Première séance du jeudi 01 juin 2023

La séance est ouverte.

(La séance est ouverte à neuf heures.)

L’ordre du jour appelle la suite de la discussion du projet de loi relatif à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (n^os 1033, 1234 rectifié).

Hier après-midi, l’Assemblée a poursuivi la discussion des articles du projet de loi, s’arrêtant à l’article 32, sur lequel plusieurs orateurs sont inscrits.

La parole est à Mme Mélanie Thomin.

Au moment d’aborder l’examen du chapitre V relatif au renforcement de la sécurité des systèmes d’information, je tiens à rappeler la démarche du groupe Socialistes et apparentés.
Nous discutons des articles 32 à 36 sous le regard vigilant du Conseil constitutionnel. Lors des débats en commission des lois, l’un de mes amendements, défendu au nom du groupe Socialistes et apparentés – amendement essentiel à ce volet de la loi de programmation militaire (LPM) – a été adopté. Il exige l’assermentation des agents de l’Agence nationale de la sécurité des systèmes d’information (Anssi), assermentation qui ne figurait pas dans le texte initial. Ces agents recueillent des données auprès des acteurs numériques et leur assermentation est nécessaire pour exercer cette fonction sensible. Nous nous félicitons que le texte apporte cette garantie.
En tant que législateur, nous tenons à affirmer le niveau d’exigence et de garantie auquel nous sommes particulièrement attachés. Les articles 32 à 36 visent à renforcer les pouvoirs de l’autorité de contrôle, ce qui est une bonne chose, mais ce renforcement suppose un cadre équilibré fixant les limites que devra observer l’administration dans le plus strict respect des droits et des libertés.
Dans un contexte d’explosion des attaques cyber, nous sommes favorables à l’élargissement des pouvoirs de l’Anssi pour anticiper et contrer ces attaques, mais nous tenons aussi à poursuivre le travail engagé en commission des lois afin de fixer des garanties imposant à l’administration d’agir dans un cadre strict et délimité et de nous assurer que la loi que nous votons respecte la Constitution.

La parole est à Mme Anne Le Hénanff.

Le groupe Horizons et apparentés est favorable à cet article qui permet à l’Anssi, en cas de menace susceptible de porter atteinte à la sécurité nationale, de prescrire plusieurs réponses graduelles affectant les noms de domaines, en particulier leur blocage, leur suspension et leur redirection vers un serveur sécurisé ou neutre contrôlé par l’Anssi.
En commission, nous n’avions pas émis de réserve sur cet article, mais nous avions demandé des précisions sur son périmètre d’application. Nous avions présenté un amendement visant à exclure les bureaux d’enregistrement, dont la vocation est commerciale, de l’application de l’article 32, pour réserver celle-ci aux offices d’enregistrement, qui disposent déjà des moyens de mettre en œuvre les dispositions prévues. Nous avons finalement retiré l’amendement après les explications de Mme la rapporteure.
Nous nous réjouissons des modifications apportées en commission, telle que la prise en compte par l’Anssi de la nature du titulaire et de ses contraintes opérationnelles. L’abaissement du délai de conservation des données à cinq ans, au lieu de dix, et la fixation à deux jours ouvrés du délai d’exécution par les opérateurs des mesures prises par l’Anssi semblent être de bonnes choses. Il nous a également paru important que le décret d’application du présent article soit pris après avis de la Commission nationale de l’informatique et des libertés (Cnil).
Pour toutes ces raisons, le groupe Horizons et apparentés votera l’article ainsi rédigé, puisque nous n’avons pas jugé utile de déposer de nouveaux amendements en séance. (M. Lionel Royer-Perreaut applaudit.)

La parole est à M. Ugo Bernalicis.

Je suis très sceptique sur la portée de l’article 32 et sur les nouvelles prérogatives qu’il donne à l’Anssi. Nous avons eu un petit débat en commission, mais il n’a pas été suffisant pour fournir les éclairages nécessaires à l’évaluation de cet article par rapport à d’autres dispositifs en vigueur.
Nous avions proposé de porter à soixante-douze heures le délai d’exécution des mesures prises par l’Anssi qui, comparé à celui de quarante-huit heures prévu pour contester un référé liberté, nous a semblé être un minimum. C’est finalement le délai de deux jours ouvrés qui a été retenu. Dans ces conditions, il est préférable de déposer un recours devant le tribunal administratif le vendredi afin de bénéficier d’un jour supplémentaire pour faire valoir ses droits… Je vois que cela faire sourire M. le ministre délégué, mais nous en sommes réduits à devoir faire des boutades pour appeler l’attention sur un sujet qui touche pourtant aux libertés fondamentales.
Depuis les débats en commission, j’ai eu l’occasion de lire des articles sur le fonctionnement actuel de l’Anssi. Il existe des plateformes régionales pour signaler des problèmes, mais la sous-traitante, la concurrence et les embrouilles au sein même de l’Anssi en région et de ses partenaires ne facilitent pas les choses. Ces plateformes destinées aux très petites entreprises (TPE) et aux petites et moyennes entreprises (PME) servent à renvoyer les personnes privées vers d’autres personnes privées proposant des services de sécurité. L’Anssi se contente donc de faire le passe-plat. Il manque encore deux ou trois garanties à un dispositif qui entend donner des prérogatives plus larges à une agence gouvernementale cantonnée à ce rôle pour le respect de l’État de droit et des libertés fondamentales, notamment celles des détenteurs d’URL et de noms de domaine.
Je ne suis pas convaincu, à ce stade, de la pertinence de l’article 32. J’attends donc des réponses de la part du Gouvernement.

Nous en venons aux amendements.
La parole est à M. Jérémie Iordanoff, pour soutenir le n^o 1269.

L’article 32 dans sa rédaction actuelle confie à l’Anssi des prérogatives en matière de filtrage de noms de domaine dans les cas de menaces susceptibles de porter atteinte à la sécurité nationale. Cette dernière notion est très évasive. Les prérogatives de l’Anssi se trouveraient donc d’autant plus étendues que leur impact sur la liberté d’accéder aux services de communication serait fort.
Il faut donc préciser – c’est la moindre des précautions – les finalités pour lesquelles ces prérogatives peuvent être employées. Nous proposons donc de circonscrire l’application de l’article 32 aux seuls cas où la menace est susceptible de porter atteinte aux intérêts fondamentaux de la nation et de sécuriser cette rédaction en renvoyant à l’article 410-1 du code pénal qui précise que les intérêts fondamentaux de la nation sont ceux « de son indépendance, de l’intégrité de son territoire, de sa sécurité, de la forme républicaine de ses institutions, des moyens de sa défense et de sa diplomatie, de la sauvegarde de sa population en France et à l’étranger, de l’équilibre de son milieu naturel et de son environnement et des éléments essentiels de son potentiel scientifique et économique et de son patrimoine culturel. »
Cette rédaction, différente de celle que j’avais proposée en commission puisqu’on m’y avait opposé que le renvoi au code de la sécurité intérieure n’était pas pertinent, est plus précise. Un consensus s’était dégagé en commission sur la nécessité d’établir une liste de cas précise, la notion de sécurité nationale étant trop vague.

La parole est à Mme Sabine Thillaye, rapporteure pour avis de la commission des lois constitutionnelles, de la législation et de l’administration générale de la République, à laquelle la commission de la défense nationale et des forces armées a délégué l’examen des articles 32 à 36, pour donner l’avis de la commission.

Nous avons évoqué ce sujet en commission. Je comprends tout à fait le sens de votre amendement. Notre objectif est d’être suffisamment large tout en étant précis afin de permettre à nos lois de faire face au plus grand nombre possible de situations compliquées et donc de vivre dans le temps. Or votre rédaction ne permet pas nécessairement de couvrir les cibles privilégiées des cyberattaques que sont les hôpitaux ou les collectivités territoriales.
Légistiquement, votre amendement procède à un mélange de genres qui n’est pas bienvenu. L’Anssi est un service de cyberdéfense et de cybersécurité, elle n’est pas un service de renseignement. Nous faisons encore trop souvent cet amalgame, y compris en commission. L’Anssi n’a donc pas vocation à suivre les personnes. Son rôle est d’identifier les victimes d’attaques et de faire face aux situations compliquées provoquées par ces attaques.
Dans un souci d’harmonisation de la rédaction des articles, la formulation actuelle faisant référence aux menaces susceptibles de porter atteinte à la sécurité nationale est préférable à celle proposée par l’amendement. J’émets donc un avis défavorable.

La parole est à M. le ministre délégué chargé de la transition numérique et des télécommunications, pour donner l’avis du Gouvernement.

