III. UN SOUTIEN APPUYÉ À LA SÉCURITÉ ET À LA PROTECTION DES DONNÉES
Poursuivant l'effort mené depuis plusieurs années, le projet de loi de finances pour 2022 met l'accent sur la lutte contre le terrorisme , les atteintes à la sécurité nationale et la cybercriminalité .
La coordination de la sécurité et de la défense (Action 02) voit ses crédits pour 2022 diminuer de 3,06 % en autorisations d'engagement mais augmenter de 5,86 % en crédits de paiement qui atteignent 381,5 M€ .
Cette action regroupe budgétairement le Secrétariat général de la défense et de la sécurité nationale (SGDSN) (près de 274 M€ de crédits de paiement), les Fonds spéciaux (budget de 76M€ ) et le Groupement interministériel de contrôle (budget de 31,6 M€ ).
D'importants renforts en personnel sont prévus pour 2022, + 107 ETP en schéma d'emploi , afin d'étoffer tant les services du SGDSN que du GIC.
• L' Agence nationale de la sécurité des systèmes d'information (ANSSI), qui relève du SGDSN, ne voit pas la cybercriminalité faiblir . Cette dernière n'a cependant pas explosé, ce que pouvait laisser craindre le recours massif au télétravail. Guillaume Poupard, directeur de l'ANSSI, l'explique par le développement du télétravail avant même la crise sanitaire, ce qui avait conduit les directions des services informatiques à renforcer la sécurité de leurs réseaux.
Pour remplir ses missions face à une cybercriminalité de plus en plus sophistiquée, l'ANSSI disposera fin 2021 de 600 agents . La trajectoire qui avait été actée de 50 ETP supplémentaires par an sera respectée. Ces postes sont toutefois répartis entre l'agence et l'Opérateur des systèmes d'information interministériels classifiés (OSIIC), créé en 2020 pour assurer les communications électroniques nécessaires au Président de la République et au Gouvernement. Créé en partie avec des budgets et personnels de l'ANSSI, il permet à celle-ci de se recentrer sur la cybersécurité.
Pour faire face à son développement, l'ANSSI ouvrira en 2023 une antenne à Rennes , à proximité de services du ministère des armées, créant un pôle de compétence en cyberdéfense où 200 agents travailleront à terme.
L'ANSSI bénéfice au titre du plan de relance d'une enveloppe de 136 M€ dont les autorisations d'engagement ont été ouvertes entièrement en loi de finances initiale pour 2021 et couvertes par 32 M€ de crédits de paiement en 2021. La poursuite de l'exécution des opérations du plan de relance en 2022 conduit à une ouverture à hauteur de 62 M€ en crédits de paiement.
Elle permet à court terme de rehausser le niveau de sécurité de 700 entités du secteur public (collectivités territoriales, hôpitaux devenus opérateurs de services essentiels) en finançant un « parcours de cybersécurité » : un audit, un plan d'action et un début de mise en oeuvre des préconisations.
Le plan de relance permettra également à l'Agence de financer des projets dans les ministères et les CERT ( Computer Emergency Response Team ), centres d'alerte et de réaction aux attaques informatiques.
En effet, l'Agence souhaite développer son offre de services préventifs qui sont complémentaires à ses interventions lorsque surviennent des incidents. Le rapporteur salue l'évolution de la prise de conscience de l'importance de l'action de l'ANSSI, dont le budget devait, au début du quinquennat, être soutenu par des amendements des rapporteurs lors de l'examen de celui-ci en séance au Sénat.
• L'année en cours a été marquée par la création , par le décret n° 2021-922 du 13 juillet 2021, du Service de vigilance et de protection contre les ingérences numériques étrangères (Viginum), service à compétence nationale relevant du SGDSN.
Ce service a vocation à détecter et caractériser, en analysant les contenus accessibles publiquement sur les plateformes en ligne , les opérations impliquant, de manière directe ou indirecte, un État étranger ou une entité non étatique étrangère , et visant à la diffusion artificielle ou automatisée, massive et délibérée d' allégations ou imputations de faits manifestement inexactes ou trompeuses de nature à porter atteinte aux intérêts fondamentaux de la Nation , notamment lorsque celles-ci sont de nature à altérer l'information des citoyens pendant les périodes électorales.
