M. le président. La parole est à M. le rapporteur.
M. Philippe Bonnecarrère, rapporteur de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d’administration générale. Monsieur le président, madame la ministre, monsieur le secrétaire d’État, mes chers collègues, le Gouvernement manifeste sa considération vis-à-vis du Parlement en tenant les propos élogieux que nous venons d’entendre voilà quelques instants, mais aussi en lui prêtant des connaissances encyclopédiques, puisque nous allons traiter de trois sujets différents : la cybersécurité, les armes et le système satellitaire Galileo.
Préalablement, je tiens à rassurer chacun d’entre vous sur le fait que les trois parties du texte ne posent aucune difficulté de subsidiarité. La lutte contre la cybercriminalité est bien sûr un enjeu européen, comme les questions d’armes. Quant au système satellitaire Galileo, il est par essence un programme européen.
Le texte n’effectue pas non plus de surtransposition majeure, à une exception, effectivement en lien avec l’objectif à atteindre. Ce texte étant pour l’essentiel une transposition, il nous imposera un examen plus contraint que pour un projet de loi classique.
Améliorer la cybersécurité est l’objectif de la directive dite « NIS », pour Network and Information Security, du 6 juillet 2016, qui doit être transposée avant le 9 mai 2018. Les risques de cyberattaques criminelles sont largement partagés en Europe. Monsieur le secrétaire d’État, nous vous avons entendu, cette question ne doit pas être appréhendée sous un angle seulement technique ou technologique.
Ce texte, mes chers collègues, prévoit l’obligation de respecter un socle minimal de mesures de sécurité, des modalités de contrôle, ainsi qu’une obligation de déclaration des incidents à l’ANSSI. Sont concernés par la directive les opérateurs économiques dits « essentiels » et les fournisseurs de services numériques.
La notion d’opérateur économique essentiel est connue en matière de défense depuis la loi relative à la programmation militaire de 2013, environ 250 entreprises ayant été classées opérateurs d’intérêt vital, ou OIV.
Le champ d’application des opérateurs économiques essentiels sera plus large, en raison d’une légère surtransposition dans la définition, que je vous ai signalée, et de l’intention des services du Premier ministre, que nous avons interrogés, d’aller au-delà des sept secteurs visés par la directive en y ajoutant probablement le tourisme, le secteur agroalimentaire et l’automobile. L’automobile dite « autonome » devrait en effet arriver très vite, avec ce que cela suppose de problèmes de maîtrise.
À terme, quelque 600 entreprises pourraient être classées opérateurs économiques essentiels. Nous devons simplement être conscients du coût économique découlant de la directive NIS. Les pratiques de sécurité de ces 600 entreprises, probablement les plus grandes, auront un caractère systémique, car elles auront des effets en cascade sur leurs sous-traitants. Ce sont donc des dispositions qui, à mon sens, concerneront au moins indirectement les PME.
La commission des lois vous demande, monsieur le secrétaire d’État, de compléter le projet de loi d’ici à son examen à l’Assemblée nationale au mois de février prochain.
L’article 9 du texte prévoit des sanctions pénales en cas de violation des règles minimales en matière de protection des réseaux et des systèmes d’information, lesquelles doivent être fixées par voie réglementaire. Vous avez déjà tous anticipé ce que je vais maintenant vous dire : le risque est fort que ce régime soit jugé contraire à la Constitution, dans la mesure où il nous semble porter atteinte au principe à valeur constitutionnelle de légalité des délits et des peines.
En effet, le législateur est tenu de définir les obligations sanctionnées, nous dit le Conseil constitutionnel, « en termes suffisamment clairs et précis » et ne peut laisser cette tâche au pouvoir réglementaire. Ce travail ne pouvant techniquement être fait par le Parlement, il vous appartient, nous semble-t-il, monsieur le secrétaire d’État, de mener à bien les concertations et de définir les bonnes pratiques professionnelles avant l’examen du texte par l’Assemblée nationale.
Le deuxième volet du texte porte sur la directive relative au contrôle de l’acquisition et de la détention d’armes, laquelle a connu un examen difficile devant le Parlement européen.
