— 1 —

La commission des affaires étrangères procède à l’examen, ouvert à la presse, et au vote sur le projet de loi n° 944.

La séance est ouverte à 10 h 55.

Présidence de Mme Laetitia Saint-Paul, Vice-Présidente.

Mme Laetitia Saint-Paul, présidente. Mes chers collègues, notre ordre du jour appelle l’examen du projet de loi, adopté par le Sénat, autorisant l’approbation de l’accord portant création du centre de développement des capacités cyber dans les Balkans occidentaux (C3BO).

La cybersécurité constitue dorénavant un enjeu majeur de l’environnement numérique mondial. Face à des attaques de plus en plus sophistiquées et agressives, certains États peuvent se trouver ébranlés, tels le Monténégro et l’Albanie en 2022. Les pays des Balkans occidentaux constituent des cibles faciles pour des entreprises d’ingérence étrangère, tout particulièrement de la Russie, en raison de l’insuffisance de leurs moyens en matière de cybersécurité. De ce fait, ils représentent un risque de compromission par rebond de notre propre cyberespace, national et européen.

L’accord relatif à la création d’un centre de développement des capacités cyber dans les Balkans occidentaux conclu à Tirana le 16 octobre 2023 entre la France, le Monténégro et la République de Slovénie, dont il nous est demandé d’autoriser l’approbation, est une initiative particulièrement opportune. Ce centre, implanté à Podgorica, dispensera trente-et-une formations par an sur la cybersécurité, au bénéfice de quelque 600 personnels des États de la région, pour un coût global de 1,05 million d’euros, assumé à 83 % par notre pays.

Ce nouvel organisme est porteur d’un signal fort ; il renforcera le partenariat liant la France à cette région d’importance géostratégique majeure. Il me semble donc opportun que nous adoptions ce projet de loi, comme l’a fait le Sénat le 12 février dernier.

Mme Marine Hamelet, rapporteure. L’accord sur le C3BO a été signé le 16 octobre 2023 à Tirana par les représentants de la France, du Monténégro et de la Slovénie. Il ne faut pas se fier au titre de l’accord, qui vise en réalité à transformer le C3BO en organisation internationale. Ce centre fonctionne depuis 2022 et a formé, à ce jour, plus de 400 personnes. Ce texte offre à notre commission l’occasion d’évoquer la situation dans les Balkans occidentaux et notre cyberdiplomatie, dont le C3BO est un exemple original.

Les Balkans occidentaux sont composés de six pays : l’Albanie, la Bosnie-Herzégovine, le Kosovo, la Macédoine du Nord, le Monténégro et la Serbie. La région rassemble, sur une superficie légèrement inférieure à celle du Royaume-Uni, 17 millions d’habitants. Plus de trente ans après l’éclatement de la Yougoslavie, elle demeure marquée par de fortes tensions et par des défis institutionnels et sécuritaires majeurs.

Sous la législature précédente, j’ai eu l’occasion, avec notre collègue Frédéric Petit, de présenter devant cette commission un rapport d’information issu d’un déplacement en Bosnie-Herzégovine, en Serbie et en Albanie, effectué en mars 2023. Les défis que nous avions identifiés semblent malheureusement toujours d’actualité : consolidation de la démocratie et de l’État de droit ; maîtrise des risques sécuritaires ; transition énergétique ; recul démographique ; persistance de foyers de crise internes potentiellement déstabilisateurs. Dans mon rapport sur ce projet de loi, je présente des exemples récents de ces nombreux défis sécuritaires.

La région est confrontée à de nombreux trafics : êtres humains, armes, stupéfiants, véhicules. Les relations bilatérales entre certains États de la zone peuvent susciter de fortes tensions. Frédéric Petit, Pierre Pribetich, Jean-Louis Roumégas et moi-même menons actuellement une mission visant à apporter une contribution parlementaire à la définition des contours d’un accord de paix entre la Serbie et le Kosovo. Nous devrions publier notre rapport à l’automne.

La plupart de ces pays sont très vulnérables à la cybercriminalité. L’Albanie et le Monténégro ont subi des attaques à l’été 2022. À cette occasion, des infrastructures gouvernementales ont été la cible de cyberattaques majeures. Pour l’Albanie, l’attaque viendrait d’Iran ; pour le Monténégro, de la Russie.

