La déférence Chevron est morte. Et maintenant ?

Cet été a vu la fin d’une doctrine juridique vieille de 40 ans qui promet d’avoir des ramifications significatives pour la cybersécurité – et bien d’autres secteurs. De quoi s’agit-il et que signifie sa résiliation ?

La Déférence Chevron, qui remonte à 40 ans, décrit la latitude dont disposent les agences fédérales pour interpréter leurs propres politiques en matière de réglementation.

Le Congrès a mis à jour le Clean Air Act en 1977, obligeant les organisations à installer une technologie de contrôle de la pollution chaque fois qu'elles apportaient des modifications techniques à leurs installations.

Des lois comme celles-ci sont élaborées par le pouvoir législatif du gouvernement américain (le Congrès), mais elles nécessitent que le pouvoir exécutif (les agences fédérales) les applique par voie réglementaire. Dans ce cas, le travail de l'Environmental Protection Agency consistait à garantir que les pollueurs effectuaient les changements. Sous l’administration Carter de l’époque (c’était le président qui avait installé des panneaux solaires sur le toit de la Maison Blanche), l’EPA les aurait probablement imposés avec rigueur.

Cependant, lorsque l'administration change, l'attitude des régulateurs change également, grâce aux nominations politiques à la direction des agences. Au début des années 80, le géant pétrolier Chevron a apporté quelques changements à l’une de ses usines, mais à cette époque, l’EPA était sous le gouvernement plus conservateur de Reagan (Reagan était le président qui a retiré ces panneaux solaires).

L'EPA de Reagan a interprété sa réglementation comme traitant les centrales électriques comme une seule unité plutôt que de se concentrer sur des pièces d'équipement individuelles. Cela a permis à Chevron de mettre à jour les équipements de son usine sans installer d'épurateurs d'air supplémentaires.

Le Conseil de défense des ressources naturelles (NRDC) a poursuivi l'EPA en justice, arguant qu'elle aurait dû interpréter ses règles de manière plus stricte. La Cour suprême a estimé que les agences fédérales devraient avoir la possibilité d'interpréter leurs propres règles plutôt que les tribunaux judiciaires, à condition que l'interprétation n'entre pas en conflit avec le langage du règlement.

À partir de ce moment-là, tout tribunal de première instance statuant sur une affaire impliquant une réglementation fédérale devrait s’en remettre à l’agence fédérale lors de l’interprétation de la réglementation. La raison était que l'agence avait plus d'expertise que les juges fédéraux.

Autrement dit, jusqu'à maintenant. Le 28 juin, la Cour suprême s'est prononcée sur une autre affaire, Loper Bright Enterprises c. Raimondo. Loper Bright est une entreprise de pêche de la Nouvelle-Angleterre qui souhaitait contester une décision du National Marine Fisheries Service (NMFS). En vertu de la loi Magnuson-Stevens, qui impose des limites de pêche, le NMFS a exigé que les bateaux de pêche nomment des inspecteurs gouvernementaux pour surveiller leurs captures aux frais des entreprises de pêche.

Loper Bright avait contesté la capacité du NMFS à imposer cette réglementation devant le tribunal de district, qui a appliqué la déférence Chevron pour laisser le NMFS décider. L'affaire a été portée devant la Cour suprême, qui a annulé la décision, annulant ainsi la déférence Chevron.

Ce que cela signifie pour la cybersécurité

Cette décision permet une fois de plus aux tribunaux de district de décider comment les agences fédérales doivent interpréter les lois, ce qui, selon les experts, équivaut à laisser les juges décider de la politique à suivre. Le NRDC, qui a fini par accueillir favorablement la déférence de Chevron comme moyen d'apporter de la certitude dans les différends sur la politique fédérale, en cours un paysage juridique post-Déférence « équivaut à lancer une fléchette sur un jeu de fléchettes d’un tribunal inférieur ».

«[Il existe] plus de dix circuits différents, chacun avec plusieurs juges», affirme John Walke, un des principaux défenseurs du programme de santé environnementale de l'organisation. « Chacun a la capacité de décider quelle interprétation raisonnable est son interprétation raisonnable préférée. »

Quel rapport avec la cybersécurité ? Il s’agit d’une discipline relativement jeune qui s’attaque encore à la politique fédérale. L’inquiétude est désormais que le fait de laisser les décisions politiques à un panel de juges de district et de circuit ayant des opinions divergentes brouillera les pistes.

Les agences fédérales deviennent plus agressives dans la réglementation de la cybersécurité, mais avec un Un Congrès moins productif que jamais, ils comptent de plus en plus sur l'ajout de réglementations à des lois plus anciennes qui ne font pas référence à la cybersécurité, parole, Harley Geiger, Ines Jordan-Zoob et Tanvi Chopra au Center for Cybersecurity Policy.

Les spécialistes du Centre craignent que la disparition de Chevron Deference n'affecte plusieurs changements réglementaires récents, y compris l'exigence de la SEC selon laquelle les organisations signalent rapidement les incidents de cybersécurité, ainsi que les révisions de 2022 de la loi Gramm-Leach-Bliley qui obligeaient les institutions financières à signaler les incidents de cybersécurité. Les lois sur lesquelles reposent ces réglementations ne contenaient aucun langage explicite en matière de cybersécurité. Sans la protection de Chevron Deference, ils pourraient faire face à des contestations judiciaires devant les tribunaux de district.

Le Centre craint que cela rende plus difficile pour les organisations d'obtenir un ensemble de règles claires à l'échelle nationale en matière de politique de cybersécurité.

« Le résultat pourrait être une moins grande cohérence dans l’application des réglementations entre les juridictions », affirment les auteurs. « Les efforts du pouvoir exécutif pour harmoniser les réglementations en matière de cybersécurité sans l’autorisation explicite du Congrès pourraient s’essouffler, obligeant l’industrie à continuer de se débattre avec une mosaïque de règles de sécurité. »

Les auteurs du Centre craignent également que les nouvelles lois sur les questions de cybersécurité ne soient moins ambiguës, ce qui laisserait aux régulateurs moins de latitude d'interprétation dans un secteur technologique en évolution rapide. Cela pourrait rendre plus difficile l’adoption des futures lois sur la cybersécurité, préviennent les auteurs.

Un test juridique reste en place qui permet aux tribunaux de s'en remettre aux agences fédérales sur les questions de politique. Appelée doctrine Skidmore, elle découle d'une affaire de 1944 qui permet aux tribunaux de s'en remettre à l'interprétation d'une agence basée sur « le pouvoir de persuader, s'il lui manque le pouvoir de contrôler ». Cependant, la capacité de persuasion d'une agence dépend probablement toujours de l'opinion du juge de première instance ou du juge d'appel.

Que devez-vous faire?

Où en sont les entreprises qui tentent de se conformer aux réglementations en matière de cybersécurité ?

« Peut-être plus que jamais, des initiatives du secteur privé visant à adopter volontairement des programmes efficaces de gestion des cyber-risques sont nécessaires pour renforcer la résilience des consommateurs, des entreprises et de la société », affirment les auteurs du Center for Cybersecurity Policy.

Heureusement, il existe de nombreux cadres robustes, notamment ISO 27001 et le cadre de cybersécurité du NIST, sur lesquels les entreprises peuvent baser leurs efforts en matière de cybersécurité. Cela laisse les entreprises plus susceptibles de se conformer aux réglementations fédérales et offre également davantage de protections contre les incidents de cybersécurité. Dans un environnement juridique plus volatile, une conformité volontaire solide offre un niveau de certitude et démontre que les organisations se sont conformées à l’esprit, plutôt qu’à la lettre, de la loi.