Projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité

Rapport n° 161 (2017-2018) de M. Philippe BONNECARRÈRE , fait au nom de la commission des lois, déposé le 13 décembre 2017

Disponible au format PDF (1,3 Moctet)

Tableau comparatif au format PDF (493 Koctets)

Synthèse du rapport (225 Koctets)

N° 161

SÉNAT

SESSION ORDINAIRE DE 2017-2018

RAPPORT

FAIT

au nom de la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale (1) sur le projet de loi (PROCÉDURE ACCÉLÉRÉE) portant diverses dispositions d' adaptation au droit de l' Union européenne dans le domaine de la sécurité ,

Par M. Philippe BONNECARRÈRE,

Sénateur

Voir les numéros :

EXPOSÉ GÉNÉRAL

Mesdames, Messieurs,

Face à l'émergence de menaces transfrontalières, la nécessité d'harmoniser les réponses et les dispositifs de sécurité avec nos voisins et nos alliés est devenue, pour tous, une évidence.

Dans le monde toujours plus interdépendant et interconnecté qui est le nôtre, nous ne pourrons en effet espérer lutter efficacement contre le terrorisme, contre le trafic d'armes ou encore contre la cybercriminalité sans approche commune ni coordination.

Aucune politique nationale ne sera à la hauteur d'une criminalité sans frontière.

Cette prise de conscience généralisée est à l'origine de plusieurs initiatives européennes récentes, politiques comme législatives, qui tendent à faire émerger une politique commune en matière de sécurité intérieure , que l'on ne peut que saluer.

Dans ce contexte, le Sénat est saisi en premier lieu et en première lecture d'un projet de loi n° 105 (2017-2018) portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, pour l'examen duquel le Gouvernement a engagé la procédure accélérée.

Ce projet de loi vise à transposer deux directives européennes dans le domaine de la sécurité : la directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, communément dénommée directive « NIS » et la directive 2017/853 du 17 mai 2017 modifiant la directive 91/477/CEE relative au contrôle de l'acquisition et de la détention d'armes .

Il s'attache par ailleurs à tirer les conséquences en droit français de la décision n° 1104/2011/UE relative aux modalités d'accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo .

Compte tenu du nécessaire respect des engagements européens qui s'imposent au législateur, l'examen parlementaire de textes de transposition est nécessairement plus contraint que celui d'un projet ou d'une proposition de loi ordinaire.

Il revient toutefois au Parlement de veiller au respect de l'obligation de transposition et de s'assurer de la bonne intégration de la norme européenne dans le droit national. C'est dans cet esprit que votre rapporteur a inscrit ses travaux.

I. UN PROJET DE LOI QUI TIRE LES CONSÉQUENCES DE L'HARMONISATION CROISSANTE DES DISPOSITIFS DE SÉCURITÉ AU NIVEAU EUROPÉEN

A. LA LUTTE CONTRE LA CYBER-CRIMINALITÉ, CONDITION ESSENTIELLE DE PROTECTION DU MARCHÉ INTÉRIEUR

1. La directive « NIS » : un texte ambitieux et nécessaire

Adoptée en juillet 2016 à l'issue de trois années de négociations, la directive 2016/1148, dite directive « NIS », poursuit un double objectif :

- d'une part, renforcer le niveau de cybersécurité des États membres pour les activités économiques stratégiques ;

- d'autre part, améliorer la coordination entre États membres en cas de survenance d'incidents transnationaux affectant les réseaux et systèmes d'information des entités essentielles.

Bien qu'elle s'inscrive dans le cadre plus global de mise en place d'une stratégie européenne en matière de cybersécurité, dont les premiers axes ont été définis en 2013, elle constitue la première initiative législative européenne ainsi que la première tentative d'harmonisation des normes dans ce domaine .

La directive est prise sur le fondement de l'article 114 du traité sur le fonctionnement de l'Union européenne, qui habilite l'Union à adopter des mesures destinées à établir ou assurer le fonctionnement du marché intérieur.

Elle résulte du constat que l'impact potentiel des incidents affectant les systèmes d'information, qu'ils soient ou non d'intention criminelle, est considérable pour l'économie et la société européennes , dont le fonctionnement s'appuie désormais en grande partie sur les nouvelles technologies. Ceci ira en s'accentuant, par exemple avec la voiture autonome ou les objets connectés.

S'il est difficile d'évaluer précisément l'impact économique des cyberattaques, une étude conduite en 2016 par l'agence européenne pour la sécurité des réseaux (ENISA) évaluait par exemple à 0,41 % du produit intérieur brut (PIB) de l'Union européenne le coût global des incidents cybernétiques. Plusieurs cas concrets illustrent également ce constat. Ainsi, l'attaque informatique subie par l'entreprise française Saint-Gobain au mois d'août 2017 aurait entraîné des pertes s'élevant à 250 millions d'euros.

Or, si ce constat paraît très largement partagé par les autorités publiques, il le serait beaucoup moins au sein du monde économique, qui représente pourtant la première cible des tentatives d'attaques et d'intrusions informatiques. Au cours de son audition par votre rapporteur, le Medef a ainsi souligné que si les grandes entreprises présentaient généralement une « culture » élevée dans le domaine de la sécurité informatique, les petites et moyennes entreprises tardaient en revanche, pour la plupart, à mettre en place une politique ambitieuse en la matière et à réaliser les investissements nécessaires.

Dans ce contexte, l'intervention du législateur , qu'il soit national ou européen, apparaît comme un « mal nécessaire » afin d'inciter les acteurs économiques à se conformer à un socle minimum de règles de sécurité pour assurer la protection de leurs activités. Qui plus est, l'interconnexion des réseaux et des systèmes d'information implique une nécessaire interdépendance entre les États, tout incident sur un territoire étant susceptible d'en affecter un autre, d'où la pertinence, dans ce domaine, d'une politique européenne commune .

2. Une transposition partielle par le projet de loi

Outre plusieurs mesures d'effet direct, qui n'appellent pas de transposition en droit national, la directive « NIS » prévoit la mise en place d'un cadre réglementaire contraignant, imposant à un certain nombre d'entités stratégiques pour le fonctionnement de l'économie et de la société :

- d'une part, de respecter un socle minimal de règles et de prendre un certain nombre de mesures de sécurité afin d'assurer la fiabilité et la résilience de leurs réseaux et systèmes d'information, obligation susceptible de faire l'objet d'un contrôle par les autorités administratives et pouvant donner lieu à sanctions en cas de manquement ;

- d'autre part, de signaler aux autorités nationales compétentes en matière de cyber-sécurité les incidents de sécurité dont elles sont les victimes.

Deux catégories de structures sont visées par la directive, les opérateurs économiques essentiels , soit les entités qui fournissent des services essentiels au fonctionnement de la société et de l'économie, et les fournisseurs de service numérique , chacune de ces catégories se voyant imposer, en fonction de son caractère plus ou moins stratégique, un régime différent d'obligations et de contrôle en matière de sécurité informatique.

Le titre I ^er du projet de loi tend à transposer, en droit interne ce nouveau dispositif.

Les articles 1 ^er à 4 comportent des dispositions communes applicables à l'ensemble du dispositif . L' article 1 ^er définit ainsi les notions de « réseaux et systèmes d'information » et de « sécurité des systèmes d'information ». L' article 2 précise le champ d'application des dispositions transposées, afin notamment d'exclure les entités faisant d'ores et déjà l'objet d'une réglementation en matière de sécurité des systèmes d'information. L' article 3 concerne quant à lui les règles de confidentialité et de discrétion professionnelle qui s'imposent à l'administration et aux prestataires qu'elle habilite dans l'application des dispositions du projet de loi. Enfin, l'article 4 prévoit que les modalités d'application du titre I ^er seront déterminées par un décret en Conseil d'État.

Les articles 5 à 9 du projet de loi précisent le régime applicable aux opérateurs économiques essentiels . L' article 5 définit la notion d'opérateur économique essentiel et précise son champ d'application. Les articles 6 et 7 déterminent les obligations imposées à ces opérateurs, d'une part s'agissant des règles et mesures de sécurité à mettre en oeuvre, d'autre part en matière de signalement d'incidents. L' article 8 précise les modalités de contrôle, par l'autorité administrative, du respect de ces obligations, tandis que l' article 9 fixe les sanctions encourues par les opérateurs en cas de manquement à ces mêmes obligations.

Enfin, de manière symétrique, les articles 10 à 15 transposent les règles applicables aux fournisseurs de service numérique . Les articles 10 et 11 définissent la notion de fournisseur de service numérique et précisent le champ d'application du nouveau régime qui leur est imposé. Les articles 12 et 13 déterminent les règles imposées aux fournisseurs de service numérique en matière de sécurité des systèmes d'information ainsi que les obligations de signalement d'incident. Enfin, de même que pour les opérateurs économiques essentiels, les articles 14 et 15 précisent les conditions de contrôle de ces fournisseurs ainsi que le régime pénal qui leur est applicable.

B. UN RENFORCEMENT DE LA RÉGLEMENTATION SUR LES ARMES À FEU CIVILES

1. Une directive utile, qui peine toutefois à atteindre son objectif

L'harmonisation des normes en matière d'acquisition et de détention d'armes est une préoccupation ancienne au sein de l'Union européenne.

Dès 1991, une première directive ^{1 ( * )} était en effet adoptée afin d'établir un socle d'exigences minimales que les États membres devraient imposer en matière d'acquisition, de détention et de transferts d'armes à feu. Une telle réglementation poursuivait toutefois alors une logique plus économique que sécuritaire : il s'agissait en effet avant tout de faciliter le fonctionnement du marché intérieur des armes à feu, tout en garantissant un niveau élevé de sécurité pour les citoyens européens.

Après une première modification intervenue en 2008 ^{2 ( * )} , la directive (UE) 2017/853 du 17 mai 2017, transposée par le titre II du projet de loi, procède à une nouvelle révision de la directive de 1991, dans une logique de renforcement des mesures de sécurité .

Initiée à la demande de la France, au lendemain des attentats de Paris de janvier 2015, cette directive s'est inscrite dans une dynamique plus globale visant à renforcer la lutte contre le trafic illégal d'armes à feu.

Force est de constater que la directive adoptée et transposée par le projet de loi a, pour l'essentiel, manqué son objectif . Elle comporte en effet principalement des mesures qui visent à mieux encadrer les régimes légaux d'acquisition et de détention des armes à feu, d'une part en durcissant les règles applicables pour les armes considérées comme les plus dangereuses, d'autre part en sécurisant les conditions de vente des armes à feu.

S'il ne s'agit pas de remettre en cause ni le bien-fondé ni l'utilité de telles modifications, elles ne paraissent toutefois pas à la hauteur des enjeux du trafic illicite d'armes, alimenté par des circuits parallèles et échappant très largement à la réglementation prévue par la directive.

Tout en s'interrogeant sur la portée réelle de la directive, votre rapporteur convient toutefois que d'autres initiatives législatives et réglementaires récentes paraissent esquisser le début d'un cadre global européen en matière d'armement. Ainsi, en parallèle de la négociation de la directive a été adopté un règlement ^{3 ( * )} visant à augmenter les normes de neutralisation des armes, afin notamment d'assurer que des armes neutralisées ne pourraient être facilement transformables et réutilisées à des fins criminelles.

De même, la France a récemment transposé, par un décret du 29 août 2017 ^{4 ( * )} , le règlement européen du 15 janvier 2013 relatif à la commercialisation et l'utilisation de précurseurs d'explosifs ^{5 ( * )} , qui introduit un dispositif obligatoire, pour les opérateurs économiques, d'enregistrement des transactions concernant des substances susceptibles d'être utilisées à des fins de fabrication d'explosifs, par exemple le TATP.

2. Une transposition principalement de nature réglementaire

Le titre II du projet de loi tend à transposer les dispositions de la directive 2017/853 qui relèvent du domaine législatif.

Ainsi, ses articles 16 et 17 tirent les conséquences en droit interne de la suppression de la catégorie D des armes à feu, d'une part, et du durcissement du régime d'acquisition et de détention de certaines armes semi-automatiques, « surclassées » en catégorie A, d'autre part.

L' article 18 tend, quant à lui, à mieux encadrer les ventes d'armes à feu et de munitions. Il étend tout d'abord aux courtiers le régime d'autorisation applicable aux armuriers. Il vise par ailleurs à renforcer les conditions de vérification de l'identité des acheteurs, y compris lorsque les ventes sont effectuées à distance, par correspondance ou entre particuliers. Enfin, il introduit un nouveau dispositif permettant aux armuriers et aux courtiers de refuser une vente d'armes ou de munitions pouvant raisonnablement être considérée comme suspecte.

Enfin, les articles 19, 20 et 21 procèdent à plusieurs coordinations dans le code de la sécurité intérieure et dans le code de la défense pour tirer les conséquences de la suppression de la catégorie D des armes à feu.

Comme le relève l'étude d'impact du projet de loi, la finalisation de la transposition de la directive nécessitera un important travail réglementaire , qu'il reviendra bien entendu au Parlement de contrôler dans le cadre de son suivi de l'application des lois.

C. LE SERVICE PUBLIC RÉGLEMENTÉ DE GALILEO : UNE OPPORTUNITÉ POUR RENFORCER L'AUTONOMIE STRATÉGIQUE DES ÉTATS EUROPÉENS

1. Galileo, un programme européen de positionnement par satellite

Le programme de navigation par satellite Galileo a été lancé par l'Union européenne en 1999. Il vise à mettre en place un système de positionnement et de datation par satellite, au bénéfice d'une multitude d'acteurs publics et privés, en Europe et dans le monde. Ce programme doit permettre d' offrir à l'Union européenne son propre système mondial de navigation par satellite et ainsi de garantir son indépendance stratégique vis-à-vis des autres dispositifs existants et à venir, tels que le GPS américain, le système chinois Beidou ou le système russe Glonass. Galileo a aussi vocation à offrir un service de grande qualité, grâce en particulier à un signal plus précis que les dispositifs existants.

Le programme Galileo est entré dans sa phase opérationnelle en 2001. Les quatre premiers satellites ont été lancés en 2011 et 2012 et, à ce jour, 22 des 30 satellites prévus sont en orbite. L'exploitation des services initiaux de Galileo a ainsi pu débuter au 15 décembre 2016. Le déploiement du programme doit s'achever en 2020, date à laquelle l'ensemble des services de Galileo seront disponibles.

Le programme est financé directement par le budget de l'Union européenne et son coût total est estimé, sur la période 1994-2020, à 13 milliards d'euros, dont 2,45 milliards d'euros pour la contribution française ^{6 ( * )} . Galileo est placé sous le contrôle d'autorités civiles, contrairement au système GPS américain, placé sous contrôle militaire. Cette gouvernance civile est partagée entre trois acteurs. La Commission est maître d'ouvrage, l'agence spatiale européenne est chargée du segment spatial (satellites et lancements) et une agence spécifique, basée à Prague, la GSA (Agence du GNSS ^{7 ( * )} européen) assure l'exploitation de Galileo. Elle dispose de deux centres de contrôle, situés en France et au Royaume-Uni (ce dernier centre sera délocalisé à compter de mars 2019).

Galileo aura des applications dans une grande variété de domaines, tant pour des usages gouvernementaux que dans la vie quotidienne des citoyens européens. S'il n'aura pas de rentabilité financière directe, il devrait toutefois générer, à terme, d'importantes retombées socio-économiques, d'autant plus importantes que le marché mondial des produits et services liés à la mise en place de la radionavigation par satellite est en forte expansion (+ 30 % par an selon la Commission européenne). De surcroît, la radionavigation n'a pas que des applications de géolocalisation, elle permet aussi la synchronisation de réseaux essentiels à l'économie, tels que les réseaux d'électricité, de transport ou de communication. Ainsi, selon des estimations citées par la Cour des comptes, 6 à 7 % du PIB de l'Union européenne dépendent de la navigation par satellite.

2. Un service public réglementé pour les usages militaires

Le système Galileo comprend trois services distincts :

- un service ouvert , accessible à tous et gratuit, conçu pour servir de support aux applications de géolocalisation ;

- un service commercial , initialement prévu pour être payant mais dont la gratuité est envisagée afin de réellement concurrencer le GPS, dont l'accès est gratuit, et atteindre un nombre conséquent d'utilisateurs ;

- un service public réglementé (le PRS - Public Regulated Service ), très sécurisé et à usage plus restreint.

Le PRS est le service le plus sécurisé et le plus sensible parmi ceux offerts par les systèmes européens de radionavigation par satellite. Il est adapté aux applications exigeant de la robustesse et une grande fiabilité car son signal sécurisé permet de bénéficier d'un niveau élevé de continuité du service, même dans les situations de crise graves. Le PRS a notamment vocation à être utilisé par les armées. Il intéresse donc les gouvernements, dont celui de la France, du fait de sa précision et de sa résistance en cas d'agression externe.

Le PRS est réservé à un nombre restreint d'usagers de droit que sont le Conseil, la Commission, les États membres et le Service européen d'action extérieure (SEAE). Sur autorisation, les agences de l'Union, les pays tiers et les organisations internationales peuvent aussi être considérées comme des usagers. De manière distincte, les utilisateurs du PRS sont les personnes physiques ou morales dûment autorisées par un usager du PRS à détenir ou à utiliser un récepteur PRS.

Aussi, et afin de garantir la sûreté de ce dispositif sensible, un contrôle rigoureux de l'accès des utilisateurs est exigé . Ce contrôle utilise à la fois des moyens techniques (cryptage, protection contre le leurrage...) et des moyens institutionnels (mise en place d'une procédure d'autorisation, homologation des récepteurs...).

Ce dernier type de contrôle incombe aux États membres, en vertu de la décision du Parlement européen et du Conseil du 25 octobre 2011 ^{8 ( * )} .

Cette décision vise à définir les modalités d'accès au PRS et à inciter à une répression pénale « dissuasive » des infractions à ces règles. En effet, les conséquences d'une infraction aux règles de sécurité lors de l'utilisation de ce service s'étendent potentiellement à d'autres utilisateurs. L'usage et la gestion du PRS font donc appel à la responsabilité commune des États membres tant pour la sécurité de l'Union que pour leur propre sécurité.

La décision du 25 octobre 2011 ne fixe pas d'échéance pour sa mise en oeuvre en droit national, excepté la désignation de l'autorité responsable du PRS avant le 6 novembre 2013. Toutefois, la traduction dans le droit national des obligations qu'elle fixe est une condition pour bénéficier du service public réglementé.

L' article 22 du projet de loi tend donc à inscrire dans le code de la défense les dispositions de la décision du 25 octobre 2011 ^{9 ( * )} , afin de fixer un cadre administratif minimum et préalable ainsi qu'un régime de sanctions pénales.

II. LA POSITION DE VOTRE COMMISSION : UNE TRANSPOSITION DANS L'ENSEMBLE FIDÈLE AU DROIT EUROPÉEN, QUI NÉCESSITE TOUTEFOIS QUELQUES AJUSTEMENTS

Conformément à la position qui est la sienne en matière de transposition, votre commission a été attentive, dans le cadre de l'examen de ce texte, au respect des textes européens (A). Elle a par ailleurs veillé à la bonne intégration dans le droit interne des nouvelles dispositions et au respect indispensable des normes constitutionnelles (B).

A. UNE ATTENTION PARTICULIÈRE AU RESPECT DU PÉRIMÈTRE FIXÉ PAR LES TEXTES EUROPÉENS

1. La nécessaire correction des sous-transpositions

Depuis sa décision n° 2004-496 DC du 10 juin 2004, le Conseil constitutionnel déduit de l'article 88-1 de la Constitution qu'il lui appartient, lorsqu'il est saisi d'une loi ayant pour objet de transposer en droit interne une directive communautaire, de veiller au respect de cette exigence.

Il s'attache, dans ce cadre, à ce que les dispositions législatives de transposition ne méconnaissent pas manifestement la directive qu'elles ont pour objet de transposer ^{10 ( * )} . En cas d'incompatibilité manifeste, il déclare les dispositions concernées non conforme à l'article 88-1 de la Constitution ^{11 ( * )} . Il souligne cependant que la transposition « ne saurait aller à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France, sauf à ce que le constituant y ait consenti ^{12 ( * )} ».

Aussi la conformité de la loi de transposition avec la directive relève-t-elle d'exigences de nature constitutionnelle.

En l'espèce, le projet de loi soumis à l'examen de votre commission s'est révélé, dans l'ensemble, conforme aux textes européens qu'il visait à transposer .

Votre commission n'a, en particulier, décelé aucune difficulté s'agissant du partage entre le domaine réglementaire et le domaine législatif, qui aurait risqué de placer le législateur en incompétence négative.

Elle a procédé, sur un unique point, à une modification visant à prévenir un risque de sous-transposition. Elle a en effet complété l' article 18 du projet de loi afin d'inclure dans le régime des ventes à distance et par correspondance les munitions, prévues par la directive mais exclues dans la version initiale du projet de loi.

