Maîtriser les risques juridiques de la cybersécurité
Prendre Rendez-vous

Cybersécurité

Qu'est-ce que la cybersécurité?

Définition juridique de la cybersécurité

La cybersécurité désigne l’ensemble des mesures techniques, organisationnelles, juridiques et humaines visant à protéger les réseaux, systèmes d’information, données et services numériques contre les atteintes à leur disponibilité, leur intégrité, leur confidentialité et leur authenticité.

En droit français, la notion de cybersécurité est formalisée notamment à l’article L. 2321-1 du Code de la défense (Loi de programmation militaire) et dans le cadre des textes européens suivants :

  • Directive NIS 2 (UE 2022/2555) :

  • « la cybersécurité désigne les activités nécessaires à la protection des réseaux et des systèmes d’information, des utilisateurs de ces systèmes, et des autres personnes concernées contre les cybermenaces » (article 6).

  • Règlement (UE) 2019/881 (Cybersecurity Act) :

  • « la cybersécurité englobe les activités nécessaires pour protéger les réseaux et les systèmes d’information, les utilisateurs et les personnes concernées contre les incidents, et pour restaurer la disponibilité et l’intégrité des services et des données. »

Elle est indissociable du principe de sécurité des traitements de données personnelles imposé par le RGPD (article 32), qui impose aux responsables de traitement de mettre en œuvre « des mesures techniques et organisationnelles appropriées pour garantir un niveau de sécurité adapté au risque ».

Le cadre juridique de la cybersécurité

La cybersécurité est encadrée par un corpus juridique croissant, visant à garantir la sécurité des systèmes numériques, la résilience des infrastructures critiques et la protection des droits fondamentaux dans l’environnement numérique. Ce cadre s’appuie sur une articulation entre droit national, droit européen et normes techniques internationales.

🇫🇷 Cadre national

  • Loi de programmation militaire (LPM) et Code de la défense : sécurité des OIV et OSE, supervision par l’ANSSI ;
  • Code de la sécurité intérieure : mesures de prévention, de réponse et de coordination étatique ;
  • Loi Informatique et Libertés : obligations de sécurité renforcées pour les responsables de traitements (art. 34).

🇪🇺 Cadre européen

  • Directive NIS 2 (UE 2022/2555) : obligations de cybersécurité étendues à de nombreux secteurs, avec mécanismes de gouvernance, de supervision et de sanctions ;
  • Règlement DORA (UE 2022/2554) : exigences spécifiques pour le secteur financier en matière de résilience opérationnelle numérique ;
  • Cyber Resilience Act (UE 2024/…)* : impose aux fabricants et éditeurs de produits numériques (logiciels, objets connectés, équipements TIC) des obligations de sécurité dès la conception, tout au long du cycle de vie. Il prévoit une responsabilité renforcée en cas de défaut de cybersécurité et met en place un cadre européen d’évaluation des risques ;
  • Cybersecurity Act (UE 2019/881) : création d’un cadre européen de certification de cybersécurité volontaire ou obligatoire selon les secteurs ;
  • RGPD (UE 2016/679) : impose des mesures techniques et organisationnelles adaptées aux risques (art. 32 à 34) et un cadre de notification des violations de données

🌐 Normes et coopérations internationales

  • Normes ISO/IEC 27001, 27701, 62443, etc. ;
  • Coopérations avec l’ENISA, l’OCDE, et les instances ONU/OTAN pour l’élaboration de standards globaux.

Une criminalité sans frontières, un droit en construction

La cybercriminalité recouvre les infractions commises au moyen ou à l’encontre de systèmes informatiques : accès illégaux, piratage, rançongiciels, fraudes numériques, contenus pédopornographiques ou terroristes. Sa nature transnationale rend indispensable une réponse juridique coordonnée à l’échelle internationale.

