XVe législature
Session ordinaire de 2017-2018

Séance du mercredi 31 janvier 2018

L’ordre du jour appelle la suite de la discussion, après engagement de la procédure accélérée, du projet de loi, adopté par le Sénat, portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité (nos 530, 554). Cet après-midi, l’Assemblée a commencé d’entendre les orateurs inscrits dans la discussion générale.
Nous poursuivons avec M. Philippe Latombe.
Monsieur le président, madame la ministre auprès de M. le ministre d’État, ministre de l’intérieur, monsieur le secrétaire d’État chargé du numérique, madame la présidente de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République, monsieur le rapporteur de la commission des lois, mes chers collègues, le texte sur lequel nous allons nous prononcer aujourd’hui concerne la transposition de deux directives européennes et tire les conséquences d’une décision du Parlement européen et du Conseil. Ce projet de loi rassemble des sujets aussi divers que la détention d’armes à feu civiles, le service public réglementé Galileo, mais également et surtout un domaine crucial pour notre avenir, celui de la cybersécurité.
L’enjeu de la cybersécurité nous permet de discuter plus largement de questions relatives au numérique, un sujet central de cette année 2018, car outre la transposition de la directive 2016/1148, communément appelée « directive NIS » –
Network and Information Security – , et qui nous occupe ici, d’autres rendez-vous importants devraient venir ponctuer l’année afin que naissent et se concrétisent des projets essentiels à l’émergence d’une cybersécurité et d’une cyberdéfense fortes et ambitieuses au niveau européen.
Comme je l’avais souligné lors du débat en commission, le principal intérêt de ce volet du projet de loi réside dans sa dimension européenne : en effet, il ne sera possible de répondre aux attaques informatiques, telles celles que nous avons connues au printemps 2017, qu’à la condition de doter l’ensemble des États européens des instruments et des armes adéquates. La « culture stratégique commune », évoquée par le Président de la République lors de son discours à la Sorbonne, pose le principe qui doit nous guider car des réglementations différentes d’un État à l’autre entraîneraient inévitablement des failles que seule une législation commune permettra d’éviter. Que nous le voulions ou non, nous sommes aujourd’hui, dans notre espace européen, interdépendants et donc vulnérables si nous ne trouvons pas les moyens de faire front commun.
Aussi, la directive NIS constitue une étape nécessaire dans l’édification d’une sécurité commune. Elle poursuit ainsi un double objectif : renforcer le niveau de cybersécurité applicable aux activités économiques stratégiques et accroître la coordination entre États membres en cas d’incidents transnationaux. Le texte affirme la nécessité de définir et d’identifier les opérateurs de services essentiels, dits « OSE » : des acteurs qui font partie de la vie quotidienne des Français et qui devront, à ce titre, se conformer aux nouvelles règles en matière de sécurité informatique.
La directive fixe une liste minimale de secteurs concernés : énergie, transport, banques, infrastructures de marchés financiers, santé, fourniture et distribution d’eau potable, infrastructures numériques. Le Gouvernement a fait le choix de ne pas reprendre cette liste dans le présent texte pour permettre d’étendre la qualification d’opérateurs de services essentiels à de nouveaux domaines en fonction du contexte et des nouvelles menaces qui pourraient apparaître. Cette souplesse répond d’ailleurs à une demande de l’ANSSI – l’Agence nationale de la sécurité des systèmes d’information.
De même, l’obligation accrue de sécurité informatique s’imposera dorénavant à certains fournisseurs de services numériques : sont concernés les places de marché en ligne, les moteurs de recherche en ligne et les services informatiques en nuage. Concernant la réglementation qui leur sera applicable, je tiens à saluer l’apport de nos collègues du Sénat : un fournisseur étranger offrant ses services sur le territoire français devra désigner un représentant en France auprès de l’ANSSI dès lors qu’il n’en aurait pas déjà fait de même dans un autre État membre.
La transposition de cette directive européenne contribuera ainsi à un renforcement des capacités nationales des États membres grâce à l’ensemble des mesures prévues : une autorité nationale ; une stratégie nationale doublée d’une collaboration avec les autres États ; un centre de réponse aux incidents. L’obligation faite aux OSE et aux fournisseurs de services numériques de déclarer les incidents, « sans délai après en avoir pris connaissance » pour les premiers, « lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services » pour les seconds, est une garantie qui permettra la mise à jour régulière de nos systèmes de défense. De plus, une disposition prévoit la possibilité de rendre publics ces incidents, créant ainsi un enjeu « réputationnel » pour les entreprises qui devrait les inciter à sécuriser leur réseau et leur système d’information, conformément à ce que prévoit le présent projet de loi.
La cyberdéfense et la cybersécurité sont deux domaines dans lesquels la coopération et l’entraide européenne sont impératives pour notre développement économique, industriel et social. C’est aussi un enjeu de souveraineté pour l’Europe, devant lequel nous devrions tous nous retrouver.
L’autre directive dont nous actons la transposition est relative à l’acquisition et à la détention d’armes à feu civiles, et fait l’objet du titre II du projet de loi. Nous comprenons bien sûr tous la nécessité de mieux contrôler la circulation des armes, et donc leur vente, dans le contexte que nous connaissons.
Les articles 16 et 17 actent la suppression de la catégorie des armes à feu soumises à enregistrement, soit la sous-catégorie Dl. Ces armes seront désormais surclassées en catégorie C et donc soumises à déclaration pour l’acquisition et la détention. Une inquiétude avait été exprimée par les détenteurs d’armes à feu de collection ou d’intérêt historique. Mes collègues du groupe MODEM et moi-même sommes satisfaits des explications du rapporteur sur ce point. Je tiens d’ailleurs à préciser que l’amendement que j’ai déposé sur l’article 17, cosigné par plusieurs d’entre eux, est un simple amendement de coordination qui ne prévoit pas l’extension du régime actuellement applicable à l’acquisition et à la détention des armes de collection.
Le durcissement du régime d’acquisition et de détention des armes semi-automatiques comme l’instauration d’un contrôle administratif pour les courtiers d’armes de catégorie C sont des mesures de nature à renforcer la sécurité globale entourant les armes à feu. Dès lors, nous ne voyons aucune objection aux propositions avancées dans ce texte, en dépit d’une surtransposition à l’article 18 puisque les ventes directes ne pourront s’effectuer qu’à compter de la remise effective à l’acquéreur alors que la directive ne prévoit cet encadrement que pour les ventes à distance ou par correspondance. Cette surtransposition nous toutefois paraît justifiée afin de mieux vérifier l’identité des détenteurs d’armes de ces catégories.
Enfin, bien sûr, la dernière disposition de cette directive nous semble relever du bon sens puisqu’elle en appelle à la vigilance des citoyens, en particulier des armuriers et des courtiers, qui pourront refuser de conclure une transaction dès lors qu’elle leur apparaîtrait suspecte au regard de sa nature ou de son échelle.
Dernier sujet, d’une grande importance lui aussi : le service public réglementé – SPR – Galileo, auquel est consacré le titre III du présent projet de loi.
Il s’agit d’une décision du Parlement européen et du Conseil avec laquelle la France doit se mettre en conformité afin de permettre l’accès à certains services de Galileo pour le développement d’applications et de dispositifs de géolocalisation sensibles. À cette fin, le projet de loi prévoit un régime d’autorisation administrative pour l’exercice des activités de fabrication, de développement et d’exportation des modules de sécurité SPR, ainsi qu’un régime de sanctions pénales, assorti d’amendes de 50 000 à 200 000 euros et de peines complémentaires.
Nous savons tous que le système Galileo est vital pour l’Europe, et donc pour la France, tant son intérêt stratégique trouve son origine dans la question de la souveraineté de notre espace commun. Entre les États-Unis et la Russie, entre la Chine et l’Inde, l’Europe devait se doter d’un outil de radionavigation par satellite, ce qui est chose faite avec Galileo, en service depuis la fin de l’année 2016.
Les deux directives et la décision du Conseil et du Parlement européens nous semblent tout à fait aller dans le sens de l’intérêt général et d’une plus forte coopération entre les États membres, ce qui, de notre point de vue, est particulièrement louable. Elles répondent à une nécessité immédiate et à des enjeux cruciaux pour notre espace partagé. C’est donc bien sûr avec conviction que le groupe MODEM soutiendra ce texte, et le votera.
(Applaudissements sur les bancs du groupe MODEM et sur de nombreux bancs du groupe REM.) La parole est à M. Philippe Dunoyer. Monsieur le président, madame la ministre, monsieur le secrétaire d’État, madame la présidente de la commission des lois, monsieur le rapporteur, mes chers collègues, le présent projet de loi vise à transposer en droit interne deux directives européennes dans le domaine de la cybersécurité et du contrôle des armes ; il tire également les conséquences d’une décision de 2011 du Parlement européen et du Conseil relative au système mondial de radionavigation par satellite issu du programme Galileo. L’objectif est de renforcer le niveau de sécurité commun de nos concitoyens et de nos entreprises stratégiques. Et, nous en conviendrons tous, compte tenu de l’accroissement et de la complexité des menaces auxquelles notre continent fait face, c’est non seulement nécessaire, mais surtout urgent.
Avant d’en venir au contenu du projet de loi, permettez-moi de constater, et c’est assez rare pour le souligner, que la France devrait ainsi respecter le délai de transposition des deux directives. Nous pouvons donc saluer le travail de l’exécutif et des deux chambres, d’autant que le travail de transposition n’est jamais un exercice facile : les dispositions sont souvent nombreuses et hétérogènes, et le risque d’être exposé à des sanctions financières plane toujours sur les États membres – sans oublier le double écueil de la surtransposition et de la soustransposition qu’il nous faut éviter. Nos collègues Alice Thourot et Jean-Luc Warsmann, auteurs d’un rapport d’information remis en décembre dernier, l’ont très justement souligné : en France, les surtranspositions inutiles sont encore trop fréquentes. Ce constat appelle de notre part une vigilance particulière face à un risque ou à une tentation dont le présent texte n’est pas totalement exempt. J’ajoute que même si la procédure accélérée a été engagée, nous disposons de suffisamment de temps pour l’examiner sereinement.
J’en viens au fond du projet de loi.
