Le 9 mai est traditionnellement la journée de l’Europe, dans toute l’Union Européenne, en souvenir de la déclaration de Robert Schuman pour une structuration de l’Europe, le 9 mai 1950.
C’est l’occasion de faire le point sur ce que fait l’Europe dans le domaine qui nous intéresse. Sur le plan institutionnel, nous avons aujourd’hui plusieurs instances intéressantes :
- Au sein d’Europol, le HTCC ou high tech crime centre, est le point focal de l’activité d’Europol dans la lutte contre la cybercriminalité. En effet, depuis 2002, le mandat d’Europol a été étendu à toutes les formes graves de délinquance, y compris la cybercriminalité. 2009 devrait voir la création à Europol d’un système de centralisation de l’ensemble des signalements d’infractions (un des résultats de la présidence française de l’Union européenne) qui peuvent intéresser les Etats membres et ainsi en faciliter les investigations ;
- L’ENISA, agence européenne de sécurité de l’information et des réseaux a été lancée en mars 2004. Elle manque encore de visibilité dans son action : elle est positionnée comme un centre d’expertise au service des états-membres, mais pas encore dans le concret. Peut-être cela sera-t-il amené à évoluer, par exemple dans la gestion de certaines crises liées à la sécurité des systèmes d’information ;
- La commission européenne finance au travers de différents programmes la recherche et l’innovation, la formation ou le développement d’outils qui aident à la lutte contre la cybercriminalité. Ainsi le programme Safer Internet qui finance notamment le fonctionnement d’INHOPE – réseau européen des plateformes de signalement privées en matière de protection des mineurs sur Internet, mais aussi le programme ISEC de la direction générale justice liberté et sécurité qui comporte un volet important consacré à la lutte contre la cybercriminalité ou le septième programme cadre européen de financement de la recherche qui permet certaines initiatives (sous l’angle de la sécurité des systèmes).
- Parmi les projets actuellement financés sur le programme ISEC, on peut citer :
- La création d’une coalition financière européenne dans la lutte contre la diffusion de documents pédopornographiques sur Internet, dont j’ai parlé voilà deux mois ;
- Les différentes activités du groupe de travail d’Europol sur l’harmonisation des formations des services de police dans la lutte contre la cybercriminalité.
Plusieurs textes législatifs de niveau européen sont intéressants à citer et certains devraient évoluer prochainement :
- Tout d’abord, citons la convention du Conseil de l’Europe sur la cybercriminalité, qui bien qu’étant issu d’une instance européenne dépassant le cadre de l’Union Européenne, montre combien le continent européen est en avance dans cette lutte.
- La directive 2002/58/CE « vie privée et communications électroniques », qui comporte depuis un modificatif de 2006 un dispositif plus précis harmonisant les obligations en matière de conservation des données par les opérateurs de communications électroniques (cette directive fait partie du fameux « Paquet Télécoms ») ;
- La décision-cadre 2004/68/JAI relative à la lutte contre l’exploitation sexuelle des enfants et la pédopornographie, et qui harmonise la protection des mineurs, notamment sur Internet ;
- La décision-cadre 2005/222/JAI relative aux attaques visant les systèmes d’information ;
- Enfin, la politique de la commission européenne dans ce domaine est définie par la Communication 2007/267 « Vers une politique générale en matière de lutte contre la cybercriminalité » ;
Parmi les déclarations officielles récentes on peut citer les conclusions du conseil justice et affaires intérieures sur la cybercriminalité portées par la présidence française de l’union européenne du 24 octobre 2008 et la déclaration de Prague pour un « Internet plus sur pour les enfants » du 20 avril 2009.
Les évolutions que l’on peut attendre seront certainement basées sur des évolutions des directives ou décisions-cadres évoquées plus haut, que ne manquera pas de proposer la commission européenne cet automne. Le suivi du « Paquet Télécoms » est aussi très important. Ainsi j’évoquais le 05 mars dernier le dispositif introduit dans ce texte qui prévoit la notification obligatoire des incidents de sécurité subis par les opérateurs lorsqu’ils concernent de façon significative les données de leurs clients. Mais, mardi 05 mai dernier, la commissaire européenne aux télécommunications, Viviane Reding, évoquait le projet de la commission d’étendre cette mesure à l’ensemble des domaines économiques, dans un texte qui verrait son application d’ici la fin de l’année 2012. A suivre donc…