Résilience des infrastructures critiques et renforcement de la cybersécurité (Procédure accélérée - Suite)
Mme la présidente. - L'ordre du jour appelle la suite de la discussion du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. La procédure accélérée a été engagée sur ce texte.
Discussion des articles (Suite)
Article 8
Mme la présidente. - Amendement n°98 du Gouvernement.
L'amendement rédactionnel n°98, accepté par la commission, est adopté.
Mme la présidente. - Amendement n°17 rectifié septies de Mme Morin-Desailly et alii.
M. Bernard Pillefer. - Défendu.
Mme la présidente. - Amendement identique n°30 de Mme Linkenheld et du groupe SER.
Mme Audrey Linkenheld. - Nous souhaitons aligner le contenu de ce texte sur celui de la directive NIS 2 (Network and Information Security), notamment son article 3. Le critère relatif à la taille de l'effectif et celui relatif au chiffre d'affaires doivent être non pas alternatifs, mais cumulatifs.
Mme la présidente. - Amendement identique n°83 rectifié sexies de M. Bleunven et alii.
M. Paul Toussaint Parigi. - Défendu.
M. Patrick Chaize, rapporteur de la commission spéciale. - C'est un amendement complexe et important. La directive est écrite avec une négation, alors que le texte proposé par le Gouvernement contient une formulation positive. Madame la ministre, quel est l'avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique. - C'est un sujet technique.
Les articles 8 et 9 du projet transposent strictement NIS 2 en précisant les seuils à partir desquels les entreprises sont considérées comme essentielles ou importantes, en se basant sur la recommandation 2003/361/CE de la Commission européenne qui définit les micro-entreprises, les petites entreprises et les moyennes entreprises.
La Belgique et l'Italie ont suivi, comme nous, une logique de contraposée. C'est le sens de la mention « et/ou ». Restons fidèle au texte de la Commission européenne. Retrait, sinon avis défavorable.
M. Patrick Chaize, rapporteur. - Même avis.
Les amendements identiques nos17 rectifié septies, 30 et 83 rectifié sexies ne sont pas adoptés.
Mme la présidente. - Amendement n°82 rectifié de Mme Gréaume et du groupe CRCE-K.
M. Pierre Ouzoulias. - Nous voulons redéfinir un critère et en ajouter un. Nous craignons que les communautés d'agglomération composées de petites communes n'aient pas la possibilité technique et financière de mettre en oeuvre le dispositif prévu par le texte.
Nous voulons que les communautés d'agglomération comportant au moins une commune de 30 000 habitants et plus - soit 120 d'entre elles - soient exclues du dispositif ; 110 autres le verraient s'appliquer.
Mme la présidente. - Amendement identique n°114 de MM. Chaize, Saury et Canévet, au nom de la commission spéciale Cybersécurité.
M. Patrick Chaize, rapporteur. - Les communautés d'agglomération ne comprenant pas de commune de plus de 30 000 habitants ne doivent pas être considérées comme des entités essentielles.
Mme la présidente. - Amendement n°50 rectifié de M. Mellouli et du GEST.
M. Thomas Dossus. - Je le rectifie pour le rendre identique à l'amendement n°114.
Mme la présidente. - C'est donc l'amendement n°50 rectifié bis.
M. Patrick Chaize, rapporteur. - Avis favorable.
Mme Clara Chappaz, ministre déléguée. - Les cyberattaques ciblent particulièrement les collectivités territoriales : une attaque sur quatre, selon l'Agence nationale de la sécurité des systèmes d'information (Anssi). Plus structurées et de taille plus importante que les communautés de communes, les communautés d'agglomération sont davantage exposées à la menace. La sécurisation de leurs systèmes d'information est plus avancée : 60 % des 229 communautés d'agglomération ont bénéficié d'un parcours cyber de l'Anssi, elles auront donc moins d'efforts à faire pour atteindre les objectifs fixés dans la loi.
Limiter le statut d'entité essentielle à certaines communautés d'agglomération serait risqué au regard du niveau de protection et du principe d'égalité. Ainsi, la communauté d'agglomération du grand Sénonais, avec 60 000 habitants, dont 24 034 pour Sens, serait une entité importante, alors que celle de la communauté d'agglomération du lac du Bourget, qui compte 60 000 habitants dont 30 291 pour Aix-les-Bains, serait une entité essentielle.
Il serait plus sécurisant pour les EPCI concernés d'être fixés sur leur éventuel assujettissement dès l'adoption de la loi, plutôt que de le faire dépendre du nombre d'habitants. L'objectif de massification de la cyberdéfense peut passer par une incitation à la mutualisation des systèmes d'information.
Toutefois, le Gouvernement est attaché à la proportionnalité des obligations et entend l'inquiétude qui s'exprime ici. Il s'en remet donc à la sagesse du Sénat, chambre des territoires.
M. Pierre Ouzoulias. - Il faut faire preuve de sagesse en effet. Il serait risqué de soumettre des communautés d'agglomération à des obligations qu'elles ne pourraient mettre en oeuvre.
Les élus du Sénat savent ce qu'il est possible de faire ou non.
Nous entendons que votre avis de sagesse est un avis favorable ; portons cette sagesse dans les territoires. (Mme la ministre sourit.)
Les amendements identiques nos82 rectifié, 114 et 50 rectifié bis sont adoptés.
L'article 8, modifié, est adopté.
Article 9
Mme la présidente. - Amendement n°99 du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Amendement rédactionnel qui remplace le critère de l'appartenance à un secteur d'activité par celui de l'appartenance à un type d'entité.
M. Patrick Chaize, rapporteur. - Avis favorable à cet amendement de cohérence.
L'amendement n°99 est adopté.
Mme la présidente. - Amendement n°18 rectifié septies de Mme Morin-Desailly et alii.
Mme Catherine Morin-Desailly. - Pour éviter tout écart de transposition avec la directive NIS 2, nous précisons que les critères pour se voir appliqué le texte sont cumulatifs et non alternatifs.
Mme la présidente. - Amendement identique n°31 de Mme Linkenheld et du groupe SER.
Mme Audrey Linkenheld. - Même raisonnement qu'à l'article 8, nous plaidons pour la contraposition.
Mme la présidente. - Amendement identique n°84 rectifié sexies de M. Bleunven et alii.
L'amendement n°84 rectifié sexies n'est pas défendu.
M. Patrick Chaize, rapporteur. - Avis défavorable, pour les mêmes raisons qu'à l'article 8.
Mme Clara Chappaz, ministre déléguée. - Même avis.
Les amendements identiques nos18 rectifié septies et 31 ne sont pas adoptés.
Mme la présidente. - Amendement n°115 de MM. Chaize, Saury et Canévet, au nom de la commission spéciale Cybersécurité.
M. Patrick Chaize, rapporteur. - Cet amendement fait basculer de la catégorie d'entité essentielle vers la catégorie d'entité importante les 120 communautés d'agglomération ne comprenant pas au moins une commune de plus de 30 000 habitants.
Mme la présidente. - Amendement n°51 rectifié de M. Mellouli et du GEST.
M. Thomas Dossus. - Défendu.
Mme la présidente. - Amendement identique n°68 de Mme Gréaume et du groupe CRCE-K.
M. Pierre Ouzoulias. - Retiré au profit de l'amendement de la commission.
L'amendement n°68 est retiré.
M. Patrick Chaize, rapporteur. - Avis défavorable à l'amendement n°51 rectifié.
Mme Clara Chappaz, ministre déléguée. - Par cohérence avec la discussion précédente, sagesse sur l'amendement de la commission.
L'amendement n°115 est adopté et l'amendement n°51 rectifié n'a plus d'objet.
L'article 9, modifié, est adopté.
L'article 10 est adopté.
Après l'article 10
Mme la présidente. - Amendement n°56 rectifié de MM. Verzelen et Laouedj.
L'amendement n°56 rectifié n'est pas défendu.
L'article 11 est adopté.
Article 12
Mme la présidente. - Amendement n°22 rectifié septies de Mme Morin-Desailly et alii.
Mme Catherine Morin-Desailly. - Les entités concernées devront être informées et sensibilisées dans les trois ans qui suivent l'entrée en application de la loi. Certaines entreprises, soumises pour la première fois à des obligations en matière de cybersécurité, tarderont probablement à y répondre. Il faudra les identifier, et les accompagner.
Nous voulons aussi sécuriser les échanges d'informations et de données sensibles, via des mécanismes de protection des informations divulguées afin de garantir la confidentialité des données sensibles et se prémunir d'un risque d'extraterritorialisation. C'est une proposition de la Commission supérieure du numérique et des postes.
Mme la présidente. - Sous-amendement n°125 du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Avis favorable, sous réserve ce sous-amendement qui en supprime le I., qui ne relève pas du domaine législatif.
Oui, il faut sensibiliser les futures entités régulées. D'où la mise à disposition par l'Anssi du portail MonEspaceNIS 2 qui permet aux entités de tester leur éligibilité. Elle s'appuie sur des acteurs relais - associations, gendarmerie, syndicats. Des kits de communication sont par ailleurs proposés aux associations d'élus et aux associations professionnelles.
Avis favorable au II. de l'amendement, c'est une garantie utile.
M. Patrick Chaize, rapporteur. - Avis favorable si l'amendement est sous-amendé.
Mme Catherine Morin-Desailly. - Soit, pour autant que la ministre prenne les engagements nécessaires. Nous sommes tous concernés par l'accompagnement des entreprises. Les moyens mis en oeuvre y pourvoiront, dont acte.
Le sous-amendement n°125 est adopté.
L'amendement n°22 rectifié septies, sous-amendé, est adopté.
Mme la présidente. - Amendement n°59 rectifié de MM. Cadic et Canévet.
M. Olivier Cadic. - Cet amendement apporte à l'Anssi l'expertise des ministères coordonnateurs des secteurs d'activité visés afin que les listes d'entités importantes et essentielles prennent en compte les spécificités des écosystèmes concernés.
M. Patrick Chaize, rapporteur. - L'article 12 prévoit que les entités se déclarent elles-mêmes auprès de l'Anssi. Ce n'est pas le ministère qui procède à cette désignation. Cet amendement ne me parait pas nécessaire. Qu'en pense le Gouvernement ?
Retrait, sinon avis défavorable.
Mme Clara Chappaz, ministre déléguée. - Demande de retrait, pour les mêmes raisons. Les opérateurs d'importance vitale (OIV) sont désignés par les ministères coordonnateurs, mais dans le cas de NIS 2, l'assujettissement se fait selon des critères précis établis dans la loi.
M. Olivier Cadic. - Nous souhaitions avoir des précisions du Gouvernement. Je vous remercie.
L'amendement n°59 rectifié est retiré.
L'article 12, modifié, est adopté.
Article 13
Mme la présidente. - Amendement n°16 rectifié septies de Mme Morin-Desailly et alii.
Mme Catherine Morin-Desailly. - De nombreuses réglementations sectorielles et non sectorielles s'imposent aux entreprises, qui devront se conformer au texte le plus contraignant. L'Anssi devra informer régulièrement les entités du degré d'exigence qui pèse sur elles.
M. Patrick Chaize, rapporteur. - L'article 13 concilie la transposition de NIS 2, qui s'applique à tous les secteurs économiques, et celle de Dora, propre au secteur bancaire et financier.
Inutile de prévoir une information régulière par l'Anssi, les entités visées par NIS 2 sauront rapidement quelles obligations elles doivent respecter. Retrait, sinon avis défavorable.
Mme Clara Chappaz, ministre déléguée. - L'amendement est satisfait par la rédaction actuelle. L'Union européenne reconnaît le texte comme un acte juridique sectoriel de l'Union, au sens de l'article 4 de la directive NIS 2, comme cela a été le cas pour Dora. Dès lors, les entités sont bien les plus à même de savoir si elles sont soumises ou non à un acte sectoriel, qui peut très bien prévoir une autorité nationale compétente différente de l'Anssi. Ainsi, Dora prévoit trois autorités financières compétentes. Dans les faits, l'Anssi a fait de la sensibilisation un enjeu majeur de la réussite de la transposition de NIS 2. J'y veillerai particulièrement.
Retrait, même si nous partageons l'objectif de sensibilisation.
Mme Catherine Morin-Desailly. - Je souscris à ces arguments. Chacun est sensibilisé désormais à ce débat.
L'amendement n°16 rectifié septies est retiré.
L'article 13 est adopté.
Article 14
Mme la présidente. - Amendement n°47 de Mme Linkenheld et du groupe SER.
Mme Audrey Linkenheld. - Dans l'esprit de l'article 21 de NIS 2, nous précisons les critères d'évaluation de la proportionnalité des mesures : degré d'exposition de l'entité au risque, taille, probabilité de survenance des incidents et leur gravité.
M. Patrick Chaize, rapporteur. - Retrait car satisfait par l'alinéa 6.
Mme Clara Chappaz, ministre déléguée. - Même avis. L'entité ne doit pas être seule responsable de l'évaluation de son risque. Le texte actuel y répond.
L'amendement n°47 n'est pas adopté.
Mme la présidente. - Amendement n°85 rectifié quater de M. Bleunven et alii.
M. Paul Toussaint Parigi. - Défendu.
M. Patrick Chaize, rapporteur. - Le recours à un sous-traitant mal protégé contre les menaces cyber peut constituer une vulnérabilité grave. D'où l'importance d'en faire mention à l'article 14. Des précisions seront apportées par décret et dans le référentiel de l'Anssi.
Retrait, sinon avis défavorable.
Mme Clara Chappaz, ministre déléguée. - Même avis. La sécurisation de la chaîne des sous-traitants est une priorité. Un nombre croissant d'attaques passe par ce vecteur. Il ne faudrait pas que les entités négligent un pan de leur chaîne de sous-traitance et augmentent le risque d'atteinte par un acteur malveillant.
En l'absence de définition plus précise, la notion d'implication directe complexifierait la démarche de mise en conformité et la mission de contrôle de l'Autorité.
L'amendement entraînerait par ailleurs une mauvaise transposition de la directive, la prise en compte de la sous-traitance n'étant pas limitée aux seuls fournisseurs ayant une implication directe sur la sécurité des réseaux et des systèmes informatiques.
L'amendement n°85 rectifié quater n'est pas adopté.
Mme la présidente. - Amendement n°24 rectifié de Mme Maryse Carrère et alii.
M. Bernard Fialaire. - Nous partageons l'objectif de la directive NIS 2, mais gare à toute forme de surtransposition, surtout pour les collectivités territoriales, dont les plus petites manquent de ressources techniques, humaines et financières. Étendons le délai d'application de la mise en conformité à cinq ans, pour programmer des formations adaptées pour les élus et mettre en oeuvre un accompagnement efficace de l'État. Nous favoriserons ainsi la montée en compétences des collectivités sur ces sujets.
Mme la présidente. - Amendement identique n°69 de Mme Gréaume et du groupe CRCE-K.
M. Pierre Ouzoulias. - Le président Macron affirme que nous ne pouvons pas avoir les mêmes débats que naguère sur nos politiques publiques. Il a demandé au Premier ministre de faire des propositions, pour décliner une politique nationale plus aboutie à tous les échelons.
Quid de l'articulation entre un projet national et ce qui relève des collectivités ? Le transfert de la compétence cyber de l'État vers les collectivités est-il toujours d'actualité, dans les proportions prévues par le texte ? Difficile pour des petites communes de mettre en oeuvre des dispositifs aussi coûteux et complexes. N'est-ce pas plutôt du ressort de l'État ?
M. Patrick Chaize, rapporteur. - Je partage la volonté d'extension du délai d'application. Les contrôles et les sanctions prévus ne seront donc pas appliqués. Tel est l'objet de mon amendement après l'article 37.
Mais un délai de cinq ans pour l'ensemble du titre II pose problème, car l'enregistrement des entités prévu à l'article 12 doit idéalement intervenir dans l'année qui suit la promulgation de la loi, et la procédure de notification d'incidents, prévue à l'article 17, doit se mettre rapidement en place. Retrait, à défaut avis défavorable.
Mme Clara Chappaz, ministre déléguée. - Le Gouvernement a conscience de l?effort demandé aux petites communes qu'il faut accompagner. La marche est haute pour un certain nombre d'entités dont elles font partie. Le Conseil d'État a indiqué qu'il n'était pas possible d'inscrire un délai de conformité dans la loi. Mais nous avons demandé à l'Anssi de travailler pendant trois ans au cours desquels les contrôles seront blancs, c'est-à-dire à visée pédagogique. Retrait, sinon avis défavorable.
M. Bernard Fialaire. - Je prends acte des engagements de l'État en la matière. Nous retirons l'amendement.
L'amendement n°24 rectifié est retiré.
M. Pierre Ouzoulias. - J'attendais de vous un débat plus politique qu'une réponse technique. Je crains que l'article 14 ne soit déjà obsolète face à la menace désormais identifiée. Quelle interaction avoir entre une politique nationale qui doit être plus ambitieuse et ce que pourraient être les mesures pour les collectivités territoriales dans ce nouveau cadre ? Il faut passer à un stade supérieur de défense.
L'amendement n°69 n'est pas adopté.
Mme la présidente. - Amendement n°37 de Mme Linkenheld et du groupe SER.
Mme Audrey Linkenheld. - Un décret précisera les conditions de définition et de publication du référentiel d'exigences techniques et organisationnelles. Il est proposé d'adapter ce décret en fonction des entités et qu'il intègre aussi les modalités de concertation avec les entités concernées.
M. Patrick Chaize, rapporteur. - Avis défavorable : les associations d'élus et les représentants des entités sont déjà associés. C'est superfétatoire.
Mme Clara Chappaz, ministre déléguée. - L'Anssi a déjà procédé à des consultations pour avancer, mais il est bienvenu de le préciser dans la loi. Avis favorable.
Mme Audrey Linkenheld. - L'amendement ne vise pas à intégrer les associations d'élus mais à préciser dans le décret les modalités de concertation. J'ai compris que Mme la ministre souscrivait à cette précision.
M. Patrick Chaize, rapporteur. - À titre personnel, je donne un avis de sagesse.
L'amendement n°37 est adopté.
Mme la présidente. - Amendement n°94 du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Cet amendement circonscrit le champ des opérateurs numériques à ceux qui relèvent de NIS 2 uniquement pour éviter la surtransposition.
M. Patrick Chaize, rapporteur. - Avis favorable.
L'amendement n°94 est adopté.
L'article 14, modifié, est adopté.
