Par master

La sécurité des systèmes d'information (SI) est un enjeu stratégique majeur pour les organisations, accentué par la dépendance croissante aux technologies numériques. Ce mémoire explore les mesures techniques et organisationnelles de sécurité des SI, en se concentrant sur la directive européenne NIS 2 et son intégration dans l'état de l'art actuel. Adoptée en 2022, NIS 2 vise à renforcer la résilience des entités critiques face aux cybermenaces en imposant des obligations de gestion des risques, de déclaration des incidents et de collaboration transnationale. Le cadre législatif met en lumière des mesures organisationnelles telles que la gouvernance, la gestion des risques et la formation, tout en préconisant des solutions techniques comme le chiffrement, la surveillance continue et les tests d’intrusion. L’analyse de l’état de l’art révèle que si des normes et bonnes pratiques, telles que l’ISO 27001 ou le NIST CSF, sont largement reconnues, leur adoption reste, à date, hétérogène. Ce mémoire propose une comparaison entre les exigences de NIS 2 et ces standards, au regard de divers projets de lois (disponibles publiquement lors de la rédaction) d’États membres de l’Union européenne afin de souligner les synergies et les lacunes potentielles. Au-delà des aspects techniques, le mémoire s’attache à décortiquer les opportunités, mais également les lacunes politico-juridiques actuelles, et futures, d’un texte dont le maître-mot, et l’âme, résident dans la poursuite d’un cadre européen commun. Que cet idéal soit un succès, ou une simple utopie, ce travail est témoin d’une étape majeure pour la lutte contre la criminalité informatique.

Le mémoire de Jeanne Soubrié, intitulé "L'anonymisation et la pseudonymisation : clarification et évolution des notions", aborde les enjeux liés à la protection des données personnelles dans le cadre du RGPD. Il s’intéresse aux définitions et usages de ces deux techniques, leurs limites, ainsi qu’aux évolutions techniques et législatives nécessaires pour mieux encadrer ces pratiques. L’anonymisation, qui rend les données irréversiblement non identifiables, est exclue du champ d’application du RGPD. Cependant, elle reste complexe à garantir, les risques de ré-identification persistant, comme en témoigne le cas de Netflix ou celui de la commune de Trente, où les autorités ont jugé les mesures insuffisantes. La pseudonymisation, en revanche, substitue des identifiants directs par des pseudonymes, réduisant les risques d’identification tout en conservant les obligations réglementaires, ce qui en fait une solution intermédiaire. Le mémoire analyse également des décisions marquantes, comme celle de la CJUE intégrant les adresses IP dynamiques ou les numéros d’identification des véhicules (VIN) à la notion de données personnelles sous certaines conditions. Ces décisions illustrent l’élargissement de cette notion et la nécessité d’une interprétation fine. Enfin, l’étude explore des alternatives émergentes, telles que les Technologies Améliorant la Confidentialité (TAC) ou les données synthétiques, qui offrent des pistes prometteuses mais requièrent un cadre juridique adapté. L’auteur insiste sur l’importance d’évolutions législatives pour répondre aux défis croissants de la gestion des données dans un monde numérique toujours plus complexe.

Ce mémoire s’intéresse aux enjeux de la violence numérique et du risque cyber, deux notions étroitement corrélées, aux implications multiples. Il va sans dire que ces deux notions sont devenues incontournables, du fait de la révolution numérique qui a entrainé des progrès technologiques considérables. En outre, la connaissance de l’opinion publique sur ces sujets est aussi allée croissant, bien que la sensibilisation des individus puisse être améliorée. La violence numérique et le risque cyber, pour être encadrés de manière convenable par les autorités, doivent donc à la fois être appréhendés par le droit (I) et par la cybersécurité (II). Tandis que le droit, par l’intermédiaire des législateurs, des juges et de sa doctrine, tentera de combler son retard sur l’avancée constante des technologies, la cybersécurité en tant que matière à part entière sera indispensable pour combler les lacunes du juridique. C’est dans ce cadre que les autorités tenteront d’allier la bonne assimilation des nouvelles normes pertinentes prises pour encadrer la violence numérique et le risque cyber, malgré certaines contraintes incompressibles du droit. Mais c’est aussi dans ce contexte qu’elles se spécialiseront pour une meilleure prise en main de la cybersécurité, en essayant d’utiliser les nouvelles technologies dans une optique de protection et en renforçant la collaboration avec les acteurs du secteur privé. Ainsi, intelligence artificielle, cyberattaques, cybercriminalité, blockchain, calculateurs quantiques et bien d’autres concepts sont au centre de ce travail.

