- Texte visé : Projet de loi relatif à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense, n° 1033
- Stade de lecture : 1ère lecture (1ère assemblée saisie)
- Examiné par : Commission des lois constitutionnelles, de la législation et de l'administration générale de la République
I. – À la première phrase de l’alinéa 2, après le mot :
« significative »,
insérer les mots :
« susceptible de porter atteinte à la sécurité nationale et ».
II. – En conséquence, à la même phrase du même alinéa, après le mot :
« informatique »,
procéder à la même insertion.
Le présent article, dans sa rédaction actuelle, a un périmètre extrêmement large puisqu'il oblige à notifier toute faille de sécurité dont les éditeurs auront connaissance. S'il semble absolument nécessaire que ces derniers signalent dans les plus brefs délais et de manière systématique à l'ANSSI les vulnérabilités et les incidents qui seraient susceptibles de porter atteinte à la sécurité nationale, cette obligation paraît disproportionnée si elle venait à s'appliquer à toutes les failles éventuelles.
En outre, s'il est compliqué de définir un seuil à partir duquel ces notifications seraient requises, il apparaît pertinent aussi bien au regard des capacités des acteurs économiques qu'au travail de traitement que l'ANSSI devrait opérer s'il fallait notifier toutes les vulnérabilités, de limiter les notifications à l’ANSSI aux seules vulnérabilités pouvant porter atteinte à la sécurité nationale.