La portée de cette directive du 17 mai 2017, qui doit être transposée avant le 14 septembre 2018, doit être relativisée. Elle est en particulier sans effet sur la lutte contre le trafic illégal, puisqu’elle ne traite en réalité que de la situation des personnes qui s’inscrivent ou s’inscriront dans le cadre légal.
L’Union européenne n’est pas restée inactive, puisque, en parallèle, elle a adopté un règlement visant à harmoniser les normes de neutralisation des armes, comme elle avait introduit un peu plus tôt un dispositif obligatoire, transposé dans notre pays par un décret du 29 août 2017, pour les opérateurs économiques d’enregistrement des transactions concernant des substances susceptibles d’être utilisées à des fins de fabrication d’explosifs, à l’exemple du TATP.
Dans une logique d’augmentation du contrôle des armes à feu, la directive supprime la catégorie dite « D1 » des armes à feu et élargit la catégorie A. Le Gouvernement a fait le choix d’activer des dérogations concernant les tireurs sportifs et certaines sociétés de sécurité privée bénéficiant d’un agrément.
Les ventes par correspondance d’armes restent licites, à condition que les armes soient livrées par l’intermédiaire d’un armurier ou que la plateforme utilisée soit celle d’un armurier. C’est le respect de l’obligation de déclaration qui est recherchée ; Mme la ministre vient d’en parler.
Elle a également fait état d’une petite divergence avec notre position s’agissant des collectionneurs. Nous avons pour notre part proposé une solution élégante, et a priori appréciée, si j’en juge par le fait qu’aucun amendement n’a été déposé sur ce point en séance, consistant à garder les collectionneurs d’armes ou de répliques d’armes historiques dans le cadre d’un volet législatif, sans priver l’autorité publique de la possibilité d’intervenir en fonction de leur niveau de dangerosité.
Enfin, en conclusion, je dirai quelques mots concernant Galileo, le programme européen de radionavigation et de positionnement par satellites, à comparer avec le système américain GPS et les systèmes, déjà opérationnels, russes et chinois.
Galileo comprend trois services distincts : un service ouvert, accessible à tous, conçu pour servir de support aux applications de géolocalisation ; un service commercial, dont tout porte à croire qu’il sera finalement gratuit ; un service public réglementé, dit « SPR », très sécurisé, à usage beaucoup plus restreint, en clair à vocation de renseignement ou militaire.
La décision du 25 octobre 2011, dont la transposition vous est aujourd’hui demandée, précise que, pour activer le service public réglementé de Galileo – 23 satellites à l’heure actuelle, sur 30 prévus, et un début de caractère opérationnel à la fin de l’année dernière –, une organisation administrative minimale doit être mise en place dans chaque État membre, accompagnée d’un système de sanctions pénales.
Le Parlement, mes chers collègues, ne peut que donner son feu vert à la mise en œuvre du service public réglementé. Il serait regrettable que notre défense ne puisse pas accéder à Galileo. Pour cela, un cadre minimal est nécessaire, tant d’un point de vue administratif que d’un point de vue pénal. Tel est le sens de la transposition qui vous est soumise. (Applaudissements sur les travées du groupe Union Centriste et du groupe Les Républicains. – M. Thani Mohamed Soilihi applaudit également.)
M. le président. La parole est à M. Dany Wattebled.
M. Dany Wattebled. Monsieur le président, madame la ministre, monsieur le secrétaire d’État, monsieur le rapporteur, mes chers collègues, ce projet de loi concerne trois sujets bien distincts en matière de sécurité. Il nous est aujourd’hui proposé de transposer la directive européenne relative à la cybersécurité et la directive relative aux armes à feu, mais aussi de tirer les conséquences de la décision relative au programme européen de positionnement par satellite, Galileo.
L’actualité récente a montré que tous les secteurs d’activité pouvaient être victimes de cyberattaques susceptibles de ralentir, voire de paralyser l’activité économique et sociétale de l’État et, bien au-delà, de compromettre la stabilité et la prospérité économiques de l’Europe. L’objectif de la directive relative à la cybersécurité est donc de garantir la continuité de ces activités.
Dès lors, il appartient à chaque État membre de renforcer le niveau de sécurité des réseaux et des systèmes d’information des opérateurs de services essentiels, afin de garantir la continuité des échanges au sein du marché intérieur et la compétitivité de l’Union européenne dans le commerce international.
