Avis du Comité économique et social européen sur la "Proposition de décision du Conseil relative à l'adoption d'un programme pluriannuel (2003-2005) portant sur le suivi du plan d'action eEurope, la diffusion des bonnes pratiques et l'amélioration de la sécurité des réseaux et de l'information (Modinis)"

(COM(2002) 425 final - 2002/0187 CNS)

(2003/C 61/29)

Le 19 septembre 2002, le Conseil a décidé, conformément aux dispositions de l'article 157 du traité instituant la Communauté européenne, de consulter le Comité économique et social européen sur la proposition susmentionnée.

Le 17 septembre 2002, le Bureau du Comité a chargé la section spécialisée "Transport, énergie, infrastructure, société de l'information" de préparer les travaux en la matière.

Lors de sa 394e session plénière du 24 octobre 2002 et étant donné l'urgence de la procédure, le Comité économique et social européen a désigné M. Retureau rapporteur général et a adopté à l'unanimité l'avis suivant.

1. Introduction

1.1. Le programme Modinis s'inscrit dans le prolongement de l'objectif des Conseils de Lisbonne des 23 et 24 mars 2000 (faire de l'UE l'économie de la connaissance la plus compétitive et assurer un suivi par la méthode ouverte de coopération) et de Feira des 19 et 20 juin 2000 adoptant le plan d'action eEurope 2002 et les perspectives d'encourager à long terme une économie du savoir encourageant l'accès de tous les citoyen(ne)s de l'Union aux nouvelles technologies.

1.2. Deux résolutions du Conseil, "plan d'action eEurope: sécurité de l'information et des réseaux" du 30 mai 2001(1) et "Approche commune et actions spécifiques dans le domaine de la sécurité des réseaux et de l'information", du 6 décembre 2001(2) demandaient aux États membres d'adopter des actions spécifiques appropriées et approuvaient la stratégie proposée par la Commission pour des réseaux et un internet plus sûrs et pour proposer la création d'une "task-force" européenne dédiée à la cybersécurité, comportant notamment une amélioration du système d'alerte rapide.

1.3. La proposition de décision à l'examen porte sur le suivi du plan eEurope, la diffusion des bonnes pratiques, la sécurité des réseaux et de l'information (art. 1 de la proposition).

1.4. Elle met en place un programme pluriannuel destiné:

- à mesurer et comparer les performances des états membres entre eux et avec les meilleures performances au niveau mondial, en s'appuyant essentiellement sur les statistiques et informations déjà disponibles;

- à mettre en place un mécanisme européen d'échanges d'expériences sur les meilleures pratiques;

- à analyser les effets économiques et sociaux de la SI pour trouver les meilleures réponses en termes de compétitivité et de cohésion;

- à soutenir les efforts en matière de sécurité des réseaux et à encourager le développement des réseaux à large bande (hauts débits).

1.5. Les actions du programme sont trans-sectorielles et complémentaires des actions communautaires menées dans d'autres domaines et d'autres programmes, qu'il convient de ne pas dupliquer.

1.6. Le programme fournit un cadre commun pour favoriser les interactions aux différents niveaux: communautaire, national, régional et local.

1.7. Les actions à entreprendre (art. 2), en cohérence avec les objectifs, prévoient en particulier:

- la collecte et l'analyse des données, sur la base de nouveaux indicateurs, centrées sur les informations relatives aux objectifs du plan eEurope 2005;

- des études sur les bonnes pratiques pour la réalisation d'eEurope 2005;

- l'organisation d'initiatives (séminaires, ateliers, etc.) en particulier pour stimuler la coopération et les échanges de bonnes pratiques;

- soutenir le forum sur la société de l'information (réseau d'experts connectés au Web), source de conseils pour la Commission en relation avec la réalisation de la SI;

- financer des initiatives de nature diverses en matière de sécurité des réseaux et de l'information, notamment des communications sans fil, et soutenir la task-force sur la cybersécurité;

- soutenir les efforts de sécurité aux divers niveaux en favorisant les échanges d'expériences (formation, ateliers, etc.).

1.8. La Commission passera des contrats appropriés pour la réalisation de ces actions concrètes, et apportera sa contribution propre à la collecte et à la diffusion d'informations, au développement de services Web, à l'organisation de rencontres d'experts, séminaires, conférences, et réalisera des travaux préparatoires concernant le système d'information et d'alerte en matière de sécurité des réseaux et de l'information (art. 3).

1.9. Le programme sera doté d'un budget de 25 millions d'EUR sur la période du 1er janvier 2003 au 31 décembre 2005, répartis annuellement sur les pays membres (art. 4). La Commission établira annuellement un plan de travail, assistée par un comité composé de représentants des états membres (art. 5 et 6).