Je salue la qualité des travaux en commission des lois. Ils ont permis d’affiner considérablement la rédaction des articles 32 et suivants. Je pense aux délais opérationnels de mise en œuvre – sur lesquels M. Bernalicis vient de s’exprimer –, à la durée de conservation des données non identifiantes, qui est passée de dix à cinq ans ou à la nécessité de recueillir l’avis de la Cnil préalablement à la publication du décret d’application de l’article. J’adresse donc mes remerciements à toutes les personnes impliquées dans ces travaux.
Je souhaite compléter les propos de Mme la rapporteure pour avis sur cet amendement. La notion d’intérêts fondamentaux de la nation est prévue par le code pénal alors que l’Anssi n’a pas de pouvoirs d’enquête dans ce domaine. La référence au code pénal est donc de nature à entretenir une confusion. J’ajoute que cette notion couvre un spectre plus large que celle de sécurité nationale puisqu’elle englobe par exemple la sauvegarde du patrimoine culturel. L’adoption de l’amendement élargirait donc considérablement la portée de l’article.
Je rappelle, pour rassurer la représentation nationale, que le concept de sécurité nationale a été sanctionné par le Conseil constitutionnel, à l’occasion de l’examen d’une question prioritaire de constitutionnalité (QPC) sur la loi du 1^er août 2019 visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l’exploitation des réseaux radioélectriques mobiles, dite loi 5G, comme étant suffisamment précis. Ce concept nous semblant receler toutes les précisions nécessaires, j’émets un avis défavorable sur l’amendement.

(L’amendement n^o 1269 n’est pas adopté.)

L’amendement n^o 1121 de Mme Emmanuelle Ménard est défendu.

(L’amendement n^o 1121, repoussé par la commission et le Gouvernement, n’est pas adopté.)

La parole est à M. Mounir Belhamiti, pour soutenir l’amendement n^o 1665.

Il vise à élargir le champ d’application de l’article 32 aux fournisseurs de résolution de noms de domaine définis à l’article 33 du présent projet de loi dans leur globalité, sans limiter sa portée aux seuls hébergeurs et fournisseurs d’accès à internet (FAI). En effet, en l’état actuel de la rédaction, les personnes qui fournissent des navigateurs internet ne sont pas incluses dans le dispositif. Il en est de même pour les fournisseurs de systèmes d’exploitation mentionnés au 10^o ter de l’article L. 32 du code des postes et des communications électroniques.
Le présent amendement permettrait par conséquent d’inclure dans le champ de l’article les navigateurs et systèmes d’exploitation qui réalisent le processus de résolution des noms de domaine. Il répond ainsi à un objectif de clarification rédactionnelle, de cohérence vis-à-vis du droit positif et d’inclusion de tous les acteurs impliqués dans la sécurisation du système de noms de domaine (DNS). Il permet ainsi de rendre le dispositif plus effectif.
Je précise que notre collègue Bothorel a rédigé cet amendement avec le concours des services de l’Anssi. Je profite de l’occasion qui m’est offerte pour saluer son travail et pour vous prier d’excuser son absence.

Quel est l’avis de la commission ?

La rédaction proposée par l’amendement complète utilement l’article 32 en donnant une portée plus large aux mesures de blocage. Avis favorable.

Quel est l’avis du Gouvernement ?

Il introduit une clarification très utile qui permet de renforcer l’efficacité du dispositif. Avis favorable également.

La parole est à M. Ugo Bernalicis.

Nous n’avons pas été pleinement rassurés sur les garanties du dispositif dont cet amendement vise à élargir la portée. J’y suis donc opposé car je pense qu’il est préférable d’expérimenter les exceptions au droit commun et les prérogatives exorbitantes de l’Anssi prévues par l’article sur un périmètre sécurisé.
Madame la rapporteure pour avis, vous nous expliquiez tout à l’heure que la mesure vise à défendre les hôpitaux et ainsi de suite. J’en déduis qu’actuellement nous ne les défendons pas,…

Ce n’est pas faux !

…qu’aucun dispositif n’existe, que nous regardons simplement les attaques se dérouler sans agir, que l’Anssi n’a aucune prérogative et les services de renseignement non plus.
Votre précision selon laquelle l’Anssi n’est pas un service de renseignement nous a d’ailleurs fait sourire : c’est vrai, mais nous espérons que ces structures collaborent – du moins que des canaux de communication existent entre elles –, car les services de renseignement sont bien informés en matière de cyberattaques.
Certes, le Conseil constitutionnel a jugé avec largesse que la notion de sécurité nationale était suffisamment précise. Mais cette institution n’exerce pas – ou en tout cas plus depuis longtemps – un contrôle maximaliste ; elle est plutôt favorable à l’octroi d’un maximum de prérogatives au Gouvernement, pour qu’il ait les mains libres – tant que les incompétences négatives ne sont pas trop nombreuses.
Quant à nous, nous sommes en droit d’examiner de près la portée des mesures administratives attentatoires aux libertés dont il est question à cet article – même si elles sont constitutionnelles en l’état de la V^e République. Il ne suffit pas de tirer argument de l’autorité d’une décision du Conseil constitutionnel sur une QPC pour clore la discussion – « circulez, il n’y a rien à voir ! » – et étendre le périmètre de l’article, comme le prévoit cet amendement.
En l’état, je ne voterai pas celui-ci, faute d’éléments suffisants – y compris dans l’étude d’impact – sur ce qu’interdit le droit en vigueur et ce qu’autorisera ce dispositif élargi.

La parole est à M. Philippe Latombe.

En commission des lois, nous avons débattu des moteurs de recherche. Les membres du groupe Démocrate ont regretté qu’ils ne soient pas visés par cet article – c’était peut-être notre seul bémol à son propos.
L’extension du dispositif prévue dans cet amendement est donc bienvenue. Nous le savons très bien, depuis quelques semaines, quelques mois, les navigateurs connaissent une importante évolution technologique, en intégrant l’intelligence artificielle. Les attaquants pourront s’en saisir pour mieux jouer des failles. Il faut donc absolument élargir les prérogatives de l’Anssi, comme le prévoit l’amendement.
Monsieur Bernalicis, nous l’avons déjà dit, les modifications apportées en commission des lois aux premiers alinéas de l’article 32 nous conviennent. En outre, pour répondre à votre objection, la décision du Conseil constitutionnel sur la loi « 5G » sécurise leur rédaction – nous n’avons donc plus de réserve sur ceux-ci.
Quant à l’amendement, nous le soutenons également car il faut absolument donner à l’Anssi les moyens de prévenir les menaces qui apparaîtront dans les prochaines semaines à la suite des évolutions technologiques des navigateurs, notamment pendant les Jeux olympiques. Alors qu’en commission des lois, nous, membres du groupe MODEM, souhaitions plutôt restreindre le champ de cet article, les modifications apportées et la décision du Conseil constitutionnel nous ont rassurés et nous sommes donc favorables ici à son extension.

(L’amendement n^o 1665 est adopté.)

Je suis saisie de deux amendements identiques, n^os 1714 et 1727.
La parole est à M. Ugo Bernalicis, pour soutenir l’amendement n^o 1714.

Revenons-en d’abord à l’extension du dispositif, que nous venons d’adopter. Il est extraordinaire que le Gouvernement, dans le projet de loi initial, n’ait pas été capable de préciser que la mesure visait les moteurs de recherche, alors qu’il travaille en lien avec les services de l’Anssi ! Cela devrait suffire à nous alerter : des débats internes ont sans doute eu lieu sur le caractère sensible – touchy – de la mesure ou sur sa nécessité.
Venons-en au délai prévu pour que nos concitoyens fassent valoir leurs droits quand l’administration n’est pas dans son bon droit, précisément – soit qu’une erreur ait été commise, soit qu’il s’agisse d’un recours de principe. Le délai initialement prévu, de vingt-quatre heures, me semblait choisi pour coïncider avec celui en vigueur fixé dans la loi par les macronistes pour demander aux plateformes de retirer des fake news.
Ensuite, puisqu’il s’agit de l’intérêt de la nation, je me suis demandé pourquoi vous n’aviez pas repris le délai d’une heure accordé aux plateformes pour supprimer les contenus terroristes aux termes de la loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne, à laquelle j’étais d’ailleurs opposé et sur laquelle j’ai saisi le Conseil constitutionnel. Tout de même, il s’agit de la sécurité nationale, des hôpitaux et ainsi de suite, c’est énorme !
Finalement, vous avez porté le délai de vingt-quatre heures à quarante-huit heures ouvrées. Pourtant, le délai le plus logique, le plus cohérent, aurait été celui de soixante-douze heures pour faire un recours devant le tribunal administratif. J’aimerais comprendre le raisonnement qui vous a conduits à choisir ces délais – et non celui d’une heure. En avez-vous décidé à pile ou face ? S’agissait-il de couper la poire en deux ? Je sais que les décisions sont parfois prises ainsi sur un coin de table – nous ne sommes pas complètement naïfs sur la manière dont les normes sont fabriquées dans notre pays – c’est d’ailleurs ainsi qu’a été décidée la règle des 3 % pour le traité de Maastricht. Après tout, pourquoi pas ? Enfin, je souhaiterais que le délai soit porté à soixante-douze heures, pour apporter des garanties supplémentaires.

L’amendement n^o 1727 de M. Aurélien Saintoul est défendu.
Quel est l’avis de la commission sur ces amendements identiques ?

Nous essayons à chaque fois de trouver une position équilibrée. Après avoir auditionné, entre autres, les représentants des opérateurs, ceux de nos structures administratives et ceux de l’Anssi, nous avons placé le curseur à quarante-huit heures ouvrées, ce délai paraissant le plus pertinent pour faire face à des situations compliquées, sans pour autant alourdir la charge des opérateurs. Avis défavorable.

Quel est l’avis du Gouvernement ?

