La cybersécurité, une opportunité juridique pour nos entreprises ?

La cybersécurité est un enjeu stratégique pour l'Europe. Les récentes annonces du Commissaire européen Thierry Breton le démontrent, une nouvelle fois, en évoquant un « cyberbouclier» capable de protéger, de mieux détecter les attaques et de défendre les entreprises comme les citoyens au sein de l'Union.

À cela, plusieurs obstacles. Le numérique évolue plus vite que notre capacité à le réguler. Les menaces existent également à l'échelle mondiale comme le prouve l'évolution exponentielle du nombre de cyberattaques. Face à cette réalité, il est impératif de définir un socle réglementaire commun entre les États membres, nécessaire pour nous protéger, certes, mais aussi pour rendre incontournable notre influence sur la scène mondiale. Le deuxième obstacle est que l'Europe est, bien souvent, perçue par un bon nombre des acteurs économiques nationaux comme une source inintelligible traversée de normes complexes et non opérationnelles. Ce cadre vient s'ajouter, au droit national et dilue, ainsi, son efficacité. Le domaine juridique se prête volontiers à ce genre d'analyse réductrice et parcellaire, les contempteurs de l'Union européenne pointent d'ailleurs les nombreux règlements et acronymes (NIS 2, DSA, DMA, RCA, etc.) plus barbares les uns que les autres.

Mais où en sommes-nous concrètement dans la stratégie numérique ? Car loin d'accumuler des normes hétéroclites en pagaille, l'Union a construit une approche holistique structurée autour de réglementations ambitieuses, qui sont, soit déjà adoptées, soit en cours d'adoption ou même en cours de transposition. Sans dresser une liste exhaustive, citons le règlement sur la gouvernance des données, la législation sur les services numériques, celle sur les marchés numériques, celle sur l'intelligence artificielle : l'ensemble de ces réglementations ont un point commun, la volonté d'imposer un cadre contraignant à l'ensemble des acteurs économiques établis ou non au sein de l'Union européenne avec des moyens de contrôle et de sanctions importants. Sur le plan spécifique de la cybersécurité, la directive dite NIS 2 fixe des exigences de sécurité fortes vis-à-vis des acteurs publics et privés intervenant dans des secteurs économiques critiques et essentiels pour les États et les citoyens. En parallèle, le projet de « Cyber Résilience Act » impose des exigences minimales de cybersécurité pour tous les produits et logiciels européens ou non commercialisés sur le marché intérieur. Enfin, le projet de « Cyber Solidarity Act » entend renforcer la coopération à l'échelle de l'Union en matière de réaction aux cyberattaques.

Avec ce nouveau cadre plus protecteur, les acteurs économiques européens seront mieux protégés et plus résilients, ce qui leur permettra de véhiculer un niveau d'exigences et de sécurité à la hauteur de nos valeurs fondamentales (à l'instar du règlement sur la protection des données).  L'Union a cette force de pouvoir fédérer une vision globale et de poser des exigences, ce qui ne serait pas envisageable au niveau d'un seul État. Ces réglementations apportent donc un avantage compétitif indéniable en permettant aux acteurs économiques de répondre aux marchés les plus exigeants au niveau international. En d'autres termes, ce socle est un instrument de la souveraineté numérique essentiel pour avoir une autonomie stratégique européenne.

Pour la France et ses entreprises, cela représente, certes, un investissement important en termes humains, organisationnels et techniques pour répondre à ce défi.  L'ensemble des acteurs publics et privés doivent être forces de propositions et « lanceurs d'alertes » dans le cadre de ces réglementations et auprès des parlementaires afin de faire de ces dernières un atout compétitif. Avec cette proactivité, notre cadre juridique sera d'autant plus accessible et applicable et permettra de faire grandir nos acteurs économiques et de porter les valeurs d'une société inclusive au-delà de nos frontières.