52001AR0257

Avis du Comité des régions sur la "Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des régions - Sécurité des réseaux et de l'information: Proposition pour une approche politique européenne"

(2002/C 107/27)

LE COMITÉ DES RÉGIONS,

vu la communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des régions intitulée "Sécurité des réseaux et de l'information: Proposition pour une approche politique européenne" (COM(2001) 298 final);

vu la décision de la Commission en date du 7 juin 2001, de le consulter à ce sujet, conformément à l'article 265, 1er alinéa du Traité instituant la Communauté européenne;

vu la décision de son Président en date du 2 juillet 2001 d'attribuer l'élaboration de l'avis en la matière à la commission 3 "Réseaux transeuropéens, transport, société de l'information";

vu la décision de son Président en date du 26 octobre 2001, de désigner Mme Barrero Flórez comme rapporteuse générale chargée d'élaborer un avis sur ce sujet, conformément à l'article 40, paragraphe 2, du Règlement intérieur du Comité des régions;

vu son avis sur la Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social et au Comité des régions intitulée "Créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité" (COM(2000) 890 final - CdR 88/2001 fin);

vu la communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des régions intitulée "Assurer la sécurité et la confiance dans la communication électronique - Vers un cadre européen pour les signatures numériques et le chiffrement" (COM(1997) 503 final);

vu la communication de la Commission au Conseil et au Parlement européen intitulée "eEurope 2002: Impact et priorités" (COM(2001) 140 final);

vu le plan d'action eEurope 2002 (COM(2000) 330 final);

vu le projet de Convention sur la cybercriminalité du Conseil (CM(2001)103);

vu la recommandation du Conseil concernant des critères communs d'évaluation de la sécurité des technologies de l'information(1);

vu la recommandation du Conseil concernant les points de contact assurant un service vingt-quatre heures sur vingt-quatre pour lutter contre la criminalité liée à la haute technologie(2);

vu le règlement (CE) n° 45/2001 du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions et organes communautaires et à la libre circulation de ces données(3);

vu la résolution n° 9194/01 du Conseil du 20 juin 2001 relative aux besoins opérationnels des services autorisés en matière de réseaux et services publics de télécommunication;

vu les conclusions de la Présidence du Conseil européen de Stockholm de mars 2001;

vu la directive 1990/388/CE relative à la concurrence des marchés des services de télécommunication;

vu la directive 1995/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données;

vu la directive 1997/33/CE relative à l'interconnexion dans le secteur des télécommunications en vue d'assurer un service universel et l'interopérabilité par l'application des principes de fourniture d'un réseau ouvert (ONP);

vu la directive 1997/66/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications;

vu la directive 1998/10/CE concernant l'application de la fourniture d'un réseau ouvert (ONP) à la téléphonie vocale et l'établissement d'un service universel des télécommunications dans un environnement concurrentiel;

vu la directive 1999/93/CE sur un cadre communautaire pour les signatures électroniques;

vu la directive 2000/31/CE relative à certains aspects juridiques des services de la société de l'information et notamment du commerce électronique dans le marché intérieur ("directive sur le commerce électronique");

vu la proposition de directive du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques(4);

vu le projet d'avis (CdR 257/2001 rév. 1), élaboré par la rapporteuse générale, Mme Barrero Flórez (E/PSE), Directrice générale des Affaires européennes, Principauté des Asturies;

considérant que les réseaux et les systèmes d'information sont devenus un facteur clé du développement économique et social de la société actuelle et que leur disponibilité est essentielle pour des infrastructures aussi vitales que les infrastructures énergétiques et routières notamment, ainsi que pour la majorité des services publics et privés et l'économie dans son ensemble;

que la sécurité des réseaux et des systèmes d'information devient une condition de tout progrès futur dans les nouveaux services, les nouvelles sources de richesse économique, les relations commerciales innovatrices, etc.;

que l'augmentation des cas de violation de la sécurité des réseaux d'information porte gravement atteinte à la confiance des utilisateurs dans ces réseaux;