Le titre I transpose une directive de 2016 communément appelée « NIS », dans le but de renforcer la sécurité des réseaux et des systèmes d’information dans l’Union. Il s’agit de garantir la continuité des activités économiques stratégiques de la nation, notamment celles des opérateurs de services essentiels, en cas de cyberattaques en imposant des règles élémentaires à certains organismes et en accroissant la coordination avec les pouvoirs publics en cas d’incidents de sécurité sur leur réseau et sur leur système d’information. Et c’est, hélas, on ne peut plus nécessaire.
Il suffit en effet de se pencher sur l’actualité récente pour être convaincu de l’utilité d’une telle mesure. Rien qu’en 2017, deux cyberattaques de grande ampleur ont affecté des centaines de milliers d’ordinateurs et compromis la sécurité des réseaux d’entreprises comme Renault, Saint-Gobain et Fedex. Les préjudices ont été de natures multiples, allant de la destruction des systèmes d’information à l’atteinte à l’image de l’entreprise, à la perte de marchés ou encore au vol d’informations sensibles. Quant aux coûts induits par ces attaques, ils donnent le vertige : selon une estimation de l’Agence européenne pour la sécurité des réseaux, le coût global des incidents cybernétiques au niveau mondial est situé entre 330 milliards et 500 milliards d’euros par an ; pour une seule entreprise française, il est compris, en moyenne, entre quelques centaines de milliers et une vingtaine de millions d’euros, mais c’est souvent plus – par exemple, lors de la cyberattaque NotPetya de l’an dernier, l’entreprise Saint-Gobain a évalué ses pertes financières à 250 millions d’euros.
Indéniablement, les attaques contre les systèmes d’information sont l’une des principales menaces qui pèsent sur la sécurité européenne et nationale. La directive NIS et sa transposition en droit interne sont donc plus que jamais nécessaires. Néanmoins, bien que les dispositions du projet de loi relatives aux notions de sécurité des systèmes d’information, d’opérateurs de services essentiels ou encore de fournisseurs de services numériques ne posent pas de difficulté, je reste sceptique quant à la réelle portée contraignante des dispositions relatives aux recommandations, aux obligations et aux sanctions qui pèseront sur eux. Il est, par exemple, demandé aux fournisseurs de services numériques de garantir un niveau de sécurité adapté aux risques existants, sans guère plus de précision. Sans sombrer dans la surtransposition, je crois qu’il serait bienvenu de prévoir que les organismes concernés puissent bénéficier de l’expérience des opérateurs et des agences expérimentés et qui ont fait la preuve de leurs bonnes pratiques. Je ne doute pas que l’Agence nationale de sécurité des systèmes d’information conseille régulièrement les entreprises stratégiques françaises, mais il ne serait sans doute pas inutile d’institutionnaliser une véritable coopération, au jour le jour, aux niveaux national et européen, au bénéfice des opérateurs de services essentiels et des fournisseurs de services numériques.
J’en viens au titre II qui vise à transposer une directive de 2017 relative au contrôle de l’acquisition et de la détention d’armes. L’objectif est ici de durcir les conditions d’acquisition et de détention des armes à feu dites civiles : il s’agit notamment de surclasser en catégorie A les armes semi-automatiques, de supprimer la sous-catégorie Dl et de renforcer globalement les conditions de vente d’armes et de munitions. Ce texte s’inscrit dans la continuité de la déclaration de Paris du 11 janvier 2015, prise au lendemain des attentats qui ont frappé notre pays. Dans le contexte de menace terroriste grandissante, il était indispensable de poursuivre l’harmonisation et le renforcement des règles applicables pour les armes les plus dangereuses mais aussi de sécuriser dans leur ensemble les conditions de vente des armes à feu.
Les individus susceptibles de menacer la sécurité de nos concitoyens recourant essentiellement à des réseaux et à des procédures en dehors des circuits légaux, la législation et la réglementation en vigueur, aussi dures soient-elles, ne devraient pas fondamentalement changer la donne.
Certes, les dispositions de ce projet de loi permettront d’améliorer la traçabilité et le marquage des armes, voire d’empêcher la réactivation de celles qui ont été neutralisées, dont certaines alimentent les marchés illégaux – c’était par exemple le cas des deux fusils d’assaut utilisés par l’un des terroristes lors des attentats de janvier 2015. Pour autant, nous pouvons craindre que des dispositions trop contraignantes en la matière ne distinguent pas suffisamment les comportements à risque et criminels des pratiques de nos concitoyens honnêtes telles que les activités de chasse, de sport et de collection.
Très bien ! C’est sans doute le sujet qui sera le plus largement débattu pendant l’examen de ce projet de loi. Je le pense. Je ne vais pas m’étendre sur ce point, qui fera l’objet de plusieurs amendements déposés par différents groupes, dont le groupe UDI, Agir et indépendants. Mais il me semble d’ores et déjà important de rappeler que l’acquisition et la détention d’armes et de matériels historiques ou de collection, ou leur reproduction, risquent d’être particulièrement fragilisées par la voie choisie pour transposer cette directive, voie sur laquelle plane le risque de surtransposition.
En effet, dans ses considérants, la directive du 17 mai 2017 prévoit que les États membres peuvent encadrer, avec la souplesse qu’il convient, l’acquisition et la détention par les collectionneurs reconnus d’armes, y compris de catégorie A, « à des fins historiques, culturelles, scientifiques, techniques, éducatives ou de préservation du patrimoine ». Le Conseil d’État a également prévu une telle autorisation. Or, malgré ces préconisations, le projet de loi a fait le choix d’écarter cette possibilité de dérogation au bénéfice des collectionneurs.
En outre, les collectionneurs désignés par la directive comme « reconnus » ne disposent toujours pas, à l’heure actuelle, d’une carte de collectionneur, faute de publication du décret d’application de la loi du 6 mars 2012 relative à l’établissement d’un contrôle des armes moderne, simplifié et préventif, censé en préciser les conditions d’établissement et de validité. Je ne peux qu’inciter le Gouvernement à combler ce vide au plus vite. Pour les collectionneurs qui attendent ce décret depuis six ans, le préjudice est considérable. En l’absence de reconnaissance et d’encadrement de leurs activités, beaucoup craignent de participer à des événements tels que les commémorations du centenaire de la Première guerre mondiale ou des manifestations,…
Bien sûr ! …même si j’ai entendu les précisions données tout à l’heure à ce sujet par M. le rapporteur. Insuffisantes ! Je ne suis néanmoins pas certain que la subtile distinction entre la réglementation et la législation qui s’appliquent aux commémorations et aux manifestations soit connue des collectionneurs.
Au-delà de la transposition de directives, exercice contraint, imposé mais nécessaire, l’urgence commande également de nous pencher dans un avenir proche sur la question du renforcement de la lutte contre le trafic d’armes.
Le titre III concerne les modalités d’accès au service public réglementé offert par le système mondial de radionavigation par satellite Galileo. L’article 22 encadre l’usage de ce service par les institutions de l’Union européenne et les États membres à des fins de sécurité publique et d’intérêt général. Je n’ai donc pas de remarque particulière à faire sur ces dispositions, si ce n’est qu’il convient de saluer la réussite technologique de ce GPS européen.
Enfin, le titre IV prévoit les mesures transitoires nécessaires pour l’entrée en vigueur des dispositions du projet de loi et permet son application outre-mer dans les territoires pour lesquels une mention expresse d’application est nécessaire, manifestation du réflexe ultramarin, ce dont, en tant que député de Nouvelle-Calédonie, je ne peux que me réjouir.
Mes chers collègues, vous l’aurez compris, bien que nous regrettions le préjudice que certaines dispositions pourraient causer à nos concitoyens honnêtes qui s’adonnent à une passion mal réglementée, le groupe UDI, Agir et indépendants votera pour un projet de loi qui contribuera à renforcer le niveau de sécurité sur notre continent.
Attendez l’examen des amendements avant de vous prononcer ! La parole est à Mme Olga Givernet. Monsieur le président, madame la ministre, monsieur le secrétaire d’État, madame la présidente, monsieur le rapporteur, mes chers collègues, les dernières campagnes électorales, aux États-Unis mais aussi en France, ont mis en lumière les risques liés à la cybercriminalité. Et il y a tant d’autres exemples ! Nous vivons aujourd’hui avec une menace qui n’est pas palpable et qui est pourtant omniprésente. Il faut donc une réponse coordonnée et une mobilisation de l’ensemble des acteurs internationaux sur ce sujet. L’Union européenne, en particulier, a la capacité d’organiser la défense de nos systèmes informatiques.
Les attaques viennent de partout dans le monde et visent indistinctement les personnes et les États. Parmi l’ensemble des mesures que nous votons aujourd’hui, la transposition de la directive sur la cybersécurité est donc une avancée majeure.
L’adaptation au droit français qui nous est proposée est fidèle à ce qui a été voté par le Parlement européen. Nous n’avons cherché ni à surtransposer ni à soustransposer des dispositions qui proposent des règles uniformes et lisibles dans tous les États membres de l’Union et constituent un gage de confiance envers les instances européennes. Nous nous félicitons de voir que le travail continue, à Bruxelles et à Strasbourg, pour offrir la meilleure sécurité aux ressortissants de l’Union européenne. C’est une démarche exemplaire que la France, avec les États membres, souhaite accompagner. Nous le prouvons aujourd’hui en soutenant l’adaptation de cette directive.
Sur le plan juridique, l’Union européenne vient ici combler un véritable vide. Alors que les cyberattaques se font de plus en plus nombreuses et de plus en plus puissantes, la loi doit offrir une réponse adaptée. La France dispose déjà d’une autorité nationale compétente, l’Agence nationale de la sécurité des systèmes d’information. Mais il est également nécessaire de soumettre les systèmes d’information des opérateurs et des fournisseurs de service numérique à un dispositif réglementaire efficace. Il est capital de renforcer les systèmes de sécurité, les opérateurs d’importance vitale étant particulièrement concernés. En l’absence de dispositions applicables dans le droit national, il s’agit de prendre de nouvelles dispositions législatives, qui s’articulent autour d’un volet sur les opérateurs et d’un autre sur les fournisseurs.
Cette loi permettra à la France, qui participe activement au groupe de coopération, d’intensifier ses relations au niveau européen. Elle aura également un impact économique et sociétal, en favorisant l’élan de l’industrie de la cybersécurité, l’augmentation des besoins de main-d’œuvre qualifiée et le développement des services en matière de conseil, d’audit, de détection et de traitement des risques et des incidents. Nous pouvons d’ores et déjà anticiper un développement de l’emploi dans ce secteur.
