En Allemagne cette semaine, les limbes juridiques qui définissent le cyberespace dans le monde étaient pleinement visibles.

L'Office fédéral de la sécurité informatique du pays (BSI pour ses initiales allemandes) suivait depuis début décembre une cyberattaque visant certains parlementaires du pays. Cela a finalement conduit à la diffusion publique de numéros de téléphone mobile, les informations de carte de crédit et les détails de la carte d'identité de centaines de députés, et d'autres personnalités publiques.

Seuls quelques députés ont été informés par BSI des attentats, tandis que d'autres n'en ont entendu parler qu'après que les détails ont été publiés dans les médias. Les députés ont été scandalisés que BSI ne les ait pas informés que leurs données personnelles étaient visées, malgré la connaissance des éléments de l'attaque pendant jusqu'à quatre semaines.

Une préoccupation plus profonde, soulevée par certains députés, était-ce sur la même période, BSI (qui n'est pas un organisme d'application de la loi) n'a pas informé la police allemande qu'un crime politique de cette gravité avait peut-être été commis. Une fois engagé, la police a rapidement trouvé un suspect qui aurait avoué.

Piratage, si les données sont publiquement compromises, est un crime dans la plupart des pays. Le délit est simplement constitué par l'accès illicite à des données ou à des machines. Mais peu de pays ont des lois qui obligent leurs cyberagences qui surveillent le piratage à signaler les actes criminels - soit aux victimes tierces, soit à la police.

Ce vide juridique doit être comblé de toute urgence.

Le piratage est-il un « crime grave » ?

Le défi pour les cyberagences ou les entreprises du secteur privé qui détectent un piratage est que ces événements sont très courants. Des millions ont lieu chaque jour, et des informations médico-légales complexes doivent être rassemblées afin de déterminer quels incidents sont suffisamment graves pour nécessiter une notification. Cela met en place un fait, mais mal défini, distinction entre « petits délits » (la plupart des hacks) et « délits graves ».

Ce que cela signifie en réalité peut être illustré par la pratique dans l'État australien de la Nouvelle-Galles du Sud. En Nouvelle-Galles du Sud, il existe une obligation en vertu de la loi sur les crimes de signaler les crimes graves. Ceux-ci sont définis comme ceux qui encourent des peines légales de cinq ans ou plus d'emprisonnement. Mais quand il s'agit de cyber-piratage, il n'est souvent pas immédiatement clair si l'étendue d'un piratage déclencherait un tel seuil de pénalité.

Cette incertitude était en jeu dans le hack allemand, avec BSI justifiant son défaut de notification par la réclamation qu'elle tentait encore de l'analyser, et n'en connaissait pas toute l'ampleur.

Même après avoir arrêté le suspect et connu l'ampleur de l'attaque, Le chef de la cybersécurité de l'Office fédéral de la police (BKA) a déclaré qu'il n'était toujours pas clair si le piratage était un crime grave inspiré par des motifs politiques. Le soupçon qu'il pourrait avoir été motivé par des considérations politiques découle du fait que le seul parti politique dont les députés n'étaient pas visés était le parti d'extrême droite, AfD.

Que signifie « déclaration obligatoire » en Australie

En 2018, après un long débat public, L'Australie a introduit le système Notifiable Data Breaches (NDB) en tant qu'amendement à la loi sur la protection de la vie privée. Le NDB exige que les entreprises informent le Commissariat à l'information (et non la police), ainsi que les éventuelles victimes, si les données personnelles qu'ils détiennent sont compromises d'une manière qui constitue une atteinte grave à la vie privée.

Cette disposition du code civil est très faible en raison, en partie, au fait qu'elle permet à l'entreprise ou à l'agence concernée d'évaluer elle-même la gravité du manquement pendant une période de 30 jours avant que l'obligation de notification n'entre en vigueur.

Il est également faible parce qu'il existe une exemption générale pour les activités d'application de la loi, et pour les besoins de secret du gouvernement. Les cyber-agences australiennes, tels que la Direction australienne des signaux et le Centre australien pour la cybersécurité, semblent n'avoir aucune obligation de dire à la police ou aux victimes qu'il y a eu un piratage ou une violation de données.

Cela signifie, si les cyber-agences australiennes apprenaient qu'un gouvernement étranger avait piraté un citoyen australien, la victime peut ne jamais être informée. Ou si des photos de famille d'un enfant dévêtu étaient piratées d'un ordinateur familial par un pédophile, la famille de la victime pourrait ne jamais le savoir.

Un droit de savoir ?

Dans beaucoup de pays, les cyber-agences informent les grandes entreprises de certaines attaques de piratage, quelle que soit la nature ou l'échelle. Il existe plusieurs motivations à cette pratique majoritairement bénévole. L'une consiste à aider les entreprises à réaliser la gravité de l'espionnage parrainé par l'État à leur encontre. Une autre consiste à aider la cyberagence elle-même à coordonner une enquête sur le piratage, et découvrir ce qui a pu être perdu.

Ce n'est pas la même chose que la police qui enquête sur le crime.

Dans la plupart des pays, seuls les services de police sont autorisés à enquêter sur des crimes aux fins de poursuites judiciaires. Peu de juridictions, si seulement, ont formellement clarifié la manière dont la police et les tribunaux peuvent s'appuyer sur les informations sur les cyber-piratages collectées par les cyber-agences ou les sociétés de sécurité.

L'Australie n'a pas encore eu de débat sérieux sur le signalement de la cybercriminalité, et ses complexités médico-légales :qui est responsable de quoi, et où devraient se situer les priorités. C'est au moins une décennie en retard.

Tout en reconnaissant qu'une certaine distinction devra être faite entre les délits mineurs et les délits graves, un tel débat devrait reconnaître le droit des citoyens d'être informés par nos cyberagences lorsqu'ils ont été agressés dans le cyberespace et, si possible, Par qui.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.