que le manque de confiance dans les réseaux et les systèmes d'information entrave la diffusion généralisée des nouveaux services liés à la société de l'information et de la connaissance;

que la sécurité de ces réseaux et systèmes est devenue l'un des principaux défis auxquels sont confrontés les responsables politiques, qui doivent être conscients de l'importance d'un tel défi et en comprendre les différents aspects, mais aussi acquérir une compréhension des questions de sécurité et de leur rôle dans l'amélioration de la sécurité;

que, bien qu'un corpus de législation substantiel faisant partie du cadre réglementaire des télécommunications et de la législation sur la protection des données ait été créé aux plans national et européen, aucune mesure spécifique n'a été adoptée concernant le thème de la sécurité;

que de nombreux risques pour la sécurité des réseaux et des systèmes d'information subsistent, et que les solutions arrivent lentement sur le marché en raison de certaines imperfections de celui-ci;

que les pouvoirs publics ont un rôle à jouer afin de combler les lacunes ou de remédier aux dysfonctionnements des marchés;

que des mesures politiques spécifiques s'attaquant aux imperfections concernant la sécurité des réseaux et des systèmes d'information sont à même de renforcer le processus du marché tout en améliorant le fonctionnement du cadre juridique;

que ces mesures devraient faire partie d'une approche européenne afin d'assurer le développement de la société de l'information et de la connaissance au sein de l'UE, de bénéficier de solutions communes et afin de pouvoir agir de manière plus efficace au niveau mondial;

que la complexité des problèmes qui se posent exige que soient pris en considération leurs aspects politiques, économiques, organisationnels et techniques ainsi que leur caractère décentralisé et global;

que les effets du manque de sécurité dans les réseaux et les systèmes d'information des régions européennes moins développées peuvent aggraver le fossé numérique qui existe entre ces régions et les régions plus développées et plus sûres;

que les autorités régionales et locales peuvent et doivent jouer un rôle central dans la mise en oeuvre d'une politique européenne en matière de sécurité des réseaux et des systèmes d'information, étant donné que leur proximité avec les citoyens, les différentes organisations et les entreprises leur confère l'efficacité et les capacités nécessaires pour appliquer les mesures concrètes qui ont été arrêtées,

a adopté, lors de sa 41e session plénière des 14 et 15 novembre 2001 (séance du 15 novembre), le présent avis à l'unanimité.

Introduction

1. Le Comité des régions partage la préoccupation croissante de la Commission concernant la sécurité des réseaux et des systèmes d'information, et reconnaît l'importance cruciale que celle-ci revêt non seulement pour le développement de la société de l'information et de la connaissance mais également pour l'économie mondiale actuelle.

2. Il approuve la position de la Commission, selon laquelle la sécurité des réseaux et des systèmes d'information doit se trouver en tête des priorités politiques de l'Union européenne. Le marché n'a pas été capable d'apporter une réponse unique à ce problème, une multitude de technologies et de normes de sécurité coexistant en l'absence de normes ouvertes et communes reconnues par tous.

3. Il approuve l'objectif de la Commission de déterminer la nécessité d'une action publique additionnelle ou améliorée au niveau européen ou national en vue d'une politique communautaire concernant la sécurité des réseaux et des systèmes d'information.

4. Dans le cadre de la question des instruments à adopter pour augmenter la sécurité des réseaux et des systèmes d'information, il se montre soucieux du respect des libertés et des droits civils reconnus dans la Déclaration universelle des droits de l'homme, dans le Pacte international relatif aux droits civils et politiques et dans la Convention européenne des droits de l'homme. Dans cette optique, il demande de fixer des limites claires aux pouvoirs et aux compétences qui impliquent des situations dans lesquelles les libertés civiles sont compromises. Le Comité des régions estime qu'il doit être possible de trouver un équilibre entre le respect des libertés et des droits civils et la sécurité des réseaux et systèmes d'information.

