52003AE0747

Avis du Comité économique et social européen sur la "Proposition du Parlement européen et du Conseil instituant l'Agence européenne chargée de la sécurité des réseaux et de l'information"

(COM(2003) 63 final - 2003/0032 (COD))

(2003/C 220/07)

Le 3 mars 2003, le Conseil a décidé, conformément aux dispositions des articles 95 et 156 du traité instituant la Communauté européenne, de saisir le Comité économique et social européen d'une demande d'avis sur la proposition susmentionnée.

La section spécialisée "Transports, énergie, infrastructures, société de l'information", chargée de préparer les travaux en la matière, a adopté son avis le 5 juin 2003 (rapporteur: Göran Lagerholm).

Lors de sa 400e session plénière des 18 et 19 juin 2003 (séance du 18 juin), le Comité économique et social européen a adopté le présent avis par 71 voix pour et 1 abstention.

1. Introduction

1.1. Les systèmes d'information revêtent une importance cruciale pour l'ensemble de l'économie. Leur importance est non seulement vitale pour la plupart des secteurs de l'industrie, mais aussi fondamentale pour le secteur public, les universités et les lycées, et pour les personnes privées. Les dysfonctionnements des réseaux et des systèmes informatiques affectent tout un chacun, qu'il s'agisse des individus, des administrations publiques ou des entreprises.

1.2. Une intensification de la coordination entre les États membres serait bénéfique pour la Communauté européenne car elle permettrait de parvenir à un niveau de sécurité satisfaisant dans tous les États membres. Tel est l'objectif de la communication de la Commission sur la sécurité des réseaux et de l'information de juin 2001(1).

1.3. C'est pourquoi la sécurité est devenue une préoccupation majeure pour les utilisateurs, et par là même aussi une préoccupation politique majeure. Depuis le 11 septembre 2001, la fonctionnalité des systèmes d'information est aussi devenue une question de sécurité nationale. Toutefois, l'état d'avancement des actions engagées varie selon les États membres et ces derniers ont adopté des orientations prioritaires différentes. Il n'existe pas de coopération transfrontière systématique entre États membres en matière de sécurité des réseaux et de l'information, bien que les questions de sécurité ne puissent pas être considérées comme un problème isolé ne concernant qu'un seul pays. Il n'existe pas de mécanisme qui garantisse des réactions efficaces en cas de menaces pour la sécurité. La mise en oeuvre du cadre juridique est variable. L'on constate un manque d'interopérabilité qui nuit à une bonne utilisation des produits de sécurité.

1.4. L'agence proposée est destinée à faciliter l'application des mesures communautaires relatives à la sécurité des réseaux et de l'information et à permettre d'assurer l'interopérabilité des fonctions de sécurité dans les réseaux et systèmes d'information, ce qui contribuera au fonctionnement du marché intérieur.

1.5. L'Agence aura une fonction consultative et une mission de coordination. Il s'agit:

- de contribuer à l'instauration d'une coopération de grande envergure entre les différents acteurs dans le domaine de la sécurité de l'information;

- d'instaurer une approche coordonnée de la sécurité de l'information en fournissant une assistance aux États membres;

- d'apporter un concours à l'inventaire des besoins pertinents en matière de normalisation;

- de fournir une assistance en ce qui concerne les contacts de la Communauté avec les parties concernées dans les pays tiers.

1.6. La Commission devrait pouvoir assigner des tâches supplémentaires à cette Agence afin de rester en prise avec l'évolution actuelle de la technique et de la société.

1.7. Il est proposé que l'Agence devienne opérationnelle au 1er janvier 2004 et qu'elle fonctionne pendant 5 ans. La poursuite des activités de l'agence dépendra des résultats de l'évaluation de son fonctionnement.

2. Observations générales

2.1. En différentes occasions et dans divers avis, le CESE s'est déclaré favorable à toutes les initiatives qui favorisent la société de l'information, par exemple le plan d'action "eEurope" - la sécurité des réseaux(2), la lutte contre la criminalité informatique(3), l'évolution nécessaire d'une société de la connaissance sans discrimination(4) et le droit à un accès sûr à l'Internet du point de vue de la protection des données personnelles, ainsi que la sécurité des paiements liés à des transactions commerciales et la sécurité des services d'information(5).

2.2. Tout comme la Commission, le CESE estime qu'il est très important que les réseaux et les systèmes d'information fonctionnent en toute sécurité. Les dysfonctionnements des réseaux et des systèmes d'information concernent tout un chacun: les citoyens, les entreprises et les administrations. Dans la perspective actuelle, l'objet de la sécurité des réseaux et de l'information est le suivant: sécuriser l'accès aux services et aux données, empêcher l'interruption des communications et l'accès non autorisé aux communications, pouvoir recevoir confirmation du caractère complet et de l'intégrité des données qui ont été transmises, reçues ou sauvegardées, protéger les systèmes d'information contre les accès non autorisés et contre les attaques, etc. Il faut que les utilisateurs se sentent en confiance avec les nouvelles technologies, quel que soit le lieu d'utilisation: entreprises, lycées ou domicile. Les exigences de sécurité se renforcent à mesure que l'utilisation des réseaux et des ordinateurs au sein de la collectivité se développe et se répand dans les États membres, en Europe et dans le monde. À cet égard, le Comité souhaite souligner tout particulièrement l'importance qu'il y a à ce que les exigences de sécurité de la collectivité s'adaptent aussi aux nouveaux comportements des utilisateurs qui se font jour à la faveur de cette évolution rapide et intègrent ces comportements. L'utilisation accrue de l'Internet mobile et de nouveaux systèmes de radiocommunications font naître des impératifs nouveaux en matière de sécurité, de cryptage, d'accès, etc.

