II. LES PRINCIPALES OBSERVATIONS DU RAPPORTEUR SPÉCIAL
Dans la continuité de ces dernières années, le renforcement des moyens de la mission « Direction de l'action du Gouvernement » reflète la place croissante accordée aux enjeux relatifs au numérique et à l'écologie. Malgré les nécessaires efforts de maîtrise de la dépense publique, le rapporteur spécial considère l'ensemble de ces moyens supplémentaires comme globalement justifiés au regard de l'importance croissante des enjeux liés à la régulation du numérique et à la gouvernance écologique.
A. UNE PLACE CROISSANTE ACCORDÉE AUX ENJEUX DU NUMÉRIQUE ET À SA RÉGULATION
1. Un nouveau renforcement des moyens alloués à la cyber-sécurité et à la protection des données personnelles
Depuis une dizaine d'années, un nombre croissant de cyber-attaques touche directement les intérêts de l'Etat, mais également ceux des collectivités territoriales, des entreprises, de divers établissements publics ou de certains opérateurs d'intérêt vital (hôpitaux, centrales nucléaires...). À titre d'exemple, pas moins de 203 attaques par logiciel de rançon (ou rançongiciel) ont été traitées par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en 2021, soit une hausse de 5 % rapport à l'année 2020 et un triplement par rapport à l'année 2019.
Nombre d'incidents traités par l'ANSSI entre 2019 et 2021
|
Catégorie d'incident traité |
2019 |
2020 |
2021 |
Évolution 2019-2021 |
|
Intrusion |
370 |
759 |
1 057 |
+ 285 % |
|
Attaque par rançongiciel |
69 |
192 |
203 |
+ 294 % |
|
Incident majeur |
9 |
7 |
8 |
- |
Source : commission des finances du Sénat, à partir des rapports annuels d'activité de l'ANSSI
Dans ce contexte, l'attention croissante accordée par l'État à la cyber-sécurité se traduit par le nouveau renforcement des moyens alloués à l'Agence nationale de la sécurité des systèmes d'information (ANSSI) , qui bénéficiera en 2023 d'un schéma d'emplois de 46 ETP supplémentaires, après avoir déjà bénéficié de 50 nouveaux ETP en 2022. L'agence bénéficiera également d'une dotation supplémentaire de 25 millions d'euros en autorisations d'engagement, afin de lui permettre l'acquisition d'un second bâtiment à Rennes . Ces nouveaux locaux viendront compléter le bâtiment déjà acquis par l'agence en 2021, pour un montant de 20,65 millions d'euros, à proximité du pôle cyber-défense du ministère des armées situé à Rennes. Cette antenne territoriale de l'ANSSI aura vocation à accueillir 200 agents de l'ANSSI , principalement issus de la direction des opérations de l'agence, à l'horizon 2025. Son travail viendra compléter celui du nouveau service de vigilance et de protection contre les ingérences numériques étrangères, Viginum , opérationnel depuis le premier semestre 2022.
Le service de vigilance et de protection contre les ingérences numériques étrangères (VIGINUM)
Créé par le décret n° 2021-922 du 13 juillet 2021, le service de vigilance et de protection contre les ingérences numériques étrangères (VIGINUM) a pour mission de détecter, analyser et caractériser les opérations d'ingérence numérique étrangères aux fins de manipulation de l'information sur les réseaux sociaux , en particulier - mais pas exclusivement - durant les périodes de campagne électorale.
Il est également chargé de l'animation et de la coordination au niveau interministériel des actions de protection de l'État face à de telles opérations.
Rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN), ce service à compétence nationale est pleinement opérationnel depuis le premier semestre 2022 et sera hébergé à l'hôtel national des Invalides à compter de 2023. Il bénéficie d'un budget annuel de 7 millions d'euros et de 65 ETP.