5. Il se demande si, en raison du caractère transfrontalier du problème, un accord avec les organisations internationales et d'autres puissances mondiales n'est pas indispensable pour que cette politique concertée au niveau communautaire permette d'atteindre les objectifs en matière de sécurité.

6. Il invite la Commission à prévoir les moyens financiers nécessaires pour mettre en oeuvre les mesures concrètes qui seront approuvées, dans la mesure où il est primordial et urgent de garantir la sécurité des réseaux et des systèmes d'information.

Analyse des problèmes de sécurité des réseaux et de l'information

7. Le Comité des régions relève le manque de clarté de la définition de la sécurité des réseaux et de l'information fournie par la Commission - à savoir "la capacité d'un réseau ou d'un système d'information de résister, à un niveau de confiance donné, aux événements accidentels ou aux actions malveillantes qui compromettent la disponibilité, l'authenticité, l'intégrité et la confidentialité des données stockées ou transmises et des services connexes que ces réseaux et systèmes offrent ou qu'ils rendent accessibles" - et plus particulièrement de l'expression "à un niveau de confiance donné". Il estime qu'il est hors de question d'accepter une quelconque action malveillante ou intrusion dans un réseau ou un système d'information, quel que soit le "niveau de confiance".

8. Il estime préoccupant le fait que les investissements en faveur de la sécurité ne soient jugés ni prioritaires ni proportionnels par la majorité des opérateurs de services de télécommunications et des fournisseurs d'accès opérant en Europe. L'existence de petits opérateurs régionaux dont l'objectif premier est d'occuper sur le marché une position leur permettant de garantir leur rentabilité, ce qui les incite à placer la sécurité au second plan, constitue un obstacle supplémentaire qu'il y a lieu de prendre en considération.

9. Il estime que la confiance dans les produits de chiffrement dépendra essentiellement de l'existence de standards et de normes internationales ouvertes, et juge que les initiatives menées en l'absence de toute coordination par certains États membres qui envisagent l'utilisation de logiciels de chiffrement à source ouverte sont vaines face à l'offensive menée par le secteur privé.

10. Il approuve le point de vue de la Commission selon lequel la concurrence entre les vendeurs de matériel et de logiciels ne se traduit pas par une intensification des investissements dans la sécurité. Il propose par conséquent que les mesures favorisant de tels investissements fassent l'objet d'une étude.

11. Le Comité juge nécessaire d'obliger les opérateurs de services de télécommunications à garantir un niveau minimum de sécurité, à fixer au niveau communautaire.

Une approche politique européenne

12. Le Comité des régions estime que le développement équilibré de la société de l'information et de la connaissance au sein de l'Union européenne contribuera à la cohésion et à la structuration de l'Europe des régions, et qu'il est dès lors indispensable de garantir la sécurité des réseaux et des systèmes d'information.

13. Il partage l'avis de la Commission concernant les bénéfices sociaux engendrés par les investissements en faveur d'une meilleure sécurité des réseaux et des systèmes d'information. A cet égard, il souhaite souligner le coût social élevé que représente pour la société et le bien-être des citoyens le refus des fabricants, des opérateurs et des fournisseurs de services de procéder à de tels investissements.

14. Il invite la Commission à examiner l'opportunité d'établir une série de critères et de normes de sécurité auxquels devront se conformer l'ensemble des systèmes d'information jugés fondamentaux (services d'intérêt public) et connectés aux réseaux de télécommunication, ainsi que les réseaux eux-mêmes.

15. Il se dit favorable au renforcement de la sécurité à condition qu'il soit assorti de garanties concernant la facilité et la qualité d'accès, qui constituent les fondements de la société de l'information et de la connaissance. Il juge néanmoins indispensable de garantir un niveau minimum de sécurité, même si une telle mesure comporte certains désavantages en termes de qualité d'accès.

16. Il partage également l'avis de la Commission concernant les points suivants:

- la nécessaire compréhension commune des questions de sécurité sous-jacentes et des mesures spécifiques à mettre en oeuvre;

- la possibilité de renforcer le processus du marché tout en améliorant le fonctionnement du cadre juridique grâce à des mesures politiques;

- la nécessité d'adopter une approche politique européenne pour assurer le marché intérieur pour les services de communication et d'information, afin de bénéficier de solutions communes et d'agir de manière plus efficace au niveau mondial.

