Agenda numérique - Partie V. Juillet 2015

Transcription

1 Agenda numérique - Partie V Juillet 2015

2 Table des matières Partie V - Protection et sécurité des données numériques... 1 V.1 Cybersécurité... 1 V.2 Sécurité des paiements... 3 V.3 Confiance des consommateurs et protection des données... 4 Agenda numérique Partie V

3 Partie V - V.1 Cybersécurité Contexte Protection et sécurité des données numériques 94% des entreprises belges disposent d'une connexion internet. Une enquête menée par la FEB en octobre 2014 a mis en évidence le sentiment d'urgence : 51% des entreprises participantes ont reconnu avoir déjà été confrontées à la cybercriminalité 68,5% d entre elles estiment que le risque est réel qu elles soient confrontées à l avenir à la cybercriminalité 40,3% des répondants ont déclaré considérer la cybercriminalité comme faisant partie du top 5 des risques dans le cadre de leur gestion des risques La même enquête a en outre révélé le besoin d information des entreprises : 61,5% d'entre elles ne savent pas à quelles instances s'adresser pour la cybersécurité 75,4% admettent ne pas connaître la réglementation en matière de cybersécurité 65,6% ont besoin d informations supplémentaires sur la mise en place d une politique efficace en matière de cybersécurité Situation actuelle Dans son accord de gouvernement, le gouvernement s engage à faire de la cybersécurité une priorité. À cet effet, il va rendre le Centre pour la Cybersécurité Belgique (CCB) opérationnel. Mi-juillet 2015, un pas important a été franchi avec la désignation d un directeur (Miguel De Bruycker) et d un directeur adjoint (Phedra Clouner). L objectif est que le CCB coordonne l approche de la cybersécurité en Belgique. L élaboration et l exécution d une stratégie belge en matière de cybersécurité figurent aussi au programme du gouvernement. La FEB entend informer et sensibiliser les entreprises dans le domaine de la cybersécurité. C est la raison pour laquelle en 2013, la FEB a publié, en collaboration avec ICC Belgium et plusieurs autres partenaires, le Cyber Security Guide. Il s agit d un guide pratique qui s avère déjà d un grand secours pour les entreprises dans le domaine de la cybersécurité. Mais la FEB n entend pas en rester là. C est ainsi qu à l automne 2014, elle a créé, avec Proximus, la KULeuven, l ULB et Belnet, la Cyber Security Coalition (asbl). Il s agit d une initiative entre les secteurs privé, académique et public dont l objectif est de rassembler les forces pour la cybersécurité et contre la cybercriminalité. Le travail de la Cyber Security Coalition repose sur 4 piliers : (1) le partage d'expériences entre entreprises, pouvoirs publics et le monde académique afin d'obtenir un aperçu complet du paysage de la cybersécurité en Belgique (2) la mise en commun des efforts fournis : unir nos efforts nous permet de mieux résister (3) la sensibilisation du grand public à la cybersécurité (4) des recommandations aux entreprises, mais aussi à tous les acteurs politiques en vue d'améliorer la cybersécurité et la cyberrésilience en Belgique Agenda numérique Partie V p. 1

4 Futur et recommandations Le CCB doit travailler de façon plus spécifique à la Stratégie belge en matière de cybersécurité et à sa mise en place. Fin 2012, une telle stratégie avait déjà été couchée sur papier, mais jusqu ici, cette note a eu peu d impact dans la pratique. Par ailleurs, le cadre légal doit aussi être passé à la loupe. La Cyber Security Coalition est déjà active aujourd hui. Entre février 2015 et juin 2015, trois séances de partage d expériences ont déjà eu lieu. L on travaille en outre à un programme de sensibilisation (octobre/novembre 2015) et fin 2015, les premières recommandations de la Coalition seront publiées. Il importe qu à l avenir, le CCB et la Cyber Security Coalition collaborent étroitement. Pour cela, il faut bien entendu que le CCB soit opérationnel. Au niveau européen, il existe un projet de directive relative à la sécurité de l information et des réseaux. Elle sera en principe encore adoptée pour fin Cette directive devra être transposée en droit belge et entraînera de nouvelles obligations pour certains opérateurs économiques (télécoms, infrastructures critiques, par ex.). Impact Comme c'est toujours le cas pour un thème lié à la sécurité, il ne s'agit pas du core business des entreprises. La cybersécurité a trait à la protection du core business des entreprises. Les cyberrisques auxquels les entreprises (connectées à l'internet) sont exposées sont e.a. la perte d'informations, la perte du contrôle des informations, la publication sur le net d'informations confidentielles par des cybercriminels, l'atteinte à la réputation, la divulgation de secrets d'affaires... La cybersécurité devrait donc être une priorité pour toutes les entreprises. En effet, les mesures de cybersécurité n'ont que la force de leur maillon le plus faible. Nous sommes tous connectés à l'internet. Il s'agit donc d'une responsabilité collective. Agenda numérique Partie V p. 2