Ce projet formule une véritable stratégie nationale dans laquelle les objectifs tactiques et les mesures politiques et réglementaires appropriées sont clairement posés. Il nous permettra de parvenir au niveau de sécurité des réseaux et des systèmes d’information le plus élevé possible.
Je ne reviendrai pas en détail sur les titres II et III du texte que nous votons aujourd’hui, mes collègues ayant déjà exprimé des points de vue que je rejoins. Mais qu’il s’agisse de la cybersécurité, de la détention d’armes ou de Galileo, ces mesures européennes vont dans le bon sens.
Le Parlement européen démontre que ses textes sont pleinement adaptables en droit français, et aucune contorsion juridique n’est ici nécessaire. Somme toute, ces directives offrent des solutions immédiates à des manques importants de notre droit.
La politique européenne prend la pleine mesure des défis qui nous attendent en termes de sécurité. Elle consacre un besoin impérieux d’union face à la multiplication des attaques physiques ou numériques ; elle sait répondre rapidement et efficacement aux besoins nécessaires rencontrés par les États membres, au premier rang desquels figure la France. Le travail de nos collègues à Strasbourg constitue une excellente source de droit pour notre nation, et il me semble important de nous en saisir dans des délais raisonnables, particulièrement quand les sujets touchent à la sécurité de nos concitoyens.
Le groupe La République en marche votera donc ce texte sans aucune retenue. À l’avenir, nous continuerons d’encourager l’Europe à répondre aux questions de sécurité.
(Applaudissements sur quelques bancs du groupe REM.) La parole est à Mme Valérie Bazin-Malgras. Monsieur le président, madame la ministre, monsieur le secrétaire d’État, madame la présidente de la commission, monsieur le rapporteur, chers collègues, j’aimerais appeler votre attention sur un sujet qui me tient particulièrement à cœur, celui de l’acquisition et de la détention de matériels et armes historiques et de collection. Une suspicion grandissante semble en effet peser sur le transport de tels matériels ainsi que sur le déplacement de véhicules de collection, notamment dans le cadre de commémorations. C’est ce que semble confirmer une des deux directives que le projet de loi tend à transposer dans notre droit, qui vise à mieux encadrer les régimes légaux d’acquisition et de détention des armes à feu.
La loi du 6 mars 2012 avait créé la carte du collectionneur et donné la possibilité aux collectionneurs de posséder des matériels et des armes des différentes catégories, allant de la catégorie A, pour les plus dangereuses, à la catégorie D, pour les armes en détention libre, ainsi que leurs reproductions. Rompant avec la loi de 2012, au nom de la dangerosité potentielle des armes de collection, le projet de loi soumis à cette assemblée ne mentionne la détention libre des matériels et armes historiques et renvoie à un décret à venir les conditions d’application de la loi.
La commission des lois du Sénat avait modifié l’article 16 du projet de loi afin de prévoir que les armes historiques et leurs reproductions relèveraient, par défaut, de la catégorie D, et seraient, à ce titre, libres d’acquisition et de détention, à l’exception des armes à la dangerosité avérée dont la liste serait établie par un décret en Conseil d’État : il faut entériner cette position mesurée et sage. Alors que la commission des lois de notre assemblée a supprimé ces modifications, je souhaite que nous tirions pleinement profit du principe de co-construction parlementaire en retrouvant la version du Sénat. Car le projet de loi, dans sa version actuelle, risque d’avoir un impact négatif : en introduisant un véritable flou autour de la classification des différentes armes, qu’il laisse au libre choix de l’exécutif, il tend à mettre les collectionneurs dans l’incertitude sur leur avenir.
En outre, les tentatives d’acquisition, de cession et de détention des catégories A, B et C seraient assorties de peines très lourdes, l’État pouvant même ordonner la saisie et la destruction sans indemnisation des pièces collectionnées. Le projet de loi tend à faire remonter en catégorie C les armes neutralisées et les reproductions d’armes anciennes, qui ne présentent pourtant aucune dangerosité. Il supprime la possibilité de neutraliser les armes anciennes qui ne l’auraient pas été auparavant.
Toutes ces dispositions tendent à construire un régime de la détention des pièces de collection confiscatoire. Alors que le considérant numéro 17 de la directive précise qu’« il convient que les États membres puissent décider d’accorder aux musées et aux collectionneurs reconnus l’autorisation d’acquérir et de détenir des armes à feu, des parties essentielles et des munitions de la catégorie A si nécessaire, à des fins historiques, culturelles, scientifiques, techniques, éducatives ou de préservation du patrimoine », on assiste, une fois de plus, à une véritable surtransposition d’une norme européenne. Or le Gouvernement et la majorité parlementaire s’étaient engagés solennellement à ne plus le faire. Vous devez tenir votre engagement ! Cela est d’autant plus nécessaire que ce texte augmenterait davantage la suspicion qui pèse déjà sur le transport et les déplacements des armes et des véhicules de collection, notamment pour les commémorations.
Cela n’est pas acceptable pour les collectionneurs, les professionnels et les associations de la mémoire, qui font vivre le témoignage vibrant d’événements fondateurs de notre histoire – cette histoire vivante qui participe au devoir de mémoire, mais aussi à la transmission du savoir et à la connaissance de notre passé. L’ensemble des professionnels du cinéma seraient également affectés par cette mesure qui, pour la réalisation de films historiques, ajouterait de la complexité à la complexité.
Seule la mise en place de la carte du collectionneur, en partenariat avec les fédérations et les associations de passionnés, à l’image de ce qui existe pour les chasseurs et tireurs sportifs, est susceptible de résoudre le problème.
Très bien ! En outre, si le projet de texte était adopté en l’état, il entraînerait la mort programmée de la collection d’engins militaires et des reconstitutions historiques en France. Et oui ! Plusieurs mouvements de collectionneurs envisagent d’ailleurs de suspendre leur participation aux commémorations du centenaire de la victoire de 1918 et du débarquement de Normandie en juin prochain ; cela serait inacceptable, ces événements majeurs, priorités par ailleurs du Président de la République, devant montrer l’attachement et la reconnaissance de la France envers ceux grâce à qui nous sommes libres. Ces matériels représentent le meilleur moyen de susciter l’engouement populaire, tout en donnant à de telles célébrations une portée plus authentique et émouvante.
C’est pourquoi, madame la ministre, monsieur le secrétaire d’État, monsieur le rapporteur, je vous demande d’accepter d’amender ce projet de loi afin de préserver les droits actuels des collectionneurs et de sécuriser la détention et le transport des armes et matériels de collection, et je réclame la mise en œuvre de la carte du collectionneur.
(Applaudissements sur les bancs du groupe LR.) La parole est à Mme Marie-France Lorho. Monsieur le président, madame la ministre, monsieur le secrétaire d’État, madame la présidente de la commission des lois, monsieur le rapporteur, il est bien évident qu’un problème de méthode se pose. Le simple titre du projet de loi nous gêne, comme il gêne les Français, au point que la commission des lois s’est emparée du sujet pour réfléchir à la surtransposition. Il n’y a pas lieu d’en débattre à présent, mais vous aurez compris notre malaise.
Dans le domaine de la sécurité, le bilan de l’Union européenne est des plus contestables : accords diplomatiques boiteux avec la Turquie, abandon des frontières à des agences sans stratégie ni moyens, dissymétrie foncière concernant la volonté des États membres en matière de protection, chape de plomb moralisante sur les discours de protection.
Mais ne nous arrêtons pas là : la noria de groupes d’intérêts, légalement enregistrés à Bruxelles, montre bien que la conception des responsabilités partagées entre les acteurs du traitement et de la gestion des données est tout, sauf équilibrée. En un mot, entre la volonté des « GAFA » – Google, Apple, Facebook, Amazon – et une directive européenne, il existe une inégalité constitutive de puissance qui n’est pour le moins pas à notre avantage.
Nous devons faire des détours par l’environnement général pour comprendre l’enjeu du texte, un enjeu qui nous dépasse de loin. La dernière réunion de Davos en témoigne : dans un univers où les États-Unis et la Chine mènent une bataille numérique et économique sous le regard du monde entier, la civilisation européenne est désormais hors-jeu.
Angela Merkel ne sut même pas réagir quand elle apprit que la NSA espionnait les réunions officielles allemandes. De même, je peine à entendre les réactions internationales concernant l’espionnage de l’Union africaine par la Chine. Rappelons par ailleurs que la première décision des coalitions internationales pour s’octroyer l’amitié des dirigeants de certaines régions consiste en l’octroi de parts dans les entreprises de télécommunication et de fournitures de réseau internet.
Une concertation au seul niveau européen présenterait deux dangers majeurs pour notre pays : il n’est pas certain que la France ait le même intérêt que ses voisins à ce sujet et il n’est pas certain que les adversaires ou les concurrents de la France n’utilisent des pays membres pour influencer la concurrence internationale.
Cela étant, il importe d’analyser la structure du texte. La surprise est importante. Si la volonté était de prendre des mesures fortes pour accroître notre sécurité, il aurait fallu nous présenter un texte concis, composé de quelques articles seulement, concentrés sur les enjeux fondamentaux. Pour réguler l’influence des moteurs de recherche et des bases de données, il ne faut pas se détourner de l’objectif.
Que constatons-nous à la place ? Une accumulation de parties qui lient Galileo, les armes de catégorie D et le contrôle de la protection des données.
Il conviendrait ensuite de donner le cadre précis d’application de cette loi. En effet, la protection des données est coûteuse. Elle fait l’objet d’un marché mondialisé des talents, des logiciels, des intérêts, alors que des pépites françaises peuvent avoir besoin d’être protégées ou des grands groupes alertés. Cette précision, ces adaptations, le texte ne les prévoit pas.
Citons, à cet égard, l’article 1er : « La sécurité des réseaux et systèmes d’information consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles. »
De deux choses l’une : soit l’on présente de vagues principes à la représentation nationale, laissant à la discrétion des ministères la rédaction de décrets donnant une force réelle à ces sujets, soit la précision nécessaire à l’immense variété des situations et des réponses possibles n’est pas apportée, ce qui pose problème.
Par ailleurs, à l’article 3, le législateur souhaite encadrer les devoirs des prestataires de services. Il serait difficile de le lui reprocher, mais le manque de précision nous conduit à la même question, dès lors que ces prestataires sont aussi des acteurs du monde du renseignement. Comment encadrer ? Quelles en seraient les conséquences pour nos propres services ? Les services de l’État sont-ils vraiment capables de poursuivre efficacement ceux qui manqueraient à leurs obligations ?