Le Gouvernement n’a pas la science infuse (Sourires sur les bancs du groupe LFI-NUPES) ; ses textes s’enrichissent donc des discussions qui ont lieu à l’Assemblée et au Sénat. Rectifions simplement un fait : le délai initialement prévu était non de vingt-quatre mais de quarante-huit heures, le même, du reste, que celui prévu par la loi pour le retrait des fake news – soit un délai plus long que celui de vingt-quatre heures alloué aux hébergeurs, après injonction des forces de l’ordre, pour le retrait des contenus terroristes et pédopornographiques.
Des raisons opérationnelles ont motivé tant le choix du délai initial, qui s’est révélé problématique, que celui, effectué en commission, de l’assouplir, en tenant compte des jours ouvrés. C’est le compromis trouvé en commission, derrière lequel le Gouvernement se range.

La parole est à M. Ugo Bernalicis.

Certes, le Gouvernement, comme beaucoup de monde, n’a pas la science infuse.

Contrairement à M. Bernalicis !

Toutefois, il peut s’appuyer sur les services à sa disposition, qui, normalement, dans le cadre de l’étude d’impact, notamment, anticipent les choses, présentent un état du droit, ainsi que les changements, les améliorations, qu’apportera le texte – hélas, en l’occurrence, les paragraphes de l’étude d’impact consacrés à l’article 32 ne clarifient pas les points dont nous sommes en train de discuter.
Si je suis le raisonnement de Mme la rapporteure pour avis, vous avez choisi en commission une position d’équilibre, pour prendre en considération tant les plaintes des opérateurs – « le délai est trop court, il faudra ajouter des moyens, embaucher ; d’accord, puisqu’il s’agit de la sécurité nationale, mais enfin vous êtes pénibles » – que les alertes de personnes comme nous sur la nécessité de prévoir des délais suffisants pour les recours car nous sommes dans un État de droit – encore un peu, du moins.
Or, par-delà cette question d’équilibre, je vous interrogeais sur votre logique. S’il s’agit de contenus des plus problématiques ou d’attaques visant un hôpital, par exemple, je serais moi-même prêt à admettre que des délais de soixante-douze heures ou de quarante-huit heures ouvrées sont trop longs. Mais peut-être que les menaces visées ne sont pas si graves, qu’elles sont déjà bien anticipées, que l’action des services de l’Anssi est seulement entravée par le manque de moyens humains, que des effectifs supplémentaires tant dans cette agence que chez les opérateurs permettraient des délais beaucoup plus rapides que soixante-douze heures.
Choisissons en tout cas un délai logique, qui permette à nos concitoyens de faire valoir leurs droits, dans le cadre d’un État de droit, devant un tribunal administratif, suivant la procédure de référé. Pour ma part, je poursuis une logique, j’argumente ; j’aimerais que vous soyez sur la même longueur d’onde.

La parole est à Mme Anne Le Hénanff.

Soyez rassuré : si vous cherchez une logique, celle adoptée dans le texte est simple. Il convient de trouver un délai acceptable pour les deux parties : l’opérateur, en l’occurrence l’Anssi, et sa cible – une personne, une organisation, une entreprise. Nous l’avons évoqué en commission, l’idéal serait effectivement que l’Anssi puisse intervenir en une heure. Elle ne le peut pas,…

Pourquoi ?

…car l’organisation ciblée doit avoir matériellement le temps de réagir.

Au fond, vous avez tranché pile entre le milieu et le centre !

(Les amendements identiques n^os 1714 et 1727 ne sont pas adoptés.)

La parole est à M. Jérémie Iordanoff, pour soutenir l’amendement n^o 1274.

La rapidité ne peut être notre seule préoccupation quand il s’agit, comme ici, du sujet important des libertés fondamentales. Sans revenir sur la nécessité de renforcer les capacités d’intervention de l’Anssi, il faut que l’arsenal juridique respecte les droits et libertés.
Le présent amendement vise à renforcer les droits des personnes visées par les injonctions prises par l’Anssi, en prévoyant qu’elles puissent être en mesure de présenter leurs observations et, le cas échéant, de régulariser leur situation, afin d’éviter qu’à cause de problèmes involontaires, des décisions arbitraires coupent l’accès de certains à l’information sans raison valable.

Quel est l’avis de la commission ?

Ce dialogue est déjà prévu. L’alinéa 2 de l’article prévoit que l’Anssi s’adresse d’abord au titulaire du nom de domaine, avant, en cas de carence de ce dernier, de saisir les fournisseurs d’accès à internet ou les hébergeurs. En commission, nous avons en outre adopté un amendement prévoyant que l’Anssi « tient compte de la nature de ce titulaire ainsi que de ses contraintes opérationnelles ».
Votre amendement pose par ailleurs un problème légistique. Il tend à compléter l’alinéa 10, lequel concerne à la fois les titulaires ayant enregistré leur nom de domaine de bonne foi, avec lesquels un dialogue est prévu, comme je l’ai précisé, et les cyberattaquants ayant enregistré un nom de domaine de mauvaise foi pour orchestrer une attaque. Or, dans ce cas de figure, il ne paraît pas pertinent de demander à l’attaquant de présenter ses observations. Avis défavorable.

Quel est l’avis du Gouvernement ?

Même avis.

La parole est à M. Aurélien Saintoul.

Poursuivons nos échanges sur les délais. Peut-être est-ce parce que je ne suis pas commissaire aux lois et que je suis novice sur ces sujets, mais cela pique ma curiosité : pourquoi le délai de retrait d’un contenu est-il de vingt-quatre heures quand il s’agit de contenus terroristes ou pédopornographiques, mais de quarante-huit heures quand il s’agit de la sécurité nationale ? Je ne comprends pas la cohérence.
Mme Le Hénanff nous explique que dans l’idéal, le délai de retrait devrait être d’une heure, mais que c’est impossible. Je m’interroge, peut-être bêtement : pourquoi, en matière de sécurité nationale, l’idéal et le standard ne coïncident-ils pas ? (Mme Clémence Guetté et M. Antoine Léaument applaudissent.)
Ce serait pourtant normal. C’est peut-être un tropisme de commissaire de la défense, qui place le petit doigt sur la couture du pantalon dès qu’il s’agit d’intérêt national, mais enfin, je trouve curieuse la désinvolture avec laquelle vous acceptez cet écart. Je ne comprends pas la logique.

Il a raison, ce n’est pas clair !

(L’amendement n^o 1274 n’est pas adopté.)

La parole est à Mme Mélanie Thomin, pour soutenir l’amendement n^o 171.

Les députés du groupe Socialistes et apparentés entendent subordonner l’exécution de mesures prévues à l’article 32 à l’avis conforme de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep). En tant qu’autorité administrative indépendante, celle-ci garantit le respect de nos droits et de nos libertés fondamentales lors de l’application de telles mesures.
Comme évoqué tout à l’heure, notre groupe ne s’oppose pas à l’extension des pouvoirs de l’Anssi, mais souhaite l’accompagner de garanties, dans le respect de l’État de droit. S’il nous faut pouvoir formuler une injonction aux opérateurs afin de sécuriser le contrôle et l’exploitation des systèmes d’information, nous considérons que seul un avis conforme de l’Arcep est en mesure de préserver nos droits et libertés, en contraignant l’administration à les respecter.

Quel est l’avis de la commission ?

Vous souhaitez subordonner l’application des mesures prévues à l’article à l’obtention d’un avis conforme de l’Arcep. Je comprends votre idée, dont nous avons déjà débattu en commission. Toutefois, le dispositif proposé serait particulièrement lourd pour cette agence et devrait donc, à mon avis, être réservé aux cas les plus problématiques en matière de libertés publiques.
C’est pourquoi l’article prévoit que de la redirection du nom de domaine vers un serveur sécurisé de l’Anssi ne peut excéder deux mois, renouvelable une seule fois en cas de persistance de la menace, et après avis de l’Arcep. Cette mesure doit cesser sans délai lorsque la menace est maîtrisée.
Les autres mesures sont également soumises au contrôle de l’Arcep, qui dispose d’un accès permanent aux données collectées par l’Anssi. En outre, toutes les mesures ordonnées par l’Anssi sont susceptibles de recours devant le juge administratif, dans les conditions du droit commun. L’ensemble de ces garanties me paraît suffisant. Avis défavorable.

Quel est l’avis du Gouvernement ?

Le débat sur les amendements précédents doit nous permettre de replacer ces mesures administratives dans le panorama des mesures de filtrage existantes – retrait en vingt-quatre heures des contenus terroristes et pédopornographiques. Dans ce dernier cas, le flux est particulièrement élevé puisque, l’an dernier, ce sont 74 000 demandes de retrait de contenus pédopornographiques qui ont été adressées par les autorités aux hébergeurs.
En l’espèce, les atteintes manifestes à la sécurité nationale, visées par les articles dont nous débattons ce matin se chiffrent – ou se chiffreront – à une ou deux dizaines au maximum, la sécurité nationale étant engagée en cas d’attaque coordonnée et massive sur certaines autorités ou certains opérateurs d’importance vitale.
Ainsi, il s’agit d’événements critiques mais dont le nombre est très restreint. C’est pourquoi il faut aussi lire ces articles à la lumière de ces explications, et ne pas comparer ces dispositifs avec d’autres mesures administratives de filtrage.
Mme la rapporteure pour avis a bien exposé les modalités de contrôle de l’Arcep : elle est notifiée dès qu’une demande de filtrage est réalisée, et elle peut s’opposer à la poursuite du filtrage si elle considère qu’il n’est pas approprié. En outre, l’avis conforme de l’Arcep est nécessaire pour tout renouvellement de la demande. Dans ces conditions, le Conseil d’État a rendu un avis très clair sur cet article : le cadre dans lequel ces demandes de filtrage peuvent être réalisées est proportionné à l’objectif poursuivi.