Les cyberattaques visent aussi les fournisseurs de services numériques, lesquels jouent un rôle clef en raison de l’importance croissante du numérique. Ces services sont eux-mêmes souvent utilisés par les opérateurs de services essentiels. Il est donc primordial d’en renforcer la sécurité.
Dans un monde toujours plus interdépendant et interconnecté, nous ne pouvons espérer lutter efficacement contre la cybercriminalité sans approche commune ni coordination. La criminalité étant sans frontières, aucune politique nationale ne peut être suffisante à elle seule.
Les dispositions ainsi prévues sont parfaitement adaptées à la situation actuelle. L’Agence nationale de la sécurité des systèmes d’information, qui assure la défense et la sécurité des systèmes d’information, a donc par nature vocation à être au cœur du dispositif de transposition. Elle se verra ainsi attribuer de nouvelles missions.
J’en viens à la directive relative aux armes à feu. Elle comporte principalement des mesures visant à mieux encadrer les régimes légaux d’acquisition et de détention des armes, d’une part en durcissant les règles applicables à l’acquisition et à la détention des armes considérées comme les plus dangereuses, d’autre part en durcissant la sécurité et les conditions de vente des armes à feu.
Six mesures nécessitent une transposition par voie législative. Je n’en citerai que deux, le temps m’étant compté : la disparition de la catégorie D des armes à feu et le nouveau régime des reproductions des armes historiques.
L’objectif du projet de loi est d’aligner les catégories d’armes nationales sur les catégories d’armes à feu prévues par la directive du 17 mai 2017. En effet, en France, les armes de chasse relèvent de deux catégories juridiques distinctes : la catégorie C, soumise à déclaration, ou la catégorie D1, soumise à enregistrement.
La directive du 17 mai 2017 supprime la formalité d’enregistrement des armes de catégorie D1 pour la remplacer par la procédure de déclaration, afin de contribuer au renforcement de la sécurité publique. Dès lors, il n’existe plus que trois catégories d’armes à feu : A, B et C.
En outre, cet alignement a pour conséquence positive de supprimer la distinction entre deux procédures administratives qui étaient, de fait, devenues semblables après les modifications introduites par la loi n° 2016-731 du 3 juin 2016. Les chasseurs peuvent être rassurés : le changement sera administrativement neutre, plus formel que réel en quelque sorte.
Quant aux armes historiques et de collection, ainsi que leurs reproductions, elles sont actuellement classées par la loi en catégorie D2, armes dont l’acquisition et la détention sont libres. L’objectif de la directive est de dissocier le régime des armes historiques de celui de leurs reproductions, lorsque la technologie, susceptible d’améliorer la durabilité et la précision de ces dernières, en renforce la dangerosité.
Le projet de loi indique que les armes historiques et de collection, ainsi que leurs reproductions, seront classées par décret en Conseil d’État.
En englobant toutes les armes de l’article L. 311-3, c’est-à-dire non seulement les reproductions d’armes historiques, mais également les armes historiques elles-mêmes, le projet de loi excède le champ de la directive, qui ne vise qu’à « surclasser » les reproductions d’armes historiques présentant un niveau élevé de dangerosité. Or, pour les collectionneurs, la suppression de la catégorie D mettrait les armes historiques et leurs reproductions « à la merci du pouvoir réglementaire », pour reprendre leur expression.
Dans ce contexte, sur l’initiative du rapporteur, la commission des lois a adopté un amendement de compromis visant à conserver le classement des armes historiques et de leurs reproductions en catégorie D2, comme le demandent les collectionneurs, sauf pour certaines armes présentant une dangerosité élevée et dont la liste serait fixée par décret en Conseil d’État.
Enfin, j’en viens au troisième volet du projet de loi, le programme européen de positionnement par satellites, Galileo.
Ce programme doit permettre d’offrir à l’Union européenne son propre système mondial de navigation par satellites et de garantir son indépendance stratégique vis-à-vis des autres dispositifs existants et à venir, comme le GPS américain. Il aura des applications dans une grande variété de domaines, pour des usages gouvernementaux, mais aussi dans la vie quotidienne des citoyens européens.
Ce programme comprend trois services distincts : un service ouvert, accessible à tous et gratuit ; un service commercial, et un service public réglementé, le SPR, très sécurisé et à usage plus restreint.
