, qu'elles circulent par voie postale ou par télécommunication, est actuellement punie d'un an d'emprisonnement et de 45 000 euros d'amende.
Cette peine peut s’alourdir à 3 ans d’emprisonnement pour les personnes facilitant cette violation dans l’exercice de leurs fonctions (hors cas prévus par la loi).
La directive NIS (Directive Network and Information Security) s'inscrit dans la lignée de la « stratégie sur la cybersécurité », dans l'Union européenne, publiée en 2013 par la Commission.
Cette stratégie a pour but de promouvoir un cyberespace « libre et sécurisé » dans l'Union européenne afin de prévenir et de réagir aux cyberattaques et d'assurer ainsi la croissance de l'économie numérique.
Le but de cette directive est d'assurer un niveau commun élevé de cybersécurité dans l'Union européenne :
Le renforcement des capacités nationales de cybersécurité.
Les états membres doivent notamment se doter d’autorités nationales compétentes en matière de cybersécurité, d’équipes nationales de réponse aux incidents informatiques (CSIRT) et de stratégies nationales de cybersécurité. Dans le cas de la France, l’ANSSI, le CERT-FR et la Stratégie nationale pour la sécurité du numérique.
L’établissement d’un cadre de coopération volontaire entre états membres de l’UE
via la création d’un « groupe de coopération » des états membres sur les aspects politiques de la cybersécurité et d’un « réseau européen des CSIRT » des états membres.
Ce dernier visera notamment à faciliter le partage d’informations techniques sur les risques et les vulnérabilités.
Le renforcement par chaque état de la cybersécurité d’« opérateurs de services essentiels »
au fonctionnement de l’économie et de la société via la définition au niveau national de règles de cybersécurité auxquelles ces derniers devront se conformer.
L’obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs services essentiels
L’instauration de règles européennes communes en matière de cybersécurité :
Le règlement européen sur la protection des données personnelles est paru au journal officiel de l’Union européenne le 4 mai 2016 et est entré en application en 2018.
La CNIL est très impliquée dans la mise en place de cette règlementation. À ce titre, elle a proposé une consultation en ligne des acteurs français afin de co-construire un cadre de régulation efficace et opérationnel.
L’adoption de ce texte, fruit des travaux du G29 (groupe des CNIL européennes), doit permettre à l'Europe de s'adapter aux nouvelles réalités du numérique.
La réforme de la protection des données poursuit 3 objectifs :
Renforcer les droits des personnes, notamment par la création d’un droit à la portabilité des données personnelles et de dispositions propres aux personnes mineures.
Responsabiliser les acteurs traitant des données
(responsables de traitement et sous-traitants).
Crédibiliser la régulation grâce à une coopération renforcée entre les autorités de protection des données, qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux, et renforcer les sanctions.
Au niveau mondial, les structures les plus fondamentales d'Internet sont sous le contrôle de l'Icann, « l'Internet corporation for assigned names and numbers »
Cet organisme a un statut particulier, puisqu'il s'agit d'une société à but non lucratif, soumise au droit californien.
Composé de nombreuses commissions, qui gèrent des problématiques structurelles, l'Icann encadre notamment les noms de domaine ou le fonctionnement des adresses IP (Internet Protocol, les « adresses » de machines et de sites sur le réseau).
Le pouvoir de l'Icann est fondamental, puisque l'organisation peut suspendre des noms de domaines entiers, comme elle l'avait fait pour le .iq irakien ou pour le domaine afghan.
Le USA PATRIOT Act (acronyme traduisible en français par : « Loi pour unir et renforcer l'Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme ») est une loi antiterroriste qui a été votée par le Congrès des États-Unis et signée par George W. Bush le 26 octobre 2001.
L'un des axes centraux de ce texte est d'effacer la distinction juridique entre les enquêtes effectuées par les services de renseignement extérieur et les agences fédérales responsables des enquêtes criminelles (FBI) dès lors qu'elles impliquent des terroristes étrangers.
Dans la pratique, cet « Act of Congress » autorise les services de sécurité à accéder aux données informatiques détenues par les particuliers et les entreprises, sans autorisation préalable et sans en informer les utilisateurs.
Cette loi, conséquence directe des attentats du 11 septembre 2001, renforce énormément les pouvoirs des différentes agences gouvernementales des États-Unis (FBI, CIA, NSA) et de l'armée américaine.
Elle fut considérée comme une loi d'exception, dont certaines dispositions n'étaient valables que pour quatre années.
Sont modifiées, entre autres, les lois sur l'immigration, les lois d'opérations bancaires, la loi de surveillance d'intelligence étrangère (FISA).
En France, ce contrôle est possible uniquement sur instruction judiciaire.
Gardez en tête que les sites hébergés en France sont plus dignes de confiance car de nombreuses lois vous garantissent la protection de vos données, en revanche les risques sont accrus lorsqu’un fournisseur est situé à l’étranger.
N’oubliez pas qu’un service gratuit en ligne ne vous apporte aucune garantie de service, ce service pouvant s’arrêter à tout moment…
Il est donc important de bien réfléchir aux coûts cachés derrière ces services gratuits hébergés à l’étranger !
Carte protection des données dans le monde :
https://www.cnil.fr/fr/la-protection-des-donnees-dans-le-monde
Adoption directive NIS : https://www.ssi.gouv.fr/actualite/adoption-de-la-directive-network-and-information-security-nis-lanssi-pilote-de-la-transposition-en-france/