La guerre de l’information et pour la maîtrise du monde numérique est un fait des puissances. Elle résulte de l’accumulation des forces d’un État, aussi bien les forces morales, intellectuelles, économiques qu’institutionnelles. Nous connaissons les experts en la matière : les États-Unis, où l’imbrication du privé et du public au service de la nation américaine est ancienne. Une telle imbrication peut-elle fonctionner en France ? Peut-elle d’ailleurs se faire dans la certitude des intérêts strictement ordonnés au bien commun ?
En France, les fournisseurs de services numériques ont depuis longtemps élargi le cercle de leurs intérêts. Ils vadrouillent dans l’information, les médias, la collecte de données sur leurs usagers. Ils altèrent la perception publique de l’information et des enjeux. Comment s’assurer, dès lors, que les articles 10 à 15 seront réellement appliqués ? D’ailleurs, les amendes prévues à l’article 15 peuvent-elles vraiment les impressionner ? Je peine à le croire.
Veuillez conclure. Je vous épargne la réflexion sur les catégories d’armes et leur distribution dont j’ai déjà dit qu’elles n’avaient rien à faire dans ce texte, tout d’abord parce cette transposition ne traite absolument pas un problème dont on sait qu’il a plus à voir avec l’incapacité de l’État à lutter contre les organisateurs du trafic qu’avec les collectionneurs ou les chasseurs, ensuite parce que l’on n’affronte pas la cybersécurité avec un article supplémentaire concernant les fusils de chasse. Je vous remercie… En un mot : on imagine les Barbouzes intervenir efficacement contre les pirates informatiques ! La parole est à Mme Nicole Trisse. Monsieur le président, madame la ministre, monsieur le secrétaire d’État, madame la présidente de la commission des lois, monsieur le rapporteur, chers collègues, nous discutons aujourd’hui de la transposition en droit français de plusieurs directives européennes dans le domaine de la sécurité. La transposition des directives communautaires constitue une obligation mais aussi une exigence constitutionnelle, dont le respect implique une transposition fidèle et complète.
Avant toute chose, rappelons que la situation de la France en matière de transposition des directives s’est nettement améliorée ces dernières années.
Je m’attarderai ici sur le titre III du présent projet de loi, dont l’article unique – l’article 22 – vise à transposer dans le droit national les obligations prévues par la décision du Parlement européen et du Conseil, en date du 25 octobre 2011, relative aux modalités d’accès au service public réglementé, offert par le système mondial de radionavigation par satellite, issu du programme Galileo.
En tant que membre de la commission de la défense nationale et des forces armées, je suis ravie de pouvoir intervenir sur ce projet de loi afin de rappeler les enjeux scientifiques, stratégiques et sécuritaires du programme Galileo.
Galileo est une prouesse technologique européenne, une fierté que nous devons défendre. Ce système de positionnement par satellites développé par l’Union européenne et incluant un segment spatial, a permis à l’Europe d’acquérir son indépendance stratégique. Il s’agit là d’un projet européen ambitieux dont l’idée a été lancée il y a déjà vingt ans. Galileo est un véritable symbole de la coopération européenne en termes de sécurité, dont nous pouvons être fiers.
L’indépendance de l’Europe vis-à-vis des États-Unis, de la Chine ou encore de la Russie, nécessite que son système de renseignement soit autonome et puisse s’appuyer sur des satellites européens.
Sur les trente satellites prévus par le programme Galileo, dix-huit ont d’ores et déjà été lancés et la constellation des trente satellites devrait être en orbite en 2021.
Galileo a été conçu pour satisfaire cinq types d’exigences : un service ouvert, gratuit et accessible à tous, un service commercial permettant de développer des applications à des fins professionnelles ou commerciales, une contribution au système mondial d’alerte et de localisation de radiobalise, une contribution aux services de contrôle d’intégrité, enfin un service public réglementé.
Ce service public réglementé est réservé aux seuls utilisateurs autorisés par les États, pour les applications sensibles soumises à un contrôle d’accès efficace et garantissant une continuité du service dans les situations les plus graves. La décision du 25 octobre 2011 « relative aux modalités d’accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo » précise les obligations des États membres qui souhaitent y recourir. Elle requiert que l’accès au SPR soit restreint à certains utilisateurs sous le contrôle permanent d’une autorité « responsable du service public réglementé ». C’est cette disposition que l’article 22 du présent projet de loi permet d’introduire dans notre code de la défense, à travers un nouveau chapitre dédié au sein du titre II du livre III. Un nouveau régime de sanctions en cas de manquements est également instauré.
Une fois notre droit mis en conformité avec cette décision européenne, un contrôle sera donc assuré par l’autorité administrative compétente – le secrétariat général de la défense et de la sécurité nationale en ce qui nous concerne – afin de délivrer ou non les autorisations, éventuellement assorties de conditions ou restrictions, nécessaires à l’accès au service public réglementé.
Ces autorisations sont aussi essentielles au développement et à la fabrication de récepteurs ou de modules de sécurité, à l’exportation d’équipements, de technologies ou de logiciels conçus pour ce service.
Selon le Conseil d’État, un tel régime d’autorisation préalable et de contrôle est indispensable. Nous ne pouvons que respecter cet avis et donc adopter l’article 22.
Soulignons enfin que la France a beaucoup investi dans le programme Galileo, tant sur le plan financier que sur le plan scientifique. Aujourd’hui, notre pays y contribue pour près de 20 %.
Oui, nous avons la chance de disposer de scientifiques reconnus et d’entreprises de pointe dans le secteur de l’aérospatial et de la défense. Conservons et protégeons cette richesse nationale et européenne, qui est un véritable succès.
(Applaudissements sur les bancs du groupe REM.) La parole est à Mme la ministre auprès du ministre d’État, ministre de l’intérieur. Sans être exhaustive, je voudrais répondre à quelques députés. J’ai entendu un certain nombre de regrets, surtout sur les bancs de la Nouvelle Gauche. J’ai bien noté la remarque qui m’a été faite, à savoir que la directive relative aux armes à feu ne traite pas directement de la lutte contre les trafics d’armes, mais ce n’est pas l’objet d’une directive que d’organiser la lutte opérationnelle contre les trafics internationaux. Je répéterai en revanche ce que j’ai déjà dit en introduction : l’adhésion de la France au protocole des Nations Unis relatif à la lutte contre les trafics d’armes à feu, que votre commission des lois rend possible grâce aux amendements qu’elle a adoptés, complétera les moyens de lutte opérationnelle contre ces trafics.
Pour lever toute ambiguïté, je soulignerai que le projet de loi transpose intégralement toutes les dispositions de la directive relevant du niveau législatif. Les autres dispositions, d’ordre réglementaire, feront l’objet d’un décret.
Le sujet des collectionneurs a soulevé de nombreuses inquiétudes. Elles ne sont pas fondées car le projet de loi ne leur retire aucun droit. Contrairement à ce que j’ai pu entendre, le fait que le Gouvernement ait délibérément choisi de ne pas autoriser les collectionneurs à acquérir des armes de catégorie A n’est pas constitutif d’une surtransposition ; cette décision relève d’un choix parmi des options ouvertes par la directive. Le Gouvernement n’a nullement l’intention de dégrader leur situation, ni de s’opposer à leur passion. Je vous le prouverai tout à l’heure.
Quant aux regrets concernant l’absence de la carte de collectionneur, je vous donnerai des garanties au cours du débat, à l’occasion de la défense des amendements.
Le sujet des collections de matériel de guerre a été soulevé, mais le projet de loi ne l’aborde pas, car il n’entre pas dans le champ de la directive. Les collectionneurs de ces matériels ne sont pas concernés, et la situation reste en l’état.
La discussion générale est close. J’appelle maintenant, dans le texte de la commission, les articles du projet de loi.
(L’article 1erest adopté.)
(L’article 2 est adopté.) La parole est à Mme Marie-France Lorho, pour soutenir l’amendement de suppression n35. Je comprends que le dépôt d’un amendement de suppression vous étonne. Cependant, je n’ai pas vu d’autre solution, eu égard à la réflexion qui préside à l’ensemble du texte.
Je veux bien que nous accordions la confiance la plus totale à l’autorégulation, mais j’y vois un procédé dangereux. Il pose tout d’abord un principe d’identité entre des acteurs d’État et des prestataires de services au sujet de la transposition d’une directive qui veut nous préserver des dangers majeurs de notre temps. Or la nationalité des prestataires, leurs convictions, leurs accointances ne peuvent pas être soumis aux mêmes exigences que celles qui s’imposent aux opérateurs du service public.
Si l’on ajoute le motif, compréhensible à certains égards, d’intérêts économiques, le législateur se place face à des situations de contentieux difficiles. Quand doit-on alerter ? Lorsqu’il s’agit d’un acteur essentiel, comment considérer que cette alerte ne le met pas lui-même en danger ?
Tout en comprenant l’objectif de l’article, je pense qu’il devrait être encore plus précis.
La parole est à M. Christophe Euzet, rapporteur de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République, pour donner l’avis de la commission. Sur la forme, vous proposez de supprimer un article qui prévoit que « lorsqu’elle informe le public ou les États membres de l’Union européenne d’incidents dans les conditions prévues aux articles 7 et 13, l’autorité administrative compétente tient compte des intérêts économiques de ces opérateurs et fournisseurs de service numérique et veille à ne pas révéler d’informations susceptibles de porter atteinte à leur sécurité et au secret en matière commerciale et industrielle. »
Il me semble très compliqué de supprimer cet article qui est une transposition scrupuleuse de l’article 14 de la directive dite « NIS ».
Sur le fond, il paraît normal de prendre en considération des intérêts économiques lorsqu’il s’agit d’informer le public ; mais informer le public, c’est bien prendre en considération les intérêts des citoyens.
La commission a donc émis un avis défavorable.
La parole est à M. le secrétaire d’État chargé du numérique, pour donner l’avis du Gouvernement. Il est le même que celui du rapporteur : défavorable.
(L’amendement n35 n’est pas adopté.)
(L’article 3 est adopté.)
(L’article 4 est adopté.) La parole est à Mme Marie-France Lorho, inscrite sur l’article. Cet article met en relief deux des défauts du texte : l’imprécision des définitions et la faible capacité du Parlement à contrôler l’exécutif. Nous en avons déjà largement traité dans la discussion générale, mais il convient d’y revenir.
