Intervention de Sophie Joissains

Je ne m’étendrai pas sur Galileo, mais je salue tout de même l’ambition de ce projet, qui permettra à terme de mettre fin à toute dépendance de l’Europe aux États-Unis en matière de positionnement par satellite.

La suite de mon propos sera brève et concentrée sur les titres Ier et II du projet de loi.

Le titre Ier transpose la directive NIS du 16 juillet 2016. Rappelons que cette directive s’inscrit dans le cadre d’une stratégie européenne en matière de cybersécurité et qu’elle constitue la première initiative législative européenne ainsi que la première tentative d’harmonisation des normes dans ce domaine – il n’était pas trop tôt.

Le renforcement du niveau de cybersécurité des États membres pour les activités économiques stratégiques est un enjeu majeur, vous l’avez tous largement souligné. L’accélération des progrès technologiques, notamment en matière d’objets connectés, qui nous accompagnent dans pratiquement tous les aspects de notre vie quotidienne, nous oblige à nous mobiliser à une échelle qui ne peut plus être seulement nationale.

Les dégâts causés par les cyberattaques ne cessent de s’accroître. M. Philippe Bonnecarrère évoque dans son rapport le cas de l’attaque informatique subie par l’entreprise française Saint-Gobain au mois d’août 2017, qui aurait entraîné des pertes s’élevant à environ 250 millions d’euros.

À la fin du mois de novembre dernier, la révélation de l’attaque dont a été victime la société Uber inquiète également : quelque 57 millions de comptes utilisateurs de la plateforme ont été piratés, dont les données de 600 000 chauffeurs de l’entreprise. Alors que cette attaque remonte à la fin de l’année 2016, l’entreprise n’avait jusqu’à présent rien dit, et avait même payé une rançon aux hackers pour que ces derniers ne révèlent pas cette énorme fuite de données personnelles…

On pourrait multiplier les exemples, et vous l’avez fait, mes chers collègues. Ce phénomène ne concerne pas uniquement de grandes multinationales. Les attaques informatiques, de plus ou moins grande ampleur, concernent aussi des entreprises de taille parfois bien plus modestes et se répercutent sur un grand nombre de citoyens.

Aujourd’hui croissante au niveau de l’ensemble des trafics et parfois des plus sordides, la cybercriminalité dispose d’un champ d’action quasi illimité. La puissance publique doit réagir, s’adapter, et c’est l’objet de la directive européenne du 6 juillet 2016.

Il s’agit de protéger les opérateurs de services essentiels dans les secteurs publics et privés concernant la santé, le transport, l’énergie, l’alimentation, la logistique et le social. Peut-être d’autres domaines seront-ils ajoutés. Désignés par le Premier ministre, ces acteurs essentiels au bon fonctionnement de l’économie et de la vie quotidienne appliqueront des règles de cybersécurité particulières, suivies et évolutives.

Le cas Uber, que je viens d’évoquer, est un bon exemple de ce qui peut se passer quand un acteur économique est confronté à ce type d’attaque : il se tait. Il se tait de peur que sa réputation n’en soit gravement ternie, exposant par là même des milliers de citoyens ; empêchant aussi par son silence la réaction des services de l’État, qui est seul en situation à la fois d’enquêter sur les raisons de l’attaque, d’apporter des solutions d’urgence et, surtout, d’éviter que d’autres acteurs ne subissent le même sort.

Pour ces raisons, les dispositions du présent texte imposent des règles obligeant le signalement des incidents de sécurité. Celles-ci sont fondamentales pour que l’ANSSI puisse pleinement jouer son rôle, aussi bien de manière préventive qu’en temps de gestion de crise et, bien sûr, en termes d’évaluation et d’évolution du système.

Concernant le renforcement de la législation sur les armes à feu, deuxième volet important de ce projet de loi, nous ne pouvons, à l’instar de notre rapporteur, qu’être légèrement déçus par rapport aux collectionneurs. Quel est l’enjeu ? Est-ce le régime juridique applicable aux 220 000 tireurs sportifs que compte notre pays ? Ou bien les obligations à la charge des collectionneurs ? Probablement pas.

Selon nous, le sujet qui doit concentrer toute notre énergie est la lutte contre le trafic d’armes. Or force est de constater que peu des dispositions qui nous sont soumises ce soir sont de nature à radicalement endiguer ce trafic, lequel alimente aussi bien la grande criminalité organisée que le terrorisme.

C’est pourtant la France, après les terribles attentats qu’elle a subis en 2015, qui avait été à l’origine de la directive que nous transposons aujourd’hui. Nous sommes naturellement favorables aux dispositions prévues par le présent projet de loi, qui visent néanmoins à sécuriser les conditions de ventes d’armes à feu.

Je dirai un mot tout de même du durcissement du régime des armes historiques. Nous avons été plusieurs à être interpellés dans nos départements sur cette question. De nombreux collectionneurs d’armes anciennes ont émis des craintes sur l’article 16 du texte, qui précise que le classement de ces armes et leurs reproductions ne relèvent plus de la loi, mais sera défini par décret en Conseil d’État.

Or les armes historiques elles-mêmes demeurent en dehors du champ d’application de la directive. La commission des lois, qui a excellemment travaillé, a fort opportunément considéré que les armes historiques et leurs reproductions seront classées en catégorie D2, exception faite de certaines armes dangereuses qui seront énumérées par décret.

Je tiens à remercier chaleureusement notre collègue Philippe Bonnecarrère et à le féliciter pour la grande qualité de son rapport.