« Pendant trop longtemps, les entreprises ont choisi le silence en pensant, à tort, qu'il était moins risqué de dissimuler une faiblesse que de la signaler. Cela change aujourd'hui ». C’est en ces termes que le 6 octobre dernier, la Procureure générale adjointe des États-Unis, Lisa O. Monaco, a annoncé le lancement de la nouvelle Civil Cyber-Fraud Initiative. L’annonce du 6 octobre était attendue de longue date par les spécialistes, l’administration Biden ayant fait de la lutte contre la cybercriminalité une priorité politique[1].

Mais aucune disposition légale ne permettait alors de réprimer ces lacunes en matière de cybercriminalité. Ainsi, au mois de février, à l’occasion d’une conférence organisée par la Federal Bar Association, un représentant du ministère de la Justice avait évoqué la probabilité du recours au False Claims Act (FCA) dans le cadre de la lutte contre les fraudes des acteurs évoluant au sein du marché de la cybersécurité.[2]

C’est dans ce contexte que la nécessité de mettre en place un grand plan d’action s’est progressivement imposée, jusqu’à l’annonce de la Civil Cyber Fraud Initiative. Cette décision du ministère de la Justice américain a pour objectif la mobilisation des dispositions du False Claims Act de 1863 afin de réprimer les fraudes liées à la cybersécurité commises par des contractants du Gouvernement et les bénéficiaires de subventions publiques.

Le FCA[3] permet aux autorités de poursuivre les auteurs de fraudes de leur propre chef, mais il habilite également les citoyens privés pour intenter des procès au nom du gouvernement, contre ceux qui ont fraudé. Ces actions sont appelées qui tam actions, et les justiciables qui réussissent à diligenter ces poursuites, qui sont désignés par le terme relators, peuvent bénéficier d’une partie de l’argent recouvré par le Gouvernement.

L'efficacité de ce dispositif est aujourd'hui pleinement acquise. Depuis 1987, les actions intentées sur le fondement des dispositions du FCA ont permis aux autorités de recouvrer près de 70 milliards de dollars. Il est d’ailleurs intéressant de relever que, sur l’année 2019, 71 % des actions ont été initiées par des particuliers.

Le recours à ce mécanisme de lanceurs d’alerte revêt par conséquent un réel intérêt pour les autorités, et c’est d’ailleurs ce qui peut expliquer l’extension du dispositif à la récente offensive dirigée contre la cyberfraude.

Organisée par la section anti-fraude du ministère de la Justice américain, cette lutte a pour objet la détection de la soumission de fausses informations au Gouvernement, comme le fait de ne pas se conformer aux normes de cybersécurité requises, de faire de fausses déclarations sur les contrôles et les pratiques de sécurité, de ne pas surveiller les systèmes de cybersécurité ou encore de ne pas signaler en temps utile les incidents et les violations. L'ensemble de ces manquements est évidemment très préjudiciable pour l'État américain, les agences fédérales dépensant chaque année des milliards de dollars en contrats et subventions pour protéger les informations et les réseaux gouvernementaux.

Dans cette perspective, la Civil Cyber-Fraud Initiative vise, selon les termes du ministère de la Justice, à « tenir pour responsables les entités ou les personnes qui mettent en danger les informations ou les systèmes américains en fournissant sciemment des protocoles de cybersécurité déficients, ou en violant sciemment les obligations de surveillance et de notification des incidents et des violations de la cybersécurité ». Trois catégories d’agissements sont ainsi prohibées : le fait, pour les entreprises, de ne pas signaler des atteintes à la cybersécurité dont elles ont été victimes, le fait de fournir des services de cybersécurité insuffisants et le fait de prétendre avoir des services de cybersécurité dont ils ne disposent pas en réalité. Ainsi, les contractants du gouvernement qui sont victimes de cyberattaques pourront également être tenus responsables en vertu des dispositions du FCA.

La mise en place de la Civil Cyber Fraud Initiative laisse penser que le ministère de la Justice intentera davantage de poursuites en vertu des dispositions du FCA à l'encontre des contractants du gouvernement qui ne respectent pas leurs obligations légales ou contractuelles en matière de cybersécurité. Le plan d’action signale également que les autorités pourraient être davantage disposées à intervenir dans les affaires introduites par des lanceurs d’alerte alléguant des violations du FCA, ce qui aurait pour effet d’inciter les dénonciateurs et leurs avocats à intenter davantage de poursuites dans ce domaine. Dans ce contexte, il appartient désormais aux contractants du gouvernement de renforcer leurs efforts en matière de mise en conformité aux diverses exigences de cybersécurité, afin de s'assurer qu'ils respectent les attentes du gouvernement en la matière.

Pauline Dufourq, avocate au barreau de Paris et Tom Bruneau

 _____________________________

[1] Déjà au mois de juin, le Conseiller adjoint à la sécurité nationale avait adressé aux dirigeants des grandes entreprises du pays une lettre ouverte, au terme de laquelle il soulignait la « responsabilité essentielle » des acteurs du secteur privé dans la lutte contre les cybermenaces.

Le président américain lui-même avait alors pris la parole, le 25 août dernier, pour souligner la nécessité d’un effort de l’ensemble de la nation pour faire face à ces nouvelles menaces dont le coût pour l’économie mondiale, rappelons-le, est estimé à 1.000 milliards de dollars par an.

[2] Il avait justifié cette nécessité en affirmant que « dans la mesure où le gouvernement paie pour des systèmes et des services qui sont censés être conformes aux normes de cybersécurité requises mais qui ne le sont pas, il n'est pas difficile d'imaginer une situation dans laquelle le régime de responsabilité du FCA pourrait être engagée ».

[3] Pour mémoire, le FCA a été adopté pendant la guerre de Sécession, qui a été marquée par de nombreux actes de fraude au préjudice des autorités, qui se retrouvaient lésées par des contractants peu scrupuleux qui leur vendaient du matériel défectueux, principalement de l’armement. Le texte adopté par le Congrès le 2 mars 1863 a depuis été remanié à de maintes reprises, jusqu’à devenir le principal outil du gouvernement fédéral pour combattre la fraude contre les autorités, en faisant peser une responsabilité aux personnes et aux entreprises qui fraudent les différents programmes gouvernementaux. Le texte prévoit que les contrevenants sont passibles de dommages et intérêts, ainsi que d’une pénalité indexée sur l'inflation.