Ces attaques s’inscrivent dans le cadre de la guerre dite « hybride ». Ces pays manquent de personnel qualifié pour y faire face, voire sont devenus dépendants de compétences étrangères. Tel est le cas du Monténégro, qui a confié une grande partie de sa cybersécurité à des experts américains, dont les contrats ont été résiliés après l’élection de Donald Trump.

Pour améliorer leur cybersécurité, certains pays modifient leur cadre réglementaire et institutionnel. Tel est le cas de la Serbie et, dans une moindre mesure, de l’Albanie et, progressivement, du Monténégro. Tel n’est pas encore le cas de la Bosnie-Herzégovine.

S’agissant des conséquences de cette cybervulnérabilité pour la France, elle pourrait, d’après le ministère de l’Europe et des affaires étrangères (MEAE), encourager les cyberattaques menées depuis les Balkans et les opérations menées contre des réseaux communs, notamment ceux de l’Organisation du traité de l’Atlantique Nord (OTAN). En outre, l’espace cyber est utilisé par d’autres criminels, notamment les narcotrafiquants, que j’évoque dans mon rapport. Limiter le développement de la cybercriminalité dans les Balkans occidentaux permettrait de lutter contre d’autres formes de criminalité dans la région ou peut-être sur le sol français.

J’en viens au C3BO : créé le 16 novembre 2022 par un mémorandum signé par la France, le Monténégro et la Slovénie, il est situé à Podgorica, capitale du Monténégro. Il organise des événements et des formations dans trois domaines : la lutte contre la cybercriminalité, la cybersécurité et la cyberdiplomatie. Il a réalisé cinq formations en 2023, vingt-et-une en 2024 pour 400 stagiaires et prévoit d’en organiser trente-cinq en 2025 pour 600 stagiaires.

Les stagiaires accueillis sont originaires d’Albanie, de Bosnie-Herzégovine, du Kosovo, de Macédoine du Nord, du Monténégro, de Serbie et de Moldavie. La France déploie trois expatriés sur place ; la Slovénie rémunère les trois employés locaux et enverra prochainement une diplomate. Des acteurs du cyber, français pour la plupart, contribuent ponctuellement aux formations, selon les besoins.

J’en viens au cadre dans lequel s’inscrit le projet. Paradoxalement, la cybersécurité a été inscrite tardivement dans la stratégie interministérielle pour les Balkans occidentaux. Elle ne figure pas dans sa version initiale, publiée en 2019, et a été insérée en 2023.

Le C3BO relève avant tout d’une initiative de cyberdiplomatie, théorisée progressivement par plusieurs textes : la stratégie internationale de la France pour le numérique, publiée en 2017 ; la revue stratégique de cyberdéfense, publiée en 2018 ; la revue nationale stratégique (RNS) de 2022. La cyberdiplomatie vise à renforcer la coopération dans le domaine cyber avec les pays partenaires, par exemple pour lutter ensemble contre la cybercriminalité et échanger des renseignements, et la coopération bilatérale en général.

Pour le groupe Rassemblement national, le C3BO ne doit pas être compris comme une étape favorisant l’élargissement de l’Union européenne (UE) aux pays des Balkans occidentaux en leur permettant de s’aligner sur le droit européen. Au demeurant, cette position est celle du pouvoir exécutif français. Pour nous, le C3BO doit être considéré uniquement comme une occasion d’approfondir des relations bilatérales dans la région s’agissant d’un domaine stratégique. Nous défendons une approche bilatérale.

L’accord du 16 octobre 2023 est composé de vingt-quatre articles de facture classique, que je détaille dans le rapport. Il vise à transformer le C3BO en organisation internationale. Ce statut lui accorde la personnalité juridique internationale et renforce sa légitimité ainsi que son attractivité. À l’heure actuelle, il ne compte – c’est à mes yeux sa faiblesse – que ses trois membres fondateurs : la France, la Slovénie et le Monténégro.

L’accord permet à d’autres pays européens, notamment ceux des Balkans occidentaux, et à des organisations internationales de rejoindre le C3BO. Les nouveaux membres devront s’engager à participer à son financement, en échange notamment d’un siège au conseil d’administration, où chaque membre fondateur dispose de deux sièges.

Si cet accord semble utile pour renforcer le C3BO et attirer de nouveaux membres, il ne règle pas la question, essentielle pour le groupe Rassemblement national, de la contribution financière trop élevée de la France. En 2025, notre pays dépensera près de 1 million d’euros pour financer le C3BO, alors même que nos finances publiques sont très contraintes.

