Intervention de Cyril Pellevat

Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, la proposition de loi que nous examinons aujourd’hui en deuxième lecture vise à mettre en place un certificat de cybersécurité pour les plateformes grand public. Elle traite un sujet capital, eu égard à l’importance toujours plus grande du numérique dans notre société et à la massification de son utilisation.

Si le RGPD représente indéniablement une immense avancée en matière de protection des données, en ce qu’il limite leur utilisation par les entreprises ou l’administration et permet aux utilisateurs d’être mieux informés de leurs droits relatifs à ce qui est fait de ces données, encore faut-il que ces dernières soient correctement protégées face à des actes malveillants.

Chacun d’entre nous a récemment entendu parler d’attaques informatiques contre des administrations ou des entreprises. Pas plus tard que le mois dernier, l’une des plus grandes villes de mon département a subi une attaque, et ses services informatiques ont été paralysés pendant plusieurs semaines. Outre les collectivités locales, le secteur de la santé et les entreprises sont aussi particulièrement visés par de tels types d’attaques.

De nombreuses personnes sont conscientes de cette menace grandissante, et l’on s’attendrait à ce que tant les entités exposées à ce risque que les utilisateurs cherchent des solutions pour mieux protéger leurs données.

Cependant, une réelle prise de conscience ne semble pas avoir lieu, malgré le fait que tout le monde s’accorde pour considérer que les données sont précieuses et doivent être protégées.

Ainsi, si certaines entreprises, institutions et personnes sont bien évidemment vertueuses à ce sujet, nombre d’entre elles ont recours à des plateformes non sécurisées, qui ne garantissent ni une protection suffisante des données ni la confidentialité de ces dernières, ce qui les expose à de nombreux risques.

Cette prise de risque a pour principale cause le manque d’informations quant au niveau de cybersécurité et de protection des données des plateformes.

Par ailleurs, alors que certaines entreprises sont soumises à des obligations en matière de sécurité des données, il n’existe pas d’obligation de certification de sécurité pour les entreprises. L’utilisateur n’a donc pas les moyens de vérifier que ces obligations sont respectées.

Face à ce constat, il est indispensable que le législateur intervienne pour combler ces lacunes. Je remercie donc notre collègue Laurent Lafon de son initiative. Sa proposition de loi fixait deux objectifs : améliorer l’information des utilisateurs de plateformes en matière de cybersécurité et sécuriser les données des acteurs publics, en faisant de la cybersécurité un critère supplémentaire lors des procédures d’appels d’offres pour les marchés publics.

Le premier objectif se traduira par la mise en place d’un Cyber-score pour les plus grands acteurs du numérique, dans le but de mieux informer les consommateurs du niveau de sécurité des plateformes utilisées.

Je peux comprendre la raison qui a conduit le Gouvernement et la commission à supprimer l’obligation de certification a priori pour la remplacer par une autoévaluation des acteurs soumis au Cyber-score, suivi d’un contrôle de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) en lien avec l’Anssi. Mais je tiens à rappeler qu’il sera nécessaire de donner les moyens aux services de l’État de conduire ces contrôles. En effet, dans le cas contraire, l’objectif de cette loi ne pourra être atteint.

Par ailleurs, puisque ce dispositif est entièrement à construire, nous devons être attentifs aux indicateurs retenus pour déterminer le Cyber-score d’une plateforme, car ces derniers peuvent être multiples et n’ont pas tous la même portée et la même signification quant au niveau de sécurité.

En outre, si pour des raisons principalement techniques le second objectif n’a pas pu être atteint, j’insiste sur la nécessité de trouver d’autres solutions pour garantir la prise en compte des enjeux de cybersécurité par les acteurs publics. L’État doit montrer l’exemple en la matière, et faire en sorte que les données de nos concitoyens ne soient pas exposées à des risques évitables.

Plus largement, nous devons réfléchir à l’amélioration des pratiques des entreprises en matière de maîtrise de leurs données. Les données des entreprises ne sont pas visées par cette proposition de loi, or leur sécurisation est également essentielle. Différentes mesures peuvent être proposées, qu’il s’agisse de la formation des entreprises à la cybersécurité, ou encore, comme la commission l’avait proposé, de la mise en place d’un crédit d’impôt à la numérisation des entreprises prenant en compte les dépenses visant à assurer leur sécurité informatique.

Notre réflexion doit aller plus loin, car les enjeux liés à la cybersécurité et à la cybercriminalité ne feront que croître à mesure que notre société se numérisera.

Mon groupe et moi-même voterons donc pour cette proposition de loi qui représente indéniablement une avancée. Mais j’invite encore une fois à pousser plus loin notre réflexion sur les questions de cybersécurité et de cybercriminalité, qui représentent sans aucun doute l’un des plus grands défis que nous ayons à relever en matière de numérique.