EXAMEN DES ARTICLES
Article 1er - Information des consommateurs sur la sécurisation des données hébergées par les plateformes numériques.
Cet article vise à obliger les plateformes numériques à fournir aux consommateurs un diagnostic de cybersécurité afin de mieux informer ceux-ci sur la sécurisation de leurs données.
En accord avec l'auteur de la proposition de loi et de son groupe, la commission a adopté un amendement pour conforter le dispositif proposé.
I. La situation actuelle - La cybersécurité : une exigence croissante, une information des consommateurs lacunaire.
A. La cybersécurité est une menace croissante à mesure de la numérisation de tous les aspects de la vie sociale, ce qui exige une prise de conscience des consommateurs.
1. La cybsersécurité comme protection des données confiées à un prestataire.
L'Anssi définit la cybersécurité de façon technique, comme un « état recherché pour un système d'information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l'intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu'ils rendent accessibles . La cybersécurité fait appel à des techniques de sécurité des systèmes d'information et s'appuie sur la lutte contre la cybercriminalité et sur la mise en place d'une cyberdéfense ». Il s'agit donc de préserver les données personnelles 4 ( * ) ou professionnelles stockées et les services proposés des diverses menaces techniques 5 ( * ) .
Mais la sécurité des données que l'on confie à un prestataire peut aussi être menacée par des lois à portée extraterritoriales. C'est notamment le cas du Cloud Act américain, dont la commission d'enquête sur la souveraineté numérique du Sénat a montré les risques. C'est d'ailleurs en raison des législations en vigueur aux États-Unis que la Cour de justice de l'Union européenne a, en juillet dernier, annulé pour la seconde fois l'accord (dit « Privacy Shield » 6 ( * ) ) conclu entre l'Union européenne et les États-Unis en vue de permettre le transfert de données personnelles depuis l'Union européenne vers les États-Unis.
La cybersécurité peut donc s'analyser c'est, à tout le moins, de cette façon que semble l'aborder la proposition de loi commentée tant au regard d'acteurs malveillants (« pirates » informatiques par exemple) qu'au regard de prestataires qui ne fourniraient pas de garanties suffisantes, soit parce qu'ils ne mettraient pas en place les techniques nécessaires, soit en raison du droit qui s'applique à eux, qui ne serait pas de nature à garantir le respect du droit des données personnelles en vigueur en Europe. Devant la commission d'enquête sénatoriale sur la souveraineté numérique, le directeur général d'OVH rappelait ainsi que « choisir un acteur américain ou chinois est lourd de conséquences tant au niveau de la protection des données que pour la viabilité à long terme de la filière numérique en Europe ».
2. Elle est un risque croissant à mesure que tous les aspects de notre vie sociale se numérise.
Pour ceux qui ont la chance d'accéder à des réseaux performants et de maîtriser les outils numériques on rappellera ici que, fin 2019, la fibre n'était déployée que pour moins de la moitié des locaux de notre territoire, que la 4G est loin d'être généralisée et qu'il est estimé que 13 millions de Français sont éloignés du numérique , leur vie est de plus en plus virtuelle : ils interagissent sur les réseaux sociaux, par messagerie en ligne, ils cherchent un emploi et travaillent en ligne, ils remplissent les formulaires administratifs en ligne, ils réservent leurs vacances en ligne, ils écoutent de la musique, regardent des productions audiovisuelles et jouent en ligne, ils s'informent en ligne, etc.
La crise de la Covid-19 a amplifié à la fois la fracture numérique mais aussi certains usages numériques : on a ainsi observé une hausse significative des commandes en ligne et des visioconférences, qu'elles soient utilisées à des fins professionnelles ou personnelles.
La croissance à venir de l'internet des objets, qui a déjà été le sujet d'une résolution sénatoriale examinée en 2018 par la commission des affaires économiques 7 ( * ) , est également de nature à étendre la surface de vulnérabilité, comme le prouvent les failles de sécurité régulièrement découvertes dans les enceintes connectées vendues par Amazon et Google.
3. Si elle semble être une préoccupation essentielle de nos concitoyens, cela ne conduit pas pour autant à une modification des pratiques.
