Intervention de Philippe Bonnecarrere

Commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale — Réunion du 13 décembre 2017 à 10h10
Projet de loi portant diverses dispositions d'adaptation au droit de l'union européenne dans le domaine de la sécurité — Examen du rapport et du texte de la commission

Photo de Philippe BonnecarrerePhilippe Bonnecarrere, rapporteur :

Le texte que nous examinons porte en réalité sur trois sujets distincts : le combat pour la cybersécurité, la lutte contre le trafic d'armes et le système européen de positionnement par satellites Galileo.

Le volet relatif à la cybersécurité vise à transposer la directive européenne Network and Information Security, dite NIS, du 6 juillet 2016 - dont la date maximale de transposition est le 9 mai 2018 - qui définit des règles minimales communes dans ce domaine pour certaines entreprises sensibles. Le dispositif qui nous est présenté me semble adapté, si ce n'est que son coût sera supérieur aux estimations de l'étude d'impact.

La directive de lutte contre le trafic d'armes, adoptée le 17 mai 2017, doit être transposée avant le 14 septembre 2018. À part des précisions sur les armureries et la vente par correspondance, elle ne mérite pas d'honneurs particuliers, dans la mesure où elle ne traite que des personnes qui s'inscrivent dans un cadre légal et ne s'attaque pas à la problématique du trafic illicite. Cette dernière question est abordée dans d'autres textes européens, notamment un règlement de 2015 qui harmonise les dispositions relatives à la neutralisation des armes de guerre et un texte de 2013, intégré à notre droit par un décret d'août 2017, encadrant la vente des substances pouvant servir à la fabrication d'explosifs.

Enfin, le dernier volet du projet de loi tire les conséquences, en droit français, de la décision du Parlement européen et du Conseil du 25 octobre 2011 relative aux modalités d'accès au service public réglementé offert par Galileo : afin de permettre l'accès de notre pays à ce service, le projet de loi introduit un cadre réglementaire assurant sa bonne utilisation et assorti de sanctions pénales. Il ne s'agit donc pas d'une transposition.

Quelques observations générales, avant l'examen détaillé. D'abord ces trois volets ne posent aucun problème au regard de la subsidiarité : le trafic d'armes et la cybercriminalité sont par nature sans frontières, et Galileo est un système européen. Ensuite, il n'y a pas de sur-transposition - un gros mot au Sénat ! - si ce n'est pour la directive « NIS », mais pour des motifs assumés par le Gouvernement et en lien avec les objectifs du texte. Enfin, la transposition de directives relevant des engagements internationaux de la France, l'examen de ce projet de loi est naturellement plus contraint que dans le cadre d'un projet de loi ordinaire.

La conscience des risques associés aux cyberattaques est très largement partagée en Europe au sein des autorités publiques et des grandes entreprises ; elle l'est moins parmi les PME. Le texte offre un socle de mesures de sécurité pour améliorer la fiabilité et la résilience des réseaux et systèmes d'information, assorti d'un contrôle par l'autorité administrative pouvant déboucher sur des sanctions. Les opérateurs ont l'obligation de signaler les incidents affectant leurs réseaux et systèmes d'information. Deux catégories d'acteurs sont concernées : les opérateurs de services essentiels et les fournisseurs de service numérique.

L'article 1er du projet de loi définit la notion de réseaux et systèmes d'information. L'article 2 exclut du périmètre d'application les systèmes faisant déjà l'objet de mesures similaires. L'article 3 traite des règles de confidentialité ; l'article 4 indique qu'un décret en Conseil d'État fixera les modalités réglementaires d'application du dispositif.

L'article 5 définit les opérateurs de services essentiels comme ceux dont un dysfonctionnement ou un arrêt causés par une cyberattaque mettent en cause le fonctionnement de la société et de l'économie. Cette notion recoupe partiellement celle d'opérateur d'importance vitale introduite par la loi de programmation militaire de 2013. Ces opérateurs, désignés par le ministre et dont la liste est confidentielle, seraient au nombre de 250 environ et font l'objet d'obligations spécifiques.

