OBS IRIS Merlin
english francais deutsch

IRIS 2013-4:1/28

Etats-Unis

Décret présidentiel sur la cybersécurité 

print add to caddie Word File PDF File

Jonathan Perl

Faculté de droit de New York

Le 12 février 2013, le Président des Etats-Unis d'Amérique (ci-après le « Président »), a signé un décret visant à inciter les agences fédérales à élaborer de façon volontaire un « cadre de cybersécurité destiné à permettre aux propriétaires et exploitants d’infrastructures sensibles basées aux Etats-Unis d’identifier, d’évaluer et de gérer tout risque de cyber attaque » (ci-après le « cadre »). Ce décret, qui vise à protéger l’ensemble des « intérêts physiques ou virtuels vitaux » dont le sabotage ou la destruction aurait des répercussions négatives aussi bien pour la sûreté du pays, l’économie nationale ou encore la santé publique », intervient peu de temps après l’infructueuse tentative des sénateurs démocrates à l’été 2012 d’adopter un projet de loi similaire en matière de cybersécurité (S. 3414). Tout en précisant que l’inaction du Congrès l’avait incité à prendre ce décret, le Président a reconnu dans son discours de 2013 sur l’état de l’Union que l’action du Congrès restait indispensable.

Ce décret charge le Department of Homeland Security (Département de la sécurité intérieure - DHS) d’élaborer, en collaboration avec les agences fédérales des secteurs spécifiques concernés (« Agences participantes ») et dans un délai de 240 jours à compter de l’entrée en vigueur du décret, un cadre provisoire qui doit comporter : (1) une première liste des « infrastructures sensibles » basée sur des « risques potentiels » et des « critères cohérents et objectifs », (2) des normes consensuelles volontaires, (3) les bonnes pratiques industrielles susceptibles « d’harmoniser les orientations technologiques, commerciales et politiques », (4) des mesures incitatives destinées à promouvoir la participation au programme et (5) des recommandations sur la manière dont les agences participantes peuvent contribuer à la protection du respect de la vie privée et des libertés civiles. Les agences participantes doivent examiner le cadre provisoire afin de déterminer s’il répond de manière satisfaisante aux « risques actuels et futurs » et s’il convient qu’une agence soit clairement habilitée à fixer des exigences. Dès lors qu’une agence estime que ces exigences réglementaires sont insuffisantes ou que le recours à une autorité supplémentaire s’impose, elle doit proposer des « actions prioritaires, efficaces et coordonnées afin de lutter contre le risque en question ». Les agences participantes devront, pendant une période de deux ans à compter de la publication du cadre définitif, qui doit intervenir au plus tard un an après la prise du décret, rendre compte au DHS des infrastructures sensibles « soumises à des exigences contraires, inefficaces ou trop contraignantes » et élaborer des « recommandations visant à réduire ou supprimer ces exigences ».

Le décret a été largement soutenu par les démocrates et le chef de la majorité au Sénat a salué une « action décisive » qui répond aux failles constatées en matière de cybersécurité. Les Républicains ont cependant fait preuve d’un certain scepticisme et ont affirmé que le Président avait outrepassé ses pouvoirs en contournant ainsi le Congrès. Ils soutiennent par ailleurs que cette mesure constituera un « frein en matière d’innovation, un fardeau pour les entreprises et qu’elle ne répond pas de manière satisfaisante à l’évolution constante de la menace d’une cyberattaque ». La majorité républicaine de la Chambre des Représentants a par conséquent présenté un projet de loi relative à la cybersécurité plus limitée (HR 624) peu de temps après la publication du décret. D’aucuns s’inquiètent également du caractère volontaire et non plus obligatoire de ces normes. Un associé de Sidley Austin LLP explique ainsi que ces normes peuvent dans la pratique revêtir un caractère quasi-obligatoire, dans la mesure où « […] les agences indépendantes sont dans les faits réellement susceptibles d’imposer ces normes à d’importants secteurs de l’économie ». Un associé de Steptoe & Johnson LLP partage ces inquiétudes et affirme que ces normes volontaires sont susceptibles de nuire à la cybersécurité, puisque des « normes gouvernementales » sont utilisées pour « réfuter des allégations de négligence ».

références
Executive Order (“Improving Critical Infrastructure”) of 12 February 2013 EN
 http://merlin.obs.coe.int/redirect.php?id=16353
 
  Décret présidentiel « visant à renforcer la protection des infrastructures sensibles », 12 février 2013    
Cyber security bill of the Democrats of 19 July 2012 EN
 http://merlin.obs.coe.int/redirect.php?id=16355
 
  Projet de loi présenté par les démocrates, 19 juillet 2012    
Cyber security bill of the House of Representatives of 13 February 2013 EN
 http://merlin.obs.coe.int/redirect.php?id=16356
 
  Projet de loi présenté par la Chambre des Représentants, 13 février 2013