La proposition de règlement du Parlement européen et du Conseil amendant le règlement (UE) 2019/881^1(*) concernant les services de sécurité gérés (COM (2023) 208 final) a été présentée, le 18 avril dernier par la Commission européenne, conjointement avec la communication COM(2023) 207 final et proposition de règlement des mesures de « cybersolidarité » (COM (2023) 209 final) déjà évoquées.

I) Le règlement européen 2019/881 a instauré une procédure de certification européenne de cybersécurité

A) Qu'est-ce que la certification européenne de cybersécurité ? Quelle est son utilité ?

La certification est l'attestation de la robustesse d'un produit, basée sur une analyse de conformité et des tests de pénétration réalisés par un évaluateur tiers sous la supervision d'une autorité de certification, selon un schéma et un référentiel adaptés aux besoins de sécurité des utilisateurs et tenant compte des évolutions technologiques.

En choisissant un produit certifié, l'utilisateur est assuré que les fonctionnalités certifiées offrent un niveau de sécurité éprouvé, et résistent aux attaques d'un niveau déterminé.

Pour les développeurs de solutions numériques, la certification d'un produit leur permet d'accéder à de nombreux marchés de cybersécurité.

Avant l'adoption du règlement 2019/881 du 17 avril 2019, 14 États membres avaient mis en place des procédures de certification de cybersécurité s'appuyant sur leurs législations nationales et sur des normes internationales mutuellement reconnues, appelées SOG-IS. Une expertise européenne de cybersécurité avait ainsi vu le jour au sein de laquelle l'expertise française était reconnue parmi les meilleures.

Le règlement 2019/881 précité du 17 avril 2019 a « changé la donne » en instituant un cadre européen de certification de cybersécurité (dont le détail est présenté en annexe).

Cette certification européenne concerne les produits, les services et les processus dénommés « TIC » (c'est-à-dire, appartenant à un réseau ou à un schéma d'information).

Elle vise à garantir la protection des données stockées, transmises ou traitées (contre tout traitement accidentel, destruction, perte ou altération, ou absence de disponibilité), à faire en sorte que les personnes autorisées, les programmes et les machines ne puissent accéder qu'aux données, services ou fonctions définis par leurs droits d'accès, à identifier les vulnérabilités, à garder une trace des données, fonctions ou services qui ont été consultés ou traités, à rétablir leur disponibilité ainsi que l'accès à ceux-ci dans les plus brefs délais en cas d'incident et à faire en sorte que les produits, services et processus TIC soient sécurisés « par défaut et dès la conception ».

Pour renforcer le niveau global de cybersécurité dans l'Union européenne, la Commission européenne et le législateur européen ont défendu une approche uniforme par :

-une élimination progressive des schémas de certification nationaux, appelés à être remplacés par des schémas européens de certification ;

- un rôle d'élaboration et d'évaluation de ces schémas européens confié à l'agence européenne de cybersécurité (ENISA) ;

-une responsabilité des autorités nationales de certification (en France, le centre national de certification intégré à l'agence nationale pour la sécurité des systèmes d'information - ANSSI) dans la délivrance des certificats de cybersécurité et dans le contrôle de la mise en oeuvre des obligations prévues par les schémas européens arrêtés par l'ENISA ;

-la mise en place d'une « échelle » de niveaux de cybersécurité adaptés aux besoins des structures certifiées (élémentaire ; substantiel ; élevé).

Rappelons que, sur le rapport de notre collègue Laurence Harribey et de notre ancien collègue André Danesi, le Sénat avait émis des critiques importantes sur ces deux dispositions du règlement dans son avis motivé^2(*) du 6 décembre 2017, et avait constaté sa non-conformité avec le principe de subsidiarité.

