Résilience des infrastructures critiques et renforcement de la cybersécurité

ÉTUDE D'IMPACT

PROJET DE LOI

relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

NOR : PRMD2412608L/Bleue-1

15 octobre 2024

TABLE DES MATIÈRES

TABLEAU SYNOPTIQUE DES CONSULTATIONS 20

TABLEAU SYNOPTIQUE DES MESURES D'APPLICATION 32

TABLEAU D'INDICATEURS 43

TITRE I^ER - RÉSILIENCE DES ACTIVITÉS D'IMPORTANCE VITALE 46

CHAPITRE I^ER - MODIFICATIONS DU CODE DE LA DÉFENSE 46

Article 1^er - Modifications des articles (articles L. 1332-1 à L. 1332-22 du code de la défense) 46

Article 1^er (A) - Article L. 1332-1 du code de la défense - Définitions 46

Article 1^er (B) - Article L. 1332-2 du code de la défense - Désignation des OIV 57

Article 1^er (C) - Article L. 1332-3 du code de la défense - Obligation de résilience 70

Article 1^er (D) - Article L. 1332-4 du code de la défense - Analyse des dépendances 88

Article 1^er (E) - Article L. 1332-5 du code de la défense - Plan Particulier de Résilience 97

Article 1^er (F) - Article L. 1332-6 du code de la défense - Enquêtes administratives de sécurité 111

Article 1^er (G) - Article L. 1332-7 du code de la défense - Notification d'incidents 126

Article 1^er (H) - Articles L. 1332-8 et 9 du code de la défense - Dispositions applicables aux entités critiques d'importance européenne particulière 137

Article 1^er (I) - Article L. 1332-10 du code de la défense 146

Article 1^er (J) - Article L. 1332-11 du code de la défense - Systèmes d'information d'importance vitale 151

Article 1^er (K) - Articles L. 1332-12 à L. 1332-14 du code de la défense - Habilitation et contrôles 161

Article 1^er (L) - Articles L. 1332-15 à L. 1332-19 du code de la défense - Commission des sanctions 178

Article 1^er (M) - Article L. 1332-20 à L. 1332-22 du code de la défense - Marchés publics et contrats de concessions relatifs à la sécurité des activités d'importance vitale 190

TITRE II - CYBERSÉCURITÉ 202

CHAPITRE I^ER - DE L'AUTORITÉ NATIONALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION 202

Article 5 - Missions et compétences de l'autorité nationale 202

CHAPITRE II - DE LA CYBER RÉSILIENCE 214

Article 6 - Définitions 214

Articles 7 à 16 - Périmètre de compétence de l'autorité nationale et exigences de sécurité 221

Articles 18 à 22 - Enregistrement des noms de domaine 243

Articles 17, 23 et 24 - Notifications d'incidents importants et partage d'informations 253

CHAPITRE III - DE LA SUPERVISION 271

Articles 25 à 37 - Supervision - Procédures de contrôle et de sanction 271

CHAPITRE IV - DISPOSITIONS DIVERSES D'ADAPTATION 288

Article 38 - Alléger le contrôle des biens de cryptologie 288

Article 39 (I, II et III) - Abrogation de la transposition de la directive NIS 1 et simplification du cadre réglementaire 296

Article 39 (IV) - Abrogation de la transposition de la directive NIS 1 et simplification du cadre réglementaire 308

Article 40 - Mesures applicables à l'outre-mer pour les territoires sous spécialité législative 317

CHAPITRE V - DISPOSITIONS RELATIVES AUX COMMUNICATIONS ÉLECTRONIQUES 329

Article 41 - Renforcement des sanctions pénales pour améliorer la lutte contre les brouillages 329

Article 42 - Renforcement des conditions d'accès à une assignation de fréquences déposées par la France auprès de l'Union Internationale des Télécommunications 345

TITRE III - RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE DU SECTEUR FINANCIER 359

CHAPITRE I^ER - DISPOSITIONS MODIFIANT LE CODE MONÉTAIRE ET FINANCIER 359

Article 43 - Modification de la définition des prestataires de services techniques 359