2. Une « sur-transposition » qui peut se révéler souhaitable

Le projet de loi déposé par le Gouvernement dépasse, sur plusieurs points, le cadre prévu par la directive.

Ainsi, s'agissant du titre I ^er , la définition des opérateurs économiques essentiels proposée à l'article 5 apparaît plus large que celle prévue par la directive, ouvrant au pouvoir réglementaire la possibilité d'étendre le champ d'application des dispositions du projet de loi à un nombre plus important d'opérateurs que ce que prévoit la directive.

En ce qui concerne le titre II, le projet de loi procède à une extension du nouveau régime des transactions suspectes, qui ne serait pas limité aux seules ventes de munitions mais applicable à l'ensemble des ventes d'armes.

Votre commission considère que les mesures de « sur-transposition » ne doivent pas, par nature, faire l'objet d'une fin de non-recevoir par le Parlement. Elle estime en effet qu'il est de la fonction même du législateur d'apprécier, sur chacun des textes qui lui sont soumis, l'utilité ou la pertinence d'aller, lorsque cela apparaît utile ou nécessaire, au-delà du texte de la directive.

En l'espèce, votre commission a considéré que les « sur-transpositions » auxquelles procédaient le projet de loi soumis à son examen apparaissaient justifiées au regard de l'objectif poursuivi et n'a, en conséquence, procédé à aucune modification sur ce point.

B. DES MODIFICATIONS NÉCESSAIRES POUR ASSURER LA COHÉRENCE DES DISPOSITIFS PROPOSÉS

Si elle dispose, lorsqu'elle est saisie de textes de transposition, de peu de marges de manoeuvre compte tenu de l'obligation de transposition, votre commission s'est toutefois attachée, dans le cadre de l'examen de ce projet de loi, à assurer sa cohérence avec le cadre juridique français et a veillé à sa constitutionnalité. Elle a procédé, à cet effet, à plusieurs ajustements.

1. Le titre Ier transposant la directive « NIS » : des risques d'inconstitutionnalité à résoudre

Votre commission s'est, en premier lieu, interrogée sur l'absence de codification du titre I ^er , par comparaison avec d'autres dispositions similaires, comme celles applicables par exemple aux opérateurs d'importance vitale, qui font l'objet d'une codification au sein du code de la défense. Elle a néanmoins choisi de suivre, sur ce point, l'avis du Conseil d'État. Ce dernier a en effet considéré préférable de ne procéder à aucune codification en raison, d'une part, de la nature des mesures du titre I ^er , qui ne relèvent pas du code de la défense et, d'autre part, de la structure du code de la sécurité intérieure qui ne permet pas de procéder à une insertion facile et cohérente de nouvelles dispositions.

En revanche, votre commission a modifié plusieurs articles du titre I ^er afin d' adapter les termes juridiques européens au vocabulaire utilisé en droit français et de préciser certaines dispositions du texte .

Elle a ainsi modifié l' article 3 afin de préciser le contenu des règles de confidentialité s'imposant aux services de l'État. Elle a également amendé les articles 7 et 13 de manière à mieux encadrer les délais applicables en matière de signalement d'incidents.

Elle a enfin modifié les articles 8 et 14 afin de préciser les modalités de mise en oeuvre de l'injonction administrative en cas de manquement des entreprises concernées aux obligations qui leur incombent, ainsi que les articles 9 et 15 afin de mieux caractériser les infractions pénales prévues.

Par ailleurs, votre commission a, sur l'article 6 du projet de loi, relevé un risque sérieux d'inconstitutionnalité, sans être toutefois en mesure de le résoudre . Elle a en effet considéré qu'en ne définissant pas clairement dans la loi les obligations opposables aux opérateurs économiques essentiels, pourtant susceptibles de donner lieu à sanction pénale, le législateur prenait le risque de méconnaître le principe à valeur constitutionnelle de légalité des délits et des peines. Pour l'heure, le Gouvernement a estimé ne pas être en mesure d'établir cette liste d'obligations, les concertations étant toujours en cours au niveau interministériel.

Votre commission a pris acte de cette information et n'a, en conséquence, pas apporté de modifications à l'article. Elle attire toutefois l'attention du Gouvernement sur la nécessité d'améliorer la rédaction de cet article avant l'adoption définitive du projet de loi .

Enfin, et bien qu'il ne lui revienne pas, compte tenu de l'obligation de transposition qui lui incombe, d'apprécier l'opportunité du dispositif prévu à l'égard des opérateurs économiques essentiels et des fournisseurs de service numérique, votre commission s'est interrogée sur l'impact économique potentiel de sa mise en oeuvre .

Certes, l'instauration d'un régime d'obligations en matière de sécurité informatique à l'égard de certaines entreprises critiques apparaît, malgré son coût certain pour lesdites entreprises, pertinent au regard des risques induits par la menace cybercriminelle.

Votre commission a toutefois relevé qu'en raison de l'interdépendance de notre tissu économique, les dispositions du projet de loi devraient impacter un champ beaucoup plus large d'entreprises, et notamment des petites et moyennes entreprises par le biais de conventions de sous-traitance. L'effet sera systémique. Elle a donc souhaité appeler l'attention du Gouvernement sur la nécessité de définir des obligations adaptées et proportionnées de manière à ne pas engendrer des coûts excessifs par rapport à l'objectif poursuivi , d'autant que les entreprises devront faire face, de manière concomitante, aux coûts induits par l'entrée en vigueur du règlement européen de protection des données personnelles.

2. Le titre II transposant la directive relative à l'acquisition et à la détention des armes : des ajustements à la marge

Sur le titre II, votre commission a procédé à quelques ajustements d'ordre rédactionnel, de manière à clarifier ou préciser les rédactions proposées par le projet de loi .

Elle a, en premier lieu, modifié l' article 17 afin de clarifier le régime des dérogations à l'interdiction d'acquisition et de détention des armes de catégorie A, dont elle a jugé la rédaction ambigüe.

Poursuivant le même objectif, elle a également modifié l' article 18 afin de mieux distinguer, d'une part, les notions d'armurier et de courtier et, d'autre part, le régime des ventes entre particuliers et celui des ventes professionnelles.

Enfin, elle a procédé à plusieurs coordinations manquantes pour parfaire la transposition, en droit interne, de la suppression de la catégorie D des armes à feu.

*

* *

Au bénéfice de ces observations, votre commission a adopté le projet de loi ainsi modifié.

EXAMEN DES ARTICLES
TITRE IER - DISPOSITIONS TENDANT À TRANSPOSER LA DIRECTIVE (UE) 2016/1148 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 6 JUILLET 2016 CONCERNANT DES MESURES DESTINÉES À ASSURER UN NIVEAU ÉLEVÉ COMMUN DE SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D'INFORMATION DANS L'UNION
CHAPITRE IER - DISPOSITIONS COMMUNES

Article 1er - Définitions

L'article 1 ^er du projet de loi vise à définir les notions de « réseaux et systèmes d'information » ainsi que de « sécurité des systèmes d'information ».

Il reprend, à cet effet, les définitions proposées par le texte de la directive, qui entend :

- par réseau et système d'information , tout réseau de communication électronique, tout dispositif ou ensemble de dispositifs interconnectés et apparentés, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numérique, ainsi que les données numériques stockées, traitées, récupérées ou transmises par ces systèmes ;

- par sécurité des réseaux et systèmes d'information , « leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles ».

En l'état du droit, ces notions sont d'ores et déjà utilisées par divers textes législatifs, sans qu'il soit toutefois apparu nécessaire au législateur d'en donner une définition commune. Seule l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives définit la notion de système d'information ^{13 ( * )} , tout en lui conférant une acception fortement liée à l'objet du texte même et par conséquent difficilement généralisable à d'autres situations.

Votre rapporteur s'est interrogé sur la nécessité de prévoir une définition de niveau législatif de ces notions , d'acception assez commune. La forte évolutivité technologique semble par ailleurs rendre périlleux un tel exercice, risquant de figer une notion amenée, par les caractéristiques intrinsèques même des systèmes d'information, à changer de périmètre au fil du temps.

Il entend toutefois l'argumentaire développé par le Conseil d'État dans son avis sur le projet de loi, qui estime que l'ajout de définitions claires permet de préciser le périmètre d'application des dispositions du texte.

Un tel argument paraît d'autant plus recevable que la directive définit la notion de réseau et système d'information de manière assez large, y intégrant non seulement des dispositifs informatiques, mais également les données véhiculées par ces dispositifs.

Aussi votre commission a-t-elle adopté l'article 1 ^er sans modification .

Article 2 - Champ d'application des dispositions

L'article 2 du projet de loi précise le champ d'application des dispositions du titre I ^er , qui procède à la transposition de la directive « NIS ».

Conformément aux dispositions de la directive, il exclut du périmètre du projet de loi :

- les entreprises exploitant des réseaux de communications électroniques ouverts au public ou fournissant des services de communications électroniques accessibles au public ;

- les prestataires de services de confiance.

Il prévoit par ailleurs que les obligations prévues par le projet de loi ne seront pas applicables aux entités qui sont d'ores et déjà soumises, en application de normes européennes sectorielles, à des exigences en matière de sécurité des systèmes d'information, dès lors que ces exigences sont au moins équivalentes à celles exigées par le projet de loi. La directive cite dans ses considérants, à titre d'exemples, deux secteurs qui font déjà l'objet d'une réglementation en matière de sécurité des systèmes d'information : le secteur des transports par voie d'eau et celui de la banque et des infrastructures de marchés financiers.

Outre la nécessité de se conformer au texte de la directive, une telle précision dans la loi est rendue nécessaire pour permettre aux fournisseurs de service numérique, qui ne seront pas, contrairement aux opérateurs économiques essentiels, nominativement désignés ( voir infra ), d'identifier s'ils entrent, ou non, dans le champ d'application de la directive.

À l'initiative de son rapporteur, votre commission a adopté un amendement COM-1 afin de remplacer la notion d'« entreprises exploitant des réseaux de communications électroniques ouverts au public ou fournissant des services de communications électroniques accessibles au public » par celle d'« opérateurs mentionnés au 15° de l'article L. 32 du code des postes et des communications électroniques », afin d'harmoniser les définitions entre textes législatifs.

Elle a par ailleurs, par le même amendement simplifié la rédaction du second alinéa de l'article de manière à le rendre plus intelligible.

Votre commission a adopté l'article 2 ainsi modifié .

Article 3 - Règles de confidentialité

L'article 3 du projet de loi vise à préciser les règles de confidentialité qui s'imposent à l'administration, ainsi qu'aux prestataires de services qu'elle habilite, dans le cadre des activités qu'ils exercent en application des dispositions du projet de loi.

• Confidentialité des données collectées à l'occasion des contrôles

La directive « NIS » prévoit que chaque État membre définisse des règles afin de garantir la confidentialité des données et des informations auxquelles les services de l'État ainsi que les prestataires de service habilités à cet effet sont susceptibles d'avoir accès à l'occasion des contrôles qu'ils effectuent auprès des opérateurs économiques essentiels et des fournisseurs de service numérique.

En l'état du droit, les agents publics, de même que les services de l'État, sont d'ores et déjà soumis à des exigences strictes de confidentialité dans l'exercice de leurs fonctions. En effet, en vertu de l'article 26 de la loi n° 83-634 du 11 juillet 1983 portant droits et obligations des fonctionnaires, les agents publics sont tenus au secret professionnel et soumis à une obligation de discrétion professionnelle « pour tous les faits, informations ou documents dont ils ont connaissance dans l'exercice ou à l'occasion de l'exercice de leurs fonctions ».

Au demeurant, l'article L. 311-6 du code des relations entre le public et l'administration dispose que ne sont communicables qu'à la personne, physique ou morale, intéressée, les documents administratifs qui porteraient atteinte aux « informations économiques et financières » et aux « stratégies commerciales et industrielles ». Cette disposition garantit notamment la confidentialité des rapports d'audit des réseaux et systèmes d'information de certaines entités produits par l'administration en application des articles 8 et 14 du projet de loi.

Ces dispositions répondent à l'exigence de confidentialité des administrations publiques imposées par la directive . Qui plus est, par souci d'unicité du régime de secret professionnel et de discrétion professionnelle, votre commission partage le choix effectué par le Gouvernement de ne pas définir dans le projet de loi les obligations s'imposant à l'État en matière de confidentialité et de renvoyer aux dispositions existantes.

En revanche, aucune disposition législative générale ne s'impose aux prestataires de services privés auxquels est délégué l'accomplissement de missions de service public. L'article 3 du projet de loi prévoit donc, à cet effet, que les prestataires de services habilités à effectuer des contrôles dans le cadre des dispositions du texte respectent les mêmes règles de confidentialité que celles qui s'imposent aux services de l'État.

De manière à clarifier le champ de cette obligation, votre commission a adopté l' amendement COM-2 de son rapporteur qui complète, d'une part, les règles de confidentialité par la notion de discrétion professionnelle et précise, d'autre part, que les règles visées sont celles s'imposant aux services de l'État ainsi qu'aux agents publics.

• Obligations de confidentialité en cas de communication sur un incident

Dans les conditions définies aux articles 7 et 13 du projet de loi, le Premier ministre peut informer le public ou un autre État membre d'un incident impactant le système d'information d'un opérateur économique essentiel ou d'un fournisseur de service numérique.

Conformément aux dispositions de la directive, le second alinéa de l'article 3 du projet de loi prévoit que l'État soit attentif, lorsqu'il procède à une telle information, aux intérêts économiques de ces entités et « à ne pas révéler d'informations susceptibles de porter atteinte à leur sécurité et au respect en matière industrielle et commerciale ».

Cette précision ne s'applique en revanche pas aux prestataires de service habilités qui ne sont pas autorisés à communiquer sur un incident.

Par le même amendement COM-2 de son rapporteur, votre commission a préféré remplacer le terme « État », peu intelligible dans le cas considéré, par l'expression « autorité administrative compétente ».

Votre commission a adopté l'article 3 ainsi modifié .

Article 4 - Application réglementaire

L'article 4 prévoit que les modalités d'application du titre I ^er du projet de loi doivent être déterminées par décret en Conseil d'État.

Il précise que ce décret fixe notamment la liste des services essentiels au fonctionnement de la société ou de l'économie mentionnés à l'article 5 du projet de loi.

Par un amendement COM-3 de son rapporteur, votre commission a complété cet article afin d'indiquer que ce décret précisera également, pour chacun des domaines mentionnés à l'article 12, la nature des mesures de sécurité qui devront être mises en oeuvre par les fournisseurs de service numérique (voir le commentaire de l'article 12).

Votre commission a adopté l'amendement 4 ainsi modifié .

CHAPITRE II- DISPOSITIONS RELATIVES À LA SÉCURITÉ DES RÉSEAUX ET SYSTÈMES D'INFORMATION DES OPÉRATEURS DE SERVICES ESSENTIELS

Article 5 - Définition des opérateurs économiques essentiels

L'article 5 du projet de loi précise la notion d'opérateurs économiques essentiels et fixe les modalités de leur désignation.

• Une catégorie d'opérateurs au périmètre potentiellement assez large

Conformément à la définition qu'en donne la directive, un opérateur économique essentiel est une entité, publique ou privée, qui répond à trois critères.

Son activité doit tout d'abord inclure la fourniture de services essentiels au fonctionnement de la société et de l'économie , services dont la liste sera fixée, comme le prévoit l'article 4 du projet de loi, par décret en Conseil d'État.

La directive identifie sept secteurs répondant à la notion de services économiques essentiels : l'énergie, les transports, les banques, les infrastructures et marchés financiers, la santé, la fourniture et la distribution d'eau potable et les infrastructures numériques.

Le Gouvernement prévoit toutefois d'élargir cette liste à d'autres secteurs . La définition proposée par l'article 5 de services économiques essentiels est d'ailleurs plus large que celle utilisée par la directive, qui n'inclut que les services essentiels « au maintien d'activités sociétales et/ou économiques critiques ».

Selon les informations communiquées à votre rapporteur, pourraient être inclus dans le champ des services économiques essentiels les secteurs du tourisme, de l'agroalimentaire, des assurances, des affaires sociales et de la construction automobile. S'il note que l'extension des secteurs concernés par l'application des dispositions introduites n'est pas contraire à l'esprit du texte européen, qui n'exclut pas la possibilité pour les États membres d'étendre l'application de ses dispositions ^{14 ( * )} , votre rapporteur souhaite attirer l'attention du Gouvernement sur la nécessité de ne pas élargir outre mesure cette liste. Il en va aussi de l'efficacité de la capacité de l'État à assurer le contrôle des obligations imposées, et donc de l'efficacité du dispositif.

Deuxième critère d'identification, la fourniture desdits services essentiels doit reposer sur l'utilisation de réseaux et systèmes d'information . Selon les termes de la directive, entrent dans le champ d'application non seulement les réseaux et systèmes d'information internes à l'opérateur, mais également ceux de prestataires de service en cas d'externalisation des services informatiques par l'opérateur, voire de sous-traitants qui participeraient à la fourniture desdits services essentiels. Comme il l'a indiqué dans son exposé général, votre rapporteur note que le champ d'application du projet de loi pourrait en conséquence avoir, en raison du fonctionnement capillaire de l'économie, un impact beaucoup plus large que celui annoncé par le Gouvernement.

Enfin, troisième et dernier critère, tout incident affectant ces réseaux et systèmes d'information doit être susceptible d'entraîner une perturbation grave des services essentiels qu'il fournit. L'étude d'impact du projet de loi indique, à cet égard, qu'un décret en Conseil d'État précisera, sur le fondement des dispositions prévues par la directive, les critères permettant de déterminer l'importance de la perturbation d'un service essentiel en cas d'incident.

Sur ce dernier critère, votre rapporteur constate que le projet de loi ne reprend pas la notion d'« effet disruptif » utilisée par la directive. S'il consent que l'utilisation de ces termes en droit interne risquerait de nuire à l'intelligibilité du texte, il regrette toutefois que le projet de loi recoure à des expressions différentes ^{15 ( * )} , selon les articles, pour transposer cette notion. Aussi, afin d'assurer une meilleure homogénéité et une plus grande cohérence du texte, votre commission a-t-elle adopté l' amendement COM-4 rect. de son rapporteur qui substitue à la notion de « perturbation grave » celle de « rupture de continuité de service » et procède à quelques améliorations d'ordre rédactionnel.

Selon les termes de l'article 5 du projet de loi, les opérateurs de services essentiels seront nominativement désignés par un arrêté du Premier ministre , sur la base des critères précédemment exposés. La liste devrait faire l'objet d'une mise à jour régulière, au minimum tous les deux ans, comme l'impose la directive.

Interrogé par votre rapporteur, le Secrétariat général de la défense et de la sécurité nationale (SGDSN), qui sera amené à piloter le dispositif prévu par le projet de loi, a indiqué ne pas être, pour l'heure, en mesure de fournir une liste des entités susceptibles d'être désignées comme opérateurs économiques essentiels, tout en précisant que plusieurs centaines d'entreprises pourraient être concernées ^{16 ( * )} .

• L'exclusion des opérateurs d'importance vitale (OIV) du champ d'application du projet de loi

L'article 5 du projet de loi exclut du périmètre des opérateurs économiques essentiels les entités d'ores et déjà désignées comme étant des opérateurs d'importance vitale.

Définis à l'article L. 1332-1 du code de la défense, les OIV sont des « opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ».

S'ils sont susceptibles, du moins pour certains d'entre eux, de répondre à la définition des opérateurs économiques essentiels, le Gouvernement a opté pour le maintien de deux régimes distincts.

De l'avis de votre rapporteur, cette exclusion ne soulève pas de difficulté majeure s'agissant de sa compatibilité avec le droit de l'Union européenne, la directive autorisant, comme rappelé précédemment, les États membres à adopter ou maintenir des dispositifs d'ores et déjà en vigueur, dès lors qu'ils contribuent à atteindre un niveau de cyber-sécurité plus élevé.

En l'espèce, les OIV, dont le nombre avoisine les 250, sont soumis, en application des articles L. 1332-6-1 à L. 1332-6-6 du code de la défense, à des règles en matière de sécurité des systèmes d'information, dont il a été indiqué à votre rapporteur au cours de ses auditions qu'elles étaient plus strictes que celles qui seraient appliquées aux opérateurs économiques essentiels.

Ils se voient également appliquer une obligation de signalement des incidents ainsi qu'un régime de contrôle des obligations qui leur incombent de même nature que celui prévu par le projet de loi pour les opérateurs économiques essentiels. Enfin, ils encourent, en cas de manquement à ces obligations, des sanctions pénales.

Au demeurant, votre rapporteur constate qu'il serait peu opportun de fusionner les notions d'opérateurs économiques essentiels et d'opérateurs d'importance vitale . Le régime applicable aux OIV, destiné à assurer leur protection contre tout acte malveillant ou contre les risques naturels, technologiques ou sanitaires, est en effet plus large que celui prévu par le projet de loi et inclut des obligations qui vont au-delà de la sécurité des réseaux et systèmes d'information, par exemple en matière de sécurité physique de leurs infrastructures et bâtiments.

