Intervention de Anne-Catherine Loisier

Vu les délais, j'ai préparé mon rapport sans procéder à des auditions, mais en me fondant sur de rapides consultations écrites.

Cette proposition de loi appelle notre attention sur un sujet crucial, qui monte en puissance mais reste insuffisamment pris en compte par nos concitoyens, qu'il s'agisse des acheteurs publics ou des entreprises : la cybersécurité. La cybersécurité recouvre l'ensemble des dispositifs techniques permettant de préserver la disponibilité, l'intégrité et la confidentialité des données et des services numériques. La sécurité des données peut aussi être menacée par les pratiques des Gafam (Google, Apple, Facebook, Amazon et Microsoft), ou par des lois à portée extraterritoriale, comme le Cloud Act qui, en 2018, a créé une sorte de droit d'ingérence américain.

Le cyber envahit notre quotidien, en tous cas pour ceux qui ont la chance d'accéder à des réseaux performants et de maîtriser les outils numériques. Le Gouvernement ambitionne de dématérialiser 100 % des 250 démarches les plus utilisées par les citoyens d'ici à mai 2022. La crise de la Covid a, paradoxalement, à la fois amplifié la fracture numérique et vu exploser certains usages : on a ainsi observé une hausse significative des commandes en ligne et des visioconférences, qu'elles soient utilisées à des fins professionnelles ou personnelles.

Malheureusement, cet usage accru du numérique ne va pas de pair avec les précautions nécessaires. Les scandales et les failles de sécurité à répétition qui ont pu, depuis l'affaire Cambridge Analytica, affecter de grandes entreprises du numérique, ont certes eu un effet de sensibilisation de nos concitoyens aux enjeux de cybersécurité : selon un sondage, 90 % des Français considèrent que les données personnelles sont précieuses, qu'elles devraient être davantage protégées et qu'elles sont convoitées par les géants du Net. Cependant, cette prise de conscience n'amène pas forcément un changement dans les habitudes de consommation. Or, en recourant à des plateformes non sécurisées, les consommateurs s'exposent à de nombreux risques : enregistrement vidéo à l'insu des participants, utilisation de la reconnaissance vocale pour attribution pérenne de propos qu'on pense oubliés à l'issue de la conversation, espionnage...

Les pouvoirs publics sont également la cible de nombreuses attaques, en particulier les collectivités territoriales et le secteur de la santé. Au-delà des cyberattaques, la question de savoir si les entreprises auxquelles les pouvoirs publics décident de recourir pour opérer certains de leurs services présentent des garanties suffisantes quant à la sécurité des données qu'elles traitent est régulièrement posée, comme l'illustre la polémique relative au contrat passé par l'État avec Microsoft pour prendre en charge la plateforme des données de santé « Health Data Hub », qui centralise les données de santé des Français en vue de favoriser la recherche et l'innovation - ou, il y a quelques années, le recours de la DGSI à Palantir Technologies.

Enfin, les entreprises sont aussi particulièrement exposées aux risques pesant sur la sécurité de leurs données : selon une enquête de la Confédération des petites et moyennes entreprises, en 2019, 40 % des PME déclaraient avoir déjà subi une attaque ou une tentative d'attaque. Selon un sondage, seules 39 % des entreprises se disent suffisamment préparées en cas de cyberattaques de grande ampleur. La question est donc de savoir si les prestataires choisis présentent des garanties suffisantes quant à la sécurité de leurs données stratégiques, lesquelles ne sont pas protégées par un règlement général de protection des données (RGPD), contrairement à celles des personnes physiques.

La proposition de loi que nous examinons a un double objectif : mieux sensibiliser les consommateurs et les acheteurs publics aux impératifs de la cybersécurité. Elle comporte deux articles. Le premier concerne les consommateurs, le second concerne les acheteurs publics. L'article 1er propose que les consommateurs soient mieux informés sur la sécurisation des données lorsqu'ils utilisent des solutions numériques. De nombreux textes régissent déjà la cybersécurité, à commencer par le RGPD, qui impose aux responsables de traitement d'utiliser des systèmes d'information suffisamment sécurisés. Mais les textes en vigueur sont assez peu tournés vers l'information du consommateur. Cela apparaît comme un vrai manque, que l'article 1er propose de combler. Cela passerait par un diagnostic de cybersécurité obligatoire, dont les modalités exactes sont renvoyées à un décret.

En accord avec M. Laurent Lafon, je vous propose un amendement pour préciser ce dispositif, afin d'en faire un véritable nutriscore de la cybersécurité, autrement dit un cyberscore. Il s'agirait essentiellement d'améliorations d'ordre technique, notamment quant au champ d'application du dispositif, qui ne serait obligatoire que pour les services les plus utilisés et inclurait tous les services numériques, et pas seulement les plateformes au sens du code de la consommation - ce qui permettrait d'inclure les solutions de visioconférence.

L'article 2 propose que les acheteurs publics prennent en compte « les impératifs de cybersécurité » dans la détermination des besoins des marchés publics. Cet article a le mérite d'appeler les acheteurs publics à mieux considérer cet aspect de leurs achats, de plus en plus important, puisqu'on voit se multiplier les applications utilisées par les collectivités territoriales. Il est essentiel d'assurer cette sécurité, à la fois pour garantir la confiance des citoyens dans les services publics numérisés et pour soutenir les acteurs vertueux en la matière.

Cependant, le code de la commande publique a vocation à s'appliquer à tous les marchés publics, et pas seulement à ceux concernés par les enjeux de cybersécurité. Insérer la prise en compte d'un impératif particulier dans un dispositif à vocation générale serait inapproprié et ouvrirait la porte à la prise en compte de nombreux autres impératifs particuliers. Malgré ces réserves, en application de l'accord entre groupes politiques sur les propositions de loi de groupes minoritaires, je ne proposerai pas d'évolution au stade de la commission.

En ce qui concerne les entreprises, qui ne sont pas concernées par la proposition de loi à ce stade, je rappelle que, afin de favoriser l'utilisation, par les TPE-PME, de solutions de cybersécurité, nous avions proposé, avec plusieurs de nos collègues, lors de l'examen d'un amendement au troisième projet de loi de finances pour 2020, la création d'un crédit d'impôt à la numérisation des entreprises qui aurait pris en compte les dépenses exposées par celles-ci pour assurer leur sécurité informatique. Ce dispositif est cependant à ce jour écarté par le Gouvernement. Il mériterait d'être repris.

Au-delà de l'incitation financière des entreprises à se sécuriser informatiquement, et face à la nécessité pour les entreprises de stocker leurs données auprès de prestataires de confiance, je souhaite mener un travail de réflexion pour aboutir à un dispositif d'ici à la séance, qui permettrait de mieux informer les entreprises lorsqu'un prestataire est soumis à une loi extraterritoriale pouvant menacer la sécurité de ses données.

Pour terminer, un point d'ordre technique à propos de l'application de l'article 45 de la Constitution, comme prévu par le vade-mecum applicable en la matière : je vous propose de considérer qu'entrent dans le champ des dispositions présentant un lien direct ou indirect avec le texte les mesures tendant à renforcer l'information du public sur les enjeux de cybersécurité et de sécurisation des données posés par les services numériques.

En somme, cette proposition de loi arrive très à propos. Je vous proposerai donc de la voter, malgré mes réserves sur l'article 2. En accord avec son auteur et son groupe politique, je proposerai un amendement visant à améliorer l'article 1er.