Nous recommandons, comme l’a fait le Sénat lorsqu’il a examiné le texte en février, de réduire nettement la subvention française. Dès lors que le MEAE ne s’y est pas engagé et que la perspective d’intégration des pays des Balkans occidentaux à l’Union européenne est défendue par la France, le groupe Rassemblement national s’opposera au texte.

Mme Laetitia Saint-Paul, présidente. Nous en venons aux interventions des orateurs des groupes politiques.

Mme Liliana Tanguy (EPR). Je salue l’excellence des relations diplomatiques entre la France et le Monténégro, dont les échanges se sont intensifiés au cours des dernières années, dans un climat de confiance et de coopération. Le Monténégro est un partenaire fiable, résolument engagé sur la voie de l’Union européenne et dont les progrès dans la mise en œuvre des réformes sont reconnus, notamment en matière de lutte contre la corruption et de consolidation de l’État de droit.

Je suis personnellement impliquée de longue date dans ce domaine, notamment en tant que vice-présidente de la sous-commission sur les Balkans, chargée d’un rapport sur le dialogue post-suivi avec le Monténégro par l’Assemblée parlementaire du Conseil de l’Europe (APCE). Dans cette fonction, j’ai pu constater concrètement les avancées du pays dans le cheminement vers l’adhésion à l’Union européenne.

Dans ce contexte, je souhaite souligner l’importance stratégique du C3BO. Promu par la France, la Slovénie et le Monténégro, il incarne une initiative pionnière visant à renforcer la cybersécurité et la stabilité régionales, qui sont deux enjeux indissociables. Le choix de Podgorica pour accueillir ce centre, que j’ai eu l’occasion de visiter en mars aux côtés du ministre délégué chargé de l’Europe, Benjamin Haddad, est tout sauf symbolique.

Le Monténégro est le pays des Balkans occidentaux le plus avancé sur la voie de l’intégration européenne. Il est très engagé dans la coopération avec la France. Le C3BO s’inscrit donc pleinement dans la volonté exprimée par le président de la République d’élaborer une stratégie française cohérente et ambitieuse pour les Balkans occidentaux.

Le groupe Ensemble pour la République soutient pleinement le projet de loi autorisant l’approbation de l’accord fondateur du C3BO et lui attribuant le statut d’organisation internationale. L’ambition est de faire du C3BO un véritable pôle régional de formation, de coopération opérationnelle et de montée en compétences, mais aussi de convergence réglementaire avec les standards européens, notamment par la mise en œuvre de la directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (NIS 2).

Par ailleurs, il s’agit d’un investissement stratégique renforçant le rôle de puissance cyber de la France. Son coût, rapporté au coût humain, politique et économique d’une attaque de grande ampleur ou d’une instabilité régionale mal contenue, est faible. Le C3BO est un outil concret méritant d’être élargi à d’autres pays des Balkans occidentaux, dans une logique de solidarité et de sécurité partagée avec une région faisant l’objet d’influences étrangères hostiles, afin de protéger nos démocraties et d’assurer la sécurité collective de l’Europe.

Mme Marine Hamelet, rapporteure. Nous sommes au moins d’accord sur un point : le Monténégro est le pays des Balkans occidentaux ayant consenti le plus d’efforts pour se rapprocher de l’Union européenne, avec laquelle trente-trois chapitres ont été ouverts à la négociation, dont six clôturés à titre provisoire. Cette observation sert mon argumentation selon laquelle ce projet de loi est surtout un prétexte pour favoriser l’adhésion des pays concernés à l’Union européenne, davantage qu’un moyen de résoudre un problème de cybercriminalité ou de cyberdiplomatie. Sur ce point, nous avons une divergence.

Quant à son coût, il n’est pas faible à mes yeux. L’argent public français doit être surveillé et ne peut servir à faire n’importe quoi. Un million d’euros, ce n’est pas rien. En matière budgétaire, les Français souhaitent savoir où va leur argent et entendent qu’il soit dépensé à bon escient.

Mme Liliana Tanguy (EPR). La sécurité est elle-aussi importante pour les français !

M. Arnaud Le Gall (LFI-NFP). Je ne suis pas d’accord avec les considérations strictement budgétaires mises en avant par la rapporteure. Compte tenu de l’effet de levier escompté, 1 million d’euros, ce n’est rien. Il est fondamental que la France coopère avec d’autres pays en matière de sécurité numérique, au bénéfice du transfert d’expertise et de l’influence, et d’autant plus que les enjeux sont communs.