1.10. L'aide communautaire fera l'objet de procédures de première évaluation, de contrôle et finalement d'évaluation ex-post. La Commission procédera à l'évaluation continue du programme pour vérifier son adéquation aux objectifs, et en informera le comité. À l'issue du programme, elle produira un rapport d'évaluation.

2. Observations générales

2.1. Le Comité s'est exprimé à diverses occasions dans nombre d'avis pour appuyer et encourager toutes les initiatives de promotion de la SI, telles que le plan eEurope, la politique de sécurité des réseaux et de l'information(3), la lutte contre la cybercriminalité(4), la nécessité de développer une société de la connaissance sans discriminations(5), le droit d'accéder à internet de manière sûre en termes de protection des données personnelles et de sécurité des transactions commerciales et des services informatiques(6).

2.2. L'étalonnage des performances permet de disposer d'un mécanisme commun d'analyse et de comparaison fiable, dans la mesure où les indicateurs sont bien choisis et où l'information collectée est pertinente. Une méthode commune à cet effet apporte indiscutablement, de l'avis du Comité, une valeur ajoutée essentielle au niveau communautaire.

2.3. Il estime également, comme la Commission, que pour réaliser pleinement les objectifs d'une société de la connaissance compétitive, le développement des accès haut débit constitue un besoin essentiel pour les européens, et devrait être considéré comme un service d'intérêt général, facilement accessible sur l'ensemble du territoire communautaire à un coût abordable, ce qui implique sa prise en compte en matière de fonds structurels et d'aide aux investissements appropriés par la BEI. Il appuie en conséquence la priorité donnée dans le programme aux réseaux à large bande.

2.4. Le Comité se demande si le financement du programme est en cohérence avec les multiples actions envisagées, qui concernent tous les pays et vont du niveau européen au niveau local et ont un caractère transversal. Mais tenant compte des délais de démarrage, les crédits non mobilisés éventuellement dès la première année devraient être reportés sur les deux années suivantes, et ce programme devrait être conçu comme expérimental, étant entendu que les perspectives de développement de la SI s'inscrivent dans le long terme, que les changements technologiques sont rapides, et que le plein potentiel en termes d'accès et d'utilisation n'est pas encore atteint, en particulier dans certaines régions défavorisées sous divers aspects.

2.5. Le Comité partage le point de vue de la Commission en ce qui concerne la nécessité d'éviter les doublons, compte tenu des nombreux programmes et actions déjà engagés et financés par la Communauté.

2.6. Le plan de travail préparé par la Commission, assistée par un comité composé de représentants des états membres, pourrait faire préalablement à son adoption l'objet de consultations et d'expertises aussi diversifiées que possible, par exemple par le biais du forum qui pourrait suggérer des projets ou des orientations nouvelles de travail en fonction des évolutions ou en incitant les états à instituer des procédures consultatives sur les thèmes du programme afin de tenir compte au mieux des propositions et des besoins exprimés par les usagers, les experts, et l'économie des réseaux.

2.7. Si les évaluations préalables et finales ainsi que les contrôles sont indispensables, le Comité suggère que la méthodologie ne soit néanmoins pas d'une lourdeur bureaucratique qui retarderait voire risquerait de paralyser des projets d'initiatives et d'actions par des associations ou petits groupes d'experts sans grands moyens financiers propres. Le programme ne doit pas être de fait accessible uniquement à des organismes institutionnels disposant déjà de financements propres ou externes ou d'équipes permanentes, et il doit au contraire permettre de mobiliser rapidement et largement toutes les forces créatives dans un domaine stratégique pour le présent et l'avenir de l'Union.

2.8. Finalement, le Comité soutient et encourage ce programme, dont il se propose de suivre les développements, l'état d'avancement et les résultats avec intérêt.

3. Observations particulières

3.1. Le Comité est particulièrement préoccupé par les questions de sécurité liées au développement des réseaux sans fil; selon un sondage récent, près de 80 % des entreprises françaises utilisant ces technologies ne seraient pas suffisamment conscientes des failles de sécurité que présentent ces technologies de communication en l'absence ou insuffisance de systèmes d'identification des connexions et de cryptage efficace des données transmises à l'aide des technologies actuelles. A titre d'exemple, dans le secteur du quartier de La Défense, au Nord-ouest de Paris, où sont concentrés les sièges sociaux des plus grandes entreprises, environ 40 % des connexions sans fil ne sont pas encore sécurisées efficacement(7).

3.1.1. Si les connexions sans fil offrent une grande souplesse d'utilisation, elles utilisent des ondes qui peuvent dépasser les limites des bâtiments où elles sont utilisées, elles peuvent être captées de l'extérieur avec des matériels très simples et offrir un accès à des intervenants hostiles qui "chassent" les connexions non sécurisées à partir de véhicules dans la rue (pratique dite du "wardriving").