Dans un sondage réalisé en décembre 2019 pour le compte de la Commission nationale de l'informatique et des libertés (Cnil), l'institut Ifop dévoilait que 68 % des Français se disent plus sensibles qu'avant à la question de la protection de leurs données personnelles 8 ( * ) . Selon un autre sondage, plus de 90 % des Français sont d'accord pour considérer que les données personnelles sont précieuses, qu'elles devraient être davantage protégées et qu'elles sont convoitées par les géants du Net 9 ( * ) .
Cependant, on observe que cette prise de conscience n'amène pas forcément à un changement d'habitudes. Ainsi, selon le sondage Ifop précité, si 45 % des personnes interrogées ont déjà constaté des abus dans l'utilisation faite de leurs données personnelles, parmi elles, seules 20 % ont pris des mesures en réponse à ces abus . De même, selon un autre sondage Ifop produit en janvier 2020 pour le compte de la Cnil, 65 % des personnes interrogées donnant leur accord à l'utilisation de leurs données personnelles en ligne admettent ainsi avoir déjà accepté le dépôt d'un cookie sans en être tout à fait d'accord , que ce soit par facilité, ou parce qu'ils ne savaient pas comment refuser 10 ( * ) . Dans le même sens, de nombreux Français, y compris des organisations institutionnelles, se sont précipités, lors du confinement, sur les solutions de visioconférences les plus faciles à utiliser sans se préoccuper des risques quant à la confidentialité des échanges. Or, en recourant à des plateformes non sécurisées, les consommateurs s'exposent à de nombreux risques : enregistrement vidéo à l'insu des participants, utilisation de la reconnaissance vocale pour attribution pérenne de propos qu'on pense oubliés à l'issue de la conversation, espionnage, manipulation via deep fake ...
Quoi qu'il en soit, il faut souligner que plus de la moitié des Français (56 %) se disent insatisfaits de l'action des pouvoirs publics 11 ( * ) .
B. De nombreux textes traitent de la sécurité des solutions numériques, mais ceux-ci ne régissent pas le niveau d'information à donner au consommateur .
Les règles applicables aux solutions numériques sites internet, logiciels, applications, objets connectés... constituent un ensemble d'obligations disparates, délicates à articuler entre elles, et ne répondant pas totalement à la problématique de l'information des consommateurs sur les solutions qu'ils utilisent.
1. Le droit des données personnelles prévoit, sous le contrôle de la Cnil, une certaine information des consommateurs et permettrait l'émergence d'un dispositif de certification volontaire des solutions numériques.
Des exigences d'information du consommateur mises à la charge de tout responsable de traitement quant aux données personnelles recueillies et à la sécurité des traitements de ces données existent dans le cadre du règlement européen sur la protection des données personnelles 12 ( * ) de 2016 (dit « RGPD ») « transposé » en France en 2018 13 ( * ) .
Sous peine de sanctions administratives pouvant aller jusqu'à 2 à 4 % du chiffre d'affaires annuel mondial, le responsable de traitement des données doit :
fournir certaines informations , comme l'identité et les coordonnées du responsable du traitement, les finalités du traitement, la durée de conservation des données, les destinataires des données et le fait que le responsable du traitement a l'intention d'effectuer un transfert de données à caractère personnel à un destinataire dans un pays tiers ;
mettre en oeuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque . La Cnil a ainsi eu l'occasion de prononcer plusieurs sanctions pour défaut de sécurité 14 ( * ) .
Du reste, le règlement européen prévoit que les États membres « encouragent (...) la mise en place de mécanismes de certification en matière de protection des données ainsi que de labels et de marques en la matière , aux fins de démontrer que les opérations de traitement effectuées par les responsables du traitement et les sous-traitants respectent » ses règles. Ainsi, la Cnil peut, selon la loi française, et dans une logique d'accompagnement des acteurs, « décider de certifier des personnes, des produits, des systèmes de données ou des procédures aux fins de reconnaître qu'ils se conforment au règlement ». Elle n'a, à ce jour, mis en place que la certification des data protection officer. Aussi, on peut s'interroger sur la pertinence, pour l'autorité, de mettre en place une certification des solutions numériques, qu'il s'agisse de sites internet, de logiciels ou d'applications, eu égard à leur cybersécurité dans la mesure où c'est l'Anssi qui, en France, est l'opérateur de la cybersécurité civile. Il convient de noter que la certification est une démarche volontaire de l'entreprise concernée.