Aussi, afin de garantir la sûreté de ce dispositif sensible, un contrôle rigoureux de l’accès des utilisateurs est exigé, grâce à des moyens à la fois techniques et institutionnels – mise en place d’une procédure d’autorisation, homologation des récepteurs, etc. Ce dernier type de contrôle incombe aux États membres, en vertu de la décision du Parlement européen et du Conseil du 25 octobre 2011.
L’article 22 du projet de loi prévoit donc d’inscrire dans le code de la défense les dispositions de la décision du 25 octobre 2011, afin de fixer un cadre administratif minimum et préalable, ainsi qu’un régime de sanctions pénales.
Dans l’ensemble, ce projet de loi se révèle conforme aux textes européens qu’il vise à transposer. Au cours de son examen en commission, aucune difficulté concernant le partage entre le domaine réglementaire et le domaine législatif n’a été constatée.
Aussi le groupe Les Indépendants – République et Territoires votera-t-il en faveur de ce projet de loi.
M. le président. La parole est à Mme Maryse Carrère.
Mme Maryse Carrère. Monsieur le président, madame la ministre, monsieur le secrétaire d’État, mes chers collègues, les directives dont il nous est aujourd’hui demandé d’approuver la transposition traitent de sujets importants pour notre pays, qu’il s’agisse de la lutte contre la cybercriminalité, du renforcement du cadre de la commercialisation des armes à feu, ou encore de l’exploitation des données collectées par Galileo.
Les contraintes qui encadrent notre mission de transposition ne doivent pas nous dispenser d’un examen méticuleux des dispositions transposées dans notre droit. À cet égard, notre rapporteur a, il faut le souligner, apporté de nombreuses améliorations au texte initial.
Dans ces cas précis, la transposition comporte bien des embûches. Notre rapporteur a par exemple souligné les conséquences problématiques de la suppression pure et simple de la référence des armes de catégories D proposée par le Gouvernement, ou encore la nécessité de prendre en compte les exigences constitutionnelles s’imposant aux mises en demeure préalables au prononcé d’une sanction.
Nous soutenons ainsi l’essentiel des modifications qu’il a méthodiquement apportées, bien que certaines modalités de mise en œuvre des dispositions fixées par la directive méritent quelques débats.
Comme aurait pu le dire Georges Clemenceau, la cybersécurité est une chose trop grave pour la confier à des ingénieurs ! (M. le secrétaire d’État rit.)
Ce sujet a été trop longtemps abandonné aux concepteurs et aux techniciens des systèmes d’information. Nous en prenons aujourd’hui progressivement la mesure, à l’occasion de piratages spectaculaires affectant nos institutions et notre économie. Aujourd’hui, le directeur de l’ANSSI nous appelle à nous saisir du problème. Selon lui, « la cybersécurité est l’affaire des décideurs ».
Selon les estimations de la Commission européenne, l’ampleur de ces phénomènes est sans précédent : 80 % des entreprises européennes en seraient victimes, et dans certains États membres, la cybercriminalité représenterait 50 % des infractions constatées. Les victimes collatérales sont l’ensemble des utilisateurs des services affectés. Certains subissent même les inconvénients de résider dans une zone blanche tout en étant exposés à la cybercriminalité, ce qui est une situation particulièrement injuste et paradoxale, vous en conviendrez !
Face à l’augmentation de ces incidents, quelle réponse apporter ? La cybercriminalité aurait pu être regardée comme le prolongement électronique d’incriminations multiséculaires : le vol ou l’usurpation d’identité. Selon cette conception, le service de lutte contre la cybercriminalité aurait dû être rattaché au ministère de l’intérieur. La cybercriminalité aurait dû être combattue avec les moyens humains et matériels lui étant dévolus.
En France, dès sa création en 2001, la Direction centrale de la sécurité des systèmes d’information a été placée sous l’autorité du Premier ministre, cette tutelle n’ayant pas été remise en cause en 2009 lors de la transformation de la direction en agence. Dès lors, l’ANSSI assure le volet préventif de la cybersécurité et le système judiciaire le volet répressif. Cette architecture institutionnelle n’est pas anodine et a influencé certaines des dispositions du projet de loi, au-delà des objectifs fixés par la directive.
