AMENDEMENT

présenté par

Adopté

MM. CHAIZE, SAURY et CANÉVET, rapporteurs

ARTICLE 31

Rédiger ainsi cet article :

Lorsqu'un contrôle réalisé en application de la section 1 révèle un manquement aux obligations mentionnées à l'article 26, l'autorité nationale de sécurité des systèmes d'information peut ouvrir une procédure. Le cas échéant, elle en informe la personne contrôlée.

L'instruction est confiée à un ou plusieurs rapporteurs désignés parmi les agents et personnels mentionnés à l'article 26.

Lorsque les faits constatés ne justifient pas l'adoption d'une mesure d'exécution mentionnée aux 1° à 5°, l'autorité nationale de sécurité des systèmes d'information clôt la procédure et en informe la personne contrôlée.

Dans le cas contraire, l'autorité nationale de sécurité des systèmes d'information peut, après avoir mis la personne contrôlée en mesure de présenter ses observations :

1° Prononcer un avertissement à son encontre ;

2° Lui enjoindre de prendre les mesures nécessaires pour éviter un incident ou y remédier et d'en rendre compte dans un délai qu'elle détermine ;

3° Lui enjoindre de se mettre en conformité avec les obligations mentionnées à l'article 26 dans un délai qu'elle détermine et qui ne peut être inférieur à un mois, sauf en cas de manquement grave ou répété ;

4° Lui enjoindre d'informer les personnes physiques ou morales auxquelles elle fournit des services ou au profit desquelles elle exerce des activités susceptibles d'être affectés par une menace de nature à porter gravement atteinte à la sécurité des systèmes d'information de la nature de cette menace et de suggérer à ces personnes des mesures préventives ou réparatrices ;

5° Lui enjoindre de mettre en oeuvre, dans un délai qu'elle détermine, les recommandations formulées à la suite d'un audit de sécurité.

La mesure d'exécution adoptée est notifiée à la personne contrôlée et peut être assortie d'une astreinte dont le montant ne peut excéder 5 000 euros par jour de retard.

L'astreinte journalière court à compter du jour suivant l'expiration du délai imparti à la personne contrôlée pour se mettre en conformité avec la mesure d'exécution notifiée. En cas d'inexécution totale ou partielle ou d'exécution tardive, la commission des sanctions mentionnée à l'article L. 1332-15 du code de la défense procède à la liquidation de l'astreinte.

Objet

Cet amendement, qui tend à améliorer la qualité rédactionnelle du dispositif, intègre les dispositions de l'article 32 du présent projet de loi à l'article 31, de façon à clarifier l'objectif poursuivi lors de l'ouverture par l'Anssi d'une procédure à l'encontre de la personne contrôlée.

Dans un souci de sécurisation juridique, il détermine explicitement les conditions d'ouverture par l'Anssi d'une procédure à l'encontre de la personne contrôlée : une telle procédure pourrait ainsi être ouverte lorsque le contrôle révèle un manquement aux obligations qui s'imposent à la personne contrôlée.

Du reste, il supprime la faculté accordée à l'Anssi de rendre publique la mesure d'exécution adoptée et d'enjoindre à la personne contrôlée de rendre public son manquement. Seule la commission des sanctions serait donc habilitée à décider d'une mesure de publicisation, dans la mesure où celle-ci constitue davantage une sanction qu'une mesure de police administrative.