2. Le droit de la cybersécurité oblige, sous le contrôle de l'Anssi, certains fournisseurs de services numériques à s'assurer de la sécurité de leurs systèmes d'informations et prévoit un cadre de certification volontaire harmonisé au niveau européen des solutions numériques.
La directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union de 2016, dite « NIS » transposée en France en 2018 15 ( * ) impose certaines obligations à certains fournisseurs de service numérique. Trois types de services sont concernés par la directive : place de marché en ligne, moteur de recherche en ligne, service informatique en nuage. Ils sont ainsi tenus de garantir « un niveau de sécurité des réseaux et des systèmes d'information nécessaires à la fourniture de leurs services dans l'Union européenne adapté aux risques existants ». Ils doivent également notifier les incidents de sécurité affectant les réseaux et systèmes d'information nécessaires à la fourniture de leurs services « lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services ». Si l'Anssi est informée qu'un fournisseur ne satisfait pas à ses obligations légales, elle est autorisée à procéder à un contrôle, directement ou par l'intermédiaire de prestataires habilités. Elle peut prononcer une injonction administrative et les fournisseurs de services numériques s'exposent à des sanctions pénales en cas d'infraction.
Par ailleurs, le règlement européen relatif à l'Enisa et à la certification de cybersécurité des technologies de l'information et des communications de 2019 (ou Cybersecurity Act ) 16 ( * ) prévoit la mise en place d'un schéma de certification européen portant notamment sur les fournisseurs de services dits « en nuage ». Ce schéma se substituera aux schémas nationaux des États membres. La certification sera volontaire, sauf disposition contraire du droit de l'Union ou du droit d'un État membre.
En France, l'Anssi propose actuellement deux niveaux de certification.
La certification Anssi
Selon l'Anssi, « la certification est l'attestation du niveau de robustesse d'un produit, basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous l'autorité de l'ANSSI, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques ». Elle se distingue de la qualification, qui est définie comme « la recommandation par l'État français de produits ou services de cybersécurité éprouvés et approuvés par l'Anssi ».
Le schéma français offre deux types de certifications, tous deux considérés, comme le souligne l'exposé des motifs de la proposition de loi, « de haute qualité » : la certification « critères communs » , standard internationalement reconnu s'inscrivant dans des accords de reconnaissance multilatéraux et la « certification de sécurité de premier niveau », moins exhaustive en vue de traiter des risques plus modérés. Ces deux certifications sont réalisées par des laboratoires d'analyse technique agréés par l'Anssi.
Les services de visioconférence entrent dans le champ de la qualification appelée « SecNumCloud », gérée par l'Anssi qui permet de certifier l'ensemble des services déployés « en nuage » - c'est notamment le cas de la solution de visioconférence commercialisée par l'entreprise française Tixéo, qui est également certifiée. Les autres cas visés par l'exposé des motifs, comme par exemple les services de stockage de données sur des réseaux privés, pourraient être couverts par la certification de sécurité de premier niveau proposée par l'Anssi.
Ce cadre de certification, qui vise à harmoniser les conditions de la certification par les autorités nationales, est encore en cours d'élaboration au niveau européen, en lien avec les autorités nationales compétentes : selon l'Anssi, l'objectif est de parvenir à un schéma européen au premier semestre 2021 pour une mise en oeuvre entre 2022 et 2023. Le schéma de certification devrait comprendre trois niveaux de sécurité, dont le premier niveau avec des coûts de certification limités et l'accès à une information claire et compréhensible pour les utilisateurs finaux.
Par ailleurs, en application du règlement, des informations devraient être mises à disposition du public par les fournisseurs de produits et services certifiés , telles que « des orientations et des recommandations pour aider les utilisateurs finaux à assurer, de façon sécurisée, la configuration, l'installation, le déploiement, le fonctionnement et la maintenance des produits TIC ou services TIC, la période pendant laquelle une assistance en matière de sécurité sera offerte aux utilisateurs finaux, en particulier en ce qui concerne la disponibilité de mises à jour liées à la cybersécurité; les informations de contact du fabricant ou du fournisseur et les méthodes acceptées pour recevoir des informations concernant des vulnérabilités de la part d'utilisateurs finaux et de chercheurs dans le domaine de la sécurité, une mention relative aux répertoires en ligne recensant les vulnérabilités publiquement divulguées liées au produit TIC, service TIC ou processus TIC ainsi que tout conseil pertinent en matière de cybersécurité ».