La définition des « opérateurs de services essentiels » est très vague. Dans la perspective de l’écriture des décrets, pouvez-vous la préciser ? Pourquoi cette définition est-elle plus vague que celle des opérateurs d’importance vitale qui figure dans la loi de programmation militaire de 2013 ?
Vous me répondrez peut-être que cette notion d’opérateurs essentiels peut varier dans le temps ; dans ce cas, pourquoi légiférer de la sorte ? Pourquoi établir une liste valable durant deux ans, sous le seul contrôle du Premier ministre, et fondée sur la notion de continuité du service ? On parle ici aussi bien d’un opérateur de messagerie que de stockage, de flux autant que de stock. Tout cela, encore une fois, ne manque-t-il pas de précision ?
La parole est à M. Jean Lassalle. Je découvre que l’on parle ce soir de ce sujet qui me tient à cœur depuis longtemps.
Lorsque j’ai effectué mon tour de France, j’ai été très surpris de découvrir la quantité d’armes dont disposent les Français. Certes, me direz-vous, dans les banlieues que je parcourais nuitamment, entre une heure et cinq heures du matin, cela n’est guère étonnant. Un journaliste de
L’Express qui m’avait suivi durant quatre jours a d’ailleurs fini par me dire, le cinquième jour, que j’étais fou, qu’il me laissait me débrouiller… Là, j’ai vu qu’il y avait des armes, et du lourd !
Mais en discutant, dans les villages, un peu partout, et surtout dans les zones les plus sinistrées, j’ai découvert qu’il y avait beaucoup d’armes. J’ai entendu là un sentiment de peur, d’attente ; chacun s’était équipé.
Je n’avais rien vu de tel dans ma jeunesse, ni au début de mon âge adulte – un moment assez indéfini.
(Rires.)
Que ce soit par le biais du droit européen ou autrement, c’est un sujet important. Il y a beaucoup d’armes en France. L’an dernier, il y avait une rupture de stock de chevrotines. (Exclamations et sourires sur les bancs du groupe REM.) Un de mes amis voulait en acheter, impossible… Nous vivons dans un contexte très tendu. Je suis saisi de deux amendements, nos 58 et 68, pouvant être soumis à une discussion commune.
La parole est à M. Michel Larive, pour soutenir l’amendement n58.
Cet amendement vise à renforcer la lutte contre les cyberattaques en protégeant spécifiquement certains services essentiels.
Imaginez qu’au cours d’une opération à cœur ouvert les ordinateurs cessent de fonctionner et provoquent un dysfonctionnement de l’appareil permettant de maintenir le rythme cardiaque.
Imaginez une agence de Pôle emploi piratée qui voit toute sa base de données effacée ou, plus insidieusement, partiellement modifiée, les données ne permettant plus l’identification des ayants droit.
Imaginez – pire encore – un piratage du logiciel Eloi qui ferait passer tous les amendements de la France insoumise sous la signature de députés En marche !
(Exclamations et rires sur les bancs du groupe REM.) Oh non ! Pas ça ! Le groupe France insoumise considère que la législation doit être plus protectrice, notamment en ce qui concerne certains services fondamentaux, dans les domaines social, éducatif, économique, environnemental, sanitaire, médico-social et culturel. Afin de protéger le bien-être collectif, nous proposons d’inclure explicitement ces domaines dans le projet de loi – dans le strict respect de la répartition des compétences entre le pouvoir exécutif et le pouvoir législatif. (Applaudissements sur les bancs du groupe FI.) La parole est à M. Michel Castellani, pour soutenir l’amendement n68. Cet amendement va dans le même sens. Il vise à préciser davantage dans la loi la nature des services soumis aux règles de sécurité nécessaires à la protection des réseaux et systèmes d’information qui seront désignés par le Premier ministre.
L’amendement propose notamment de viser clairement les hôpitaux ou les établissements scolaires, ce que ne fait pas la rédaction actuelle.
Toutefois, nous ne souhaitons pas non plus une rédaction trop stricte de l’article. C’est tout l’objet de cet amendement qui utilise l’adverbe « notamment ».
Quel est l’avis de la commission ? Avis défavorable. L’hypothèse du virus affectant les ordinateurs de l’Assemblée nationale et permettant l’adoption automatique de tous les amendements de la France insoumise est en effet effrayante. Mais vous l’aviez déjà évoquée en commission, mot pour mot. Je vous renvoie donc à nouveau à l’annexe II de la directive dite « NIS ». Cette annexe prévoit tous les domaines concernés ; les hôpitaux et les cliniques y figurent.
Le Gouvernement s’est par ailleurs engagé, au cours de nos travaux préparatoires, à élargir le champ d’application de la directive, par exemple à la grande distribution ou au tourisme.
Quel est l’avis du Gouvernement ? Les secteurs dans lesquels ces dispositions s’appliqueront seront en effet définis par le Gouvernement. L’annexe II cite en particulier l’énergie, le transport, les banques, la santé, l’eau, les infrastructures numériques…
Nous nous sommes, le rapporteur l’a dit, engagés à aller au-delà. Le risque n’a jamais été aussi important, et nous partageons vos inquiétudes. C’est un sujet qui doit être considéré largement.
Je redis également que le Gouvernement informera régulièrement le Parlement au cours de son travail sur les différents décrets.
Avis défavorable, donc.
(Les amendements nos 58 et 68, successivement mis aux voix, ne sont pas adoptés.) La parole est à Mme Emmanuelle Ménard, pour soutenir l’amendement n81. Comment est-il possible que les règles de sécurité destinées à protéger les réseaux et systèmes d’information soient dictées par le seul Premier ministre ? Comment, dans une démocratie, ces règles peuvent-elles ne pas être soumises au regard critique des Français et de leurs représentants élus ?
La sécurité des réseaux et systèmes d’information est absolument primordiale ; toute la vie économique de la France en dépend, comme nos vies privées.
Or vous transposez cette directive de telle façon que tout est entre les mains du Premier ministre. Parce que nous vivons encore en démocratie, je souhaite que cette compétence soit partagée avec un organisme compétent et surtout indépendant.
Parmi ceux qui existent, j’ai pensé à l’ARCEP, l’Autorité de régulation des communications électroniques et des postes. Peut-être d’autres seraient-ils plus adaptés. Il ne s’agit pas de donner une impression de démocratie, mais de protéger les Français.
Quel est l’avis de la commission ? Avis défavorable. Les réseaux et services de communications électroniques publics sont expressément exclus du champ d’application de la directive. On est donc ici hors sujet.
J’ai de plus l’impression qu’il y a dans l’amendement une confusion entre l’ARCEP et l’ANSSI.
Quel est l’avis du Gouvernement ? Avis défavorable. Je vous rappelle la philosophie générale du texte : le Premier ministre et ses services dresseront ces listes ; nous devrons par ailleurs trouver une façon de travailler en collaboration avec le Parlement, que nous tiendrons au courant de ce travail en prenant garde à la confidentialité de certaines informations.
Nous ne comprenons par ailleurs pas de la même façon le rôle de l’ARCEP.
(L’amendement n81 n’est pas adopté.) La parole est à Mme Emmanuelle Ménard, pour soutenir l’amendement n86. Dans la logique de mes amendements précédents, j’estime que les Français doivent être certains que leur sécurité est vraiment assurée, et que le Premier ministre contrôle vraiment avec attention les opérateurs.
Je demande donc que les parlementaires produisent, tous les deux ans, un rapport sur les failles de sécurité ; ils diraient ainsi aux Français s’ils sont, ou non, protégés.
La sécurité des réseaux et systèmes d’information ne doit pas être considérée avec légèreté ; ce serait risquer les pires catastrophes. La sécurité doit être assurée, et je serai très vigilante sur ce point.
Quel est l’avis de la commission ? Avis défavorable. La loi fixe le cadre mais c’est au pouvoir réglementaire qu’il reviendra d’adopter cette liste d’opérateurs. Quel est l’avis du Gouvernement ? La désignation des opérateurs est une décision administrative, prise en application de la loi. Le Gouvernement jouera pleinement son rôle. Je redis néanmoins que nous serons, que je serai toujours très disponible pour répondre aux questions des parlementaires, comme nous l’avons déjà fait sur de nombreux sujets, en particulier ceux ayant trait à la sécurité et au secret.
Avis défavorable.
(L’amendement n86 n’est pas adopté.)
(L’article 5 est adopté.) La parole est à Mme Emmanuelle Ménard, pour soutenir l’amendement n82. Le projet de loi voudrait que seul le Premier ministre « fixe les règles de sécurité nécessaires à la protection des réseaux et systèmes d’information mentionnés au premier alinéa de l’article 5 ». Cette mesure est à mon sens contraire à l’équilibre même des pouvoirs et au rôle de contrôle du Parlement sur le Gouvernement ; elle pourrait mettre en danger la sécurité et la liberté des Français. Quel est l’avis de la commission ? Avis défavorable, pour les mêmes raisons que précédemment. Je le redis, la loi fixe un cadre mais il revient au pouvoir réglementaire de fixer les règles plus précisément. Quel est l’avis du Gouvernement ? Avis défavorable. Le Gouvernement sera toujours disponible, et le Parlement dispose déjà de tous les outils nécessaires pour contrôler l’exécutif.
(L’amendement n82 n’est pas adopté.) La parole est à Mme Marie-France Lorho, pour soutenir l’amendement n36. Nous sommes, je crois, quelques-uns à éprouver un certain malaise vis-à-vis du rôle du Parlement dans cette affaire ; sans création d’une commission dédiée, ou à tout le moins sans établissement d’un lien avec le Parlement, nous risquons de donner l’impression de transcrire simplement la directive sans nous en emparer. On dirait presque que l’exercice du contrôle parlementaire sur cette question ne serait pas souhaitable.
Je propose donc d’inscrire dans le texte que la sécurité des dispositifs et des services est certifiée par une commission
ad hoc . Ce serait une porte ouverte au contrôle parlementaire. Quel est l’avis de la commission ? Avis défavorable. Je comprends votre préoccupation. Mais un projet de règlement européen, qui sera donc d’application directe, est en cours de discussion. Votre proposition est prématurée. Quel est l’avis du Gouvernement ? Avis défavorable. La question de la certification est fondamentale, et c’est pourquoi elle fait depuis plusieurs mois l’objet d’une négociation européenne dans laquelle le Gouvernement français joue un rôle essentiel. Ce règlement permettra de créer un standard européen de certification, et ainsi d’accroître le niveau de sécurité global, mais aussi le niveau de confiance global dans ces certifications.
