M. le président. La parole est à Mme Esther Benbassa.
Mme Esther Benbassa. Monsieur le président, madame la ministre, monsieur le secrétaire d’État, monsieur le rapporteur, mes chers collègues, le projet de loi qui nous réunit aujourd’hui a pour objet de transposer ou de mettre en œuvre des directives ou décisions européennes dans notre droit. Si le temps qui m’est imparti ne me permet malheureusement pas de revenir en détail sur chacune des très nombreuses dispositions de ce texte, je souhaiterais toutefois formuler quelques remarques d’ordre général.
La première porte sur le déclenchement de la procédure accélérée, qui est souvent regrettable, plus particulièrement s’agissant d’un texte aussi dense et complexe.
Permettez-moi, mes chers collègues, de vous citer, pour illustrer mon propos, un passage des conclusions de la commission des lois : « Tout en relevant le risque d’inconstitutionnalité de l’article 6 du projet de loi qui, en raison de son manque de précision, pourrait être jugé contraire au principe de légalité des délits et des peines, la commission n’a pas été en mesure d’y apporter des améliorations, les consultations portant sur le socle minimal de mesures de sécurité à imposer aux opérateurs économiques essentiels n’étant pas achevées au niveau interministériel ». Édifiant, n’est-ce pas ? Par manque de temps pour travailler de manière satisfaisante, la commission se contente de « relever » le risque d’inconstitutionnalité.
Ensuite, quel besoin y avait-il de traiter de trois sujets distincts, mais d’égale importance dans un même texte ? La cybersécurité, la réglementation sur les armes à feu civiles et le système de positionnement par satellite Galileo recouvrent des enjeux bien différents qui auraient mérité d’être traités séparément dans un temps propice à un travail parlementaire de meilleure qualité.
Faut-il le rappeler, mes chers collègues, nos concitoyens font preuve d’un véritable désamour à l’égard de l’Europe et de ses institutions, qu’ils envisagent au mieux comme une bureaucratie intrusive, au pire comme un instrument supplémentaire de paupérisation.
Plutôt que de faire preuve de pédagogie, de montrer la nécessité de construire, ensemble, un socle de droits et de devoirs cohérents, nous examinons, pardonnez ma familiarité, à la va-vite un texte quelque peu fourre-tout. Sur le fond pourtant, il y avait matière à montrer que l’Europe peut être protectrice et parfois même faire fi des pressions des lobbies.
Prenons l’exemple de la directive relative au contrôle de l’acquisition et de la détention d’armes. Ce texte, demandé par la France après les attentats de 2015, a pour objet de réduire les sources potentielles de trafic illégal d’armes à feu et de limiter l’accès aux armes les plus dangereuses. Il vise notamment à lutter contre le détournement à des fins criminelles d’armes prétendument neutralisées. Eh bien, ce texte existe, malgré l’intense lobbying des « proarmes » au Parlement européen, souvent relayé par les députés conservateurs et d’extrême droite, voire par certains libéraux.
Comme l’a rappelé notre collègue eurodéputé Pascal Durand, dont je partage l’analyse : « Les progrès réglementaires sont le fruit d’un compromis entre les objectifs de sécurité publique, en luttant notamment contre les risques de trafic d’armes, et la possibilité d’acquérir une arme sur le marché intérieur. Ceci implique, entre autres, le contrôle de l’identité des personnes acquérant une arme en ligne et, de la part des États membres, le partage des informations sur la possession d’armes à feu sur leur territoire. Par ailleurs, la vérification périodique ou continue de l’aptitude psychologique à détenir une arme à feu est désormais obligatoire et des restrictions s’appliquent sur l’entreposage des armes. »
Ce sont là de véritables avancées pour la sécurité commune comme pour la sécurité de chacune et de chacun, et nous nous en réjouissons. Ainsi, c’est avec le sentiment d’un travail certes pas tout à fait accompli, mais convaincu de la nécessité de poursuivre la construction d’un droit européen cohérent, que le groupe CRCE soutiendra ce texte. (Applaudissements sur les travées du groupe communiste républicain citoyen et écologiste.)