3. Le droit des communications électroniques oblige certains fournisseurs de services en ligne à respecter des obligations de sécurité.
Certains services de messagerie en ligne ou de communication par visioconférence pourraient également entrer dans le champ de la réglementation applicable aux communications électroniques issu de la directive portant code européen des communications électroniques adoptée en 2018 17 ( * ) , en tant que « services de communication interpersonnelle sans numérotation ».
Les fournisseurs de tels services se voient ainsi imposer une obligation de sécurité, sur le modèle de la directive « NIS », consistant à prendre « des mesures techniques et organisationnelles adéquates et proportionnées pour gérer les risques en matière de sécurité des réseaux et des services de manière appropriée ». Ils doivent également notifier tout incident de sécurité ayant eu un impact significatif sur le fonctionnement des services. Les États membres doivent veiller à ce que l'autorité compétente pour mettre en oeuvre cette disposition ait le pouvoir d'exiger des mesures correctives ou préventives. Les fournisseurs de services doivent également fournir les informations nécessaires à l'évaluation de la sécurité de leurs services à l'autorité compétente et, le cas échéant, se soumettre à un audit.
Dans la transposition envisagée par le Gouvernement dans le cadre de l'ordonnance prévue par le projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne en matière économique et financière actuellement en cours de discussion au Parlement 18 ( * ) (dit « dadue »), le ministre chargé des communications électroniques devrait être informé en cas d'incident, lequel pourrait enjoindre des mesures pour y remédier. Par ailleurs, l'Autorité de régulation des communications électroniques et des postes (Arcep) pouvant utiliser son pouvoir de sanction en cas de manquement à toute disposition législative ou réglementaire au respect desquelles elle a pour mission de veiller, elle pourrait être saisie pour sanctionner un manquement.
4. Des évolutions en cours.
S'agissant du droit de la cybersécurité, plusieurs initiatives sont en cours ou à venir au niveau européen . La Commission européenne prévoit d'adopter une Communication sur la stratégie de cybersécurité le 15 décembre prochain. Le même jour sera présentée une révision de la directive « NIS ».
Le droit de la consommation devrait également bientôt faire une place plus grande aux mises à jour de sécurité : en application de directives européennes que le projet de loi dit « dadue » habilite le Gouvernement à transposer par ordonnance, les mises à jour de sécurité seront bientôt susceptibles d'être expressément considérées comme des critères de conformité couverts par la garantie de conformité des biens et services numériques 19 ( * ) .
II. Le dispositif envisagé - Une obligation, pour les plateformes, d'informer le consommateur sur la sécurisation de leurs données par la fourniture d'un diagnostic de cybersécurité.
L' article 1 er de la proposition de loi modifie le code de la consommation en vue d' imposer aux plateformes d'informer le consommateur sur « la sécurisation des données » qu'elles hébergent , directement ou par un sous-traitant. Concrètement, cette obligation d'information se traduirait par la fourniture d'un « diagnostic de cybersécurité » dont les indicateurs seraient fixés par décret et qui serait effectué par des organismes également listés par décret, tout comme la durée de validité du diagnostic. Autrement dit, c'est davantage un diagnostic qu'une certification qu'il est proposé de mettre en place.
Article L. 111-7 du code de la consommation, tel que modifié par la proposition de loi
« (...) II.- Tout opérateur de plateforme en ligne est tenu de délivrer au consommateur une information loyale, claire et transparente sur :
1° Les conditions générales d'utilisation du service d'intermédiation qu'il propose et sur les modalités de référencement, de classement et de déréférencement des contenus, des biens ou des services auxquels ce service permet d'accéder ;
2° L'existence d'une relation contractuelle, d'un lien capitalistique ou d'une rémunération à son profit, dès lors qu'ils influencent le classement ou le référencement des contenus, des biens ou des services proposés ou mis en ligne ;
3° La qualité de l'annonceur et les droits et obligations des parties en matière civile et fiscale, lorsque des consommateurs sont mis en relation avec des professionnels ou des non-professionnels.