Par le même amendement COM-4 rect. , votre commission a toutefois apporté une légère modification au second alinéa de l'article 5, estimant préférable de viser les opérateurs d'importance vitale plutôt que leurs systèmes d'information.

Votre commission a adopté l'article 5 ainsi modifié.

Article 6 -Règles minimales en matière de protection des réseaux et systèmes d'information

L'article 6 du projet de loi détermine le régime d'obligations appliqué aux opérateurs économiques essentiels en matière de sécurité des réseaux et systèmes d'information.

Selon les termes de l'article, ces opérateurs seraient, en raison de la sensibilité des services qu'ils fournissent, tenus de respecter certaines règles nécessaires pour garantir un niveau de sécurité des réseaux et systèmes d'information adapté, en l'état de l'art, au risque existant.

Ces règles comprendraient notamment la mise en oeuvre de mesures destinées à prévenir les incidents susceptibles d'affecter les réseaux et systèmes d'information et d'en limiter l'impact, y compris l'utilisation de dispositifs matériels ou logiciels ou de services informatiques certifiés.

Il est prévu que ces règles soient fixées par le Premier ministre.

Enfin, l'article prévoit que les opérateurs seraient tenus de mettre en oeuvre les mesures prévues par la voie réglementaire à leurs frais.

• Un risque important d'inconstitutionnalité

Le régime prévu par le chapitre II du titre I ^er pour les opérateurs économiques essentiels prévoit une responsabilité pénale de l'opérateur en cas de manquement constaté, à l'occasion d'un contrôle effectué auprès d'un opérateur en application de l'article 8, aux règles et mesures de sécurité qui lui incombent en application de l'article 6, lorsque ce manquement n'est pas corrigé dans le délai fixé par l'autorité administrative par mise en demeure. L'article 9 du projet de loi fixe la peine d'amende encourue à 100 000 euros.

Votre rapporteur constate que ce régime est susceptible d'être jugé contraire à la Constitution, dans la mesure où il porterait atteinte au principe à valeur constitutionnelle de légalité des délits et des peines.

Selon une jurisprudence constante, le Conseil constitutionnel estime en effet que « le législateur tient de l'article 34 de la Constitution, ainsi que du principe de légalité des délits et des peines qui résulte de l'article 8 de la Déclaration des droits de l'homme et du citoyen de 1789 , l'obligation de fixer lui-même le champ d'application de la loi pénale et de définir les crimes et délits en termes suffisamment clairs et précis » ^{17 ( * )} .

À l'exception de la matière contraventionnelle, qui relève du domaine réglementaire lorsque les peines prévues ne comportent pas de mesures privatives de liberté ^{18 ( * )} , le législateur est seul habilité à définir les infractions et à fixer les peines qui leur sont applicables.

Il doit, au demeurant, veiller à ne pas faire preuve d'incompétence négative en s'efforçant de définir, de manière suffisamment précise, tous les éléments constitutifs d'une infraction. Le Conseil constitutionnel rappelle ainsi qu'« aux termes de l'article 8 de la Déclaration des droits de l'homme et du citoyen de 1789 nul ne peut être puni qu'en vertu d'une loi établie et promulguée antérieurement au délit et légalement appliquée » et « qu'il en résulte la nécessité pour le législateur de définir les infractions en termes suffisamment clairs et précis pour exclure l'arbitraire ».

Le Conseil constitutionnel a pu, par le passé, sembler admettre une exception au principe de légalité de la loi pénale . Il estimait ainsi, dans sa décision n° 82-143 DC du 30 juillet 1982, qu'« aucun principe ou règle à valeur constitutionnelle n'interdit au législateur d'ériger en infractions le manquement à des obligations qui ne résultent pas directement de la loi elle-même » et reconnaissait, de ce fait, la constitutionnalité de l'incrimination de manquements à des obligations fixées par une convention collective.

Les évolutions jurisprudentielles récentes paraissent toutefois avoir eu raison de cet assouplissement.

Dans sa décision n° 2016-741 DC du 8 décembre 2016, le Conseil constitutionnel a en effet estimé, s'agissant des sanctions encourues par les représentants d'intérêts en cas de violation de règles déterminées par les bureaux des assemblées, qu'« en édictant des délits réprimant la méconnaissance d'obligations dont le contenu n'est pas défini par la loi, mais par le bureau de chaque assemblée parlementaire, le législateur a méconnu le principe de légalité des délits et des peines ».

Plus récemment, appelé à se prononcer sur des dispositions sanctionnant les manquements aux obligations de vigilance s'imposant à certaines entreprises, il a, selon la même logique, précisé, que « dès lors qu'il assortissait les obligations qu'il posait d'une sanction ayant le caractère de punition », le législateur était tenu de « définir celles-ci en termes suffisamment clairs et précis » ^{19 ( * )} ; aussi a-t-il, dans le cas considéré, censuré les dispositions précitées en raison, d'une part, de l'imprécision des obligations fixées par la loi, d'autre part, de la délégation concédée au pouvoir réglementaire pour compléter les obligations fixées par la loi.

En l'espèce, dès lors que les manquements aux obligations qui s'imposeront aux opérateurs économiques essentiels sont susceptibles d'être sanctionnés pénalement, il apparaît indispensable de définir, au sein de l'article 6 du projet de loi, les règles et les mesures qui s'imposeront aux opérateurs concernés. Compte tenu de la technicité du sujet, il pourrait a minima être envisagé d'inscrire dans la loi les catégories de mesures qui devront être mises en oeuvre par les opérateurs, catégories qui pourront, en tout état de cause, être précisées de manière réglementaire ^{20 ( * )} .

Le Secrétariat général de la défense et de la sécurité nationale (SGDSN) a toutefois indiqué à votre rapporteur qu'il lui était impossible de définir précisément, à ce stade, les catégories de mesures de sécurité qui seront imposées aux opérateurs économiques essentiels, les consultations au niveau ministériel n'étant pas encore, à ce jour, achevées.

Votre rapporteur regrette fortement ce décalage entre le dépôt du projet de loi de transposition et l'état de la réflexion au niveau ministériel, qui nuit à la qualité des travaux et du débat au Parlement. Il constate toutefois ne pas être en mesure, à ce stade, d'apporter les précisions nécessaires à cet article 6 pour assurer la constitutionnalité du dispositif.

Dès lors, tout en pointant l'inconstitutionnalité du dispositif actuel, votre commission considère préférable de renvoyer aux travaux parlementaires à venir la modification de cet article et invite, à cet égard, le Gouvernement à lui soumettre le plus rapidement possible une liste des catégories de mesures de sécurité qui seront imposées aux opérateurs économiques essentiels.

• Un impact économique significatif pour les entreprises

Comme mentionné précédemment, l'article 6 prévoit que la mise en oeuvre des mesures de sécurité sera à la charge financière des opérateurs auxquelles elles s'imposent.

Votre rapporteur s'est interrogé sur l'impact économique de ces mesures et sur leur caractère soutenable pour les entreprises concernées. Selon les informations qui lui ont été communiquées, la liste des opérateurs économiques essentiels devrait principalement recouvrir des entreprises de taille conséquente, qui ne devraient pas rencontrer de difficultés majeures à absorber les coûts d'investissement supplémentaires engendrés par l'application de ces nouvelles règles, estimés entre 1 à 2 millions d'euros par an et par entreprise.

Entendu par votre rapporteur, le Medef s'est en revanche inquiété de l'impact de ces nouvelles règles pour les entreprises sous-traitantes des opérateurs économiques essentiels qui seront pour certaines concernées, en cascade, par ces nouvelles mesures de sécurité. Or, ces entreprises sont généralement des petites et moyennes entreprises, pour lesquelles les coûts estimatifs précédemment indiqués pourraient se révéler prohibitifs.

Sans nier l'impact financier pour les entreprises concernées, le Gouvernement rappelle que les coûts engendrés par un incident affectant les systèmes d'information se révèlent généralement bien supérieurs aux frais engagés pour des dispositifs de protection, comme le démontre par exemple l'expérience de l'entreprise Saint-Gobain évoquée dans l'exposé général.

S'il entend cet argument, votre rapporteur attire toutefois l'attention du Gouvernement sur la nécessité de privilégier la mise en oeuvre de mesures de sécurité adaptées et proportionnées au risque effectivement encouru par ces structures, afin de limiter les coûts induits.

Votre commission a adopté l'article 6 sans modification .

Article 7 - Obligation de signalement des incidents

L'article 7 du projet de loi introduit, à l'égard des opérateurs économiques essentiels, une obligation de signalement à l'agence nationale de sécurité des systèmes d'information (ANSSI) des incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture des services essentiels et fixe les conditions dans lesquelles l'administration est autorisée à communiquer sur un tel incident.

En vertu des dispositions de cet article, les opérateurs seraient tenus de signaler, « sans retard injustifié », tous les incidents qui ont ou sont susceptibles d'avoir un impact significatif sur la continuité des services essentiels qu'ils fournissent. Conformément à la directive, l'article caractérise la notion d'« impact significatif », en précisant qu'il s'apprécierait notamment au regard du nombre d'utilisateurs et de la zone géographique touchés, ainsi que de la durée de l'incident. Les modalités pratiques de signalement de l'incident seraient fixées par décret en Conseil d'État.

Votre rapporteur note que le projet de loi procède, sur ce point, à une sur-transposition par rapport au texte de la directive . Cette dernière limite en effet l'obligation de signalement aux incidents qui ont un impact significatif sur la fourniture des services essentiels et n'impose en revanche aucune obligation pour les incidents seulement susceptibles d'avoir un impact sur la fourniture des services considérés. Ce faisant, le Gouvernement a souhaité renforcer le volet préventif du dispositif. Votre rapporteur juge cet ajout pertinent, dans la mesure où il devrait permettre à l'ANSSI d'intervenir le plus en amont possible pour limiter l'impact d'un incident ou d'une attaque informatique.

À son initiative, votre commission a toutefois adopté un amendement COM-5 afin de mieux encadrer les délais de signalement à l'ANSSI. Comme l'ont relevé plusieurs acteurs entendus par votre rapporteur, la détection d'intrusions informatiques dans un système d'information prend parfois plusieurs mois. Il lui est donc apparu indispensable de préciser que l'obligation de signalement ne serait opposable aux entreprises qu'à compter de la découverte de l'incident, comme cela est notamment le cas dans le règlement général sur la protection des données personnelles ^{21 ( * )} . L'amendement substitue par ailleurs à l'expression « sans retard injustifié » celle de « sans délai », plus communément employée dans le droit interne.

Lors de son audition par votre rapporteur, le Medef a relevé que les entreprises éprouvaient de plus en plus de difficultés à concilier des obligations de signalement d'incidents de sécurité de nature similaire, imposés par différents textes juridiques (le règlement général de protection des données personnelles, la réglementation sur les opérateurs de communications électroniques, le règlement européen ePrivacy , etc .). Ainsi, dans le cas d'un incident affectant un traitement de données à caractère personnel dans le domaine de la santé, une entreprise est contrainte d'effectuer une déclaration auprès de l'ANSSI, de la Commission nationale de l'informatique et des libertés (CNIL) et de l'agence régionale de santé. Bien que la rationalisation de ces dispositifs dépasse le cadre du projet de loi, votre rapporteur estime qu'il pourrait être nécessaire de conduire une réflexion afin de simplifier, pour les entreprises, ces procédures de signalement.

L'article 7 détermine par ailleurs, comme l'exige la directive, les conditions dans lesquelles il peut être procédé à une information en cas de survenance d'un incident .

Le Premier ministre serait ainsi autorisé à informer le public d'un incident, lorsque cette information est nécessaire pour le prévenir ou le traiter. Compte tenu de la confidentialité potentielle des informations concernées, une consultation préalable de l'opérateur impacté est prévue. Par ailleurs, dans les cas où un incident aurait un impact transfrontalier, le Premier ministre serait tenu d'en informer les autorités compétentes des États membres impactés.

Les autorités publiques seraient en tout état de cause soumises, pour l'application de ces dispositions, aux règles de confidentialité prévues par l'article 3 du projet de loi (cf. ci-dessus).

Alors que la directive confère ce pouvoir d'information à l'autorité compétente en matière de sécurité des systèmes d'information - qui n'est autre que l'ANSSI en France -, on peut s'interroger sur le choix fait par le Gouvernement d'élever cette prérogative au niveau du Premier ministre. En effet, dès lors que l'ANSSI serait désignée comme l'autorité compétente pour recueillir les déclarations d'incidents, il paraîtrait plus opportun de lui conférer également la prérogative de procéder, lorsque cela apparaît nécessaire, à une information du public ou d'un autre État membre. Par le même amendement COM-5 de son rapporteur, votre commission a donc modifié le second alinéa de l'article 7 afin de substituer aux termes « Premier ministre » les termes « autorité administrative », laissant ainsi une marge de manoeuvre au pouvoir réglementaire pour préciser les autorités compétentes pour procéder à cette information ainsi que les délégations qui pourront, le cas échéant, être mises en place. L'ANSSI étant un service administratif rattaché au Premier ministre, et non une autorité administrative indépendante, la responsabilité de la décision d'information n'en sera pas modifiée.

Votre commission a adopté l'article 7 ainsi modifié .

Article 8 - Modalités de contrôle

L'article 8 du projet de loi prévoit la possibilité pour l'autorité administrative d'effectuer des contrôles auprès des opérateurs de services essentiels à des fins de vérification de la mise en oeuvre des obligations qui leur incombent.

Diligentés sur décision du Premier ministre, ces contrôles, effectués sur pièce et sur place, seraient assurés par l'ANSSI ou par des prestataires de service spécifiquement habilités à cet effet.

Selon les informations communiquées à votre rapporteur, l'ANSSI recourt d'ores et déjà, notamment dans le cadre du dispositif prévu pour les opérateurs d'importance vitale par l'article L. 1332-6-3 du code de la défense, à des prestataires de confiance pour la réalisation de certaines tâches ou contrôles. S'il n'est pas prévu par la directive, un tel système de délégation apparaît néanmoins nécessaire afin d'assurer l'effectivité du dispositif de contrôle. En effet, compte tenu du nombre d'opérateurs susceptibles d'être désignés, évalué, comme mentionné ci-dessus, à plusieurs centaines, il apparaît illusoire de confier à l'ANSSI seule le soin de procéder à de tels contrôles.

Afin de faciliter ces contrôles, l'article 8 prévoit, à l'égard des opérateurs, une obligation de transmission, à l'autorité ou au prestataire responsable du contrôle, de toutes les informations et éléments nécessaires , y compris de documents présentant un niveau élevé de confidentialité, notamment ceux relatifs à leur politique de sécurité et les résultats d'audit de sécurité. Les équipes chargées d'effectuer le contrôle devraient par ailleurs être en mesure d'accéder aux réseaux et systèmes d'information de l'opérateur de manière à effectuer les analyses et relevés techniques nécessaires.

Les coûts des contrôles seraient assumés par les opérateurs . Selon les informations communiquées à votre rapporteur par le Secrétariat général de la défense et de la sécurité nationale, un arrêté fixera les modalités de facturation aux opérateurs de ces contrôles. Il lui a été indiqué que le coût estimé pourrait s'élever à 1 200 euros/jour/homme. Cette charge, bien que non négligeable pour les entreprises, ne paraît pas, de l'avis de votre rapporteur, disproportionnée au regard, d'une part, de la capacité des opérateurs économiques essentiels à l'absorber, d'autre part du fait que les contrôles menés auprès d'un même opérateur devraient être assez espacés dans le temps.

Enfin, l'article confère à l'ANSSI, en cas de manquement constaté à l'occasion d'un contrôle, un pouvoir d'injonction administrative lui permettant de mettre en demeure l'opérateur concerné de se conformer aux obligations de sécurité fixées par la loi.

À l'initiative de son rapporteur, votre commission a réécrit, par un amendement COM-6 , le dispositif d'injonction prévu, de manière à le rendre plus intelligible. En effet, en application de l'article 9 du projet de loi, les opérateurs encourraient une peine d'amende s'ils ne se mettaient pas en conformité, en cas de manquement constaté à l'occasion d'un contrôle, avec les obligations prévues par la loi dans le délai fixé par la mise en demeure. Aussi, lui est-il apparu, en vertu du principe à valeur constitutionnelle de légalité des délits et des peines précité, indispensable de fixer dans des termes suffisamment clairs et précis le dispositif de l'injonction, et notamment d'encadrer la fixation du délai de la mise en demeure.

Par le même amendement COM-6 , votre commission a par ailleurs procédé à plusieurs modifications d'ordre rédactionnel.

Votre commission a adopté l'article 8 ainsi modifié .

Article 9 - Sanctions pénales

L'article 9 du projet de loi fixe les sanctions pénales encourues par les opérateurs économiques essentiels en cas de manquement aux obligations fixées par le projet de loi.

La directive « NIS » impose aux États membres de mettre en oeuvre un régime de sanctions « effectives, dissuasives et proportionnées » ^{22 ( * )} afin de garantir le respect du socle minimal commun de règles qu'elle définit en matière de sécurité des systèmes d'information. Elle laisse en revanche chaque État membre libre de définir les sanctions qui lui paraissent les plus adaptées afin de faire respecter ces obligations sur son territoire.

L'article 9 crée, en conséquence, trois infractions :

- le manquement aux règles et mesures de sécurité fixées par l'article 6, rappelées à l'occasion d'une injonction administrative et non corrigé dans le délai fixé par la mise en demeure, serait puni d'une peine d'amende de 100 000 euros ;

- le non-respect de l'obligation de signalement d'un incident à l'ANSSI serait puni d'une amende de 75 000 euros ;

- le fait de faire obstacle aux opérations de contrôles effectuées par l'ANSSI ou un prestataire habilité serait puni d'une amende de 125 000 euros.

La responsabilité pénale incomberait aux dirigeants des opérateurs concernés. Conformément aux principes généraux du droit pénal, la responsabilité de la personne morale pourrait également être engagée à titre subsidiaire pour les infractions commises, pour leur compte, par leurs organes ou représentants, comme le prévoit l'article 121-2 du code pénal.

• Sanctions pénales vs. sanctions administratives ?

Votre rapporteur s'est interrogé sur le choix du Gouvernement de définir des sanctions pénales. En effet, compte tenu de la nature des obligations imposées, des modalités du contrôle des opérateurs, qui relève exclusivement de l'autorité administrative, ainsi que de la nature des peines prévues (amendes), un régime de sanctions administratives aurait pu se révéler tout aussi adapté.

Ainsi, il aurait pu être imaginé de confier à l'ANSSI, qui se voit d'ores et déjà conférer un pouvoir d'injonction administrative à l'égard des opérateurs de services essentiels, des pouvoirs de sanction, lui permettant de décider d'une amende en cas de manquement à certaines obligations constatées à l'occasion de ces contrôles. Un tel pouvoir de sanction a par exemple récemment été attribué, par la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, à l'Agence française de lutte contre la corruption, chargée de sanctionner tout manquement aux obligations de prévention des faits de corruption et de trafic d'influence au sein des entreprises.

Qui plus est, un régime de sanctions administratives offre plus de souplesse qu'un régime de sanctions pénales, l'engorgement des tribunaux correctionnels engendrant des délais souvent longs de traitement des dossiers.

Interrogé sur ce point par votre rapporteur, le Gouvernement a toutefois jugé préférable d'aligner le régime de sanctions des opérateurs économiques essentiels sur celui des opérateurs d'importance vitale prévu par le code de la défense. Les obligations imposées aux OIV ainsi que les manquements potentiels à ces obligations étant de même nature que pour les opérateurs économiques essentiels, il est en effet apparu pertinent de prévoir un régime de sanctions similaire.

Votre rapporteur entend cet argument et observe que la mise en place d'un nouveau régime de sanctions, y compris pour les OIV, ferait courir le risque de sortir de l'objet du projet de loi.

• Des sanctions proportionnées

Comme indiqué par le SGDSN, les sanctions prévues par l'article 9 du projet de loi ont été établies par comparaison avec le régime de sanctions appliqué aux OIV. Ainsi, les peines d'amende encourues par les opérateurs économiques essentiels, pour lesquels une interruption de service aurait un impact moindre pour la société et l'économie que s'il s'agissait d'un service fourni par un opérateur d'importance vitale, sont moins élevées que celles prévues par l'article L. 1332-7 du code de la défense, qui s'élèvent, pour tout manquement aux règles de sécurité informatique et obligation de signalement, à 150 000 euros.

