Les consultants en sécurité informatique tenus d’obtenir un permis spécial pour poursuivre leurs activités ?

Publié le par - 55 vues

Le législateur belge a décidé d’élargir le champ d’application de la loi du 10 avril 1990 sur les entreprises de gardiennage, les entreprises de sécurité et les services internes de gardiennage à la consultance en sécurité. Concrètement, la loi du 7 mai 2004, qui est entrée en vigueur le 3 juin dernier, prévoit la soumission…

Le législateur belge a décidé d’élargir le champ d’application de la loi du 10 avril 1990 sur les entreprises de gardiennage, les entreprises de sécurité et les services internes de gardiennage à la consultance en sécurité. Concrètement, la loi du 7 mai 2004, qui est entrée en vigueur le 3 juin dernier, prévoit la soumission de la consultance en sécurité à l’obligation d’autorisation par le Ministre de l’Intérieur. L’objectif est d’imposer aux entreprises de consultance en sécurité des normes de qualité professionnelle. La définition de la notion « d’entreprise en sécurité » devant obtenir cette obligation d’autorisation qui a été retenue par le législateur englobe les entreprises qui donnent des conseils de sécurité en matière informatique.

Cadre légal de l’obligation d’autorisation

Le texte qui servi de base juridique à la loi du 7 mai 2004 et qui est relatif aux entreprises de gardiennage avait pour but de réglementer le secteur des entreprises de gardiennage par le biais de l’examen de la moralité du personnel dirigeant les entreprises de ce secteur.

Le législateur a estimé que les entreprises qui exercent des tâches touchant à l’ordre public et à la sécurité des citoyens devaient également donner l’exemple en matière de législation sociale et fiscale.

La loi du 7 mai 2004 réglemente en outre pour la première fois les activités des entreprises de consultance en sécurité.

En réalité, la forte progression de l’industrie de la sécurité privée dans les années 80 a poussé les autorités à intervenir en réglementant la matière. Des discussions parlementaires qui ont eu lieu à ce niveau dans la seconde moitié des années 80, il apparaît que l’objectif était de réguler dans un premier temps le secteur du gardiennage, dans une deuxième phase le secteur de la recherche et enfin le secteur des consultants.

Ce secteur exerce aussi des activités délicates qui, sous l’influence de personnes moralement ou professionnellement sujettes à caution, peuvent avoir un impact néfaste sur le maintien de l’ordre et de la sécurité des citoyens. La nature des activités de ces entreprises implique qu’elles aient en effet connaissance des forces et des faiblesses des mécanismes de sécurité utilisés notamment par les particuliers. .

Pour répondre à ce souci de sécurité des citoyens d’une part, et sous l’influence du secteur plaidant pour une intervention régulatrice minimale des autorités afin de réserver l’accès au secteur aux seules personnes fiables d’autre part, le législateur a entendu soumettre le secteur de la consultance en sécurité au champ d’application de la loi sur le gardiennage.

L’objectif du législateur était cependant de réglementer le secteur de la sécurité privée qui touche directement à l’ordre public et à la sécurité des citoyens et qui assume des tâches qui ne peuvent être exercées par d’autres entreprises ou citoyens…

Quelles sont les entreprises concernées par la loi ?

La loi du 7 mai 2004 prévoit que « nul ne peut offrir les services d’une entreprise de consultance en sécurité ou se faire connaître comme telle s’il n’y a pas été préalablement autorisé par le Ministre de l’Intérieur après avis de la Sûreté de l’Etat et du procureur du Roi du lieu d’établissement de l’entreprise et, à défaut, du Ministre de la Justice”.

Par entreprise de consultance en sécurité, il faut entendre “toute personne morale ou personne physique qui exerce une activité consistant à fournir à des tiers des services de conseil pour prévenir des délits contre les personnes ou les biens, y compris l’élaboration, l’exécution et l’évaluation d’audits, analyses, stratégies, concepts, procédures et entraînements dans le domaine de la sécurité”.

A la lecture de cette définition, on voit mal comment une société spécialisée dans la sécurité informatique et qui offre des services destinés à rendre ses clients “sécuritaires” d’un point de vue organisationnel et technologique (audit de code source, conseils en sécurité des réseaux, conseils d’utilisation des ressources informatiques donnés aux employés d’une société, etc) échapperait au champ d’application de la loi du 7 mai 2004 et de sa définition « d’entreprise de consultance en sécurité » (article 1 paragramme 6 de la loi).

La loi précise toutefois que ne sera pas considérée comme une entreprise de consultance en sécurité :

  1. l’entreprise dont les activités de consultance en sécurité ne sont pas offertes comme un service à part entière et sont inhérentes à une autre activité considérée comme principale. Cela signifie que la consultance en sécurité doit se rattacher à une activité principale et doit en faire normalement partie. Il ne peut s’agir d’une activité séparée. Il s’agit de deux conditions qui doivent être simultanément remplies.

    Le Ministère de l’Intérieur de citer comme exemple d’entreprise non soumise à cette obligation d’autorisation un bureau d’architecte chargé de réaliser des projets de siège central d’une banque qui donnerait également des avis concernant la sécurité matérielle de l’édifice.

  2. la fourniture de services de conseil par les autorités. Seul le secteur privé étant ainsi visé par la loi.

La définition retenue par le législateur comprend ainsi des éléments formels ( il doit s’agir de la fourniture de service à des tiers, l’exercice de tâches de consultance en sécurité par une entreprise pour son propre besoin n’entre pas dans le champ d’application de la loi, et il doit s’agir d’une personne physique ou morale qui compte parmi le secteur privé).

