EXAMEN EN COMMISSION
Réunie le mardi 13 octobre 2020, la commission a examiné le rapport et le texte de la commission sur la proposition de loi n° 629 (2019-2020) pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public.
Mme Sophie Primas , présidente . - Nous examinons à présent la proposition de loi, déposée par M. Laurent Lafon, pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public. Il me faut procéder à un rappel concernant la procédure d'examen d'une proposition de loi issue d'un groupe minoritaire. Celle-ci est régie par un accord entre les groupes politiques, dont le principe est le suivant : afin de préserver l'initiative sénatoriale, les groupes minoritaires ont le droit à l'examen de leurs textes, inscrits dans leurs espaces réservés, jusqu'à leur terme, et ces textes ne peuvent être modifiés par la commission sans leur accord. Ainsi, aucun amendement ne peut être adopté aujourd'hui s'il ne reçoit pas l'accord du groupe UC. Bien entendu, des amendements pourront être librement déposés en vue de la séance publique.
Mme Anne-Catherine Loisier , rapporteure . - Vu les délais, j'ai préparé mon rapport sans procéder à des auditions, mais en me fondant sur de rapides consultations écrites.
Cette proposition de loi appelle notre attention sur un sujet crucial, qui monte en puissance mais reste insuffisamment pris en compte par nos concitoyens, qu'il s'agisse des acheteurs publics ou des entreprises : la cybersécurité. La cybersécurité recouvre l'ensemble des dispositifs techniques permettant de préserver la disponibilité, l'intégrité et la confidentialité des données et des services numériques. La sécurité des données peut aussi être menacée par les pratiques des Gafam ( Google, Apple, Facebook, Amazon et Microsoft ), ou par des lois à portée extraterritoriale, comme le Cloud Act qui, en 2018, a créé une sorte de droit d'ingérence américain.
Le cyber envahit notre quotidien, en tous cas pour ceux qui ont la chance d'accéder à des réseaux performants et de maîtriser les outils numériques. Le Gouvernement ambitionne de dématérialiser 100 % des 250 démarches les plus utilisées par les citoyens d'ici à mai 2022. La crise de la Covid a, paradoxalement, à la fois amplifié la fracture numérique et vu exploser certains usages : on a ainsi observé une hausse significative des commandes en ligne et des visioconférences, qu'elles soient utilisées à des fins professionnelles ou personnelles.
Malheureusement, cet usage accru du numérique ne va pas de pair avec les précautions nécessaires. Les scandales et les failles de sécurité à répétition qui ont pu, depuis l'affaire Cambridge Analytica , affecter de grandes entreprises du numérique, ont certes eu un effet de sensibilisation de nos concitoyens aux enjeux de cybersécurité : selon un sondage, 90 % des Français considèrent que les données personnelles sont précieuses, qu'elles devraient être davantage protégées et qu'elles sont convoitées par les géants du Net. Cependant, cette prise de conscience n'amène pas forcément un changement dans les habitudes de consommation. Or, en recourant à des plateformes non sécurisées, les consommateurs s'exposent à de nombreux risques : enregistrement vidéo à l'insu des participants, utilisation de la reconnaissance vocale pour attribution pérenne de propos qu'on pense oubliés à l'issue de la conversation, espionnage...
Les pouvoirs publics sont également la cible de nombreuses attaques, en particulier les collectivités territoriales et le secteur de la santé. Au-delà des cyberattaques, la question de savoir si les entreprises auxquelles les pouvoirs publics décident de recourir pour opérer certains de leurs services présentent des garanties suffisantes quant à la sécurité des données qu'elles traitent est régulièrement posée, comme l'illustre la polémique relative au contrat passé par l'État avec Microsoft pour prendre en charge la plateforme des données de santé « Health Data Hub », qui centralise les données de santé des Français en vue de favoriser la recherche et l'innovation - ou, il y a quelques années, le recours de la DGSI à Palantir Technologies .
Enfin, les entreprises sont aussi particulièrement exposées aux risques pesant sur la sécurité de leurs données : selon une enquête de la Confédération des petites et moyennes entreprises, en 2019, 40 % des PME déclaraient avoir déjà subi une attaque ou une tentative d'attaque. Selon un sondage, seules 39 % des entreprises se disent suffisamment préparées en cas de cyberattaques de grande ampleur. La question est donc de savoir si les prestataires choisis présentent des garanties suffisantes quant à la sécurité de leurs données stratégiques, lesquelles ne sont pas protégées par un règlement général de protection des données (RGPD), contrairement à celles des personnes physiques.
La proposition de loi que nous examinons a un double objectif : mieux sensibiliser les consommateurs et les acheteurs publics aux impératifs de la cybersécurité. Elle comporte deux articles. Le premier concerne les consommateurs, le second concerne les acheteurs publics. L'article 1 er propose que les consommateurs soient mieux informés sur la sécurisation des données lorsqu'ils utilisent des solutions numériques. De nombreux textes régissent déjà la cybersécurité, à commencer par le RGPD, qui impose aux responsables de traitement d'utiliser des systèmes d'information suffisamment sécurisés. Mais les textes en vigueur sont assez peu tournés vers l'information du consommateur. Cela apparaît comme un vrai manque, que l'article 1 er propose de combler. Cela passerait par un diagnostic de cybersécurité obligatoire, dont les modalités exactes sont renvoyées à un décret.
En accord avec M. Laurent Lafon, je vous propose un amendement pour préciser ce dispositif, afin d'en faire un véritable nutriscore de la cybersécurité, autrement dit un cyberscore. Il s'agirait essentiellement d'améliorations d'ordre technique, notamment quant au champ d'application du dispositif, qui ne serait obligatoire que pour les services les plus utilisés et inclurait tous les services numériques, et pas seulement les plateformes au sens du code de la consommation - ce qui permettrait d'inclure les solutions de visioconférence.