2.3. La confiance des utilisateurs vis-à-vis des technologies de l'information et leur confiance aussi en la société de l'information et en son infrastructure sous-jacente sont des conditions fondamentales à remplir si l'on veut faire de l'Europe l'économie de la connaissance la plus compétitive et la plus dynamique du monde avant 2010. Atteindre les objectifs du plan d'action "eEurope", en ce qui concerne l'utilisation des services de la société de l'information, tels que les transactions commerciales électroniques, les soins de santé électroniques, l'administration électronique et les marchés électroniques etc., suppose un meilleur accès à une infrastructure sécurisée et un haut degré de confiance des utilisateurs vis-à-vis des technologies de l'information.

2.4. Comme le constate la Commission, l'état d'avancement des actions engagées en matière de sécurité varie selon les États membres, et il faut probablement attribuer cela au fait que l'utilisation des services électroniques est plus ou mois répandue d'un État membre à l'autre. Une réalisation intégrale de la société de l'information dans la Communauté suppose des mesures communes, ainsi que l'adoption de normes communes, de critères communs de certification et de solutions communes en matière de sécurité. Il s'agit là d'une nécessité essentielle pour les individus, pour les entreprises, pour les universités et pour les administrations dans l'ensemble du territoire de la Communauté. Il n'est plus possible de considérer les problèmes de sécurité comme propres à tel ou tel pays. C'est pourquoi le CESE est favorable à la proposition de la Commission qui vise à instituer une agence européenne chargée de la sécurité des réseaux et de l'information.

2.5. Autre est la question d'une coopération européenne par rapport à des menaces dirigées contre la société de l'information qui relèvent d'une politique de la sécurité et qui appellent une coopération entre les autorités policières et judiciaires des États membres. Il importe de distinguer les menaces qui sont dirigées contre les États et qui sont subversives pour la collectivité de celles qui sont dirigées contre les citoyens de la Communauté et leur utilisation des services de la société de l'information à des fins individuelles. Les premières ne sauraient être traitées efficacement au niveau régional et requièrent uniquement des formes globales de coopération. Le Comité, qui a conscience de la proximité de ces menaces, partage le sentiment de la Commission selon lequel l'agence ne devra pas traiter les questions qu'il appartient normalement aux services de sécurité et de défense, ainsi qu'aux autorités policières et judiciaires des États membres de traiter. Toutefois, lors d'une future évaluation des activités de l'agence, il conviendra d'indiquer si cette restriction a eu des conséquences négatives pour les travaux de l'agence et s'il y a lieu de préciser particulièrement la distinction entre ce qui relève de la sécurité nationale et ce qui relève de la sécurité fonctionnelle de l'information.

2.6. Le CESE entend souligner combien il est souhaitable que l'activité de l'agence débute au plus tôt. Il importe de ne laisser aucun obstacle matériel, par exemple de longues délibérations concernant le lieu du siège, retarder le démarrage de l'agence: il conviendrait que celui-ci ait lieu au plus tard le 1er janvier 2004.

3. Observations particulières

3.1. Le CESE est d'avis qu'il faut définir l'objet de l'agence plus largement que ne le fait la Commission dans la disposition pertinente de la proposition. En plus de susciter une compréhension commune des problèmes de la société de l'information ou de soutenir des mesures communautaires concernant la sécurité des réseaux et la sécurité de l'information, il convient que l'agence ait aussi expressément pour mission de contribuer à la diffusion des connaissances et des expériences relatives à la sécurité des réseaux et de l'information entre États membres. Cela peut aider à empêcher la formation d'un "fossé numérique" à l'intérieur de la Communauté. Cela contribuera aussi à améliorer d'une part, les possibilités dont disposent aussi bien la Communauté que les États membres pour résoudre les problèmes ayant trait à la sécurité des réseaux et de l'information et d'autre part, la confiance et l'assurance des utilisateurs vis-à-vis des technologies et de l'information et vis-à-vis de la société de l'information et de son infrastructure sous-jacente.

