Logo : Sénat français

Direction de la séance

Projet de loi

Programmation militaire pour les années 2024 à 2030

(1ère lecture)

(PROCÉDURE ACCÉLÉRÉE)

(n° 740 , 739 , 726, 730)

N° 95

21 juin 2023


 

AMENDEMENT

présenté par

C Défavorable
G Défavorable
Rejeté

MM. Mickaël VALLET, BOURGI, TEMAL et KANNER, Mmes CARLOTTI, CONWAY-MOURET et Gisèle JOURDA et MM. ROGER, TODESCHINI, VALLINI et VAUGRENARD


ARTICLE 34


I. – Après l’alinéa 8

Insérer neuf alinéas ainsi rédigés :

« L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, à la demande de l’autorité nationale de sécurité des systèmes d’information, sanctionner l’absence de notification des cas visés au premier alinéa ou l’absence d’information des utilisateurs prévue au cinquième alinéa qu’elle constate de la part de l’éditeur de logiciels.

« Ce pouvoir de sanction est exercé dans les conditions suivantes :

« 1° L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, après instruction conduite par ses services, notifier les griefs à l’éditeur de logiciel en cause. Elle transmet alors le dossier d’instruction et la notification des griefs à la formation restreinte.

« 2° Après que l’éditeur de logiciel en cause a reçu la notification des griefs, a été mis à même de consulter le dossier et de présenter ses observations écrites, et avant de prononcer une sanction, la formation restreinte procède, selon une procédure contradictoire, à l’audition du représentant de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse chargé de l’instruction, du représentant de l’autorité nationale de sécurité des systèmes d’information à l’origine du signalement et de l’éditeur de logiciels en cause.

« La formation restreinte peut, en outre, entendre toute personne dont l’audition lui paraît utile.

« La formation restreinte peut prononcer à l’encontre de l’éditeur de logiciels, une sanction pécuniaire dans la limite de 1 % du chiffre d’affaire annuel mondial hors taxes au titre de l’année précédant celle durant laquelle le manquement de notification des cas visés au premier alinéa ou l’absence d’information des utilisateurs prévue au cinquième alinéa a été constaté.

« Ce taux est porté à 5 % en cas d’un nouveau manquement constaté.

« Les sanctions pécuniaires sont recouvrées comme les créances de l’État étrangères à l’impôt et au domaine.

« La décision de la formation restreinte est motivée et notifiée à l’éditeur de logiciels intéressé. Elle peut être rendue publique dans les publications, journaux ou services de communication au public par voie électronique choisis par la formation restreinte, dans un format et pour une durée proportionnée à la sanction infligée. Elle peut faire l’objet d’un recours de pleine juridiction. »

II. – Compléter cet article par une phrase ainsi rédigée :

« Il fixe également les modalités du pouvoir de sanction de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse en cas de manquement aux obligations prévues par le présent article. »

Objet

L’article 34 du projet de loi crée à la charge des éditeurs de logiciels la double obligation de déclarer auprès de l’ANSSI les incidents sur leurs systèmes d’information et les vulnérabilités significatives identifiées dans leurs produits et systèmes d’information d’une part, et d’informer les utilisateurs recourant à leurs produits affectés d’autres part.

Cette double obligation n’est assortie d’aucune sanction si l’on fait exception de la procédure d’injonction prévue à cet article et dont la portée est toute relative car elle revient à reporter sur l’ANSSI l’obligation d’information des utilisateurs en lui permettant le cas échéant de rendre publics la vulnérabilité ou l’incident ainsi que son injonction aux éditeurs si celle-ci n’a pas été mise en œuvre.

Si l’objectif de cette mesure vise à renforcer la cyber-protection des entités françaises sensibles et améliorer les pratiques de bonne gouvernance cyber de la part des éditeurs de logiciel vis-à-vis des utilisateurs recourant à leurs produits, l’absence de caractère contraignant de la mesure annihile la portée utile de celle-ci.

Le pouvoir d’injonction et la faculté nouvelle accordée à l’ANSSI d’informer les clients des éditeurs de logiciels des faiblesses de leurs produits ne seront pas suffisamment incitatifs car en tant qu’acteurs économiques, les éditeurs de logiciels auront toujours tendance à sous-estimer les conséquences des incidents et vulnérabilités significatives afin d’éviter la réaction des marchés financiers ou des investisseurs.

Ces considérations sont confortées par le fait que le Gouvernement lui-même n’exclut pas d’introduire à l’avenir une sanction autre que seulement réputationnelle ainsi que le souligne l’étude d’impact du projet de loi.

Par conséquent, le présent amendement propose de compléter l’article 34 du projet de loi en prévoyant que l’ARCEP pourra, à la demande de l’ANSSI sanctionner les manquements qu'elle constate de la part des éditeurs de logiciels.