Monsieur le président, madame la ministre, monsieur le secrétaire d’État, mes chers collègues, le Gouvernement manifeste sa considération vis-à-vis du Parlement en tenant les propos élogieux que nous venons d’entendre voilà quelques instants, mais aussi en lui prêtant des connaissances encyclopédiques, puisque nous allons traiter de trois sujets différents : la cybersécurité, les armes et le système satellitaire Galileo.
Préalablement, je tiens à rassurer chacun d’entre vous sur le fait que les trois parties du texte ne posent aucune difficulté de subsidiarité. La lutte contre la cybercriminalité est bien sûr un enjeu européen, comme les questions d’armes. Quant au système satellitaire Galileo, il est par essence un programme européen.
Le texte n’effectue pas non plus de surtransposition majeure, à une exception, effectivement en lien avec l’objectif à atteindre. Ce texte étant pour l’essentiel une transposition, il nous imposera un examen plus contraint que pour un projet de loi classique.
Améliorer la cybersécurité est l’objectif de la directive dite « NIS », pour Network and Information Security, du 6 juillet 2016, qui doit être transposée avant le 9 mai 2018. Les risques de cyberattaques criminelles sont largement partagés en Europe. Monsieur le secrétaire d’État, nous vous avons entendu, cette question ne doit pas être appréhendée sous un angle seulement technique ou technologique.
Ce texte, mes chers collègues, prévoit l’obligation de respecter un socle minimal de mesures de sécurité, des modalités de contrôle, ainsi qu’une obligation de déclaration des incidents à l’ANSSI. Sont concernés par la directive les opérateurs économiques dits « essentiels » et les fournisseurs de services numériques.
La notion d’opérateur économique essentiel est connue en matière de défense depuis la loi relative à la programmation militaire de 2013, environ 250 entreprises ayant été classées opérateurs d’intérêt vital, ou OIV.
Le champ d’application des opérateurs économiques essentiels sera plus large, en raison d’une légère surtransposition dans la définition, que je vous ai signalée, et de l’intention des services du Premier ministre, que nous avons interrogés, d’aller au-delà des sept secteurs visés par la directive en y ajoutant probablement le tourisme, le secteur agroalimentaire et l’automobile. L’automobile dite « autonome » devrait en effet arriver très vite, avec ce que cela suppose de problèmes de maîtrise.
À terme, quelque 600 entreprises pourraient être classées opérateurs économiques essentiels. Nous devons simplement être conscients du coût économique découlant de la directive NIS. Les pratiques de sécurité de ces 600 entreprises, probablement les plus grandes, auront un caractère systémique, car elles auront des effets en cascade sur leurs sous-traitants. Ce sont donc des dispositions qui, à mon sens, concerneront au moins indirectement les PME.
La commission des lois vous demande, monsieur le secrétaire d’État, de compléter le projet de loi d’ici à son examen à l’Assemblée nationale au mois de février prochain.
L’article 9 du texte prévoit des sanctions pénales en cas de violation des règles minimales en matière de protection des réseaux et des systèmes d’information, lesquelles doivent être fixées par voie réglementaire. Vous avez déjà tous anticipé ce que je vais maintenant vous dire : le risque est fort que ce régime soit jugé contraire à la Constitution, dans la mesure où il nous semble porter atteinte au principe à valeur constitutionnelle de légalité des délits et des peines.
En effet, le législateur est tenu de définir les obligations sanctionnées, nous dit le Conseil constitutionnel, « en termes suffisamment clairs et précis » et ne peut laisser cette tâche au pouvoir réglementaire. Ce travail ne pouvant techniquement être fait par le Parlement, il vous appartient, nous semble-t-il, monsieur le secrétaire d’État, de mener à bien les concertations et de définir les bonnes pratiques professionnelles avant l’examen du texte par l’Assemblée nationale.
Le deuxième volet du texte porte sur la directive relative au contrôle de l’acquisition et de la détention d’armes, laquelle a connu un examen difficile devant le Parlement européen.
La portée de cette directive du 17 mai 2017, qui doit être transposée avant le 14 septembre 2018, doit être relativisée. Elle est en particulier sans effet sur la lutte contre le trafic illégal, puisqu’elle ne traite en réalité que de la situation des personnes qui s’inscrivent ou s’inscriront dans le cadre légal.
L’Union européenne n’est pas restée inactive, puisque, en parallèle, elle a adopté un règlement visant à harmoniser les normes de neutralisation des armes, comme elle avait introduit un peu plus tôt un dispositif obligatoire, transposé dans notre pays par un décret du 29 août 2017, pour les opérateurs économiques d’enregistrement des transactions concernant des substances susceptibles d’être utilisées à des fins de fabrication d’explosifs, à l’exemple du TATP.
Dans une logique d’augmentation du contrôle des armes à feu, la directive supprime la catégorie dite « D1 » des armes à feu et élargit la catégorie A. Le Gouvernement a fait le choix d’activer des dérogations concernant les tireurs sportifs et certaines sociétés de sécurité privée bénéficiant d’un agrément.
Les ventes par correspondance d’armes restent licites, à condition que les armes soient livrées par l’intermédiaire d’un armurier ou que la plateforme utilisée soit celle d’un armurier. C’est le respect de l’obligation de déclaration qui est recherchée ; Mme la ministre vient d’en parler.
Elle a également fait état d’une petite divergence avec notre position s’agissant des collectionneurs. Nous avons pour notre part proposé une solution élégante, et a priori appréciée, si j’en juge par le fait qu’aucun amendement n’a été déposé sur ce point en séance, consistant à garder les collectionneurs d’armes ou de répliques d’armes historiques dans le cadre d’un volet législatif, sans priver l’autorité publique de la possibilité d’intervenir en fonction de leur niveau de dangerosité.
Enfin, en conclusion, je dirai quelques mots concernant Galileo, le programme européen de radionavigation et de positionnement par satellites, à comparer avec le système américain GPS et les systèmes, déjà opérationnels, russes et chinois.
Galileo comprend trois services distincts : un service ouvert, accessible à tous, conçu pour servir de support aux applications de géolocalisation ; un service commercial, dont tout porte à croire qu’il sera finalement gratuit ; un service public réglementé, dit « SPR », très sécurisé, à usage beaucoup plus restreint, en clair à vocation de renseignement ou militaire.
La décision du 25 octobre 2011, dont la transposition vous est aujourd’hui demandée, précise que, pour activer le service public réglementé de Galileo – 23 satellites à l’heure actuelle, sur 30 prévus, et un début de caractère opérationnel à la fin de l’année dernière –, une organisation administrative minimale doit être mise en place dans chaque État membre, accompagnée d’un système de sanctions pénales.
Le Parlement, mes chers collègues, ne peut que donner son feu vert à la mise en œuvre du service public réglementé. Il serait regrettable que notre défense ne puisse pas accéder à Galileo. Pour cela, un cadre minimal est nécessaire, tant d’un point de vue administratif que d’un point de vue pénal. Tel est le sens de la transposition qui vous est soumise.