Les peines apparaissent par ailleurs proportionnées par rapport à d'autres sanctions économiques prévues par la loi à l'encontre d'entreprises. Ainsi, s'agissant des obligations incombant aux entreprises en matière de lutte contre la corruption précitées, les sanctions pécuniaires appliquées peuvent atteindre 200 000 euros. De même, en matière de protection des données à caractère personnel, les manquements aux obligations de sécurité qui s'imposent aux responsables de traitements de données à caractère personnel ^{23 ( * )} sont punis, en vertu de l'article 226-17 du code pénal, de cinq ans d'emprisonnement et de 300 000 euros d'amende.

À l'initiative de son rapporteur, votre commission a adopté un amendement COM-7 d'amélioration rédactionnelle, par coordination avec les modifications qu'elle a apportées à l'article 8.

• Quelle responsabilité des prestataires et des sous-traitants participant à la fourniture d'un service essentiel ?

Comme indiqué précédemment, les obligations imposées aux opérateurs économiques essentiels en matière de sécurité de leurs systèmes d'information concernent tous les réseaux et systèmes d'information participant à la fourniture du service essentiel, et risquent donc d'impacter, de manière indirecte, les prestataires de ces opérateurs, par exemple en cas d'externalisation de services informatiques, ou leurs sous-traitants dès lors qu'ils participeraient à la fourniture de ces services essentiels.

Votre rapporteur constate toutefois qu'en vertu des principes de la responsabilité pénale, qui prévoient que « nul n'est responsable pénalement que de son propre fait » ^{24 ( * )} , les opérateurs économiques essentiels ne devraient pouvoir être tenus pénalement responsables des manquements de leurs prestataires ou de leurs sous-traitants , dès lors qu'ils auraient, dans le cadre de leurs relations contractuelles, pris toutes les dispositions nécessaires afin de faire appliquer les mesures de sécurité auxquels ils sont soumis.

Il ne lui est toutefois pas apparu opportun d'introduire, en la matière, une obligation particulière de vigilance pour les opérateurs économiques essentiels à l'égard de leurs prestataires ou de leurs sous-traitants ni d'étendre, en conséquence, le champ de leur responsabilité.

Votre rapporteur n'a pas non plus estimé souhaitable de prévoir, en l'état, un régime spécifique de responsabilité pour les sous-traitants et les prestataires. Outre le fait que cela conduirait le législateur à aller bien au-delà des dispositions de la directive, il relève que l'application des peines d'amende prévues par le projet de loi à des entreprises de dimension réduite qui, de surcroît, ne sont pas directement visées par la directive, pourrait se révéler disproportionnée.

Votre commission a adopté l'article 9 ainsi modifié .

CHAPITRE III - DISPOSITIONS RELATIVES À LA SÉCURITÉ DES RÉSEAUX ET SYSTÈMES D'INFORMATION DES FOURNISSEURS DE SERVICE NUMÉRIQUE

Article 10 - Définition des fournisseurs de service numérique

L'article 10 du projet de loi définit les notions de service numérique et de fournisseur de service numérique.

Il reprend, à cet effet, les définitions qu'en donne la directive européenne.

Ainsi, serait entendu, par service numérique, tout service fourni à titre non gracieux, à distance et par voie électronique, à une personne qui en fait la demande.

Un fournisseur de service numérique désignerait toute personne morale fournissant l'un des trois services suivants :

- un service de place de marché en ligne , qui permet à des consommateurs ou à des professionnels de conclure des contrats de vente ou des services en ligne avec des professionnels ;

- un moteur de recherche en ligne , dont la fonction est de permettre aux utilisateurs d'effectuer des recherches sur Internet ;

- un service d'informatique en nuage (service de « cloud »), c'est-à-dire un service qui permet l'accès, à distance et depuis n'importe quel poste informatique connecté à Internet, à un ensemble de ressources informatiques partagées.

La définition, dans la loi, de ces notions apparaît nécessaire afin de préciser le champ d'application des dispositions du texte. En effet, contrairement aux opérateurs de services essentiels, les fournisseurs de service numérique ne seront pas nominativement désignés par le pouvoir réglementaire. Il est, en conséquence, indispensable que la loi détermine de manière précise les personnes morales qui seront concernées par les obligations qu'elle fixe.

À l'initiative de son rapporteur, votre commission a adopté un amendement COM-8 qui procède à la correction d'une erreur de référence au sein de l'article.

Votre commission a adopté l'article 10 ainsi modifié .

Article 11 - Champ d'application des dispositions du chapitre III

L'article 11 du projet de loi vise à préciser le champ d'application des dispositions prévues par le chapitre III à l'égard des fournisseurs de service numérique.

En premier lieu, il précise que ne seront concernées par les obligations prévues que les fournisseurs de service numérique qui offrent leurs services au sein de l'Union européenne et qui, soit ont leur siège social en France, soit, bien que non établis dans un État membre de l'Union européenne, ont un représentant légal sur le territoire français.

Cet ancrage territorial est nécessaire pour que les obligations prévues par la loi puissent être opposées à une entreprise et que les autorités nationales compétentes bénéficient d'un interlocuteur pour assurer la gestion des incidents. Il permet également d'assurer l'articulation du dispositif introduit en droit interne avec ceux qui seront mis en oeuvre dans les autres États membres de l'Union européenne. En effet, un fournisseur de service numérique qui offrirait ses services en France mais qui aurait son siège social dans un autre État membre ne pourrait raisonnablement se voir imposer un double régime d'obligations, en France et dans cet autre État membre.

Conformément à la directive, l'implantation physique des réseaux et des systèmes d'information dans l'Union européenne ne constitue en revanche pas une condition pour déterminer l'application des obligations à un fournisseur de service numérique ; dès lors que celui-ci offre ses services sur le territoire européen, il est tenu par les obligations fixées par la loi.

Votre rapporteur relève toutefois qu' il existe, avec la rédaction proposée par le Gouvernement, un risque que certaines entreprises échappent à l'application de la loi . En effet, la directive 2016/1148 prévoit que tout fournisseur de service numérique offrant ses services sur le territoire de l'Union européenne soit contraint de désigner un représentant légal si son siège social n'est pas implanté dans l'un des États membres de l'Union européenne. Elle fixe, en ce sens, une obligation à l'égard des entreprises. L'article 11 ne crée, en revanche, aucun régime obligatoire de désignation d'un représentant .

Interrogé par votre rapporteur, le Gouvernement a indiqué être confronté à une difficulté de transposition sur ce point, dans la mesure où l'obligation prévue par la directive s'applique au niveau européen, non au niveau national. Autrement dit, si chaque État membre introduisait, en application de la directive, une obligation de désignation d'un représentant, une entreprise qui fournirait ses services dans plusieurs États - ce qui, s'agissant de fournisseurs de service numérique, est fréquemment le cas - se verrait contrainte légalement de désigner un représentant dans chacun de ces États membres, ce qui serait contraire à l'esprit même de la directive.

Il a été en outre indiqué à votre rapporteur qu'aucun acte d'exécution n'était envisagé au niveau européen afin de préciser les modalités de désignation de ces représentants. Aussi, à son initiative de son rapporteur, votre commission a-t-elle jugé nécessaire d'amender l'article 11 afin de rendre obligatoire, pour un fournisseur qui offrirait ses services sur le territoire français, de désigner un représentant, dès lors qu'il n'en aurait pas déjà fait de même dans un autre État membre ( amendement COM-9 ). Ce régime souple préserve le principe de libre circulation des services de communication en ligne sur le territoire de l'Union européenne, fixé par la directive « e-commerce » du 8 juin 2000 ^{25 ( * )} . Afin de clarifier le régime de responsabilité, l'amendement précise que la nomination d'un tel représentant ne peut avoir pour conséquence de libérer le dirigeant du fournisseur concerné de toute action susceptible d'être engagée contre lui. Un dispositif similaire est par exemple prévu par l'article 5 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui impose aux responsables de traitement de données à caractère personnel qui ne sont pas établis dans l'Union européenne de désigner à la Commission nationale de l'informatique et des libertés un représentant.

Si la rédaction proposée n'évite pas complètement le risque de chevauchement de plusieurs droits nationaux, votre commission a toutefois considéré que les dispositifs de coopération prévus par la directive devraient permettre aux autorités compétentes de se coordonner afin d'éviter qu'une entreprise ne soit contrainte de désigner un représentant dans deux États membres distincts.

Par le même amendement COM-9 , votre commission a par ailleurs complété le premier alinéa de l'article 11, afin de préciser, comme le prévoit la directive, qu'entrent également dans le champ d'application de la loi les entreprises ayant leur établissement principal sur le territoire national.

En second lieu, l'article 11 exclut du champ d'application de la loi les fournisseurs de service numérique de dimension restreinte , employant moins de 50 salariés et dont le chiffre d'affaires annuel est inférieur à dix millions d'euros. Cette qualification ne correspondant à aucune catégorie d'entreprises en droit français, le projet de loi reprend, sur ce point, la définition donnée par la directive.

Votre commission a adopté l'article 11 ainsi modifié .

Article 12 - Obligations des fournisseurs de service numérique en matière de protection des réseaux et systèmes d'information

L'article 12 du projet de loi détermine les obligations s'imposant aux fournisseurs de service numérique en matière de sécurité des réseaux et des systèmes d'information.

La directive prévoit, à l'égard des fournisseurs de service numérique, un régime moins strict que pour les opérateurs de services essentiels . Ainsi, alors que ces derniers seront soumis à des obligations et des règles précises de sécurité, définies par chaque État membre, les fournisseurs de service numérique seront libres de définir les mesures de sécurité adaptées aux risques auxquels ils sont confrontés.

En effet, si la directive précise qu'il est nécessaire d'imposer à ces entreprises d'adopter des règles de sécurité « compte tenu de l'importance de leurs services pour les activités d'autres entreprises au sein de l'Union » ^{26 ( * )} , il a été considéré, au cours des négociations européennes, que le degré de risque auquel étaient exposés les fournisseurs de service numérique était moindre que pour les opérateurs de services essentiels. Comme l'a indiqué l'ANSSI à votre rapporteur, cette approche ne soulève pas de difficulté dans la mesure où les fournisseurs de service numérique, compte tenu de la nature même des services qu'ils proposent, présentent généralement un niveau de sécurité de leurs systèmes d'information d'ores et déjà relativement élevé.

La directive identifie toutefois plusieurs domaines dans lesquels les fournisseurs de service numérique devront mettre en oeuvre des mesures : la sécurité physique des installations ; la gestion des incidents ; la gestion de la continuité des activités ; le suivi, l'audit et le contrôle ; le respect des normes internationales. Un acte d'exécution de la Commission européenne devrait être prochainement adopté pour préciser le contenu de chacun de ces domaines et la typologie des mesures à prendre.

Les États membres ne seront en revanche pas autorisés à imposer des règles plus strictes en matière de sécurité que ce que prévoit la directive. L'objectif poursuivi ici consiste en effet à assurer une harmonisation minimale des règles appliquées au niveau européen, sans toutefois soumettre ces entreprises, dont les services sont, par nature, transnationaux, à un traitement différencié entre les États membres.

Conformément à cette approche, l'article 12 du projet de loi impose aux fournisseurs de service numérique de mettre en oeuvre une procédure d'identification des risques auxquels ils sont exposés et d'adopter des mesures de sécurité adaptées pour gérer ces risques, prévenir les incidents et en réduire l'impact.

L'article prévoit que des mesures devront, a minima , être mises en oeuvre dans les domaines visés par la directive, dont le contenu devrait, selon les informations communiquées à votre rapporteur, être précisé par le décret en Conseil d'État prévu à l'article 4, sur la base de l'acte d'exécution de la Commission européenne précité. À l'initiative de son rapporteur, votre commission a modifié l'article 4 du projet de loi afin de garantir que ces informations seront effectivement précisées dans le décret en Conseil d'État prévu pour l'application du projet de loi (voir commentaire de l'article 4).

Respectant l'esprit de la directive, le projet de loi ne prévoit en revanche aucune norme précise, laissant, sur ce point, aux fournisseurs de service numérique une importante marge de manoeuvre.

De même que pour l'article 6, relatif aux obligations s'imposant aux opérateurs de services essentiels, votre rapporteur s'est interrogé sur la constitutionnalité du dispositif prévu pour les fournisseurs de service essentiels , et notamment sur sa compatibilité avec le principe à valeur constitutionnelle de légalité des délits et des peines (voir commentaire de l'article 6).

En effet, l'article 15 du projet de loi punit d'une peine d'amende tout manquement par un fournisseur de service numérique aux obligations de sécurité définies à l'article 12 et qui n'aurait pas été corrigé à l'issue du délai prévu par une mise en demeure.

En l'espèce, votre commission a estimé, sous réserve de quelques améliorations rédactionnelles auxquelles elle a procédé par l' amendement COM-10 de son rapporteur, et de la modification de l'article 4 précédemment mentionnée, que le fait d'imposer la mise en oeuvre de procédures et de mesures avec des finalités et dans des domaines fixés par la loi permettait de caractériser de manière suffisamment claire et précise les obligations susceptibles de déboucher sur une sanction.

Elle a, en conséquence, adopté l'article 12 ainsi modifié .

Article 13 - Obligation de déclaration d'incidents

L'article 13 du projet de loi prévoit, à l'égard des fournisseurs de service numérique, une obligation de signalement de tout incident affectant les réseaux et systèmes d'information et encadre les conditions de la publicité donnée à ces incidents

Si elle se rapproche du dispositif prévu à l'article 7, l'obligation de signalement faite aux fournisseurs de service numérique serait toutefois, conformément à l'esprit de la directive, plus souple que pour les opérateurs économiques essentiels . Ainsi, les fournisseurs de service numérique ne seraient tenus de déclarer les incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture de leurs services que « lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services ».

L'article précise que l'impact d'un incident devrait s'apprécier au regard d'une série de critères, et notamment du nombre d'utilisateurs touchés par l'incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service ainsi que de son impact sur le fonctionnement de la société ou de l'économie.

Afin d'aligner la rédaction de l'article 13 sur celle de l'article 7, votre commission a adopté l' amendement COM-11 de son rapporteur, qui procède à quelques précisions rédactionnelles.

L'article détermine également les conditions dans lesquelles l'autorité administrative peut être autorisée à communiquer des informations sur un incident affectant un fournisseur de service numérique. Les conditions d'information sont, dans ce cas, plus larges que pour les opérateurs de services essentiels. Ainsi, le Premier ministre serait autorisé, après avoir consulté le fournisseur concerné, non seulement à informer le public, mais pourrait également contraindre le fournisseur à le faire. Les finalités autorisant une information sont par ailleurs plus étendues : outre la nécessité de prévenir ou de traiter un incident, une communication pour un incident pourrait être justifiée par tout motif d'intérêt général.

Si un incident avait un impact transfrontalier et touchait plusieurs États membres, le Premier ministre serait également autorisé à informer les autorités compétentes de ces autres États, qui, eux-mêmes, pourraient rendre public cet incident.

Pour les mêmes raisons que celles exposées à l'article 7 relatif aux opérateurs économiques essentiels, votre commission a toutefois, par le même amendement COM-11 de son rapporteur, transféré du Premier ministre à l'autorité administrative de manière plus générale la responsabilité de communiquer sur les incidents affectant les fournisseurs de service numérique.

Elle a, en conséquence, adopté l'article 13 ainsi modifié .

Article 14 - Modalités de contrôle

L'article 14 du projet de loi détermine les modalités de contrôle des obligations imposées aux fournisseurs de service numérique en matière de sécurité des réseaux et systèmes d'information.

On retrouve, sur ce point également, le souhait des auteurs de la directive d'imposer un régime moins strict pour les fournisseurs de service numérique que pour les opérateurs économiques essentiels.

En effet, l'article ne prévoit aucun contrôle systématique des fournisseurs. Il n'autorise la conduite d'un contrôle que lorsque l'autorité administrative est informée qu'un fournisseur ne satisfait pas aux obligations légales qui lui incombent, qu'elle le soit, selon les termes de la directive ^{27 ( * )} , par le fournisseur lui-même, par les autorités d'un autre État membre ou encore par un utilisateur du service.

La responsabilité du contrôle incomberait à l'ANSSI ou aux prestataires habilités. Les conditions de mise en oeuvre des opérations de contrôle seraient par ailleurs identiques à celles prévues pour les opérateurs économiques essentiels : elles pourraient être menées sur pièce et sur place, les fournisseurs concernés étant tenus de communiquer tout document ou information nécessaire à l'évaluation de la sécurité de leurs installations ainsi que de permettre l'accès aux réseaux et systèmes d'information.

Compte tenu du caractère généralement transfrontalier de l'activité des fournisseurs de service numérique, l'article 14 prévoit un dispositif d'information et de coopération avec les autres États membres concernés pour la conduite de ces contrôles.

Enfin, les fournisseurs de service numérique seraient susceptibles de faire l'objet d'une injonction administrative les incitant à corriger tout manquement constaté à leurs obligations.

Par l' amendement COM-12 de son rapporteur, votre commission a réécrit le dernier alinéa de l'article 14 de manière à préciser la procédure d'injonction administrative, pour les mêmes raisons qu'à l'article 7, et notamment afin d'éviter tout risque d'incompatibilité avec le principe à valeur constitutionnelle de légalité des délits et des peines.

Votre commission a adopté l'article 14 ainsi modifié .

Article 15 - Sanctions pénales

L'article 15 du projet de loi détermine le régime de sanctions pénales applicable aux fournisseurs de service numérique en cas de manquement à leurs obligations.

Trois infractions, de même nature que celles applicables aux opérateurs économiques essentiels, seraient créées. Les amendes applicables seraient toutefois moins élevées, conformément à la hiérarchie introduite par la directive entre les deux catégories d'acteurs .

Serait tout d'abord puni d'une amende de 75 000 euros le fait pour les dirigeants des fournisseurs de service numérique de ne pas se conformer aux obligations de sécurité prévues par l'article 12 et non corrigées à l'issue d'une procédure d'injonction administrative.

Les mêmes personnes encourraient une peine d'amende de 50 000 euros en cas de manquement à la procédure de signalement des incidents à l'ANSSI, et une peine de 100 000 euros d'amende si elles faisaient obstacle aux opérations de contrôle.

De même que dans le cadre de l'article 9, la responsabilité des dirigeants ne ferait pas obstacle à l'engagement de la responsabilité de la personne morale, comme le prévoit l'article 121-2 du code pénal.

Votre commission a jugé nécessaire de préciser les termes de la première infraction afin d'assurer sa conformité avec le principe de légalité des délits et des peines qui impose, comme vu précédemment, au législateur de « définir les crimes et les délits dans des termes suffisamment clairs et précis ». Elle a, en ce sens, adopté l'amendement COM-13 de son rapporteur.

Votre commission a adopté l'article 15 ainsi modifié .

TITRE II - DISPOSITIONS RELATIVES AU CONTRÔLE DE L'ACQUISITION ET DE LA DÉTENTION D'ARMES

Articles 16, 17, 19, 20, 21 et 21 bis (nouveau) (art. L. 311-2, L. 311-4, L. 312-2, L. 312-3, L. 312-3-1, L. 312-4, L. 312-4-2, L. 312-4-3, L. 312-5, L. 312-11, L. 312-13, L. 312-16, L. 314-2, L. 314-2-1, L. 315-1, L. 317-3-1, L. 317-3-2, et L. 317-4-1 du code de la sécurité intérieure ; art. L. 2331-1, L. 2339-4 et L. 2339-4-1 du code de la défense ; art. 9 de la loi n° 55-385 du 3 avril 1955 relative à l'état d'urgence) -Durcissement des régimes d'acquisition et de détention de plusieurs catégories d'armes à feu

Les articles 16, 17, 19, 20 et 21 du projet de loi visent à renforcer les régimes d'acquisition et de détention de plusieurs catégories d'armes à feu.

Ils suppriment la catégorie D1 des armes à feu, c'est-à-dire celle des armes soumises à un simple régime d'enregistrement, soumettent les reproductions d'armes historiques ainsi que les armes neutralisées à un contrôle administratif et interdisent certaines catégories d'armes semi-automatiques.

1. La suppression du régime d'enregistrement des armes à feu

Le projet de loi supprime la catégorie D1 des armes à feu, c'est-à-dire celle des armes à feu soumises à un simple enregistrement. Les articles 16, 17, 19, 20 et 21 procèdent aux coordinations nécessaires dans le code de la sécurité intérieure et dans le code de la défense.

• La législation actuelle en matière d'acquisition et de détention d'armes

Depuis la loi n° 2012-304 du 6 mars 2012 relative à l'établissement d'un contrôle des armes modernes, l' article L. 311-2 du code de la sécurité intérieure classe les matériels de guerre et les armes civiles, ainsi que leurs éléments et leurs munitions, en quatre catégories, chacune de ces catégories faisant l'objet d'un régime d'acquisition et de détention spécifique, établi en fonction du degré de dangerosité des armes considérées. Le classement de chaque typologie d'armes au sein de ces quatre catégories relève du pouvoir réglementaire ^{28 ( * )} .