M. le président. La parole est à Mme Laurence Harribey.
Mme Laurence Harribey. Monsieur le président, madame la ministre, monsieur le secrétaire d’État, monsieur le rapporteur, le texte qui nous est soumis, sans être un fourre-tout, s’apparente plutôt à un inventaire à la Prévert, qui trouve cependant son unité dans la recherche d’une meilleure sécurité. Il vise en effet à transposer le droit européen en droit national sur trois volets : deux directives, l’une relative à la sécurité des réseaux et des systèmes d’information, l’autre relative au contrôle de l’acquisition et de la détention d’armes, une décision relative au service public réglementé issu du programme Galileo. On le voit, ces trois volets diffèrent, mais visent tous à accroître la sécurité.
Il s’agit d’un texte technique, comme l’a indiqué notre rapporteur en introduction, et pour lequel la marge d’appréciation parlementaire est relativement contrainte par l’obligation d’intégration du droit européen dans le droit national. Notre rôle a été de veiller à une bonne intégration, en écartant le risque de sous-transposition comme de surtransposition, mais aussi en déterminant ce qui relève du domaine législatif et ce qui relève du domaine réglementaire.
On dit souvent que le diable se cache dans les détails. Il peut aussi se cacher dans le manque de détails, et c’est à y remédier que se sont attelés la commission des lois et son rapporteur. À cet égard, nous souscrivons au rapport présenté par notre collègue, y compris aux amendements qui seront défendus visant à corriger un certain nombre d’insuffisances ou de manques de clarifications.
Sans revenir sur le détail de l’examen technique du texte, j’essaierai plutôt de le remettre en perspective, car, comme l’a très bien dit M. le secrétaire d’État, derrière les aspects techniques, il faut s’interroger sur les enjeux et l’utilité d’un texte pour y répondre.
Ce texte touche à des domaines sensibles et stratégiques, en particulier celui de la cybersécurité visé au titre Ier. Même si le fondement juridique du titre Ier relève de l’article 114 du Traité sur le fonctionnement de l’Union européenne concernant le marché unique, il semble que des enjeux touchent aux grands équilibres et à la sûreté des États. C’est sur ce point que j’aimerais focaliser mon propos.
Face à l’inflation des cyberattaques, vous avez été nombreux à les citer, il importe de répondre rapidement et de s’adapter le mieux possible. Le rapport a cité de cas de la cyberattaque de Saint-Gobain, mais il y eut aussi, vous les avez évoqués, monsieur le secrétaire d’État, les virus WannaCry et Petya, qui se sont propagés à l’échelle mondiale et ont causé des dégâts importants à des entreprises mais aussi à des services publics - je pense notamment aux cartes d’identité estoniennes.
Mme Laurence Harribey. Nous pouvons facilement imaginer les enjeux de la cybersécurité quand on sait que, à l’échéance de 2020, près de 6 milliards d’objets seront connectés dans l’UE.
Dans ce contexte, le projet de loi, comme l’a souligné notre rapporteur, donne un cadre législatif à la stratégie européenne en matière de cybersécurité qui émerge progressivement et invite de fait les États à une stratégie nationale de sécurité.
Dans cette double stratégie européenne et nationale – les deux niveaux sont intrinsèquement liés – se posera immanquablement, sinon dans le texte que nous étudions, du moins dans ceux qui suivront, la question de la certification en matière de cybersécurité, pour laquelle près de la moitié des États membres ont mis en place un dispositif. Il est à noter que la France fait partie des quelques pays ayant une vraie expertise en la matière.
Ce projet de loi incontournable aura des conséquences sur l’appréhension de la cybersécurité par les acteurs économiques, et ce bien au-delà de ceux qui y sont définis et énumérés, du simple fait de la chaîne des responsabilités : la question de la relation client-fournisseur, celle de la responsabilité de notification des incidents ou encore celle du risque de sanctions pénales. La notion de confidentialité appellera les acteurs économiques à une stratégie de certification renforcée. C’est là qu’il conviendra d’être particulièrement vigilant, sous la pression de la nécessité, au risque d’une certification par le bas.
