Allez à l’accueil > Cybersécurité et sécurité de l'information > Cadre légal

International

L'Union européene (UE) adopte différents types d'actes législatifs qui visent à remplir les objectifs fixés dans les traités. Tous ne sont pas contraignants. Certains s'appliquent à tous les États membres de l'UE, d'autres uniquement à quelques-uns. Ainsi les règlements sont des actes législatifs contraignants, qui doivent être mis en œuvre dans leur intégralité dans toute l'UE. Les directives, quant à elles, fixent des objectifs à tous les États membres de l'UE, mais laissent à chacun le choix des moyens pour les atteindre. Il revient à chaque État membre d'élaborer ses propres lois pour déterminer comment appliquer ces directives.

Règlements de l'UE :

Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).

Directives de l'UE :

Directive du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données. Cette directive vise à favoriser l’élaboration de codes de conduite nationaux et communautaires destinés à contribuer à la bonne application des dispositions nationales et communautaires.
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 relative au traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.
Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection.
Directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n° 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs.
Directive 2013/40/EU du Parlement européen et du Conseil, du 12 août 2013, relative aux attaques contre les systèmes d'information et remplaçant la décision-cadre 2005/222/JAI du Conseil.
Directive (UE) 2016/1148 du Parlement européen et du Conseil, du 6 juillet 2016, concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.

Décisions du Conseil de l'UE :

Décision-cadre du Conseil du 24 février 2005 relative aux attaques visant les systèmes d’information, dans le but de rapprocher les législations européennes et le cas échéant, de permettre à certains États de compléter leurs dispositions internes.

Le Conseil de l'Europe adopte des conventions en vue de faciliter la coopération internationale :

Convention du Conseil de l'Europe du 23 novembre 2001 relative à la cybercriminalité, tendant à encourager l’harmonisation des législations et à faciliter la coopération internationale.
Convention de sauvegarde des droits de l’Homme et des libertés fondamentales, adoptée par le conseil de l’Europe (Rome 4/11/1950).

L'OCDE définit des lignes directrices sur la protection de la vie privée et les flux transfrontières de données de caractère personnel :

Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données à caractère personnel (23 septembre 1980).
Déclaration des flux transfrontières de données (1985).
Déclaration des ministres relative à la protection de la vie privée sur les réseaux mondiaux (1998).
Lignes directrices de l’OCDE régissant la sécurité des systèmes et réseaux d’information (recommandation de l’OCDE du 25 juillet 2002).
Digital Security Risk Management for Economic and Social Prosperity: OECD Recommendation and Companion Document (2015)

Au niveau international, les grands principes éthiques proviennent des sources suivantes :

Déclaration universelle des droits de l’homme adoptée par l’assemblée générale des Nations Unies le 10 décembre 1948 à Paris et en particulier la protection de sa vie privée, sa famille, son domicile ou sa correspondance.
Principes directeurs de l’ONU pour la réglementation des fichiers informatisés contenant des données à caractère personnel adoptée le 14 décembre 1990 par l'Assemblée générale des Nations Unies dans sa résolution 45/95 du 14 décembre 1990 :

les principes concernant les garanties minimales qui devraient être prévues dans les législations nationales ;
l’application des principes directeurs aux fichiers contenant des données à caractère personnel, détenus par les organisations internationales gouvernementales.