Le sujet s’inscrit dans un contexte actuel marqué par un changement de paradigme dans les modèles économiques vers lesquels sont tournés les pays africains en particulier ceux de l’espace OHADA. Il s’agit pour ces États de se tourner vers une économie plus libérale. L’OHADA et ses institutions constituent ainsi un appui considérable pour le secteur privé qui lui-même demeure un pilier de la croissance économique. En effet, l’OHADA et ses partenaires ont pour objectifs d’encourager les petites et moyennes entreprises et les grands acteurs économiques privés à investir dans la zone instaurant un climat plus sécurisé et de confiance notamment dans la réglementation liée à l’utilisation des nouvelles technologies de l’information et de la communication. Le sujet se situe dans la suite de la réforme des Actes Uniformes OHADA notamment celui sur le droit du commerce général qui avait pour objectif de renforcer la sécurité judiciaire et juridique dans l’exécution des contrats commerciaux. L’une des innovations majeures porte sur l’introduction de nouvelles notions liées au numérique et à la digitalisation des procédures dans l’espace OHADA, c’est le cas dans la vague d’informatisation des registres de commerce et du crédit mobilier. La réforme ayant eu lieu en 2011, il convient aujourd’hui de faire un état des lieux post-réforme sur l’efficacité des nouvelles règles et pratiques introduites par celle-ci. En effet, afin d’assurer un meilleur suivi et une amélioration de l’avancée majeure des pratiques des affaires dans l’espace OHADA, une étude s’impose. Ainsi, il serait légitime de se demander, après plus de 10 ans de réforme, quel est l’état des lieux en matière d’utilisation de moyens électroniques dans le monde des affaires dans l’espace OHADA. La question centrale qui guidera notre étude est la suivante : quelle est l’efficacité des moyens d’identification électronique et les services de confiance dans l’espace OHADA ? La réponse à cette question nous amène à étudier d’une part l’efficacité des moyens d’identification électronique dans l’espace OHADA et d’autre part à analyser l’efficacité des services de confiance dans l’OHADA.

La donnée personnelle est une valeur incommensurable pour tous les acteurs. Ce constat, loin d’être nouveau, est rapidement saisi par le législateur européen qui demande à étendre la protection des droits et libertés fondamentales de chacun, notamment le droit à la vie privée, au regard de l’intensification du marché de la donnée, jusqu’à inscrire dans la Directive 95/46/CE du 24 octobre 1995 que les systèmes de traitement de données sont au service de l’Homme. Fort de ces affirmations, le Règlement Général sur la Protection des Données (RGPD) opère un équilibre entre les intérêts de la personne concernée et les responsables de traitement en son article 6 dit « Licéité de traitement ». En tête de liste se hisse le consentement, lequel promet d’être une manifestation de volonté libre, éclairé, spécifique, univoque et préalable au traitement. Malgré sa position privilégiée dans le texte et en pratique, celui-ci souffre de carences, dénaturant l’esprit du législateur et la protection de la personne concernée dans le traitement de ses propres données. Le consentement dit « RGPD » est-il aussi protecteur et central qu’il ne devrait l’être ? Analysé sous le prisme du droit commun des contrats, celui-ci semble reprendre de sa vigueur et de son sens premier, notamment en ce que celui-ci fait peser des obligations sur le responsable de traitement de nature à renforcer la position de la personne concernée (Partie I). Force est de constater qu’en appliquant ce parallèle en pratique, de nombreux traitements fondés sur le consentement sont en réalité illicites et pénalisent sévèrement la protection des données personnelles et de la personne concernée (Partie II).

