Intervention de Daniel Salmon

Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, la problématique de l’exploitation des données personnelles par les plateformes numériques destinées au grand public est un sujet majeur.

Elle touche aux questions de la transparence et de l’information du consommateur internaute sur la sécurisation de ses données, ainsi qu’à la question de la souveraineté numérique tant en France qu’au niveau européen. En ce sens, nous remercions l’auteur de cette proposition de loi de mettre ce sujet si important en débat au Parlement.

Nous l’avions souligné lors de la première lecture : si l’évolution des technologies permet aujourd’hui une expansion du télétravail et peut simplifier les usages du quotidien, la cybersécurité est encore trop souvent sous-estimée.

Sur ces enjeux, nous devons continuer de sensibiliser les citoyens, les entreprises ainsi que les collectivités territoriales et les pouvoirs publics, qui sont eux aussi souvent vulnérables aux cyberattaques.

Nous devons rappeler que pratiquer le numérique, c’est aussi s’exposer à un certain nombre de risques. D’après l’Anssi, le nombre de cyberattaques a été multiplié par quatre en 2020. Face à ces actes, la question de la sécurité des systèmes est donc centrale.

Si de nombreux textes régissent déjà la cybersécurité – je pense bien sûr au RGPD ou, au niveau européen, au Cybersecurity Act –, cette proposition de loi nous fait faire un pas supplémentaire vers davantage de transparence et de droits pour les internautes, ce qui va bien évidemment dans le bon sens.

Nous soutenons ainsi la principale mesure de ce texte, la mise en place d’un Cyber-score, c’est-à-dire d’un diagnostic de cybersécurité lisible, clair et compréhensible par toutes et tous.

Je m’interroge néanmoins quelque peu sur la portée du texte. Si, à la suite de la navette parlementaire, le champ d’application du dispositif est étendu à tous les services numériques, notamment aux logiciels de visioconférence et de messagerie instantanée, ce champ est également limité aux services numériques les plus utilisés, selon des seuils définis par décret.

Renvoyer ainsi au pouvoir réglementaire l’établissement de la liste des plateformes concernées par cette obligation de communiquer les informations relatives à la sécurité des données hébergées risque de limiter la portée du dispositif. Pour garantir une réelle efficacité de la mesure, il faudra que le décret ajuste au mieux les mailles du filet, afin de ne pas exclure de nombreuses entreprises du champ d’application de la loi.

Si la commission et l’Assemblée nationale ont justifié cet aménagement pour éviter d’imposer « de trop fortes contraintes à de petites structures », nous pensons au contraire que les petites entreprises du numérique ont tout à gagner à faire valoir la fiabilité de leurs plateformes et à faire respecter une gestion responsable des données.

Concernant les apports adoptés par l’Assemblée nationale, nous saluons certaines dispositions. Le périmètre de l’article 1er a été élargi afin d’inclure les systèmes de messagerie instantanée, en plus des logiciels de visioconférence. L’audit devra être réalisé par des prestataires agréés par l’Agence nationale de la sécurité des systèmes d’information, et devra porter sur la sécurisation et la localisation des données.

Comme vous l’avez compris, nous regrettons toutefois que le texte renvoie des points essentiels au pouvoir réglementaire, et laisse à ce dernier une très ample marge d’appréciation concernant tant le périmètre d’application que le contenu de cet audit de cybersécurité. C’est pourquoi, comme l’a souligné Mme la rapporteure, le Parlement devra être vigilant dans les mois à venir sur l’élaboration de ces mesures.

En définitive, malgré ces quelques points non négligeables, avec cette proposition de loi, le Parlement pose une première pierre et apporte une contribution utile au renforcement de la protection des données de nos concitoyens. Nous voterons donc de nouveau en faveur de ce texte.