Privés ou publics, les opérateurs de services essentiels répondraient à trois critères. Il s'agirait tout d'abord d'opérateurs fournissant « un service essentiel au fonctionnement de la société et de l'économie ». La directive identifie, à cet égard, sept secteurs, dont l'énergie, les transports, la santé et l'eau potable. La sur-transposition que j'évoquais porte sur la définition plus large retenue par le Gouvernement : alors que la directive définit ces opérateurs comme « assurant un service essentiel au maintien d'activités sociétales et/ou économiques critiques », le projet de loi n'introduit pas de notion de criticité. Cette définition permettrait, selon le Gouvernement, d'inclure des opérateurs des secteurs du tourisme, de l'agro-alimentaire, des assurances ou encore de la construction automobile, à travers les problématiques de la voiture autonome et des objets connectés ; au total, 600 entreprises pourraient entrer dans le champ d'application du projet de loi.

Cet élargissement est conforme à l'esprit de la directive ; néanmoins, il risque d'affecter la capacité des autorités à exercer un contrôle réel et présente un coût non négligeable, même si l'on sait que le coût des cyberattaques est également élevé. L'étude d'impact évalue de 1 à 2 millions d'euros par opérateur le coût de mise en place des mesures de sécurité exigées par la directive ; mais nombre d'entreprises concernées dépensent déjà probablement beaucoup plus. L'effet d'une telle mesure est systémique puisque les 600 entreprises qui devraient être concernées, pour l'essentiel de grande taille, et qui devront garantir la sécurité de leurs systèmes d'information, répercuteront ces exigences sur leurs sous-traitants. De plus, l'entrée en vigueur en 2018 du règlement européen sur la protection des données personnelles représentera un coût supplémentaire d'un milliard d'euros pour les entreprises.

Le deuxième critère d'identification d'un opérateur économique essentiel est que la fourniture du service essentiel soit tributaire des réseaux et des systèmes d'information ; le troisième et dernier critère est qu'un incident perturberait gravement la délivrance de ce service.

Le Gouvernement a fait le choix de maintenir les deux catégories distinctes d'opérateur d'importance vitale et d'opérateur de services essentiels. Ce n'est pas idéal, mais faire un autre choix reviendrait à modifier la loi de programmation militaire : en effet, les opérateurs d'importance vitale se voient imposer des dispositions, notamment en matière de sécurité des bâtiments et du personnel, qui vont bien au-delà des obligations des opérateurs de services essentiels.

Où faut-il insérer le texte dans la législation ? Aucune codification n'est prévue. Je n'ignore pas que notre commission n'apprécie pas les dispositions isolées ; toutefois le Conseil d'État n'a pas préconisé de codification, le texte oscillant entre le code de la sécurité intérieure et le code de la défense.

L'article 6 renvoie la définition des règles minimales concernant la protection des réseaux et systèmes d'information à un décret du Premier ministre. Or le texte prévoit également à l'article 9 des sanctions pénales en cas de manquement à ces obligations. Ce dispositif risque, sans plus de précision, de porter atteinte au principe à valeur constitutionnelle de légalité des délits et des peines. Je vous renvoie, à cet égard, à la décision du 23 mars 2017 du Conseil constitutionnel sur la loi relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre, ainsi que sur l'annulation plus récente des sanctions encourues par les représentants d'intérêts en cas de violation des règles déterminées par le Bureau de chaque assemblée parlementaire. Le Conseil constitutionnel précise que le législateur doit définir les obligations assorties de sanctions « en termes suffisamment clairs et précis ». Renvoyer la définition de ces obligations à des mesures réglementaires présente évidemment un risque majeur d'inconstitutionnalité. Or la réflexion, au niveau national, sur les mesures de sécurité applicables aux opérateurs de services essentiels est toujours en cours. Je propose donc d'inviter le Gouvernement, sous réserve de votre appréciation, à nous fournir d'ici là des indications beaucoup plus précises sur l'article 6.

La deuxième partie de la directive « NIS » concerne les fournisseurs de service numérique, c'est-à-dire les places de marché en ligne, les moteurs de recherche et le cloud. Les principes sont les mêmes que pour les opérateurs économiques essentiels mais le régime défini par la directive est plus souple. Ce régime n'est par ailleurs pas applicable aux entreprises de moins de 50 salariés et réalisant moins de 10 millions d'euros de chiffre d'affaires, ce qui semble de bon sens.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion