COM(2020) 823 final
du 16/12/2021
Contrôle de subsidiarité (article 88-6 de la Constitution)
La proposition de directive COM(2020) 823 s'inscrit dans le cadre de la nouvelle stratégie de cybersécurité de l'Union présentée le 16 décembre dernier, qui vise à renforcer la résilience des entités publiques et privées européennes face aux cybermenaces, dans un contexte de numérisation et d'interconnexion croissante des activités, en Europe et dans le monde.
Destinée à remplacer la directive sur la sécurité des réseaux de 2016 (directive « SRI »)1(*), elle en reprend les principales dispositions (obligation pour les États membres d'adopter une stratégie nationale de cybersécurité, de désigner des autorités compétentes et de veiller à la mise en place d'exigences particulières en matière de cybersécurité par les entités publiques et privées qualifiées d'« opérateurs de services essentiels » (OSE)2(*) ; mise en place de structures de coopération et d'échanges d'informations entre États membres), et l'approfondit, afin de tenir compte de l'évolution du contexte, et des menaces en matière de cybersécurité. A cette fin, la proposition prévoit notamment :
- une extension du nombre de secteurs concernés, avec des obligations différenciées - par ailleurs rationnalisées3(*) - pour les entités des secteurs dits « essentiels » et « importants » ;
- une prise en compte de la sécurité des chaînes d'approvisionnement ;
- le renforcement des mesures de surveillance par les autorités nationales et de la coopération et du partage d'information entre États membres ;
- une harmonisation partielle du régime de sanctions administratives entre les États membres - sans préjudice pour ces derniers de la possibilité d'infliger des sanctions pénales ou administratives en cas de violation des dispositions nationales transposant la directive.
La Commission se fonde sur l'article 114 du traité sur le fonctionnement de l'Union européenne (TFUE), qui vise au rapprochement des règles nationales aux fins de bon fonctionnement du marché intérieur. En effet, l'évaluation de la directive SRI de 2016, adoptée sur la même base juridique, a montré d'importantes divergences entre les législations nationales adoptées pour la transposer. En outre, en raison du manque de clarté de certaines dispositions de la directive, les systèmes de surveillance des entités et de partage d'information entre États membres prévus par la directive ont été insuffisamment appliqués.
Il résulte de cette inégale application de la directive SRI d'importantes charges et une insécurité juridique pour les entités exerçant des activités dans plusieurs États membres, qui peuvent entraver la liberté d'établissement et de prestation de service au sein du marché unique.
En outre, et de ce fait, la Commission observe des degrés de résilience variables en fonction des États membres et, plus globalement, un degré de résilience insuffisant des entités européennes, ce qui est d'autant plus dommageable qu'en raison de l'interdépendance croissante des systèmes et réseaux informatiques européens et de la nature de plus en plus transfrontière des menaces cyber, une mise en oeuvre insuffisante dans un État peut avoir des répercussions importantes dans un autre État. Il apparaît donc évident que seule une action au niveau de l'Union est de nature à pouvoir remédier à ces problèmes4(*).
Il faut en outre souligner que la directive serait d'harmonisation minimale (art. 3), et garantirait notamment la possibilité, pour les États membres, de recenser des entités essentielles ou importantes supplémentaires, par rapport à celles déterminées sur les critères de la directive.
La proposition précise également qu'elle serait « sans préjudice des compétences des États membres concernant la préservation de la sécurité publique, de la défense et de la sécurité nationale » (art. 2, 3.), et que les États membres ne seraient pas tenus, dans le cadre des mécanismes d'échanges d'informations, de « fournir des renseignements dont la divulgation serait contraire aux intérêts essentiels de [leur] sécurité intérieure » (considérant 6).
En conséquence, la proposition ne paraît pas porter atteinte au principe de subsidiarité ; le groupe de travail sur la subsidiarité a donc estimé qu'il n'était pas nécessaire d'intervenir plus avant sur ce texte au titre de l'article 88-6 de la Constitution.
* 1 Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.
* 2 Entités publiques et privées de sept secteurs (énergie, transports, banque, infrastructures de marchés financiers, soins de santé, fourniture et distribution d'eau potable, infrastructures numériques), ainsi que places de marchés en ligne, moteurs de recherche en ligne et services d'informatique en nuage.
* 3 Avec la possibilité, notamment, d'utiliser les certificats de cybersécurité introduits par le règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA et à la certification de cybersécurité des technologies de l'information et des communications.
* 4 De manière complémentaire, les importants risques que peuvent faire courir les incidents cyber à la protection des données personnelles, droit consacré à l'article 8 de la Charte, peut également justifier l'action de l'Union.