Article 44 - Maintien de la résilience opérationnelle des gestionnaires de plateformes de négociation 366

Article 45 - Gestion du risque lié aux technologies de l'information et de la communication par les entreprises de marché 373

Article 46 - Références aux risques liés aux technologies de l'information et de la communication au sein des dispositifs de gestion des risques des établissements de crédit et des sociétés de financement 379

Article 47 - Référence aux réseaux et systèmes d'information au sein des exigences de contrôle interne des établissements de crédit et des sociétés de financement 391

Article 48 - Obligations des prestataires de services de paiement en matière de gestion du risque lié aux technologies de l'information et des communications (TIC) 401

Article 49 - Modification de la liste des prestataires de services de paiement soumis à une obligation de notification des incidents opérationnels ou de sécurité majeur 409

Article 50 - Référence aux réseaux et systèmes d'information au sein des exigences de contrôle et de sauvegarde des prestataires de service d'investissement 416

Article 51 - Systèmes de technologies de l'information et de la communication (TIC) et dispositifs de contrôle des prestataires de services d'investissement 424

Article 52 - Systèmes de contrôle des risques mis en oeuvre par les prestataires de services d'investissement autres que les sociétés de gestion de portefeuille qui ont recours à la négociation algorithmique 431

Article 53 - Référence aux prestataires informatiques critiques au sein des tiers auxquels l'Autorité de contrôle prudentiel et de résolution peut demander toute information 438

Article 54 - Référence à la résilience opérationnelle numérique au sein des plans préventifs de résolution des établissements de crédit et des sociétés de financement 446

Article 55 - Extension de la liste des autorités habilitées à s'échanger des informations 455

CHAPITRE II - DISPOSITIONS MODIFIANT LE CODE DES ASSURANCES 462

Article 57 - Nouvelles obligations pour les entreprises d'assurance et de réassurance en matière de gouvernance des risques liés à l'utilisation des systèmes d'information 462

Article 58 - Extension aux groupes d'assurance des nouvelles obligations de gouvernance des risques liés à l'utilisation des systèmes d'information 473

CHAPITRE III - DISPOSITIONS MODIFIANT LE CODE DE LA MUTUALITÉ 484

Article 59 - Nouvelles obligations pour les unions et mutuelles du code de la mutualité en matière de gouvernance des risques liés à l'utilisation des systèmes d'information 484

Article 60 - Suppression de dispositions redondantes dans le code de la mutualité 493

CHAPITRE IV - DISPOSITIONS MODIFIANT LE CODE DE LA SÉCURITÉ SOCIALE 500

Article 61 - Nouvelles obligations pour les institutions de prévoyance et unions du code de la sécurité sociale en matière de gouvernance des risques liés à l'utilisation des systèmes d'information 500

CHAPITRE V - DISPOSITIONS FINALES 509

Article 62 - Dates d'application des dispositions du titre III sur la résilience opérationnelle numérique du secteur financier 509

ANNEXE I - TABLEAU DE TRANSPOSITION DE LA DIRECTIVE (UE) 2022/2557 DU PARLEMENT EUROPÉEN ET DU CONSEIL SUR LA RÉSILIENCE DES ENTITÉS CRITIQUES (DITE DIRECTIVE REC) 517

ANNEXE II - TABLEAU DE TRANSPOSITION DE LA DIRECTIVE (UE) 2022/2555 (DITE DIRECTIVE NIS2) DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 14 DÉCEMBRE 2022 CONCERNANT DES MESURES DESTINÉES À ASSURER UN NIVEAU ÉLEVÉ COMMUN DE CYBERSÉCURITÉ DANS L'ENSEMBLE DE L'UNION, MODIFIANT LE RÈGLEMENT (UE) N° 910/2014 ET LA DIRECTIVE (UE) 2018/1972 ET ABROGEANT LA DIRECTIVE (UE) 2016/1148 658

ANNEXE III - TABLEAUX DE TRANSPOSITION DE LA DIRECTIVE (UE) 2022/2556 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 14 DÉCEMBRE 2022 MODIFIANT LES DIRECTIVES 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 ET (UE) 2016/2341 EN CE QUI CONCERNE LA RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE DU SECTEUR FINANCIER (DITE DIRECTIVE DORA) 822

