L’avenir de la directive sur la cybersécurité est incertain

ÉDITION SPÉCIALE / Les tentatives de l’UE d’introduction de nouvelles règles globales en matière de cybersécurité risquent d’échouer au Parlement européen. Des administrateurs principaux doutent en effet que le paquet soit adopté avant l’expiration du mandat de la législature, a cru comprendre EURACTIV.

 

Outre une stratégie générale en matière de cybersécurité, la Commission européenne a proposé le mois dernier une directive comprenant des mesures qui visent à garantir un réseau harmonisé et la sécurité de l'information dans l'UE.

 

Conformément à la législation proposée, la capacité des entreprises à faire face aux attaques sera vérifiée et celles-ci devront signaler aux autorités nationales les incidents informatiques d'« incidence importante ».

 

La directive laisse également penser que les exploitants du marché seront responsables, qu'ils effectuent l'entretien de leur réseau en interne ou en externe.

 

L'UE a identifié un certain nombre de secteurs qui nécessitent des mesures supplémentaires en matière de cybersécurité notamment les exploitants d'infrastructures critiques comme l'énergie, les transports ainsi que les services bancaires et sanitaires.

 

Stratégie du Parlement

 

La directive de l'UE s'appliquera également à des entreprises clés de l'Internet, dont les services de paiement, les réseaux sociaux, les moteurs de recherche, les services du nuage, les fournisseurs d'application, les plateformes de commerce électronique, les plateformes de partage de vidéos et les fournisseurs de services de téléphonie sur IP.

 

La Commission a envoyé la proposition au Parlement, où elle sera transmise aux commissions susceptibles de jouer un rôle clé dans le débat.

 

Il s'agit des commissions des libertés civiles, justice et affaires intérieures ; de l'industrie, de la recherche et de l'énergie ; du marché intérieur et de la protection des consommateurs et des affaires juridiques.

 

Il reste encore à déterminer quelle commission mènera la procédure et à nommer les rapporteurs et rapporteurs fictifs, c'est-à-dire les eurodéputés responsables du contenu des rapports de commission.

 

Le mandat du Parlement actuel expire l'année prochaine. En raison des élections prévues en mai 2014, les eurodéputés n'examineront probablement plus les questions législatives plusieurs semaines avant les élections, car ils prépareront leur campagne.

 

Des sources parlementaires ont déclaré à EURACTIV que le Parlement avait déjà prévenu la Commission qu'il ne serait plus en mesure d'organiser le débat sur les nouvelles mesures législatives proposées par l'exécutif européen après le mois d'avril de cette année.

 

Document compliqué et controversé

 

La directive sur la cybersécurité se trouve donc dans une situation précaire, car elle est compliquée et nécessite un examen approfondi des différents groupes politiques.

 

Un élément clé sera de savoir dans quelle mesure le secteur privé sera contraint de signaler officiellement lorsqu’il a été victime d'une cyberattaque, conformément aux nouvelles règles.

 

Cet élément marque une différence évidente entre les niveaux de vigilance en matière de cybersécurité que l'UE et les États-Unis comptent mettre en place. Les États-Unis adopteront vraisemblablement une approche beaucoup plus volontaire par rapport à ces notifications.

 

« Le Parlement européen examinera en profondeur la proposition de la Commission et nous détaillerons soigneusement l'incidence de la directive. La garantie de la sécurité de nos citoyens ainsi que la protection des parties prenantes et des consommateurs seront au coeur des discussions des prochains mois », a déclaré l'eurodéputé allemand Christian Ehler (Parti populaire européen), membre de la commission de l'industrie, de la recherche et de l'énergie.

 

Course contre la montre

 

Deux administrateurs principaux au Parlement ont mis en doute, sous couvert de l'anonymat, la capacité du législateur européen à conclure les délibérations avant la fin de son mandat l'année prochaine.

 

« C'est complexe et la question de savoir qui endossera le rôle prépondérant ne sera pas du tout aisée », a déclaré l'un des administrateurs.

 

Même si le Parlement travaille à pleine vitesse, les négociations avec le Conseil et la Commission seront probablement « extrêmement difficiles », a indiqué un autre administrateur.

 

« Le mandat de la Commission expire également et l’ambiance sera moins positive en raison des pressions politiques entre l'exécutif européen et le Parlement », a-t-il ajouté.

 

Si le Parlement n'adopte pas la législation, une nouvelle proposition serait nécessaire, car « le prochain Parlement élu peut examiner une législation seulement si elle atteint un stade avancé de négociations », a déclaré un administrateur.

 

L'Europe accuserait alors un retard considérable dans l'adoption de mesures harmonisées en matière de cybersécurité.