Je fais référence au projet de règlement pour un système européen de certification en matière de cybersécurité, sur lequel la commission des affaires européennes s’est prononcée en matière de subsidiarité. Nous devons garder à l’esprit l’objectif de protection, afin d’éviter que la pression à la certification n’aboutisse en fait à une certification au rabais. Nous savons que les enjeux sont essentiels, or nous sommes dans le domaine d’un règlement sur lequel nous ne pourrons guère intervenir.
Voilà l’essentiel de ce que je voulais souligner en prélude au vote sur le volet relatif à la cybersécurité.
En ce qui concerne le titre II, relatif au contrôle de l’acquisition et la détention d’armes, je n’ai pas de remarques particulières à formuler, si ce n’est que nous souscrivons à celles du rapporteur. Finalement, comme cela a été indiqué dans le rapport, le texte est relativement faible au vu de ce qui était visé lors de la demande par la France d’un texte européen.
Enfin, le titre III relatif au service public réglementé n’appelle pas non plus de notre part de remarque particulière
Nous souscrivons, vous l’aurez compris, mes chers collègues, à ce projet de loi. Nous adopterons également les amendements présentés par le rapporteur et validés par la commission des lois, en émettant simplement une réserve sur le risque d’inconstitutionnalité qui a été évoqué dans le rapport et par plusieurs collègues. (Applaudissements sur les travées du groupe socialiste et républicain et du groupe La République En Marche.)
M. le président. La parole est à Mme Sophie Joissains. (Applaudissements sur les travées du groupe Union Centriste.)
Mme Sophie Joissains. Le projet de loi que vous nous présentez, madame la ministre, chère Jacqueline Gourault, est riche et fait l’objet d’un degré de consensus rare. (Sourires.) De la cybersécurité aux régimes des armes à feu, des armes à feu aux satellites du système Galileo, le champ que nous balayons ce soir est vaste.
Je ne m’étendrai pas sur Galileo, mais je salue tout de même l’ambition de ce projet, qui permettra à terme de mettre fin à toute dépendance de l’Europe aux États-Unis en matière de positionnement par satellite.
La suite de mon propos sera brève et concentrée sur les titres Ier et II du projet de loi.
Le titre Ier transpose la directive NIS du 16 juillet 2016. Rappelons que cette directive s’inscrit dans le cadre d’une stratégie européenne en matière de cybersécurité et qu’elle constitue la première initiative législative européenne ainsi que la première tentative d’harmonisation des normes dans ce domaine – il n’était pas trop tôt.
Le renforcement du niveau de cybersécurité des États membres pour les activités économiques stratégiques est un enjeu majeur, vous l’avez tous largement souligné. L’accélération des progrès technologiques, notamment en matière d’objets connectés, qui nous accompagnent dans pratiquement tous les aspects de notre vie quotidienne, nous oblige à nous mobiliser à une échelle qui ne peut plus être seulement nationale.
Les dégâts causés par les cyberattaques ne cessent de s’accroître. M. Philippe Bonnecarrère évoque dans son rapport le cas de l’attaque informatique subie par l’entreprise française Saint-Gobain au mois d’août 2017, qui aurait entraîné des pertes s’élevant à environ 250 millions d’euros.
À la fin du mois de novembre dernier, la révélation de l’attaque dont a été victime la société Uber inquiète également : quelque 57 millions de comptes utilisateurs de la plateforme ont été piratés, dont les données de 600 000 chauffeurs de l’entreprise. Alors que cette attaque remonte à la fin de l’année 2016, l’entreprise n’avait jusqu’à présent rien dit, et avait même payé une rançon aux hackers pour que ces derniers ne révèlent pas cette énorme fuite de données personnelles…
On pourrait multiplier les exemples, et vous l’avez fait, mes chers collègues. Ce phénomène ne concerne pas uniquement de grandes multinationales. Les attaques informatiques, de plus ou moins grande ampleur, concernent aussi des entreprises de taille parfois bien plus modestes et se répercutent sur un grand nombre de citoyens.