(L’amendement n36 n’est pas adopté.)
(L’article 6 est adopté.) La parole est à Mme Caroline Fiat, pour soutenir l’amendement n57. L’étude d’impact n’évalue pas précisément le coût supporté par les opérateurs désignés par le Premier ministre, quel que soit leur statut.
Nos inquiétudes portent essentiellement sur les investissements qui seraient demandés à des organismes à but non lucratif, notamment des organisations non gouvernementales, s’ils sont qualifiés d’opérateurs de services essentiels.
Les Restos du cœur, par exemple, ne pourraient-ils pas être considérés comme un opérateur de services essentiels ? Une paralysie de leur système informatique aurait des conséquences dramatiques sur leur organisation et sur la fourniture de repas à de nombreuses personnes démunies. De même, qu’en est-il de la gestion du service public de l’accueil des demandeurs d’asile et d’hébergement, qui est essentiellement confié au secteur associatif ? Les exemples sont multiples et concernent de nombreux domaines.
Est-ce vraiment à ces organismes non lucratifs de supporter de tels coûts, avec tous les risques que cela comporte pour leur activité ? Les ONG ne peuvent pas nécessairement mobiliser les mêmes moyens financiers que des entreprises. L’État ne pourrait-il pas leur procurer une aide financière ?
L’amendement prévoit donc la remise, dans un délai de quatre mois, d’un rapport évaluant précisément les coûts supplémentaires qui devraient être supportés par les opérateurs privés à but non lucratif concernés par l’article 5 du présent projet de loi. Le choix d’un délai aussi court est pleinement  justifié, puisqu’en vertu de l’article 5 de la directive, les opérateurs de services essentiels devront être identifiés au plus tard le 9 novembre 2018.
Quel est l’avis de la commission ? L’étude d’impact indique que le coût la mise en œuvre des règles  de sécurité imposées à ces opérateurs de services essentiels « sera précisé dans la fiche d’impact qui accompagnera le texte réglementaire fixant ces règles ».
Ce coût a déjà été évalué pour les organismes d’importance vitale : il s’échelonne entre 1 et 2 millions d’euros par opérateur et par an. Mais il sera nécessairement moins élevé pour les opérateurs de services essentiels, à qui de moindres contraintes seront imposées. La commission émet donc un avis défavorable.
Quel est l’avis du Gouvernement ? Les textes réglementaires fixeront les obligations qui seront imposées aux opérateurs. La nature de ces dernières permettra d’évaluer les coûts. C’est pourquoi une autre étude d’impact sera établie en fonction des publics visés et des exigences fixées.
Mais sachez que votre inquiétude est prise en compte. Nous ferons tout pour assurer la transparence des évaluations que nous ferons concernant les opérateurs de service essentiels – qu’il s’agisse de certaines ONG, si elles devaient être qualifiées d’OSE, ou des PME, qui n’ont pas forcément anticipé les coûts résultant de ces nouvelles obligations.
Comme la sécurité physique, la sécurité numérique devient essentielle. C’est la raison pour laquelle il est important de faire appliquer certaines règles et d’en mesurer les conséquences pour chacun. Avis défavorable.
(L’amendement n57 n’est pas adopté.) La parole est à M. Alexis Corbière, pour soutenir l’amendement n56. L’amendement vise à renforcer les pouvoirs du Parlement. Vous y serez donc sans doute favorables.
Les opérateurs de services essentiels, publics et privés, fournissent des services essentiels au fonctionnement de la société et de l’économie. Ils interviennent dans des secteurs variés mettant en cause la souveraineté : l’énergie, les transports, les banques, les infrastructures de marchés financiers, la santé, l’eau potable, etc.
Le projet de loi prévoit d’obliger les OSE à déclarer à l’ANSSI tout incident susceptible de menacer les réseaux et les systèmes d’information. On touche là aux questions de cybersécurité, qui requièrent une certaine confidentialité. Certes, l’autorité administrative indépendante est là pour réguler des secteurs dans lesquels l’État ne veut pas intervenir pour conserver son impartialité. Mais, en matière de cybersécurité, la souveraineté nationale est souvent en jeu.
C’est pourquoi nous proposons que le Parlement – par le biais des commissions compétentes en matière de cybersécurité : la commission des lois ou la commission de la défense et de forces armées – soit informé par l’ANSSI des incidents et des menaces pesant sur la sécurité des réseaux et les systèmes d’information. Le Parlement fixera les conditions garantissant la confidentialité dans lesquelles il est informé.
Quel est l’avis de la commission ? Je suis sensible, comme vous, cher collègue, à la nécessité d’informer le Parlement. Toutefois, une information systématique me semble disproportionnée, d’autant que nous pouvons auditionner l’ANSSI en tant que de besoin. La commission a, par conséquent, émis un avis défavorable. Quel est l’avis du Gouvernement ? Monsieur le député, vous savez le respect que porte ce Gouvernement à l’égard du Parlement, et celui que j’ai, à titre personnel, pour cette assemblée dans laquelle j’ai été élu. Ça commence mal ! On veut des preuves ! Vous connaissez la nécessité absolue d’entourer de confidentialité la transmission des actes individuels. Il faut donc disposer de canaux adéquats pour préserver cette confidentialité.
Second argument, qui, à mes yeux, est le plus important : l’information sur chaque cas individuel privera le Parlement d’un regard global sur la situation et sur les risques. Je vous propose plutôt – cela me paraît plus intéressant – d’instituer un dialogue et un partage d’informations et d’en définir le rythme – semestriel ou annuel. Sur d’autres sujets liés à la sécurité et au secret, nous avons su trouver les canaux pour partager les informations. Je suis donc opposé à une information individuelle, mais favorable à un dialogue plus général. Avis défavorable.
La parole est à M. Fabien Di Filippo. Cet amendement est tout à fait intéressant. Aujourd’hui, si nous ne pratiquons pas la transparence à notre niveau, ce sont des médias ou des agences extra-gouvernementales étrangères qui relaient les informations. Nous nous trouvons alors devant le fait accompli et nous ne savons pas comment réagir.
Vous affichez une volonté de dialogue avec le Parlement. Mais cet amendement ne mentionne nullement les cas particuliers. Il évoque une information sur les incidents, qui ne porte pas atteinte à la confidentialité. Cet amendement est tout à fait pertinent.
Vous n’offrez aucune garantie quant à l’information du Parlement. Cet amendement grave dans le marbre cette exigence et nous assure ainsi de travailler dans une totale confiance.
Si, un jour, un problème de sécurité survenait dont vous ne souhaitez pas parler, comment s’assurer qu’il serait non pas mis sous la pile mais discuté avec nous ? Rien ne nous le garantit. Si cet amendement est adopté, le refus d’informer le Parlement sera assimilé à un viol de la loi. Dès lors, chacun prendra ses responsabilités. À titre personnel, je soutiens l’amendement.
(Applaudissements sur les bancs du groupe FI.) Vos sujets d’accord sont de plus en plus nombreux ! Le bloc conservateur se consolide ! La parole est à M. Jean-Michel Mis. Il faut se garder de vouloir faire porter au Parlement ses propres turpitudes. Chacun incident est par définition unique. Je ne saisis pas quel objectif vous poursuivez au travers de cet amendement. Le groupe REM y est donc défavorable.
(L’amendement n56 n’est pas adopté.)
(L’article 7 est adopté.) La parole est à Mme Marie-France Lorho. Je ne reviens pas sur le problème de la compétence exclusive du Premier ministre sur ces questions. Par ailleurs, j’ai déjà fait part de mes doutes sur la définition et l’encadrement des prestataires évoqués au premier alinéa de l’article 3.
Je continue de penser que ces deux points poseront d’immenses problèmes et que le Parlement ne facilite pas la tâche des administrations en ne codifiant pas assez, comme le Conseil d’État le souligne d’ailleurs en creux. Pouvez-vous m’apporter des précisions sur le quatrième alinéa dont les contours – s’agissant tant du délai que de la relation aux opérateurs – me semblent flous ? L’ANSSI disposera-t-elle d’une latitude suffisante dans ses contrôles ? Sa liberté d’action aura-t-elle été définie avec une précision suffisante pour faire face aux services juridiques pléthoriques des opérateurs ?
La parole est à Mme Emmanuelle Ménard, pour soutenir l’amendement n83. Les motifs de cet amendement sont identiques à ceux des amendements présentés aux articles 5 et 6. Il ne me semble pas souhaitable que le Premier ministre détienne, entre ses seules mains, la sécurité des réseaux et des systèmes d’information des opérateurs de services essentiels. Afin de garantir la sécurité et de préserver la liberté de communication des Français, la responsabilité doit être exercée à plusieurs. Je préconise donc que le Premier ministre partage cette fonction. Quel est l’avis de la commission ? Ma réponse est la même que sur l’article 5. Avis défavorable. Quel est l’avis du Gouvernement ? Pour les mêmes raisons qu’à l’article 5, l’avis du Gouvernement est défavorable.
(L’amendement n83 n’est pas adopté.) La parole est à Mme Emmanuelle Ménard, pour soutenir l’amendement n84 rectifié. Il est défendu.
(L’amendement n84 rectifié, repoussé par la commission et le Gouvernement, n’est pas adopté.)
(L’article 8 est adopté.) La parole est à Mme Marie-France Lorho. Je rappelle les termes de l’article 5 : « les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services sont soumis aux dispositions du présent chapitre ». Il s’agit donc d’opérateurs qui jouent un rôle crucial dans notre économie ou dans notre société. Il convient donc de nous assurer que si ces derniers manquent à leurs obligations légales, ils s’en trouveront fort marris.
Je crains que les sanctions ne s’avèrent trop faibles au regard de la force de frappe financière des opérateurs. Compte tenu des dangers encourus, nous devrions mieux nous protéger.
Je suis saisi de deux amendements, nos 53 et 55, pouvant être soumis à une discussion commune.
La parole est à M. Michel Larive, pour soutenir l’amendement n53.
Cet amendement vise à prendre en compte la réalité du chiffre d’affaires de nombreux opérateurs concernés par cette loi. Les « GAFA » et les autres grandes entreprises, ainsi que leurs dirigeants, ne seront pas dissuadés par des montants d’amende aussi faibles.
Que sera la loi sans réelle force contraignante ?