L'article 2 propose que les acheteurs publics prennent en compte « les impératifs de cybersécurité » dans la détermination des besoins des marchés publics. Cet article a le mérite d'appeler les acheteurs publics à mieux considérer cet aspect de leurs achats, de plus en plus important, puisqu'on voit se multiplier les applications utilisées par les collectivités territoriales. Il est essentiel d'assurer cette sécurité, à la fois pour garantir la confiance des citoyens dans les services publics numérisés et pour soutenir les acteurs vertueux en la matière.
Cependant, le code de la commande publique a vocation à s'appliquer à tous les marchés publics, et pas seulement à ceux concernés par les enjeux de cybersécurité. Insérer la prise en compte d'un impératif particulier dans un dispositif à vocation générale serait inapproprié et ouvrirait la porte à la prise en compte de nombreux autres impératifs particuliers. Malgré ces réserves, en application de l'accord entre groupes politiques sur les propositions de loi de groupes minoritaires, je ne proposerai pas d'évolution au stade de la commission.
En ce qui concerne les entreprises, qui ne sont pas concernées par la proposition de loi à ce stade, je rappelle que, afin de favoriser l'utilisation, par les TPE-PME, de solutions de cybersécurité, nous avions proposé, avec plusieurs de nos collègues, lors de l'examen d'un amendement au troisième projet de loi de finances pour 2020, la création d'un crédit d'impôt à la numérisation des entreprises qui aurait pris en compte les dépenses exposées par celles-ci pour assurer leur sécurité informatique. Ce dispositif est cependant à ce jour écarté par le Gouvernement. Il mériterait d'être repris.
Au-delà de l'incitation financière des entreprises à se sécuriser informatiquement, et face à la nécessité pour les entreprises de stocker leurs données auprès de prestataires de confiance, je souhaite mener un travail de réflexion pour aboutir à un dispositif d'ici à la séance, qui permettrait de mieux informer les entreprises lorsqu'un prestataire est soumis à une loi extraterritoriale pouvant menacer la sécurité de ses données.
Pour terminer, un point d'ordre technique à propos de l'application de l'article 45 de la Constitution, comme prévu par le vade-mecum applicable en la matière : je vous propose de considérer qu'entrent dans le champ des dispositions présentant un lien direct ou indirect avec le texte les mesures tendant à renforcer l'information du public sur les enjeux de cybersécurité et de sécurisation des données posés par les services numériques.
En somme, cette proposition de loi arrive très à propos. Je vous proposerai donc de la voter, malgré mes réserves sur l'article 2. En accord avec son auteur et son groupe politique, je proposerai un amendement visant à améliorer l'article 1 er .
Mme Sophie Primas , présidente . - Je rappelle que l'article 45 interdit les amendements ne portant pas sur le champ du texte en discussion.
M. Franck Montaugé . - Comment ce texte - dont je partage les objectifs - s'articule-t-il avec le Cybersecurity Act , règlement européen datant de 2019 ? L'Agence nationale de sécurité des systèmes d'information (Anssi) propose déjà des certifications de premier niveau. Le texte en tient-il compte ?
Mme Anne-Catherine Loisier , rapporteure . - Nous avons tenu compte du fait qu'un Cybersecurity Act doit être mise en oeuvre, semble-t-il début 2021. La certification promue par ce texte lui est complémentaire. Surtout, il s'agit de mieux informer le consommateur sur le niveau de sécurité proposé.
M. Franck Montaugé . - Et sur les prestations de l'Anssi ?
Mme Anne-Catherine Loisier , rapporteure . - C'est un domaine différent de celui de l'information du consommateur : il s'agit du dispositif de sécurité demandé par les entreprises dont la vocation première n'est pas d'informer le consommateur. L'Anssi n'est pas oubliée : mon amendement propose qu'elle puisse habiliter les organismes à délivrer les diagnostics de cybersécurité.
M. Franck Montaugé . - J'avais compris que l'Anssi certifiait aussi des processus, outre les organisations d'entreprises. Cela concerne donc les plateformes...
EXAMEN DES ARTICLES
Mme Anne-Catherine Loisier , rapporteure . - Mon unique amendement, COM-1 , propose quelques modifications pour compléter et préciser le dispositif. Il étend son champ d'application à tous les services numériques : non seulement les sites internet, logiciels en ligne et autres applications, mais aussi les logiciels de visioconférences - d'ailleurs cités par l'exposé des motifs - ce qui va plus loin que la seule notion de « plateformes en ligne » au sens du code de la consommation. Il limite le champ d'application du dispositif aux services numériques les plus utilisés, selon des seuils à définir. Cela évitera d'imposer de trop fortes contraintes à des petites structures. Il prévoit que la validité du diagnostic soit déterminée par arrêté, qui aurait vocation à être réexaminé régulièrement. La désignation des organismes habilités à effectuer des diagnostics reviendrait à l'Anssi, qui dispose d'une vision globale sur les dispositifs de cybersécurité, et non à un décret. Enfin, l'amendement précise que le diagnostic devrait être présenté de façon intelligible pour le consommateur et que cela pourrait se traduire par un logo de type nutriscore : c'est l'idée du cyberscore. De cette façon, le consommateur pourrait tout de suite voir s'il fait face à un service sécurisé, moyennement sécurisé ou pas sécurisé du tout.
L'amendement COM-1 est adopté.
L'article 1 er est adopté dans la rédaction issue des travaux de la commission.
Article 2
L'article 2 est adopté sans modification.
La commission adopte le texte de la proposition de loi dans la rédaction issue de ses travaux.