4° La sécurisation des données hébergées, par l'opérateur lui-même ou ses prestataires. À cette fin, l'opérateur doit fournir un diagnostic de cybersécurité dont les indicateurs sont fixés par décret et effectué par des organismes dont la liste est établie par décret. Sa durée de validité est également fixée par décret .
Un décret précise les conditions d'application du présent article en tenant compte de la nature de l'activité des opérateurs de plateforme en ligne. (...) »
En application de l'article L. 131-4 du code de la consommation, tout manquement à ces dispositions serait passible d'une amende administrative dont le montant ne peut excéder 75 000 euros pour une personne physique et 375 000 euros pour une personne morale, prononcée par la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF).
L'exposé des motifs précise qu'il s'agit de s'inspirer des diagnostics de performance énergétique imposés en cas d'achat de logement et que cette action s'inscrirait « dans la continuité du travail déjà réalisé par l'Agence nationale de la sécurité des systèmes d'information (Anssi ) » sur les certifications, bien que le processus devrait, en l'espèce, être moins lourd. L'exposé des motifs précise également que cette proposition « s'inscrit dans la démarche européenne ayant conduit à la mise en place du Cybersecurity Act ».
III. La position de la commission - Pour un « cyberscore » des solutions numériques.
Le risque pesant sur les usages numériques ne cesse de croître et les utilisateurs sont souvent démunis face aux choix multiples qui s'offrent à eux en matière de services numériques car ils ne bénéficient pas d'une information claire et facile d'accès sur ce sujet. Ils peuvent donc avoir recours, sans le savoir, à des solutions présentant des manques criants en matière de cybersécurité. C'est ainsi que des failles peuvent être exploitées par des acteurs malveillants pour aspirer nos données personnelles et les réutiliser.
Afin que le consommateur ne soit plus démuni, il convient de créer un « nutriscore » de la cybersécurité des solutions numériques, autrement dit « un cyberscore » . C'est ce que propose l'article 1 er . Ce dispositif reste très largement à construire, c'est pourquoi la proposition de loi renvoie abondamment à des textes d'application.
La difficulté résidera sans doute dans la définition des indicateurs pertinents, ceux-ci pouvant être différents en fonction de la solution numérique concernée site internet, logiciel, application... On peut, par exemple, penser au chiffrement de bout en bout pour les services numériques impliquant des communications. On peut également imaginer des critères de nature moins techniques et se rapprochant de la logique de « name and shame », comme le nombre de condamnations par une autorité en charge de la protection des données personnelles ou le nombre de failles mises à jour. On peut, encore, imaginer des critères se rapprochant d'une logique de « loi de blocage », en prenant en compte l'existence d'une loi à portée extraterritoriale menaçant les données personnelles.
De plus, on peut s'interroger sur la question de savoir s'il ne serait pas plus pertinent de ne viser que les données personnelles plutôt que l'ensemble des données.
Un équilibre devrait quoi qu'il en soit être trouvé entre les coûts que ce type d'audit serait susceptible d'engendrer et la nécessité de bien informer le consommateur.
Ce dispositif se distinguerait de la certification. Il s'agirait de passer d'une logique dans laquelle seul le prestataire qui demande une certification se préoccupe de la cybersécurité de ses solutions, pour accoutumer les consommateurs à ces enjeux et les inciter à se diriger vers les prestataires les plus vertueux.
La certification ne serait nullement remise en cause : elle est également un vecteur efficace pour garantir l'émergence d'une offre de confiance lisible pour les utilisateurs. Ainsi, le « cyberscore » ne viendrait pas perturber la mise en place du schéma de certification au niveau européen : rien ne serait pire que d'avoir à mettre en oeuvre une obligation au niveau national sur la base d'un schéma voué à disparaître rapidement (en revanche, une fois un tel schéma volontaire de certification mis en place depuis plusieurs années, l'opportunité de le rendre obligatoire pourrait être envisagée, comme permis par le Cybersecurity Act européen) !
