Intervention de Anne-Catherine Loisier

Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, nous examinons en deuxième lecture la proposition de loi de notre collègue Laurent Lafon pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public.

La commission a adopté à l’unanimité cette proposition de loi qui, comme M. le secrétaire d’État l’a rappelé, vise à créer un Cyber-score permettant au consommateur d’être mieux informé sur la protection de ses données en ligne.

Cette initiative complète utilement les récents travaux du Sénat, en créant un dispositif qui se veut simple, lisible, et facilement compréhensible, pour informer les consommateurs du niveau de cybersécurité des principales solutions numériques qu’ils utilisent.

Le sujet est d’actualité : nous sommes de plus en plus confrontés aux enjeux de cybersécurité et mobilisés face à eux. Récemment, un rapport de nos collègues Sébastien Meurant et Rémi Cardon rédigé pour la délégation sénatoriale aux entreprises a souligné que, en 2020, près de 43 % des PME françaises ont constaté un incident de cybersécurité, que 16 % des attaques ont menacé la viabilité d’une entreprise, et que les attaques par rançongiciel ont été multipliées par quatre en l’espace d’une seule année.

En ce début de 2022, Serge Babary et Françoise Gatel ont également remis un rapport sur la cybersécurité au nom de la délégation aux collectivités territoriales et à la décentralisation et de la délégation aux entreprises, dans lequel il apparaît que 30 % des collectivités territoriales françaises ont été victimes en 2020 d’une attaque par rançongiciel, et que seulement 30 % d’entre elles ont par la suite mis en place un programme de prévention en cybersécurité.

Si des efforts sont faits pour mieux informer les entreprises et les collectivités territoriales, nous constatons qu’aucune disposition législative n’oblige à informer les consommateurs sur les risques et le niveau de sécurisation des services numériques utilisés.

Plusieurs législations nationales et européennes concernent la protection des données, mais les textes en vigueur sont finalement peu orientés vers l’information du consommateur. C’est donc ce manque que cette proposition de loi de notre collègue se propose de combler.

Dans un quotidien de plus en plus virtuel, nous communiquons tous à l’aide de systèmes de messagerie instantanée, nous travaillons par l’intermédiaire de logiciels de visioconférence, nous nous informons en ligne en consultant les résultats de moteurs de recherche. Nous sollicitons aussi ces services pour nos usages privés : nous écoutons de la musique en ligne, nous nous divertissons sur les réseaux sociaux.

Ces usages accrus du numérique ne vont malheureusement pas toujours de pair avec les pratiques et les précautions nécessaires. Les fuites de données, les piratages de comptes, les escroqueries en ligne, les attaques malveillantes et les failles dans la cybersécurité des entreprises, des hôpitaux, des collectivités ou des administrations sont de plus en plus fréquents.

Si tous ces incidents nous sensibilisent chaque jour davantage aux enjeux liés à la protection de nos données, nos habitudes n’évoluent pas de pair.

Je vous présenterai quelques éléments du dispositif que nous examinons aujourd’hui.

L’article 1er concerne le périmètre d’application de ce dispositif. L’objectif initial était d’y inclure les plateformes numériques les plus utilisées, ainsi que les logiciels de visioconférence, compte tenu de la généralisation de leur usage au cours de ces derniers mois.

Après plusieurs modifications et de nombreuses hésitations du Gouvernement, la notion d’« opérateurs de plateformes en ligne » a finalement été retenue par l’Assemblée nationale. Le périmètre a été complété pour intégrer les systèmes de messagerie instantanée et de visioconférence, conformément aux souhaits de notre assemblée.

Un deuxième enjeu concerne la nature et la dénomination du dispositif. Au Sénat, nous avions souhaité que ce dernier ne soit ni trop contraignant ni trop coûteux, pour éviter que les TPE, les PME et les start-up innovantes en matière de services en ligne ne soient pénalisées.

Un équilibre a été trouvé pour que le dispositif du Cyber-score prenne la forme d’un audit de cybersécurité réalisé par des prestataires agréés par l’Anssi. La notion d’« audit » reste proche de ce que nous entendions par « diagnostic ». La rédaction proposée par l’Assemblée nationale nous semble donc satisfaisante.

