Via Shutterstock
Via un rapport sur The Next Web, le Parlement européen vient d’adopter une mesure qui créerait les toutes premières lois européennes sur la cybersécurité. Ce qui a du sens en un sens ; si l’UE doit être une puissance économique qui travaille en étroite collaboration, une réglementation de la cybersécurité à l’échelle de l’Union est nécessaire. Mettez tout le monde sur la même longueur d’onde.
Le problème? Des entreprises comme eBay, Amazon et Google, ainsi que des marques en ligne de premier plan et des entreprises de l’énergie, des transports, de la santé et de la banque, devront prouver qu’elles sont « résistantes aux cyberattaques », ce qui est essentiellement impossible.
Ils devront le faire dans le cadre de la directive sur la sécurité des réseaux et de l’information. Les règles exigent que les entreprises relevant de sa compétence fournissent des réseaux sécurisés et signalent les violations graves de données. Les entreprises en dessous d’une certaine taille indéterminée et les réseaux sociaux comme Facebook seront exemptés de la réglementation.
Ni ce que « sécurisé » signifie, ni quelle forme prendraient les sanctions, n’ont été déterminés.
Les projets de règles doivent encore passer par quelques comités avant d’être finalisés et appliqués, mais ils font, selon Kirsty Styles de The Next Web, partie intégrante de la récente campagne pour intégrer et aligner davantage les préoccupations des pays membres de l’Union européenne, malgré les protestations et le sentiment public croissant contre elle.
Le problème avec ces règles, bien sûr, c’est qu’à moins que les règlements ne soient rédigés, mis en œuvre et appliqués de manière très précise et très prudente, il est fondamentalement impossible de s’y conformer. Même les entreprises technologiques avec les meilleures intentions en matière de sécurité et les plus grands efforts pour protéger leurs données ne sont pas invulnérables. Les pirates informatiques qualifiés peuvent toujours trouver un moyen d’entrer.
Le règlement devrait, au moins, inclure des dispositions excluant des sanctions les entreprises qui déploient des efforts de bonne foi pour leur sécurité. Dans le cas contraire, les sanctions sanctionneraient inévitablement davantage les entreprises qui ont déjà été piratées malgré un manque de négligence de leur part.
En plus de ces réglementations rapprochant les membres de l’UE, il s’agit également d’une autre étape dans les efforts des régulateurs européens pour contrôler les pratiques commerciales et de données des grandes entreprises technologiques, en particulier les entreprises basées aux États-Unis. Un tribunal de l’UE a récemment statué que les entreprises technologiques ne peuvent pas envoyer de données aux États-Unis pour traitement. Et Google a subi une saga presque sans fin de batailles anti-trust et a été contraint de modifier ses résultats de recherche en raison du « droit à l’oubli » nouvellement créé.
L’Union européenne doit être prudente. Il a certainement, et à juste titre, intérêt à surveiller le fonctionnement des entreprises technologiques au sein de ses États membres. Mais trop de réglementation mise en œuvre avec trop de négligence pourrait conduire à un environnement inhospitalier pour les entreprises.
