Le 23 juin 2016 les britanniques votent en faveur du Brexit lors du référendum promis par David Cameron. S’en suivent alors le déclenchement de l’article 50 du Traité Fondamental de l’Union Européenne encadrant la sortie d’un pays membre et l’ouverture des négociations. Le 15 janvier 2019, après dix-sept mois de négociations, les députés britanniques rejettent l’accord organisant la sortie de l’Angleterre (GB) de l’UE, sortie devant avoir lieu le 30 mars 2019. Cet accord rejeté, le no deal composerait une sortie brutale et désorganisée marquée principalement par un retour aux barrières douanières et la fin de la libre circulation. L’interrogation relative à l’impact du rejet de cet accord sur les obligations légales et réglementaires européennes devient alors légitime. Il s’agit donc de connaître des conséquences légales, réglementaires et annexes de cette rupture afin d’en évaluer l’impact potentiel sur les activités liées à la cybersécurité.
De l’impact général, légal et réglementaire du Brexit
L’accord avait pour objectif d’organiser au mieux la sortie de la GB pour faciliter la transition des expatriés britanniques et des travailleurs transfrontaliers au sein du renouveau géopolitique européen. Dans le cas où aucun accord de sortie ne serait trouvé d’ici la date butoir, les ressortissants britanniques ne seront plus citoyens européens. Dès lors, ils ne pourront plus invoquer ou recourir au droit européen (traité, convention, directive, principe, règlement, accord). A titre d’illustration, les personnes physiques ne pourront plus bénéficier de la carte européenne d’assurance maladie permettant la prise en charge sur place des soins médicaux.
Mais au-delà de cela, l’impact est en réalité d’ampleur continentale, l’économie même de l’UE s’en trouvant bouleversée, tout comme les rapports diplomatiques et politiques.
Sur le plan économique, la fin de la libre circulation des biens et des personnes entraîne des coûts supplémentaires et implique une redéfinition logistique en terme de transports et de temps pour les entreprises françaises et européennes entretenant des relations commerciales avec les entreprises anglaises. En dernier lieu, la perte de la participation financière des anglais au budget européen est considérable et cette baisse du budget devra être rééquilibrée par une nouvelle répartition dudit budget entre la France, l’Allemagne et les autres pays membres.
De l’impact sur le cyberwarefare à travers le RGPD
Il est à prévoir que le cyberwarefare ne restera pas à l’écart de ce bouleversement pour autant, bien que la mise en place récente du RGPD continue de s’appliquer par extension.
En effet, ce règlement ne s’appliquant en principe qu’aux pays membres de l’UE, le législateur a inséré une subtilité résidant dans ses articles second et troisième. Ces derniers, disposant du champ d’application matériel et territorial, prévoient qu’en réalité toutes structures traitant ou hébergeant des données personnelles des citoyens européens doivent leur apporter les garanties sécuritaires exigées par le RGPD. En somme, les données personnelles des citoyens européens, hébergées, ou traitées en GB restent protégées par extension du RGPD. Cependant, il n’en est pas de même pour les autres textes législatifs européens, directives, règlements ou normes.
A ce sujet, le groupe Xerfi a établi un palmarès des détenteurs de data center et de cloud server. Leur étude relève que “Sur les 3 209 centres de données répertoriés dans le monde, près de 40% sont installés aux Etats-Unis ; les US sont le siège des principaux leaders de l’hébergement et du cloud à l’instar de Rackspace, Verizon, IBM ou Equinix. La GB et l’Allemagne arrivent loin derrière les USA avec respectivement 207 et 168 centres de données. A la quatrième marche, la France en compte 137.”
Ainsi, ces chiffres démontrent que la majeure partie des données européennes ne sont pas hébergées sur le sol européen. L’impact du Brexit touchera donc les entreprises ayant recours à des data center britanniques. Or, dans leur lutte permanente contre les GAFA, les entreprises françaises ont plutôt tendance depuis peu à héberger leurs données en GB, en Allemagne ainsi qu’en Roumanie.
