Intervention de Laurence Harribey

En réponse à André Gattolin, sur les pouvoirs d'enquête envisagés, le texte est flou : en cas d'attaque transfrontalière d'échelle européenne, si deux États en faisaient la demande, l'ENISA pourrait enquêter dans les pays touchés. Parmi ceux-là, quid de ceux qui n'auraient pas fait de demande ? Cela nous conforte plutôt dans notre analyse.

Concernant la mise en avant de la souveraineté, je préciserai qu'il s'agit d'abord d'un problème de sûreté des États.

Pour répondre à Philippe Bonnecarrère, je dois parler un peu du fond du texte, qui mériterait une analyse approfondie.

Il y avait une demande des acteurs français, tant pour améliorer la coopération dans l'Union que pour un cadre de certification. Mais il ressort de nos auditions, qu'ils sont tombés de l'armoire en découvrant la proposition de la Commission. Il y a unanimité pour revoir le texte.

Nous sommes dans la même perspective. Je pense qu'il y a un moyen de faire évoluer le texte, mais nous devons exercer ce pouvoir de contrôle qui est le nôtre sur la conformité au principe de subsidiarité.

Suite à l'envoi de la proposition de résolution, nous avons approfondi notre réflexion, ce qui nous conduit à vous proposer quelques modifications de la proposition de résolution. Elles apparaissent en gras dans le document qui vous a été distribué.

Il y a des modifications rédactionnelles qui apportent plus de précision aux paragraphes 10, 11, 13, 23, 24 et 29.

Le paragraphe 17 introduit un point important, c'est la séparation du texte en deux : à partir du moment où nous n'estimons que peu légitime la place de l'ENISA dans la certification, rien ne justifie qu'on mette dans un même projet ce qui relève de l'organisationnel, le mandat de l'ENISA, et la mise en place d'un processus de certification. C'est pourquoi il nous parait judicieux de demander deux textes.

Le paragraphe 20 insiste sur un aspect essentiel de la subsidiarité : il faut maintenir la possibilité pour les États membres d'aller plus loin que ce que propose l'Union dans le domaine de la sécurité, y compris en ce qui concerne la certification. Si les futurs standards ne nous paraissent pas assez élevés, nous devons pouvoir continuer à proposer à nos citoyens la sécurité à laquelle ils ont droit.

Voilà, Monsieur le Président, chers collègues, le sens de ces ajouts.

À l'issue du débat, la proposition de résolution a été adoptée à l'unanimité.

(1) La proposition de règlement COM (2017) 477 final sur la cybersécurité vise à renforcer l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) et à établir un cadre européen de certification de cybersécurité des produits et services des technologies de l'information et de la communication.

(2) Elle fixe six objectifs :

(3) - développer les moyens et la préparation des États membres ;

(4) - améliorer la coopération et la coordination entre les États membres et les institutions européennes ;

(5) - accroître les moyens au niveau de l'Union pour compléter les actions des États membres en cas de crise transfrontalière ;

(6) - davantage sensibiliser particuliers et entreprises aux questions de cybersécurité ;

(7) - accroître globalement la transparence et l'assurance de la cybersécurité ;

(8) - éviter la multiplication des systèmes de certification dans l'Union, ainsi que des exigences de sécurité et des critères d'évaluation dans les différents États membres.

(9) Pour atteindre ces objectifs, la Commission propose de renforcer l'ENISA et d'en faire l'acteur incontournable de la cybersécurité européenne, alors qu'elle est actuellement une agence aux moyens limités et dont le mandat doit s'achever en 2020.

(10) L'ENISA serait dotée d'un mandat permanent. Son champ d'action serait étendu à de nouvelles missions liées au marché et à la certification de cybersécurité ainsi qu'à la normalisation et à l'assistance technique en cas d'incidents significatifs. Elle conserverait ses missions concernant, d'une part, l'élaboration et la mise en oeuvre de la politique de l'Union européenne en matière de cybersécurité, et, d'autre part, le soutien au renforcement des capacités (moyens et compétences) des États membres, à la coopération opérationnelle et à la gestion des crises.

(11) L'ENISA serait donc pérennisée et verrait ses compétences grandement élargies. Elle pourrait notamment mener des enquêtes techniques au sein des États membres, suite à la signalisation d'un incident de cybersécurité d'ampleur européenne, sur demande de certains États membres ou de la Commission. Elle pourrait également apporter une assistance technique à certains États membres en cas de cyberattaque, grâce à une équipe d'intervention.