17. Le Comité suggère de compléter les actions de sensibilisation proposées dans la communication par des actions de soutien ou d'aide à l'investissement en faveur de mesures de sécurité afin d'éviter que des considérations économiques soient invoquées pour justifier la non- adoption de mesures jugées nécessaires.

18. Par ailleurs, il souligne combien il importe, pour des raisons d'ordre opérationnel et pratique, que les administrations locales jouent un rôle central dans la campagne de sensibilisation menée dans ce domaine.

19. Il partage l'avis de la Commission concernant la nécessité de renforcer dans les plus brefs délais le système CERT au sein de l'Union européenne, et de doter les centres existants de ressources humaines, techniques et économiques suffisantes.

20. Il recommande d'établir des liens plus étroits, directs et souples entre les CERT européennes et les bénéficiaires finaux potentiels.

21. Il approuve les actions proposées par la Commission concernant l'établissement d'un système européen d'alerte et d'information tout en proposant l'adoption d'une mesure proactive telle que la création d'une Agence européenne de sécurité des réseaux et des systèmes d'information, qui serait notamment chargée d'analyser et de tester tous les logiciels (systèmes opérationnels, navigateurs, gestionnaires de courrier électronique, etc.) susceptibles d'être utilisés dans des réseaux publics d'information afin de détecter d'éventuels "déficits" dans un logiciel qui ne serait pas encore commercialisé dans l'Union européenne. Le Comité des régions estime que la nature et les fonctions du futur Institut de protection et de sécurité des citoyens (IPSC), qui dépendrait du Centre commun de recherche (CCR), ne correspondent pas à celles de l'Agence proposée.

22. Le Comité des régions craint que les recherches menées dans le domaine de la sécurité des réseaux et de l'information et financées au titre des programmes-cadres communautaires de R& D mais réalisées sans le soutien des principaux fabricants de logiciels présents sur le marché, ne débouchent pas sur les résultats pratiques escomptés. Il propose que parallèlement à ces recherches, un effort soit fourni afin d'obtenir des principaux fabricants mondiaux de logiciels un engagement accru dans la recherche sur la sécurité des réseaux et de l'information et dans son application immédiate.

23. Il constate avec préoccupation l'absence d'interopérabilité entre les différentes solutions technologiques proposées par les fabricants ainsi que leur manque d'intérêt pour l'élaboration de normes communes ouvertes.

24. Il recommande de ne pas encourager le recours à certaines solutions ou produits de chiffrement, dans la mesure où l'objectif doit être l'élaboration d'une norme commune ouverte et acceptée par tous les fabricants, qui engloberait l'ensemble des solutions.

25. Il juge fondamental que les différents fournisseurs européens de services de certification concluent des accords concernant la reconnaissance mutuelle des certificats émis par eux. Sans ce type d'accords, l'utilité des certificats électroniques serait extrêmement limitée, et leur utilisation moins répandue que prévu. Le fait que certaines administrations régionales fournissent des services de certification proposant des solutions non interopérables suscite une certaine préoccupation, dans la mesure où cela entraverait sans aucun doute la réalisation des objectifs relatifs à la cohésion et à la structuration de l'Europe des régions.

26. Le Comité accueille très favorablement l'initiative européenne de normalisation des signatures électroniques (EESSI), l'initiative en faveur des cartes à puce dans le cadre de eEurope ainsi que les initiatives de mise en oeuvre d'infrastructures à clé publique (PKI).

27. Il reconnaît que l'harmonisation des spécifications entraînera à la fois une plus grande interopérabilité et une mise en oeuvre accélérée par les acteurs du marché.

28. Il approuve toutes les actions proposées par la Commission en faveur d'une normalisation et d'une certification orientées vers les besoins du marché. Il juge nécessaire l'adoption d'une initiative juridique pour la reconnaissance mutuelle des certificats.