La parole est à M. Ugo Bernalicis.

Vous auriez pu dire que l’Arcep n’a pas les moyens de rendre un avis conforme dans les délais et qu’en conséquence, nous allions nous en passer – mais ce n’est pas un très bon argument, vous me l’accorderez.
Vos longues explications ont le mérite de nous apprendre des choses intéressantes : on parle de deux dizaines d’attaques majeures coordonnées. Enfin, nous commençons à comprendre de quoi il s’agit ! Mais, pour deux dizaines d’attaques par an, nous ne serions pas capables de mobiliser des équipes, à l’Anssi, en mesure de réagir en une heure… Nous en revenons toujours à mes interrogations sur le délai. Il s’agit tout de même d’attaques contre des opérateurs vitaux, d’atteinte à la sécurité nationale – ce sont vos termes, monsieur le ministre délégué.
Vous estimez que, parce qu’il y en a peu, nous avons le temps. Mais la sévérité de l’attaque imposerait au contraire la mise en œuvre d’importants moyens dans un délai très court !

Exactement !

Dans le cas contraire, nous sommes foutus et n’importe quel hacker va estimer qu’en France, nous sommes vraiment des rigolos – sans doute le sommes-nous eu égard aux moyens affectés à l’Anssi ou à d’autres agences et aux autorités administratives indépendantes chargées de contrôler leur action.
Vous ne pouvez donc vous contenter de brandir les garanties juridiques, formelles, du texte puisque nous savons que, dans les faits, elles ne pourront être mises en œuvre correctement. C’est pourquoi, chacun à notre manière, même si nous savons que ces autorités sont parfois, voire souvent, des lames émoussées, nous essayons de faire en sorte que ce soit mieux que si c’était pire. Ainsi, nos camarades socialistes proposent un avis conforme, garantie supplémentaire.
Mais, même cela, c’est trop pour vous ! Plus nous avançons dans l’examen de cet article, plus j’ai l’impression qu’il est urgent de ne pas donner de telles prérogatives à l’Anssi et d’en rester à l’état actuel du droit, qui permet de faire face aux attaques même si, actuellement, nous ne les empêchons pas…

(L’amendement n^o 171 n’est pas adopté.)

La parole est à Mme Mélanie Thomin, pour soutenir l’amendement n^o 170.

Il s’agit d’améliorer la lisibilité du texte afin que le juge des référés puisse intervenir, suivant la procédure du référé liberté, sur les décisions prises au titre du présent article. La République doit rester un État de droit en toutes circonstances, même lorsqu’il s’agit de défense nationale.
Nous souhaitons que cette possibilité soit visible dans le texte, pour les opérateurs mais aussi pour tout citoyen, afin qu’il soit en mesure de comprendre la loi. Notre amendement vise donc à rendre la loi plus intelligible.

Quel est l’avis de la commission ?

Le référé liberté est à la disposition de tout justiciable, sous réserve de remplir plusieurs conditions prévues à l’article L. 521-2 du code de justice administrative : l’administration doit avoir porté une atteinte grave à une liberté fondamentale – le juge l’apprécie in concreto ; l’atteinte doit être manifestement illégale ; elle doit être imputable à une personne morale de droit public ou à un organisme de droit privé chargé d’un service public ; la requête doit être justifiée par une urgence à agir pour faire cesser cette atteinte.
Si ces critères sont réunis, le recours au référé liberté est possible. Votre demande est donc satisfaite en l’état du droit. En outre, si nous ajoutions une telle précision, il faudrait le faire pour chaque dispositif que nous créons, ce qui alourdirait considérablement nos codes, convenez-en. Avis défavorable.

Quel est l’avis du Gouvernement ?

Même avis.

La parole est à M. Antoine Léaument.

Madame la rapporteure pour avis, il est simplement proposé d’ajouter dans la loi que les décisions prises dans le cadre de l’article 32 puissent être soumises au juge administratif suivant la procédure du référé liberté. Il s’agit que nos concitoyens connaissent leurs droits – rien de grave à le rappeler dans la loi, donc. Cela ne coûte rien, ne crée pas de nouvelle dépense, ni de problèmes particuliers. Il s’agit seulement d’un rappel utile car les dispositions que vous proposez pourraient, dans certains cas, attenter aux libertés publiques. Il est donc normal d’effectuer un tel rappel, dans le cas où la loi deviendrait abusive.
J’ai du mal à comprendre pourquoi il est possible de légiférer sur le drapeau européen, mais pas de préciser les droits des citoyens. Ce serait pourtant une mesure efficace.

La parole est à Mme Sabine Thillaye, rapporteure pour avis.

Je comprends votre souci d’information du public sur le référé liberté, mais pensez-vous qu’ajouter « le contrôle juridictionnel sur les mesures prises au titre du présent article s’exerce notamment…

« Notamment » !

…« dans les conditions prévues à l’article L. 521-2 du code de justice administrative » permettra à tous les citoyens de comprendre leurs droits ?

Oui !

Il est préférable de se tourner vers un avocat, celui-ci étant parfaitement en mesure de les expliquer à nos concitoyens.

(L’amendement n^o 170 n’est pas adopté.)

Je suis saisie de deux amendements identiques, n^os 837 et 992.
L’amendement n^o 837 de M. Aurélien Saintoul est défendu.
La parole est à M. Ugo Bernalicis, pour soutenir l’amendement n^o 992.

Cet amendement vise l’alinéa relatif à la conservation des données, pour une durée initialement prévue de dix ans. En commission – c’est probablement le fruit de l’équilibre entre le centre, le milieu et le centre de gravité –, ce délai est passé à cinq ans, sans qu’on s’interroge sur l’intérêt de conserver ces données. Pourquoi les conserve-t-on ? Que va-t-on en faire ? Sans réponse à ces questions, nous ne pouvons en déduire un délai logique et devons nous contenter de cet « équilibre ».
Pourquoi le bon équilibre n’est-il pas deux ans, de nombreuses données étant conservées pour deux ans dans différents codes, notamment le code de la sécurité intérieure ? Pourquoi pas un mois, délai classique en matière de vidéosurveillance par exemple ? Sur quoi s’aligne-t-on ? Quel est votre raisonnement ? Avez-vous choisi dix ans car il s’agit d’un chiffre rond, puis l’avez-vous divisé par deux parce que les gens ont râlé ? Un tel raisonnement me semble un peu limité car il s’agit de données sensibles, la protection de la vie privée et les modalités de conservation des données personnelles faisant partie intégrante de nos droits fondamentaux.

C’est votre raisonnement qui est limité ! (M. Laurent Jacobelli acquiesce.)

Je le répète, nous aimerions comprendre. En commission, nous avons évoqué des délais d’un an et demi, voire de deux ans, pour se prémunir de nouvelles attaques par les mêmes personnes ou organismes. Dont acte, car il s’agit là d’éléments objectifs, liés à ce qu’on sait de ces attaques du fait des retours d’expérience.
A-t-on, aujourd’hui, affaire à des attaquants que nous connaîtrions depuis dix ans, sachant que les technologies d’attaque ont largement changé pendant cette période ? Des données numériques, conservées pendant un tel délai, seront complètement obsolètes.

Merci de bien vouloir conclure.

Je ne comprends pas plus le sens de ces cinq ans, que celui des dix ans…

Quel est l’avis de la commission ?

Avis défavorable. S’il était adopté, votre amendement reviendrait à supprimer les modalités d’encadrement de la conservation des données recueillies au titre de l’article 32. C’est surprenant de votre part car juridiquement très insécurisant. Ce n’est donc probablement pas votre volonté.
Sans doute s’agit-il d’un amendement d’appel par lequel vous voulez marquer votre opposition aux nouvelles autorisations en matière de collecte de données, sans motif légitime apparent ; or l’alinéa 14 concerne les cas où des cyberattaquants ont sciemment exploité un nom de domaine aux fins de porter atteinte à la sécurité nationale. Il s’agit d’obtenir des éléments sur le comportement de l’attaquant, sur son mode opératoire, afin de neutraliser la menace, d’identifier les victimes et de mieux prévenir les attaques.
L’alinéa prévoit des délais de conservation limités, sous le contrôle de l’Arcep. D’ailleurs, dans son avis sur le projet de loi, le Conseil d’État observe que le dispositif envisagé est justifié par la sauvegarde des intérêts fondamentaux de la nation et par la prévention des atteintes à l’ordre public.
J’ai néanmoins souhaité une diminution de la durée de conservation de ces données, de dix à cinq ans. C’est pourquoi je suis opposée à la suppression de l’alinéa 14.

Quel est l’avis du Gouvernement ?