En accord avec l'auteur de la proposition de loi et son groupe politique, la commission a adopté, à l'initiative de la rapporteure, un amendement ( COM-1 ) proposant plusieurs ajustements qu'elle estime susceptibles d'améliorer le dispositif d'un point de vue technique :
la notion d'opérateur de plateforme, au sens du code de la consommation, dont l'activité consiste en un référencement de produits en ligne ou à la mise en relation de personnes en vue de réaliser des échanges, ne couvrirait pas l'ensemble des solutions évoquées par l'exposé des motifs, notamment le cas des solutions de visioconférence ou des services de stockage en ligne. Il convenait donc d' adopter une terminologie plus large , permettant d'embrasser à la fois les sites internet, les logiciels et les applications, embarqués ou non, qu'ils soient à destination du public ou soient le support de correspondances privées. C'est pourquoi la rapporteure propose de recourir à la notion de « fournisseur de service de communication au public en ligne » figurant, par exemple, à l'article L. 32 du code des postes et des communications électroniques, qui comprend les services permettant à leurs utilisateurs d'échanger des correspondances et sont soumis, à ce titre, par le même code, au respect du secret des correspondances 20 ( * ) ;
afin d'assurer davantage de souplesse dans l'établissement et la « mise à jour » des indicateurs, l'amendement substitue au décret définissant les indicateurs et la durée de validité du diagnostic un arrêté et à celui listant les organismes habilités à conduire le diagnostic la désignation de ces organismes par l'Anssi ;
ensuite, l'amendement précise que le diagnostic devrait être présenté de façon intelligible pour le consommateur et que cela pourrait se traduire par un logo de type « nutriscore » ;
enfin, il limite le champ d'application du dispositif aux services les plus utilisés , selon des seuils à déterminer par décret.
La commission a adopté l'article ainsi modifié.
Article 2 - Prise en compte des impératifs de cybersécurité dans les marchés publics
Cet article vise à modifier le code de la commande publique pour préciser que la nature et l'étendue des besoins à satisfaire par un marché public sont déterminés en prenant en compte « les impératifs de cybersécurité ».
Malgré des réserves sur l'opportunité d'une telle insertion, la commission a adopté cet article sans modification en raison de l'accord entre groupes politiques relatif à l'examen des propositions de loi.
I. La situation actuelle - La nécessité d'une attention accrue quant à la sécurité des données traitées par les pouvoirs publics.
A. L'Anssi accompagne des pouvoirs publics particulièrement exposés aux risques cyber.
1. L'exposition importante des pouvoirs publics aux actes malveillants.
Comme l'a souligné notre collègue Jérôme Bascher, « les pouvoirs publics, au coeur des enjeux stratégiques et décisionnels des démocraties, constituent une cible privilégiée des attaquants de toutes origines, étatiques ou non » 21 ( * ) . L'Anssi souligne ainsi que, sur la base d'un échantillon d'attaques par rançongiciels 22 ( * ) en France, « les collectivités territoriales et le secteur de la santé sont majoritairement concernés (...). Si cela peut être essentiellement dû à la qualité des signalements d'incidents faits à l'ANSSI, cela peut également montrer l'intérêt des attaquants pour des entités réputées faiblement dotées en sécurité informatique ou dont la rupture d'activité aurait un impact social important » 23 ( * ) .
En effet, en l'absence de ressources humaines adéquates, de nombreuses collectivités se lancent dans le déploiement de solutions numériques sans prendre conscience des risques 24 ( * ) . Selon un sondage, la majorité des fonctionnaires territoriaux estime que leur administration ne possède pas de programme de cybersécurité 25 ( * ) .
2. L'Anssi, acteur de la cybersécurité des pouvoirs publics.
Créée en 2009 dans le sillage du Livre blanc sur la défense et la sécurité nationale de 2008, l'Anssi est le principal acteur de l'accompagnement des pouvoirs publics afin de prévenir les risques de cyberattaques, qu'elle agisse dans le cadre du régime des opérateurs d'importance vitale ou au-delà.
Elle concourt à l'élaboration du référentiel général de sécurité auquel les administrations publiques doivent se conformer pour assurer la sécurité des informations échangées par voie électronique avec les usagers 26 ( * ) .
Elle s'est dotée, à compter de 2015, d'un réseau de délégués régionaux pour rapprocher son action des territoires. Elle a publié en janvier 2020 un guide consacré à l'essentiel de la réglementation de cybersécurité à destination des collectivités territoriales.