Nous proposons d’augmenter le montant maximal des amendes et de le faire correspondre à un pourcentage du chiffre d’affaires. Le seuil de 4 % du chiffre d’affaires est celui qui a été retenu par le règlement européen sur la protection des données personnelles – RGPD – de 2016 pour sanctionner la violation des règles dans ce domaine.
En outre, afin de permettre une modulation selon les types d’acteurs et leurs responsabilités, nous proposons de faire du montant fixe un montant socle et d’y adjoindre un montant maximal, calqué sur le règlement européen qui fixe le plafond à 20 millions d’euros.
Enfin, il nous semble important d’harmoniser les sanctions prévues par les articles 9 et 15. La distinction entre opérateurs de service essentiels et fournisseurs ne nous paraît pas justifier des montants différents.
(Applaudissements sur les bancs du groupe FI.) La parole est à Mme Caroline Fiat, pour soutenir l’amendement n55. Il est défendu. Quel est l’avis de la commission ? Avis défavorable sur les deux amendements. S’agissant de l’amendement n53, le montant des amendes a été fixé, à une échelle inférieure, par comparaison avec le régime de sanctions appliqué aux opérateurs d’importance vitale. Quel est l’avis du Gouvernement ? Les montants des amendes ont été fixés en relation avec ceux qui ont été prévus pour les opérateurs d’importance vitale. Vous avez mentionné, monsieur Larive, les amendes prévues dans le cadre du règlement général sur la protection des données, qui entrera en vigueur en mai prochain. Or les infractions définies dans le RGPD sont beaucoup plus graves que celles qui sont visées par l’article 9. Si un opérateur n’a pas sécurisé un système d’information et a laissé fuiter des données personnelles, il n’est pas exclu qu’il soit doublement sanctionné, d’une part pour ne pas avoir respecté ses obligations en tant qu’opérateur de services essentiels, d’autre part pour ne pas avoir su sécuriser les données personnelles. Dans ce cas, les montants que vous avez évoqués – jusqu’à 20 millions d’euros ou jusqu’à 4 % du chiffre d’affaires mondial – pourront être appliqués. Pour cette raison, le Gouvernement est défavorable à l’amendement n53.
Concernant l’amendement n55, le Gouvernement souscrit pleinement
(« Ah ! » sur les bancs du groupe FI) à l’exposé présenté par écrit et à l’oral,… À l’oral, succinctement ! (Sourires.) …mais il considère que ces préoccupations sont satisfaites par la législation existante (« Oh ! » sur les bancs du groupe FI) , notamment par l’article 121-2 du code pénal, qui dispose : « Les personnes morales, à l’exclusion de l’État, sont responsables pénalement […] des infractions commises, pour leur compte, par leurs organes ou représentants. » J’invite donc les auteurs de l’amendement à le retirer. À défaut, l’avis du Gouvernement sera défavorable.
(Les amendements nos 53 et 55, successivement mis aux voix, ne sont pas adoptés.)
(L’article 9 est adopté.)
(L’article 10 est adopté.) La parole est à Mme Marie-France Lorho, pour soutenir l’amendement n39. L’alinéa 5 de l’article 11 prévoit que les dispositions de sécurité du chapitre III ne sont pas applicables aux petites entreprises, celles qui emploient moins de cinquante salariés et dont le chiffre d’affaires n’excède pas 10 millions d’euros. Or, dans les secteurs de pointe, les petites entreprises constituent une maille essentielle dans la chaîne des services. Dès lors, une question se pose : le bon fonctionnement des services numériques peut-il dépendre de l’entreprise qui les fournit ? De mon point de vue, la réponse est claire : le bon fonctionnement des services numériques doit être lié en toute circonstance à la sécurité des citoyens que nous représentons. Si une entreprise n’est pas capable d’assurer l’application des dispositions du chapitre III, elle doit le devenir ou, du moins, faire en sorte de s’en approcher : libre à chacun de trouver des solutions en fonction de son budget et de son modèle économique. Si l’alinéa 5 était appliqué, alors les citoyens utilisant les services fournis par les entreprises concernées ne seraient pas autant protégés que les autres. Ne sommes-nous pas tous égaux devant la loi ? C’est pourquoi nous rejetons fermement cet alinéa et proposons de le supprimer purement et simplement. Quel est l’avis de la commission ? La directive qu’il s’agit de transposer prévoit que les entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaires est inférieur à 10 millions d’euros ne sont pas concernées par ses dispositions. L’amendement sort donc du champ d’application de la directive. Avis défavorable. Quel est l’avis du Gouvernement ? Il importe de conserver l’alinéa 5, qui participe de l’équilibre général du texte. Le supprimer irait à l’encontre de la directive. S’agissant des objectifs que vous avez évoqués, madame Lorho, le RGPD permettra de protéger les données personnelles des citoyens sur tout le territoire européen, quelle que soit la taille de l’entreprise, grâce à des mesures proportionnées. Il répondra aux inquiétudes que vous venez d’exprimer. Avis défavorable.
(L’amendement n39 n’est pas adopté.) La parole est à Mme Muriel Ressiguier, pour soutenir l’amendement n52. Vous comptez demander à chaque fournisseur de services numériques de désigner un représentant auprès de l’ANSSI, mais vous limitez le champ d’application de cette disposition aux entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaires annuel n’excède pas 10 millions d’euros. Les critères choisis ne nous semblent adaptés ni à la réalité du numérique ni aux enjeux de la cybersécurité. D’une part, le chiffre de cinquante salariés est emblématique : de nombreuses entreprises ne veulent pas dépasser ce seuil, car cela les obligerait à disposer d’instances représentatives du personnel. D’autre part, il existe aujourd’hui un label « France Cybersecurity », qui a été attribué à dix-sept sociétés françaises en janvier 2015, Emmanuel Macron étant alors ministre de l’économie, de l’industrie et du numérique. Or, parmi ces sociétés labellisées, on trouve des entreprises qui emploient moins de cinquante salariés.
Soyons cohérents : allons jusqu’au bout de la démarche et permettons à toutes les entreprises de bénéficier de l’expertise de l’ANSSI dans un cadre commun. L’amendement vise à compléter l’alinéa 5 afin que la liste des secteurs de services numériques exemptés soit précisée par un arrêté interministériel, après avis des instances expertes que sont l’ANSSI et l’ARCEP. Cette liste pourrait être établie à partir de la nomenclature d’activités française de l’Institut national de la statistique et des études économiques.
Quel est l’avis de la commission ? Sur la forme, même argumentation que pour l’amendement précédent. Sur le fond, avis défavorable. Quel est l’avis du Gouvernement ? Avis défavorable, pour les mêmes raisons.
(L’amendement n52 n’est pas adopté.)
(L’article 11 est adopté.)
(L’article 12 est adopté.) La parole est à Mme Marie-France Lorho, pour soutenir l’amendement n40. Il s’agit d’une question de vocabulaire. Selon moi, nous devons être attentifs à tous les événements qui concernent les fournisseurs de services numériques. Le moindre événement, aussi petit soit-il, qui pourrait avoir un impact sur la fourniture de ces services doit être surveillé à tout prix. Ne prenons pas à la légère les enjeux du numérique : surveillons sincèrement les GAFA et leurs dérives, d’autant plus qu’ils ont su nous rendre dépendants de leurs services et qu’ils détiennent nombre de données importantes sur nos citoyens.
Pour éviter tout problème, le moindre incident doit être rapporté à l’ANSSI. Si nous demandons aux fournisseurs de services numériques d’attendre que les incidents aient un « impact significatif » – expression qui n’est d’ailleurs pas définie clairement – pour rendre des comptes à ladite autorité, nous prenons le risque de ne plus pouvoir prévenir et d’être forcés de guérir en toute circonstance. C’est pourquoi nous proposons de remplacer les termes « un impact significatif » par « une incidence ». C’est, je le répète, crucial : ne jouons pas avec la sécurité du numérique.
Quel est l’avis de la commission ? Il s’agit effectivement d’un débat sémantique, avec des nuances très sensibles. Si vous aviez proposé, madame Lorho, de substituer « une incidence significative » à « un impact significatif », nous aurions pu en discuter. Mais, en proposant d’écarter le qualificatif « significatif », vous nous exposez à un risque de sous-transposition. Avis défavorable. Quel est l’avis du Gouvernement ? N’oublions pas que l’un des enjeux est le caractère opérationnel de la directive, notamment la capacité des services du Premier ministre et de l’ANSSI à l’appliquer et à effectuer tous les contrôles nécessaires. Si nous supprimions l’adjectif « significatif », l’ANSSI serait submergée par les demandes et les signalements, ce qui nous empêcherait d’atteindre notre objectif, qui est d’augmenter le niveau général de sécurité numérique. L’avis du Gouvernement est donc défavorable.
(L’amendement n40 n’est pas adopté.)
(L’article 13 est adopté.) La parole est à Mme Marie-France Lorho, pour soutenir l’amendement n41. Si un fournisseur de services numériques ne satisfait pas à l’une des obligations prévues aux articles 12 ou 13, il doit être soumis à des contrôles destinés à vérifier le niveau de sécurité de ses réseaux et le respect des obligations. Si le Premier ministre est au courant de tels agissements, il a le devoir de mettre en place ces contrôles : cela doit être non pas une possibilité, mais bien une obligation. Il y va de la sécurité des utilisateurs et du service numérique concerné. Tout fournisseur venant d’un territoire non européen doit respecter la loi du territoire dans lequel il offre ses services numériques. Nul n’est censé ignorer la loi. Qui plus est, nul ne doit pouvoir l’enfreindre. Une prévention et un contrôle strict sont nécessaires de la part des autorités compétentes à l’égard de ceux qui outrepassent la loi. Quel est l’avis de la commission ? Nous comprenons votre préoccupation, madame Lorho, mais il semble plus raisonnable de laisser une marge d’appréciation à l’autorité de contrôle. C’est pourquoi la commission émet un avis défavorable. Quel est l’avis du Gouvernement ? Il est essentiel que le Premier ministre conserve sa capacité à décider en fonction des informations dont il dispose. Encore une fois, l’enjeu est le caractère opérationnel : il faut être capable d’effectuer ces contrôles avec tous les moyens nécessaires chaque fois que les conditions le requièrent.
(L’amendement n41 n’est pas adopté.)
(L’article 14 est adopté.) Je suis saisi de deux amendements, nos 51 et 54, pouvant être soumis à une discussion commune.
La parole est à M. Alexis Corbière, pour soutenir l’amendement n51.