Quelle est la procédure pour obtenir l’autorisation ?

A partir du 3 juin, pour exercer des activités de conseiller en sécurité, il faudra être muni d’une autorisation préalable du Ministre de l’Intérieur. Cependant, la loi prévoit une mesure transitoire permettant aux entreprises qui travaillent d’ores et déjà dans ce secteur de poursuivre leurs activités sans devoir les interrompre jusqu’à ce que le Ministre ait statué sur leur demande.

Toutefois, pour bénéficier de cette mesure transitoire, il y aura lieu pour cette entreprise d’introduire sa demande pour le 3 août 2004 au plus tard. Pour ce faire, elle joindra à sa demande la preuve qu’elle a effectué avant la date du 1er février 2003 des activités se rapportant à cette matière en transmettant à l’administration des pièces justificatives de la période qui précède cette date (voir document en annexe). Une déclaration sur l’honneur de l’entreprise ou des clients ne suffit pas.

L’autorisation ne sera délivrée qu’après qu’un organisme de certification désigné par le Ministre de l’Intérieur a établi que l’entreprise de consultance en sécurité et ses services répondent aux normes de qualité professionnelle.

La loi prévoit par ailleurs que ces normes de qualité sont approuvées par le ministre de l’Intérieur sur proposition des organisations professionnelles des entreprises de consultance en sécurité, désignées par lui.

On notera encore que la loi prévoit que l’autorisation qui est accordée à une entreprise de sécurité a une validité de 5 ans et peut être renouvelée pour des périodes de 10 ans.

La loi du 7 mai 2004 au regard des principes de droit européen et de la jurisprudence de la Cour d’Arbitrage

La Directive du 8 juin 2000 dite « Directive sur le commerce électronique » a notamment consacré le principe de non-autorisation préalable pour l’accès à l’activité d’un prestataire de services de la société de l’information et l’exercice de cette activité.

Certes, la loi du 7 mai 2004 ne vise pas spécifiquement et exclusivement les services de la société de l’information de sorte que le principe d’autorisation préalable qu’elle instaure doit être tempéré au regard du principe lui-même consacré par la Directive : il n’empêche que la loi pose problème au regard de la motivation du législateur européen qui a voulu assurer un développement le moins contraignant possible des services de la société de l’information dans l’espace communautaire.

De surcroît, en tant qu’elle crée un accès à la profession, la loi du 7 mai 2004 pourrait être « concurrencée » par l’article 3 de la Directive sur le commerce électronique consacrant la clause de « Marché intérieur ».

En vertu de ce principe, un Etat Membre ne peut, pour des raisons relevant du domaine coordonné, restreindre la libre circulation des services de la société de l’information en provenance d’un autre Etat Membre. Cette question a un intérêt certain : il n’est pas rare qu’une entreprise spécialisée dans la sécurité informatique fournisse des services de consultance par Internet uniquement.

Imaginons que cette entreprise ait ouvert ce service en ligne dans un autre Etat Membre, en conformité avec sa loi nationale, et qu’elle le commercialise ensuite en Belgique. Sur la base de la loi du 7 mai 2004, on pourrait supposer qu’elle puisse être assignée en Belgique pour le motif suivant : bien que l’Etat d’origine autorise ou tolère la pratique litigieuse, la loi belge du 7 mai 2004 la réprime et considère que l’infraction est consommée sur son sol.

Si cette entreprise parvient alors à invoquer avec succès son droit national et la clause de marché intérieur pour échapper aux poursuites, les entreprises belges seront alors clairement défavorisées sans réels motifs valables…

Enfin, la loi du 7 mai 2004 prévoit des sanctions pénales en cas de non-respect de ses dispositions. Le champ d’application de la loi est cependant flou :les critères retenus par la loi pour déterminer les entreprises qui devront obtenir une autorisation, en tant qu’ils visent non pas ces entreprises elles-mêmes mais bien leurs activités, amèneront plus que probablement le Ministre à analyser au cas par cas les sociétés qui devront obtenir l’autorisation nécessaire.

Les termes utilisés par la loi sont également peu précis : elle ne définit pas clairement ce qu’est une entreprise de consultance. Or, au regard de la jurisprudence de la Cour d’Arbitrage, rappelée récemment dans un arrêt du 22 juillet dernier, il ne peut exister de doute sur le champ d’application d’une loi qui érige en infraction un comportement et le soumet à des sanctions pénales…

Le principe de légalité en matière répressive exige en effet que la loi soit formulée en des termes qui permettent à chacun de savoir, au moment où il adopte un comportement, si celui-ci est ou non punissable

Une entreprise poursuivie pour ne pas avoir demandé l’autorisation prévue par la loi du 7 mai 2004 pourrait-elle échapper à ses sanctions pénales, à défaut pour la loi d’avoir un champ d’application précis ?

La question a le mérite d’être posée…

Conclusion…temporaire ?

Le législateur n’a probablement pas eu l’intention d’englober dans cette nouvelle réglementation les fournisseurs de services de conseil informatique, mais les termes retenus par celui-ci sont si larges que ces fournisseurs tombent dans le champ d’application de la loi du 7 mai 2004 . A moins que l’intention du législateur n’ait été influencée par un certain protectionnisme toujours plus poussé de la part du secteur des entreprises de sécurité privée…

Plus d’infos ?

En prenant connaissance de la nouvelle loi disponible sur notre site.

Droit & Technologies

Publié dans

Thèmes

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK