La Cour suprme des tats-Unis a rendu une dcision qui pourrait bouleverser lensemble des rgulations fdrales en matire de cyberscurit, transfrant lapprobation rglementaire ultime aux tribunaux et loignant les agences de rgulation. Cette dcision pourrait affaiblir presque toutes les rglementations fdrales amricaines en matire de cyberscurit, y compris les rgles de dclaration dincidents de la SEC, les rapports de violations de donnes de la FCC et les rgles de dclaration dincidents cyber du CISA.
Contexte de la dcision
Dans laffaire Loper Bright Enterprises c. Raimondo, la Cour suprme a vot six contre trois pour rvoquer un prcdent juridique connu sous le nom de dfrence Chevron. Ce prcdent, tabli en 1984, exigeait que les tribunaux infrieurs se conforment aux interprtations des agences de rgulation expertes lorsquil sagissait dinterprter lintention du Congrs. Cependant, dans cette dcision, la Cour a statu que les tribunaux, et non les agences de rgulation, sont les arbitres ultimes de ce que dit la loi vote par le Congrs.
Une dcision qui pourrait bouleverser toutes les rglementations fdrales en matire de cyberscurit
La Cour suprme des tats-Unis a rendu une dcision qui pourrait bouleverser toutes les rglementations fdrales en matire de cyberscurit, en confiant l’approbation finale des rglementations aux tribunaux et non plus aux organismes de rglementation. Une srie d’actions en justice pourrait vider de sa substance la srie d’exigences de l’administration Biden en matire de signalement des incidents cyberntiques et d’autres mesures rglementaires rcentes dans le domaine de la cyberscurit.
La semaine dernire, dans l’affaire Loper Bright Enterprises v. Raimondo, la Cour a vot par six voix contre trois un renversement stupfiant de prs de 40 ans de droit rglementaire, en vidant de sa substance un prcdent juridique connu sous le nom de « Chevron Deference ». Dcid en 1984 par la Cour suprme, Chevron demande aux juridictions infrieures de s’en remettre aux agences rglementaires expertes dans les affaires ncessitant une interprtation de l’intention du Congrs.
Dans l’affaire Loper, la Cour suprme a statu que les tribunaux – et non les organismes de rglementation – sont les arbitres ultimes de ce que dit la loi du Congrs, jetant ainsi le doute sur des milliers de rglementations fdrales touchant pratiquement tous les aspects de la socit, de la scurit de l’environnement la fraude financire.
Le prsident de la Cour suprme, John Roberts, a crit au nom de la majorit dans l’affaire Loper : Les tribunaux doivent exercer leur jugement indpendant pour dcider si une agence a agi dans le cadre de son autorit statutaire .
Roberts a galement dclar que les tribunaux ne peuvent pas s’en remettre l’interprtation de la loi par une agence simplement parce qu’une loi promulgue par le Congrs est ambigu. La dcision de la Cour n’annule pas les dcisions antrieures des tribunaux qui s’appuyaient sur l’arrt Chevron, bien que les plaignants soient libres d’en dbattre nouveau.
La dcision pourrait affaiblir toutes les rglementations fdrales en matire de cyberscurit
Bien que la dcision de la Cour puisse potentiellement affaiblir ou modifier substantiellement toutes les exigences des agences fdrales en matire de cyberscurit jamais adoptes, une srie d’initiatives rglementaires en matire de cyberscurit mises en uvre au cours des quatre dernires annes pourraient faire l’objet de contestations judiciaires. Les parties qui s’opposaient prcdemment ces initiatives, mais qui hsitaient peut-tre se battre en raison de la dfrence de Chevron, seront probablement encourages contester ces rglementations.
Bien que toutes les rglementations existantes soient toujours en vigueur, le rsultat pour les RSSI (responsable de la scurit des systmes d’information) est presque certainement un certain degr d’incertitude au moment o les contestations juridiques commencent. Une multitude de dcisions contradictoires dans les diffrents circuits judiciaires des tats-Unis pourrait semer la confusion dans les programmes de conformit jusqu’ ce que la fume se dissipe.
Les RSSI doivent s’attendre ce que certaines affaires judiciaires dulcorent ou liminent de nombreuses exigences rglementaires en matire de cyberscurit.