L’article 32 permet à l’Anssi de demander le filtrage d’un nom de domaine. À première vue, le lien n’est donc pas évident avec la collecte de données relatives à l’attaque. En réalité, cette dernière peut être décidée si, au moment de demander le filtrage du nom de domaine, l’Anssi réoriente certains flux associés à l’attaque vers un de ses serveurs sécurisés. Ledit serveur va alors percevoir certaines des données relatives à l’attaque, dont le champ sera extrêmement limité. C’est pourquoi le Gouvernement considère que, sur cet article comme sur les suivants, le choix de la commission – cinq ans – est un bon compromis.
À l’article 35, le délai n’a pas été ramené à cinq ans en commission, mais un amendement de Mme Thomin le prévoit. Pour les quatre articles concernés – de l’article 32 à l’article 35 –, cela nous paraît approprié. Avis défavorable.

La parole est à M. Ugo Bernalicis.

Vous admettrez qu’aucun argument ne vient soutenir le choix de cinq ans, plutôt que celui de dix ans, si ce n’est qu’une durée inférieure est plus protectrice. Pour nous convaincre, des arguments de fond sont nécessaires. Dites « intérêts fondamentaux de la nation » et je suis transi, prêt à conserver les données à vie tant elles sont sensibles puisque touchant à ces intérêts.

Ça, c’est vrai !

Je suis plus mitigé quand le risque est l’atteinte à l’ordre public, car cette formule peut désigner tout et n’importe quoi. Certains pourraient ainsi considérer que nous porterions atteinte à l’ordre public macronien – ils n’auraient pas complètement tort. Selon eux, nous apporterions même le chaos.
La question est de savoir quelles garanties on détermine. L’alinéa 14 prévoit la destruction immédiate des données personnelles. En cas d’attaque, si vous déroutez le flux de données vers un serveur sécurisé pour le circonscrire et l’analyser, afin d’empêcher l’attaque, vous saisissez tout : toutes les données relatives au nom de domaine concerné seront transférées au serveur sécurisé. S’il s’agit d’un site commercial ou d’un grand groupe, par exemple, les données personnelles des gens qui y travaillent, comme leurs identifiants et leurs mots de passe, seront stockées. Vous prenez certes la précaution d’affirmer que les données personnelles seront détruites. Mais comment ? La tâche sera-t-elle confiée à un algorithme ou à un agent ? Quelles données seront conservées ? Un contrôle sera-t-il réellement effectué et si oui, par qui ? L’Arcep a-t-elle les moyens de s’en charger ?
Vous nous assurez que tel sera le cas, puisque le texte le prévoit formellement. Mais dans le monde réel, il y aura en vérité des tas de données parmi lesquelles on ne pourra distinguer celles qui sont personnelles : elles seront conservées pendant des années et pourront être utilisées à je ne sais quelles fins. Et nous devrions vous croire sur parole, en faisant confiance à l’action forcément géniale de services qui jamais ne connaîtraient aucune faille ? Sur ce dernier point, le petit article qui vient de paraître sur la Commission nationale de contrôle des techniques de renseignement (CNCTR) devrait nous faire réfléchir.

La parole est à M. le ministre délégué.

Ce n’est pas ce que prévoit l’article. Nous avons évoqué la gradation de la mesure. Si le titulaire du nom de domaine est de bonne foi, par exemple une entreprise ou un site comme ceux que vous avez mentionnés, il ne peut y avoir de redirection vers un serveur de l’Anssi. Elle ne sera décidée que si le nom de domaine est détenu par un assaillant ou qu’il a été acquis à des fins malveillantes.

Ça ne répond pas à la question !

(Les amendements identiques n^os 837 et 992 ne sont pas adoptés.)

La parole est à Mme Mélanie Thomin, pour soutenir l’amendement n^o 173.

Pourquoi cinq ans ? Lorsque la commission des lois en a débattu, les commissaires de la défense, dont je suis, étaient fort occupés.

C’est vrai : ça bosse !

Nous avons su toutefois que Mme la rapporteure pour avis avait rencontré quelques difficultés à justifier le choix d’une conservation des données pendant cinq ans.
La conservation des données n’est pas neutre en ce qu’elle touche aux libertés : plus on en réduit la durée, mieux le droit se porte. L’amendement vise donc à substituer au mot « cinq » le mot « deux ». Un délai de cinq ans revient à renvoyer aux calendes grecques l’exploitation des données, qui doit être immédiate pour être efficace. Pour assurer une meilleure efficacité de l’administration, nous proposons donc de réduire à deux ans la durée de l’exploitation des données.

Pourquoi deux ans ?

Quel est l’avis de la commission ?

Avis défavorable. Vous affirmez que le choix d’un délai de cinq ans, au lieu de dix ans, est arbitraire. Il est le fruit des discussions avec l’Anssi, qui considère qu’il s’agit du temps nécessaire pour effectuer les recherches d’antériorité qui parfois s’imposent. La précédente durée de dix ans était excessive, mais deux ans seraient insuffisants…

Ce serait trop court, ah bon ?

…pour comprendre le mode opératoire.
Nous cherchons toujours l’équilibre entre l’efficacité et la protection des libertés : c’est bien plus difficile que de défendre des avis tranchés. (Applaudissements sur les bancs des groupes RE, Dem et HOR.)

C’est bien d’avoir des avis, tout de même !

Quel est l’avis du Gouvernement ?

Mme la rapporteure pour avis a très bien argumenté. J’ajoute que dans certains cas avérés, les assaillants ont repris des architectures d’attaque plus de cinq ans après leur élaboration, pour prendre le contrôle de serveurs. Dans leur immense majorité, les attaques ne remontent pas à plus de cinq ans. L’abaissement de la durée de conservation de dix à cinq ans exclura peut-être quelques rares attaques dont l’infrastructure a été échafaudée très à l’avance, néanmoins, l’essentiel des attaques resteront dans le champ d’application du dispositif. En matière de conservation des données, la commission s’est donc arrêtée à ce compromis judicieux, dans cet article comme dans les autres. Avis défavorable.

La parole est à M. Antoine Léaument.

On ne comprend plus rien ! Vous dites que dix ans de conservation des données, c’est trop. C’est pourtant le délai que prévoyait le projet de loi ; il a été réduit à cinq ans lors de l’examen en commission. Vous affirmez maintenant que la bonne durée serait cinq ans, que deux ans seraient insuffisants. Nous vous demandons pourquoi. Seul M. le ministre délégué a donné un élément de réponse, expliquant que les architectures des attaques pouvaient perdurer plus de cinq ans. Dans ce cas, il faut augmenter le délai ! Il faut le porter à cinq ans et demi, ou six, ou sept ans.

C’est en effet de la sécurité nationale qu’il s’agit !

Notre propos tend à souligner qu’on ne peut limiter les droits sans avoir de bonnes raisons. Sinon on fait n’importe quoi, comme utiliser des lois de sécurité intérieure contre des militants écologistes – ça arrive. On nous demande assez fréquemment d’adopter telle et telle mesures au nom de la lutte antiterroriste, ou de l’ordre public – M. Bernalicis a raison –, en affirmant qu’ainsi plus jamais rien de dramatique ne surviendra. Rien de grave : nous ne faisons que voter chaque année, sans encombres, une loi de sécurité, laquelle ne résout aucun problème. En revanche, les droits sont de plus en plus menacés. Maintenant, vous nous annoncez des trucs…

Des trucs ?

…comme placer des mouchards dans les téléphones !
Petit à petit, on réduit les droits, encore et encore ; on applique des lois antiterroristes à d’autres desseins, sans que cela pose problème. Nous examinons ici un sujet mineur et vous êtes incapables de nous dire pourquoi deux ans, cinq ans ou dix ans seraient ou ne seraient pas des délais opportuns.

N’importe quoi !

Vous n’avez aucun argument rationnel. Nous ne vous demandons rien d’autre !

Nous attendons.

La parole est à M. Philippe Latombe.

Pourquoi dix ans ? À l’origine du débat, l’intention était de fixer un délai habituel en matière de prescription dans ce domaine, en particulier pour les délits.
Lors de l’examen du texte en commission, nous avons abouti à un compromis de cinq ans. Les auditions ont montré qu’il était inutile de conserver les données dix ans : si dans les cinq ans qui suivent une attaque, on n’a pas trouvé les personnes ou reçu de demande de coopération, il est trop tard pour identifier les auteurs. Un délai de deux ans serait trop court. La coopération internationale nous impose d’aller au-delà. D’autres pays demandent notre soutien, dans le cadre de leurs instructions sur WannaCry, qui a eu lieu en 2017.

Nous sommes en 2023, c’était donc il y a six ans ! Vous voyez bien que cinq ans, ça ne marche pas non plus !

Certes, mais si les demandes sont déposées à l’Anssi dans les cinq ans, elle peut transmettre les données à l’autorité judiciaire, qui les gèle.

Non ! le délai de cinq ans est le maximum !

C’est pourtant ce qui s’est passé. Ce délai est donc suffisant pour que les correspondants des pays avec lesquels nous travaillons dans le domaine de la cybersécurité nous transmettent leurs demandes, et que nous soyons efficaces. (Applaudissements sur les bancs du groupe HOR.)

(L’amendement n^o 173 n’est pas adopté.)

Sur l’article 32, je suis saisie par le groupe Démocrate (MODEM et indépendants) d’une demande de scrutin public.
Le scrutin est annoncé dans l’enceinte de l’Assemblée nationale.
La parole est à M. Jérémie Iordanoff, pour soutenir l’amendement n^o 1273.