Cette catégorisation reprend, pour l'essentiel, le classement des armes à feu défini au niveau européen par la directive 91/477/CEE du 18 juin 1991 relative au contrôle de l'acquisition et de la détention d'armes, à deux exceptions près :

- le champ d'application de la directive se limite tout d'abord aux armes à feu , tandis que l'article L. 311-2 du code de la sécurité intérieure englobe l'ensemble des typologies d'armes (armes blanches, explosifs, armes incapacitantes et lacrymogènes, armes à impulsion électriques, etc.).

Les armes autres que les armes à feu sont principalement classées, en droit français, dans deux catégories : la catégorie A2 qui recouvre les matériels de guerre et la catégorie D2 qui comprend les armes dont l'acquisition et la détention sont libres. Les catégories C et D comprennent quant à elles exclusivement des armes à feu ;

- la directive exclut par ailleurs de son champ d'application certaines catégories d'armes , qui relèvent, dans le droit interne, de la catégorie D2 (acquisition et détention libres) : les armes neutralisées, dont toutes les parties essentielles ont été rendues définitivement inutilisables ; les armes d'alarme et de signalisation ; les armes historiques et leurs reproductions.

Source : commission des lois du Sénat

• La suppression de la catégorie D1 des armes à feu

Aux fins de renforcement du contrôle des pouvoirs publics sur l'acquisition, la détention et la circulation des armes à feu civiles, la directive 217/853 modifiant la directive 91/477/CEE précédemment mentionnée procède à la suppression de la catégorie D des armes à feu en droit européen et « surclasse » les armes qui relevaient de cette catégorie en catégorie C , afin de les soumettre à un régime de contrôle administratif plus strict, celui de la déclaration.

Dans la pratique, la catégorie D, au sens de la directive de 1991, recouvrait uniquement les « armes à feu longues à un coup par canon lisse », soit l'essentiel des armes de chasse classiques .

En droit interne, ces dernières étaient jusqu'à présent soumises au régime administratif le plus léger, celui de l'enregistrement, soit la catégorie D1 mentionnée par l'article L. 311-2 du code de la sécurité intérieure. Aussi, afin de se conformer aux dispositions de la directive, le projet de loi procède-t-il à la suppression de cette catégorie D1 , basculant les armes qui relevaient de la procédure d'enregistrement vers une procédure de déclaration (régime des armes de la catégorie C).

À cet effet, les articles 16, 17, 19 et 20 réalisent les coordinations nécessaires dans le code de la sécurité intérieure, en supprimant toute référence à la procédure d'enregistrement. L'article 21 procède aux mêmes modifications dans le code de la défense, qui comprend également des références aux armes soumises à enregistrement.

La catégorie D des armes à feu ne disparaît toutefois pas complètement en droit français , la directive n'impactant pas les armes dont l'acquisition et la détention sont libres (catégorie D2), qui se situent hors champ d'application de la direction en droit européen. Aussi, certaines références à la catégorie D des armes sont-elles, lorsque c'est nécessaire, maintenues.

À cet égard, votre rapporteur observe que plusieurs mentions de la catégorie D ont été supprimées de manière inappropriée, créant des difficultés de coordination au sein du code de la sécurité intérieure. À son initiative, votre commission a donc adopté un amendement COM-16 afin de corriger ces erreurs.

Elle a également introduit un nouvel article 21 bis afin de procéder à une coordination à l'article 9 de la loi n° 55-385 du 3 avril 1955 relative à l'état d'urgence ( amendement COM-20 ).

Par ailleurs, votre rapporteur constate que plusieurs dispositions du projet de loi qui visent à tirer les conséquences de la bascule des armes de catégorie D1 vers la catégorie C vont au-delà de l'objectif affiché : elles procèdent en effet à l'extension de certains articles du code de la sécurité intérieure, actuellement applicables aux seules armes de catégories A, B et D, aux armes de la catégorie C, qui en étaient exclues. Il en est ainsi de l'article L. 312-5 du code de la sécurité intérieure ^{29 ( * )} , relatif aux conditions applicables aux ventes publiques d'armes, ainsi que de l'article L. 315-1 ^{30 ( * )} , relatif au port et au transport d'armes à feu, qui ne concernaient jusqu'à présent que les armes de catégories A, B et, pour certaines d'entre elles, de catégorie D. Interrogé sur ce point par votre rapporteur, le ministère de l'intérieur a indiqué que l'exclusion, dans ces cas précis, des armes de catégorie C ne répondait à aucune exigence pratique et constituait un vide juridique. Aussi est-il apparu cohérent à votre rapporteur de procéder à la correction de cette omission.

Selon l'étude d'impact du projet de loi, la suppression du régime d'enregistrement des armes ne devrait avoir, dans la pratique, que peu d'impact pour les utilisateurs en droit interne . En effet, la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale, avait durci les conditions d'acquisition et de détention des armes de catégorie D, rapprochant le régime d'enregistrement du régime appliqué aux armes de catégorie C. Elle avait notamment étendu, pour l'acquisition d'armes de catégorie D, l'obligation de disposer d'un casier judiciaire exempt d'une des condamnations énumérées à l'article L. 312-3 du code de la sécurité intérieure.

L'unique différence qui demeure entre les deux régimes d'acquisition concerne l'obligation de présentation d'un certificat médical datant de moins d'un mois, prévue pour les armes de catégorie C et non pour les armes de catégorie D. Les détenteurs d'armes de chasse devraient donc être soumis, à compter de l'entrée en vigueur des dispositions du projet de loi, à cette obligation, dont l'impact devrait toutefois être restreint, la présentation d'une licence de tir ou d'un permis de chasse pouvant suppléer, en vertu de l'article L. 312-6 du code de la sécurité intérieure, la présentation d'un certificat médical.

Comparatif des régimes d'acquisition et de détention applicables
aux armes de catégorie C et D1

Source : commission des lois du Sénat

S'agissant des armes de catégorie D1 actuellement en circulation, les associations représentant les détenteurs d'armes à feu entendues par votre rapporteur ont exprimé des craintes quant aux conséquences de cette bascule pour les détenteurs d'armes de chasse.

Plusieurs situations doivent être distinguées :

- les armes de catégorie D1 acquises avant le 1 ^er décembre 2011 , date de transposition en France de la directive de 2008 ayant modifié pour la première fois la directive de 1991 et qui avait soumis les armes de chasse à une procédure d'enregistrement ^{31 ( * )} , ne nécessiteront aucune démarche nouvelle pour leurs détenteurs . En effet, ces armes, dont le nombre est estimé entre 1 et 3 millions sur le territoire national, bénéficiaient d'un régime d'antériorité qui les exemptaient de tout enregistrement administratif dès lors qu'elles avaient été acquises avant le 1 ^er décembre 2011 ;

- les armes de catégorie D1 acquises depuis l'entrée en vigueur de la directive 2017/853, soit depuis le 13 juin 2017, sont soumises à l'application des dispositions de la nouvelle directive. Leurs détenteurs devront donc procéder à une régularisation de leur situation , avant le 14 décembre 2019. Il a toutefois été indiqué à votre rapporteur que, de manière à faciliter cette transition, il pourrait être prévu, par décret, une bascule automatique d'un régime à l'autre, qui permettrait une assimilation du récépissé d'enregistrement au récépissé de déclaration ;

- les armes acquises entre le 1 ^er décembre 2011 et le 13 juin 2017, date d'entrée en vigueur de la directive 2017/853 , dont le stock est estimé à environ 250 000, ne seront pas formellement contraintes à basculer en régime de déclaration. Toutefois, comme le relève l'étude d'impact, il est probable que les détenteurs de telles armes souhaitent régulariser leur situation, notamment pour faciliter le transport d'armes au sein d'autres pays de l'Union européenne par exemple. Le ministère de l'intérieur a indiqué que la procédure prévue pour assurer une bascule automatique d'un régime d'enregistrement vers un registre de déclaration pourrait également leur être appliquée.

Votre rapporteur constate toutefois que les procédures de déclaration d'armes aux services préfectoraux ne font, pour l'heure, l'objet d'aucune dématérialisation. Il s'interroge par conséquent sur la possibilité, pour l'administration, de procéder, dans les faits, à cette bascule quasi automatique pour les détenteurs d'armes de catégorie D1 et craint que cela n'entraîne une certaine lourdeur administrative. Il invite, en conséquence, le Gouvernement à réfléchir à la mise en oeuvre d'une procédure dématérialisée pour la bascule d'un régime à un autre, qui permettrait de limiter les formalités administratives, pour les détenteurs comme pour les services préfectoraux.

2. Le durcissement du régime d'acquisition et de détention des reproductions d'armes historiques et des armes neutralisées

Les articles 16 (2°) et 17 (8°) du projet de loi visent par ailleurs à renforcer le régime d'acquisition et de détention des reproductions d'armes historiques et des armes dites neutralisées.

En l'état du droit, les armes historiques ainsi que leurs reproductions sont soumises au même régime juridique. L'article L. 311-4 du code de la sécurité intérieure les classe en effet dans la catégorie D2, c'est-à-dire celle des armes dont l'acquisition et la détention sont libres.

En application de l'article R. 311-2 du code de la sécurité intérieure, l'acquisition et la détention des armes neutralisées, c'est-à-dire des armes rendues définitivement inutilisables par l'application de procédés techniques, sont quant à elles libres.

À des fins de renforcement de la sécurité publique, la directive du 17 mai 2017 fait entrer dans son champ d'application certaines catégories d'armes qui en étaient jusqu'à présent exclues :

- les reproductions d'armes historiques au motif que « les reproductions d'armes à feu anciennes peuvent être construites en recourant aux techniques modernes et susceptibles d'améliorer leur durabilité et leur précision ». Lorsque cela est le cas, la directive prévoit que ces reproductions soient soumises à un régime de contrôle administratif, leur classement par catégorie étant fonction de leur niveau effectif de dangerosité ;

- les armes neutralisées , « eu égard au risque important de réactivation » dans les cas où elles auraient été incorrectement neutralisées. Ces armes sont désormais classées par la directive parmi les armes de catégorie C, et donc a minima soumises à une procédure de déclaration.

Le projet de loi tire les conséquences, en droit interne, de cette modification du périmètre de la directive européenne.

Son article 16 modifie en premier lieu l'article L. 311-4 du code de la sécurité intérieure afin de préciser que le classement des armes historiques, des armes de collection et de leurs reproductions, ne relève plus par principe de la catégorie D mais sera défini par décret en Conseil d'État.

Ainsi, le pouvoir réglementaire sera en mesure, pour chaque type d'armes, en fonction de son niveau de dangerosité, de lui appliquer le régime d'acquisition et de détention le plus adapté.

Plusieurs associations représentant les détenteurs d'armes et de matériels de collection ont émis des craintes quant à cette disposition, estimant qu'en visant toutes les armes énumérées à l'article L. 311-3, elle couvrait non seulement les reproductions d'armes historiques, mais également les armes historiques elles-mêmes, qui demeurent pourtant en dehors du champ d'application de la directive. Votre commission a donc adopté un amendement COM-14 de son rapporteur afin de prévoir que les armes historiques et leurs reproductions listées à l'article L. 311-4 sont classées en catégorie D2, sauf pour certaines armes dangereuses listées par décret.

S'agissant des armes neutralisées, leur « surclassement » en catégorie C relève de la compétence du pouvoir réglementaire.

L'article 17 du projet de loi procède toutefois, par coordination, à une modification de l'article L. 312-11 du même code, relatif à la procédure de dessaisissement d'un détenteur d'arme. En l'état du droit, le préfet est autorisé, pour des raisons d'ordre public ou de sécurité des personnes, à ordonner à tout détenteur d'armes de s'en dessaisir. Ce dessaisissement peut prendre plusieurs formes : la vente de l'arme concernée à un armurier ou à un tiers remplissant les conditions d'acquisition et de détention, la remise à l'État ou la neutralisation de l'arme. L'article 17 supprime des modalités de dessaisissement la neutralisation des armes. Une telle modification apparaît nécessaire dès lors que les armes neutralisées ne seraient plus libres d'acquisition et de détention, mais soumises à un régime de contrôle administratif.

3. Le durcissement du régime d'acquisition et de détention des armes semi-automatiques

L'article 17 vise à interdire, sauf dérogations spécifiquement prévues par la loi, l'acquisition et la détention des armes semi-automatiques, et procède aux coordinations nécessaires dans le code de la sécurité intérieure.

• Le régime prévu par la directive

La directive du 17 mai 2017 étend le régime d'interdiction d'acquisition et de détention à certaines armes à feu, considérées comme présentant un niveau de dangerosité élevé et qui étaient jusqu'à présent soumises à un régime d'autorisation.

La directive autorise toutefois les États membres à instaurer certaines dérogations à ce principe général d'interdiction, pour des catégories de personnes ou d'entités limitativement énumérées :

- les tireurs sportifs ;

- les collectionneurs, à titre exceptionnel et sous réserve du strict respect des conditions de sécurité. Ils doivent être identifiables dans les fichiers de données sur les détenteurs d'armes et détenir un registre de toutes les armes de catégorie A en leur possession ;

- les armuriers et les courtiers, en leur qualité professionnelle ;

- les musées ;

- d'autres catégories de personnes, dans des cas particuliers, exceptionnels et dûment motivés, « en vue de protéger la sécurité des infrastructures critiques, la navigation commerciale, les convois de grande valeur et les lieux sensibles, ainsi qu'à des fins de défense nationale, éducatives, culturelles, de recherche et historiques ».

• Une modification du droit national à l'impact réduit dans la pratique

Le classement des armes par catégorie relevant, en droit français, du pouvoir réglementaire, le « surclassement » en catégorie A des typologies d'armes à feu semi-automatiques précédemment mentionnées ne nécessite pas de modification législative. Il reviendra en effet au pouvoir réglementaire de procéder, par décret, à la modification de l'article R. 311-2 du code de la sécurité intérieure.

En revanche, la mise en oeuvre de dérogations au principe d'interdiction de l'acquisition et de la détention des armes de catégorie A requiert une intervention du législateur .

En l'état du droit, l'article L. 312-2 du code de la sécurité intérieure prévoit d'ores et déjà un régime dérogatoire autorisant, pour des besoins autres que la défense nationale et la sécurité publique ^{32 ( * )} , les administrations de l'État, les collectivités territoriales et les organismes d'intérêt général ou à vocation culturelle, historique et scientifique à acquérir et détenir des armes de catégorie A.

Le même article prévoit par ailleurs une dérogation permettant à des personnes physiques ou morales d'acquérir et de détenir des matériels de guerre « à fin de collection, professionnelle ou sportive », dans des conditions fixées par décret en Conseil d'État.

Pour l'heure, ces dérogations visent principalement les administrations publiques pour l'équipement de leurs agents en vue de l'exercice de leurs fonctions ^{33 ( * )} , les entreprises se livrant à la location à des sociétés de production de films et de spectacles, ainsi que les théâtres nationaux ^{34 ( * )} , les collectivités publiques et les musées ^{35 ( * )} , les entreprises se livrant à des essais industriels ^{36 ( * )} ainsi que les experts judiciaires de la Cour de cassation ou des cours d'appel ^{37 ( * )} .

En raison du « surclassement » des armes semi-automatiques en catégorie A, le Gouvernement a fait le choix d' étendre ces dérogations à deux catégories de personnes, les tireurs sportifs et certaines sociétés de sécurité privée.

Actuellement, les personnes relevant de ces deux catégories disposent en effet de la possibilité d'acquérir et de détenir, sous réserve d'une autorisation, des armes semi-automatiques, dans les conditions prévues par les articles L. 312-3 à L. 312-4 du code de la sécurité intérieure.

Aussi des dérogations sont-elles indispensables pour leur permettre de conserver la possibilité d'acquérir et de détenir, dans des conditions identiques à celles actuellement en vigueur, ces armes qui seront, en application de la directive, surclassées en catégorie A.

En revanche, le Gouvernement a fait le choix de ne pas étendre cette dérogation aux collectionneurs . Votre rapporteur approuve cette position. En effet, les collectionneurs ne disposant pas, en l'état du droit, de la possibilité d'acquérir des armes semi-automatiques relevant de la catégorie B et surclassées en catégorie A par la directive, aucune raison ne justifierait qu'ils y soient désormais autorisés. Cela paraîtrait même aller à l'encontre de l'esprit de la directive, qui, dans un objectif de sécurité publique, prône un meilleur contrôle de la détention des armes civiles.

L'article 17 du projet de loi modifie, en conséquence, l'article L. 312-2 du code de la sécurité intérieure, afin d'étendre aux activités professionnelles et sportives les dérogations au principe d'interdiction des armes de catégorie A.

La rédaction proposée présente toutefois une ambiguïté : elle prévoit en effet que la dérogation s'appliquerait non seulement pour la conduite d'activités sportives et professionnelles - catégories qui recouvrent les tireurs sportifs et les sociétés de sécurité privée - mais également pour les activités de collection, que le Gouvernement a souhaité exclure. Selon les informations communiquées à votre rapporteur, le décret en Conseil d'État prévu par l'article L. 312-2 devrait permettre d'encadrer le régime de cette dérogation, en définissant les conditions de sa mise en oeuvre et en précisant la liste des personnes et entités effectivement autorisées à acquérir des armes de catégorie A. Votre commission a toutefois jugé qu'il était de la responsabilité du législateur de clarifier le régime juridique de cette dérogation afin de ne pas laisser au pouvoir réglementaire la possibilité d'étendre, à l'avenir, ses conditions de mise en oeuvre ou son champ d'application. Elle a, à cet effet, adopté l' amendement COM-15 de son rapporteur, pour exclure expressément les activités de collection de la possibilité de bénéficier d'une dérogation à l'interdiction d'acquérir et de détenir des armes de catégorie A.

L'acquisition et la détention, à titre dérogatoire, des armes de catégorie A seraient soumises à un régime préalable d'autorisation administrative, dans des conditions identiques à celles prévues pour les armes de catégorie B.

L'article 17 procède, à cet effet, à plusieurs coordinations dans le code de la sécurité intérieure afin d' étendre aux armes de catégorie A les conditions d'acquisition et de détention actuellement prévues pour les armes de catégorie B.

Ainsi en est-il des conditions d'interdiction d'acquisition et de détention d'une arme d'ores et déjà applicables aux armes de catégories B et C ^{38 ( * )} ainsi que, par cohérence, leur inscription au fichier national automatisé, qui recense les personnes interdites d'acquisition et de détention d'armes ^{39 ( * )} .

Seraient également étendues aux armes de catégorie A les prérogatives accordées aux préfets en matière de dessaisissement d'armes ^{40 ( * )} .

Les conséquences de ces évolutions législatives seront, dans la pratique, très limitées pour les tireurs sportifs et les sociétés de sécurité privée détenteurs d'armes semi-automatiques , qui se voyaient d'ores et déjà appliquer cette réglementation.

Toutefois, en procédant à ces modifications, l'article 17 du projet de loi étend à toutes les armes de catégorie A soumises à dérogation, y compris à celles faisant l'objet d'autorisations dérogatoires antérieures à la directive, des dispositions qui ne leur étaient jusqu'alors pas appliquées. Cette modification du droit existant, qui dépasse le strict cadre de transposition de la directive, apparait nécessaire, d'une part, pour homogénéiser le régime applicable aux armes de catégorie A, d'autre part, à des fins de sécurité publique.

Votre commission a en revanche corrigé, par l' amendement COM-15 de son rapporteur, un oubli dans le projet de loi initial, qui ne prévoyait pas d'étendre aux armes de catégorie A les dispositions de l'article L. 314-2 du code de la sécurité intérieure, relatif aux conditions de cession entre particuliers des armes de catégorie B.

Votre commission a adopté les articles 16 et 17 ainsi modifiés , les articles 19, 20 et 21 sans modification et l'article 21 bis ainsi rédigé .

Article 18 (art. L. 313-2, L. 313-3, L. 313-5, L. 313-6 (nouveau)et L. 313-7 (nouveau) du code de la sécurité intérieure) - Encadrement de la vente d'armes, d'éléments d'armes et de munitions

L'article 18 du projet de loi vise à améliorer l'encadrement des ventes d'armes, d'éléments d'armes et de munitions.

• L'instauration d'un contrôle administratif pour les courtiers d'armes de catégorie C

La directive 91/477/CEE relative à l'acquisition et à la détention des armes, modifiée par la directive 2008/51/CE du 21 mai 2008, n'encadrait que de manière assez souple les conditions d'exercice des activités d'armurier et de courtier.

Ainsi, elle soumettait à agrément l'exercice de l'activité d'armurier appliquée aux armes de catégorie A, mais ne prévoyait qu'un simple régime de déclaration pour les armes de catégories B et C.

Par ailleurs, aucune réglementation n'était prévue pour l'exercice de l'activité de courtier.

