Intervention de Rémi Cardon

Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, la cybersécurité est un enjeu mondial pour l’ensemble des acteurs.

Aujourd’hui, le développement des technologies de l’information et des communications est de plus en plus difficile à encadrer. Permettre le développement du numérique, tout en garantissant la sécurité, la protection des données et la confiance des consommateurs, est un défi difficile à relever.

Ce débat est l’occasion de le rappeler, le déploiement d’un parcours d’identification numérique, au travers duquel chaque citoyen pourra prouver son identité en ligne, dépend aussi de la capacité de chaque usager à s’approprier de tels systèmes, aussi intelligents soient-ils. Cette capacité dépend directement du degré de confiance qu’auront ces usagers à l’égard des plateformes numériques.

L’actualité montre à quel point nous sommes devenus vulnérables face à un nouveau modèle, qui s’impose implacablement. Il faut apprendre à vivre dans ce monde où chaque instant de notre vie devient perméable à toutes sortes d’intrusions, en raison du développement des objets connectés.

Même au siècle de l’intelligence artificielle, personne ne peut contester le fait que le risque zéro n’existe pas. Les failles existeront toujours, et les victimes doivent être prises en charge. C’est une question tant juridique, s’agissant des dispositifs législatifs à améliorer, que technologique, pour ce qui concerne les outils de protection a posteriori qui pourraient être développés.

Aussi, la question des données personnelles des citoyens doit être au cœur de nos préoccupations. La protection de ces derniers doit être renforcée, notamment dans le cadre d’une évolution du RGPD, le règlement européen traitant de la gestion des données, en vigueur depuis mai 2018.

Il faut améliorer le dispositif de consentement des utilisateurs et mieux alerter ceux-ci quant aux risques liés à l’exploitation de leurs données. Cette réflexion doit être menée rapidement, dans le cadre d’une approche qui englobe la question de la neutralité des réseaux et des terminaux, la portabilité des données et l’interopérabilité des plateformes.

Le Sénat a beaucoup travaillé ces derniers mois sur ces sujets, qu’il s’agisse du rapport sur la souveraineté numérique ou encore de la proposition de loi visant à renforcer le droit des consommateurs dans le cyberespace, adoptée à l’unanimité dans cet hémicycle, mais l’appropriation de cette question par le grand public doit être renforcée. Il est difficile de choisir, sans repères simples, une solution de visioconférence ou autre.

Il faut aussi consolider les évolutions amorcées tant en France qu’à l’échelon européen. Comme tout État membre, la France aura jusqu’au 28 juin 2021 pour mettre en conformité sa législation nationale avec les règles européennes. Elle doit rapidement s’approprier ce chantier de la certification.

J’en viens au texte lui-même.

À l’article 1er, le Cyberscore, issu des travaux en commission et équivalent à un Nutriscore de la cybersécurité des solutions numériques, aura le mérite d’apporter aux utilisateurs un repère simple, pour qu’ils puissent s’y retrouver dans la multitude d’offres de service de communication en ligne, à propos notamment du niveau de sécurité garanti.

Le sous-amendement proposé par M. Lafon vise à rendre plus contraignante la présentation du diagnostic : le Cyberscore devrait figurer lors de chaque connexion au service, à l’image du diagnostic de performance énergétique. La version proposée par le Gouvernement nous convient, d’autant qu’elle inclut la consultation de la CNIL sur les indicateurs qui seront pris en compte par le diagnostic de cybersécurité. Elle satisfait donc l’amendement que nous avions déposé initialement.

Il est également indispensable que l’ensemble des opérateurs de service de communication en ligne soit concerné, et non pas seulement les plateformes numériques. Nous voterons donc pour le sous-amendement de la rapporteure, afin d’inclure, dans le champ de la proposition de loi, les éditeurs d’application de visioconférence, par exemple.

Dans un monde de réseaux, où l’information circule de plus en plus rapidement, il est indispensable de garantir aux acteurs publics la sécurité de leurs données stratégiques. Il s’agit donc de protéger leur développement et leur transformation numérique.

Les collectivités territoriales, par exemple, traitent un volume croissant de données personnelles, afin d’assurer le fonctionnement des services publics dont elles ont la charge. La divulgation de ces données – fiscales, sociales ou autres –, leur altération, leur suppression ou leur vol constituent des atteintes dommageables en soi, mais elles ont également de graves répercussions sur le déroulement du processus de modernisation de l’administration et des services des collectivités visées.

Même si nous comprenons l’esprit des auteurs de la proposition de loi, les impératifs de cybersécurité ne sont toutefois pas applicables à la plupart des achats publics ; nous voterons donc pour l’amendement, proposé par le Gouvernement, de suppression de l’article 2.

Au-delà de notre débat juridique, la cybersécurité est un sujet qui touche tous les territoires et ses acteurs : les entreprises – notamment les grands groupes et leurs filiales, mais aussi, et surtout, les entreprises de tailles intermédiaires, les PME et les start-up –, mais encore les collectivités, les hôpitaux, les élus et les associations. La présence d’un écosystème dédié sur un territoire, composé de pure players et complété par des PME et des start-up, ainsi que par la présence d’une offre de formation, sont autant d’atouts pour favoriser le développement de la filière sur les territoires et l’accueil de nouvelles entreprises.

Mes chers collègues, il me reste quelques secondes de temps de parole pour vous indiquer que le groupe Socialiste, Écologiste et Républicain votera pour cette proposition de loi, malgré quelques nuances.