La création de ce service, qui ne peut qu'être saluée, suscite toutefois un certain étonnement car elle laisse à penser que la lutte contre cette menace n'était pas particulièrement organisée jusqu'alors.
Cette menace, simple à mettre en oeuvre et peu risquée pour ses auteurs qui opèrent depuis l'étranger, est particulièrement difficile à détecter et caractériser. À l'issue de ses investigations sur des données publiquement accessibles, Viginum passera le relais aux services d'enquête ou de renseignements.
Le chef de service de Viginum, Gabriel Ferriol, explique être engagé dans un processus de « montée en charge » des plans de recrutement de ses agents, de mise en place des moyens opérationnels et de définition de l'encadrement juridique de son action en lien avec la CNIL.
Dans ces conditions, on peut s'interroger sur la capacité de Viginum à être pleinement opérationnel pour la consultation le 12 décembre prochain sur l'accession à la pleine souveraineté de la Nouvelle Calédonie, voire pour l'élection présidentielle d'avril 2022.
Ce nouveau service, doté actuellement de 21 ETPT, bénéficiera en 2022 de 31 postes supplémentaires.
Cependant, son budget annuel n'est pas clairement défini . Il dépendra de sa capacité de recrutement mais aussi de ses dépenses pour l'acquisition de moyens techniques conditionnés par l'encadrement juridique et technique en cours de définition. Gabriel Ferriol estime les besoins du service en crédits d'équipement entre 1,6 et 5 M€.
Le SGDSN, qui soutient Viginum, est doté de ce chef en 2022 de crédits supplémentaires hors titre 2 de 6,63 M€ en autorisations d'engagement et 7,18 M€ en crédits de paiement. Le rapporteur s'assurera que la création de ce nouveau service ne se fera pas au détriment des autres entités de l'action 02 dédiée à la coordination de la sécurité et de la défense qui ont elles aussi besoin d'un renforcement de leurs moyens.
• Le Groupement interministériel de contrôle (GIC), adossé administrativement et financièrement au SGDSN, a connu ces dernières années une importante évolution . Initialement service de personnels d'exécution, il s'est transformé en service d'ingénierie doté d'une capacité d'innovation, lui permettant d'être réactif face à l'évolution de la nature et du nombre de techniques de renseignements mises en oeuvre à la demande des services de renseignement.
Pour 2022, le plafond d'emplois du GIC atteint 236 ETPT (224 en 2021). L'objectif, qui était en 2016 fixé à 250 ETPT, n'est pas encore atteint par le GIC confronté à une évolution de son activité en raison des réformes législatives votées ces dernières années.
Le GIC est ainsi concerné par les dispositions de la loi n° 2021-998 du 30 juillet 2021 relative à la prévention d'actes de terrorisme et au renseignement portant notamment sur la centralisation des interceptions par satellite, la pérennisation de la technique de l'algorithme, et son élargissement aux URL, ou encore l'encadrement de la transmission de renseignements entre services français.
Le rapporteur s'interroge toutefois sur l' adéquation des moyens , bien qu'en hausse, alloués au GIC qui estime ne pas être en mesure, par exemple, d'anticiper les conséquences du déploiement de la 5G. Or il est indispensable que le GIC puisse offrir un service de qualité aux services de renseignement. Ceci est un enjeu de sécurité , mais aussi de l'efficacité des contrôles par la CNCTR.
• La Commission nationale de contrôle des techniques de renseignement (CNCTR) qui complète ce dispositif, dotée d'un budget de 3 M€ , en hausse de 5,78 % , s'inscrit dans un cadre juridique très élaboré, plus particulièrement sur le plan réglementaire, selon son nouveau président, Serge Lasvignes, nommé en septembre dernier.
La commission traitera environ 80 000 demandes d'avis cette année , nombre relativement stable par rapport à l'an dernier mais en forte hausse au regard des 67 000 avis de 2016.