29. Il juge également nécessaire de vérifier régulièrement les progrès réalisés par les opérateurs de services de télécommunication en ce qui concerne les mesures d'ordre technique et organisationnel qu'ils doivent prendre pour garantir la sécurité de leurs services conformément aux dispositions de l'article 4 de la directive concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des télécommunications.

30. Le Comité souhaite attirer l'attention de la Commission sur la gravité des conséquences de la cybercriminalité du fait de groupes terroristes, dont l'objectif ultime est d'exercer une sorte de chantage politique en attaquant aussi violemment que possible les intérêts collectifs.

31. Il approuve toutes les actions concernant le cadre juridique, et juge nécessaire de rapprocher et d'harmoniser les législations nationales relatives à la cybercriminalité afin d'éviter l'apparition en Europe d'États dont la législation permettrait aux responsables d'actes illégaux d'agir impunément ou qui sanctionneraient de façon moins sévère de tels actes.

32. Il propose de promouvoir la création, au niveau national, d'unités de police spécialisées dans la cybercriminalité là où elles n'existent pas encore, et la coordination des unités existantes. Par ailleurs, il juge nécessaire de doter ces unités de ressources humaines et de moyens techniques appropriés.

33. Il recommande la désignation dans tous les États membres d'officiers publics spécialement chargés de lutter contre les cyberdélits et ayant reçu une formation spécifique approfondie leur permettant de jouer le rôle d'accusateur public avec toute l'efficacité nécessaire. La communication et la coordination entre ces officiers publics doivent être considérées comme fondamentales, de même que la formation des juges et des magistrats dans ce domaine, afin d'arriver à une poursuite effective des actes susceptibles de mettre en danger la sécurité des réseaux et de ceux qui y ont accès.

34. Il approuve pleinement la position de la Commission, selon laquelle en raison du développement du gouvernement en ligne - sur lequel de nombreuses collectivités locales et régionales ont parié pour améliorer leurs relations avec les citoyens, la qualité de leurs services et, parallèlement, le bien-être de leurs citoyens et leur participation démocratique -, les administrations publiques sont à la fois des exemples potentiels pour démontrer l'efficacité de solutions de sécurité et des acteurs du marché capables d'influencer les développements par leurs décisions d'achat. Dans ce sens, les administrations publiques ont le devoir, dans le cadre de leurs compétences, de promouvoir le développement de la société de l'information et de la connaissance. En l'absence de garantie concernant la sécurité des réseaux et des systèmes d'information utilisés au sein des administrations, il sera difficile de gagner la confiance des citoyens, et le développement de la nouvelle société pourrait s'en trouver gravement entravé.

35. Il suggère que les actions destinées aux administrations publiques soient ciblées sur les trois niveaux (local, régional et national), et que l'interopérabilité des solutions mises en oeuvre soit considérée comme un objectif prioritaire.

36. Il soutient vivement le renforcement du dialogue avec les organisations internationales et les partenaires en ce qui concerne la sécurité des réseaux, et plus particulièrement l'amélioration de la sécurité du fonctionnement des réseaux électroniques. Il invite la Commission à encourager l'organisation d'un sommet mondial sur la sécurité des réseaux et des systèmes d'informations, auquel seraient conviés les fabricants et les opérateurs, ainsi que la création d'un forum européen pour lutter contre les délits informatiques. De même, il invite les États membres à ratifier la Convention internationale sur la cybercriminalité qui vient d'être adoptée par le Conseil de l'Europe afin que cette Convention puisse entrer en vigueur le plus rapidement possible et que puissent être mis en oeuvre les instruments normatifs qui y sont prévus.

Bruxelles, le 15 novembre 2001.

Le Président

du Comité des régions

Jos Chabert

(1) JO L 93 du 26.4.1995.

(2) JO C 187 du 3.7.2001.

(3) JO L 8 du 12.1.2001.

(4) JO C 365 du 19.12.2000.