La directive du 17 mai 2017 procède, sur ce point, à une modification d'ampleur, en soumettant désormais à un même régime réglementaire la totalité des activités d'armurier et de courtier . Elle impose notamment aux États membres de soumettre l'exercice de ces professions à :

- une procédure systématique d'enregistrement ;

- la détention d'une licence ou d'une autorisation ;

- un contrôle de l'honorabilité professionnelle et privée ainsi que des compétences professionnelles.

L'article 18 du projet de loi vise à mettre l'activité des armuriers et des courtiers en conformité avec ce nouveau régime.

Dans le droit national, l'activité d'armurier fait d'ores et déjà l'objet d'une réglementation conforme aux dispositions de la directive. En vertu de l'article L. 313-2 du code de la sécurité intérieure , son exercice est en effet soumis à la délivrance par l'autorité administrative, quelle que soit la catégorie d'armes concernée, d'un agrément ou d'une autorisation, établi sur la base de l'honorabilité et des compétences professionnelles de l'armurier concerné.

Un régime distinct d'autorisation administrative s'applique pour les armes de catégories A et B, d'une part, qui suppose une autorisation du ministre de l'intérieur ou, s'agissant des matériels militaires (A2), du ministre de la défense, et pour les armes de catégorie C et D, d'autre part, pour lesquelles un agrément préfectoral suffit.

En revanche, l'activité de courtier n'est réglementée que de manière partielle, lorsqu'elle concerne les armes et matériels de catégories A ou B. Ainsi, l'article L. 2332-1 du code de la défense prévoit que « les entreprises de fabrication et de commerce de matériels de guerre et d'armes et munitions de défense des catégories A ou B ne peuvent fonctionner et l'activité de leurs intermédiaires ou agents de publicité ne peut s'exercer qu'après autorisation de l'État et sous son contrôle ». L'exercice de toute activité d'intermédiation relative à des armes de catégories A ou B nécessite donc la délivrance d'une autorisation préalable de l'autorité administrative, dans des conditions identiques à l'activité d'armurier.

En conséquence, et de manière à se conformer aux dispositions de la directive, l'article 18 du projet de loi modifie l'article L. 313-2 du code de la sécurité intérieure afin d'étendre aux courtiers le régime d'agrément prévu pour les armuriers . Il procède, par ailleurs, à un élargissement de la définition de l'activité d'armurier, afin d'y intégrer les activités de modification, de location-vente et de prêt, conformément à l'interprétation qui en est donnée par la directive ^{41 ( * )} .

Votre rapporteur relève que, ainsi modifié, l'article L. 313-2 perd en lisibilité dans la mesure où il ne distingue pas clairement les activités relevant des armuriers et celles relevant des courtiers. À son initiative, votre commission a donc adopté un amendement COM-18 d'amélioration rédactionnelle.

Par le même amendement, elle a par ailleurs précisé, afin d'assurer la conformité du texte à la directive, que le contrôle de l'honorabilité pouvait porter sur l'honorabilité professionnelle comme privée , qui consiste dans la vérification des conditions d'exercice professionnel et dans le contrôle du bulletin n° 2 du casier judiciaire.

• L'encadrement des ventes d'armes à distance et entre particuliers

La directive du 17 mai 2017 invite les États membres à renforcer les conditions de vérification de l'identité des acheteurs d'armes, de leurs éléments essentiels ou de munitions , quelles que soient les modalités d'acquisition de ces armes.

Elle prévoit que toute transaction, y compris lorsqu'elle est effectuée par correspondance, sur Internet ou au moyen de contrats à distance, doit faire l'objet d'une vérification d'identité de l'acheteur et, le cas échéant, de son autorisation d'acquisition et de détention. Cette vérification doit être effectuée par un armurier, un courtier ou une autorité publique et doit avoir lieu, au plus tard, au moment de la livraison.

En droit français, le commerce de détail des matériels de guerre, des armes, de leurs éléments essentiels ainsi que de leurs munitions ne peut se faire, en principe, que dans des locaux autorisés à cet effet par l'autorité préfectorale, c'est-à-dire auprès des établissements d'armuriers ^{42 ( * )} .

Par dérogation à ce principe, des matériels, armes et éléments d'armes peuvent être acquis par correspondance, à distance ou entre particuliers. En vertu de l'article L. 313-5 du code de la sécurité intérieure, les armes achetées selon ces modalités doivent toutefois, sauf exceptions prévues par décret en Conseil d'État, être livrées dans les locaux d'armuriers. Comme le relève l'étude d'impact du projet de loi, les exceptions à ce principe ont, dans la pratique, été définies de manière très large par le pouvoir réglementaire : ainsi, les armes des catégories B et C peuvent actuellement être toutes livrées directement au domicile de l'acquéreur.

Une telle situation réduit considérablement les contrôles effectués sur les acheteurs d'armes , avec des impacts fortement dommageables en termes de contrôle de la circulation des armes civiles sur notre territoire. En effet, alors que les armuriers et les courtiers sont soumis à une obligation de vérification d'identité et de consultation des fichiers d'interdiction de détention d'armes, les transactions effectuées à distance ou entre particuliers échappent, lorsque les armes sont livrées directement au domicile de l'acquéreur, à tout contrôle.

Face à ce constat, le durcissement du régime du commerce de détail des armes prévu par la directive apparaît, de l'avis de votre rapporteur, pertinent.

Afin d'assurer la transposition en droit français de ces dispositions, l'article 18 du projet de loi modifie l'article L. 313-5 du code de la sécurité intérieure. Désormais, les matériels, armes et éléments essentiels de ces armes acquis par correspondance, à distance ou directement entre particuliers ne pourraient être livrés qu'auprès des établissements d'armuriers, aux fins de vérification de l'identité de l'acheteur, sans qu'aucune possibilité de dérogation à ce principe puisse être prévue par voie réglementaire.

L'article prévoit que la transaction ne serait alors réputée parfaite qu'à compter de la remise effective à l'acquéreur. Cette précision, qui fait exception au principe fixé à l'article 1583 du code civil selon lequel « une vente est parfaite entre les parties, et la propriété est acquise de droit à l'acheteur à l'égard du vendeur, dès qu'on est convenu de la chose et du prix, quoique la chose n'ait pas encore été livrée ni le prix payé », est indispensable afin d'opposer au potentiel acheteur un refus de remise de l'arme dans l'hypothèse où la vérification opérée par l'armurier au moment de la livraison révèlerait qu'il ne remplit pas les conditions pour procéder à l'acquisition d'une arme.

Seules les transactions conclues par correspondance ou à distance entre un professionnel agréé, soit un armurier ou un courtier, échapperaient à l'interdiction de livraison au domicile de l'acquéreur. Cette exclusion ne paraît pas soulever de difficulté dans la mesure où ces professionnels sont, quelles que soient les modalités de contractualisation, contraints de vérifier l'identité et l'honorabilité de l'acheteur.

En cas de non-respect de ce principe, les peines prévues à l'article L. 317-2 du code de la sécurité intérieure, soit cinq ans d'emprisonnement et 75 000 euros d'amende, continueront d'être applicables.

La nouvelle rédaction de l'article L. 313-5 appelle toutefois, de l'avis de votre rapporteur, plusieurs remarques.

Elle procède tout d'abord à une sur-transposition, dans la mesure où elle inclut les ventes directes entre particuliers, alors que la directive ne vise que les ventes à distance ou par correspondance. Une telle extension est toutefois apparue pertinente à votre rapporteur afin d'étendre à tout type de vente la vérification d'identité, d'autant que les ventes entre particuliers sont d'ores et déjà couvertes par l'article L. 313-5.

En revanche, elle exclut de son champ d'application les ventes de munitions, pourtant incluses dans le dispositif prévu par la directive.

Enfin, elle paraît manquer de clarté quant à la distinction effectuée entre, d'une part, les transactions effectuées par un professionnel agréé et, d'autre part, les transactions entre particuliers, que ces dernières soient conclues de manière directe, par correspondance ou à distance.

Afin de répondre à ces difficultés, votre commission a adopté l' amendement COM-18 de son rapporteur qui étend aux munitions le dispositif applicable et procède à une clarification rédactionnelle de l'article.

• La création d'un régime spécifique pour les transactions suspectes

De manière à renforcer les contrôles sur les ventes d'armes, la directive du 17 mai 2017 prévoit la possibilité pour les armuriers et les courtiers de refuser de conclure des transactions portant sur des munitions ou composants de munitions, qui apparaîtraient comme suspectes en raison de leur nature ou de leur échelle, et leur fixe une obligation de signalement, aux autorités publiques compétentes, de toute tentative de transaction répondant à ces critères.

L'article 18 du projet de loi transpose cette disposition en créant un nouvel article L. 313-6 dans le code de la sécurité intérieure.

Le Gouvernement a fait le choix d'aller au-delà des exigences minimales posées par la directive, en élargissant le régime des transactions suspectes aux armes et à leurs éléments . Ainsi, les armuriers et les courtiers seraient « autorisés à refuser de conclure toute transaction visant à acquérir des armes, des munitions ou leurs éléments dont il est raisonnable de penser qu'elle présente un caractère suspect ».

Une telle sur-transposition n'est pas prohibée par la directive qui autorise les États membres à adopter des mesures plus strictes que celles qu'elle impose. Elle est apparue pertinente à votre rapporteur car il pourrait apparaître surprenant de limiter aux seules munitions l'application de ce régime de transactions suspectes et de ne pas permettre son application à la vente des armes elles-mêmes, qui peuvent être à l'origine des mêmes doutes pour les professionnels.

En droit, ce nouveau régime de transactions suspectes constitue une dérogation à l'interdiction du refus de vente ou de prestation. Ce principe fondamental en droit commercial admet toutefois des dérogations puisque l'article L. 121-11 du code de la consommation prohibe le refus de vendre un produit ou un service sauf motif légitime. En l'espèce, l'encadrement des transactions suspectes d'armes et de munitions se justifie par un motif de sécurité publique.

Votre commission approuve l'économie globale de cette disposition. Elle a toutefois adopté un amendement COM-19 de son rapporteur qui précise, conformément au texte de la directive, les critères permettant d'apprécier le caractère suspect d'une transaction, soit la nature de la vente ou son échelle. Par le même amendement, elle a également procédé à plusieurs modifications d'ordre rédactionnel.

Votre commission a adopté l'article 18 ainsi modifié .

TITRE III - DISPOSITIONS RELATIVES AU SERVICE PUBLIC RÉGLEMENTÉ GALILEO

Article 22 (art. L. 2323-1 à L-2323-6 (nouveaux) du code de la défense) - Création d'un régime d'autorisation et de sanction spécifique pour le service public réglementé de radionavigation par satellite

L'article 22 du projet de loi vise à créer un régime d'autorisation et de sanction spécifique pour le service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo.

Comme le rappelle l'avis du Conseil d'État sur le projet de loi : « Le programme Galileo est l'infrastructure européenne de radionavigation et de positionnement par satellite, conçue à des fins civiles. Il est régi par les dispositions du règlement (UE) n° 1285/2013 du Parlement européen et du Conseil du 11 décembre 2013 relatif à la mise en place et à l'exploitation des systèmes européens de radionavigation par satellite et abrogeant le règlement (CE) n° 876/2002 du Conseil et le règlement (CE) n° 683/2008 du Parlement européen et du Conseil, l'Union européenne. Aux termes de l'article 2 de ce règlement, le programme Galileo doit offrir cinq types de service dont « un service public réglementé (PRS) réservé aux utilisateurs autorisés par les gouvernements, pour les applications sensibles qui exigent un niveau élevé de continuité du service, service qui utilise des signaux robustes et cryptés . » La décision n° 1104/2011/UE définit les modalités d'accès au service public réglementé. Elle est complétée par une décision déléguée de la Commission du 15 septembre 2015 relative aux normes minimales communes auxquelles doivent se conformer les autorités responsables . »

Comme rappelé dans l'exposé général, ces décisions prévoient que l'accès à ce service ne devrait être limité qu'à certains acteurs autorisés par les gouvernements. Aussi, le développement de la technologie en France nécessite-t-elle qu' un régime d'autorisations et de sanctions destinés à encadrer l'utilisation et l'exportation de ce nouveau service soit mis en oeuvre.

À cet effet, l'article 22 du projet de loi complète le titre II « Sécurité des systèmes d'information » du livre III « Régimes juridiques de défense d'application permanente » de la deuxième partie « Régimes juridiques de défense » du code de la défense par un nouveau chapitre III, intitulé « Service public réglementé de radionavigation par satellite ».

Ce nouveau chapitre, comporterait six articles répartis en deux sections :

Dans son avis, le Conseil d'État a estimé que le choix de codification retenu par le Gouvernement était justifié car : « Bien que Galileo soit un programme civil, aucune exclusion dans les usages gouvernementaux du PRS n'est prévue et ces usages sont, en pratique, le fait des services en charge de la sécurité et de la défense. Le PRS s'adresse à des communautés d'utilisateurs relevant principalement des ministères régaliens et est destiné à des applications militaires . »

• Un régime de contrôle administratif de l'accès au PRS (Public Regulated Service) ainsi que de la fabrication et de l'exportation de matériel conçu pour ce service

Le nouvel article L. 2323-1 vise à définir les principes généraux en matière d'accès au PRS, de manière à traduire en droit national les articles 3, 4, 5, 6 et 7 de la décision du 25 octobre 2011 ^{43 ( * )} et d'étendre au PRS l'obligation d'autorisation prévue par la position commune du Conseil du 8 décembre 2008 ^{44 ( * )} , définissant des règles communes régissant le contrôle des exportations de technologie et d'équipements militaires.

Il instaure un régime d'autorisations délivrées par une autorité administrative désignée à cet effet et qui en assurerait le contrôle.

Ces autorisations seraient requises pour l'accès au PRS, le développement et la fabrication de récepteurs ou de modules de sécurité et enfin l'exportation, hors Union européenne, d'équipements, de technologies ou de logiciels conçus pour ce service.

Ces autorisations pourraient être assorties de conditions ou de restrictions et être abrogées, retirées, modifiées ou suspendues dans certaines circonstances : manquement du titulaire aux conditions spécifiées dans l'autorisation ou nécessité d'assurer le respect des engagements internationaux de la France, la protection du service public réglementé ou celle des intérêts essentiels d'ordre public ou de sécurité publique.

Le Secrétariat général de la défense et de la sécurité nationale (SGDSN) serait l'autorité administrative identifiée pour délivrer les autorisations et procéder au contrôle du dispositif. Une communication a d'ores et déjà été effectuée en ce sens à la Commission européenne.

Conformément aux décisions européennes précitées qu'il vise à transcrire, cet article tend donc à définir le cadre dans lequel s'inscrivent le régime d'autorisation a priori de l'accès au PRS, le développement d'instruments d'exploitation de ce service et leur exportation hors de l'Union européenne.

Votre rapporteur observe que ce régime est proche de celui défini à l'article L. 2332-1 de code de la défense concernant les entreprises de fabrication ou de commerce de matériels de guerre et d'armes et munitions de défense des catégories A ou B. Cette assimilation du régime applicable au PRS à celui applicable aux armements apparaît cohérent compte tenu de la nature, de la sensibilité et des finalités des produits et technologies concernées dans les deux cas.

L'article 22 du projet de loi ne prévoit cependant pas le détail des modalités d'autorisation ainsi que des diverses conditions ou restrictions. Ces éléments seraient déterminés par décret en Conseil d'État. À cet égard, votre rapporteur, suivant sur ce point l'avis donné par le Conseil d'État, regrette qu'aucune information complémentaire n'ait pu lui être communiquée sur le contenu de ce décret.

Le nouvel article L. 2323-2 vise quant à lui à soumettre les transferts d'équipements, conçus pour l'utilisation du PRS au sein de l'Union européenne, à un régime de déclaration . Cette déclaration serait faite à l'autorité administrative désignée, le SGDSN.

Ce même article vise à transposer l'article 17 de la décision déléguée de la commission du 15 septembre 2015 ^{45 ( * )} , laquelle prévoit que le transfert de biens PRS entre États membres est autorisé par les autorités nationales compétentes. Le projet de loi retient un régime de déclaration plutôt que d'autorisation, considérant qu'il permettrait de bloquer, le cas échéant, un transfert non conforme.

Dans son avis, le Conseil d'État considère que, « eu égard au principe de confiance réciproque, un régime plus souple qu'un régime d'autorisation est justifié ». Cette solution paraît en outre cohérente avec les dispositions actuelles de l'article L. 2335-11 du code de la défense qui permettent d'accorder des dérogations à l'obligation d'autorisation préalable au transfert de produits liés à la défense depuis la France vers les autres États membres de l'Union européenne (article L. 2335-10), lorsque ce transfert est nécessaire pour la mise en oeuvre d'un programme de coopération en matière d'armements entre États membres de l'Union européenne.

Enfin, le nouvel article L. 2323-3 prévoit que l'application des articles précédents se fait sans préjudice d'autres dispositions en vigueur : d'une part, les dispositions du code de la défense applicables aux importations et exportations de matériels de guerre ; d'autre part, le règlement européen n° 428/2009 du Conseil du 5 mai 2009 ^{46 ( * )} , qui institue un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit des biens à double usage.

En effet, les équipements, technologies et logiciels relevant du PRS sont également susceptibles, en raison de leur finalité d'usage, d'entrer dans d'autres catégories de biens d'ores et déjà soumises à un contrôle des exportations. Il s'agit, en d'autres termes, d'opérer une coordination avec les dispositions existantes, en droit national et européen, concernant l'exportation et le transfert de « produits liés à la défense ».

Comme le souligne l'avis du Conseil d'État, cette précision concernant l'articulation des dispositions introduites dans le code de la défense relatives au contrôle des exportations du matériel et des technologies liés au PRS avec les dispositions ayant le même objet pour les biens à double usage et les matériels de guerre est opportune dans la mesure où certains biens sont susceptibles de relever de deux régimes.

Cet article précise, en outre, que les modalités d'application de cette section seront fixées par décret en Conseil d'État. Ainsi, le détail des régimes d'autorisation et de déclaration serait déterminé par voie réglementaire et ne devrait pas enfreindre les dispositions existantes pour le contrôle des échanges de matériel de défense.

• Un régime de sanction pénale visant à réprimer les violations des dispositions adoptées pour le contrôle de l'accès et de l'exploitation du PRS

Le nouvel article L. 2323-4 vise à sanctionner d'une peine de 200 000 euros d'amende le fait de se livrer ou de tenter de se livrer à l'une des activités prévues à l'article L. 2323-1, sans autorisation ou sans respecter les conditions ou restrictions dont peut être assortie l'autorisation délivrée.

La décision du 25 octobre 2011 ne donne pas d'indications précises sur le régime des sanctions applicables aux violations des dispositions nationales adoptées pour son application. Elle précise cependant que ces sanctions doivent être efficaces, proportionnées et dissuasives .

L'adoption de sanctions pénales est justifiée par la sensibilité des applications du PRS et des enjeux de sécurité associés. En outre, le coût pour la France et pour l'Union européenne dans son ensemble qu'auraient des atteintes et des menaces dirigées contre l'intégrité du service, impose que des sanctions dissuasives soient prévues.

La proportionnalité des sanctions et leur caractère dissuasif doivent être adaptés tant aux personnes physiques, qu'aux entreprises de taille moyenne ou aux acteurs économiques plus importants. Pour les personnes physiques et les entreprises de taille moyenne, une amende de 200 000 euros apparaît dissuasive. Pour les acteurs économiques plus importants, notamment les industriels de la défense, les peines complémentaires également encourues permettront d'atteindre cet objectif de dissuasion (voir infra ).

L'amende prévue à l'article L. 2323-4 apparaît proportionnée, notamment au regard des peines prévues par l'article L. 2339-2, qui punit de 100 000 euros d'amende et de sept ans d'emprisonnement la fabrication ou le commerce, sans autorisation, de matériels, d'armes ou de munitions. En l'espèce, si le montant de l'amende encourue est plus élevé, aucune peine d'emprisonnement n'est prévue.

La sanction proposée par ce nouvel article apparaît, enfin, conforme au principe constitutionnel de nécessité des peines.

Par ailleurs, le nouvel article L. 2323-5 sanctionnerait d'une amende de 50 000 euros la méconnaissance de l'obligation de déclaration prévue à l'article L. 2323-2.

Le montant de cette amende est inférieur à celui prévu à l'article L. 2323-4 étant donné qu'il vise les transferts au sein de l'Union européenne, dont les enjeux stratégiques sont moins importants.

Le montant de 50 000 euros d'amende apparaît donc proportionné et suffisamment dissuasif.