5 V.2 Sécurité des paiements Contexte Une utilisation intelligente des nouvelles possibilités technologiques existant au niveau des services financiers et des transactions de paiement peut contribuer à une amélioration de l efficacité des services et de la gestion des risques, et également soutenir le développement de l e-commerce. Dans un même temps, le citoyen doit pouvoir continuer à avoir confiance dans la sécurité des systèmes de paiement et dans la manière dont les entreprises traitent les données financières, y compris vis-à-vis d acteurs non financiers. Situation actuelle Il n existe actuellement pas de base légale suffisante pour la mise en place d un système d échange d informations interbancaire pour lutter contre la fraude en matière de paiement. Les établissements de crédit et leurs clients sont confrontés à des risques (et tentatives) de fraude croissants dans le cadre des transactions de paiement. Les fraudeurs reproduisent la typologie de fraude auprès de différents organismes de crédit. Ceci entame la confiance du citoyen dans les systèmes de paiement en ligne et donc aussi dans le commerce électronique. Recommandations Il convient d accroître la confiance dans les systèmes de paiement en ligne en créant une base légale claire pour la mise en place d un système d échange d informations interbancaire dans le cadre de la lutte contre la fraude en matière de paiement. La fraude peut être découragée en permettant aux organismes de crédit (grâce à une base de données interbancaire) d échanger des informations concernant, d une part, l identité des fraudeurs (présumés) (sur la base d un constat et moyennant le respect d une procédure stricte) et d autre part, au sujet des données d identité de clients qui ont perdu leurs documents d identité ou auxquels ces documents ont été dérobés et qui sont repris dans la base de données à leur demande. Ceci permettrait une vigilance renforcée lors de l ouverture de comptes. L'article VII.63 du Code de droit économique permet de créer une base de données pour la fraude en matière de paiement et prévoit que ses modalités seront déterminées par arrêté royal. Pour l élaboration concrète d une base de données pour la fraude en matière de paiement, une intervention législative préalable est cependant encore nécessaire. Entre autres l échange entre banques des données d identité des fraudeurs devrait ainsi être rendu légalement possible. Agenda numérique Partie V p. 3

6 V.3 Confiance des consommateurs et protection des données Pour améliorer la confiance des consommateurs et des utilisateurs dans les services en ligne, la Commission souhaite moderniser et renforcer en profondeur les règles de l UE en matière de protection des données. Les consommateurs et les citoyens de l UE en général doivent, en effet, avoir confiance dans les dispositifs et services numériques tels que l informatique en nuage et il convient dès lors d'appliquer des règles modernisées et plus efficaces en matière de protection des données. C est ainsi qu en 2012, la Commission européenne a proposé une réforme approfondie du cadre légal européen pour la protection des données à caractère personnel. Cette réforme implique le remplacement de la directive actuelle sur la protection des données et de la décision-cadre relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale par respectivement : Un règlement général sur la protection des données Une directive relative à la protection des données à caractère personnel traitées dans le cadre de la coopération policière et judiciaire en matière pénale Une réforme du droit européen relatif à la protection des données s impose en raison de la révolution technologique intervenue depuis L internet, les médias sociaux, etc. ont modifié radicalement non seulement notre société, mais aussi les possibilités de traiter les données. La proposition de la Commission vise à garantir l'application des règles édictées par l'ue dans ce domaine lors de chaque traitement des données à caractère personnel des citoyens de l UE, et ce indépendamment de la localisation du serveur ou du «nuage» sur lequel sont stockées ces données à caractère personnel. Les objectifs poursuivis par la Commission européenne sont incontestablement positifs. La manière dont ils sont traduits dans la proposition de règlement général sur la protection des données pose toutefois question. Bien que la Commission européenne mette en avant la simplification administrative et la sécurité juridique comme éléments importants de la réforme, la proposition de règlement général risque d avoir l effet inverse. Non seulement elle prévoit des obligations pour les entreprises lourdes et pas toujours justifiées en raison de l activité propre de chaque entreprise (impact assessment, Data protection officer, data breaches notifications ), mais également des sanctions excessivement lourdes. Les sanctions administratives peuvent en effet atteindre 2% (5% dans la proposition du Parlement UE) du chiffre d affaires mondial du responsable du traitement! Recommandations La protection des données est l affaire de tous. Il est dès lors important de sensibiliser les entreprises à cette problématique et de les informer correctement. Les dispositions légales en ce domaine doivent cependant être proportionnelles aux risques encourus pour les données personnelles et les personnes concernées. Agenda numérique Partie V p. 4