ANNEXE IV - TABLEAU SYNOPTIQUE DES OPTIONS LAISSÉES PAR LA DIRECTIVE NIS 2 863

ANNEXE V - TEXTES RÈGLEMENTAIRES PRÉVUS POUR LE TITRE II 871

ANNEXE VI - SCHÉMA EXPLICATIF DE LA STRATÉGIE DE SIMPLIFICATION RÈGLEMENTAIRE 872

INTRODUCTION GÉNÉRALE

1. TRANSPOSITION DE LA DIRECTIVE SUR LA RÉSILIENCE DES ENTITÉS CRITIQUES (REC) ET REFONTE DU DISPOSITIF DE LA SÉCURITÉ DES ACTIVITÉS D'IMPORTANCE VITALE (SAIV)

Contexte général 

Les infrastructures critiques indispensables au fonctionnement de la Nation sont exposées aux risques naturels, sanitaires, technologiques, mais également aux menaces d'origine anthropique. La directive (UE) 2022/2557 du Parlement européen et du Conseil sur la résilience des entités critiques (REC), adoptée le 14 décembre 2022, constitue l'aboutissement d'une réflexion portée à l'échelle européenne sur la protection des infrastructures nécessaires au fonctionnement du marché intérieur, initiée en 2008 avec une première directive (Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l'évaluation de la nécessité d'améliorer leur protection). Elle tient compte des leçons tirées de la pandémie de COVID-19, notamment en termes de sensibilité des chaînes d'approvisionnement, mais également du durcissement du contexte géopolitique.

L'ambition de cette nouvelle directive est d'améliorer la fourniture, dans le marché intérieur européen, des services considérés comme essentiels au maintien de fonctions sociétales ou d'activités économiques vitales, en renforçant la résilience des entités considérées comme critiques par les Etats membres, dans onze secteurs d'activité : l'énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l'eau potable, les eaux résiduaires, les infrastructures numériques, l'administration publique, l'espace ainsi que la production, la transformation et la distribution de denrées alimentaires. Elle vise ainsi, d'une part, à prévoir un standard de protection minimale à l'ensemble des infrastructures critiques de l'Union, dont peuvent dépendre les entités situées sur le territoire national, et, d'autre part, à assurer une concurrence plus loyale entre ces différents opérateurs à l'échelle de l'Union, désormais soumis à des règles communes.

Ainsi, la France met déjà en oeuvre, depuis 2006, un dispositif d'identification des opérateurs, publics ou privés, considérés d'importance vitale, qui ont la charge de garantir leur propre protection : le dispositif de sécurité des activités d'importance vitale (SAIV).

Le présent projet de loi vise ainsi à transposer la directive REC par le prisme d'une révision de ce dispositif national, en conservant ses principes cardinaux, tout en y intégrant les obligations inédites prévues par la directive et l'extension de son champ d'application à de nouveaux secteurs. L'objectif principal du Gouvernement est donc de maintenir un niveau élevé de protection des infrastructures critiques, déjà éprouvé et connu des acteurs concernés, adapté au contexte actuel.

Le dispositif actuel de sécurité des activités d'importance vitale (SAIV)

Sur les fondements de l'ancien dispositif de protection des points et réseaux sensibles datant de l'ordonnance de 1958, cette politique publique a été véritablement instaurée en 2006, à la suite des attentats de Madrid (2004) et de Londres (2005).

L'actuel dispositif de sécurité des activités d'importance vitale vise à assurer la protection physique et cyber d'opérateurs (publics ou privés) identifiés comme indispensables pour la continuité d'activité de la Nation - ou, de manière plus marginale, pouvant présenter un danger grave pour la population.

Ce dispositif est inscrit dans le code de la défense (articles L. 1332-1 à L. 1332-7) et compte aujourd'hui plus de 300 opérateurs, désignés d'importance vitale par l'Etat, dans 12 secteurs d'activité. Chaque secteur est supervisé par un ministère coordonnateur.

