Intervention de Philippe Bonnecarrere

Notre commission s'est saisie pour avis de plusieurs dispositions du projet de loi de programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense. Grâce à un rehaussement de l'effort de défense à 2 % de notre produit intérieur brut (PIB), ce texte vise à renforcer les capacités de nos armées et à les doter des moyens nécessaires à l'accomplissement de leurs missions. Dans toute démocratie, l'exercice de la force armée est soumis à certaines valeurs. Il est donc logique que ce texte contienne des dispositions juridiques pour garantir le respect de ces dernières tout en permettant à nos armées d'agir dans les meilleures conditions.

Deux points concentreront particulièrement notre attention. L'article 19, tout d'abord, qui renforce nos capacités de cyberdéfense. Certaines mesures sont susceptibles de porter atteinte à la vie privée. Je vous proposerai des amendements pour les encadrer et parvenir à un dispositif équilibré. Ensuite, nous devrons aussi nous prononcer sur le contrôle des activités de renseignement, un point qui ne figure pas dans la loi. Je vous proposerai de suivre les propositions de MM. Bas, Cambon et Buffet, qui ont récemment déposé une proposition de loi sur le sujet.

Le texte comporte diverses dispositions portant sur les ressources humaines. L'article 14 rétablit pour les ouvriers d'État les règles normalement applicables aux fonctionnaires en matière de cumul d'activités. L'article 16 prévoit deux procédures expérimentales de recrutement par le ministère des armées pour faire face aux difficultés sérieuses à pourvoir certains postes dans certains domaines, comme l'informatique ou le renseignement par exemple. La première permet de recruter, sur une période donnée et dans un nombre de régions limité, certains corps de fonctionnaires de catégorie B sans organisation de concours, dans le cadre, toutefois, d'une sélection « objective et impartiale ». La seconde expérimentation prévoit, dans un nombre de secteurs limités et dans les mêmes régions, la possibilité d'ouvrir certains postes vacants à des agents contractuels en dehors des cas normalement prévus par le droit commun de la fonction publique. Ces dispositifs me paraissent bien encadrés.

L'article 18 comporte des dispositions relatives à l'élection des militaires aux scrutins locaux. Depuis la IIIe République, au nom de la séparation des pouvoirs entre le civil et le militaire, les militaires en activité ne peuvent exercer aucun mandat électif. Cette tradition semblait bien ancrée. Toutefois un militaire a déposé une question prioritaire de constitutionnalité. Le Conseil constitutionnel a jugé que l'incompatibilité absolue existant entre la fonction de militaire de carrière en activité et celle de conseiller municipal était excessive, donnant au Gouvernement jusqu'à 2020 pour modifier la loi. Le Gouvernement fait une proposition a minima qui me semble pertinente. Ainsi, l'article 18 prévoit une dérogation à cette incompatibilité pour les conseils municipaux des communes de moins de 9 000 habitants - l'Assemblée nationale ayant relevé le seuil qui était initialement prévu à 3 500 habitants - et les conseils communautaires des communautés de communes de moins de 15 000 habitants. En revanche, l'incompatibilité demeure pour les autres mandats et un militaire en activité ne pourra pas non plus exercer une fonction exécutive locale (maire ou adjoint au maire, notamment).

L'article 19, sur lequel je vous proposerai le plus de modifications, renforce le dispositif national de cyberdéfense, en facilitant la détection, le plus en amont possible, auprès des opérateurs de communications électroniques, des attaques informatiques. Il comprend deux volets, distincts mais complémentaires. Un volet incitatif vise à améliorer le niveau de sécurité sur les réseaux des opérateurs de communications électroniques. Ce volet ouvre la possibilité aux opérateurs de communications électroniques de déployer, sur leurs propres réseaux, des dispositifs techniques, que l'on peut qualifier de « sondes », destinés à surveiller le trafic afin de détecter de potentielles attaques informatiques. Ces dispositifs fonctionneraient comme des anti-virus : ils reposeraient sur une comparaison, en temps réel, des flux de données circulant sur les réseaux des opérateurs avec des marqueurs d'attaques, c'est-à-dire des éléments techniques caractéristiques de certaines attaques ou de certains attaquants. La neutralité du Net serait respectée. Le déploiement de ces dispositifs s'effectuerait de manière volontaire. Ce premier volet ouvre par ailleurs de nouvelles prérogatives à l'Agence nationale de sécurité des systèmes d'information (Anssi) : en cas d'information sur une menace spécifique, elle aurait la possibilité de demander à un opérateur d'exploiter les sondes qu'il a installées à l'aide de marqueurs techniques spécifiques, aux fins de prévenir cette menace spécifique ; en cas de détection d'une attaque visant une autorité publique ou un opérateur d'importance vitale (OIV), l'Anssi pourrait demander à l'opérateur de lui transmettre les données techniques nécessaires à l'analyse de la menace. Pour mémoire, on compte environ 250 opérateurs d'importance vitale. La catégorie des OIV a été créée par la précédente loi de programmation militaire. Ces OIV se distinguent des opérateurs de services essentiels, catégorie plus large, qui sont désignés par le Premier ministre, car ils assurent la fourniture de services essentiels au bon fonctionnement de l'économie, comme les banques ou EDF par exemple. Ces opérateurs doivent disposer d'une sécurité numérique maximale.