(12) La proposition prévoit dans une seconde partie l'instauration d'un cadre unique de certification reflétant le niveau de sécurité des produits et services des technologies de l'information et de la communication dans l'Union européenne, dont l'ENISA serait l'autorité de référence. Un guichet unique permettrait aux entreprises de faire certifier leurs produits.

(13) Alors qu'aujourd'hui la compétence et l'expertise en matière d'évaluation de sécurité se situent au niveau des États membres, la proposition octroie cette compétence à l'ENISA. En outre, dès lors qu'un schéma européen serait créé, tout certificat national se verrait supprimé et il ne serait plus possible à l'avenir d'en adopter un, alors même qu'il proposerait un niveau de sécurité plus élevé. Pour tous les produits et services, le cadre proposé prévoit trois niveaux d'assurance : élémentaire, substantiel et élevé.

(14) Vu l'article 88-6 de la Constitution,

(15) Le Sénat fait les observations suivantes :

(16) - Le Sénat soutient un renforcement des capacités européennes en matière de cybersécurité et la nécessité de disposer d'un cadre européen unique de certification de cybersécurité pour les produits et les services des technologies de l'information et de la communication, ainsi que pour les systèmes de cybersécurité ;

(17) - Cependant, il estime que ces deux sujets devraient faire l'objet de deux textes différents, l'un fixant le mandat de l'ENISA, l'autre établissant un cadre pour la certification ;

(18) Concernant les compétences des États en matière de sécurité :

(19) - Le Sénat souligne que la cybersécurité, de par l'importance qu'elle revêt pour la sécurité des États membres, relève par plusieurs aspects de la souveraineté nationale ;

(20) - Par conséquent, les États membres doivent conserver, d'une part, leur faculté d'adopter des normes et des standards apportant un plus haut niveau de sécurité, et, d'autre part, toute leur place dans le nouveau dispositif européen, fondée sur leur participation volontaire à une cybersécurité européenne ;

(21) - Pour cette raison, concernant la base juridique de la proposition, il estime qu'un règlement sur la cybersécurité ne peut relever uniquement du fonctionnement du marché intérieur (articles 26 et 114 du Traité sur le fonctionnement de l'Union européenne), mais qu'il doit aussi intégrer les enjeux de sécurité (article 5 du Traité sur l'Union européenne).

(22) Concernant le mandat révisé de l'ENISA :

(23) - Le Sénat estime que les États membres doivent tous disposer de capacités techniques et opérationnelles suffisantes en matière de cybersécurité et qu'il est bienvenu que l'ENISA les soutienne et les accompagne dans cette démarche. Cela implique que l'ENISA ne se substitue pas aux capacités opérationnelles des États membres et qu'elle ne dispose pas d'une équipe d'intervention en cas de crise, dont la création n'est pas justifiée ;

(24) - Le Sénat rappelle que la coopération européenne dans la cybersécurité doit continuer à se faire sur la base de la participation des États membres et de la transmission volontaire d'informations sensibles, voire relevant de la sécurité nationale et que, par conséquent, l'ENISA ne peut disposer de pouvoirs d'enquête tels que prévus à l'article 7, point 5 de la proposition de règlement ;

(25) Concernant la certification de cybersécurité :

(26) - Le Sénat relève que la proposition de règlement place l'ENISA au coeur du processus de certification, alors que cette agence n'a aucune expertise en la matière ;

(27) - Il rappelle que l'action menée depuis plusieurs années par une majorité d'États membres, dont la France, a permis de faire de l'Europe une référence mondiale en termes de certification de cybersécurité ;

(28) - Pour ces raisons, le Sénat estime que la place prépondérante envisagée pour l'ENISA dans la certification de cybersécurité, alors qu'elle ne dispose d'aucune expertise, n'est pas justifiée et qu'elle pourrait entraîner un affaiblissement de la cybersécurité dans l'Union, ce qui est contraire à l'objectif de la proposition ;

(29) - En outre, il convient que les États membres et les autorités nationales de contrôle de la certification conservent leur légitime place au sein du futur processus de certification européen et qu'ils ne soient pas cantonnés à un rôle uniquement consultatif ;