Après l'article 14
Mme la présidente. - Amendement n°67 de Mme Gréaume et du groupe CRCE-K.
M. Pierre Ouzoulias. - Nous avons eu ce débat déjà hier sans réponse de votre part. Nous avons perdu beaucoup de compétences dans le domaine de la cybersécurité. Nous devons reconstruire notre souveraineté ; le président Macron l'a dit : nous sommes en guerre.
Nous avons besoin d'un changement de doctrine fort du Gouvernement. Comment initier une nouvelle politique pour assurer notre souveraineté numérique ?
M. Patrick Chaize, rapporteur. - Introduire un principe de préférence pour les entreprises de cybersécurité françaises serait en contradiction avec le droit européen. Avis défavorable.
Mme Clara Chappaz, ministre déléguée. - Monsieur le sénateur, je vous remercie de souligner que le Président de la République tient ce discours depuis 2017. Cette voix est entendue au niveau européen : il y va de notre souveraineté numérique. Mais nous sommes défavorables à la création d'un label pour les prestataires de services.
Nous tenons ces discussions au niveau européen. Mercredi dernier, à Varsovie, l'Agence européenne pour la cybersécurité (Enisa) a proposé des solutions.
La montée en puissance de l'écosystème passe par le développement des campus cyber et la mobilisation de l'Anssi. Le texte marche sur deux jambes, réglementaire et industrielle.
M. Pierre Ouzoulias. - Depuis 2017, qu'a fait la France dans ce domaine ? Elle a perdu du terrain. Vous n'avez pas répondu à mon collègue Fabien Gay hier sur Atos, symbole de ce que nous n'avons pas réussi à faire. Nous avons besoin d'une politique de souveraineté nationale définie en collaboration avec les autres pays européens. Il faut changer d'échelle et surtout de projet politique.
L'amendement n°67 n'est pas adopté.
Article 15
Mme la présidente. - Amendement n°100 du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Cet amendement vise à ce que les entités puissent prouver plus facilement leur niveau de conformité. Une entité régulée par NIS 2 peut le percevoir comme une contrainte notamment en raison des coûts, mais il est nécessaire de pouvoir valoriser cette conformité. Le niveau de sécurité est relevé ; c'est un avantage concurrentiel.
M. Patrick Chaize, rapporteur. - Avis très favorable. Il ne faut pas uniquement contraindre les entités, mais mettre en place des outils incitatifs. Ce label est un atout pour les banques ou les assurances.
L'amendement n°100 est adopté.
L'article 15, modifié, est adopté.
Article 16
Mme la présidente. - Amendement n°66 de Mme Gréaume et du groupe CRCE-K.
M. Pierre Ouzoulias. - Cet amendement porte sur les logiciels libres. C'est fondamental. On vient de découvrir que quand nos « amis américains » livrent des armes, comme des avions de chasse, à l'Ukraine, ils conservent la possibilité de désactiver ces armes à distance. C'est la même chose pour les logiciels. Le logiciel libre, dont le code source est disponible pour tous, est un élément de notre sécurité nationale. Il faut encourager les administrations à utiliser ce type de logiciel.
M. Patrick Chaize, rapporteur. - S'il est légitime d'inciter, difficile de contraindre les administrations à s'équiper de logiciels libres si cela ne correspond pas à leurs besoins. Avis défavorable.
Mme Clara Chappaz, ministre déléguée. - Je suis attachée à ces logiciels libres ; nous l'avons montré lors du sommet sur l'intelligence artificielle. La France, qui porte une voix ambitieuse sur ce sujet, a rassemblé plus de soixante pays pour la création d'une fondation visant au développement de l'intelligence artificielle libre.
Mais il ne faut pas rejeter les logiciels propriétaires européens, eux aussi souverains et adaptés aux besoins des administrations. Le logiciel libre ne peut pas être la seule voie pour les administrations. Retrait, sinon avis défavorable.
M. Thomas Dossus. - Je voterai l'amendement de notre collègue Ouzoulias. Vous parlez de contrainte, mais j'y vois plutôt un renversement de la logique : le recours au logiciel propriétaire devrait être motivé.
Il existe un vrai tissu économique fondé sur le logiciel libre. Cet amendement n'impose rien mais renverse une logique, ce qui est utile pour les collectivités territoriales.
L'amendement n°66 n'est pas adopté.
L'article 16 est adopté.
Après l'article 16
Mme la présidente. - Amendement n°1 rectifié quinquies de M. Cadic et alii.
M. Olivier Cadic. - Il s'agit d'éviter d'imposer aux fournisseurs de services de chiffrement l'intégration de dispositifs techniques visant à affaiblir volontairement la sécurité de leur système. Des backdoors - portes dérobées - ou autres dispositifs sont à la source de failles et de cadeaux faits aux cyberdélinquants, comme le montre le cas Salt Typhoon.
Cela nuirait à notre compétitivité si les concurrents internationaux ne sont pas soumis aux mêmes contraintes. Ce projet de loi augmente les normes de cybersécurité. Où serait la cohérence si on autorise à créer sciemment des failles de sécurité ?
Nous devons respecter les principes fondateurs du règlement général sur la protection des données (RGPD), le chiffrement garantit le secret des échanges et vise à inscrire dans la loi un principe clair de sécurité numérique.
Cet amendement bénéficie d'un fort soutien de l'écosystème de la tech. Madame la ministre, votre avis sera très suivi.
M. Patrick Chaize, rapporteur. - Cet amendement revient sur une disposition votée par le Sénat dans le cadre de l'examen de la proposition de loi Narcotrafic. J'y suis défavorable par cohérence. Mais la commission spéciale est divisée sur ce sujet sensible, aussi avons-nous choisi collectivement de solliciter l'avis du Gouvernement.
Mme Audrey Linkenheld. - Qui, lui-même, est partagé...
Mme Clara Chappaz, ministre déléguée. - Cet amendement prévoit une sanctuarisation du chiffrement dans la loi. C'est complexe. Vous en avez débattu voilà quelques semaines. Personne n'en comprend mieux que moi l'intention. Je suis attachée à un niveau élevé de chiffrement, au coeur de la confiance que nous avons dans le numérique.
Sous le contrôle d'un juge, on peut obtenir l'accès à des données chiffrées mais cela ne doit pas aboutir à un affaiblissement du chiffrement.
Le chiffrement, en vertu du secret des correspondances, bénéficie d'une première protection. (M. Loïc Hervé en doute.) Ensuite, des effets de bords existent. Pour lutter contre le narcotrafic, la question se pose, c'est le cas également en matière de terrorisme. Votre amendement est trop large et aurait des effets de bords non désirés. Mais je serai vigilante pour éviter tout affaiblissement du chiffrement.
M. Cédric Perrin. - Nous devons parvenir à un équilibre entre le respect des libertés publiques et la nécessité pour l'État de se défendre. Les malfaiteurs savent que le téléphone et les SMS peuvent être captés par les services, aussi utilisent-ils des applications de messagerie cryptée, telles que WhatsApp, Signal ou Telegram. Cet amendement permet aux services de renseignement, sous le contrôle du Groupement interministériel de contrôle, de la Commission nationale de contrôle des techniques de renseignement (CNCTR) et après avis du cabinet du Premier ministre, de trouver des solutions techniques pour déchiffrer ces messages.
Lorsque nous avons voté la proposition de loi Narcotrafic, il a été clairement établi qu'il n'était pas question de créer une backdoor. Ces méthodes sont développées par la DGSE, la DGSI mais aussi le GCHQ (Government Communications Headquarters) britannique. On ne peut pas demander à nos services de se battre avec des pistolets à billes contre ceux qui utilisent des kalachnikovs, voire des lance-roquettes.
M. Hugues Saury. - Je comprends la nécessité de conserver le chiffrement dans certains domaines, mais il y a aussi des objectifs de sécurité.
Les évolutions proposées sur le code de la sécurité intérieure ont trait à la mise en place d'une obligation de mise en oeuvre des mesures techniques pour l'accès aux données chiffrées. Cet accès est limité aux seules correspondances et données ayant fait l'objet d'une autorisation spécifique de mise en oeuvre des techniques de recueil de renseignement après avis de la CNCTR. Ces méthodes sont à distinguer des portes dérobées ; ce sont des dispositifs connus et conçus pour limiter l'accès aux seules personnes autorisées. Je ne voterai pas cet amendement.
M. Thomas Dossus. - C'est paradoxal. Si ce n'est pas une backdoor, alors vous n'êtes pas concernés par cet amendement. (Mme Marie-Pierre de La Gontrie s'en amuse.) Or il s'agit bien d'une backdoor, monsieur Perrin. Prétendre qu'elle resterait uniquement à l'usage des pouvoirs publics est une chimère. Si vous intégrez des dispositifs dans les messageries qui permettent d'accéder à nos conversations, cela affaiblit notre cybersécurité. Le chiffrement, c'est la pierre angulaire de la cybersécurité. C'est plus large que l'amendement voté lors de l'examen de la proposition de loi Narcotrafic.
Nous avons besoin de nous protéger de l'affaiblissement du chiffrement ; l'Anssi elle-même le dit. Votons donc cet amendement.
M. Pierre Ouzoulias. - Permettez-moi de faire part de mon désarroi. Comme sénateurs, nous avons reçu des consignes strictes pour que nos données soient sécurisées, sans que des personnes extérieures puissent y accéder. Je trouve normal que, en tant que parlementaires, nous veillions à la protection de nos données. Seulement, les seuls hébergeurs qui le permettent à l'heure actuelle sont en Suisse. En d'autres termes, le respect des consignes des services français nous conduit à déposer nos données en Suisse : est-ce ainsi qu'on protège la souveraineté nationale ? Je voterai l'amendement de M. Cadic.
M. Jean-Raymond Hugonet. - Je comprends le besoin de protection, mais il ne s'agit nullement de mettre toutes les données sur la place publique. Ce n'est pas la foire à tout !
M. Thomas Dossus. - Bien sûr que si !
M. Jean-Raymond Hugonet. - Il s'agit de savoir si nous voulons lutter contre le narcotrafic ou si nous le laissons prospérer, ce qui est peut-être ce que certains souhaitent. (Protestations sur plusieurs travées à gauche) Il faut se pincer pour y croire !
Mme Catherine Morin-Desailly. - La question n'est pas de savoir si nous sommes contre le narcotrafic, la pédopornographie ou le terrorisme.
Les grands spécialistes de la cryptologie, comme Guillaume Poupard, ancien directeur général de l'Anssi, s'inquiètent de régressions dans la sécurité des communications.
M. Pierre Ouzoulias. - Tout à fait !
Mme Catherine Morin-Desailly. - Dégradation des droits et libertés fondamentaux, dont le secret des correspondances et la liberté d'expression, exposition accrue de tous à l'espionnage d'États étrangers, espionnage ciblé de dirigeants politiques, perte de confiance dans l'économie numérique, dégradation de l'image de la France : tels sont les risques auxquels nous sommes exposés.
En outre, l'efficacité de cette mesure dans la lutte contre la criminalité organisée est sujette à caution.
Un groupe de travail européen travaille actuellement sur cette question. À tout le moins, attendons la fin de ses travaux.
MM. Cédric Perrin et Mathieu Darnaud. - Vous avez voté cette mesure il y a un mois !
Mme Catherine Morin-Desailly. - Non, pas moi.
Mme Corinne Narassiguin. - Le groupe SER votera cet amendement.
La loi Narcotrafic n'était pas le bon cadre pour discuter du chiffrement et des portes dérobées. (M. Olivier Cadic et Mme Catherine Morin-Desailly approuvent.) Dans une vie antérieure, j'ai été spécialiste de sécurité cyber : c'est donc avec une certaine assurance que j'affirme qu'il n'existe pas de porte dérobée qui ne puisse être exploitée par d'autres que ceux qui l'ont mise en place.
Nous devons donner à nos services de renseignement les moyens d'être efficaces, mais pas au prix d'un affaiblissement général de la cryptographie.
M. Loïc Hervé. - Je suis gêné par l'intervention de M. Hugonet. Chaque fois que nous rappelons la nécessité de respecter la protection de la vie privée et les libertés publiques, on nous oppose une forme de complicité avec tous les maux de la société !
Pendant dix ans, j'ai représenté notre assemblée à la Cnil. Vous pouvez lever les yeux au ciel, mais l'attachement aux libertés publiques devrait être le socle commun de nos discussions. Rappeler que c'est le fondement d'une démocratie libérale ne fait pas de nous des défenseurs du crime.
Je voterai évidemment l'amendement de M. Cadic, pour rappeler les fondamentaux - ce que j'ai fait aussi dans des périodes plus difficiles, comme pendant la covid.
Merci, madame la ministre, pour vos propos, essentiels dans les temps que nous vivons.
M. Mathieu Darnaud. - M. Hervé détourne la discussion de son sujet. Nul ne peut être suspecté de ne pas défendre pied à pied les libertés publiques. (M. Thomas Dossus s'exclame.) Il s'agit de ne pas détricoter insidieusement un dispositif juste après l'avoir adopté.
M. Thomas Dossus. - Comme vous avec le ZAN !
M. Damien Michallet. - Monsieur Hervé, vous avez remercié la ministre pour ses propos. Je vous rappelle qu'elle a demandé le retrait de l'amendement. J'en conclus donc que le sénateur Cadic le retirera. (On ironise sur les travées du groupe Les Républicains.)
L'enjeu de ce débat, c'est de permettre le décryptage des messageries des narcotrafiquants en confirmant le dispositif que nous avons voté il y a un mois !
M. Akli Mellouli. - Si les lois sont intangibles, pourquoi cherchez-vous à revenir sur le ZAN ?
Nous voulons lutter contre les narcotrafics, mais dans le respect de nos libertés individuelles et collectives : c'est ce qui distingue les démocraties.
Ce dispositif a été supprimé à l'Assemblée nationale dès le stade de la commission. Il s'agit de préserver la liberté, première des sécurités. Si nous ne défendons pas ces principes, que faisons-nous ici ?
Mme Marie-Pierre de La Gontrie. - Certains propos que nous venons d'entendre ne sont pas corrects. On peut avoir un débat sur la pertinence d'une fragilisation du système de cryptage sans qu'on nous soupçonne d'être complices des narcotrafiquants ! (M. Loïc Hervé renchérit.)
Notre collègue Jérôme Durain a présidé la commission d'enquête sur le narcotrafic et il est le premier signataire de la proposition de loi issue des travaux de celle-ci. Il a mené un travail exemplaire, avec d'autres, dont Étienne Blanc. Épargnons-nous donc les mauvais procès.
Le sénateur Perrin nous a expliqué, de manière allusive, qu'on ne pouvait pas tout savoir, mais qu'il faisait partie d'instances qui lui permettaient de dire qu'il ne s'agit pas d'une backdoor. Si tel est le cas, comme l'a dit M. Dossus, vous pouvez être tranquille.
Monsieur Darnaud, la disposition votée ici le mois dernier l'a été contre l'avis de la commission des lois ; elle a été rejetée en commission à l'Assemblée nationale. Ce genre de choses peuvent arriver quand on légifère de manière hâtive sur des sujets lourds.
Mme Agnès Canayer. - L'importance des enjeux rend nécessaire un débat serein.
Sur le plan de la méthode, il n'est pas souhaitable de détricoter un dispositif voté il y a seulement quelques semaines.
Élue d'une grande ville portuaire, Le Havre, et membre de la délégation parlementaire au renseignement, j'entends que nos services ont besoin d'outils pour lutter à armes égales contre les trafiquants. La sécurité est la première des libertés !
M. Thomas Dossus. - Vous la fragilisez !
Mme Agnès Canayer. - Je ne voterai pas cet amendement.
M. Olivier Cadic. - Nous avons entendu quelques propos caricaturaux, mais tout ce qui est excessif est insignifiant.
Lorsque j'ai lancé ma place de marché, elle a été hackée au bout de seulement 24 heures... Je connais donc un peu la question. (M. Cédric Perrin s'exclame.)
La disposition dont vous parlez n'avait pas été proposée par la commission d'enquête. Elle a été supprimée à l'Assemblée nationale en commission, à l'unanimité.
Remettons donc l'église au milieu du village.
M. Pierre Ouzoulias. - La mairie !
M. Olivier Cadic. - Le Sénat est la maison des libertés publiques !
Pablo Escobar n'utilisait pas WhatsApp. Et qui parmi nous utilise WeChat ?
Nous avons besoin de confiance. Madame la ministre, merci pour le début de votre intervention : le message est très bien passé. Je suis indépendant et je défends les libertés.
M. Cédric Perrin. - Et les lobbies !
À la demande du groupe UC, l'amendement n°1 rectifié quinquies est mis aux voix par scrutin public.
Mme la présidente. - Voici le résultat du scrutin n°227 :
| Nombre de votants | 334 |
| Nombre de suffrages exprimés | 315 |
| Pour l'adoption | 181 |
| Contre | 134 |
L'amendement n°1 rectifié quinquies est adopté.
(Applaudissements sur les travées du groupe UC et du GEST et sur des travées du groupe SER)
Article 17
Mme la présidente. - Amendement n°33 de Mme Linkenheld et du groupe SER.
Mme Audrey Linkenheld. - Cet amendement porte sur la notion d'incident, que la commission spéciale a opportunément précisée. Nous apportons un petit complément : il est plus exact de viser un incident important ayant un impact plutôt qu'un incident ayant un impact important.
M. Patrick Chaize, rapporteur. - Avis défavorable : la commission a repris les termes exacts de la directive.
Mme Clara Chappaz, ministre déléguée. - Ce sont en effet les termes de la directive. Retrait, sinon avis défavorable.
L'amendement n°33 n'est pas adopté.
Mme la présidente. - Amendement n°101 du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Cet amendement clarifie les incidents que les entités devront notifier aux services, dans un souci de sécurité juridique.
M. Patrick Chaize, rapporteur. - Cette rédaction, inspirée de la directive NIS 2, est source de clarification : avis favorable.
L'amendement n°101 est adopté.
L'article 17, modifié, est adopté.
L'article 18 est adopté, de même que l'article 19.
Article 20
Mme la présidente. - Amendement n°40 de Mme Robert et du groupe SER.
Mme Corinne Narassiguin. - Une augmentation des demandes d'enregistrement de faux noms de domaines visant à diffuser de fausses informations ou à vendre de faux billets a été constatée pendant les jeux Olympiques et Paralympiques. Or certains bureaux d'enregistrement sont complices. Nous demandons que les offices et bureaux d'enregistrement soient tenus de conserver les données d'enregistrement pendant un an à compter de la fin de l'utilisation du nom de domaine, pour faciliter l'identification des délinquants numériques.
M. Patrick Chaize, rapporteur. - L'article 20 prévoit la conservation de ces données tant que le nom de domaine est utilisé. J'aimerais que le Gouvernement nous indique si le risque de fraude est avéré et, dans l'affirmative, si la conservation des données pendant une année supplémentaire est pertinente.
Mme Clara Chappaz, ministre déléguée. - Notre objectif est de ne pas surtransposer la directive. Toutefois, cet amendement pourrait être intéressant. Sagesse.
M. Patrick Chaize, rapporteur. - Sagesse également.
L'amendement n°40 est adopté.
L'article 20, modifié, est adopté.
Article 21
Mme la présidente. - Amendement n°41 de Mme Robert et du groupe SER.
Mme Corinne Narassiguin. - L'article 21 prévoit que les offices et bureaux d'enregistrement des noms de domaine rendent publiques les données d'enregistrement dès lors qu'elles n'ont pas de caractère personnel. Nous précisons que cette mise à disposition doit être gratuite.
M. Patrick Chaize, rapporteur. - Avis plutôt favorable, mais qu'en pense le Gouvernement ?
Mme Clara Chappaz, ministre déléguée. - La directive NIS 2 impose la publicité de ces données, sauf à caractère personnel. Cette précision ne nous paraît pas nécessaire. La publication sera faite sur une plateforme numérique selon des protocoles standardisés, simples et gratuits. Retrait de cet amendement, satisfait.
M. Patrick Chaize, rapporteur. - Dès lors, retrait.
L'amendement n°41 n'est pas adopté.
L'article 21 est adopté.
L'article 22 est adopté, de même que les articles 23 et 24.
Après l'article 24
Mme la présidente. - Amendement n°60 rectifié de MM. Cadic et Canévet.
M. Olivier Cadic. - Nous transposons l'article 29 de la directive NIS 2, qui prévoit des accords de partage d'informations entre les entités essentielles et importantes et leurs prestataires en matière de cybersécurité. Ce partage d'informations accroît la sensibilisation aux cybermenaces, ainsi que la capacité des entités à y faire face. Nous reprenons la référence à la base légale de l'intérêt légitime pour justifier les traitements de données à caractère personnel qui pourraient avoir lieu dans ce cadre, conformément au RGPD.
M. Patrick Chaize, rapporteur. - Retrait, sinon avis défavorable. La portée juridique de cet amendement serait faible, dans la mesure où ce que la loi n'interdit pas est autorisé. Pis, une lecture a contrario pourrait laisser penser qu'il ne serait pas autorisé d'échanger d'autres informations que celles prévues par l'amendement. En outre, celui-ci alourdirait les charges bureaucratiques des entités.
Mme Clara Chappaz, ministre déléguée. - Même avis, pour les mêmes raisons.
L'amendement n°60 rectifié n'est pas adopté.
Article 25
M. le président. - Amendement n°48 de Mme Linkenheld et du groupe SER.
Mme Audrey Linkenheld. - Lorsque l'Anssi a connaissance de menaces, elle prescrit les mesures nécessaires. Conformément à l'esprit de la directive NIS 2, nous précisons que les mesures prescrites doivent être adaptées et proportionnées. C'est grâce aux informations transmises par l'Anssi que nous avons pu circonscrire les conséquences de la cyberattaque à Lille.
M. Patrick Chaize, rapporteur. - Cette précision ne paraît pas indispensable, les mesures nécessaires ne pouvant être ni inadaptées ni disproportionnées. Avis défavorable.
Mme Clara Chappaz, ministre déléguée. - L'Anssi calibre sa réponse au cas par cas, de manière adaptée à la menace. L'amendement ne dit pas autre chose. Avis favorable.
L'amendement n°48 n'est pas adopté.
L'article 25 est adopté.
L'article 26 A est adopté.
Article 26
Mme la présidente. - Amendement n°102 du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Il s'agit de couvrir deux situations opérationnelles : l'activité de certification des organismes privés d'évaluation de la conformité, laquelle doit être supervisée ; et le recours pour la recherche de manquements à des experts qui ne sont ni des contrôleurs ni des organismes indépendants.
M. Patrick Chaize, rapporteur. - Ces situations peuvent en effet se présenter : avis favorable.
L'amendement n°102 est adopté.
L'article 26, modifié, est adopté.
Article 27
Mme la présidente. - Amendement n°116 de MM. Chaize, Saury et Canévet, au nom de la commission spéciale Cybersécurité.
L'amendement rédactionnel n°116, accepté par le Gouvernement, est adopté.
Mme la présidente. - Amendement n°9 rectifié de Mme Paoli-Gagin et alii.
Mme Vanina Paoli-Gagin. - Nous introduisons un critère de nécessité qui objectivera la légalité des demandes d'accès, pour plus de sécurité juridique.
M. Patrick Chaize, rapporteur. - L'accès des agents serait autorisé uniquement en cas de stricte nécessité. Avis défavorable.
Mme Clara Chappaz, ministre déléguée. - Les mesures de supervision imposées aux entités doivent être proportionnées et précisément motivées. L'introduction du critère de nécessité va dans ce sens. Avis favorable.
L'amendement n°9 rectifié n'est pas adopté.
Mme la présidente. - Amendement n°86 rectifié quater de M. Bleunven et alii.
M. Paul Toussaint Parigi. - Défendu.
M. Patrick Chaize, rapporteur. - Je partage la préoccupation de nos collègues sur les capacités techniques des PME. Toutefois, la complexité des systèmes d'information est proportionnelle à la taille des entités. Les exigences prévues ne sont donc pas insurmontables pour les petites entreprises. En outre, cet amendement les supprimerait pour toutes les entreprises, y compris les plus grandes. Il est indispensable que les entreprises coopèrent avec l'Anssi : c'est dans leur intérêt et dans celui du pays. Avis défavorable.
Mme Clara Chappaz, ministre déléguée. - Même avis.
L'amendement n°86 rectifié quater n'est pas adopté.
L'article 27, modifié, est adopté.
Article 28
M. le président. - Amendement n°32 de Mme Linkenheld et du groupe SER.
Mme Audrey Linkenheld. - Cet amendement reprend une disposition de l'article 33 du RGPD sur la transmission progressive des informations à mesure qu'elles sont disponibles. Par ailleurs, il étend aux collectivités territoriales la dispense prévue pour les administrations d'État.
Mme la présidente. - Amendement n°10 rectifié de Mme Paoli-Gagin et alii.
Mme Vanina Paoli-Gagin. - Défendu.
Mme la présidente. - Amendement n°2 rectifié de M. Fialaire et alii.
Mme Maryse Carrère. - Ce texte impose des obligations aux collectivités locales. Les élus locaux sont conscients des enjeux de cybersécurité, mais les collectivités sont confrontées à des difficultés budgétaires considérables : nul besoin de prévoir des sanctions excessives. Cet amendement exonère de sanctions financières les collectivités territoriales et leurs groupements.
Mme la présidente. - Amendement identique n°5 de Mme Duranton et du RDPI.
Mme Nicole Duranton. - Défendu.
Mme la présidente. - Amendement identique n°52 rectifié de M. Mellouli et du GEST.
M. Thomas Dossus. - Il s'agit de prendre en compte la situation budgétaire complexe des collectivités territoriales.
Mme la présidente. - Amendement identique n°63 de Mme Gréaume et du groupe CRCE-K.
M. Gérard Lahellec. - Défendu.
M. Patrick Chaize, rapporteur. - Avis défavorable à tous les amendements.
Pour l'amendement n°32, rien ne fait obstacle à ce que les informations soient communiquées au fil du contrôle. L'Anssi disposera toujours d'une marge d'appréciation.
Sur l'amendement n°10 rectifié, il n'est pas aisé de savoir si l'entité contrôlée a sciemment fourni des informations inexactes ou incomplètes.
Le caractère répressif du dispositif risque d'être considérablement atténué : les entités contrôlées ne seraient pas incitées à coopérer.
S'agissant enfin des amendements identiques, nous sommes bien sûr sensibles à la situation des collectivités territoriales, mais elles doivent coopérer avec l'Anssi : rien ne justifierait des obstacles aux contrôles. Le contexte est trop grave pour que nous dispensions quiconque de se plier aux contrôles.
Mme Clara Chappaz, ministre déléguée. - Même avis.
L'amendement n°32 n'est pas adopté, non plus que les amendements nos10 rectifié, 2 rectifié, 5, 52 rectifié et 63.
Mme la présidente. - Amendement n°20 rectifié sexies de Mme Morin-Desailly et alii.
Mme Catherine Morin-Desailly. - L'article 28 prévoit que l'entité contrôlée est tenue de coopérer avec l'Anssi. Or un renseignement incomplet ou inexact peut être fourni de manière non délibérée. Afin de garantir une évaluation proportionnée des manquements, nous proposons que l'absence de coopération ne puisse être sanctionnée que lorsqu'elle est délibérée.
M. Patrick Chaize, rapporteur. - Je partage l'intention. Toutefois, il serait difficile pour un contrôleur de vérifier le caractère délibéré de la transmission d'informations inexactes. Dans le doute, cela atténuerait l'efficacité du contrôle et des sanctions. Retrait, sinon avis défavorable.
Mme Clara Chappaz, ministre déléguée. - Nous sommes favorables à cet amendement sur le fond. Toutefois, retrait au profit de l'amendement n°21 à l'article 37.
M. Jacques Fernique. - Rappel au règlement : pour voter à mains levées, il faut lever les mains. Or ceux qui ont levé la main pour adopter les amendements identiques nos2 rectifié, 5, 52 rectifié et 63 étaient au moins trois fois plus nombreux que ceux qui l'ont levée pour les rejeter.
Mme la présidente. - Acte en est donné. Ce rappel vaut pour tout le monde.
L'amendement n°20 rectifié sexies est retiré.
M. Olivier Rietmann. - Pas besoin de lever la main ! (Sourires)
L'article 28 est adopté.
Article 29
Mme la présidente. - Amendement n°103 du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Nous modifions les conditions dans lesquelles le coût du contrôle serait à la charge des entités contrôlées, afin d'éviter toute surtransposition. Cette prise en charge n'est prévue par la directive que dans le cadre des audits.
Mme la présidente. - Amendement n°13 rectifié de Mme Paoli-Gagin et alii.
Mme Vanina Paoli-Gagin. - L'article prévoit que l'Anssi puisse déléguer des contrôles à des organismes indépendants : nous précisons que ceux-ci doivent être européens.
Mme la présidente. - Amendement n°28 de Mme Linkenheld et du groupe SER.
Mme Florence Blatrix Contat. - L'Anssi doit pouvoir décider de ne pas faire supporter le coût des audits aux entités contrôlées.
M. Patrick Chaize, rapporteur. - Je me réjouis du dépôt de l'amendement n°103 du Gouvernement, qui reprend la rédaction d'un amendement que nous n'avions pas pu déposer, du fait de l'article 40 de la Constitution. Seuls les audits réguliers seront pris en charge par les entités contrôlées, conformément à la directive NIS 2 ; l'Anssi prendra en charge les autres contrôles. Avis favorable.
Avis défavorable aux amendements nos13 rectifié et 28.
Mme Clara Chappaz, ministre déléguée. - Avis défavorable également à ces deux amendements.
L'amendement n°103 est adopté. Les amendements nos13 rectifié et 28 n'ont plus d'objet.
Mme la présidente. - Amendement n°12 rectifié de Mme Paoli-Gagin et alii.
Mme Vanina Paoli-Gagin. - L'article 40 s'oppose à ce que les parlementaires imputent les coûts induits par les contrôles aux autorités contrôlantes. À défaut, nous proposons que l'autorité publie le montant des coûts induits par ses contrôles.
M. Patrick Chaize, rapporteur. - Retrait de cet amendement d'appel. Je crains que la communication proposée ne soit guère utile. En tout cas, elle ne permettra pas d'atteindre l'objectif légitime de notre collègue.
Mme Clara Chappaz, ministre déléguée. - Même avis. L'Anssi publiera les informations relatives à ses contrôles dans son rapport annuel.
L'amendement n°12 rectifié est retiré.
L'article 29, modifié, est adopté.
Article 30
Mme la présidente. - Amendement n°29 de Mme Linkenheld et du groupe SER.
M. Rémi Cardon. - Le projet de loi ne prévoit ni délai maximal pour la mise en conformité ni date de début des contrôles. Nous proposons qu'un décret fixe un calendrier, lequel doit être progressif pour autoriser une certaine souplesse dans l'application de la directive NIS 2. Cette souplesse permettra notamment aux collectivités territoriales de s'organiser, donc d'éviter le recours systématique à des prestataires extérieurs. Ce calendrier devra également être différencié en fonction du niveau de préparation des entités et du degré d'urgence des mises en conformité.
M. Patrick Chaize, rapporteur. - Comme la directive, le projet de loi ne fixe pas de date d'entrée en vigueur de ses dispositions, néanmoins elles seront appliquées de façon progressive : certaines le seront dans l'année, tandis que la ministre et le directeur général de l'Anssi se sont engagés à ce que les premiers contrôles ne soient pas diligentés avant trois ans.
Nous avons tenu à inscrire cet engagement dans le marbre de la loi, et vous proposerons un amendement dans ce sens. Avis défavorable.
Mme Clara Chappaz, ministre déléguée. - Je l'ai dit tout à l'heure, nous avons étudié avec le Conseil d'État plusieurs pistes pour permettre cette progressivité.
Demande de retrait. L'engagement rappelé par Patrick Chaize ne peut être inscrit dans la loi, mais il est ferme : durant ces trois ans, les contrôles auront une visée pédagogique.
L'amendement n°29 est retiré.
L'article 30 est adopté.
Article 31
Mme la présidente. - Amendement n°104 du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Le déclenchement de la phase d'instruction doit être possible lorsque le manquement n'est pas encore qualifié ou pleinement établi : il faut pouvoir mener des mesures d'instruction et de contrôle complémentaires. Ne limitons pas l'ouverture de l'instruction aux manquements constatés et qualifiés dans le cadre des mesures de contrôle.
Mme la présidente. - Amendement n°117 de MM. Chaize, Saury et Canévet, au nom de la commission spéciale Cybersécurité.
M. Patrick Chaize, rapporteur. - La procédure doit pouvoir être ouverte quand le contrôle éveille une suspicion de manquement. Il faudra alors vérifier si le manquement peut ou non être qualifié.
L'amendement n°104 rétablit la rédaction initiale. Demande de retrait au profit de celui de la commission, plus clair et plus sécurisant pour les entités soumises aux contrôles.
Mme Clara Chappaz, ministre déléguée. - Retrait, sinon avis défavorable, au profit de l'amendement du Gouvernement.
M. Patrick Chaize, rapporteur. - Bataille ! (Sourires)
Mme Clara Chappaz, ministre déléguée. - Le résultat du contrôle peut être : un manquement avéré, une suspicion de manquement ou une absence avérée de manquement. Cette troisième possibilité n'est pas qualifiable sans mesures complémentaires d'instruction.
Dès lors, mentionner la suspicion de manquement comme fait générateur n'apporte aucune garantie nouvelle. Conservons une procédure plus souple - ce que permet la rédaction initiale. D'autant que la phase d'instruction cadre le dialogue avec l'Anssi et présente donc des garanties pour l'entité assujettie.
L'amendement n°104 n'est pas adopté.
L'amendement n°117 est adopté.
Mme la présidente. - Amendement n°89 rectifié quinquies de M. Bleunven et alii.
M. Paul Toussaint Parigi. - Défendu.
M. Patrick Chaize, rapporteur. - L'Anssi pourra choisir entre cinq types de mesures d'exécution celui qui correspond le mieux à la nature du manquement et aux caractéristiques de l'entité contrôlée ; elle pourra même clore la procédure sans mesure d'exécution, le cas échéant.
Retrait, sinon avis défavorable.
L'amendement n°89 rectifié quinquies est retiré.
Mme la présidente. - Amendement n°23 rectifié de Mme Carrère et alii.
Mme Maryse Carrère. - Ce projet de loi impose des obligations lourdes - même si l'amende administrative est un progrès par rapport à la sanction pénale. Dans un souci de proportionnalité, nous réduisons le plafond de l'astreinte appliquée aux collectivités de 5 000 euros par jour de retard à 100 euros par jour.
M. Patrick Chaize, rapporteur. - Bien que je partage vos alarmes sur la situation financière des collectivités, difficile de justifier une telle différence de traitement entre les catégories d'entités. Les mesures d'exécution de l'Anssi s'imposent à toutes les entités, sans distinction.
L'astreinte doit être suffisamment incitative pour que les mesures soient mises en oeuvre au plus vite. Elle ne sera pas automatique ; l'Anssi décidera en fonction des circonstances. Avis défavorable.
Mme Clara Chappaz, ministre déléguée. - Même avis. Nous avons choisi de ne pas sanctionner les collectivités mais il faut assurer l'effectivité de la mesure et faire prendre conscience de l'enjeu. Une astreinte de 100 euros maximum est insuffisante.
L'amendement n°23 rectifié n'est pas adopté.
Mme la présidente. - Amendement n°61 rectifié de Mme Paoli-Gagin et alii.
Mme Vanina Paoli-Gagin. - Évitons toute surtransposition en matière de publicité des sanctions : l'Anssi ne doit pas pouvoir rendre les manquements publics.
M. Patrick Chaize, rapporteur. - La commission a prévu que seule la commission des sanctions est habilitée à décider de rendre publique sa décision. L'amendement est donc satisfait : retrait, sinon rejet.
Mme Clara Chappaz, ministre déléguée. - Même avis.
L'amendement n°61 rectifié est retiré.
L'article 31, modifié, est adopté.
L'article 33 est adopté, de même que les articles 34 et 35.
Article 36
Mme la présidente. - Amendement n°58 rectifié de MM. Cadic et Canévet.
M. Olivier Cadic. - Défendu.
M. Patrick Chaize, rapporteur. - La commission des sanctions sera composée d'un membre du Conseil d'État, d'un membre de la Cour des comptes, d'un membre de la Cour de cassation et de trois personnalités qualifiées. Cela me paraît équilibré. Prévoir en sus un membre différent pour chacun des dix-huit secteurs concernés serait excessivement complexe. Retrait, sinon avis défavorable.
Mme Clara Chappaz, ministre déléguée. - Même avis.
L'amendement n°58 rectifié est retiré.
Mme la présidente. - Amendement n°105 du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Il s'agit de prévenir les conflits d'intérêts au sein de la commission des sanctions en élargissant la règle d'incompatibilité aux entités assujetties et en abaissant sa durée à trois ans.
M. Patrick Chaize, rapporteur. - Avis favorable.
L'amendement n°105 est adopté.
L'article 36, modifié, est adopté.
Article 37
Mme la présidente. - Amendement n°106 du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - La directive NIS 2 ne conditionne pas l'interdiction d'exercer des dirigeants des entités essentielles à la persistance d'un manquement malgré l'imposition d'amendes pécuniaires. Elle prévoit une procédure en deux temps : l'entité est invitée à satisfaire aux exigences des mesures d'exécution ; en cas de défaut, l'autorité peut prévoir une interdiction d'exercer temporaire. Il ne faut pas pénaliser autrement les dirigeants.
M. Patrick Chaize, rapporteur. - L'interdiction d'exercice est mal vécue par les représentants des entreprises que nous avons entendus. Elle est toutefois prévue par la directive : une suppression pure et simple aurait présenté un risque de sous-transposition.
Le compromis que nous avons proposé - une sanction d'interdiction d'exercice prononcée en dernier recours, si le manquement persiste après que l'amende administrative a été prononcé - me paraît équilibré.
Avis défavorable.
L'amendement n°106 n'est pas adopté.
Mme la présidente. - Amendement n°21 rectifié nonies de Mme Morin-Desailly et alii.
Mme Catherine Morin-Desailly. - La sanction doit prendre en compte les circonstances et la gravité du manquement, le comportement de son auteur et sa bonne foi, afin d'éviter de pénaliser trop lourdement les TPE-PME.
Mme la présidente. - Amendement identique n°46 rectifié de Mme Conway-Mouret et du groupe SER.
M. Rémi Cardon. - Défendu.
Mme la présidente. - Amendement identique n°88 rectifié quinquies de M. Bleunven et alii.
M. Paul Toussaint Parigi. - Défendu.
M. Patrick Chaize, rapporteur. - Il va de soi que ces éléments seront pris en compte. L'article 37 se borne à prévoir les plafonds des amendes administratives. Sagesse favorable.
Mme Clara Chappaz, ministre déléguée. - Avis favorable.
Les amendements identiques nos21 rectifié nonies, 46 et 88 rectifié quinquies sont adoptés.
L'article 37, modifié, est adopté.
Après l'article 37
Mme la présidente. - Amendement n°118 de MM. Chaize, Saury et Canévet, au nom de la commission spéciale Cybersécurité.
M. Patrick Chaize, rapporteur. - Cet amendement accorde les délais nécessaires aux entreprises, administrations et collectivités pour se mettre en conformité avec le référentiel prévu à l'article 14, ce qui nécessitera des investissements importants. Dans un souci de proportionnalité, le délai est fixé à trois ans pour les entités essentielles et à quatre ans pour les entités importantes.
Mme Clara Chappaz, ministre déléguée. - Retrait, sinon rejet. La directive ne prévoit aucun délai d'entrée en vigueur : des dispositions transitoires ou d'entrée en vigueur différée ne peuvent donc être prévues. Le Conseil d'État l'a confirmé. Pour autant, je me suis engagée à respecter la logique de progressivité : pendant trois ans, les contrôles de l'Anssi seront pédagogiques.
M. Patrick Chaize, rapporteur. - Je le retire, je voulais entendre la ministre.
L'amendement n°118 est retiré.
L'article 38 est adopté, de même que l'article 39.
Après l'article 39
Mme la présidente. - Amendement n°15 rectifié septies de Mme Morin-Desailly et alii.
Mme Catherine Morin-Desailly. - Cet amendement intègre le risque cyber dans le document unique d'évaluation des risques professionnels. Une attaque cyber a des conséquences économiques mais aussi psychosociales : surcharge d'activité, sidération, culpabilité... C'est une source de stress pour les salariés.
Reconnaître le risque cyber comme un risque professionnel permettrait un engagement général et une acculturation collective des parties prenantes de l'entreprise.
Mme la présidente. - Amendement identique n°44 de M. Cardon et du groupe SER.
M. Rémi Cardon. - Intégrer le risque cyber à ce document unique est de bon sens : on sensibilise et responsabilise les salariés, on les protège - mieux vaut prévenir que guérir - et on favorise une dynamique collective. Et cela ne coûte pas cher !
M. Patrick Chaize, rapporteur. - Vous visez un article du code du travail qui porte sur l'environnement de travail - on est loin de la cybersécurité. Retrait ?
Mme Clara Chappaz, ministre déléguée. - Retrait, sinon avis défavorable. Ne surtransposons pas la directive NIS 2. Le cadre européen doit rester le plus harmonisé possible.
Les amendements identiques nos15 rectifié septies et 44 ne sont pas adoptés.
L'article 40 est adopté.
Article 41
Mme la présidente. - Amendement n°110 du Gouvernement.
L'amendement rédactionnel n°110, accepté par la commission, est adopté.
L'article 41, modifié, est adopté.
Article 42
Mme la présidente. - Amendement n°72 de Mme Gréaume et du groupe CRCE-K.
M. Gérard Lahellec. - Lorsqu'on exploite une ressource publique, le spectre électromagnétique, et qu'on fait du commerce sur notre sol, on doit se plier aux mêmes exigences que les entreprises françaises.
M. Patrick Chaize, rapporteur. - Les nombreux acteurs internationaux qui demandent une autorisation d'exploiter une assignation de fréquence en France ne doivent pas nuire aux intérêts de la sécurité et de la défense nationale. D'où l'intérêt d'accorder plus de marges de manoeuvre à l'Agence nationale des fréquences (ANFR) et de limiter l'autorisation d'exploiter une fréquence à des entités de droit français ou immatriculées en France. Le savoir-faire de l'ANFR doit bénéficier à des entreprises qui font valoir un intérêt économique ou un intérêt pour la défense nationale.
En revanche, prévoir une obligation d'implantation en France pour l'emploi ultérieur de ce système satellitaire à des fins de fourniture de services de communications électroniques est incompatible avec le droit européen qui garantit la libre prestation de services. Avis défavorable.
Mme Clara Chappaz, ministre déléguée. - Même avis.
L'amendement n°72 n'est pas adopté.
L'article 42 est adopté.
Article 43 A
Mme la présidente. - Amendement n°123 du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Cet amendement vise à désigner la Banque de France et l'ACPR comme autorités compétentes au titre de l'application du règlement Dora.
Les entités financières peuvent être attaquées à tout moment. En cas d'incident, il faut pouvoir le notifier à l'autorité financière mais aussi à l'Anssi, seule en mesure d'apporter un soutien opérationnel à toute heure de la nuit ou du week-end.
Mme la présidente. - Sous-amendement n°124 de M. Canévet.
M. Michel Canévet, rapporteur de la commission spéciale. - La commission a cherché à simplifier les démarches des entreprises. Le Gouvernement, tardivement, propose un amendement qui revient sur le guichet unique souhaité par la commission. Je propose donc ce sous-amendement, qui ne conserve qu'une correction de référence.
Mme Clara Chappaz, ministre déléguée. - Avis défavorable : il s'agit d'un simple formulaire, permettant le partage de l'information entre les deux autorités. Il est absolument nécessaire de pouvoir s'appuyer sur l'Anssi dans le cadre de Dora.
Le sous-amendement n°124 est adopté.
L'amendement n°123, sous-amendé, est adopté.
L'article 43 A, modifié, est adopté.
Après l'article 43 A
Mme la présidente. - Amendement n°107 rectifié du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Nous désignons l'ACPR, pour éviter aux entités d'avoir à adresser plusieurs déclarations identiques aux différentes autorités. Une communication additionnelle à l'Anssi est toutefois obligatoire pour les entités assujetties à NIS 2, et facultative pour les autres, afin d'assurer un traitement rapide des incidents et menaces. J'insiste : il faut s'appuyer sur l'Anssi !
M. Michel Canévet, rapporteur. - Avis défavorable : nous voulons simplifier la vie des entreprises.
Mme Clara Chappaz, ministre déléguée. - Il s'agit d'un simple formulaire : les entreprises pourront s'en saisir facilement, et accéderont auprès de l'Anssi à un soutien indispensable en cas de cyberattaque.
M. Michel Canévet, rapporteur. - Voter cet amendement serait contradictoire avec notre position sur l'article précédent.
L'amendement n°107 rectifié n'est pas adopté.
Les articles 43, 44 et 45 sont successivement adoptés.
Après l'article 45
Mme la présidente. - Amendement n°119 de MM. Canévet, Chaize et Saury, au nom de la commission spéciale Cybersécurité.
M. Michel Canévet, rapporteur. - Nous désignons l'AMF comme autorité de référence pour les entreprises de marché et les prestataires de cryptoactifs.
Mme la présidente. - Amendement n°111 rectifié du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Cet amendement désigne l'AMF comme destinataire des déclarations d'incidents des prestataires de services sur cryptoactifs agréés, conformément à Dora.
Mme la présidente. - Amendement n°112 rectifié du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Même chose, pour les entreprises de marché.
M. Michel Canévet, rapporteur. - Avis défavorable aux amendements nos111 rectifié et 112 rectifié.
Mme Clara Chappaz, ministre déléguée. - Avis défavorable à l'amendement n°119 ; nous avons travaillé nos amendements avec l'AMF, qui préfère cette rédaction.
L'amendement n°119 est adopté.
Les amendements nos111 rectifié et 112 rectifié n'ont plus d'objet.
L'article 46, modifié, est adopté.
Les articles 47 et 48 sont successivement adoptés.
Article 49
Mme la présidente. - Amendement n°120 de MM. Canévet, Chaize et Saury, au nom de la commission spéciale Cybersécurité.
M. Michel Canévet, rapporteur. - Nous intégrons la Caisse des dépôts et consignations.
Mme Clara Chappaz, ministre déléguée. - Avis favorable.
L'amendement n°120 est adopté.
L'article 49, modifié, est adopté.
Les articles 49 bis, 50, 51, 52 et 54 sont successivement adoptés
Après l'article 54
Mme la présidente. - Amendement n°73 de Mme Gréaume et du groupe CRCE-K.
M. Gérard Lahellec. - Lorsque des entités bancaires et financières externalisent des services numériques, elles doivent en priorité recourir à des prestataires qui respectent nos normes de cybersécurité, notre réglementation et notre fiscalité. Si aucune offre n'est disponible sur le territoire, une exception peut être accordée.
M. Michel Canévet, rapporteur. - Je comprends votre préoccupation, mais nous nous inscrivons dans un cadre européen. Avis défavorable.
Mme Clara Chappaz, ministre déléguée. - Même avis.
L'amendement n°73 n'est pas adopté.
L'article 55 est adopté.
Article 56
Mme la présidente. - Amendement n°121 de MM. Canévet, Chaize et Saury, au nom de la commission spéciale Cybersécurité.
M. Michel Canévet, rapporteur. - Correction d'une erreur de référence.
L'amendement n°121, accepté par le Gouvernement, est adopté.
L'article 56, modifié, est adopté.
L'article 57 est adopté.
Après l'article 57
Mme la présidente. - Amendement n°74 rectifié de Mme Gréaume et du groupe CRCE-K.
M. Gérard Lahellec. - Nous devons donner aux acteurs français ou européens les moyens de peser. Cela implique des règles, de la planification. Le reste n'est que naïveté ou complaisance.
M. Michel Canévet, rapporteur. - Avis défavorable, pour les mêmes raisons que tout à l'heure.
Mme Clara Chappaz, ministre déléguée. - Même avis.
L'amendement n°74 rectifié n'est pas adopté.
L'article 58 est adopté.
Après l'article 58
Mme la présidente. - Amendement n°14 rectifié de Mme Paoli-Gagin et alii.
Mme Vanina Paoli-Gagin. - En l'état du droit, c'est à un assuré victime d'une cyberattaque qu'il revient de prouver qu'un dommage a été causé par un fait autre qu'une guerre étrangère. Or il est quasiment impossible d'imputer officiellement une cyberattaque à un acteur en particulier. Cette disposition purement française empêche le développement de l'assurance cyber en France et conduit les grands groupes à s'assurer à l'étranger. Inversons la charge de la preuve.
M. Michel Canévet, rapporteur. - Avis favorable.
Mme Clara Chappaz, ministre déléguée. - Avis défavorable. Il n'est pas établi que nombre d'entreprises françaises choisissent de s'assurer à l'étranger pour éviter que la charge de la preuve ne leur incombe.
Votre amendement risque de conduire les assureurs à se dérisquer et se désinvestir du marché de l'assurance cyber. Or la question de l'assurance est cruciale. Cet amendement irait à rebours de notre objectif de développer ce marché. (Mme Vanina Paoli-Gagin fait non de la tête.)
Enfin, votre rédaction me semble donner un blanc-seing aux assureurs pour ne pas assurer les cyberattaques.
L'amendement n°14 rectifié est adopté et devient un article additionnel.
Les articles 59 et 60 sont successivement adoptés.
Après l'article 60
Mme la présidente. - Amendement n°75 rectifié de Mme Gréaume et du groupe CRCE-K.
M. Gérard Lahellec. - Nous introduisons un principe de préférence intégré tout en ménageant une dérogation pour éviter toute distorsion excessive dans l'accès aux services.
M. Michel Canévet, rapporteur. - Même avis défavorable que précédemment.
Mme Clara Chappaz, ministre déléguée. - Même avis.
L'amendement n°75 rectifié n'est pas adopté.
L'article 61 est adopté.
Après l'article 61
Mme la présidente. - Amendement n°77 rectifié bis de Mme Gréaume et du groupe CRCE-K.
M. Gérard Lahellec. - C'est encore un dispositif proposant une préférence, comme les deux suivants.
L'amendement n°77 rectifié bis, repoussé par la commission et le Gouvernement, n'est pas adopté.
Mme la présidente. - Amendement n°81 rectifié de Mme Gréaume et du groupe CRCE-K.
M. Gérard Lahellec. - Défendu.
L'amendement n°81 rectifié, repoussé par la commission et le Gouvernement, n'est pas adopté.
Mme la présidente. - Amendement n°79 de Mme Gréaume et du groupe CRCE-K.
M. Gérard Lahellec. - Défendu.
L'amendement n°79, repoussé par la commission et le Gouvernement, n'est pas adopté.
L'article 62 A est adopté.
Article 62
Mme la présidente. - Amendement n°109 du Gouvernement.
Mme Clara Chappaz, ministre déléguée. - Cet amendement capital rétablit le principe d'une entrée en application différenciée. Les plus grandes sociétés de financement qui exercent des activités critiques doivent être soumises à des standards élevés dès la promulgation de la loi. Que dirons-nous aux Français si, demain, la société qui octroie leur prêt immobilier est attaquée ? Pour que ces grandes sociétés de financement conservent la confiance de nos concitoyens, elles doivent impérativement être soumises dès à présent aux obligations de Dora.
Les autres sociétés de financement de taille plus modeste devraient bénéficier d'un report, mais proportionné. Le 1er janvier 2030 est bien trop lointain, vu le rythme auquel progresse la cybermenace. Une telle différenciation serait inéquitable par rapport aux autres acteurs du secteur financier.
Dans un souci d'égalité de traitement, mais avant tout de confiance et d'efficacité dans la lutte contre la cybermenace, nous vous demandons de revenir à la rédaction initiale.
M. Michel Canévet, rapporteur. - Le Sénat est attaché à la simplification et à la non-surtransposition. La commission spéciale a proposé une échéance assez lointaine - 2030 - pour éviter de pénaliser les acteurs soumis à la concurrence internationale.
Pour les petites sociétés de financement, nous proposons un principe de proportionnalité, en leur imposant uniquement des démarches adaptées à leur taille - c'est l'objet de mon amendement n°122.
Avis défavorable à l'amendement n°109.
Mme Clara Chappaz, ministre déléguée. - J'insiste ! Nous ne voulons pas surtransposer et visons l'harmonisation au niveau européen, mais notre droit comporte cette notion de société de financement ; il faut bien en tenir compte. Nous devons composer avec la réalité et agir avec pragmatisme, toujours dans un objectif de protection et de résilience.
L'amendement n°109 n'est pas adopté.
Mme la présidente. - Amendement n°122 de MM. Canévet, Chaize et Saury, au nom de la commission spéciale Cybersécurité.
M. Michel Canévet, rapporteur. - Défendu.
Mme Clara Chappaz, ministre déléguée. - Avis défavorable. J'espère que nous n'aurons pas à subir et à expliquer ces cyberattaques. (M. Yannick Jadot s'exclame)
L'amendement n°122 est adopté.
L'article 62, modifié, est adopté.
Vote sur l'ensemble
Mme Catherine Morin-Desailly . - Nous achevons un cycle de transposition de textes européens - d'abord la loi Sécuriser et réguler l'espace numérique, puis celle-ci, qui donne un cadre de résilience à nos entités critiques. Il reste beaucoup à faire, notamment au niveau des moyens pour les petites communes, qu'il faudra accompagner. Nous devons conquérir notre autonomie stratégique et conduire une vraie politique industrielle - le bilan dressé par les rapports Draghi et Letta est éloquent. Nous sommes à la croisée des chemins : le contexte géopolitique ne nous laisse plus le choix.
Je salue l'adoption de l'amendement n°1 rectifié quinquies d'Olivier Cadic : il ne doit pas y avoir de portes dérobées. Selon le grand cryptologue Bruce Schneier, le choix n'est pas entre plus de sécurité ou plus de liberté, mais entre plus de sécurité ou moins de sécurité. Avec cette mesure, nous allons vers plus de sécurité.
M. Gérard Lahellec . - En matière de procédures, de suivi, de tests, ce texte pose des bases plus protectrices, c'est positif.
Mais des interrogations demeurent, sur les collectivités, sur l'absence de planification. Nous aimerions une cybersécurité émancipatrice, plus protectrice, plus exigeante au plan européen comme national. Aussi, nous nous abstiendrons sur ce texte.
Le projet de loi, modifié, est adopté.
La séance est suspendue à 20 h 25.
Présidence de M. Didier Mandelli, vice-président
La séance reprend à 21 h 55.