Un troisième point concerne le contenu de cet audit de cybersécurité, qui doit être défini par un arrêté ministériel. Sous l’impulsion du rapporteur de l’Assemblée nationale, et contre l’avis du Gouvernement, un amendement a été adopté afin de préciser que cet audit doit porter tant sur la sécurisation que sur la localisation des données.

Une telle précision est importante, puisque la localisation permet notamment de déterminer le régime juridique applicable à la protection des données. Une localisation au sein de l’Union européenne implique la garantie de pouvoir bénéficier des protections permises par le droit de l’Union européenne et par le règlement général sur la protection des données (RGPD). Il ne s’agit donc pas seulement d’un enjeu de sécurité, mais aussi d’un enjeu de souveraineté numérique européenne.

Toutefois, la localisation ne peut pas être le seul critère utilisé. Il convient, comme vous l’avez indiqué, monsieur le secrétaire d’État, d’apprécier aussi les standards de sécurité de l’hébergement des données. Certaines données sont en effet hébergées de façon sécurisée en dehors de l’Union européenne, alors que l’on peut s’interroger en matière de confidentialité et de protection des données dans le cas de certains pays membres.

Il nous semble donc essentiel que la Commission européenne prenne des décisions d’adéquation ou accepte des clauses contractuelles pour encadrer les transferts de données et attester que le niveau de protection est bien conforme ou équivalent à celui permis par le droit de l’Union, que l’hébergeur soit d’ailleurs européen ou non. Ces derniers mois, le Privacy Shield, décision d’adéquation vis-à-vis des États-Unis, a par exemple été invalidé par l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne.

Ce point est crucial. Je rappelle que des données peuvent être stockées sur des serveurs et dans des centres de données localisées dans l’Union européenne, mais hébergées par des logiciels de cloud américains. C’est toute la limite de la stratégie actuelle du label « cloud de confiance » accordé à des entreprises qui utilisent également des licences de logiciels américains.

Nous devons donc être vigilants et suivre avec attention l’élaboration de l’arrêté ministériel qui définira le contenu du futur audit de cybersécurité, afin de nous assurer que la localisation ne sera pas le seul gage de confidentialité – monsieur le secrétaire d’État, peut-être pourrez-vous nous préciser la position du Gouvernement sur ce point.

Un autre élément concerne les modalités d’information et de présentation du dispositif aux consommateurs. Au Sénat, nous avions souhaité une présentation lisible, claire et compréhensible à l’aide d’un système d’information coloriel. Ces dispositions ont été maintenues sans modification à l’Assemblée nationale.

Nous avions également supprimé l’article 2, qui modifiait les règles applicables à la commande publique pour que les impératifs de cybersécurité soient pris en compte. Cette suppression a été maintenue à l’Assemblée nationale, ce qui permet en définitive de vraiment recentrer le texte sur l’information des consommateurs.

Un troisième article a été ajouté à l’Assemblée nationale, afin de fixer l’entrée en vigueur de la loi au 1er octobre 2023. Si cette date peut sembler lointaine, il est vrai que la mise en place des audits de cybersécurité est inédite et très technique. L’introduction de ce délai nous semble donc justifiée.

Les mesures réglementaires d’application sont effectivement nombreuses. Le Gouvernement a indiqué que des consultations seront menées pour préparer cette élaboration. Monsieur le secrétaire d’État, nous réitérons notre demande que les parlementaires, et notamment les sénateurs qui ont travaillé sur cette proposition de loi, soient associés à l’ensemble de ces consultations.

Dernier point, à l’issue de la première lecture, la proposition de loi avait été notifiée à la Commission européenne conformément aux exigences de la directive de 2015 relative aux services de la société de l’information.

Dans l’éventualité où des observations seraient formulées, le Gouvernement devant les transmettre au Parlement, les consultations liées à l’élaboration des mesures réglementaires d’application pourront donc permettre de prendre en compte les remarques de la Commission européenne et des autres États membres – nous y veillerons.

Au-delà de ces points de vigilance et de ces précautions nécessaires, nous pensons à la bonne application de cette proposition de loi. Les modifications votées par l’Assemblée nationale nous semblent aller dans le bon sens et permettre d’atteindre les objectifs initiaux de notre collègue Laurent Lafon. La commission des affaires économiques a donc émis un avis favorable sur cette proposition de loi, et propose un vote conforme.