8. Processus d’élaboration de la législation et de la réglementation partie 1 (de la stratégie à la politique)

Après avoir identifié la législation et la réglementation comme certains des leviers qu’un gouvernement peut déployer pour mettre en œuvre une stratégie nationale, il est nécessaire d’examiner le processus de conversion des objectifs en législation. Le processus d’élaboration de la législation et de la réglementation varie largement d’un pays à l’autre. Dans cette section, nous allons présenter une approche générique qui peut être appliquée dans la plupart des pays.

Comme mentionné plus haut, la SNCS est un document présentant la vision, les objectifs de haut niveau, les principes et les priorités qui guideront le pays dans la prise en charge de la cybersécurité. Cela signifie que, dans la plupart des cas, le sujet qui nécessite un effet de levier par le biais de la législation a été identifié dans la SNCS. Ainsi, le processus d’élaboration de la stratégie devrait avoir contribué à produire une liste hiérarchisée des problèmes de cybersécurité que le gouvernement doit traiter.

Sur la base de ces domaines prioritaires et de ces objectifs, la pratique courante consiste à décomposer les objectifs et les domaines prioritaires en orientations politiques, qui pourraient constituer la base de la législation ou de la réglementation. Cette opération peut intervenir soit pendant le processus d’élaboration de la stratégie, soit pendant les années qui séparent la rédaction de la stratégie de sa mise en œuvre. Certains pays désignent un groupe chargé de la politique de cybersécurité, composé d’experts au sein (et parfois à l’extérieur) du gouvernement, pour fournir des conseils sur les domaines d’action à privilégier et sur le contenu des politiques elles-mêmes. Au Ghana, il s’agissait du groupe de travail national sur la cybersécurité, tandis qu’au Nigeria, il était appelé groupe de travail nigérian sur la cybercriminalité.

Parmi les domaines d’action possibles, citons l’interdiction de la cybercriminalité, la protection des données, la cybersécurité dans les secteurs clés (par exemple, l’énergie, la finance, l’administration en ligne et la santé), l’assurance technologique, l’éducation, la main-d’œuvre et la sensibilisation. Le « double diamant décisionnel » décrit dans le document National Cybersecurity Strategies: Lessons Learned and Reflections from The Americas and Other Regions est un outil qui peut aider à passer des objectifs stratégiques aux initiatives politiques (et donc aux domaines politiques). Parmi les questions typiques de cybersécurité qui devraient être abordées figurent la cybercriminalité, la protection des données personnelles, la protection des réseaux critiques, les réglementations sectorielles, par exemple la finance, l’énergie, la santé, les réglementations spécifiques aux produits, par exemple les appareils, les avions, les voitures, les transactions électroniques, les signatures numériques, la certification des normes de cybersécurité des entreprises/organisations, etc.

À l’étape suivante, après avoir identifié un domaine d’action clé, un gouvernement décide généralement d’élaborer une politique correspondante. C’est dans cette politique que le gouvernement décidera des leviers à utiliser pour mettre en œuvre la politique et déterminera si la législation ou la réglementation doit en faire partie. L’élaboration d’une politique commence généralement par une orientation ministérielle, afin de fixer le cadre et le calendrier, puis par une consultation qui peut être informelle ou formelle.

La consultation informelle peut avoir lieu avant que « les choses ne soient mises par écrit ». Un bon moment pour amorcer la consultation informelle correspond à l’élaboration de la SNCS, mais la consultation ne doit pas être remise à plus tard simplement parce qu’aucune stratégie n’est en cours d’élaboration à ce moment-là. La consultation informelle aide les responsables à élaborer un cadre d’idées sur le problème et les solutions politiques qui peuvent être discutées avec les ministres, puis soumises à un processus de consultation formel.

