La Cour suprême des États-Unis a rendu une décision qui pourrait bouleverser l’ensemble des régulations fédérales en matière de cybersécurité, transférant l’approbation réglementaire ultime aux tribunaux et éloignant les agences de régulation. Cette décision pourrait affaiblir presque toutes les réglementations fédérales américaines en matière de cybersécurité, y compris les règles de déclaration d’incidents de la SEC, les rapports de violations de données de la FCC et les règles de déclaration d’incidents cyber du CISA.Contexte de la décision
Dans l’affaire Loper Bright Enterprises c. Raimondo, la Cour suprême a voté six contre trois pour révoquer un précédent juridique connu sous le nom de déférence Chevron. Ce précédent, établi en 1984, exigeait que les tribunaux inférieurs se conforment aux interprétations des agences de régulation expertes lorsqu’il s’agissait d’interpréter l’intention du Congrès. Cependant, dans cette décision, la Cour a statué que les tribunaux, et non les agences de régulation, sont les arbitres ultimes de ce que dit la loi votée par le Congrès.
Une décision qui pourrait bouleverser toutes les réglementations fédérales en matière de cybersécurité
La Cour suprême des États-Unis a rendu une décision qui pourrait bouleverser toutes les réglementations fédérales en matière de cybersécurité, en confiant l'approbation finale des réglementations aux tribunaux et non plus aux organismes de réglementation. Une série d'actions en justice pourrait vider de sa substance la série d'exigences de l'administration Biden en matière de signalement des incidents cybernétiques et d'autres mesures réglementaires récentes dans le domaine de la cybersécurité.
La semaine dernière, dans l'affaire Loper Bright Enterprises v. Raimondo, la Cour a voté par six voix contre trois un renversement stupéfiant de près de 40 ans de droit réglementaire, en vidant de sa substance un précédent juridique connu sous le nom de "Chevron Deference". Décidé en 1984 par la Cour suprême, Chevron demande aux juridictions inférieures de s'en remettre aux agences réglementaires expertes dans les affaires nécessitant une interprétation de l'intention du Congrès.
Dans l'affaire Loper, la Cour suprême a statué que les tribunaux - et non les organismes de réglementation - sont les arbitres ultimes de ce que dit la loi du Congrès, jetant ainsi le doute sur des milliers de réglementations fédérales touchant pratiquement tous les aspects de la société, de la sécurité de l'environnement à la fraude financière.
Le président de la Cour suprême, John Roberts, a écrit au nom de la majorité dans l'affaire Loper : « Les tribunaux doivent exercer leur jugement indépendant pour décider si une agence a agi dans le cadre de son autorité statutaire ».
Roberts a également déclaré que les tribunaux ne peuvent pas s'en remettre à l'interprétation de la loi par une agence simplement parce qu'une loi promulguée par le Congrès est ambiguë. La décision de la Cour n'annule pas les décisions antérieures des tribunaux qui s'appuyaient sur l'arrêt Chevron, bien que les plaignants soient libres d'en débattre à nouveau.
La décision pourrait affaiblir toutes les réglementations fédérales en matière de cybersécurité
Bien que la décision de la Cour puisse potentiellement affaiblir ou modifier substantiellement toutes les exigences des agences fédérales en matière de cybersécurité jamais adoptées, une série d'initiatives réglementaires en matière de cybersécurité mises en œuvre au cours des quatre dernières années pourraient faire l'objet de contestations judiciaires. Les parties qui s'opposaient précédemment à ces initiatives, mais qui hésitaient peut-être à se battre en raison de la déférence de Chevron, seront probablement encouragées à contester ces réglementations.
Bien que toutes les réglementations existantes soient toujours en vigueur, le résultat pour les RSSI (responsable de la sécurité des systèmes d'information) est presque certainement un certain degré d'incertitude au moment où les contestations juridiques commencent. Une multitude de décisions contradictoires dans les différents circuits judiciaires des États-Unis pourrait semer la confusion dans les programmes de conformité jusqu'à ce que la fumée se dissipe.
Les RSSI doivent s'attendre à ce que certaines affaires judiciaires édulcorent ou éliminent de nombreuses exigences réglementaires en matière de cybersécurité.