Enfin, le I du nouvel article L. 2323-6 prévoit diverses peines complémentaires pour les personnes physiques coupables de l'une des infractions prévues aux deux articles précédents :

- la confiscation : actuellement, en application de l'article 131-21 du code pénal, les juridictions de jugement peuvent assortir les condamnations d'une peine complémentaire de confiscation. Cette confiscation peut porter sur tous les biens qui sont l'objet ou le produit direct ou indirect de l'infraction, à l'exception des biens susceptibles de restitution à la victime ;

- l'interdiction d'exercer certaines activités : en application de l'article 131-27 du code pénal, qui prévoit qu'une condamnation peut être assortie d'une peine complémentaire d'interdiction d'exercer une fonction publique ou d'exercer une activité professionnelle. Si cette peine est temporaire, elle ne peut excéder une durée de cinq ans ;

- la fermeture des établissements ayant servi à commettre les faits incriminés : cette peine complémentaire est prévue par l'article 131-33 du code pénal. Elle est temporaire et ne peut excéder cinq ans ;

- l'exclusion des marchés publics : cette sanction complémentaire emporte l'interdiction de participer, directement ou indirectement, à tout marché conclu par l'État et ses établissements publics, les collectivités territoriales, leurs groupements et leurs établissements publics, ainsi que par les entreprises concédées ou contrôlées par l'État ou par les collectivités territoriales ou leurs groupements.

Le II du nouvel article L. 2323-6 prévoit des peines complémentaires pour les personnes morales déclarées responsables pénalement dans les conditions prévues à l'article 121-2 du code pénal.

L'article 131-9 du code pénal énonce les différentes peines complémentaires applicables aux personnes morales. Le présent article retient celles présentant un caractère adapté aux infractions visées ^{47 ( * )} , l'étude d'impact annexée au projet de loi évoquant plus particulièrement la fermeture d'un ou plusieurs établissements ou l'exclusion temporaire des marchés publics.

Au bénéfice de ces observations, les sanctions pénales prévues par la section 2 du nouveau chapitre du code de la défense, créé à l'article 22 du projet de loi, apparaissent donc à la fois dissuasives et proportionnées aux problèmes que soulèverait l'utilisation frauduleuse du PRS. Cependant, tant que les modalités précises d'autorisation n'auront pas été fixées par le règlement et tant que le PRS ne sera pas opérationnel, ces sanctions n'auront aucun caractère effectif.

Bien qu'il ne relève aucune difficulté particulière dans le régime introduit par l'article 22, votre rapporteur regrette toutefois, à la lumière des informations indiquées dans l'étude d'impact et de celles qui lui ont été communiquées au cours de ses auditions, qu'il ait été défini alors même que le dispositif envisagé pour la mise en oeuvre du PRS ne semble en être encore qu'à ses prémices. Il ne s'agirait, en quelque sorte, que d'une « coquille vide », mise en place aux seules fins de permettre à l'État français d'accéder à la technologie PRS. S'il comprend la nécessité de ce préalable juridique et estime qu'il serait irresponsable, compte tenu des enjeux, d'empêcher la France d'accéder à la technologie PRS, il estime qu'un travail plus fourni du Gouvernement et une information plus complète sur les accords ou absence d'accord entre États membres de l'Union européenne auraient été utiles pour éclairer les travaux du Parlement.

Votre commission a adopté l'article 22 sans modification .

TITRE IV - DISPOSITIONS APPLICABLES À L'OUTRE-MER

Article 23 (art. L. 344-1, L. 345-1, L. 345-2-1, L. 346-1 et L. 347-1 du code de la sécurité intérieure ; art. L. 2441-1, L. 2441-3-1, L. 2451-1, L. 2451-4-1, L. 2461-1, L. 2461-4-1, L. 2471-1 et L. 2471-3-1 du code de la défense) - Application en outre-mer

L'article 23 du projet de loi a pour objet de le rendre applicable dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, collectivités ultramarines sur le territoire desquelles une mention expresse d'application est nécessaire ^{48 ( * )} .

• L'application dans les outre-mer des titres I ^er et V du projet de loi

S'agissant de l'application des titres I ^er et V du projet de loi, qui ne font l'objet d'aucune codification, l'article 23 prévoit que leurs dispositions seront applicables sur l'ensemble du territoire de la République.

Afin de permettre l'application de l'article 2, qui comporte une référence à un règlement européen non applicable sur les territoires précités, l'article précise que sera applicable, dans ces mêmes territoires, le droit applicable en métropole en vertu de ce règlement.

À l'initiative de son rapporteur, votre commission a adopté un amendement COM-23 afin d'introduire un « compteur outre-mer » pour l'application du titre I ^er du projet de loi et faciliter son application à l'avenir en cas de modification par une loi ultérieure. Cette technique du compteur consiste à indiquer qu'une disposition est applicable dans une collectivité régie par le principe de spécialité législative dans sa rédaction résultant d'une loi déterminée, ce qui permet de savoir si les modifications ultérieures de cette disposition ont été ou non étendues.

Par le même amendement, elle a également reformulé, par souci de lisibilité, la disposition relative à l'application de l'article 2 du projet de loi.

• L'application dans les outre-mer des titres II et III du projet de loi

Pour l'application des titres II et III du projet de loi, qui ne comportent que des dispositions codifiées au sein des codes de la sécurité intérieure et de la défense, l'article 23 procède aux coordinations nécessaires au sein des dispositions relatives à l'application outre-mer de ces deux codes et actualise, à cet effet, les « compteurs outre-mer ».

Seuls les articles L. 2323-2 et L. 2323-5 du code de la défense, créés par l'article 22 du projet de loi, ne seraient pas applicables aux territoires ultra-marins, dans la mesure où ils concernent les transferts intracommunautaires, qui ne leur sont pas applicables.

Par ailleurs, l'article L. 2323-3 du code de la défense, créé par l'article 22 du projet de loi, comporte une référence à un règlement communautaire, non applicable à Wallis-et-Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises. En conséquence, l'article 23 prévoit de substituer la référence à ce règlement par une référence au droit applicable en métropole en vertu de ce règlement. Votre commission a, par l' amendement COM-21 rect. de son rapporteur, procédé aux mêmes modifications rédactionnelles que pour l'article 2, afin d'améliorer la lisibilité du dispositif.

Enfin, elle a, par le même amendement, mis à jour le « compteur outre-mer » de la loi n° 55-385 du 3 avril 1955 relative à l'état d'urgence afin d'assurer l'application en outre-mer des modifications introduites par l'article 21 bis .

Votre commission a adopté l'article 23 ainsi modifié .

Article 24 - Dispositions transitoires

L'article 24 du projet de loi a pour objet de reporter l'entrée en vigueur de certaines dispositions du projet de loi.

L'entrée en vigueur du titre I ^er , à l'exception du chapitre II relatif aux opérateurs économiques essentiels, serait fixée à une date déterminée par décret en Conseil d'État et devrait intervenir au plus tard le 9 mai 2018, soit la date maximale de transposition de la directive. Cette disposition transitoire vise à permettre au Gouvernement de prendre les mesures réglementaires nécessaires à son application.

L'article 24 précise par ailleurs, conformément à la directive, que la désignation des opérateurs économiques essentiels interviendrait au plus tard le 9 novembre 2018 ^{49 ( * )} .

Selon l'étude d'impact du projet de loi, l'entrée en vigueur du chapitre II aurait lieu à cette même date. Or, de l'avis de votre rapporteur, la rédaction proposée par l'article 24 ne permet pas de l'affirmer. Par ailleurs, bien que la liste des opérateurs économiques essentiels puisse être fixée de manière décalée, la directive prévoit que ses autres dispositions doivent être transposées par les États membres avant le 9 mai 2018. Dès lors, votre commission a jugé nécessaire de procéder à une modification du premier alinéa de l'article 24, afin de préciser que les dispositions de l'ensemble du titre I ^er entreraient en vigueur au plus tard le 9 mai 2018, seule la désignation des opérateurs économiques essentiels pouvant intervenir plus tardivement ( amendement COM-22 ).

Le titre II du projet de loi , transposant la directive (UE) 2017/853 du 17 mai 2017 relative à l'acquisition et à la détention d'armes, entrerait également en vigueur à une date fixée par décret en Conseil d'État. L'entrée en vigueur interviendrait, en tout état de cause, au plus tard le 14 septembre 2018, date maximale prévue pour la transposition de la directive, à l'exception des dispositions de l'article 18 du projet de loi relatives à l'instauration d'un contrôle administratif à l'égard des courtiers qui entreraient en vigueur au plus tard le 14 décembre 2019, comme le prévoit la directive.

L'article 24 vise par ailleurs à régir le régime transitoire pour les détenteurs d'armes de catégorie D1 acquises après la date d'entrée en vigueur de la directive, soit depuis le 13 juin 2017. Comme précisé précédemment, ces détenteurs auraient une obligation de régulariser leur situation et de procéder à la déclaration de leur arme auprès du préfet, dans des conditions fixées par décret en Conseil d'État (voir commentaire de l'article 16).

Votre commission a adopté l'article 24 ainsi modifié.

EXAMEN EN COMMISSION

___________

MERCREDI 13 DÉCEMBRE 2017

M. Philippe Bonnecarrère , rapporteur . - Le texte que nous examinons porte en réalité sur trois sujets distincts : le combat pour la cybersécurité, la lutte contre le trafic d'armes et le système européen de positionnement par satellites Galileo.

Le volet relatif à la cybersécurité vise à transposer la directive européenne Network and Information Security , dite NIS, du 6 juillet 2016
- dont la date maximale de transposition est le 9 mai 2018 - qui définit des règles minimales communes dans ce domaine pour certaines entreprises sensibles. Le dispositif qui nous est présenté me semble adapté, si ce n'est que son coût sera supérieur aux estimations de l'étude d'impact.

La directive de lutte contre le trafic d'armes, adoptée le 17 mai 2017, doit être transposée avant le 14 septembre 2018. À part des précisions sur les armureries et la vente par correspondance, elle ne mérite pas d'honneurs particuliers, dans la mesure où elle ne traite que des personnes qui s'inscrivent dans un cadre légal et ne s'attaque pas à la problématique du trafic illicite. Cette dernière question est abordée dans d'autres textes européens, notamment un règlement de 2015 qui harmonise les dispositions relatives à la neutralisation des armes de guerre et un texte de 2013, intégré à notre droit par un décret d'août 2017, encadrant la vente des substances pouvant servir à la fabrication d'explosifs.

Enfin, le dernier volet du projet de loi tire les conséquences, en droit français, de la décision du Parlement européen et du Conseil du 25 octobre 2011 relative aux modalités d'accès au service public réglementé offert par Galileo : afin de permettre l'accès de notre pays à ce service, le projet de loi introduit un cadre réglementaire assurant sa bonne utilisation et assorti de sanctions pénales. Il ne s'agit donc pas d'une transposition.

Quelques observations générales, avant l'examen détaillé. D'abord ces trois volets ne posent aucun problème au regard de la subsidiarité : le trafic d'armes et la cybercriminalité sont par nature sans frontières, et Galileo est un système européen. Ensuite, il n'y a pas de sur-transposition - un gros mot au Sénat ! - si ce n'est pour la directive « NIS », mais pour des motifs assumés par le Gouvernement et en lien avec les objectifs du texte. Enfin, la transposition de directives relevant des engagements internationaux de la France, l'examen de ce projet de loi est naturellement plus contraint que dans le cadre d'un projet de loi ordinaire.

La conscience des risques associés aux cyberattaques est très largement partagée en Europe au sein des autorités publiques et des grandes entreprises ; elle l'est moins parmi les PME. Le texte offre un socle de mesures de sécurité pour améliorer la fiabilité et la résilience des réseaux et systèmes d'information, assorti d'un contrôle par l'autorité administrative pouvant déboucher sur des sanctions. Les opérateurs ont l'obligation de signaler les incidents affectant leurs réseaux et systèmes d'information. Deux catégories d'acteurs sont concernées : les opérateurs de services essentiels et les fournisseurs de service numérique.

L'article 1 ^er du projet de loi définit la notion de réseaux et systèmes d'information. L'article 2 exclut du périmètre d'application les systèmes faisant déjà l'objet de mesures similaires. L'article 3 traite des règles de confidentialité ; l'article 4 indique qu'un décret en Conseil d'État fixera les modalités réglementaires d'application du dispositif.

L'article 5 définit les opérateurs de services essentiels comme ceux dont un dysfonctionnement ou un arrêt causés par une cyberattaque mettent en cause le fonctionnement de la société et de l'économie. Cette notion recoupe partiellement celle d'opérateur d'importance vitale introduite par la loi de programmation militaire de 2013. Ces opérateurs, désignés par le ministre et dont la liste est confidentielle, seraient au nombre de 250 environ et font l'objet d'obligations spécifiques.

Privés ou publics, les opérateurs de services essentiels répondraient à trois critères. Il s'agirait tout d'abord d'opérateurs fournissant « un service essentiel au fonctionnement de la société et de l'économie ». La directive identifie, à cet égard, sept secteurs, dont l'énergie, les transports, la santé et l'eau potable. La sur-transposition que j'évoquais porte sur la définition plus large retenue par le Gouvernement : alors que la directive définit ces opérateurs comme « assurant un service essentiel au maintien d'activités sociétales et/ou économiques critiques », le projet de loi n'introduit pas de notion de criticité. Cette définition permettrait, selon le Gouvernement, d'inclure des opérateurs des secteurs du tourisme, de l'agro-alimentaire, des assurances ou encore de la construction automobile, à travers les problématiques de la voiture autonome et des objets connectés ; au total, 600 entreprises pourraient entrer dans le champ d'application du projet de loi.

Cet élargissement est conforme à l'esprit de la directive ; néanmoins, il risque d'affecter la capacité des autorités à exercer un contrôle réel et présente un coût non négligeable, même si l'on sait que le coût des cyberattaques est également élevé. L'étude d'impact évalue de 1 à 2 millions d'euros par opérateur le coût de mise en place des mesures de sécurité exigées par la directive ; mais nombre d'entreprises concernées dépensent déjà probablement beaucoup plus. L'effet d'une telle mesure est systémique puisque les 600 entreprises qui devraient être concernées, pour l'essentiel de grande taille, et qui devront garantir la sécurité de leurs systèmes d'information, répercuteront ces exigences sur leurs sous-traitants. De plus, l'entrée en vigueur en 2018 du règlement européen sur la protection des données personnelles représentera un coût supplémentaire d'un milliard d'euros pour les entreprises.

Le deuxième critère d'identification d'un opérateur économique essentiel est que la fourniture du service essentiel soit tributaire des réseaux et des systèmes d'information ; le troisième et dernier critère est qu'un incident perturberait gravement la délivrance de ce service.

Le Gouvernement a fait le choix de maintenir les deux catégories distinctes d'opérateur d'importance vitale et d'opérateur de services essentiels. Ce n'est pas idéal, mais faire un autre choix reviendrait à modifier la loi de programmation militaire : en effet, les opérateurs d'importance vitale se voient imposer des dispositions, notamment en matière de sécurité des bâtiments et du personnel, qui vont bien au-delà des obligations des opérateurs de services essentiels.

Où faut-il insérer le texte dans la législation ? Aucune codification n'est prévue. Je n'ignore pas que notre commission n'apprécie pas les dispositions isolées ; toutefois le Conseil d'État n'a pas préconisé de codification, le texte oscillant entre le code de la sécurité intérieure et le code de la défense.

L'article 6 renvoie la définition des règles minimales concernant la protection des réseaux et systèmes d'information à un décret du Premier ministre. Or le texte prévoit également à l'article 9 des sanctions pénales en cas de manquement à ces obligations. Ce dispositif risque, sans plus de précision, de porter atteinte au principe à valeur constitutionnelle de légalité des délits et des peines. Je vous renvoie, à cet égard, à la décision du 23 mars 2017 du Conseil constitutionnel sur la loi relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre, ainsi que sur l'annulation plus récente des sanctions encourues par les représentants d'intérêts en cas de violation des règles déterminées par le Bureau de chaque assemblée parlementaire. Le Conseil constitutionnel précise que le législateur doit définir les obligations assorties de sanctions « en termes suffisamment clairs et précis ». Renvoyer la définition de ces obligations à des mesures réglementaires présente évidemment un risque majeur d'inconstitutionnalité. Or la réflexion, au niveau national, sur les mesures de sécurité applicables aux opérateurs de services essentiels est toujours en cours. Je propose donc d'inviter le Gouvernement, sous réserve de votre appréciation, à nous fournir d'ici là des indications beaucoup plus précises sur l'article 6.

La deuxième partie de la directive « NIS » concerne les fournisseurs de service numérique, c'est-à-dire les places de marché en ligne, les moteurs de recherche et le cloud . Les principes sont les mêmes que pour les opérateurs économiques essentiels mais le régime défini par la directive est plus souple. Ce régime n'est par ailleurs pas applicable aux entreprises de moins de 50 salariés et réalisant moins de 10 millions d'euros de chiffre d'affaires, ce qui semble de bon sens.

M. Philippe Bas , président . - Je propose que nous suivions les avis de notre rapporteur ; sur cette question très sensible, il importe que le Parlement mesure toute la portée des dispositions prises.

Mme Laurence Harribey . - Je remercie le rapporteur pour ce travail fouillé, complet et synthétique. En matière de cybersécurité, nous risquons à la fois la sous-transposition et la sur-transposition. En l'espèce, le diable se cache dans l'absence de détails... un champ trop large est laissé au pouvoir réglementaire. Il convient par conséquent de clarifier ce texte qui par endroits va en-deçà de la directive, et ailleurs va plus loin.

Ainsi, la question de la chaîne de responsabilité ne doit pas être négligée : à travers les sous-traitants, l'impact des obligations imposées aux entreprises s'élargit considérablement. Sur la notion de gravité des incidents, sur le système de notification, sur la confidentialité des données, les amendements du rapporteur améliorent considérablement le texte, c'est pourquoi mon groupe les votera.

M. Alain Marc . - Je m'interroge sur la prorogation des concessions hydroélectriques accordées à EDF. L'énergie est un domaine vital pour notre économie. Lors des pics de consommation, des fournitures d'électricité réciproques sont prévues entre pays au niveau européen et des lâchers d'eau très rapides sont effectués. Si, un jour, des centrales hydroélectriques sont détenues par des opérateurs extra-européens, les consommateurs européens seront-ils suffisamment protégés par la législation contre les cyberattaques ?

M. Philippe Bonnecarrère , rapporteur . - J'ai bien entendu le propos de Mme Harribey et les préoccupations qu'elle exprime sont aussi les miennes, ce que nous verrons lors de l'examen des amendements.

En ce qui concerne l'énergie, question soulevée par M. Marc, elle entre dans le champ de la directive et du projet de loi de transposition. On peut penser que RTE, gestionnaire du réseau de transport d'électricité, sera considéré comme un opérateur économique essentiel. Pour les entreprises qui exercent en France tout en ayant leur siège hors de l'Union européenne, le Gouvernement aura la possibilité de les intégrer dans ce classement. Cela ne me semble donc pas poser de difficulté particulière.

EXAMEN DES ARTICLES

Article 2

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-1 vise à harmoniser la notion d'opérateur de services de communications électroniques.

L'amendement COM-1 est adopté.

Article 3

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-2 vise à préciser les règles de confidentialité applicables aux services de l'État et aux prestataires de service habilité à effectuer des contrôles.

L'amendement COM-2 est adopté.

Article 4

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-3 est d'ordre rédactionnel.

L'amendement COM-3 est adopté.

Article 5

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-4 rectifié vise à mieux caractériser la notion d'incident susceptible d'avoir un impact important sur un service économique essentiel. Il permettra d'éviter un certain nombre de difficultés.

L'amendement COM-4 rectifié est adopté.

Article 7

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-5 vise à mieux encadrer les délais de signalement à l'agence nationale de sécurité des systèmes d'information (ANSSI) et de renvoyer à un décret la nomination de l'autorité compétente pour informer le public en cas d'incident majeur - cette autorité n'est pas nécessairement le Premier ministre.

L'amendement COM-5 est adopté.

Article 8

M. Philippe Bonnecarrère , rapporteur . - Plusieurs articles du projet de loi posent un problème de constitutionnalité, en particulier au regard du principe de légalité des délits et des peines. L'amendement COM-6 vise à corriger cela, en fixant dans des termes suffisamment clairs et précis le dispositif de l'injonction administrative qui s'applique en cas de manquement d'un opérateur économique essentiel à ses obligations.

L'amendement COM-6 est adopté.

Article 9

M. Philippe Bonnecarrère , rapporteur . - En cohérence avec l'amendement COM-6, l'amendement COM-7 prévoit de reformuler l'infraction prévue à l'article 9 du texte, afin de la préciser.

L'amendement COM-7 est adopté.

Article 10

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-8 tend à corriger une erreur de référence.

L'amendement COM-8 est adopté.

Article 11

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-9 vise à rendre obligatoire, pour un fournisseur de service numérique qui ne serait pas implanté au sein de l'Union européenne, de nommer un représentant sur le territoire national, dès lors qu'il n'en aurait pas désigné un dans un autre État membre de l'Union européenne. Il s'agit d'apporter une garantie, tout en respectant les règles du marché unique. Cet amendement répond ainsi à la préoccupation exprimée par M. Alain Marc à l'instant.