Aujourd’hui croissante au niveau de l’ensemble des trafics et parfois des plus sordides, la cybercriminalité dispose d’un champ d’action quasi illimité. La puissance publique doit réagir, s’adapter, et c’est l’objet de la directive européenne du 6 juillet 2016.
Il s’agit de protéger les opérateurs de services essentiels dans les secteurs publics et privés concernant la santé, le transport, l’énergie, l’alimentation, la logistique et le social. Peut-être d’autres domaines seront-ils ajoutés. Désignés par le Premier ministre, ces acteurs essentiels au bon fonctionnement de l’économie et de la vie quotidienne appliqueront des règles de cybersécurité particulières, suivies et évolutives.
Le cas Uber, que je viens d’évoquer, est un bon exemple de ce qui peut se passer quand un acteur économique est confronté à ce type d’attaque : il se tait. Il se tait de peur que sa réputation n’en soit gravement ternie, exposant par là même des milliers de citoyens ; empêchant aussi par son silence la réaction des services de l’État, qui est seul en situation à la fois d’enquêter sur les raisons de l’attaque, d’apporter des solutions d’urgence et, surtout, d’éviter que d’autres acteurs ne subissent le même sort.
Pour ces raisons, les dispositions du présent texte imposent des règles obligeant le signalement des incidents de sécurité. Celles-ci sont fondamentales pour que l’ANSSI puisse pleinement jouer son rôle, aussi bien de manière préventive qu’en temps de gestion de crise et, bien sûr, en termes d’évaluation et d’évolution du système.
Concernant le renforcement de la législation sur les armes à feu, deuxième volet important de ce projet de loi, nous ne pouvons, à l’instar de notre rapporteur, qu’être légèrement déçus par rapport aux collectionneurs. Quel est l’enjeu ? Est-ce le régime juridique applicable aux 220 000 tireurs sportifs que compte notre pays ? Ou bien les obligations à la charge des collectionneurs ? Probablement pas.
Selon nous, le sujet qui doit concentrer toute notre énergie est la lutte contre le trafic d’armes. Or force est de constater que peu des dispositions qui nous sont soumises ce soir sont de nature à radicalement endiguer ce trafic, lequel alimente aussi bien la grande criminalité organisée que le terrorisme.
C’est pourtant la France, après les terribles attentats qu’elle a subis en 2015, qui avait été à l’origine de la directive que nous transposons aujourd’hui. Nous sommes naturellement favorables aux dispositions prévues par le présent projet de loi, qui visent néanmoins à sécuriser les conditions de ventes d’armes à feu.
Je dirai un mot tout de même du durcissement du régime des armes historiques. Nous avons été plusieurs à être interpellés dans nos départements sur cette question. De nombreux collectionneurs d’armes anciennes ont émis des craintes sur l’article 16 du texte, qui précise que le classement de ces armes et leurs reproductions ne relèvent plus de la loi, mais sera défini par décret en Conseil d’État.
Or les armes historiques elles-mêmes demeurent en dehors du champ d’application de la directive. La commission des lois, qui a excellemment travaillé, a fort opportunément considéré que les armes historiques et leurs reproductions seront classées en catégorie D2, exception faite de certaines armes dangereuses qui seront énumérées par décret.
Je tiens à remercier chaleureusement notre collègue Philippe Bonnecarrère et à le féliciter pour la grande qualité de son rapport.
M. Philippe Bas, président de la commission des lois constitutionnelles, de législation, du suffrage universel, du règlement et d’administration générale. Moi aussi !
Mme Sophie Joissains. Il a su faire preuve de pédagogie dans la présentation de son analyse sur des sujets très techniques, notamment sur l’aspect de cybersécurité. Surtout, il a veillé à éviter deux écueils : la sous-transposition et la surtransposition, dérives que le Sénat, sa commission des lois et sa commission des affaires européennes dénoncent régulièrement.
Vous l’aurez compris, mes chers collègues, le groupe Union Centriste, comme les autres groupes, du reste, votera en faveur du projet de loi, dans la rédaction issue des travaux de notre commission des lois. (Applaudissements sur les travées du groupe Union Centriste et du groupe Les Républicains.)