Les réglementations récentes en matière de cybernétique sont les plus susceptibles d'être contestées
Une multitude de réglementations récemment adoptées dans le domaine de la cybernétique seront probablement contestées à la suite de l'arrêt de la Cour, mais certaines réglementations récentes se distinguent comme étant les principales candidates au contentieux. Il s'agit notamment des suivantes :
Les exigences de la SEC en matière de rapports sur les incidents cybernétiques : en 2023, la Securities and Exchange Commission (SEC) des États-Unis a adopté des règles exigeant que les entreprises enregistrées divulguent les incidents de cybersécurité importants qu'elles subissent dans les quatre jours suivant la détermination de leur importance et qu'elles divulguent chaque année des informations importantes concernant leur gestion, leur stratégie et leur gouvernance en matière de risques de cybersécurité. Toutefois, comme l'a fait remarquer le Center for Cybersecurity Law and Policy, les lois sur les valeurs mobilières et sur l'échange de valeurs mobilières sur lesquelles la SEC s'est appuyée pour établir ses règles ne font pas directement référence à la cybersécurité.
Règles de la FCC en matière de signalement des violations de données : en 2023, la Commission fédérale des communications (FCC) des États-Unis a mis à jour et renforcé ses règles de notification des violations de données pour les fournisseurs de communications afin de les protéger contre l'utilisation ou la divulgation inappropriée des données des clients. En publiant ses nouvelles règles, la FCC a considérablement élargi son pouvoir d'exécution en vertu de la loi sur les communications, qui portait sur la protection d'une catégorie très étroite de données sur les clients, appelées "Customer Proprietary Network Information" (CPNI), et non sur l'éventail beaucoup plus large de données sur les clients reflété dans les règles de la Commission.
Exigences de la CISA en matière de signalement des incidents cybernétiques : en avril 2024, l'Agence américaine pour la cybersécurité et la sécurité des infrastructures (CISA) a proposé une règle pour mettre en œuvre les exigences de déclaration des incidents cybernétiques en vertu de la loi de 2022 sur la déclaration des incidents cybernétiques pour les infrastructures critiques (CIRCIA). La règle ne devrait pas être finalisée avant 2025. Toutefois, la CISA a dû interpréter la CIRCIA de manière large lors de l'élaboration de sa réglementation.
Réglementation de la TSA sur les pipelines : en 2023, la Transportation Security Administration a publié une directive de sécurité exigeant que les pipelines de liquides et de gaz naturel et les installations de gaz naturel liquéfié améliorent les pratiques de cybersécurité et les mesures d'atténuation.
Exigences de la TSA en matière de cybersécurité pour les transporteurs ferroviaires de passagers et de marchandises : en 2022, l'administration de la sécurité des transports (TSA) a publié une nouvelle directive de sécurité en matière de cybersécurité qui impose aux transporteurs ferroviaires de passagers et de marchandises désignés d'améliorer leur préparation et leur résilience en matière de cybersécurité.
Exigences de la TSA en matière de cybersécurité pour les exploitants d'aéroports et d'aéronefs : l'administration de la sécurité des transports (TSA) a publié en urgence un nouvel amendement relatif à la cybersécurité pour les programmes de sécurité de certains exploitants d'aéroports et d'aéronefs réglementés par la TSA.
Exigences de la TSA en matière de cybersécurité pour les propriétaires et les opérateurs de transport de surface : en 2021, l'administration de la sécurité des transports (TSA) a publié deux nouvelles directives de sécurité et des orientations supplémentaires pour des mesures volontaires visant à renforcer la cybersécurité dans l'ensemble du secteur des transports.
Exigences de la loi Gramm-Leach-Bliley : en décembre 2021, la Federal Deposit Insurance Corporation (FDIC), le Board of Governors of the Federal Reserve System (Board) et l'Office of the Comptroller of the Currency (OCC) ont publié une règle finale commune pour établir les exigences de notification des incidents de sécurité informatique pour les organisations bancaires et leurs fournisseurs de services bancaires. La FDIC s'est appuyée sur les pouvoirs que lui confère la loi Gramm-Leach-Bliley (GLBA) de 1999. En vertu de la GLBA, la National Credit Union Administration et la Commodities Futures Trading Commission ont également adopté par la suite leurs règles de notification des incidents, tandis que la Federal Trade Commission a adopté une "règle de sauvegarde" pour les institutions financières afin de protéger les données des clients.