B. La nécessité de prendre en compte les enjeux de cybersécurité dans les marchés publics.
Deux motifs commandent de prendre en compte la cybersécurité dans les marchés publics. Le premier est de s'assurer que la puissance publique utilise des solutions suffisamment sécurisées et puisse, ainsi, inspirer confiance aux citoyens . Plus le degré de sensibilité de la donnée conservée est important, plus la cybersécurité est un enjeu crucial.
Le second consiste, dans une logique de politique industrielle, à soutenir les solutions françaises et européennes de confiance et se conformant au règlement général sur la protection des données personnelles, dans un contexte où les États sont très présents dans le soutien aux acteurs concurrents non européens.
Ainsi, la commission d'enquête sénatoriale sur la souveraineté numérique avait souligné que « quand les administrations utilisent des logiciels achetés à des entreprises privées, elles doivent s'assurer de la sécurité de l'accès à ces informations et de l'impossibilité pour le fournisseur de les recueillir et de les exploiter ». Or, elle remarquait que « lors des auditions menées (...), il ne nous est pas apparu formellement que l'État, dans ses politiques d'achats de matériels et de logiciels informatiques, avait une doctrine générale pour intégrer dans ses appels d'offre cette dimension essentielle de la sécurité des données » 27 ( * ) . La polémique récente sur le Health Data Hub , dont la gestion des données a été confiée à Microsoft, alors que des acteurs français s'estimaient en mesure de réaliser a minima une partie du marché, est le dernier épisode en date. Une sénatrice a d'ailleurs demandé la création d'une commission d'enquête 28 ( * ) . L'affaire fait désormais l'objet d'un contentieux devant le Conseil d'État.
À ce jour, il n'y a aucune disposition propre à la cybersécurité dans le code de la commande publique . Cela s'explique par la vocation généraliste d'un tel code, qui traite de l'ensemble de la commande publique, quelle que soit la prestation objet du contrat.
Cela ne doit pas empêcher les acheteurs publics de prendre en compte les impératifs qui y sont liés lors de l'achat de fournitures ou de services à travers les marchés publics . Ainsi, les acheteurs publics peuvent exiger une certification des solutions numériques qu'ils commandent 29 ( * ) . Afin d'accompagner les acheteurs publics, un cahier des clauses simplifiées de cybersécurité a été approuvé par arrêté 30 ( * ) .
Du reste, il n'est pas exclu que la responsabilité pénale des personnes publiques puisse être mise en cause pour les dommages causés à autrui par l'intermédiaire d'un système d'information non sécurisé.
II. Le dispositif envisagé - La prise en compte des impératifs de cybersécurité dans la définition des besoins des marchés publics .
L' article 2 modifie le code de la commande publique pour préciser que la nature et l'étendue des besoins à satisfaire par un marché public sont déterminés en prenant en compte « les impératifs de cybersécurité » .
Article L. 2111-1 du code de la commande publique, tel que modifié par la proposition de loi
Lors de la préparation d'un marché public, « la nature et l'étendue des besoins à satisfaire sont déterminées avec précision avant le lancement de la consultation en prenant en compte des objectifs de développement durable dans leurs dimensions économique, sociale et environnementale, ainsi que les impératifs de cybersécurité . »
L'exposé des motifs souligne l'importance d'adopter « une réelle stratégie de maîtrise et de protection des données publiques » compte tenu des attaques quotidiennes contre leurs systèmes d'information, « qui menacent la continuité du service public et la sécurité des données de nos concitoyens ».
III. La position de la commission - Une proposition qui met en lumière les carences des acheteurs publics en matière de cybersécurité.
La rapporteure partage totalement l'objectif poursuivi par cet article, à savoir renforcer la prise en compte des impératifs de cybersécurité dans les marchés publics, et en particulier dans la définition précise du besoin, à la fois pour susciter la confiance du public et soutenir les solutions les plus vertueuses en la matière. Elle rappelle que la cellule « numérique » de suivi de la crise mise en place par la commission des affaires économiques lors du confinement 31 ( * ) avait plaidé pour que la Banque des territoires développe une offre d'ingénierie dédiée à l'accompagnement des collectivités en matière de cybersécurité.