Si je suis dubitatif sur le projet de loi, c’est parce qu’il procède de l’idée d’adapter et de préparer les pays concernés à une éventuelle entrée dans l’Union européenne. En la matière, notre position est très claire : pas d’élargissement sans consolidation, sans davantage de démocratie et sans harmonisation, sociale et fiscale notamment.

Par ailleurs, les règlements européens en matière numérique sont très contestables. S’ils affichent de grandes ambitions, leurs réalisations sont maigres. C’est à juste titre que notre collègue Latombe mène devant la Cour de justice de l’Union européenne (CJUE) un combat, hélas solitaire, sans même l’aide de nos administrations, pour faire annuler l’accord de transfert des données entre l’Europe et les États-Unis, qui enfreint le règlement général sur la protection des données (RGPD). Il soulève un problème de fond : il y a des failles partout. Cet accord ne nous protège aucunement du pillage des données personnelles, notamment par les GAFAM – Google, Apple, Facebook, Amazon et Microsoft. Que valent les grandes ambitions sans moyens pour les réaliser ?

Quant à notre souveraineté et à notre autonomie, elles dépendent notamment des infrastructures matérielles. La France a un vrai savoir-faire, notamment en matière de lutte contre les cyberattaques, comme l’a montré l’audition ce matin du directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Que nous coopérions avec d’autres pays, notamment ceux concernés par l’accord qu’il nous est demandé de ratifier, est une bonne chose. Mais il n’est pas vrai que nous puissions fournir des solutions couvrant tout le spectre cyber sans investir réellement dans les moyens nationaux. Telle n’est pas la politique que nous menons, qui prétend, de façon parfaitement contradictoire, construire une souveraineté nationale en s’appuyant sur les GAFAM.

Nous nous abstiendrons donc sur ce texte.

Mme Marine Hamelet, rapporteure. Nous avons un point de convergence : non à l’élargissement.

S’agissant des considérations financières, le problème est que l’accord n’offre aucun cadre. Notre contribution est passée de 165 000 euros en 2022 à 910 000 euros en 2025. Compte tenu de la taille du C3BO et de l’augmentation prévue du nombre de formations dispensées, rien n’exclut que nos dépenses augmentent significativement, d’autant que les coûts relatifs aux bénéficiaires sont intégralement pris en charge. Nous souhaitons que la répartition de la dépense soit améliorée. La France contribue au C3BO à hauteur de 80 % : à nos yeux, ce n’est pas normal.

M. Alain David (SOC). Figurant parmi les grandes orientations en matière de sécurité énoncées en 2022 dans la Boussole stratégique européenne, le cyberespace est devenu un domaine de concurrence stratégique, dans une période de dépendance croissante à l’égard des technologies numériques. La cybersécurité constitue dorénavant un enjeu majeur de l’environnement numérique mondial, caractérisé par la montée en puissance fulgurante, qualitative et quantitative, des capacités d’agression, parfois avec le concours de l’intelligence artificielle (IA), comme l’attestent les travaux que nous menons au sein de notre commission.

Les pays des Balkans occidentaux sont pris dans un jeu d’influence et d’ingérence très agressif mené notamment par la Russie et par la Chine. En août 2022, le Monténégro a été confronté à une attaque cyber d’ampleur, incluant des ingérences électorales directes. À cette occasion, l’ANSSI a été dépêchée sur place, dans le cadre de sa première intervention internationale.

L’Union européenne, suivie par la France en 2019, a adopté sa stratégie s’agissant des Balkans occidentaux, où se joue une compétition d’influence. L’avancement du processus d’adhésion à l’Union européenne de ces pays, laborieusement entamé, est, à des degrés divers, contrarié par une succession de blocages. Or l’Albanie en 2009, le Monténégro en 2017 et la Macédoine en 2020 ont rejoint l’OTAN, et la Bosnie-Herzégovine est engagée dans un processus d’adhésion.

L’instauration du C3BO vise à renforcer leurs capacités en matière de lutte contre la cybercriminalité dans de multiples domaines : capacités opérationnelles des services de police et de justice ; prévention des attaques cyber ; gestion des risques ; implication des décideurs-clés dans les enjeux ; cyberdiplomatie. L’accord qui nous est soumis nourrit le partenariat entre la France et cette région d’importance géostratégique majeure. Il incarne la cyberdiplomatie menée par la France, qui cherche à se positionner comme une puissance cyber. Il permet d’approfondir la coopération entre les acteurs de la région des Balkans et d’harmoniser les normes applicables dans la perspective de leur adhésion future à l’Union européenne.