En premier lieu, le texte confie de nombreuses prérogatives au Premier ministre. Il nous semble qu’il aurait été plus judicieux de confier ces missions à l’ANSSI, compte tenu du nombre de décisions qui reviennent par ailleurs au chef du Gouvernement. Cela aurait permis de ne pas remettre en cause la légitimité de l’Agence en la matière, bien que, à terme, son indépendance pourrait être envisagée.
En second lieu, les modalités de contrôle de l’application des normes élaborées par l’ANSSI ne sont pas satisfaisantes. Nous considérons que l’ANSSI, qui soutient déjà considérablement les opérateurs d’importance vitale, est suffisamment dimensionnée pour effectuer les contrôles nécessaires auprès des opérateurs de services essentiels publics, sans que la charge de ces contrôles incombe à ces derniers.
À tout le moins, un traitement différencié aurait pu être appliqué selon la nature publique ou non des OSE, afin de ne pas mettre en difficulté des établissements publics aux finances déjà fragiles. Je pense en particulier aux hôpitaux.
Enfin, en raison de la grande sensibilité des données économiques et individuelles en jeu, il nous semble que le non-respect des règles fixées par l’ANSSI devrait être strictement sanctionné, comme le prévoit la directive.
Sans que les deux directives soient liées, la lutte contre la détention illégale d’armes n’est pas éloignée des questions « cyber », tant le dark web est devenu une plateforme de fournisseurs pour les organisations de criminalité organisée.
La seconde directive s’inscrit donc dans la continuité de la déclaration de Paris et des dispositions de la loi du 3 juin 2016 relatives aux armes à feu. Le régime de l’enregistrement des armes de type D1, vidé de sens, fusionne avec celui de la déclaration. La livraison d’armes est mieux encadrée, de même que la profession d’armurier, grâce aux amendements de notre rapporteur.
Il serait cependant naïf de croire que ces modifications assécheront les réseaux d’approvisionnement des organisations terroristes si l’ensemble de nos partenaires européens ne s’astreint pas à une rigueur comparable.
Jusqu’à présent, la déclaration de Paris n’a eu que des effets mitigés. Nous invitons donc le Gouvernement à poursuivre les négociations, afin d’obtenir des engagements plus contraignants, s’agissant notamment de l’harmonisation des règles de neutralisation des armes saisies.
Enfin, le surclassement des fusils à canon lisse utilisés pour la chasse pourrait placer leurs utilisateurs dans une situation d’insécurité juridique. Nous attendons donc du Gouvernement qu’il se positionne clairement sur les solutions déjà envisagées dans l’étude d’impact et qu’il donne de sérieux gages aux personnes concernées.
Au-delà des réserves que je viens d’exprimer, je considère, comme la plupart des membres du groupe du RDSE, que ces transpositions constituent des avancées. Nous voterons donc ce texte. (Applaudissements sur les travées du groupe du Rassemblement Démocratique et Social Européen et du groupe La République En Marche.)
M. le président. La parole est à Mme Brigitte Lherbier.
Mme Brigitte Lherbier. Monsieur le président, madame la ministre, monsieur le secrétaire d’État, monsieur le rapporteur, mes chers collègues, la gestion des risques est aujourd’hui au cœur des politiques publiques, mais aussi des entreprises. En matière de sécurité, l’entreprise est une cible d’autant plus exposée qu’elle est insérée dans un ensemble d’interdépendances nationales et internationales.
Les menaces pesant sur les États et sur les entreprises sont protéiformes : cybercriminalité, espionnage économique, ou bien encore actions d’influence, de désinformation, de déstabilisation, atteinte à la réputation, mais aussi risques technologiques, environnementaux, sabotages. C’est pourquoi les pouvoirs publics doivent être en mesure de proposer aux entreprises françaises et européennes, ainsi qu’aux entreprises étrangères implantées en France, un niveau de sécurité suffisant pour préserver leurs intérêts et leurs richesses.
Je suis fort satisfaite que la gouvernance européenne s’applique non pas uniquement dans les rapports de force entre les territoires, mais également dans un « cyber territoire », dont l’aire est en réalité planétaire, et qu’elle puisse s’attacher à proposer un socle commun aux États membres.