Cet avis soulignait que la cybersécurité [relevait] « par plusieurs aspects de la souveraineté nationale et demandait que les États membres puissent conserver leur faculté d'adopter des normes et des standards apportant un plus haut niveau de sécurité afin de prendre toute leur part à la cybersécurité européenne. »

Soutenant les compétences d'appui de l'ENISA aux États membres, il recommandait en revanche de ne pas substituer cette agence « aux capacités opérationnelles des États membres » et ne souhaitait pas lui confier « un pouvoir d'enquête ».

Il rappelait enfin que la coopération européenne en matière de cybersécurité devait se poursuivre « sur la base de la participation des États membres et de la transmission volontaire d'informations sensibles. »

L'objectif de la proposition de règlement modificative est unique : étendre la certification européenne de cybersécurité aux « services de sécurité gérés », services de conseil et d'assistance dans le domaine de la gestion des risques de cybersécurité (aptes à proposer des réponses aux incidents cyber, à effectuer des tests de pénétration, à établir des audits de sécurité...), en insérant ces services dans le champ d'application du règlement 2019/881 précité.

B) La proposition de règlement modificatif est-elle conforme au principe de subsidiarité ?

Comme l'avait déjà conclu l'avis motivé précité du Sénat en date du 6 décembre 2017, la mention exclusive de l'article 114 du traité sur le fonctionnement de l'Union européenne (TFUE), relatif au développement du marché intérieur^3(*), qui confère une large latitude à la Commission européenne pour prendre des initiatives législatives, apparaît insuffisante au regard du contenu du texte.

En effet, comme cela vient d'être rappelé, la cybersécurité est pour les États membres, avant tout, une « politique de sécurité nationale » avec des enjeux spécifiques à chacun d'eux (ex : protection des lieux de pouvoir, des infrastructures critiques telles que les centrales nucléaires pour la France...), avant d'être un domaine de coopération opérationnel européen et une activité commerciale ou de prestation de services.

En principe, l'article 4, paragraphe 2, qui affirme que l'Union européenne « respecte les fonctions essentielles de l'État, notamment celles qui ont pour objet d'assurer son intégrité territoriale, de maintenir l'ordre public et de sauvegarder la sécurité nationale » et que « la sécurité nationale reste de la seule responsabilité de chaque État membre » aurait donc dû être aussi visé.

Néanmoins, dans le cas d'espèce, on peut considérer que la question des bases juridiques pertinentes a été tranchée lors de l'adoption initiale du règlement 2019/881.

La proposition de règlement est-elle nécessaire et apporte-t-elle une valeur ajoutée ?

Oui, car l'absence de certification des services de sécurité gérés, qui assurent conseil et assistance dans le domaine de la cybersécurité, aurait pu conduire à terme à une inutilité de la réglementation existante, les normes et obligations imposées par cette dernière étant alors susceptibles d'être contournées dès lors que l'un de ces services serait intervenu.

La réponse est également positive. La modification proposée se contente d'ajouter les services de sécurité gérés au cadre de la certification européenne. Elle ne pose donc aucune difficulté de proportionnalité au regard du cadre juridique inchangé du règlement 2019/881 qui, grâce à la vigilance du Sénat en particulier, a préservé les compétences des États membres dans les domaines régaliens (sécurité nationale ; défense ; enquêtes pénales...) tout en élevant « le niveau général de sécurité informatique »^4(*) dans l'Union européenne.

Compte tenu de ces observations, le groupe de travail sur la subsidiarité a donc décidé de ne pas intervenir plus avant sur ce texte au titre de l'article 88 6 de la Constitution.

* ¹ Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n°526/2013 (règlement sur la cybersécurité).

* ² Avis motivé n°25 (2017-2018) du 6 décembre 2017 et résolution européenne n°109 (2017-2018) du 26 mai 2018 pour une « cybersécurité robuste en Europe ».

* ³ Cet article permet au Parlement européen et au Conseil, statuant conformément à la procédure législative ordinaire et après consultation du Conseil économique et social, d'arrêter les mesures relatives au rapprochement des dispositions législatives, réglementaires et administratives des États membres qui ont pour objet l'établissement et le fonctionnement du marché intérieur.