La sécurité des autoroutes intelligentes est intrinsèquement liée à une priorité d’ordre public, la sécurité routière. La protection des usagers du réseau autoroutier a été érigée en droit français au rang d’impératif public, la France ayant ratifié par décret la convention de Vienne sur la signalisation et la circulation routière du 8 novembre 1968.
A l’époque, seuls les tronçons « normaux » d’autoroutes étaient concernés, mais cette protection des automobilistes a vocation à évoluer en raison du développement des autoroutes intelligentes et passera nécessairement par la sécurisation logique des données collectées, traitées et/ou produites par ces dernières : images, vidéos, données de paiement sans contact aux péages, aide à la conduite, etc.
Assurer la sécurité des données, c’est pouvoir disposer, en permanence, d’un outil fiable pour lequel toutes précautions utiles doivent être prises afin d’empêcher que les données ne soient déformées, endommagées ou que des tiers non autorisés y aient accès à des fins répréhensibles.
Parmi ces données, un certain nombre sera amené à jouer un rôle essentiel sur le comportement même des automobilistes en ce que les autoroutes intelligentes embarqueront notamment des capteurs thermosensibles, adaptant la chaussée aux changements climatiques et/ou régulant les vitesses des véhicules en tant que de besoin si les conditions l’exigent.
Elles joueront donc un rôle préventif fondamental auprès des usagers et l’intégrité et la sécurité desdites données devra être assurée.
La sécurité des autoroutes intelligentes sera inévitablement confrontée à des risques de par leur connexion permanente aux réseaux de télécommunications, problématique qui devra être prise en compte très en amont – on pourrait parler de security by design – tant lors de la conception que de l’exploitation des autoroutes intelligentes.
Il est ainsi impératif de prévoir l’adoption de mesures de sécurité tant physique que logique.
A défaut, les constructeurs et autres fabricants de composants connectés conçus pour les autoroutes intelligentes, voire même les concessionnaires et exploitants des réseaux autoroutiers pourraient voir leur responsabilité engagée en cas d’atteinte aux systèmes en charge de la régulation des autoroutes intelligentes.
Par ailleurs, l’ETSI (European Telecommunications Standards Institute), principal organisme de normalisation des technologies de l’information et de la communication en Europe, a mis en place un comité technique sur la cybersécurité (dénommé « TC CYBER » pour Technical Committee Cyber Security) afin de répondre aux exigences croissantes en matière de normes dans ce domaine. Il conviendra de suivre les travaux de ce comité en ce qu’ils pourraient permettre de définir un niveau de sécurité adapté aux exigences des autoroutes intelligentes.
Dans tous les cas, il est recommandé de prévoir :
- contractuellement un strict respect a minima des normes ISO dédiées à la sécurité de l’information (1) ;
- la réalisation d’audits de sécurité afin d’anticiper au mieux les éventuelles attaques ciblant les potentielles failles logicielles relatives aux autoroutes intelligentes.
Des politiques de sécurité des autoroutes intelligentes devront être mises en place, prévoyant des mesures de sécurité adaptées : sécurisation des données hébergées, chiffrement des données, protection accrue des réseaux et des terminaux, etc.
Il n’est aujourd’hui plus concevable d’appréhender les autoroutes comme de simples infrastructures de transport, mais plutôt comme une technologie à part entière nécessairement impactée par les problématiques juridiques relatives à l’informatique, aux télécoms, aux réseaux, à l’électronique embarquée et, plus largement – de par leur statut – aux spécificités du droit des opérateurs d’importance vitale.
Enfin, les enjeux des autoroutes intelligentes devront également être examinés à la lumière du futur règlement européen sur la protection des données personnelles, les données collectées, traitées et/ou produites par ces dernières étant mécaniquement des données de masse à maîtriser.
Les acteurs du secteur devront notamment anticiper la notion de privacy by design et procéder à des études d’impact le cas échéant.
Lexing Alain Bensoussan Avocats
Thomas Boutan
Lexing Droit numérique
(1) Outre les normes ISO 27001 et 27002, les normes ISO 27017 (security) et norme ISO 27018 (privacy) pour le Cloud computing par exemple (voir le Post du 7-12-2015).