Le groupe Socialistes et apparentés soutient cet accord.

Mme Marine Hamelet, rapporteure. Je ne pense pas que ce projet contribuera à harmoniser les normes applicables dans cette région. Même s’ils y envoient des personnes en formation, très peu de pays sont membres du C3BO.

Assez curieusement, la principale attaque a touché l’Albanie en 2022. Or ce pays a développé un système de défense indépendant, qui n’a rien à voir avec le C3BO.

Cet accord n’aidera pas à améliorer les relations entre les États de la région. Il risque même, selon moi, de créer davantage de dissensions. Chacun développe son propre système. La Serbie, qui est très avancée dans le domaine cyber, ne coopérera pas avec le Kosovo. Le fait de s’immiscer dans ces affaires me semble assez dangereux pour les relations entre les pays de la zone de Balkans.

Mme Catherine Hervieu (EcoS). La stratégie interministérielle pour les Balkans occidentaux vise à stabiliser les six pays de cette zone, à favoriser leur développement économique et à renforcer l’État de droit et les droits sociaux dans la perspective de leur adhésion à l’UE.

Cette démarche a aussi son importance pour faire face à la guerre hybride sur notre continent, qui crée de nouveaux champs de conflictualité, notamment dans les espaces cyber et informationnel. Dans sa Boussole stratégique adoptée en 2022, l’UE a prévu de développer une boîte à outils hybride pour répondre à l’importance croissante de ces menaces, qui proviennent notamment de la Russie. Le renforcement de la coopération avec les pays des Balkans occidentaux constitue une étape dans leur marche vers l’intégration dans l’UE.

En matière de lutte contre les cyberattaques, la France et la Slovénie ont lancé en novembre 2022 le C3BO, installé au Monténégro. L’objectif est de renforcer les capacités cyber des forces de police, des magistrats et des opérateurs de cybersécurité des partenaires balkaniques de l’UE. Nous soutenons sa création.

En effet, on assiste à une série de cyberattaques en Albanie et dans la région depuis juillet 2022. Elles ont commencé en Macédoine du Nord et sont semblables à celles qui ont visé l’Ukraine fin décembre 2015. Le réseau d’approvisionnement en électricité avait alors été mis hors service.

La création de ce centre est cruciale car la région est très vulnérable aux activités de désinformation menées depuis l’étranger, lesquelles se sont intensifiées ces dernières années. La Bosnie-Herzégovine, le Monténégro et la Serbie sont les pays les plus touchés par les opérations russes de désinformation visant à décrédibiliser l’UE et l’OTAN. Par effet domino, ces actions affectent aussi les pays avoisinants, donc l’espace européen.

Pourriez-vous préciser les moyens techniques et les coopérations mis en œuvre pour lutter contre la désinformation d’origine russe dans la région, afin notamment de renforcer les mécanismes de protection destinés à faire face à la manipulation des processus électoraux ?

Mme Marine Hamelet, rapporteure. Il est indéniable que des attaques proviennent de la Russie mais tel n’est pas le cas de toutes. J’ai donné l’exemple des attaques iraniennes contre l’Albanie. On sait qu’il s’agit de mesures de rétorsion liées au fait que celle-ci a accueilli des membres de l’Organisation des moudjahidines du peuple iranien.

Les cyberattaques viennent de toutes parts ; les centres comme le C3BO ont pour mission de les parer. La Serbie a monté le sien, très compétent, de manière indépendante. Les disparités en matière d’expertise sont d’ailleurs très fortes dans la région, de la Serbie, très au point, à la Bosnie-Herzégovine, où il n’y a quasiment rien.

Mme Catherine Hervieu (EcoS). D’où, justement, la nécessité d’une intégration dans l’UE !

Mme Marine Hamelet, rapporteure. C’est votre point de vue. Je ne le partage pas.

Mme Maud Petit (Dem). L’intitulé du projet de loi est quelque peu trompeur : il s’agit de valider la transformation du C3BO en organisation internationale. Il a été créé le 16 novembre 2022 par un mémorandum signé par la France, le Monténégro et la Slovénie.

La création de ce centre s’explique par plusieurs raisons. La première est l’extrême vulnérabilité des pays des Balkans occidentaux à la cybercriminalité. Cette région est le maillon faible de la cybersécurité européenne.