Cependant, elle émet des réserves sur le moyen d'atteindre cet objectif proposé par l'article 2, qui se résument de la façon suivante : une loi de portée générale est affaiblie si elle inclut des objectifs particuliers. En effet, les impératifs de cybersécurité ne concernent pas tous les marchés publics. Ce qui emporte, comme l'a souligné auprès de la rapporteure la direction des affaires juridiques des ministères économiques et financiers, deux conséquences :
en droit, un tel ajout risquerait de se heurter au principe d'égalité devant la commande publique, qui impose de ne formuler les exigences en termes d'expression des besoins, de critères de choix et de clauses d'exécution qu'en lien avec l'objet du marché. Or, une telle exigence portant sur la cybersécurité ne serait pas en lien avec tous les marchés ;
en opportunité, il est souvent demandé d'ajouter aux articles à portée générale du code de la commande publique des préoccupations légitimes mais particulières, comme la sécurité du travail, l'urgence climatique, la confidentialité, la préservation des données, le bien-être animal... Insérer de telles préoccupations particulières risquerait d'affaiblir la portée de cet article.
La commission a adopté l'article sans modification, compte tenu de l'accord entre les groupes politiques relatif à l'examen des propositions de loi.
* 4 Une donnée personnelle se définit comme toute information se rapportant à une personne physique identifiée ou identifiable.
* 5 Voir le rapport annuel « État de la menace liée au numérique » , Délégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces.
* 6 Cet accord avait été conclu en 2016 suite à l'invalidation du précédent accord (dit « Safe Harbor ») par la même Cour.
* 7 Résolution européenne du Sénat sur la régulation des objets connectés et le développement de l'internet des objets en Europe, mai 2018.
* 8 Source : rapport annuel de la Cnil pour l'année 2019.
* 9 Opinion Way pour Dolmen Technologies, Les Français et les scandales liés aux données personnelles, juillet 2019.
* 10 Source : rapport annuel de la Cnil pour l'année 2019.
* 11 Sondage OpinionWay précité.
* 12 Règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
* 13 Loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles.
* 14 Voir notamment la délibération de la formation restreinte n° SAN - 2019-005 du 28 mai 2019 prononçant une sanction pécuniaire à l'encontre de la société SERGIC (sanction de 400 000 euros), délibération de la formation restreinte n° SAN - 2019-007 du 18 juillet 2019 prononçant une sanction pécuniaire à l'encontre de la société ACTIVE ASSURANCES (sanction de 180 000 euros).
* 15 Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité.
* 16 Règlement 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) no 526/2013.
* 17 Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen.
* 18 Projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne en matière économique et financière, déposé au Sénat en février dernier.
* 19 Voir les articles 7 et 8 des directives 2019/771 du Parlement européen et du Conseil du 20 mai 2019 relative à certains aspects concernant les contrats de vente de biens et 2019/770 du Parlement européen et du Conseil du 20 mai 2019 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques.
* 20 Article L. 32-3 du code des postes et des communications électroniques.
* 21 La sécurité informatique des pouvoirs publics , octobre 2019.
* 22 Un rançongiciel est un code malveillant empêchant la victime d'accéder au contenu de ses fichiers afin de lui extorquer de l'argent.
* 23 Anssi, État de la menace rançongiciel à l'encontre des entreprises et institutions , 2020.
* 24 Voir Olivier Kempf, C ybersécurité et résilience : les grandes oubliées des territoires , Fondation pour la recherche stratégique, mai 2020.
* 25 Numerama.com, Les collectivités territoriales : maillon faible de la cybersécurité du secteur public ? , 7 mars 2018.
* 26 En application de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
* 27 Le devoir de souveraineté numérique , rapport de Gérard Longuet au nom de la commission d'enquête, octobre 2019.
* 28 Nathalie Goulet, Proposition de résolution tendant à la création d'une commission d'enquête sur la protection des données de santé, juin 2020.
* 29 Arrêté du 22 mars 2019 fixant la liste des renseignements et des documents pouvant être demandés aux candidats aux marchés publics.
* 30 Arrêté du 18 septembre 2018 portant approbation du cahier des clauses simplifiées de cybersécurité.
* 31 Anne-Catherine Loisier et Marc Daunis, Plan de relance de la commission des affaires économiques du Sénat, Tome VII : Numérique, télécoms et postes , juin 2020.