Il suit la même logique que l’amendement n^o 170 de Mme Thomin. Lors de l’examen en commission, nous avons proposé d’instaurer une procédure de recours ad hoc ; Mme la rapporteure pour avis nous a opposé l’existence du référé liberté, suffisant selon elle.
Le présent amendement vise à garantir cette possibilité afin d’empêcher que soit déclaré irrecevable un recours contre les injonctions de l’Anssi formulées en application de l’article 32.

Quel est l’avis de la commission ?

Avis défavorable, pour les mêmes raisons que celles avancées lors de l’examen de l’amendement de Mme Thomin.

Quel est l’avis du Gouvernement ?

Même avis.

La parole est à M. Ugo Bernalicis.

Il est vrai que nous avons brièvement évoqué le juge administratif et le référé liberté lorsque nous avons proposé de porter à soixante-douze heures le délai prévu à l’alinéa 10. Vous nous avez répondu que c’était déjà satisfait en droit, qu’au pire les gens prendraient un avocat – bref, « débrouillez-vous » –, que, d’ailleurs, l’objectif n’était pas de faire valoir des droits, mais d’arrêter l’attaque et de pouvoir conserver les données afférentes pour analyser son architecture. En somme, vous avez brandi la sécurité nationale, un truc avec lequel on ne rigole pas : la saisine du juge administratif serait vraiment hors sujet.
Nous entendons tout cela, mais nous ne comprenons toujours pas pourquoi le délai devrait être de cinq ans, ou de dix, ou de deux ; de quarante-huit heures plutôt que de soixante-douze ! Vous donnez l’impression d’avoir pour seul objectif de passer le filtre du Conseil constitutionnel,…

Vous, vous donnez l’impression d’avoir pour seul objectif de passer du temps en séance !

…de trouver le dispositif le plus proche de ses limites, comme s’il s’agissait d’un crash test permanent.
Or, dans un État de droit, on ne peut pas raisonner ainsi. Il faut des arguments logiques, rationnels et pertinents, et il faut autoriser des voies de recours, sinon on n’est plus dans le droit.

Il ne faut pas rester là, monsieur !

Vous citez des attaques qui se sont produites il y a plus de cinq ans, mais il n’est pas nécessaire de disposer des données exactes qui les concernent, que d’ailleurs nous n’avons plus. Lorsqu’une attaque survient, il est possible de reconstituer son architecture et de la conserver, sans stocker l’ensemble des données de l’attaquant. En cas de procédure judiciaire, les données seront conservées sous scellés le temps nécessaire à l’enquête. Le sujet n’est plus le même, le cadre non plus.
Je veux bien qu’on me raconte des carabistoules, mais voter une loi comme celle-ci, qui prévoit des moyens exorbitants du droit, sur le fondement de carabistoules…

Carabistouilles !

Oui, c’est carabistouilles, mais dans le Nord, on dit carabistoules, c’est comme ça ! (Sourires.)

Vous pouvez constater que M. Bernalicis ne perd pas le Nord !

Donc, ça ne va pas du tout. En plus, parler de garanties devant le juge administratif… (Mme la présidente coupe le micro de l’orateur, dont le temps de parole est écoulé.)

Merci, monsieur Bernalicis. La parole est à M. Jean-Louis Thiériot.

« Les lois inutiles affaiblissent les lois nécessaires. » Nous avons un code de justice administrative très bien fait : il prévoit les conditions de recours au référé liberté. Il est donc absurde de vouloir ajouter que cette procédure s’applique dans tel ou tel domaine.

Vous n’aimez pas le référé liberté !

La parole est à M. Jérémie Iordanoff.

L’Anssi est une agence gouvernementale, qui relève directement du Premier ministre. Par son intervention, l’exécutif prend des mesures qui restreignent les libertés publiques. Au regard de l’équilibre des pouvoirs, c’est déjà discutable. Il est indispensable de prévoir au minimum une procédure de recours devant le juge administratif. Le référé liberté n’est pas automatique, il doit être recevable : le texte doit préciser quelle est la procédure. La recevabilité ne doit pas dépendre de la bonne volonté du juge, qui pourrait par exemple estimer que l’urgence n’est pas démontrée. Il faut une procédure. Nous en avons proposé une en commission et vous nous avez opposé le référé liberté : qu’est-ce qui empêche d’inscrire que la personne concernée peut saisir le juge des référés ?

(L’amendement n^o 1273 n’est pas adopté.)

La parole est à M. Philippe Latombe, pour soutenir l’amendement n^o 1658.

Nous en avons discuté en commission des lois ; il vise à remplacer « surcoûts » par « coûts ». L’article 32 s’appliquera à quelque vingt attaques par an seulement, mais il s’agira d’attaques massives et coordonnées : les opérateurs devront consentir de lourds investissements pour appliquer le dispositif.
Il ne s’agit pas des retraits de contenus, auxquels on peut déjà procéder et pour lesquels on pourrait parler de surcoûts à chaque nouvelle demande. Là, les opérateurs seront obligés d’investir massivement pour effectuer des redirections vers des serveurs sécurisés – de l’Anssi par exemple – en réponse à des attaques coordonnées et massives s’appuyant sur des flux de données importants. Les mesures qu’ils devront prendre impliquent d’investir dans des logiciels de filtrage ou dans des outils dirigeant les flux de données directement sur les serveurs. Ces mesures sont bien plus complexes que celles concernant les retraits de contenus terroristes ou pédopornographiques.
Dans ce contexte, il paraît délicat d’imposer le terme de surcoûts – qui reste d’ailleurs à définir. Si les opérateurs font ces investissements, ce sera au détriment du fonctionnement normal des services qu’ils fournissent car leurs capacités d’investissement en seront obérées. Puisque nous leur demandons des mesures supplémentaires exceptionnelles impliquant des investissements importants, il est normal que les coûts en soient supportés par la collectivité, donc par l’État.

Quel est l’avis de la commission ?

Nous en avons discuté à plusieurs reprises. J’ai interrogé à nouveau l’Anssi, qui assure que l’article 32 n’impliquera aucune dépense d’investissement pour les opérateurs concernés. Comme l’a dit M. le ministre délégué, il est question d’une dizaine d’opérations de filtrage par an. Ce nombre, qui semble raisonnable, permettra une exécution par des agents déjà embauchés, sans qu’il soit nécessaire d’appliquer un système de traitement automatisé.
La notion de coûts permet déjà de couvrir les dépenses de fonctionnement et les éventuelles dépenses inhérentes à la masse salariale mobilisée par les opérateurs. À titre personnel, compte tenu de ce qui m’a été communiqué, j’hésite entre un avis favorable et un avis défavorable…

Le « en même temps » !

…car je n’ai pas une vision très claire sur ce point. Je m’aligne donc sur l’avis défavorable de la commission.

Quel est l’avis du Gouvernement ?

Le dispositif prévu à l’article 32 permettra à l’Anssi d’enjoindre aux opérateurs résolveurs de DNS de créer des filtrages. La question d’un dédommagement plus élevé pourrait se poser si des investissements devaient être réalisés par ces acteurs pour l’exécution des demandes de filtrage. Or ces derniers sont déjà assujettis à de nombreuses demandes de filtrage, issues de demandes administratives – je l’ai dit tout à l’heure.
Il convient donc de s’assurer que les dépenses de fonctionnement supplémentaires sont bien dédommagées – c’est l’objectif de l’amendement. Il ne s’agit pas d’imposer aux acteurs des opérations sans les en dédommager. C’est pourquoi l’article dispose que les surcoûts, c’est-à-dire les dépenses de fonctionnement supplémentaires, doivent être compensés par l’État. Votre proposition, qui vise à aller plus loin en englobant les coûts, nous paraît donc excessive : son adoption engendrerait des charges considérables pour les finances publiques, qui iraient au-delà de celles résultant de ces nouvelles mesures, qui concerneront un nombre limité de cas. Demande de retrait ou avis défavorable.

La parole est à M. Ugo Bernalicis.

L’alinéa 15 de l’article 32 prévoit donc de dédommager des opérateurs qui auraient l’obligation de respecter la loi. Voilà un concept intéressant : dédommager des gens parce qu’ils devront respecter la loi. J’ignore s’il existe des cas de figure équivalents : les réquisitions peut-être, mais il ne s’agit pas ici de réquisitions. Nous aurions sans doute moins de difficultés si on renationalisait le secteur des télécommunications, mais c’est un autre sujet.

Très bonne idée !

Merci, au revoir !

Le collègue Latombe pousse la logique jusqu’à son terme : la sécurité nationale demande peut-être la création de machins et de gros filtres pour arrêter les assaillants, mais les opérateurs n’ont pas que ça à faire ! En plus, développer des machins pour le compte de l’État, pour protéger la sécurité nationale, ça leur coûte des sous alors qu’ils cherchent à en gagner !

Des trucs, des machins, un vrai vocabulaire !

Et des bidules aussi !

Mon cœur balance : soit on va au bout de la logique et on considère que c’est à l’argent public d’assumer des mesures d’intérêt public, plutôt qu’aux fournisseurs d’accès ; soit on considère que la sécurité est l’affaire de tous – c’est un slogan à vous, non ? Dans le cadre du fameux continuum de sécurité, les opérateurs pourraient s’assurer, y compris financièrement, que leurs – nos – systèmes ne sont pas utilisés à des fins malveillantes.
Pour ces raisons, je suis défavorable à l’amendement de M. Latombe. Les opérateurs peuvent mettre un peu la main à la poche ; en réalité, ils peuvent même la mettre entièrement, parce que c’est aussi dans leur intérêt.