Source : annexes budgétaires
En outre, la Commission nationale de l'informatique et des libertés (CNIL) , qui travaille en étroite coopération avec l'ANSSI sur les sujets relatifs à la protection des données, verra ses effectifs renforcés à hauteur de 18 ETP en 2023 afin de lui permettre d'exercer sa mission croissante de protection numérique des données . Environ 80 % des contrôles effectués par la CNIL révèlent en effet des problèmes de sécurité des données, tandis que 43 % des notifications reçues par la CNIL en 2021 concernent des attaques par rançongiciel , qui peuvent conduire à des diffusions massives et non-désirées de données personnelles et avoir un impact important pour les personnes ou les organismes touchés.
La direction interministérielle du numérique (DINUM) disposera également de moyens supplémentaires (+ 10 ETP), notamment pour fiabiliser et sécuriser les communications des administrations par internet, et poursuivra la mise en oeuvre du programme « tech.gouv », qui vise notamment à accompagner le développement des nouveaux services publics numériques et à soutenir la modernisation numérique des administrations.
Enfin, le présent projet de loi acte également un nouveau renforcement des moyens alloués au Groupement interministériel de contrôle (GIC) et à l' Opérateur des systèmes d'information interministériels classifiés (OSIIC), qui bénéficieront respectivement de 34 ETP et de 9 ETP supplémentaires.
2. Le renforcement des moyens alloués à la régulation de la communication audiovisuelle et numérique
Parallèlement au renforcement des moyens alloués à la cyber-sécurité, le présent projet de loi poursuit le renforcement des outils de régulation des plateformes numériques. La nouvelle Autorité de régulation de la communication audiovisuelle et numérique (ARCOM) , issue de la fusion du Conseil supérieur de l'audiovisuel (CSA) et de la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur internet (HADOPI), est ainsi pleinement opérationnelle depuis le 1 er janvier 2022. Cette autorité publique indépendante, compétente sur tout le champ des contenus audiovisuels et numériques, assure la régulation des médias audiovisuels et la protection des oeuvres et objets protégés par un droit d'auteur ou un droit voisin.
Afin de répondre à l'élargissement de son champ d'action, l 'ARCOM se verra dotée de moyens complémentaires importants en 2023 (+ 18 ETP et + 2,3 millions d'euros en AE et en CP par rapport à la LFI 2022) . Ces nouveaux moyens doivent notamment lui permettre de faire face à l'évolution de ses activités à la suite de l'adoption de diverses législations nationales 6 ( * ) , ainsi que du règlement européen sur les services numériques 7 ( * ) (le Digital Services Act), qui ont élargi le champ d'intervention de l'ARCOM à de nouveaux acteurs du numérique (plateformes, réseaux sociaux et sites de partages de vidéos) et à de nouveaux types ou technologies de piratage.
Le présent projet de loi acte également l' évolution des indicateurs de performance s'appliquant à l'ARCOM, avec la création d'un nouveau sous-indicateur relatif au délai moyen de traitement des saisines sur un programme télévisuel reçues par l'ARCOM. L'ajout de ce nouveau sous-indicateur répond notamment à une recommandation du rapporteur spécial, émise à l'occasion d'un contrôle budgétaire concernant l'ex-CSA 8 ( * ) .
Un second sous-indicateur, relatif au délai moyen de notification des mesures de blocage de sites sportifs et culturels aux fournisseurs d'accès internet par l'ARCOM, est également créé afin d'évaluer la mission de lutte contre la retransmission illicite des manifestations et compétitions sportives, nouvellement confiée à l'ARCOM, que n'exerçait auparavant ni le CSA, ni l'HADOPI.
* 6 Loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l'informati on, loi n° 2020-766 du 24 juin 2020 visant à lutter contre les contenus haineux sur internet et loi n° 2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux oeuvres culturelles à l'ère numérique.
* 7 Règlement relatif à un marché intérieur des services numériques et modifiant la directive
2000/31/CE (règlement sur les services numériques), qui entrera en vigueur le 1 er janvier 2024.
* 8 Rapport d'information n° 90 (2019-2020) de M. Michel CANÉVET, fait au nom de la commission des finances, déposé le 30 octobre 2019.