L'amendement COM-9 est adopté.

Article 12

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-10 propose une reformulation de l'article 12.

L'amendement COM-10 est adopté.

Article 13

M. Philippe Bonnecarrère , rapporteur . - Comme l'amendement COM-5, l'amendement COM-11 , qui concerne les opérateurs de réseaux, vise à mieux encadrer les délais de signalement à l'agence nationale de sécurité des systèmes d'information (ANSSI).

L'amendement COM-11 est adopté.

Article 14

M. Philippe Bonnecarrère , rapporteur . - Comme l'amendement COM-6, l'amendement COM-12 réécrit le dispositif d'injonction administrative en cas de manquement d'un fournisseur de service numérique aux obligations qui lui sont imposées.

L'amendement COM-12 est adopté.

Article 15

M. Philippe Bonnecarrère , rapporteur . - Par coordination avec l'amendement COM-12, l'amendement COM-13 propose une reformulation de l'infraction prévue.

L'amendement COM-13 est adopté.

Article 16

M. Philippe Bonnecarrère , rapporteur . - Avec l'article 16, nous abordons les dispositions du projet de loi relatives au contrôle de l'acquisition et de la détention d'armes.

Les attentats que nous avons connus en France et dans d'autres pays ont conduit l'Union européenne à adopter des mesures. Je rappelle que cette compétence est exercée conjointement par les trois institutions de l'Union européenne et que la difficulté des négociations avec le Parlement européen explique que certaines dispositions soient en retrait par rapport à ce qu'avait proposé la Commission européenne.

La directive prévoit la disparition de la catégorie D des armes à feu ; il ne subsistera donc que trois catégories. Le Gouvernement propose, dans ce projet de loi de transposition, que le législateur fixe le cadre général de ces catégories et que le pouvoir réglementaire en définisse précisément les conditions d'application. Cette logique me convient, mais peut poser des problèmes pratiques.

Le problème principal auquel vous serez confrontés, mes chers collègues, dans vos départements concerne les collectionneurs : en 2012, le législateur avait conféré une forme de protection législative aux armes historiques et à leurs reproductions, par rapport aux velléités d'intervention du pouvoir réglementaire dans ce domaine, en prévoyant que ces armes seraient libres d'acquisition et de détention. La directive ne va pas dans ce sens : elle préserve l'exclusion des armes historiques, mais elle modifie le régime pour leurs reproductions. Elle estime que les reproductions d'armes à feu anciennes peuvent être construites en recourant à des techniques modernes susceptibles d'améliorer leur durabilité et leur précision, ce qui accroit leur dangerosité.

J'évoquerai ce sujet à propos d'un amendement ; je crois pouvoir dire que, dans nos départements, personne ne soulèvera de questions particulières sur les articles du projet de loi relatifs aux opérateurs économiques essentiels, à la cybersécurité ou à Galileo, qui représente tout de même un investissement de 13,5 milliards d'euros ; en revanche, nous serons très probablement saisis du problème des reproductions d'armes historiques.

Par ailleurs, le texte prévoit un élargissement du champ des armes de la catégorie A, en y intégrant celles, semi-automatiques, qui pourraient redevenir automatiques. Il s'agit d'éviter de rendre disponibles des fusils d'assaut.

La directive prévoit deux dérogations principales, pour les tireurs sportifs et les sociétés de sécurité privée, et deux autres, plus marginales, pour les musées et les personnes qui travaillent dans la sécurité d'infrastructures critiques.

Le Gouvernement propose d'accepter la dérogation pour les tireurs sportifs : ils pourront continuer de détenir des armes de catégories A et B. Ce sujet a été beaucoup débattu au Parlement européen et il ne me semble pas utile de revenir dessus.

En ce qui concerne les sociétés de sécurité privée, elles pourront disposer d'armes, sous réserve des agréments nécessaires.

Le projet de loi détermine par ailleurs le régime d'agrément applicable aux professions d'armuriers et de courtiers. Les modalités de délivrance d'un agrément préalable pour un armurier ou un courtier sont précisées et reposeront sur les compétences professionnelles et l'honorabilité privée, c'est-à-dire le contrôle du bulletin n° 2 du casier judiciaire.

La directive introduit une disposition intéressante : l'interdiction d'une livraison, au domicile de l'acquéreur, des armes achetées à distance ou par correspondance. L'achat par correspondance reste possible, mais à condition de passer par un armurier ou de se faire livrer chez un armurier. Il s'agit de bien identifier l'acheteur et de permettre la consultation du fichier FINIADA qui recense les personnes interdites d'acquisition ou de détention d'armes.

Enfin, le texte prévoit un encadrement des transactions dites suspectes : la directive évoque uniquement la possibilité de refuser de fournir des munitions ; le projet de loi va au-delà, en permettant à un armurier ou à un courtier de refuser de vendre une arme ou des munitions à quelqu'un, sans se voir opposer le principe général du refus de vente.

Vous le voyez, l'ensemble de ces dispositions est plutôt de nature technique et le projet de loi renvoie largement au pouvoir réglementaire. Surtout, le texte concerne uniquement l'achat d'armes, mais pas le trafic illégal, qui est évidemment un sujet majeur de préoccupation, en particulier en ce qui concerne le terrorisme.

M. Pierre-Yves Collombat . - Avez-vous des exemples de méfaits commis avec des armes historiques ou de collection et remises au goût du jour ?

M. Philippe Bonnecarrère , rapporteur . - Je n'en ai pas, ce qui rejoint l'argument de certains acteurs, par exemple les représentants des clubs, pour lesquels très peu d'incidents sont le fait de tireurs régulièrement inscrits. Pour autant, le ministère de l'intérieur est très attentif à ce qu'il appelle le commerce « gris » : il considère que le statut peu défini de collectionneur ne doit pas alimenter des transactions non transparentes. C'est une question importante, dont vous ne manquerez pas, mes chers collègues, d'être saisis... D'ailleurs, je souhaite que nous puissions éviter d'avoir un débat quasi philosophique sur la notion de collectionneur ou sur la protection du patrimoine. Je vous proposerai au travers des amendements que je vais vous présenter maintenant de dépassionner un peu ce débat.

L'amendement COM-14 concerne justement cette question. Les demandes des collectionneurs se concentrent sur deux points.

En ce qui concerne les reproductions d'armes historiques, qui sont aujourd'hui libres d'acquisition et de détention, la directive impose aux États membres, en raison des techniques modernes qui peuvent augmenter la dangerosité de ces armes, de durcir le régime qui leur est appliqué.

Pour les collectionneurs, la suppression de la catégorie D mettrait les armes historiques et leurs reproductions « à la merci du pouvoir réglementaire » - pour reprendre leur expression -, qui aurait, selon eux, de mauvaises intentions. En 2012, le législateur avait répondu favorablement à leur lobbying, en classant en catégorie D2 ces armes, et les collectionneurs voudraient conserver une forme de protection législative. Je rappelle que l'on peut toujours disposer d'armes, y compris de guerre, à partir du moment où elles sont neutralisées.

Dans ce contexte, je vous propose de conserver le classement des armes historiques et de leurs reproductions en catégorie D2 - comme le demandent les collectionneurs -, sauf pour certaines armes présentant une dangerosité élevée et dont la liste serait fixée par décret en Conseil d'État. C'est un amendement de compromis : nous conservons le « chapeau » législatif, mais le ministère de l'intérieur peut identifier des armes dont il estime qu'elles sont dangereuses. J'essaye ainsi de répondre à la demande des collectionneurs, mais sans blanc-seing et en permettant au ministère de contrôler les choses.

M. Dany Wattebled . - J'ai deux questions. Qu'entend-on exactement par la notion de collectionneur, qui est un peu floue ? Ensuite, combien d'armes dites anciennes sont modernisées et en quelle quantité ? Si le nombre des reproductions est faible, les problèmes sont moindres que dans le cas contraire.

M. Philippe Bonnecarrère , rapporteur . - La notion de collectionneur est assez précise, puisqu'elle repose sur la détention d'une carte, qui est délivrée par les préfectures.

Sur le nombre d'armes réalisées sous forme de répliques, je ne peux pas vous répondre précisément, mais on peut penser qu'il est assez considérable. On touche du doigt le problème que je soulevais : nous ne sommes pas des analystes de la classification des armes et de leur dangerosité, il faut laisser ce rôle au pouvoir réglementaire.

Enfin, je dois vous dire que je n'ai pas déposé d'amendement reprenant la demande la plus importante présentée par les collectionneurs, qui souhaitent obtenir une dérogation, dont ils ne bénéficient pas aujourd'hui, pour acquérir et détenir des armes des catégories A et B antérieures à 1946. Encore une fois, je parle d'armes actives, puisqu'ils peuvent en tout état de cause détenir des armes dites démilitarisées. Le ministère de l'intérieur y est opposé et, au-delà de cette position, je crois, en conscience, que cette demande va trop loin.

L'amendement COM-14 est adopté.

Article 17

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-15 apporte une précision rédactionnelle en ce qui concerne les dérogations au principe d'interdiction de l'acquisition et de la détention d'armes de catégorie A.

L'amendement COM-15 est adopté.

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-16 apporte également certaines précisions au texte.

L'amendement COM-16 est adopté.

Article 18

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-17 vise à mieux distinguer, au sein de l'article L. 313-2 modifié du code de la sécurité intérieure, les activités relevant de la profession d'armurier et celles de la profession de courtier.

L'amendement COM-17 est adopté.

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-18 apporte des précisions en ce qui concerne les livraisons d'armes et de munitions acquises entre particuliers, directement ou à distance.

L'amendement COM-18 est adopté.

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-19 est également de précision.

L'amendement COM-19 est adopté.

Article additionnel après l'article 21

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-20 apporte une coordination.

L'amendement COM-20 est adopté.

Article 22

M. Philippe Bonnecarrère , rapporteur . - Je ne propose pas d'amendement sur l'article 22 qui concerne Galileo, mais je souhaite vous apporter quelques précisions. Le réseau compte actuellement 17 satellites sur les 30 attendus ; hier, un lancement a permis d'en ajouter 5, même si l'on ne sait pas encore s'ils sont bien positionnés. Le coût de ce programme européen décidé à la fin des années 1990 s'élèvera, au total, à 13,5 milliards d'euros. Son exécution a été extrêmement longue.

Depuis 2016, grâce à un nombre suffisant de satellites en orbite, le système Galileo permet de commencer à obtenir des données précises. Il est prévu que Galileo supporte trois services : un service en libre accès ; un service commercial, qui devait être payant, mais qui ne le sera certainement pas en raison de la concurrence des systèmes américain, le GPS, russe ou chinois ; un service dit sécurisé, directement lié aux questions de souveraineté nationale, puisqu'il s'agit des applications de Galileo à la défense.

C'est ce dernier service qui fait l'objet de l'article 22 du projet de loi. En 2011, les États membres de l'Union européenne ont décidé que, si un pays voulait activer l'utilisation de ce service lié au renseignement et à la défense, il devait mettre en place une autorisation administrative. Le projet de loi vise à fixer un cadre administratif minimal pour ouvrir cette possibilité d'utilisation. Il comprend un dispositif de sanction pénale.

Cet article fournit un cadre minimal, qui permet de démarrer les opérations, mais il est certain que nous devrons à nouveau examiner cette question dans les années à venir.

Article 23

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-21 rectifié concerne l'application outre-mer du projet de loi.

L'amendement COM-21 rectifié est adopté.

Article 24

M. Philippe Bonnecarrère , rapporteur . - L'amendement COM-22 concerne la date d'entrée en vigueur de certaines dispositions.

L'amendement COM-22 est adopté.

Le projet de loi est adopté dans la rédaction issue des travaux de la commission.

Le sort des amendements examinés par la commission est retracé dans le tableau suivant :

LISTE DES PERSONNES ENTENDUES

Service central des armes (ministère de l'intérieur)

M. Pascal Girault , chef du service

M. Bertrand Boittiaux , chef du pôle expertise

Mme Cécile Guerin , rédactrice à la cellule du réseau territorial

M. Antoine Meslin , rédacteur Union européenne

Secrétariat général de la défense et de la sécurité nationale (Premier ministre)

Général de corps aérien Philippe Steininger , secrétaire général adjoint

M. Stéphane Moinard , autorité PRS Galileo

Mme Marie Prévot , conseiller juridique

M. Ludovic Lestel , conseiller juridique

Direction Générale des Entreprises (Ministère de l'économie et des Finances)

M. Christophe Ravier , adjoint au chef du service de l'économie numérique

Mme Florine Haghighat , chargée de mission au bureau de la réglementation des communications électroniques (service de l'économie numérique)

Agence nationale de la sécurité des systèmes d'information (ANSSI)

M. Julien Barnu , directeur de cabinet

Centre national d'études spatiales (CNES)

M. Jean-Yves Le Gall , président

M. Pierre Tréfouret , directeur du cabinet du président

M. David Comby , coordonnateur interministériel délégué Galileo

Mouvement des entreprises de France (MEDEF)

M. Bruno Rouault , directeur général adjoint en charge des affaires économiques

Mme Clémentine Furigo , juriste, chargée de mission à la direction droit de l'entreprise

M. Jules Guillaud , chargé de mission à la direction des affaires publiques

Groupe La Poste

M. Gabriel de Brosses , directeur de la cybersécurité

Chambre syndicale nationale des armuriers

M. Yves Gollety , président

Comité Guillaume Tell

M. Thierry Coste , secrétaire général

M. Dominique Billot , président de la chambre syndicale nationale des fabricants et distributeurs d'armes et munitions

Fédération des collectionneurs pour la sauvegarde du patrimoine et la préservation des véhicules, équipements ou armes historiques (FPVA)

M. Stéphane Nerrant , vice-président

Union Française des amateurs d'Armes (UFA)

M. Jean-Jacques Buigné , président

Association des services internet (ASIC)

M. Giuseppe de Martino , président, également président de Loopsider

Tech In France

M. Loïc Rivière , délégué général

Mme Alice Garza , chargée de mission affaires publiques

M. Jean-Sébastien Mariez , avocat à la cour de Paris

Contribution écrite

Confédération des petites et moyennes entreprises (CPME)

---

* ¹ Directive 91/477/CEE du Conseil du 18 juin 1991 relative au contrôle de l'acquisition et de la détention d'armes.

* ² Directive 2008/51/Ce du Parlement européen et du Conseil du 21 mai 2008.

* ³ Règlement d'exécution (UE) 2015/2403 de la Commission du 15 décembre 2015 établissant des lignes directrices communes concernant les normes et techniques de neutralisation en vue de garantir que les armes à feu neutralisées sont rendues irréversiblement inopérantes.

* ⁴ Décret n° 2017-1308 du 29 août 2017 relatif à la commercialisation et à l'utilisation de précurseurs d'explosifs.

* ⁵ Règlement (UE) n° 98/2013 du Parlement européen et du Conseil du 15 janvier 2013 sur la commercialisation et l'utilisation de précurseurs d'explosifs.

* ⁶ Référé du 26 janvier 2016 : « La contribution de la France aux programmes européens Galileo et EGNOS de radionavigation par satellite ».

* ⁷ Systèmes de radionavigation par satellite.

* ⁸ Décision n° 1104/2011/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux modalités d'accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo.

* 9 Citée supra.

* ¹⁰ Décision n° 2006-543 DC du 30 novembre 2006, la loi relative à l'énergie.

* ¹¹ Décision n° 2006-540 DC du 27 juillet 2006, loi relative au droit d'auteur et aux droits voisins dans la société de l'information.

* ¹² Décision n° 2006-540 DC du 27 juillet 2006, loi relative au droit d'auteur et aux droits voisins dans la société de l'information, cons. 19.

* ¹³ L'article 1 ^er de l'ordonnance définit un système d'information comme « tout ensemble de moyens destinés à élaborer, traiter, stocker ou transmettre des informations faisant l'objet d'échanges par voie électronique entre autorités administratives et usagers ainsi qu'entre autorités administratives ».

* ¹⁴ Le considérant n° 20 de la directive impose aux Etats membres de désigner les services essentiels « au moins pour chaque sous-secteur visé ». Aussi la directive n'interdit-elle pas aux Etats membres d'aller au-delà en identifiant des services essentiels dans d'autres secteurs ou sous-secteurs économiques.

* ¹⁵ L'article 7 du projet de loi utilise la notion de rupture de continuité de service.

* ¹⁶ Selon les informations communiquées à votre rapporteur, 600 entreprises environ pourraient être concernées.

* ¹⁷ Décision n° 2012-240 QPC du 4 mai 2012.

* ¹⁸ Décision n° 73-80 L du 28 novembre 1973.

* ¹⁹ Décision n° 2017-750 DC du 23 mars 2017, loi relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre.

* ²⁰ L'article 25 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique prévoit des obligations de communication d'informations à la Haute Autorité pour la transparence de la vie publique pour les représentants d'intérêts, assorties, en cas de manquement, de sanctions. L'article prévoit qu'un décret en Conseil d'État précise les modalités de mise en oeuvre de ces obligations. Le Conseil constitutionnel, dans sa décision n° 2016-741 DC du 8 décembre 2016 a jugé cet article conforme à la Constitution.

* ²¹ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

* ²² Article 21 de la directive.

* ²³ Article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

* ²⁴ Art. 121-1 du code pénal.

* ²⁵ Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»).

* ²⁶ Considérant n° 49 de la directive.

* ²⁷ Considérant n° 60 de la directive.

* ²⁸ Voir article R. 311-2 du code de la sécurité intérieure.

* ²⁹ Modifié par le 7° de l'article 17 du projet de loi.

* ³⁰ Modifié par le II de l'article 19 du projet de loi.

* ³¹ Décret n° 2011-1253 du 7 octobre 2011 modifiant le régime des matériels de guerre, armes et munitions.

* ³² L'État n'est pas soumis au principe d'interdiction d'acquisition et de détention d'armes de catégorie A pour les besoins de la sécurité et de la défense nationale.

* ³³ Art. R. 312-22 du code de la sécurité intérieure.

* ³⁴ Art. R 312-26 du code de la sécurité intérieure.

* ³⁵ Art. R. 312-27 du code de la sécurité intérieure.

* ³⁶ Art. R. 312-30 du code de la sécurité intérieure.

* ³⁷ Art. R. 312-31 du code de la sécurité intérieure.

* ³⁸ L'article L. 312-3 du code de la sécurité intérieure interdit l'acquisition et la détention d'armes de catégorie B et C, et, jusqu'à présent, de catégorie D lorsqu'elles sont soumises à enregistrement, aux personnes dont le bulletin n° 2 du casier judiciaire comporte mention de certaines infractions graves, limitativement énumérées. L'article L. 312-3-1 prévoit quant à lui la possibilité pour l'autorité administrative d'interdire l'acquisition et la détention d'armes par les « personnes dont le comportement laisse craindre une utilisation de ces armes dangereuse pour elles-mêmes et pour autrui ». Ses dispositions seraient étendues aux armes de catégorie A.

* ³⁹ Art. L. 312-16 du code de la sécurité intérieure.

* ⁴⁰ Art. L. 312-11 du code de la sécurité intérieure.

* ⁴¹ Considérant n° 4.

* ⁴² Art. L. 313-4 du code de la sécurité intérieure.

* ⁴³ Citée supra.

* ⁴⁴ Position commune 2008/944/PESC du Conseil du 8 décembre 2008.

* ⁴⁵ Décision déléguée de la Commission du 15 septembre 2015 complétant la décision n°1104/2011/UE prise en application de l'article 8 de cette décision.

* ⁴⁶ Règlement n° 428/2009 du Conseil du 5 mai 2009 instituant un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit de biens à double usage.

* ⁴⁷ Dissolution (1°), interdiction, à titre définitif ou pour une durée de cinq ans au plus, d'exercer directement ou indirectement une ou plusieurs activités professionnelles ou sociales (2°), fermeture définitive ou pour une durée de cinq ans au plus des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés (4°), exclusion des marchés publics à titre définitif ou pour une durée de cinq ans au plus (5°), confiscation (8°), affichage de la décision prononcée ou la diffusion de celle-ci soit par la presse écrite, soit par tout moyen de communication au public par voie électronique (9°), interdiction, pour une durée de cinq ans au plus de percevoir toute aide publique attribuée par l'Etat, les collectivités territoriales, leurs établissements ou leurs groupements ainsi que toute aide financière versée par une personne privée chargée d'une mission de service public (12°).

* ⁴⁸ Loi n° 61-814 du 29 juillet 1961 pour les îles Wallis et Futuna, loi organique n° 2004-192 du 27 février 2004 pour la Polynésie française, loi organique n° 99-209 du 19 mars 1999 pour la Nouvelle-Calédonie, loi n° 55-1052 du 6 août 1955 portant statut des Terres australes et antarctiques françaises et de l'île de Clipperton.

* ⁴⁹ Article 5 de la directive (UE) 2016/114.