La parole est à M. Philippe Latombe.

Votre argument, monsieur le ministre délégué, selon lequel il ne s’agit que d’une couche supplémentaire de dépenses, est en contradiction avec les propos tenus par les représentants des opérateurs que nous avons auditionnés. Cela illustre la divergence entre le travail parlementaire et les propositions faites par vos services. Les opérateurs nous ont expliqué qu’ils devront faire des investissements très importants pour répondre aux obligations prévues dans le texte : même si les cas de figure sont limités, les flux de données seront massifs et devront être redirigés vers des serveurs sécurisés de l’Anssi ou faire l’objet d’un filtrage. Cela nécessite des investissements qui se feront forcément au détriment d’investissements dans les réseaux et destinés à la collectivité, c’est-à-dire à l’ensemble de nos concitoyens.

Le business !

Par ailleurs, pour répondre à M. Bernalicis, remplacer le terme de coûts par celui de surcoûts limitera peut-être le nombre de demandes de redirections de DNS et de filtrages de la part de l’Anssi ; ce serait, éventuellement, une mesure de contrôle.

Mais il ne faut pas ! Il est question de la sécurité nationale, enfin, camarade !

La parole est à M. le ministre délégué.

J’imagine bien que les acteurs concernés par l’article 32 ont signalé à la représentation nationale les coûts très considérables qu’engendrerait pour eux l’application de ces mesures de filtrage. Dans la loi pour la confiance dans l’économie numérique, dite LCEN, les capacités données à la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) pour opérer un filtrage prévoient une compensation des surcoûts de fonctionnement.

C’est déjà sympa, en fait !

Cette capacité a notamment été appliquée lors du déréférencement de la plateforme de commerce Wish – ce n’était pas exactement une mesure de filtrage.

C’était un déréférencement.

(L’amendement n^o 1658 n’est pas adopté.)

Je mets aux voix l’article 32, tel qu’il a été amendé.

(Il est procédé au scrutin.)

Voici le résultat du scrutin :
        Nombre de votants                        62
        Nombre de suffrages exprimés                58
        Majorité absolue                        30
                Pour l’adoption                51
                Contre                7

(L’article 32, amendé, est adopté.)

La parole est à Mme Clara Chassaniol, première inscrite sur l’article 33.

L’article 33 prévoit la communication à l’Anssi de certaines données de cache des serveurs de DNS. Pour que chacun comprenne bien ce qui est visé, rappelons que les résolveurs DNS sont les machines qui font le lien entre un nom de domaine et l’adresse IP – internet protocol – d’un utilisateur qui souhaite y accéder. Afin de répondre rapidement à l’utilisateur, ces serveurs conservent des données qui sont dites de cache. Or celles-ci ne peuvent être transmises à l’Anssi, alors qu’elles l’éclaireraient sur les infrastructures informatiques utilisées par les cyberattaquants. L’Anssi aurait ainsi accès aux causes des cyberattaques et non seulement à leurs effets.
Cet article prévoit l’obtention de la copie des données de cache des serveurs DNS : les noms de domaine, les adresses IP des machines utilisées et l’horodatage des demandes. Il sera ainsi possible de connaître avec précision les modes opératoires des cyberattaquants. Ces données sont stratégiques pour perfectionner nos dispositifs de détection des menaces et de contre-attaque. Le dispositif prévu à l’article 33 fait évidemment l’objet d’un contrôle de l’Arcep, qui figure à l’article 35.
L’article 33 prévoit d’autres garanties essentielles, en excluant les données identifiantes de la copie autorisée par l’Anssi – nous en avons longuement parlé en commission. Je défendrai d’ailleurs un amendement visant à instaurer l’anonymisation des données qui peuvent être recueillies par l’Anssi.
Cet article défend la stratégie de cyberdéfense ; il vise à adapter nos connaissances et nos réactions à l’évolution des menaces, tout en préservant l’équilibre fondamental, qui nous est cher, entre la nécessité de se défendre et nos droits et libertés.

La parole est à Mme Anne Le Hénanff.

L’article 33 permet aux agents de l’Anssi d’être destinataires des données techniques non identifiantes enregistrées temporairement sur les serveurs des opérateurs de communication électronique et des fournisseurs de systèmes de résolution de nom de domaine, à des fins de détection et de caractérisation des attaques informatiques.
Le groupe Horizons et apparentés est favorable à cet article, auquel plusieurs précisions ont été apportées en commission : sur le cadre des pouvoirs conférés à l’Anssi, sur les délais de conservation des données ou encore sur les avis des autorités indépendantes. La suppression des opérateurs de communication électronique du champ de cet article nous semble également être une bonne chose.
Enfin, il nous a paru nécessaire de préciser que les adresses IP sources ne peuvent être ni recueillies ni exploitées. C’est pourquoi le groupe Horizons et apparentés a déposé un amendement fondamental, qui a été retravaillé à l’issue des travaux en commission : il vise à préciser que les données transmises aux agents de l’Anssi doivent être anonymisées par les fournisseurs de systèmes de résolution de noms de domaine. Nous espérons également que les débats permettront de préciser quelles sont les catégories de données identifiantes.

La parole est à M. Jérémie Iordanoff, pour soutenir l’amendement n^o 1270.

Veuillez m’excuser d’insister sur la notion de sécurité nationale ; j’y reviendrai encore lors de l’examen des deux articles suivants. Cet amendement vise à la remplacer par la notion d’intérêts fondamentaux de la nation, qui a le mérite d’être précise et dont les éléments sont énumérés quelque part.
Vous avez dit dans cet hémicycle qu’il ne fallait pas renvoyer au code pénal ; en commission, vous avez dit qu’il ne fallait pas renvoyer au code de sécurité intérieure. J’entends bien qu’il ne faut renvoyer à rien, mais il faut tout de même définir ce qu’est la notion de sécurité nationale !
Tout à l’heure, vous avez évoqué une décision du Conseil constitutionnel : pouvez-vous préciser laquelle et indiquer comment ce dernier caractérise exactement la sécurité nationale ? Je n’ai pas trouvé de définition satisfaisante. Le législateur devrait préciser cette notion et ne pas la laisser à la jurisprudence, à moins qu’on ait une définition précise ; en ce cas, je vous laisse nous dire de quoi il retourne exactement.

Quel est l’avis de la commission ?

Même avis – défavorable – que sur l’amendement n^o 1269 ; nous nous sommes déjà exprimés à ce sujet. En commission, nous avons fait évoluer les dispositifs parce qu’il n’y avait aucune référence à la défense de la sécurité nationale dans le texte, en dehors de l’article 32. Nous avons rattaché tous les articles à cette notion, ce qui me semble apporter des garanties beaucoup plus larges.

Quel est l’avis du Gouvernement ?

Même avis que la rapporteure et même avis que sur les amendements semblables, à l’article 32. Dans le cadre de l’examen d’une QPC posée par des opérateurs de télécommunication électronique contre la loi « 5G », le Conseil constitutionnel a jugé que la sécurité nationale avait été définie de façon suffisamment précise par le législateur.

Dans quel texte ?

Je me réfère à la décision n^o 2020-882 du 5 février 2021.

La parole est à Mme Anne Le Hénanff.

Il semble nécessaire de rappeler régulièrement que le chapitre V fait bien partie de la loi de programmation militaire.

Merci de le rappeler !

En effet, certaines interventions dérivent vers des sujets qui n’en relèvent pas. (Applaudissements sur les bancs du groupe HOR et sur quelques bancs des groupes Dem et RE.)

La parole est à M. Jérémie Iordanoff.

J’ai bien lu la décision en question : elle évoque la sécurité nationale sans la définir.

Eh oui !

Les seuls éléments mentionnés qui s’y rapportent sont les « règles relatives à la permanence, à l’intégrité, à la sécurité ou à la disponibilité du réseau ou relatives à la confidentialité des messages transmis et des informations liées aux communications ». Soit ces précisions sont trop restrictives et le contrôle du respect de ces règles ne relèvera pas des prérogatives de l’Anssi, soit elles sont hors sujet. Quoi qu’il en soit, pourquoi le législateur ne pourrait-il pas définir cette notion ?

Il a raison !

Les juges européens rencontreront des difficultés en raison de cette imprécision – j’y reviendrai tout à l’heure.

(L’amendement n^o 1270 n’est pas adopté.)

L’amendement n^o 775 de Mme la rapporteure pour avis est rédactionnel.

(L’amendement n^o 775, accepté par le Gouvernement, est adopté.)

L’amendement n^o 1275 de M. Jérémie Iordanoff est défendu.

(L’amendement n^o 1275, repoussé par la commission et le Gouvernement, n’est pas adopté.)

La parole est à M. Philippe Latombe, pour soutenir les amendements n^os 1587 et 1618, qui peuvent faire l’objet d’une présentation groupée.

Je retire les amendements n^os 1587 et 1618 au bénéfice des amendements identiques n^os 1626 et 1669. Nous avons discuté de cette question en commission des lois et sommes convenus que Mmes Chassaniol et Le Hénanff réécriraient leurs amendements en vue de la séance, ce qui a été fait. Mes amendements n’ont donc plus de raison d’être.