Les rglementations rcentes en matire de cyberntique sont les plus susceptibles d’tre contestes
Une multitude de rglementations rcemment adoptes dans le domaine de la cyberntique seront probablement contestes la suite de l’arrt de la Cour, mais certaines rglementations rcentes se distinguent comme tant les principales candidates au contentieux. Il s’agit notamment des suivantes :
Les exigences de la SEC en matire de rapports sur les incidents cyberntiques : en 2023, la Securities and Exchange Commission (SEC) des tats-Unis a adopt des rgles exigeant que les entreprises enregistres divulguent les incidents de cyberscurit importants qu’elles subissent dans les quatre jours suivant la dtermination de leur importance et qu’elles divulguent chaque anne des informations importantes concernant leur gestion, leur stratgie et leur gouvernance en matire de risques de cyberscurit. Toutefois, comme l’a fait remarquer le Center for Cybersecurity Law and Policy, les lois sur les valeurs mobilires et sur l’change de valeurs mobilires sur lesquelles la SEC s’est appuye pour tablir ses rgles ne font pas directement rfrence la cyberscurit.
Rgles de la FCC en matire de signalement des violations de donnes : en 2023, la Commission fdrale des communications (FCC) des tats-Unis a mis jour et renforc ses rgles de notification des violations de donnes pour les fournisseurs de communications afin de les protger contre l’utilisation ou la divulgation inapproprie des donnes des clients. En publiant ses nouvelles rgles, la FCC a considrablement largi son pouvoir d’excution en vertu de la loi sur les communications, qui portait sur la protection d’une catgorie trs troite de donnes sur les clients, appeles « Customer Proprietary Network Information » (CPNI), et non sur l’ventail beaucoup plus large de donnes sur les clients reflt dans les rgles de la Commission.
Exigences de la CISA en matire de signalement des incidents cyberntiques : en avril 2024, l’Agence amricaine pour la cyberscurit et la scurit des infrastructures (CISA) a propos une rgle pour mettre en uvre les exigences de dclaration des incidents cyberntiques en vertu de la loi de 2022 sur la dclaration des incidents cyberntiques pour les infrastructures critiques (CIRCIA). La rgle ne devrait pas tre finalise avant 2025. Toutefois, la CISA a d interprter la CIRCIA de manire large lors de l’laboration de sa rglementation.
Rglementation de la TSA sur les pipelines : en 2023, la Transportation Security Administration a publi une directive de scurit exigeant que les pipelines de liquides et de gaz naturel et les installations de gaz naturel liqufi amliorent les pratiques de cyberscurit et les mesures d’attnuation.
Exigences de la TSA en matire de cyberscurit pour les transporteurs ferroviaires de passagers et de marchandises : en 2022, l’administration de la scurit des transports (TSA) a publi une nouvelle directive de scurit en matire de cyberscurit qui impose aux transporteurs ferroviaires de passagers et de marchandises dsigns d’amliorer leur prparation et leur rsilience en matire de cyberscurit.
Exigences de la TSA en matire de cyberscurit pour les exploitants d’aroports et d’aronefs : l’administration de la scurit des transports (TSA) a publi en urgence un nouvel amendement relatif la cyberscurit pour les programmes de scurit de certains exploitants d’aroports et d’aronefs rglements par la TSA.
Exigences de la TSA en matire de cyberscurit pour les propritaires et les oprateurs de transport de surface : en 2021, l’administration de la scurit des transports (TSA) a publi deux nouvelles directives de scurit et des orientations supplmentaires pour des mesures volontaires visant renforcer la cyberscurit dans l’ensemble du secteur des transports.
Exigences de la loi Gramm-Leach-Bliley : en dcembre 2021, la Federal Deposit Insurance Corporation (FDIC), le Board of Governors of the Federal Reserve System (Board) et l’Office of the Comptroller of the Currency (OCC) ont publi une rgle finale commune pour tablir les exigences de notification des incidents de scurit informatique pour les organisations bancaires et leurs fournisseurs de services bancaires. La FDIC s’est appuye sur les pouvoirs que lui confre la loi Gramm-Leach-Bliley (GLBA) de 1999. En vertu de la GLBA, la National Credit Union Administration et la Commodities Futures Trading Commission ont galement adopt par la suite leurs rgles de notification des incidents, tandis que la Federal Trade Commission a adopt une « rgle de sauvegarde » pour les institutions financires afin de protger les donnes des clients.
Les actions en cours et mme les anciennes rglementations pourraient tre remises en cause
Cette liste ne comprend pas plusieurs actions rglementaires importantes en cours qui, bien que non finalises, sont en bonne voie de dveloppement et pourraient tre modifies de manire significative par la dcision Loper.
Par exemple, les rgles en cours d’laboration des gardes-ctes mettent jour les rglementations en matire de scurit maritime en ajoutant des rgles spcifiquement axes sur l’tablissement d’exigences minimales en matire de cyberscurit pour les navires battant pavillon amricain. Une autre rgle en cours d’laboration, les exigences de la FCC relatives aux risques de scurit du protocole Border Gateway, pourrait devoir modifier sa trajectoire la suite de la dcision de la Cour.
En outre, les parties pourraient tenter de faire sauter les anciennes exigences en matire de cyberscurit lies aux agences de rgulation, telles que les rgles de protection des infrastructures critiques (CIP) tablies par la North American Electric Reliability Corporation (NERC). La Commission fdrale de rgulation de l’nergie a donn ces rgles un caractre rglementaire en 2008. Les services publics et leurs associations professionnelles ont rgulirement contest l’tendue et la profondeur de ces exigences.
Il est concevable que les rgles tablies par la Nuclear Regulatory Commission en mars 2009 pour garantir que les systmes informatiques et de communication numriques associs la sret et la scurit d’une centrale nuclaire soient protgs contre les cyberattaques puissent faire l’objet d’un nouvel examen judiciaire dans un monde post-Chevron.
Les rglementations existantes restent en vigueur, mais il faut s’attendre des turbulences
Toutes les rglementations existantes en matire de cyberntique sont en vigueur, mais le statu quo pourrait changer rapidement, tant donn que les groupes conservateurs et les intrts commerciaux ont probablement suppos pendant des mois que la Cour se dbarrasserait de Chevron et pourraient maintenant tre dans le processus final de prparation de leurs actions en justice.
Je dirais qu’il reste voir comment cela va se drouler dans le temps , explique Harley Geiger, avocat chez Venable. Mais l’effet immdiat le plus probable pourrait bien tre la contestation juridique des rglementations .
De nombreuses rglementations fdrales en matire de cyberscurit sont issues de la rinterprtation d’anciens statuts et lois qui n’ont pas ncessairement t crs en tenant compte des technologies mergentes, explique Geiger. Les agences qui tentent de suivre le rythme des menaces ont d appliquer des lois cres pour la protection des consommateurs ou la scurit de nouvelles attaques telles que les ransomwares, qui n’existaient pas il y a dix ans ou qui n’taient pas aussi rpandues il y a dix ans .
La nouvelle dcision de la Cour suprme signifie que si ces rglementations sont contestes devant les tribunaux, il y aura moins de retenue l’gard des dcisions des agences et plus d’indpendance de la part des tribunaux pour modifier ou annuler les interprtations de la loi par les agences , explique Geiger. Et cela s’appliquera la fois aux rglementations dj en vigueur et aux rglementations venir .
Sources : cour suprme des tats-Unis, comprendre Chevron deference et ses implications, Winston
Et vous ?
Comment pensez-vous que cette dcision affectera la cyberscurit aux tats-Unis ? Quel impact potentiel voyez-vous pour les utilisateurs d’autres pays, comme la France par exemple ?
Quelles sont les implications pour la vie prive des citoyens ? La dcision de transfrer lapprobation rglementaire aux tribunaux pourrait-elle entraner une diminution de la protection de la vie prive en ligne ?
Quels sont les avantages et les inconvnients de transfrer lapprobation rglementaire aux tribunaux plutt quaux agences de rgulation ?
Comment les entreprises technologiques devraient-elles ragir ? Face lincertitude rglementaire, quelles mesures les entreprises du secteur de la technologie devraient-elles prendre pour protger leurs utilisateurs et leurs donnes ?
Quel rle les gouvernements devraient-ils jouer ? La dcision de la Cour suprme soulve des questions sur le rle des agences de rgulation. Comment les gouvernements devraient-ils quilibrer la rgulation et linnovation technologique ?