La consultation formelle implique généralement la publication de documents sur lesquels les parties prenantes peuvent donner leur avis. En Afrique du Sud, par exemple, l’élaboration des politiques suit une approche commune de la consultation, en utilisant deux séries de documents. Le premier cycle est basé sur un document de discussion appelé « livre vert ». Le livre vert exprime la position du gouvernement sur une question particulière. Il est publié en sollicitant une demande de commentaires du public. Il arrive que le livre vert soit suivi d’un document de discussion plus précis, appelé livre blanc. Le livre blanc est une déclaration générale de la politique du gouvernement, et peut inviter des commentaires publics supplémentaires sur la question. Les commissions parlementaires compétentes peuvent proposer des amendements ou d’autres propositions, puis renvoyer le document de politique générale au ministère pour de nouvelles discussions et des décisions finales.

Le processus de consultation répartira les parties prenantes en groupes, en fonction de leurs caractéristiques ou de leur niveau d’intérêt, et appliquera une approche spécifique propre à chacun.  L’un des groupes les plus importants sera celui des experts techniques qui possèdent des connaissances et une expérience approfondies dans le domaine de la politique. Si certains de ces experts font déjà partie du gouvernement, ils travaillent souvent en dehors de celui-ci, dans des universités, des entreprises ou des organisations de la société civile.  Des conseils pour consulter et travailler avec les parties prenantes dans un contexte de cybersécurité figurent dans le document intitulé « A Short Guide to Stakeholder Engagement on National Cybersecurity Strategy Development » (Weisser Harris et al. 2022).

À la fin du processus d’élaboration de la politique, un ministre ou le cabinet approuvera une position politique finale.  Il est bon de la publier, comme le fait l’Afrique du Sud avec ses Livres blancs (mentionnés ci-dessus). Au Nigeria, ces politiques sont approuvées par le Conseil exécutif fédéral, qui rassemble tous les ministres du gouvernement fédéral, sous la présidence du président.

De nombreuses politiques nécessiteront une législation ou une réglementation formelle pour soutenir ou mener leur mise en œuvre. Il arrive que la nature d’une question politique détermine le type de levier à appliquer pour sa mise en œuvre. Par exemple, il serait plus approprié d’utiliser la législation pour traiter les questions de cybercriminalité, qui sont généralement des activités qui doivent être interdites et traitées comme des crimes, par opposition aux politiques qui visent à réglementer des secteurs spécifiques ou des activités liées à la cybersécurité, comme le traitement des données et les mesures de sécurité numérique.

Une politique de lutte contre la cybercriminalité nécessitera toujours une législation primaire pour définir les droits et les responsabilités en droit civil, ainsi que les crimes et les peines en droit pénal (droit matériel).  Elle nécessitera également une législation primaire pour définir comment les cybercrimes doivent être traités par le système judiciaire (droit procédural). Vous trouverez de plus amples informations à ce sujet dans le module de connaissances sur la cybercriminalité.

En revanche, les politiques qui visent à réglementer un secteur ou un type d’activité lié à la cybersécurité, comme le traitement des données, nécessiteront une réglementation qui, à son tour, pourra ou non nécessiter une nouvelle législation primaire. Veuillez noter que la législation et la réglementation peuvent parfois être liées. La réglementation peut être liée à la législation primaire de trois façons principales :

1. La réglementation est publiée via la législation primaire. Exemple : la loi sud-africaine sur la protection des informations personnelles (POPIA) n° 4 de 2013.

• La réglementation est émise par un ministère/une agence/une organisation qui dispose déjà de l’autorité pour le faire. Aucune nouvelle législation primaire n’est nécessaire. Exemple : la réglementation nigériane sur la protection des données, 2019 (« NDPR ») a été publié par l’Agence nationale de développement des technologies de l’information (« NITDA »).

• Une législation primaire est nécessaire afin de conférer à un organisme existant une nouvelle autorité pour émettre une réglementation ou créer un nouvel organisme doté de cette autorité.  Exemple : la loi du Kenya sur la protection des données (DPA) de 2019 a créé le Bureau du commissaire à la protection des données (ODPC), qui, en collaboration avec un groupe de travail sur la réglementation, avait pour mandat de créer une réglementation en vertu de la DPA, ce qu’il a fait par la suite dans le Réglementation sur la protection des données de 2021.

Le processus d’élaboration de la législation sur la cybercriminalité est décrit dans le module de connaissances sur la cybercriminalité. Le processus d’élaboration de la réglementation est décrit dans la section suivante.