La directive sur la sécurité des réseaux et des systèmes d’information, que nous transposons aujourd’hui dans notre droit, a été conçue dans cet objectif, afin d’intensifier la coopération entre les États membres sur la question essentielle de la cybersécurité. Elle établit des obligations en matière de sécurité, tant pour les opérateurs fournissant des services essentiels dans des secteurs décisifs tels que l’énergie, les transports, la santé et la finance, que pour les fournisseurs de services numériques.
Veiller à la sécurité des réseaux en identifiant les risques et créer une obligation de notification des incidents graves survenus, cela permettra indéniablement d’améliorer la sécurité de tous. Dans ce « cyber monde », lorsqu’une faiblesse est constatée sur un maillon, c’est l’ensemble des services interconnectés qui sont en réalité atteints.
Il me paraît néanmoins essentiel que toutes les garanties soient apportées afin de préserver les secrets industriels et commerciaux. Sur ce point, notre rapporteur, Philippe Bonnecarrère, nous a rassurés, et j’en suis pleinement satisfaite. Il nous a également proposé d’apporter des précisions dans les définitions transposées, pour plus de clarté. Cela nous semble nécessaire lorsqu’on touche aux libertés publiques.
La France ne part pas de rien, puisqu’elle s’est déjà dotée d’outils éprouvés et d’une agence dédiée à cet effet, l’ANSII, véritable autorité en matière de sécurité et de défense des systèmes d’information pour la sécurité numérique de la nation. Cette agence nationale permet à chaque acteur d’accroître sa vigilance dans cet espace ouvert, confronté aux cybermenaces. Je formule le vœu que son rôle soit renforcé.
Longtemps restée l’affaire de spécialistes, la cybersécurité est aujourd’hui un défi pour chacun d’entre nous, pour la science, pour l’industrie, donc pour l’État.
Je compléterai mon propos en évoquant également un point de la seconde directive sur le contrôle de l’acquisition et de la détention des armes à feu détenues par les collectionneurs.
Si le Conseil d’État nous avait rassurés dans son avis sur le cas des armes historiques et de certaines de leurs reproductions, qui demeurent en dehors du champ d’application de la directive, je salue l’initiative subtile de notre rapporteur, qui permet que ces armes soient classées en catégorie libre d’acquisition et de détention, à l’exception de certaines, dont la dangerosité serait avérée et dont la liste sera établie par décret en Conseil d’État.
Les collectionneurs peuvent donc être rassurés par cette mesure extrêmement protectrice de leur statut, qui leur évite des formalités fastidieuses et des restrictions sans commune mesure avec la dangerosité des armes et matériels qu’ils détiennent.
La garantie de la sécurité et de l’intégrité de chaque citoyen constituant un droit fondamental, il paraît primordial que l’usage, la détention et la commercialisation d’armes à feu soient définis selon les mêmes termes dans l’espace européen de libre circulation.
L’actualité nous démontre au quotidien la nécessité de raisonner au-delà de nos frontières et d’agir avec nos partenaires européens. Jusqu’à la semaine dernière, j’étais adjointe au maire de Tourcoing, ville frontalière, chargée de la sécurité. Je travaillais au quotidien avec les autorités belges voisines ; c’était une nécessité locale.
Je voudrais conclure en vous signalant que jeudi dernier, le général Marc Watin-Augouard, fondateur et délégué du Forum international de la cybercriminalité, nous a réunis autour des enjeux stratégiques de cybersécurité et de cyberdéfense pour préparer la prochaine édition du FIC, qui se tiendra à Lille, en janvier prochain. Vous y êtes tous invités, je pense, par la gendarmerie.
J’ai donc pu à cette occasion constater à nouveau que la gendarmerie nationale était efficace et prête à s’organiser avec ses homologues européens, tout en rappelant aux spécialistes présents combien le Sénat est attentif, M. le rapporteur l’a démontré encore aujourd’hui, à ces enjeux. (Applaudissements sur les travées du groupe Les Républicains et du groupe Union Centriste.)
M. le président. La parole est à M. Thani Mohamed Soilihi.
M. Thani Mohamed Soilihi. Monsieur le président, madame la ministre, monsieur le secrétaire d’État, monsieur le président de la commission des lois, monsieur le rapporteur, mes chers collègues, les projets de loi, présentés sous l’acronyme générique DDADUE, dont le contenu est généralement très aride, visent à incorporer à notre droit national un ensemble de directives et de règlements européens récemment adoptés.