L’évaluation du nombre d’entreprises directement impactées par le Brexit via l’impact du RGPD sur les data centers reste toutefois difficilement mesurable. Gardons simplement à l’esprit que l’UE s’est imposée face aux USA avec cinq des douze data centers du palmarès européens, deux d’entre eux étant situés en France (Telhouse TH2 & Equinix PA2). Le bon sens serait d’appeler les entreprises françaises ou européennes à rapatrier leurs données actuellement hébergées en GB. Si la Russie et la Chine ont déjà adopté ce système, l’UE laisse encore l’entrepreneuriat libre de ses choix.
De l’esquisse d’une menace pour le domaine de la cybersécurité
“Deal or no deal”, trois domaines principaux de la cybersécurité sont visés : l’emploi, la conformité réglementaire et le partage d’informations. A cet égard, les conventions et les accords concernant la lutte antiterroriste notamment, ainsi que ceux relatifs aux cyberattaques massives seront également impactés tout comme la coopération sécuritaire policière et judiciaire via EUROPOL. La rupture de la confiance numérique à l’échelle européenne se matérialise peu à peu, bien que celle-ci trouve ses prémices dans l’affaire Snowden. La GB étant un signataire de l’accord UKUSA traitant de la collaboration relative à la collecte de renseignements par les FIVE EYES (à savoir les USA, la GB, le Canada, l’Australie et la Nouvelle-Zélande), elle serait un membre actif de cette agence de renseignements supranationale faisant échec aux droits des personnes. Le retrait des britanniques de l’UE semblerait alors constituer une garantie des droits et libertés fondamentales des utilisateurs, répondant ainsi à l’objectif d’une stratégie européenne pour une plus grande indépendance de l’information, de la vie privée et, de la démocratie. Bien qu’en principe le cyberworld, comme les différents secteurs le composant, soit dématérialisé et sans frontières, les frontières physiques, elles, sont bien réelles.
Plus précisément, au sein du domaine de la cybersécurité, un rapport de force est à prévoir avec la force cyber britannique et celle française, voire européenne. La politique a donc une influence phénoménale sur l’évolution du concept même de cybersécurité. Nouvelle arme de guerre redoutable, la marine nationale française a d’ailleurs été récemment hackée par les russes. Après la course au nucléaire, la course au cyber est lancée, dessinant des parallèles glaçant avec la guerre froide d’après certains politiciens.
Concrètement, tout cela signifie que les entreprises prestataires en cybersécurité devront faire face à un problème de nationalisation des systèmes sécuritaires en cyber, en somme à un rétrécissement du marché: entre la Chine, la Russie et désormais l’indépendance souveraine de la GB, l’idéal poursuivi par les directives européennes de la confiance dans le cyberworld semble être hors de portée malgré la prise de position du parlement européen postérieur à l’affaire Snowden.
L’impact supposé sur ce business est d’ordre économique via la possible réhabilitation des barrières douanières; d’ordre social, via une politique plus stricte en matière d’emploi et de mobilité des personnes; d’ordre légal, via la possible nationalisation des systèmes et entreprises traitant de tous domaines relatif à la cybersécurité. L’enjeu est donc vital : la cybersécurité est au centre des nouveaux conflits, principal axe de développement de l’armée quels que soient les états. Il s’agirait donc d’une nouvelle guerre du cyber entremêlant politique, économie et innovation. Là où la cybersécurité est un domaine commercial en plein essor, celui-ci pourrait être freiné soudainement au niveau de l’implémentation et de l’internationalisation de ces prestations à cause de ces nouveaux enjeux politiques et géopolitiques.
Découvrez notre playground Trust & Cybersecurity
Sources : RGPD text /Forbes Magazine/EUROPA.EU/Touteleurope.eu/Lemonde.fr/Lefigaro.fr/The guardian/CNN