Les opérateurs d'importance vitale (OIV) exercent leurs activités d'importance vitale sur près de 1500 points d'importance vitale (PIV) (usines, locaux d'une administration, data center, etc.), répartis sur l'ensemble du territoire national (métropole et outre-mer). La désignation des PIV s'appuie sur la notion de non-substituabilité des activités. Leur identification est protégée par le secret de la défense nationale.

Une responsabilité partagée entre l'Etat et les opérateurs d'importance vitale

Désignés par l'Etat, les opérateurs d'importance vitale sont tenus de garantir à leurs frais la sécurité de leurs sites et de leurs systèmes d'information les plus critiques (points et systèmes d'information d'importance vitale) contre tout risque et toute menace, notamment à caractère terroriste. Les OIV exposent à travers un certain nombre de documents de planification (plan de sécurité opérateur, plan particulier de protection) les choix de sécurité qui leur permettent de répondre à cette obligation de résultat.

Ils procèdent notamment :

- à une identification des points d'importance vitale (PIV) : établissements, installations et ouvrages nécessaires à la réalisation des activités d'importance vitale ;

- à une analyse de l'ensemble des risques (naturels, technologiques, sanitaires, etc.) et des menaces (malveillance, terrorisme, cyber, etc.) pouvant affecter les activités et points d'importance vitale ;

- à la déclinaison et à l'application des mesures Vigipirate qui concernent leur activité ;

- à une démonstration de leur dispositif de sécurité et de gestion de crise ;

- au respect du principe de défense en profondeur au sein de chaque PIV ;

- à la rédaction d'un plan de continuité ou de reprise d'activité (PCA/PRA) et à l'identification des personnels clés ;

- à la désignation d'un délégué à la défense et à la sécurité (DDS), habilité au secret de la défense nationale et interlocuteur privilégié du ministère coordonnateur. Au niveau de chaque PIV, l'opérateur peut désigner un délégué local à la défense et à la sécurité (DLDS), interlocuteur privilégié de la préfecture de département ;

- à la protection des informations et supports classifiés (statut d'OIV ; liste des PIV ; documents de planification de sécurité).

Depuis 2013, le code de la défense impose également aux OIV des obligations similaires en termes de cybersécurité, notamment pour leurs « systèmes d'information d'importance vitale » (SIIV).

En contrepartie, l'Etat veille à la bonne application du dispositif, mais surtout accompagne et soutient les opérateurs d'importance vitale, à travers notamment :

- l'approbation des documents de planification de sécurité rédigés par l'opérateur ;

- les visites et inspections des PIV par les zones de défense et de sécurité (sauf pour les opérateurs du secteur des activités militaires de l'Etat) ;

- la possibilité pour l'Etat d'imposer des mesures administratives et des sanctions pénales à l'encontre des OIV qui ne respecteraient pas leurs obligations de protection physique ou cyber ;

- l'évaluation des risques et menaces (directives nationales de sécurité, postures Vigipirate) ;

- la planification par l'autorité préfectorale des mesures de vigilance, de protection et de réaction mises en oeuvre par la force publique en cas d'attaque sur un PIV (planification des moyens et modalités d'intervention, à travers un plan de protection externe, pouvant faire l'objet d'exercices) ;

- un rôle de conseil des OIV dans l'organisation de leur politique de sécurité et de continuité d'activité (ministère coordonnateur), leur cybersécurité (ANSSI) ou la sécurité de leur(s) PIV (zones de défense et de sécurité, préfecture de département) ;

- la transmission à l'opérateur qui en fait la demande d'un avis sur la compatibilité du comportement d'une personne souhaitant accéder à un PIV (enquêtes administratives de sécurité) ;

- l'encadrement d'une formation complémentaire pour les agents privés de sécurité exerçant dans des sites sensibles.