3.1.2. Par ailleurs, des sites communautaires et publics sont parfois défacés par des crakers qui y affichent des messages plus ou moins cohérents; cela peut affecter la confiance dans la eAdministration. Les craintes des usagers en ce qui concerne la eÉconomie doivent également être prises en considération pour donner à la sécurisation du commerce électronique une attention particulière, afin de promouvoir ce moyen de développement des échanges au sein du Marché intérieur.

3.1.3. En fait, le programme devrait envisager concrètement tous les moyens de promouvoir dans la société une forte prise de conscience des questions de sécurité, qu'elles concernent les problèmes spécifiques à chaque technologie, l'architecture des réseaux ou les logiciels, la protection des données personnelles, les procédures de sauvegarde de l'information, afin que les réseaux et les informations stockées résistent aux accidents, aux catastrophes naturelles, et aux diverses formes d'agressions hostiles et de criminalité, comme l'espionnage économique, le piratage, ou le terrorisme. Sinon nous risquerions de mettre en danger la pérennité des entreprises ou de données essentielles au fonctionnement de l'économie et de l'administration. Il s'agit par divers moyens appropriés, de créer une véritable culture de la sécurité. Une telle culture repose en premier lieu sur la formation et sur la responsabilisation de tous les acteurs de la SI.

3.2. La culture de la sécurité doit être conçue de manière pleinement compatible avec la liberté d'information, de communication et d'expression, les libertés économiques, sociales et culturelles et en général tous les droits de la personne humaine; le Comité est préoccupé par diverses approches législatives dans plusieurs pays au cours de la dernière période, notamment suite aux attentats terroristes du 11 septembre 2001 contre les États-Unis, qui proposent ou veulent appliquer des mesures dont beaucoup sont utiles, mais dont certaines relatives à l'internet portent parfois atteinte de manière exagérée aux garanties de procédure, et risquent de faire peser une charge financière et matérielle disproportionnée ainsi que des responsabilités pénales excessives sur les fournisseurs d'accès et d'espace de stockage de données ou d'hébergement de sites tout en étant d'une efficacité contestable car elles ne sont pas ciblées mais prétendent surveiller l'ensemble des communications sur des périodes de longue durée (six mois à un an); cela pourrait accroître notablement, par ricochet, les coûts de connexion des usagers d'une manière contraire aux objectifs d'expansion de la SI, alors que les personnes ayant des intentions criminelles s'efforceront généralement avec succès (des technologies existent déjà) d'échapper à toute surveillance.

3.3. Un travail approfondi pour rechercher les moyens les plus efficaces de concilier d'une part la nécessaire protection de l'information et des réseaux, et plus largement la sécurité des personnes et des biens, avec d'autre part les libertés civiles et les droits des usagers à un accès large bande et bon marché pleinement sécurisé constituerait, aux yeux du Comité, une priorité importante pour le programme et dans les objectifs de la SI.

3.4. Enfin, le Comité suggère qu'il conviendrait d'envisager la faisabilité d'une évaluation très synthétique et périodique de l'ensemble des efforts engagés par la Communauté et les pays membres pour promouvoir la SI dans ses différents aspects, sorte de livre de bord des initiatives, programmes et actions réalisés aux différents niveaux, de leur coût global et des progrès réalisés, y compris dans les investissements pour les réseaux à large bande avec l'aide de fonds communautaires et d'autres fonds publics.

Bruxelles, le 24 octobre 2002.

Le Président

du Comité économique et social européen

Roger Briesch

(1) Résolution du Conseil sur la sécurité des réseaux et de l'information - voir: http://register.consilium.eu.int/ pdf/fr/01/st09/09799f1.pdf

(2) Résolution du Conseil relative à une approche commune et à des actions spécifiques dans le domaine de la sécurité des réseaux de l'information - JO C 43 du 16.2.2002.

(3) Avis du CES sur la "Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des régions sur la Sécurité des réseaux et de l'information: Proposition pour une approche politique européenne" - JO C 48 du 21.2.2002.

(4) Avis du CES sur la "Communication de la Commission au Conseil, au Parlement européen, au Comité économique et social et au Comité des régions - Créer une société de l'information plus sûre en renforçant la sécurité des infrastructures de l'information et en luttant contre la cybercriminalité" - JO C 311 du 7.11.2001.

(5) Avis du CES sur "L'information émanant du secteur public: une ressource clé pour l'Europe - Livre vert sur l'information émanant du secteur public dans la société de l'information" - JO C 169 du 16.6.1999.

(6) Avis du CES sur la "Proposition de directive du Parlement européen et du Conseil concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques" - JO C 123 du 25.4.2001.

(7) Source: revue SVM, octobre 2002.