Les fournisseurs de services numériques, notamment les GAFA, ont acquis un rôle prépondérant dans la gestion des flux financiers et des flux d’information. Si des brèches de sécurité existent dans leurs réseaux et systèmes d’information, ils ont un impact sur la nation tout entière. Or on observe que les montants des amendes prévus par ce projet de loi ne sont absolument pas dissuasifs par rapport aux milliards de capitalisation et de profits dégagés par ces opérateurs – ces géants sont généralement américains, états-uniens pour être plus précis – et par certaines entreprises de services du numérique. S’élevant à 850 milliards de dollars, la capitalisation boursière d’Apple est, vous le savez, la plus grosse de l’histoire. Je pourrais donner d’autres exemples.
Nous proposons d’établir une échelle modulable de sanctions pécuniaires réellement dissuasives pour ces groupes. Il s’agit d’adapter le montant des amendes aux différents types d’acteurs et à leurs moyens : il pourrait aller de 500 000 à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires mondial, ce qui est le montant retenu pour sanctionner une violation de la protection des données personnelles dans le cadre du règlement général sur la protection des données.
Nous suggérons également une harmonisation des sanctions prévues aux articles 9 et 15, car la distinction entre opérateurs de services essentiels et fournisseurs de services numériques ne nous paraît pas pertinente pour justifier les écarts de montants prévus.
La parole est à M. Michel Larive, pour soutenir l’amendement n54. Tout d’abord, il nous paraît fondamental que les amendes prévues en cas de méconnaissance des obligations en matière de cybersécurité ne soient pas uniquement acquittées par les dirigeants des opérateurs concernés, mais aussi par les opérateurs eux-mêmes. En effet, de même que les « dirigeants », les « fournisseurs » doivent être responsabilisés, en tant qu’entité collective. À titre de rappel, que penser du jusqu’au-boutisme dans l’illégalité des dirigeants français d’Uber, couverts par leur compagnie mère ?
En outre, cet amendement est complété par d’autres amendements, qui visent à uniformiser les sanctions prévues aux articles 9 et 15 et à en augmenter les montants pour les rendre réellement dissuasifs, eu égard à la réalité du chiffre d’affaires des entreprises concernées, notamment des fameux GAFA, pour qui le fait d’être dans l’illégalité n’est d’ailleurs qu’un risque économique, quantifié dans leurs comptes.
Très bien ! Quel est l’avis de la commission sur chacun des amendements nos 51 et 54 ? Des amendements analogues ont déjà été examinés lorsqu’il a été question des opérateurs de services essentiels. L’argumentation reste la même. Avis défavorable sur les deux amendements. Quel est l’avis du Gouvernement ? Je rappelle les arguments que nous avons exposés précédemment : le RGPD introduira une véritable révolution en ce qui concerne la façon d’envisager la responsabilité des grands opérateurs de données à travers le territoire. L’échelle de sanctions que vous souhaitez établir est prévue par ce règlement lorsque les données personnelles des citoyens seront en jeu – je sais que ce sujet est très important pour vous. L’avis du Gouvernement est donc défavorable sur l’amendement n51.
Concernant l’amendement n54, je renvoie là aussi au raisonnement que la commission et le Gouvernement ont développé précédemment. Avis défavorable.
(Les amendements nos 51 et 54, successivement mis aux voix, ne sont pas adoptés.)
(L’article 15 est adopté.) Nous en venons à des amendements portant articles additionnels après l’article 15.
La parole est à Mme Caroline Fiat, pour soutenir l’amendement n47.
Par cet amendement, nous souhaitons utilement soutenir les efforts de renforcement de la cybersécurité en France.
Alors même que l’informatique est devenue structurante dans et pour le fonctionnement de nombreux services publics, administrations, entreprises et associations, les vulnérabilités de sécurité informatique sont devenues d’autant plus nombreuses. S’est ainsi développée une activité pouvant être à la fois lucrative ou non lucrative, celle des découvreurs de failles ou chasseurs de vulnérabilités de sécurité. Un
bug bounty ou prime de dysfonctionnement est une récompense qu’une entreprise peut offrir à tous ceux qui trouvent des failles de sécurité dans un périmètre donné.
Nous sommes conscients de l’importance de ces
bug bounty et du travail de fond des découvreurs de failles, puisque, contrairement aux interventions ponctuelles de sociétés en conseil informatique extérieures, les bug bounty permettent une amélioration continue contre des attaques ou tentatives d’attaques qui se renouvellent quasi quotidiennement, tant dans leurs méthodes que dans leur ampleur.
Nous proposons donc, par cet amendement d’appel, d’envisager la création d’un statut juridique des chasseurs de failles, qui puisse permettre juridiquement l’organisation de
bug bounty , pour l’instant dans le périmètre restreint des opérateurs considérés comme essentiels par le code de la défense, que nous souhaitons voir à terme étendu à l’économie en général.
Nous proposons que le premier statut juridique de chasseur de failles soit enregistré et autorisé par l’Agence nationale de sécurité des systèmes d’information, l’ANSSI.
Si, lors de l’examen en commission des lois ou en séance publique, le rapporteur refuse de se prononcer sur le fond de cet amendement, en arguant que celui-ci, n’ayant pas pour but de transposer une directive européenne, serait inconstitutionnel, c’est que, consciemment ou non – je penche pour la seconde hypothèse –, il est malhonnête ou qu’il se fourvoie.
Nous vous serions donc reconnaissants de ne pas être hypocrites, et de ne pas tordre le droit à des fins politiciennes.
Quel est l’avis de la commission ? Nous avons déjà eu ce débat en commission, où nous avons évacué la question en soulevant un problème de forme. L’amendement sort effectivement du domaine de la directive à transposer. Il n’en demeure pas moins que vous ouvrez un débat dont l’intérêt est manifeste. Je l’avais signalé.
Si l’on veut développer ce sujet, on peut évoquer deux types de considérations.
Les entreprises gardent la possibilité d’embaucher, par voie contractuelle, des
white hats , c’est-à-dire des hackers blancs, pour leur demander de tester la vulnérabilité de leur système sans qu’ils s’exposent à des sanctions pénales.
Pour vous rassurer encore davantage sur le fond, j’ajoute que le dispositif législatif français a évolué avec l’adoption, en octobre 2016, de la loi pour une République numérique. Celle-ci dispose que, si l’on détecte soi-même une faille dans un système – même lorsqu’on y reste un moment – et que l’on en rend compte de bonne foi à l’autorité, on n’encourt aucune sanction pénale.
En somme, indépendamment de toute considération de forme, l’amendement est satisfait sur le fond. La commission émet, par conséquent, un avis défavorable.
Quel est l’avis du Gouvernement ? Après la démonstration brillante du rapporteur, j’ai peu de choses à ajouter, sinon que le Gouvernement est particulièrement intéressé par ces bug bounty qui favorisent la chasse à la faille de sécurité, qu’ils interviennent de manière contractuelle dans la relation avec les entreprises – il faut plus de pédagogie sur les entreprises ou les associations qui fournissent ces services – ou par un signalement direct auprès des autorités. Ce signalement, formalisé par l’article 47 de la loi pour une République numérique, transposé depuis, permet de faire remonter régulièrement l’existence des failles, ce qui a amélioré la protection de nos systèmes.
Encore une fois, notre seul objectif est l’augmentation générale du niveau de sécurité numérique. C’est pourquoi le Gouvernement, qui, pour des raisons de forme, émet un avis défavorable sur l’amendement, sera votre interlocuteur si vous souhaitez poursuivre cette discussion au cours des prochains mois.
(L’amendement n47 n’est pas adopté.) La parole est à M. Loïc Prud’homme, pour soutenir l’amendement n48. Monsieur le secrétaire d’État, puisque vous nous invitez à poursuivre la discussion sur les bug bounty , je reviens à la charge. Comme le rapporteur, vous avez répondu à mon collègue sur les white hats , salariés d’entreprises ou citoyens bénévoles, qui trouveraient des failles. Mais il ne s’agit pas de cela : nous souhaitons que l’on apporte une prime à celles et ceux qui détectent les dysfonctionnements dans tous les systèmes d’information de l’État, et pas uniquement dans ceux de certains opérateurs désignés de manière limitative par le code de la défense. Vous l’avez reconnu, ce serait une manière innovante d’encourager et de mettre à contribution les nombreuses personnes bénévoles qui, chaque jour, pourraient contribuer à renforcer notre système, en les récompensant pour leur travail.
En outre, contrairement aux
white hats qui peuvent être salariés dans les entreprises, certaines de ces personnes possèdent des formations différentes, parfois moins académiques et plus créatives que celles qu’on trouve chez les employés du secteur, ce qui peut les rendre plus réactives.
Il nous semble utile de disposer d’un statut, celui qui existe aujourd’hui étant à mi-chemin entre la légalité et l’illégalité. Si nous créons ce statut, nous pourrons enfin utiliser ces compétences redoutables non pour déconstruire, mais pour consolider les dispositifs actuels.
Enfin, M. le rapporteur a reconnu que, sur le principe, il s’était montré d’accord en commission. Au regard du droit et de la Constitution, l’amendement a un lien avec la directive à transposer. Sur le plan constitutionnel, il ne peut donc pas être attaqué pour non-conformité avec l’objet de la directive. Au reste, le Parlement n’a pas à s’octroyer les compétences du Conseil constitutionnel, qui, le cas échéant, pourrait censurer la disposition.
(Applaudissements sur les bancs du groupe FI.) Quel est l’avis de la commission ? Même avis défavorable que sur l’amendement précédent. Quel est l’avis du Gouvernement ? Même avis que sur l’amendement précédent, mais encore une fois, je vous invite à revenir à l’article 47 de la loi pour une République numérique, qui a permis d’ouvrir ce débat pendant plusieurs heures à l’Assemblée : c’était la première fois que le mot de bug bounty était prononcé dans l’hémicycle. Prononcer ne suffit pas ! Aujourd’hui, ce statut existe. Si vous estimez qu’il ne protège pas suffisamment les lanceurs d’alerte, il faudra l’évaluer. Je suis prêt à en discuter, mais je répète que la question excède le cadre du texte en discussion. Avis défavorable.
(L’amendement n48 n’est pas adopté.) La parole est à Mme Caroline Fiat, pour soutenir l’amendement n50. Il est défendu ! Il est défendu. (Applaudissements sur les bancs du groupe LR et sur plusieurs bancs du groupe REM.)