Intervention de Laurence Harribey

La question de la cybersécurité dépasse l'organisation du marché unique européen, elle concerne aussi les prérogatives des États membres. Comme René Danési vient de le montrer, le marché européen est fragmenté et il y a une véritable expertise en Europe, et notamment en France.

Dans le cadre du contrôle de subsidiarité auquel nous avons procédé, nous nous sommes efforcés de vérifier que les mesures proposées respectent les prérogatives des États membres et qu'elles n'outrepassent pas ce qui est nécessaire pour atteindre l'objectif fixé. Et je dois dire que nous sommes assez inquiets des propositions qui sont faites.

La cybersécurité dépasse l'organisation du marché unique européen des produits et des services et relève aussi de la sécurité et de la sûreté des États, donc de leur souveraineté et de la Défense nationale. Il s'agit là de prérogatives des États membres et non de l'Union européenne.

Or, concernant la cybersécurité, la Commission européenne fonde son approche uniquement sur les seuls articles 26 et 114 du traité relatifs marché intérieur, ce qui lui donne tout pouvoir ou presque. C'est dangereux. Le dispositif de la proposition doit tenir compte du rôle souverain des États membres en matière de cybersécurité. Je souligne que ce n'est pas contraire à un renforcement des capacités européennes en la matière.

Second point, en ce qui concerne l'ENISA, l'agence européenne de cybersécurité. C'est vrai que c'est une agence modeste et aux moyens limités. On ne peut pas continuer ainsi. La sécurité informatique est devenue trop importante et elle le sera encore plus dans les années à venir. Il faut renforcer également les capacités et les moyens des États membres, notamment de ceux qui ont peu de moyens. Nous sommes en plein accord avec cette ambition.

En ce sens, certains aspects de la proposition nous satisfont : la pérennisation de l'ENISA, l'augmentation de ses moyens, un rôle accru pour aider les États à perfectionner leurs moyens et leurs compétences, le partage de l'information et la participation à la recherche et l'innovation dans la cybersécurité.

Cependant, nous ne pouvons accepter que l'ENISA se substitue aux États membres dans certains cas. Elle ne peut disposer de pouvoirs opérationnels qui lui permettraient d'agir en lieu et place de certains États membres, quand bien même ceux-ci seraient demandeurs. Elle doit aider chaque pays à s'améliorer, faciliter leur coopération et l'action collective, mais pas agir à leur place. Pourquoi donner à une agence européenne les moyens d'assumer une mission qui doit être assurée par les agences nationales ?

Or, le texte prévoit qu'en cas d'attaque touchant plusieurs États membres, l'ENISA dispose de pouvoirs d'enquête pour déterminer ce qui s'est passé. Il prévoit aussi qu'en cas de cyberattaque contre un État membre, une équipe d'intervention de l'ENISA, spécialisée dans la gestion des crises, puisse agir. Cela va trop loin. Au mieux, on va créer des doublons avec des capacités opérationnelles existantes. Au pire, on va empiéter sur la souveraineté des États membres. Cela nous paraît même contraire aux objectifs de la directive SRI que René Danesi vient d'évoquer et qui doit être transposée. Nous sommes d'accord pour renforcer l'ENISA sans excéder ce qui est nécessaire et dans le respect des souverainetés nationales.

Pour ce qui est de la certification, l'ambition est grande, mais la proposition est loin d'être satisfaisante.

Oui, il faut un cadre européen unique de certification. C'est une nécessité pour le bon fonctionnement du marché unique : les produits et les services numériques présenteront les mêmes garanties de sécurité partout dans l'Union. C'est aussi primordial pour faire en sorte que la sécurité électronique soit présente à chaque niveau.

Toutefois, on a l'impression que la Commission a mis le contenu avant le contenant. On nous propose un système très intégré, qui donnerait un rôle central et incontournable à l'ENISA, alors que celle-ci ne dispose actuellement d'aucune compétence ou expérience en la matière. Et dans le nouveau processus, les États membres et leurs représentants n'auraient plus qu'un rôle consultatif. Pire encore, les nouveaux certificats européens seraient créés quasiment ex nihilo et s'imposeraient face à tout ce qui a pu être fait jusqu'à présent.

En outre, le système proposé apparaît trop simple : on ne certifie pas de la même façon une brosse à dents connectée et un système de transports publics. On va tourner le dos à des années de travail, à une expertise reconnue, à une confiance gagnée petit à petit auprès des différents agents économiques, et à un système vertueux qui part de la base, un système « bottom-up ». Nos auditions nous ont montré qu'il faut un système différencié avec une approche proportionnelle.

En effet, aujourd'hui, rien n'oblige une entreprise à faire certifier ses produits. Elle le fait parce qu'elle sait qu'une fois certifiés, elle les vendra mieux. La Commission propose d'inverser le schéma. Ça ne peut pas marcher et on risque d'affaiblir le niveau général de la cybersécurité dans l'Union.

En outre, des normes internationales ont été mises en place depuis 2010 qui sont reconnues mutuellement par les États (dont 13 États membres de l'Union) et qui s'appliquent déjà. Pourquoi ne pas partir de ces normes et les généraliser plutôt que d'en créer de nouvelles, qui devront prouver leur valeur ? Cela n'est pas justifié.

Enfin, nous ne comprenons pas pourquoi on veut répondre à deux problèmes différents en un seul texte. Il serait plus approprié de disposer d'un texte pour l'ENISA et d'un autre texte pour l'instauration d'un cadre de certification.

Pour l'ensemble de ces raisons, nous estimons que la proposition de la Commission européenne ne respecte pas le principe de subsidiarité et c'est le sens de l'avis motivé que nous vous soumettons.