En France, la loi impose aux éditeurs de sites pornographiques la mise en place d’un contrôle d’âge visant à empêcher l'accès des mineurs aux contenus explicites. Pourtant, la plupart des sites pour adultes se contentent d’une simple déclaration sur l’honneur telle que "Oui, j'ai plus de 18 ans" comme unique barrière d’accès. Considérant l'adoption récente de la loi sur la sécurité et la régulation de l'espace numérique (SREN), ce mémoire propose d’examiner les limites de la vérification de l'âge sur Internet et les mécanismes de blocage des sites pornographiques en libre accès. Bien qu'elle vise à protéger les mineurs d’une exposition précoce à la pornographie, cette nouvelle régulation soulève des craintes légitimes quant à la protection de l'anonymat en ligne et le respect de la vie privée des internautes. Dans cette perspective, il s’agira d’établir une corrélation entre l’effectivité des mesures visant à restreindre l’accès des mineurs aux sites pornographiques – tant sur le plan technique que légal et éthique – et l’affirmation de la souveraineté numérique de l’État régulateur, au regard de sa capacité à imposer le respect de ses lois dans le cyberespace.

Ce mémoire a comme sujet la corrélation entre le RGPD lu à la lumière de l’arrêt Schrems II et les différentes lois de surveillance et de renseignement des pays européens ou tiers. L’arrêt Schrems II a été très commenté durant l’été 2020 et les mois qui ont suivi car il paraissait sonner un tournant dans la protection européenne des données personnelles. Les termes de la décision sont en effet intéressants et donnent un éclairage nouveau sur les notions maintenant connues du RGPD, afin de renforcer le droit fondamental de la protection des données. Cet éclairage repose notamment sur l’apport d’un critère de cohérence et de continuité à la matière que la décision Schrems II a mis en lumière. Ce critère qui fait office de fil d’Ariane de la décision donne matière à commentaire positif sur la place de la protection des données personnelles, de la confidentialité et de la vie privée en Europe. Cependant, dès lors que cette réglementation est placée dans la pratique des législations européennes tenant au renseignement et à la sécurité intérieure et des accords commerciaux avec les pays tiers, il est nécessaire de nuancer cette apparente forteresse qu’est le RGPD. Le conflit entre la protection des données personnelles, la vie privée, et l’ingérence massive des lois de surveillance n’est pas terminé, en interne ou à l’international, mais la voie est en train de se tracer. Il s’agit dans ce mémoire d’analyser cette évolution.

Les E?tats europe?ens sont confronte?s individuellement et collectivement à des menaces cyber grandissantes. La cyberse?curite? constitue un enjeu politico-e?conomique majeur et strate?gique pour le futur de l’Union européenne. Elle est particulie?rement de?terminante dans un contexte de menaces en constante augmentation, tant par leur sophistication et leur nombre que par leur impact. Bien que chaque E?tat membre tente de son co?te? de mettre en place des mesures nationales pour pre?server sa souverainete?, le constat est sans appel : il faut prendre conscience de l’incapacite? des E?tats membres a? exister seuls face aux nouvelles menaces. Ainsi, la cyber-re?silience de l’Union europe?enne et de ses acteurs s’inscrit dans le cadre d’une politique de renforcement de la souverainete? nume?rique europe?enne passant par la mise en place d’outils juridiques contraignants. Ce me?moire envisage la souverainete? nume?rique europe?enne en matie?re de cyberse?curite? sous l’angle juridique à travers deux approches complémentaires : de?finir l’orientation et les acteurs de la cyberse?curite? europe?enne a? un niveau strate?gique. Puis, appliquer cette strate?gie a? un niveau opérationnel afin de déterminer comment construire une cyberse?curite? européenne au quotidien.