Les actions en cours et même les anciennes réglementations pourraient être remises en cause
Cette liste ne comprend pas plusieurs actions réglementaires importantes en cours qui, bien que non finalisées, sont en bonne voie de développement et pourraient être modifiées de manière significative par la décision Loper.
Par exemple, les règles en cours d'élaboration des gardes-côtes mettent à jour les réglementations en matière de sécurité maritime en ajoutant des règles spécifiquement axées sur l'établissement d'exigences minimales en matière de cybersécurité pour les navires battant pavillon américain. Une autre règle en cours d'élaboration, les exigences de la FCC relatives aux risques de sécurité du protocole Border Gateway, pourrait devoir modifier sa trajectoire à la suite de la décision de la Cour.
En outre, les parties pourraient tenter de faire sauter les anciennes exigences en matière de cybersécurité liées aux agences de régulation, telles que les règles de protection des infrastructures critiques (CIP) établies par la North American Electric Reliability Corporation (NERC). La Commission fédérale de régulation de l'énergie a donné à ces règles un caractère réglementaire en 2008. Les services publics et leurs associations professionnelles ont régulièrement contesté l'étendue et la profondeur de ces exigences.
Il est concevable que les règles établies par la Nuclear Regulatory Commission en mars 2009 pour garantir que les systèmes informatiques et de communication numériques associés à la sûreté et à la sécurité d'une centrale nucléaire soient protégés contre les cyberattaques puissent faire l'objet d'un nouvel examen judiciaire dans un monde post-Chevron.
Les réglementations existantes restent en vigueur, mais il faut s'attendre à des turbulences
Toutes les réglementations existantes en matière de cybernétique sont en vigueur, mais le statu quo pourrait changer rapidement, étant donné que les groupes conservateurs et les intérêts commerciaux ont probablement supposé pendant des mois que la Cour se débarrasserait de Chevron et pourraient maintenant être dans le processus final de préparation de leurs actions en justice.
« Je dirais qu'il reste à voir comment cela va se dérouler dans le temps », explique Harley Geiger, avocat chez Venable. « Mais l'effet immédiat le plus probable pourrait bien être la contestation juridique des réglementations ».
De nombreuses réglementations fédérales en matière de cybersécurité sont issues de la réinterprétation d'anciens statuts et lois qui n'ont pas nécessairement été créés en tenant compte des technologies émergentes, explique Geiger. « Les agences qui tentent de suivre le rythme des menaces ont dû appliquer des lois créées pour la protection des consommateurs ou la sécurité à de nouvelles attaques telles que les ransomwares, qui n'existaient pas il y a dix ans ou qui n'étaient pas aussi répandues il y a dix ans ».
« La nouvelle décision de la Cour suprême signifie que si ces réglementations sont contestées devant les tribunaux, il y aura moins de retenue à l'égard des décisions des agences et plus d'indépendance de la part des tribunaux pour modifier ou annuler les interprétations de la loi par les agences », explique Geiger. « Et cela s'appliquera à la fois aux réglementations déjà en vigueur et aux réglementations à venir ».
Sources : cour suprême des États-Unis, comprendre Chevron deference et ses implications, Winston
Et vous ?
Comment pensez-vous que cette décision affectera la cybersécurité aux États-Unis ? Quel impact potentiel voyez-vous pour les utilisateurs d'autres pays, comme la France par exemple ? Quelles sont les implications pour la vie privée des citoyens ? La décision de transférer l’approbation réglementaire aux tribunaux pourrait-elle entraîner une diminution de la protection de la vie privée en ligne ? Quels sont les avantages et les inconvénients de transférer l’approbation réglementaire aux tribunaux plutôt qu’aux agences de régulation ? Comment les entreprises technologiques devraient-elles réagir ? Face à l’incertitude réglementaire, quelles mesures les entreprises du secteur de la technologie devraient-elles prendre pour protéger leurs utilisateurs et leurs données ? Quel rôle les gouvernements devraient-ils jouer ? La décision de la Cour suprême soulève des questions sur le rôle des agences de régulation. Comment les gouvernements devraient-ils équilibrer la régulation et l’innovation technologique ?