|
Direction de la séance |
Projet de loi Résilience des infrastructures critiques et renforcement de la cybersécurité (1ère lecture) (PROCÉDURE ACCÉLÉRÉE) (n° 394 , 393 ) |
N° 60 rect. 10 mars 2025 |
AMENDEMENTprésenté par |
|
||||||||
|
MM. CADIC et CANÉVET ARTICLE ADDITIONNEL APRÈS ARTICLE 24 |
|||||||||
Après l’article 24
Insérer un article additionnel ainsi rédigé :
Les entités essentielles et importantes ainsi que, le cas échéant, leurs fournisseurs ou prestataires de services peuvent échanger entre elles, à titre volontaire, au sein de communautés, des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, aux incidents évités ou non, aux vulnérabilités, aux techniques et procédures, aux indicateurs de compromission, aux tactiques, techniques et procédures adverses, ainsi que des informations spécifiques sur les acteurs de la menace, des alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les cyberattaques, lorsque ce partage d’informations :
1° Vise à prévenir et à détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact ;
2° Renforce le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant leur capacité de se propager, en soutenant une série de capacités de défense, en remédiant aux vulnérabilités et en les révélant, en mettant en œuvre des techniques de détection, d’endiguement et de prévention des menaces, des stratégies d’atténuation ou des étapes de réaction et de rétablissement, ou en encourageant la recherche collaborative en matière de cybermenaces entre les entités publiques et privées.
Cet échange est mis en œuvre au moyen d’accords de partage d’informations en matière de cybersécurité, compte tenu de la nature potentiellement sensible des informations partagées.
Les échanges volontaires des informations prévues au premier alinéa peuvent nécessiter le traitement de certaines catégories de données à caractère personnel, telles que les adresses IP, les localisateurs de ressources uniformes (URL), les noms de domaine, les adresses électroniques, les informations compromises ou encore les horodatages lorsqu’ils révèlent des données à caractère personnel.
Ces traitements de données à caractère personnel sont considérés comme nécessaires à des intérêts légitimes poursuivis par des entités essentielles et importantes, ainsi que par leurs fournisseurs ou prestataires de services, conformément à l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ce données, et abrogeant la directive 95/46/CE.
Ces accords de partage d’informations précisent les éléments opérationnels, y compris le recours éventuel à des plateformes TIC spécialisées et d’outils d’automatisation, le contenu et les conditions – notamment de sécurisation renforcée – de ces partages.
Lorsque des autorités publiques ou les centre de réponse aux attaques informatiques participent à ces accords de partage et mettent à disposition tout ou partie des informations visées à l’alinéa 1 dont elles disposent, elles respectent les conditions prévues par décret en Conseil d’État.
Les entités essentielles et importantes notifient à l’autorité nationale de sécurité des systèmes d’information sans délai indu leur participation aux accords de partage d’informations en matière de cybersécurité visés au présent article lorsqu’elles concluent de tels accords ou, le cas échéant, lorsqu’elles se retirent de ces accords une fois que le retrait prend effet.
Objet
Cet amendement vise à transposer les dispositions de l’article 29 de la directive NIS 2 prévoyant l’existence d’accords de partage d’informations en matière de cybersécurité permettant aux entités essentielles, aux entités importantes et à leurs prestataires en matière de cybersécurité d’échanger des informations détaillées et opérationnelles sur les menaces cyber afin de mieux y faire face, ce qui est une demande forte de leur part. Comme la directive le rappelle dans ses considérant 119 et 120, « Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces, laquelle renforce à son tour la capacité des entités à empêcher les menaces de se concrétiser en incidents réels et leur permet de mieux contenir les effets des incidents et de se rétablir plus efficacement. (…) Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations en matière de cybersécurité. À cette fin, les États membres devraient activement aider et encourager les entités, telles que celles fournissant des services de cybersécurité et actives dans la recherche, ainsi que les entités concernées qui ne relèvent pas du champ d’application de la présente directive, à participer à ces mécanismes d’échange d’informations en matière de cybersécurité. Ces accords devraient être établis conformément aux règles de concurrence de l’Union et au droit de l’Union en matière de protection des données. ».
Il semble nécessaire pour lever tout doute à ce sujet de reprendre également le contenu du considérant 121 décrivant le recours à la base légale de l’intérêt légitime pour fonder les traitements de données à caractère personnel qui pourraient être effectués à cette occasion, et reconnaitre que le partage de données concernées est conforme aux exigences du RGPD.
NB :La présente rectification porte sur la liste des signataires.