3.2. Comme l'affirme la Commission, la structure organisationnelle devrait permettre aux diverses parties intéressées de participer aux travaux de l'agence. Cela importe tout spécialement en ce qui concerne les groupements d'utilisateurs des secteurs professionnels, les universités, les particuliers, etc. Bien entendu, il faut aussi que les fournisseurs soient représentés. C'est pourquoi le Comité est favorable à la proposition selon laquelle le conseil d'administration de l'agence devrait comprendre des représentants des consommateurs et des secteurs professionnels. En revanche, le Comité ne voit pas de raison de priver de l'exercice du droit de vote ces représentants, d'autant moins que selon la proposition, lesdits représentants seront nommés par le Conseil. En ce qui concerne l'expérience de l'utilisation des services de la société de l'information et la connaissance du marché, l'industrie, les chercheurs et les consommateurs ont souvent de l'avance sur les représentants des administrations.

3.3. Pour l'essentiel, le CESE est en mesure d'adhérer à la proposition concernant l'activité de l'agence, telle que celle-ci est décrite au paragraphe 3.5. Le Comité souhaite toutefois formuler quelques observations complémentaires.

3.3.1. Pour ce qui est du programme de travail de l'agence, le Comité estime que l'agence doit disposer de ressources lui permettant non seulement d'accomplir les tâches qui résultent du programme de travail, mais aussi de traiter des questions de sécurité imprévues et d'intérêt immédiat, ce qui signifie qu'elle doit avoir les ressources nécessaires pour traiter aussi les incidents imprévus. C'est pourquoi il ne faut pas qu'à cause des programmes de travail, les activités à long terme empêchent l'agence de traiter des questions de sécurité ou de confiance qui ont un intérêt immédiat et qui n'étaient pas prévues.

3.3.2. S'agissant de la question de savoir qui aura qualité pour adresser à l'agence des demandes d'avis, le CESE estime que les organisations centrales des secteurs professionnels et les organisations centrales de consommateurs des États membres devraient aussi avoir cette faculté.

3.3.3. Le Comité présume que des représentants des utilisateurs des organisations des secteurs professionnels et des organisations de consommateurs seront associés aux groupes de travail constitués par l'agence et auront ainsi la possibilité d'exercer une influence directe sur les activités de normalisation et de certification, par exemple. L'exercice des missions de l'agence en ces domaines nécessite la participation active de l'industrie.

3.4. À propos des dispositions financières, il est essentiel, de l'avis du CESE, d'indiquer expressément et de garantir qu'il est exclu de rendre les activités et la situation financière de l'agence dépendantes d'éventuelles cotisations de pays tiers participants aux travaux de l'agence.

3.5. Le Comité partage le sentiment de la Commission selon lequel il convient, dès après trois ans, de procéder à une évaluation en vue de déterminer si la solution institutionnelle proposée est la plus appropriée pour traiter les questions de la sécurité des réseaux et de l'information, ainsi que de la confiance et de l'assurance des utilisateurs vis-à-vis des technologies de l'information et vis-à-vis de la société de l'information et de son infrastructure.

3.6. Concernant le siège de l'agence, le CESE estime qu'en plus des critères que définit la Commission, il est essentiel de prévoir que la localisation de l'agence lui permette de fonctionner dans un environnement qui possède les caractéristiques suivantes:

- la présence d'une riche infrastructure dotée d'une forte capacité de transmission;

- un ensemble bien développé de services publics électroniques;

- l'intégration des transactions commerciales électroniques en tant que composantes normales de l'industrie et une communauté d'utilisateurs, au sens large, constituée de praticiens habituels des technologies de l'information.

Ainsi, l'agence aurait la possibilité de fonctionner au sein d'une société développée de l'information et d'observer et de détecter sur place les risques et les menaces que l'agence est chargée d'étudier, d'évaluer et de faire largement connaître, etc. Cela devrait avoir un intérêt tout particulier du point de vue des possibilités de l'agence de suivre les problèmes que rencontrent dans la société de l'information les simples citoyens et les très petites entreprises. Ces catégories d'utilisateurs sont celles qui, sans cela, ont le moins de chances de voir leurs intérêts pris en compte dans la coopération interétatique. Une telle localisation devrait contribuer dans une mesure déterminante à donner à l'agence les moyens de réaliser efficacement ses missions.

Bruxelles, le 18 juin 2003.

Le Président

du Comité économique et social européen

Roger Briesch

(1) COM(2001) 298 final.

(2) Avis du Comité économique et social sur la "Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des régions - Sécurité des réseaux et de l'information: Proposition pour une approche politique européenne" (JO C 48 du 21.2.2002), et sur la "Proposition de décision du Conseil relative à l'adoption d'un programme pluriannuel (2003-2005) portant sur le suivi du plan d'action eEurope, la diffusion des bonnes pratiques et l'amélioration de la sécurité des réseaux et de l'information (Modinis)" (COM(2002) 425 final).

(3) Avis du Comité économique et social sur la "Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des régions - Créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité" (JO C 311 du 7.11.2001).

(4) Avis du Comité économique et social sur "L'information émanant du secteur public: une ressource clé pour l'Europe - Livre vert sur l'information émanant du secteur public dans la société de l'information" (JO C 169 du 16.6.1999).

(5) Avis du Comité économique et social sur la "Proposition de directive du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques" (JO C 123 du 25.4.2001).