Le contrôle exercé a posteriori permet à la commission de s'assurer de l'existence d'une autorisation et du respect des modalités de celle-ci lors de la mise en oeuvre d'une technique de renseignement. En 2020, en raison de la crise sanitaire, la CNCTR a dû limiter le nombre de ses contrôles sur pièces et sur place au sein des services de renseignement et dans les centres territoriaux du GIC avec 76 contrôles menés contre plus d'une centaine en 2019. L'année 2021 devrait marquer le retour à une activité normale de contrôle.
Pendant la pandémie la commission a développé le contrôle à distance grâce aux applications informatiques sécurisées mises à sa disposition par le GIC, ce qui suscite néanmoins quelques inquiétudes chez les services de renseignement.
Constatant plus généralement un « basculement technologique » des moyens à mettre en oeuvre (cryptage des communications, extension de la technique de recueil de données de connexion en temps réel aux adresses complètes de ressources sur internet utilisées), le président de la CNCTR veut procéder en 2022 au recrutement d'un ingénieur « de très haut niveau » . Il estime que le plafond d'emplois et le budget de la commission le permettent. Le rapporteur considère ce projet parfaitement cohérent afin que la commission exerce ses missions efficacement. La CNCTR devra probablement à nouveau évoluer dans ses compétences prochainement, pour tenir compte de la décision « Big Brother Watch » de la Cour européenne des droits de l'homme qui pose la nécessité d'un meilleur encadrement des échanges avec les services étrangers . Abordé lors de la discussion sur la loi relative à la prévention d'actes de terrorisme et au renseignement promulguée le 30 juillet 2021 mais sans que cela n'engendre de conséquences sur le texte voté, il faudra très probablement y revenir.
• La Commission nationale de l'informatique et des libertés (CNIL) poursuit son expansion puisqu'elle bénéficiera en 2022 de 25 emplois supplémentaires , son plafond d'emplois atteignant 263 ETPT ; son budget sera augmenté de près de 2,5 M€.
La CNIL fait toujours face à un afflux de questions par voie électronique (20 000 par an dont 1 500 qualifiées de complexes) ainsi que de plaintes (environ 14 000 pour 2021).
Sa présidente, Marie-Laure Denis, s'est fixée pour objectif de résorber, avant la fin de son mandat début 2024, le stock de plaintes en cours. Pour y parvenir des outils informatiques seront développés. La simplification de la procédure applicable, issue de la future loi relative à la responsabilité pénale et à la sécurité intérieure qui devrait être adoptée définitivement par le Parlement au mois de décembre de cette année, devrait également y contribuer. La CNIL va prochainement expérimenter l'externalisation de 4 000 plaintes « simples » ne nécessitant que l'envoi d'un courrier.
La CNIL reste également très sollicitée pour des demandes de conseils , parfois très complexes, sur le RGPD dont l'acculturation par les entreprises peut se révéler difficile. Elle doit pouvoir les accompagner en éditant des référentiels à leur attention.
Elle traitera en 2021 aux fins d'autorisation plus de 500 traitements de données personnelles sensibles dans le domaine de la santé, contre 420 en 2020. Elle contrôle les traitements de données, sur place, sur pièces et en ligne. En 2020, la CNIL a infligé des amendes d'un montant total de 135 M€, soit plus de six fois son budget annuel.
La coopération européenne, qui est la règle en présence d'un traitement transfrontalier, est très chronophage pour les autorités de régulation des 27 pays européens. Selon la localisation de l'établissement principal, la CNIL sera soit chef de file (11 cas actuellement) en charge de proposer les mesures, soit autorité compétente (47) se prononçant sur les propositions de décisions de ses homologues 8 ( * ) .
La CNIL souhaite mieux soutenir les opérateurs publics et privés déclarant une violation de données. Le RGPD impose en effet une obligation de sécurisation à l'ensemble des opérateurs traitant des données personnelles.
Dans ces conditions, le rapporteur estime l'objectif de 300 ETP (263 ETP en 2022) revendiqué par la CNIL parfaitement justifié .
* 8 Source : PAP de la mission « Direction de l'action du Gouvernement » annexé au projet de loi de finances pour 2022