Intervention de Anne-Catherine Loisier

Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, La proposition de loi que nous examinons appelle notre attention sur la cybersécurité, un sujet crucial que nos concitoyens, les acheteurs publics et les entreprises ne prennent pas encore suffisamment en compte. Elle s’intéresse tout particulièrement à la sécurité des données, personnelles ou non, c’est-à-dire à l’ensemble des traces que nous laissons sur internet.

Le commissaire européen, Thierry Breton, que nous avions reçu en audition pendant la période de confinement, nous disait alors, en substance, que nous avions malheureusement perdu la bataille de l’internet, mais que nous devions rester vigilants pour gagner celle des données.

En effet, le cyber a vocation à envahir chaque jour davantage nos vies personnelles et professionnelles. Ainsi, le Gouvernement ambitionne de dématérialiser 100 % des 250 démarches les plus utilisées par nos concitoyens, d’ici mai à 2022. La crise du covid a certes amplifié les fractures numériques, sociales, territoriales ou financières qui isolent près de 13 millions de nos concitoyens, mais elle a aussi fait exploser certains usages, dont les commandes en ligne et les visioconférences, à des fins tant professionnelles que personnelles.

L’accroissement de ces usages ne va malheureusement pas de pair avec le développement des précautions nécessaires à prendre. Certes, les failles de sécurité à répétition et les scandales qui ont affecté de grandes entreprises du numérique, comme celui de Cambridge Analytica, ont sensibilisé nos concitoyens aux enjeux de la cybersécurité.

Selon un sondage, 90 % des Français considèrent que les données personnelles sont précieuses et qu’elles devraient être davantage protégées. Ils sont aussi conscients qu’elles sont convoitées par les géants du Net. Pour autant, cette prise de conscience n’entraîne pas systématiquement de changement dans les pratiques.

Or, en recourant à des plateformes plus ou moins sécurisées, les consommateurs s’exposent à des risques, dont la liste est longue : enregistrement vidéo à l’insu des participants, utilisation de la reconnaissance vocale, attribution de propos qu’on pense oubliés, espionnage, deepfake… Les pouvoirs publics sont eux aussi la cible grandissante d’attaques, en particulier les collectivités territoriales et le secteur de la santé.

Par conséquent, au-delà de la menace permanente des cyberattaques dont il faut se protéger, il est devenu essentiel pour les pouvoirs publics et pour nos concitoyens de pouvoir déterminer si les entreprises auxquelles ils ont recours pour opérer certains de leurs services présentent les garanties nécessaires de sécurisation des données qu’elles traitent.

J’en veux pour preuve la récente polémique relative au contrat passé par l’État avec Microsoft pour prendre en charge le Health Data Hub, plateforme qui centralise les données de santé des Français en vue de favoriser la recherche et l’innovation. Monsieur le secrétaire d’État, pourriez-vous nous éclairer sur la manière dont le Gouvernement souhaite traiter ce dossier, étant donné que de la Cour de justice de l’Union européenne a invalidé le Privacy Shield au cours de l’été dernier ?

La proposition de loi que nous examinons aujourd’hui comporte deux articles, dont le premier concerne l’information des consommateurs, et le second celle des acheteurs publics.

L’article 1er prévoit de créer un dispositif nommé Cyberscore, par référence au Nutriscore. Il a pour objet d’informer les consommateurs, de manière simple et transparente, sur le niveau de sécurisation des données qu’offre la solution numérique à laquelle ils ont recours.

Cette disposition comble un vide dans les textes qui encadrent actuellement la cybersécurité des solutions numériques. Elle devrait être compatible, voire complémentaire, de la stratégie de cybersécurité en cours d’adoption au niveau européen.

Nous avons adapté le dispositif aux services les plus utilisés, selon des seuils à déterminer par le pouvoir réglementaire. Il ne pèsera donc pas sur l’innovation et ne sera pas non plus un frein au déploiement de jeunes pousses du numérique. Il se veut souple et réactif aux évolutions technologiques, en renvoyant au pouvoir réglementaire le soin de définir des indicateurs de mesure pertinents, étape déterminante pour que la loi soit efficace.

Ces indicateurs pourront être objectifs, comme la soumission du service à une loi de portée extraterritoriale qui autorise une autorité étrangère à requérir des données – on pense bien sûr au Cloud Act. Ils pourront aussi prendre en compte le nombre de condamnations prononcées par la CNIL, ou bien les failles de sécurité qui ont entraîné des pertes de données au cours de la dernière année.

D’autres indicateurs auront un caractère plus technique, comme le chiffrement des données de bout en bout.

L’article 2 vise à ce que les acheteurs publics intègrent les impératifs de cybersécurité dans la détermination des besoins des marchés publics ; autrement dit, il tend à ce qu’ils prennent mieux en compte les paramètres de cybersécurité dans leurs achats. L’enjeu est essentiel, car il s’agit non seulement de garantir la confiance des citoyens dans les services publics numérisés, de plus en plus nombreux, mais aussi de soutenir les efforts des acteurs vertueux.

Sur ce point, la commission des affaires économiques a toutefois émis des réserves, car le code de la commande publique a vocation à s’appliquer à tous les marchés publics, pas seulement à ceux qui seraient soumis à un critère de cybersécurité. Il serait inapproprié d’inclure un impératif particulier dans un dispositif à vocation générale, car la création d’un précédent ne pourrait que favoriser la multiplication des cas, ce qui ne manquerait pas d’affaiblir la portée juridique du code.

D’autres moyens existent pour fournir aux donneurs d’ordres publics l’appui dont ils ont besoin, comme la rédaction d’un vade-mecum spécifique, ou encore une assistance en ingénierie pour les marchés publics numériques des collectivités locales les plus petites.

En résumé, la création d’un Cyberscore, telle que le texte la prévoit, a pour intérêt d’être simple et évolutive. Elle constitue un progrès indéniable en matière d’information des consommateurs sur la sécurité des solutions numériques qu’ils utilisent. Les indicateurs fournis pourraient même aller jusqu’à intégrer des paramètres de lutte contre la haine en ligne. Avec l’accord de Laurent Lafon, nous proposerons quelques amendements pour enrichir le texte.

Monsieur le secrétaire d’État, je souhaite vous remercier du travail réalisé en bonne collaboration avec vos services et vous réaffirmer, comme mon collègue, notre volonté de voir prospérer ce texte dans les étapes à venir. La réflexion sur ces sujets, aussi techniques soient-ils, doit évoluer. Il y va en effet de l’éthique du numérique et du développement d’une société de confiance.

Nous comptons sur vous pour obtenir une inscription rapide de cette proposition de loi à l’ordre du jour de l’Assemblée nationale. Sans attendre le vote définitif de la loi, nous restons disponibles, vous l’aurez compris, pour travailler avec vous et les différentes parties prenantes sur les mesures d’application réglementaire qui seront nécessaires à son entrée en vigueur.