En l’occurrence, celui qui nous réunit aujourd’hui a pour objectif de transposer deux directives du Parlement européen et du Conseil : l’une consacrée au combat pour la cybersécurité et qui doit être transposée par les États membres avant le 9 mai 2018, l’autre, destinée à lutter contre le trafic d’armes, dont le délai limite de transposition nationale est quant à lui fixé au 14 septembre 2018.
Ce projet de loi tire également les conséquences d’une décision du 25 octobre 2011, relative au système de positionnement par satellites Galileo.
En préambule, je voudrais souligner les progrès incontestables effectués par notre pays ces dernières années pour sortir de ce statut de « mauvais élève » en matière de transposition. À ce titre, le Gouvernement a engagé la procédure accélérée sur ce texte, ce qui démontre sa volonté d’agir vite afin de garantir un niveau de sécurité élevé des citoyens et de respecter ainsi ses engagements européens.
Attardons-nous à présent sur les dispositions du texte examiné par notre assemblée. Son titre Ier, consacré à la transposition de la directive Network and Information Security, ou NIS, du 6 juillet 2016, a pour objectif de renforcer les capacités nationales en matière de cybersécurité et d’établir un cadre formel de coopération entre États membres.
Nous ne pouvons que nous réjouir de ces dispositions, compte tenu de la menace croissante visant le patrimoine numérique des entreprises et les données personnelles des citoyens. Dans un monde de plus en plus connecté, les incidents sont devenus légion.
Si la transformation numérique offre aux entreprises un formidable levier de croissance, elle induit dans le même temps une prolifération de nouveaux risques aux conséquences économiques et juridiques majeures. Selon Bruxelles, 80 % des entreprises européennes auraient connu au moins un incident de sécurité en 2016.
Ce texte dote donc la France des moyens de se prémunir contre ces cyberattaques, en imposant désormais aux opérateurs et aux fournisseurs de services numériques d’identifier les risques potentiels en matière de sécurité numérique, de prendre à leur frais les décisions qui s’imposent pour les maîtriser et d’informer l’autorité nationale compétente en la matière, l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI.
Le titre II transpose, quant à lui, une directive du 17 mai 2017, prise à l’initiative de la France à la suite des attentats de Paris qui ont endeuillé notre pays en novembre 2015, et dont l’objet est de renforcer le contrôle de la circulation et du commerce des armes à feu.
Le présent projet de loi permet notamment aux armuriers de refuser de conclure des transactions d’armes ou de munitions qu’ils pourraient raisonnablement considérer comme suspectes. On peut néanmoins regretter que la directive ne traite pas de la problématique du trafic illégal, car il est un sujet majeur de préoccupation, en particulier en ce qui concerne le terrorisme.
S’agissant de la question des armes historiques actives et de leurs reproductions, la commission des lois du Sénat a préféré faire le choix du compromis, en revenant sur la suppression de la catégorie D. Pourtant, la directive impose aux États membres, en raison des techniques modernes qui peuvent augmenter la dangerosité des reproductions d’armes à feu anciennes, de durcir le régime qui leur est appliqué. Je réfléchis à voix haute : n’est-ce pas finalement reculer pour mieux sauter ?
Le titre III porte sur la décision du Parlement européen et du Conseil du 25 octobre 2011, qui définit les modalités d’accès au service public réglementé du système mondial de radionavigation issu du programme européen Galileo de positionnement par satellite, entré en service le 15 décembre 2016. Le projet de loi introduit un cadre réglementaire assurant sa bonne utilisation et l’assortit de sanctions pénales.
Enfin, les deux derniers titres comprennent des articles non moins importants, puisqu’ils permettent l’application de la loi en outre-mer et prévoient des dispositions transitoires.
Ce texte a le mérite de mettre la France en conformité avec ses engagements européens. Surtout, il offre à ses citoyens un espace ouvert et unifié par des législations harmonisées en matière de sécurité, dont on a malheureusement pu constater ces dernières années l’impérieuse nécessité. C’est la raison pour laquelle les sénateurs du groupe La République En Marche apporteront leur entier soutien au projet de loi de transposition. (Applaudissements sur les travées du groupe La République En Marche et du groupe Union Centriste.)