Le second volet de l'article 19 est plus contraignant. Il confère à l'Anssi d'importantes prérogatives lorsqu'une autorité publique ou un opérateur d'importance vitale est menacé par une cyberattaque. Dans une telle hypothèse, l'Anssi aurait la possibilité d'installer elle-même, de manière temporaire, ses propres sondes de détection d'attaques sur le réseau d'un opérateur de communications électroniques ou d'un hébergeur de solutions informatiques. Elle pourrait, dans ce cadre, collecter les données techniques nécessaires à la caractérisation et à la prévention des menaces et les conserver pendant un certain temps. Le Gouvernement avait prévu un délai de cinq ans, l'Assemblée nationale l'a porté à dix ans, pour permettre à l'agence de mieux caractériser les menaces. Ces dispositions visent à permettre à l'Anssi d'améliorer sa connaissance des menaces, notamment lorsqu'il s'agit de menaces « invisibles », comme, par exemple, l'introduction d'un cyberattaquant dans le réseau d'une administration à des fins d'espionnage ou de blocage, comme ce fut par exemple le cas lors de l'attaque contre TV5. En cas de refus d'un opérateur ou d'un hébergeur, des sanctions pénales seraient encourues. Compte tenu du caractère intrusif de ce dispositif, l'article 19 confie un pouvoir de contrôle à l'Autorité de régulation des communications électroniques et des postes (Arcep). Celle-ci aurait pour rôle de veiller au respect par l'Anssi des termes de la loi et pourrait lui adresser des injonctions.

L'intensification de la cybermenace au cours des dernières années, à l'instigation de certains pays ou de groupes divers, nécessite des réponses adaptées. Les guerres de demain seront de plus en plus des guerres numériques. C'est pourquoi je ne vous propose pas de remettre en cause ces dispositifs. Toutefois mes amendements visent à en assurer la constitutionnalité, en prévoyant les garanties nécessaires pour assurer une conciliation équilibrée entre la prévention des atteintes à l'ordre public et la protection des libertés et des droits et fondamentaux, notamment le secret des correspondances et le droit au respect de la vie privée. En effet, pour détecter les signaux d'une attaque ou une anomalie, l'Anssi, dans sa mission de surveillance des flux, doit pouvoir extraire des documents de correspondance privés. Même si elle n'a pas vocation à lire les courriels ou les documents privés, elle doit pouvoir les ouvrir. C'est pourquoi il est nécessaire de renforcer les garanties. À cette fin, je vous propose de préciser, par un décret en Conseil d'État, la liste des données techniques susceptibles d'être collectées dans le cadre de ces dispositifs, afin d'éviter toute intrusion dans les données relatives au contenu des correspondances privées ; de renforcer les pouvoirs de contrôle de l'Arcep, notamment en lui permettant de recourir à des experts extérieurs ; d'instaurer un recours spécifique devant le Conseil d'État en cas de refus de l'administration de suivre les injonctions de 1'Arcep, selon un dispositif qui s'inspire de celui en vigueur pour la Commission nationale de contrôle des techniques de renseignement (CNCTR) ; de renforcer le contrôle parlementaire, avec l'obligation faite à l'Arcep de transmettre au Parlement un rapport chaque année et d'informer les présidents des assemblées immédiatement en cas de dysfonctionnement ; d'assurer le respect du principe constitutionnel de juste rémunération des opérateurs, qui prévoit que toute charge financière imposée par la loi à un opérateur de communications électroniques soit compensée par l'État ; et enfin de garantir le respect du principe à valeur constitutionnelle de proportionnalité des peines, en supprimant la peine d'emprisonnement encourue par les opérateurs en cas d'obstruction à l'installation d'une sonde par l'Anssi tout en augmentant les amendes.

Je n'ai pas d'observation particulière sur l'article 22 bis qui modifie les modalités de financement et les conditions de publication des travaux de la commission de vérification des fonds spéciaux.

J'en viens maintenant au renseignement. M. Philippe Bas, qui a présidé la délégation parlementaire au renseignement, estime nécessaire de renforcer le contrôle du Parlement en la matière. Il a déposé le 11 mai au Sénat, avec MM. Christian Cambon et François-Noël Buffet, une proposition de loi en ce sens. L'article additionnel après l'article 22 bis, que je vous propose d'insérer, en reprend le dispositif. Il étend le périmètre de contrôle de la délégation, sur le modèle de ce qui existe dans d'autres démocraties, à l'ensemble de l'activité des services de renseignement, tout en prévoyant, pour respecter les exigences constitutionnelles et ne pas entraver l'efficacité des services, un droit d'opposition du Gouvernement pour les cas où la communication d'une information, d'un document ou d'un élément d'appréciation serait susceptible de porter atteinte à une opération en cours ou de mettre en péril l'anonymat ou la sécurité d'un agent. Il rend aussi la délégation parlementaire au renseignement destinataire de plein droit de la liste annuelle des rapports de l'inspection des services de renseignement ainsi que des rapports des services d'inspection générale des ministères portant sur les services de renseignement. La liste des personnes susceptibles d'être entendues par la délégation est aussi étendue à l'ensemble des personnels des services de renseignement, avec des garanties pour préserver leur anonymat puisqu'ils ne pourraient être entendus que dans le cadre d'un déplacement de la délégation sur le site du service concerné. Enfin, la délégation pourrait et désigner en son sein un rapporteur, ce qui renforcera la continuité de ses travaux au-delà de l'alternance des présidents tous les ans.