M. le président. La discussion générale est close.
Nous passons à la discussion du texte de la commission.
projet de loi portant diverses dispositions d’adaptation au droit de l’union européenne dans le domaine de la sécurité
TITRE Ier
DISPOSITIONS TENDANT À TRANSPOSER LA DIRECTIVE (UE) 2016/1148 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 6 JUILLET 2016 CONCERNANT DES MESURES DESTINÉES À ASSURER UN NIVEAU ÉLEVÉ COMMUN DE SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D’INFORMATION DANS L’UNION
Chapitre Ier
Dispositions communes
Article 1er
Pour l’application du présent titre, on entend par réseau et système d’information :
1° Tout réseau de communication électronique tel que défini au 2° de l’article L. 32 du code des postes et des communications électroniques ;
2° Tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques ;
3° Les données numériques stockées, traitées, récupérées ou transmises par les éléments mentionnés aux 1° et 2° du présent article en vue de leur fonctionnement, utilisation, protection et maintenance.
La sécurité des réseaux et systèmes d’information consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles.
M. le président. Je mets aux voix l’article 1er.
(L’article 1er est adopté.)
Article 2
Les dispositions du présent titre ne sont pas applicables aux opérateurs mentionnés au 15° de l’article L. 32 du code des postes et des communications électroniques ni aux prestataires de services de confiance soumis aux exigences énoncées à l’article 19 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.
Elles ne sont pas non plus applicables aux opérateurs économiques essentiels ni aux fournisseurs de service numérique soumis, en application d’un acte juridique de l’Union européenne, à des exigences sectorielles de sécurité pour leurs réseaux et systèmes d’information ou de notification d’incidents ayant un effet au moins équivalent aux obligations résultant de l’application du présent titre.
M. le président. L’amendement n° 14, présenté par le Gouvernement, est ainsi libellé :
Alinéa 2
Rédiger ainsi cet alinéa :
Elles ne sont pas non plus applicables aux opérateurs de services essentiels ni aux fournisseurs de service numérique soumis, en application d’un acte juridique de l’Union européenne, pour les réseaux et systèmes d’information visés au premier alinéa des articles 5 et 12, à des exigences sectorielles de sécurité et de notification d’incidents ayant un effet au moins équivalent aux obligations résultant de l’application des dispositions du présent titre.
La parole est à M. le secrétaire d’État.
M. Mounir Mahjoubi, secrétaire d’État. Cet amendement prévoit une nouvelle version du texte qui permet de désigner à la fois les opérateurs et leurs réseaux, les rédactions précédentes ne désignant que les uns ou les autres, alternativement.
L’enjeu est de pouvoir établir une distinction, au sein d’un même opérateur, entre ces différents réseaux.
De nombreux opérateurs pourraient être qualifiés d’opérateurs d’importance vitale – OIV – pour certaines parties de leur réseau et d’opérateurs de services essentiels – OSE – pour d’autres.
Cette définition stricte permettra de n’imposer aux opérateurs que les obligations applicables à la partie de réseau concernée.
Cette distinction évitera de faire subir un poids trop important à certaines entreprises en les contraignant à respecter toutes les obligations des OIV ou toutes celles des OSE.
Je précise que l’approche plus subtile retenue dans cet amendement est issue du travail que nous avons mené avec la commission.
M. le président. Quel est l’avis de la commission ?
M. Philippe Bonnecarrère, rapporteur. L’avis de la commission est favorable.
M. le secrétaire d’État s’en est expliqué : cet amendement permet à la fois de faire application de la législation sectorielle ou du présent projet de loi.
Nous reconnaissons bien volontiers que cette rédaction, si vous me permettez d’utiliser cette formule quelque peu triviale, mes chers collègues, permet d’éviter tout trou dans la raquette.
M. le président. Je mets aux voix l’article 2, modifié.
(L’article 2 est adopté.)
