La décision Loper Bright a eu des conséquences importantes : la Cour suprême a renversé quarante années de droit administratif, ce qui a donné lieu à des litiges potentiels sur l’interprétation de lois ambiguës précédemment décidées par des agences fédérales. Cet article explore les questions clés pour les professionnels et les dirigeants de la cybersécurité alors que nous entrons dans une période plus controversée du droit de la cybersécurité.
Arrière-plan
Quelle est la décision Loper Bright ?
La décision Loper Bright de la Cour suprême des États-Unis a annulé la Déférence à Chevronaffirmant que les tribunaux, et non les agences, trancheront toutes les questions de droit pertinentes soulevées lors de l’examen des mesures prises par les agences. La Cour a jugé que, comme le texte de la Loi sur la procédure administrative (APA) est clair, les interprétations des lois par les agences ne méritent pas d’être prises en considération. La décision a souligné que les tribunaux doivent exercer un jugement indépendant pour décider si une agence a agi dans le cadre de son autorité statutaire. Cette décision transfère le pouvoir d’interprétation des lois des agences fédérales au pouvoir judiciaire.
Quelle était la déférence Chevron ?
La déférence dans l’affaire Chevron exigeait que les tribunaux s’en remettent aux interprétations raisonnables des agences fédérales de lois ambiguës. Elle trouve son origine dans l’affaire Chevron USA, Inc. v. Natural Resources Defense Council de 1984 devant la Cour suprême. Selon Chevron, si une loi était ambiguë, les tribunaux s’en remettaient à l’interprétation de l’agence si elle était raisonnable. Cette déférence a façonné le droit administratif pendant près de 40 ans.
Quelles mesures immédiates les entreprises devraient-elles envisager de prendre dès maintenant pour garantir le respect des réglementations en matière de cybersécurité qui pourraient être contestées devant les tribunaux ?
Rien n’a changé pour l’instant. Toutefois, pour garantir le respect des réglementations en matière de cybersécurité qui pourraient désormais être contestées devant les tribunaux, les entreprises devraient :
- Évaluer les exigences de cybersécurité existantes pour s’assurer qu’elles sont conformes aux réglementations en vigueur qui sont soutenues par une autorité statutaire claire.
- Restez informé des décisions judiciaires et des changements réglementaires. La suppression de la déférence envers Chevron signifie que les tribunaux examineront de plus près les interprétations des agences.
- Soyez prêt à mettre à jour les programmes de conformité si les exigences réglementaires ou légales changent en raison de la jurisprudence.
- Travaillez avec des experts juridiques pour naviguer dans un paysage réglementaire en constante évolution.
Des contrôles de cybersécurité efficaces sont déployés lorsqu’ils sont mappé à un ou plusieurs risques convenusqui peuvent inclure des exigences réglementaires ou légales ainsi que des menaces externes. Les entreprises devraient envisager de mettre à jour ou de supprimer des contrôles à la lumière de toute jurisprudence future basée sur Loper Bright uniquement si ces contrôles existaient exclusivement à des fins réglementaires et n’atténuaient pas les risques supplémentaires. Les entreprises doivent s’assurer que leurs contrôles ont une traçabilité claire des exigences afin de pouvoir évaluer rapidement les effets de tout changement réglementaire futur.
Quel sera l’impact de la décision Loper Bright sur l’application des réglementations existantes en matière de cybersécurité de la FTC, de la SEC et d’autres ?
La décision Loper Bright rendra probablement les réglementations en matière de cybersécurité plus vulnérables aux contestations judiciaires. Les tribunaux ne s’en remettront plus aux interprétations des agences de lois ambiguës et exerceront leur jugement de manière indépendante. Ce changement pourrait conduire à des contestations judiciaires plus fréquentes, à un examen plus approfondi des réglementations et à des retards. Voici une liste partielle des agences qui pourraient être affectées par des litiges après l’arrêt Loper Bright :
- FTC: Les récentes réglementations de la FTC en vertu de l’article 5 incluent la règle de notification des violations de la santé et les modifications proposées à la règle de protection de la vie privée des enfants en ligne pourraient être contestées.
- SECONDE: Les Securities and Exchange Acts de 1933 et 1934 ne mentionnent pas la cybersécurité, ce qui pourrait donner lieu à une contestation de l’exigence de la SEC de divulgation de la cybersécurité dans les quatre jours suivant la détermination de l’importance relative.
- GLBA: Les régulateurs ont récemment élargi leurs règles avec une série d’exigences de déclaration des incidents cybernétiques pour les institutions financières
- TSA : Les modifications d’urgence apportées par la TSA en 2022 aux exigences de cybersécurité pour les transporteurs ferroviaires de passagers et de marchandises, ainsi que pour les exploitants d’aéroports et d’aéronefs, pourraient être contestées.
- CISA: La règle proposée par la Cybersecurity Infrastructure and Security Agency (CISA) pour la mise en œuvre de la loi de 2022 sur le signalement des incidents cybernétiques pour les infrastructures critiques, qui a de larges interprétations et pourrait être contestée dans le cadre d’un nouveau contrôle judiciaire.
Comment la décision Loper Bright pourrait-elle affecter la cohérence des réglementations et de leur application en matière de cybersécurité dans différentes juridictions ?
La décision Loper Bright pourrait avoir un impact sur la cohérence des réglementations en matière de cybersécurité et leur application dans différentes juridictions. En éliminant la déférence à l’égard de Chevron, les tribunaux ont désormais davantage de possibilités d’interpréter les lois de manière indépendante, ce qui pourrait conduire à des interprétations et des applications variées des lois sur la cybersécurité. Cette incohérence pourrait obliger les entreprises à adapter plus fréquemment leurs programmes de conformité en raison des interprétations variables selon les juridictions.
Comment la suppression de la déférence Chevron influencera-t-elle potentiellement le développement des futures réglementations en matière de cybersécurité ?
La suppression de la déférence à l’égard de Chevron créera probablement un environnement réglementaire plus fragmenté et incohérent en matière de cybersécurité. Les agences fédérales devront fournir des justifications et des détails plus convaincants pour leurs décisions en matière de réglementation. Ce changement pourrait conduire à un examen judiciaire accru des réglementations existantes et des règles proposées, ce qui rendrait plus difficile pour des agences comme la FTC et la CISA de s’adapter rapidement aux nouvelles menaces.
Les tribunaux prendront en compte le pouvoir de persuasion des interprétations des organismes publics, en accordant du poids à leur expertise uniquement si elle est particulièrement instructive et fondée sur un raisonnement approfondi et cohérent. Cette évolution est susceptible d’entraîner une augmentation des contestations judiciaires des réglementations existantes en matière de cybersécurité et de l’élaboration de nouvelles règles, ce qui compliquera les efforts de conformité.
Quel rôle l’interprétation judiciaire peut-elle jouer dans la définition de la portée des réglementations en matière de cybersécurité après Loper Bright ?
L’interprétation judiciaire jouera un rôle important dans la définition de la portée des réglementations en matière de cybersécurité après l’affaire Loper Bright. Les tribunaux évalueront de manière indépendante l’autorité statutaire des agences, ce qui conduira à des environnements réglementaires potentiellement plus fragmentés et incohérents. Ce changement nécessite une réévaluation des approches de conformité réglementaire et de plaidoyer.
En fin de compte, la décision souligne la nécessité pour le Congrès de fournir des orientations statutaires plus claires pour que les réglementations en matière de cybersécurité résistent au contrôle judiciaire.
Note: Cet article est rédigé de manière experte et rédigé par Kayne McGladrey, Field CISO chez Hyperproof.