Le cadre juridique national et européen

🇫🇷 En droit français

  • Code pénal : incrimination des atteintes aux systèmes de traitement automatisé de données (STAD), articles 323-1 à 323-7 ;
  • Code de procédure pénale : techniques spéciales d’enquête (infiltration, captation de données informatiques…) ;
  • Compétence spécialisée du Parquet cyber (Paris).

🇪🇺 En droit européen

  • Directive 2013/40/UE sur les attaques informatiques ;
  • Stratégie de cybersécurité de l’UE ;
  • Coordination judiciaire via Eurojust, Europol, ENISA.
Un cadre international renforcé

📜 Convention de Budapest (2001) – Conseil de l’Europe

  • Traité international de référence en matière de cybercriminalité ;
  • Harmonisation des incriminations (intrusion, falsification de données, escroqueries informatiques) ;
  • Coopération transfrontalière facilitée.
  • Traité des Nations Unies sur la cybercriminalité (2024), adopté par l’Assemblée générale de l’ONU en mai 2024 ;

Objectifs :

  • Définir des infractions communes à l’échelle mondiale ;
  • Renforcer l’entraide judiciaire et policière entre États ;
  • Encadrer les procédures tout en respectant les droits fondamentaux ;

Ce traité marque un tournant, mais suscite des débats sur les libertés numériques, notamment en matière de surveillance et de répression du dissident numérique.

En projet : une juridiction internationale de la cybercriminalité 

  • Plusieurs États et ONG plaident pour la création d’une cour internationale spécialisée dans la répression des crimes numériques ;
  • Objectif : poursuivre les auteurs d’attaques informatiques majeures (cyberterrorisme, attaques contre des hôpitaux, manipulation électorale à grande échelle…) dans le cadre d’un tribunal indépendant ;

Ce projet soulève des enjeux complexes :

  • Définition de la compétence matérielle (quels crimes ?) et territoriale ;
  • Protection des droits fondamentaux ;
  • Coopération des États non signataires.

Bien qu’encore à l’état de proposition, il reflète la volonté croissante de renforcer la réponse pénale internationale face à la cybercriminalité grave.

Vers un élargissement des compétences de la CPI?

La Cour pénale internationale (CPI), instituée par le Statut de Rome de 1998, est compétente pour juger les crimes les plus graves touchant la communauté internationale :

  • génocide,
  • crimes contre l’humanité,
  • crimes de guerre,
  • crime d’agression.

À ce jour, la cybercriminalité ne relève pas directement de la compétence de la CPI. Toutefois, des experts appellent à étendre le champ du droit pénal international pour y inclure les attaques cybernétiques les plus graves (ex. : cyberattaques contre des hôpitaux, infrastructures critiques, ou visant des populations civiles).

En juin 2024, lors d’une conférence internationale sur la lutte contre la cybercriminalité, le Procureur de la CPI, Karim A.A. Khan KC, a reconnu publiquement l’importance de prendre en compte les cyberattaques lorsqu’elles sont utilisées comme moyens de perpétration de crimes internationaux.
📄 Voir la déclaration officielle

« Si une cyberattaque est utilisée comme outil pour commettre un crime contre l’humanité, nous avons la responsabilité de l’examiner dans le cadre de notre mandat. » – K. Khan, CPI

Cette position ouvre la voie à une interprétation évolutive du Statut de Rome, et renforce l’argument en faveur d’une future juridiction internationale spécialisée, capable de juger les crimes les plus graves commis dans le cyberespace.

Souhaitez-vous que ce bloc soit intégré dans la fiche pratique sur le droit international de la cybercriminalité dans un format téléchargeable ou web ?

Plan du site

Accueil

À Propos

Domaines d'interventions

Services

Contact

Informations

Politique de confidentialité

Mentions légales

Ressources

Actualités

Nos Horaires

  • Lundi au Vendredi de 09:00 à 19:00

Nous sommes à votre disposition pour toute demande d’information supplémentaire

Prendre Rendez-Vous

© 2024 FG Avocat – Tous droits réservés