Article 3
I. – Les prestataires de service habilités à effectuer des contrôles en application du présent titre sont soumis aux mêmes règles de confidentialité et de discrétion professionnelle que les agents publics et les services de l’État à l’égard des informations qu’ils recueillent auprès des opérateurs mentionnés à l’article 5 et des fournisseurs de service numérique mentionnés à l’article 11.
II. – Lorsqu’elle informe le public ou les États membres de l’Union européenne d’incidents dans les conditions prévues aux articles 7 et 13, l’autorité administrative compétente tient compte des intérêts économiques de ces opérateurs et fournisseurs de service numérique et veille à ne pas révéler d’informations susceptibles de porter atteinte à leur sécurité et au secret en matière commerciale et industrielle. – (Adopté.)
Article 4
Les modalités d’application du présent titre sont déterminées par décret en Conseil d’État. Ce décret fixe notamment la liste des services essentiels au fonctionnement de la société ou de l’économie mentionnés à l’article 5, ainsi que, pour chacun des domaines de sécurité mentionnés à l’article 12, la nature des mesures que les fournisseurs de service numérique sont tenus de mettre en œuvre. – (Adopté.)
Chapitre II
Dispositions relatives à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels
Article 5
Les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l’économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d’information nécessaires à la fourniture desdits services sont soumis aux dispositions du présent chapitre. Ces opérateurs sont désignés par le Premier ministre. La liste de ces opérateurs est actualisée à intervalles réguliers et au moins tous les deux ans.
Les dispositions du présent chapitre ne sont pas applicables aux opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense.
M. le président. L’amendement n° 15, présenté par le Gouvernement, est ainsi libellé :
Alinéa 2
Compléter cet alinéa par les mots :
, pour les systèmes d’information mentionnés au premier alinéa de l’article L. 1332–6–1 du même code
La parole est à M. le secrétaire d’État.
M. Mounir Mahjoubi, secrétaire d’État. Comme l’amendement n° 14 à l’article 2, cet amendement vise à rédiger plus précisément le texte.
Cette reformulation est encore plus essentielle que la précédente, car elle fait cette fois référence aux obligations liées aux OIV.
L’enjeu est ici de pouvoir distinguer les systèmes d’information vitaux et non vitaux au sein d’un OIV afin que ce dernier puisse être contraint de façon plus faible dans le cas d’un système d’information pouvant être qualifié d’OSE.
M. le président. Quel est l’avis de la commission ?
M. Philippe Bonnecarrère, rapporteur. Même avis favorable.
M. le président. Je mets aux voix l’article 5, modifié.
(L’article 5 est adopté.)
Article 6
Le Premier ministre fixe les règles de sécurité nécessaires à la protection des réseaux et systèmes d’information mentionnés au premier alinéa de l’article 5. Ces règles ont pour objet de garantir un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances. Elles définissent les mesures appropriées pour prévenir les incidents qui compromettent la sécurité des réseaux et systèmes d’information utilisés pour la fourniture des services essentiels ou pour en limiter l’impact afin d’assurer la continuité de ces services essentiels. Les opérateurs mentionnés au même article 5 appliquent ces règles à leurs frais.
Les règles prévues au premier alinéa du présent article peuvent notamment prescrire que les opérateurs recourent à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée. – (Adopté.)
Article 7
I. – Les opérateurs mentionnés à l’article 5 déclarent, sans délai après en avoir pris connaissance, à l’autorité nationale de sécurité des systèmes d’information mentionnée à l’article L. 2321-1 du code de la défense, les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de services essentiels, lorsque ces incidents ont ou sont susceptibles d’avoir, compte tenu notamment du nombre d’utilisateurs et de la zone géographique touchés ainsi que de la durée de l’incident, un impact significatif sur la continuité de ces services.
II. – Après avoir consulté l’opérateur concerné, l’autorité administrative peut informer le public d’un incident mentionné au I du présent article, lorsque cette information est nécessaire pour prévenir ou traiter un incident. Lorsqu’un incident a un impact significatif sur la continuité de services essentiels fournis par l’opérateur à d’autres États membres de l’Union européenne, l’autorité administrative en informe les autorités ou organismes compétents de ces États.