(Les amendements n^os 1587 et 1618 sont retirés.)

Je suis saisie de deux amendements identiques, n^os 1626 et 1669, qui font l’objet d’un sous-amendement n^o 1791.
La parole est à Mme Clara Chassaniol, pour soutenir l’amendement n^o 1626.

Il vise à préciser que les données transmises à l’Anssi doivent être anonymisées par les fournisseurs de système de résolution de noms de domaine, sans mentionner l’adresse IP source, afin de préserver l’anonymat de l’utilisateur du nom de domaine et de cibler seulement les données qui permettront de reconstituer un type d’attaque. Il s’agit donc de sécuriser l’anonymat des données recueillies par l’Anssi.
J’en profite pour remercier la rapporteure pour avis, le Gouvernement et l’Anssi pour leur collaboration entre la commission et la séance. À l’issue de ces discussions, il est apparu que l’inscription d’une liste de données techniques ne garantirait pas réellement l’anonymat de ces données car elles peuvent évoluer et devenir identifiantes.

La parole est à Mme Anne Le Hénanff, pour soutenir l’amendement identique n^o 1669.

Il vise à préciser que les données transmises aux agents de l’Anssi doivent être anonymisées par les fournisseurs de système de résolution de noms de domaine. En effet, ces données ne doivent en aucun cas permettre une identification, ce qui est explicitement écrit dans l’étude d’impact du présent projet de loi. Ces amendements complètent l’amendement n^o DN952 de Mme la rapporteure, adopté en commission des lois, qui précise que « les données techniques permettant d’identifier la source de la connexion ou celles relatives aux équipements terminaux utilisés ne peuvent être ni recueillies ni exploitées. »

Le sous-amendement n^o 1791 de Mme la rapporteure pour avis est rédactionnel.
Quel est l’avis de la commission sur les amendements identiques ?

J’émets un avis favorable car ils visent à préciser utilement le dispositif. Nous avons adopté un amendement qui prévoit la consultation de la Cnil avant la publication du décret en Conseil d’État précisant les modalités d’application de l’article 33.

Quel est l’avis du Gouvernement ?

Je suis également favorable à ces amendements identiques ainsi sous-amendés par Mme la rapporteure pour avis. Je saisis l’occasion, ainsi que je l’avais fait lors de l’examen de l’article 32, pour saluer les travaux en commission, qui ont permis d’affiner et de resserrer le dispositif. En effet, vous avez adopté un amendement qui fait référence à la sécurité nationale ; un amendement qui prévoit la consultation de la Cnil avant la publication du décret en Conseil d’État ; un amendement qui vise à encadrer la durée de conservation des données non identifiantes, qui passe de dix à cinq ans ; enfin, un amendement de la rapporteure pour avis, qui vise à préciser que les données « permettant d’identifier la source de la connexion et celles relatives aux équipements terminaux utilisés ne peuvent être ni recueillies ni exploitées », garantissant un premier niveau de sécurité. Ces amendements viennent utilement compléter ce dispositif.

La parole est à M. Philippe Latombe.

En commission des lois, nous avions indiqué que l’article 33 devait être sérieusement retravaillé afin qu’il soit beaucoup plus sécurisé. C’est pourquoi je soutiens ces amendements, ainsi que le sous-amendement. En effet, ils viennent compléter une série d’amendements adoptés en commission des lois. L’un d’eux fait référence à la sécurité nationale, notion dont nous avons débattu tout à l’heure. À cette occasion, nous avons rappelé la décision du Conseil constitutionnel qui la définit très clairement.
Ces amendements sont en outre de nature à rendre plus claire la rédaction du décret à contraindre l’autorité administrative à fixer la durée de conservation des données non identifiantes. Voilà qui facilitera la validation du projet de décret par la Cnil. Le fait, en effet, de préciser que les données collectées seront rendues anonymes permettra à la Cnil – qui en indiquera les modalités – d’effectuer un contrôle a priori puis un contrôle a posteriori nécessaires en vue d’apporter des garanties à nos concitoyens.

La parole est à M. Ugo Bernalicis.

J’ai salué l’initiative de la collègue Chassaniol et nous voterons ces amendements. J’aimerais que l’on se souvienne de l’étude d’impact, qui indique que les données recueillies ne seront ni identifiantes ni personnelles. Or, lorsqu’on a une connaissance de ces données techniques, on sait que, assez facilement, on peut réussir à identifier les personnes derrière les adresses IP et Mac, les données identifiantes de chaque appareil étant uniques au monde, et à connaître leur LAN – local area network, réseau local – ainsi que leur position géographique approximative. Grâce à ces données, on peut apprendre beaucoup de choses – c’est d’ailleurs assez génial.

Il a raison !

Du reste, grâce à la collecte de données en cache, on réalise des campagnes de publicités qui ciblent plus spécifiquement certaines personnes – je ne m’étendrai pas davantage sur ce sujet. Pour conclure, je me réjouis qu’au bout du compte on ne croie pas sur parole l’étude d’impact du Gouvernement.

Cela s’appelle la démocratie parlementaire.

(Le sous-amendement n^o 1791 est adopté.)

(Les amendements identiques n^os 1626 et 1669, sous-amendés, sont adoptés.)

Sur l’article 33, je suis saisie par le groupe Démocrate (MODEM et indépendants) d’une demande de scrutin public.
Le scrutin est annoncé dans l’enceinte de l’Assemblée nationale.
La parole est à Mme Mélanie Thomin, pour soutenir l’amendement n^o 174.

Il est en lien avec celui défendu à l’article 32. Nous nous interrogeons sur les délais proposés pour la conservation des données. Le choix de la durée de cinq ans nous paraît, encore une fois, arbitraire et les arguments avancés tout à l’heure ne parviennent pas à nous convaincre. Nous considérons qu’il ne s’agit pas de répondre aux contraintes de fonctionnement de l’administration, ce qui témoigne de peu de volonté politique, mais qu’il revient à l’administration de se conformer aux délais prescrits. Dès lors, donnons à l’Anssi les moyens d’agir avec efficacité.

Quel est l’avis de la commission ?

Défavorable.

Quel est l’avis du Gouvernement ?

Même avis.

La parole est à M. Ugo Bernalicis.

Nous n’aurons jamais de réponses claires sur la question des délais. Tout à l’heure, M. le ministre délégué a dit que la durée de cinq ans n’était pas suffisante, tandis que M. Latombe a évoqué un cas datant de 2017, ce qui fait six ans, si mes calculs sont bons – si, comme je le crois, nous sommes bien en 2023. Êtes-vous bien certain qu’un délai de cinq ans serait suffisant, monsieur le ministre délégué ?

Oui !

Si ces données sont certes non identifiantes, elles peuvent se révéler importantes, du point de vue de la sécurité nationale, pour retracer une attaque. La durée de deux ans est raisonnable. On doit pouvoir reconstituer sur papier l’architecture de l’attaque qui serait lancée, il est nul besoin de disposer de données à chaque étape, d’autant qu’elles ne sont pas identifiantes. Dès lors, je ne vois aucune raison de les conserver aussi longtemps.
Une fois de plus, ces dispositions sont nébuleuses et donnent l’impression qu’elles ont été rédigées sur un coin de table. C’est un peu dommage car ces dispositions sont utiles – du reste, je suis plutôt favorable à l’article 33. Si la durée de conservation des données était de deux ans, ce serait parfait ; nous serions presque d’accord à 100 % avec vous, monsieur le ministre délégué.

(L’amendement n^o 174 n’est pas adopté.)

La parole est à M. Jérémie Iordanoff, pour soutenir l’amendement n^o 1272.

C’est un amendement de repli par rapport à l’amendement n° 1275 que j’ai défendu sans prendre le temps de le présenter. Celui-ci visait à limiter l’obligation de transmission des données au seul cas où elle serait demandée par l’Anssi, étant donné que leur volume est très important et que les données de tous seront transmises, même si aucune attaque n’est commise. Nous avons débattu de cet amendement en commission, donc je connais votre avis sur cette question.
L’amendement n^o 1272 vise à préciser par décret la fréquence et les conditions de transmission des données, transmission qui fait peser une charge sur les acteurs concernés. Il ressort des auditions menées que cette transmission doit être précisée par décret.

Quel est l’avis de la commission ?

Cette précision est utile. Avis favorable.

Quel est l’avis du Gouvernement ?

Il ne faut pas surestimer le volume des données traitées, puisque l’Anssi n’analyse que la correspondance entre les noms de domaine et les adresses IP, une fois anonymisées, c’est-à-dire une fois l’adresse IP source extraite.

C’est déjà beaucoup !

Toutefois, le présent amendement est utile afin de faciliter la rédaction du décret. J’émets également un avis favorable sur cet amendement.

(L’amendement n^o 1272 est adopté.)

Je mets aux voix l’article 33.

(Il est procédé au scrutin.)

Voici le résultat du scrutin :
        Nombre de votants                        58
        Nombre de suffrages exprimés                55
        Majorité absolue                        28
                Pour l’adoption                55
                Contre                0

(L’article 33, amendé, est adopté.)

La parole est à Mme Anne Le Hénanff, inscrite sur l’article 34.