En 2022, l’Albanie a subi des cyberattaques attribuées à l’Iran qui ont visé des données gouvernementales et le système informatique des douanes. Peu de temps après, le Monténégro était lui aussi victime d’une cyberattaque de grande ampleur affectant plusieurs de ses institutions. La vulnérabilité de cette région – où subsistent encore de nombreuses tensions, liées notamment à l’éclatement de la Yougoslavie et à la guerre du Kosovo – s’explique en partie par le développement rapide du numérique sans que la population ait été suffisamment sensibilisée aux enjeux. Cette vulnérabilité découle aussi des difficultés rencontrées pour recruter et fidéliser des spécialistes.

Il apparaît également que tous ces États n’ont pas encore pris la pleine mesure des dangers de la cybercriminalité. La Serbie a adopté une loi sur la cybersécurité mais d’autres pays comme le Kosovo, la Macédoine du Nord et la Bosnie-Herzégovine ne sont pas encore dotés de moyens de lutte efficaces contre ces attaques d’un nouveau genre. Si éloignée qu’elle puisse paraître, leur vulnérabilité n’est pas sans conséquence pour notre pays. L’espace cyber étant ouvert, il est nécessaire d’empêcher que la cybercriminalité qui se développe dans les Balkans gagne les autres États de l’UE.

Tel est précisément l’un des enjeux de la participation de la France au C3BO. Celui-ci est également un moyen pour notre pays d’affirmer sa présence dans une région stratégique. Le groupe Les Démocrates votera donc en faveur de ce texte.

Madame la rapporteure, par-delà votre opposition au financement par la France de ce centre et votre refus de voir s’élargir l’UE, nous aimerions savoir pourquoi vous estimez que l’implication de la France dans le C3BO ne constitue pas un moyen de préparer ces pays des Balkans à l’adhésion à l’UE. Cela les aide notamment à se rapprocher des exigences de la directive NIS 2, qui permet à des milliers d’entités de mieux se protéger.

Mme Marine Hamelet, rapporteure. La France n’a pas à assumer seule les dépenses destinées à aider cette région. Nous subissons aussi des attaques.

Nous disposons d’entreprises privées très pointues dans ce domaine, qui pourraient intervenir et interviendront pour faire face aux attaques, qui sont ponctuelles.

Vous avez évoqué le manque de personnel dans ces pays. On ne m’a pas fait part de ce problème. Le nombre de personnes formées ne cesse d’augmenter, ce qui montre qu’il y a une demande.

Mme Maud Petit (Dem). Même si la transformation du C3BO en organisation internationale ne permettra peut-être pas à la France de se désengager, elle pourrait conduire à réduire notre contribution puisque d’autres pourraient prendre le relais.

Mme Marine Hamelet, rapporteure. L’accord qui nous est soumis ne fournit aucune assurance en ce sens. L’étude d’impact fourmille de suppositions mais il n’y a rien de concret. Elle n’indique à aucun moment que d’autres pays participeront au financement du centre, ce qui permettrait à la France de se désengager.

M. Michel Guiniot (RN). Je me pose un certain nombre de questions sur le contenu de cet accord.

Le projet de ratification a été déposé au Sénat le 27 novembre 2024, alors que les locaux définitifs du C3BO avaient déjà été livrés en juin de la même année. Les premières actions de formation ont été organisées en mai 2023, soit avant la signature de l’accord signé à Tirana en octobre 2023.

Quel est notre rôle, si ce n’est faire office de chambre d’enregistrement ?

La contribution française a même été engagée par une simple lettre d’intention. Pourtant, si l’article 52 de la Constitution précise que le président de la République négocie et ratifie les traités, les traités ou accords relatifs à l’organisation internationale ne peuvent être ratifiés ou approuvés qu’en vertu d’une loi. L’article 53 est très clair : ils ne prennent effet qu’après avoir été ratifiés ou approuvés. Comment se fait-il que cet accord produise déjà des effets et que le Parlement soit traité comme une chambre d’enregistrement? Cette question a été posée au Sénat sans qu’une réponse y soit apportée.

La France assure plus de 80 % du financement de ce projet, qui s’intègre dans la stratégie interministérielle pour les Balkans occidentaux. Le ministère a-t-il précisé quelle sera la langue de travail dans ce centre ?

Votre rapport, celui du Sénat et l’étude d’impact soulignent que les contributions des États à ce projet sont déséquilibrées. Le Monténégro, où le salaire minimum s’élève à 670 euros, paie 80 000 euros pour le bail du site. La Slovénie verse 200 000 euros pour rémunérer trois employés locaux et un expert. Nous payons tout le reste.

Pourtant, selon l’article 13 de l’accord, les États signataires sont responsables conjointement et solidairement de la prise en charge des coûts fixes du C3BO. De plus, une contribution annuelle sera fixée pour tous les pays par le nouveau conseil d’administration, sous réserve qu’ils s’y soumettent.

Madame la rapporteure, comme l’article 17 interdit aux signataires d’émettre toute forme de réserve, le MEAE vous a-t-il confirmé que les autres pays sont prêts à revoir les modalités de financement de ce centre qui, en devenant une organisation internationale, aura certainement des coûts accrus ?

Puisque la France paie déjà pour cet organisme, l’accord du Parlement n’est pas indispensable, surtout si l’on considère la manière dont sont répartis les coûts et le contexte économique actuel. Je suis tout à fait conscient qu’il s’agit d’un sujet important mais le projet nous est présenté de façon assez déloyale.

Mme Marine Hamelet, rapporteure. Nous n’avons aucune garantie que d’autres pays participeront à ce centre. Le Monténégro a été choisi parce qu’il entretient de bonnes relations avec les autres États des Balkans. Cela a permis de les inciter à rejoindre le projet, sans assurance sur ce point jusqu’à présent.

L’accord ne prévoit pas de créer le C3BO mais de le transformer en organisation internationale. Il est donc normal que le centre ait commencé à fonctionner.

Le Sénat s’est interrogé sur la langue de travail du centre. Après l’examen du texte, le sénateur Mickaël Vallet a posé une question écrite à ce sujet, restée sans réponse à ce jour. L’accord est rédigé en français et en anglais. Il est probable que les deux langues seront utilisées, l’anglais davantage que le français dans la mesure où cette langue domine dans le domaine cyber.

Mme Laetitia Saint-Paul, présidente. Je m’exprimerai ici au nom du groupe Horizons. Nous venons d’auditionner le directeur de l’ANSSI. Il nous a rappelé que la France peut subir des dommages collatéraux et à quel point la vulnérabilité de nos partenaires peut nous affecter.

Face au risque élevé d’attaques par capillarité, investir 1 million d’euros dans ce centre me paraît judicieux. Quel que soit le champ de conflictualité, notre sécurité commence bien au-delà de nos frontières. Il importe d’en avoir pleinement conscience.

Nous approuvons pour notre part le projet de loi.

Mme Marine Hamelet, rapporteure. Vous parlez des risques par capillarité mais les pays les plus touchés, comme l’Albanie, ne sont pas membres de ce centre. J’y vois un obstacle.

Les moyens dont disposent les pays de cette région sont très inégaux. En outre, ils ne s’entendent pas entre eux. Lorsque nous nous sommes rendus au Kosovo le mois dernier, nous avons constaté que la communication était impossible entre certains États des Balkans. Tant qu’il n’y aura pas davantage de cohésion entre eux, l’efficacité de ce centre sera très réduite.

Mme Laetitia Saint-Paul, présidente. J’ai espoir que ce type d’initiative permette d’améliorer l’entente entre pays de la région.

Nous en venons aux interventions et questions formulées à titre individuel.

Mme Constance Le Grip (EPR). Je soutiens le projet de loi visant à doter le C3BO du statut d’organisation internationale.

Il ne faut absolument pas sous-estimer les dangers qui sont aux frontières de l’UE et menacent notre cybersécurité ainsi que notre capacité à résister ensemble aux cyberattaques de toute nature ; elles sont légion. Ce sont la sécurité et la stabilité du continent européen qui seront à court, moyen et long termes renforcées grâce à la coopération en matière de cybersécurité que le C3BO à vocation à inscrire dans la durée.

Par ailleurs, nous sommes capables d’exercer et de faire reconnaître un leadership réel. Nous avons la chance de pouvoir nous appuyer sur l’ANSSI et sur le service de vigilance et de protection contre les ingérences numériques étrangères (Viginum). Nous disposons d’agences et de professionnels à l’expertise excellente. Il faut en être fier et les faire rayonner au sein de structures comme le C3BO.

Compte tenu de l’importance des attaques et des ingérences numériques étrangères qui viennent de partout, notamment de Russie – France Diplomatie a dénoncé hier les cyberattaques en provenance du territoire russe utilisant le mode opératoire Storm-1516 –, il faut soutenir le changement de statut qui nous est proposé.

Mme Marine Hamelet, rapporteure. Je ne conteste pas nos capacités ni notre expertise, notamment celle d’entreprises privées, mais je n’en déduis pas que nous devons coopérer au C3BO. On peut très bien agir dans un autre cadre.

Je ne sous-estime pas non plus les dangers. Je pense même que le simple fait que des pays des Balkans occidentaux souhaitent entrer dans l’UE représente un danger pour eux. Des pays très puissants – pas seulement la Russie – pourraient les attaquer davantage pour bloquer le processus.

Mme Liliana Tanguy (EPR). Le projet de loi vise à changer le statut d’un centre qui existe déjà. Il ne s’agit donc pas, pour la rapporteure, de parler de l’élargissement de l’UE ou de donner son avis sur l’adhésion du Monténégro ou d’un autre pays des Balkans occidentaux. Ce processus est en cours.

Le texte vise avant tout à renforcer la résilience collective de l’Europe, donc de la France, dans le domaine cyber. Si vous êtes patriote, il faut soutenir ce centre créé à l’initiative de la France et de la Slovénie. Cela a en effet un coût mais il est très faible par rapport aux conséquences d’une cyberattaque à grande échelle ou d’une instabilité dans la région.

La France a tout à fait raison de soutenir ce centre, qui est amené à se développer. Pour m’y être rendue, je peux témoigner que d’autres pays souhaitent y participer. Le groupe Rassemblement national fait donc un mauvais calcul en s’opposant au projet de loi.

Mme Marine Hamelet, rapporteure. Certains pays sont peut-être enclins à participer mais ils ne l’ont pas encore fait alors que le centre a été créé en 2022.

Mme Liliana Tanguy (EPR). Ce n’est pas une raison pour renoncer à changer le statut du C3BO.

Mme Marine Hamelet, rapporteure. Vous me reprochez de parler de leur marche vers l’adhésion à l’UE. L’étude d’impact précise que les pays des Balkans occidentaux sont « dans ce contexte une priorité française, notamment dans le cadre de la Communauté politique européenne et de l’intégration européenne ». Ce n’est donc pas un fantasme : c’est écrit noir sur blanc.

Article unique (autorisation de l’approbation de l’accord portant création du Centre de développement des capacités cyber dans les Balkans occidentaux, fait à Tirana le 16 octobre 2023)

La commission adopte l’article unique non modifié.

L’ensemble du projet de loi est ainsi adopté.

***

La séance est levée à 11 h 40.

_____

Membres présents ou excusés

Présents. – M. Pieyre-Alexandre Anglade, M. Bertrand Bouyx, M. Jorys Bovet, M. Jérôme Buisson, Mme Eléonore Caroit, M. Sébastien Chenu, Mme Sophia Chikirou, M. Pierre Cordier, Mme Christelle D'Intorni, M. Alain David, Mme Dieynaba Diop, Mme Stella Dupont, Mme Christine Engrand, M. Marc de Fleurian, M. Julien Gokel, M. Michel Guiniot, M. Stéphane Hablot, Mme Marine Hamelet, Mme Sylvie Josserand, Mme Brigitte Klinkert, M. Xavier Lacombe, M. Arnaud Le Gall, M. Jean-Paul Lecoq, Mme Élisabeth de Maistre, Mme Alexandra Masson, Mme Sophie Mette, Mme Maud Petit, M. Jean-François Portarrieu, M. Stéphane Rambaud, M. Franck Riester, M. Jean-Louis Roumégas, Mme Laetitia Saint-Paul, Mme Liliana Tanguy, M. Lionel Vuibert

Excusés. – Mme Nadège Abomangoli, M. Gabriel Attal, M. Hervé Berville, M. Pierre‑Yves Cadalen, M. Olivier Faure, M. Bruno Fuchs, M. Perceval Gaillard, Mme Pascale Got, Mme Amélia Lakrafi, Mme Marine Le Pen, M. Laurent Panifous, Mme Mathilde Panot, M. Davy Rimane, Mme Laurence Robert-Dehault, Mme Sabrina Sebaihi, Mme Michèle Tabarot, M. Laurent Wauquiez

Assistaient également à la réunion. – Mme Catherine Hervieu, Mme Constance Le Grip