Une politique impliquant l'Etat à tous les niveaux

Les acteurs de ce dispositif sont, au niveau central :

- le secrétariat de la défense et de la sécurité nationale (SGDSN) par délégation du Premier ministre : pilotage du dispositif, suivi et évolution règlementaire, coordination interministérielle. L'ANSSI supervise directement le volet cyber ;

- les ministères coordonnateurs à travers les services des hauts fonctionnaires de défense et de sécurité (SHFDS) : supervision de l'ensemble des opérateurs d'importance vitale de leur(s) secteur(s) d'activité ;

- le ministère de l'intérieur et des Outre-mer : responsable de l'application territoriale du dispositif ; l'autorité militaire assure un suivi à part des opérateurs du secteur des activités militaires de l'Etat ;

- les 300 opérateurs d'importance vitale (OIV) et en particulier leurs délégués à la défense et à la sécurité (directeurs sûreté, officiers de sécurité, etc.).

Le SGDSN préside la commission interministérielle de défense et de sécurité (CIDS) des secteurs d'activité d'importance vitale. Réunie deux fois par an, cette commission acte le suivi et l'évolution du dispositif (désignation de nouveaux OIV/PIV, approbation des PSO) et traite de tout sujet d'intérêt pour la SAIV.

Les acteurs de ce dispositif sont, au niveau territorial :

- les préfets de département (notamment leurs services interministériels de défense et de protection civile) : supervision de l'application des mesures de sécurité prévues dans les plans particuliers de protection des PIV civils ; planification des moyens et des modalités d'intervention de l'Etat (forces de sécurité intérieure, moyens de la sécurité civile, et le cas échéant forces armées) à travers les plans de protection externe ;

- les préfets de zones de défense et de sécurité : coordination, assistance et contrôle de la mise en oeuvre du dispositif pour l'ensemble des PIV de la zone (notamment pour les visites et contrôles des PIV civils) ;

- les 1500 points d'importance vitale (PIV) et en particulier leurs délégués locaux à la défense et à la sécurité.

Les préfets de zones président les commissions zonales de défense et de sécurité (CZDS) des secteurs d'activités d'importance vitale.

La directive européenne sur la résilience des entités critiques

La publication de la directive (UE) 2022/2557 du Parlement européen et du Conseil sur la résilience des entités critiques (REC), adoptée le 14 décembre 2022, constitue l'aboutissement d'une réflexion européenne sur la protection des infrastructures critiques, initiée en 2008 avec une première directive limitée aux secteurs des transports et de l'énergie.

La directive (UE) 2022/2557 a été négociée sous présidence française de l'UE, par la Représentation française près l'Union européenne (RPUE) avec l'appui du SGDSN. Les travaux nationaux ont notamment veillé à ce qu'elle soit conforme avec la vision française.

Elle doit être transposée dans notre droit national d'ici le 17 octobre 2024.

Objectifs de la directive

Cette directive vise à améliorer la fourniture, dans le marché intérieur, de services essentiels au maintien de fonctions sociétales ou d'activités économiques vitales en renforçant la résilience des opérateurs (appelés entités) critiques qui fournissent de tels services.

La directive REC remplace et refond en profondeur la directive de 2008 :

- elle prévoit le passage d'une logique de protection physique d'infrastructures à une logique de résilience et de continuité d'activité ;

- elle vise les « entités critiques » nationales (c'est-à-dire. les opérateurs), et non plus seulement les infrastructures critiques européennes (c'est-à-dire celles dont l'arrêt ou la destruction aurait un impact sur au moins deux États membres) ;

- elle s'inscrit dans une politique de résilience globale et cohérente puisque les entités critiques seront également soumises aux obligations de cyber-résilience prévues par la directive NIS 2 ;

- elle élargit le nombre de secteurs concernés. Le champ d'application couvre désormais 11 secteurs, qui correspondent presque parfaitement aux secteurs actuels de la SAIV : énergie, transports, infrastructures bancaires, infrastructures de marché financier, santé, eau potable, assainissement, infrastructures digitales, administration publique (niveau central), espace, alimentation.

La directive permet d'offrir un socle minimal commun de résilience à tous les opérateurs de l'UE. Ces derniers ne sont aujourd'hui pas tous couverts par un dispositif comparable à celui mis en oeuvre en France, ce qui rétablira une forme de concurrence loyale à l'échelle européenne.

La transposition de la directive européenne REC consolide le dispositif existant de sécurité des activités d'importance vitale (SAIV)

Pour éviter de créer un nouveau dispositif, la transposition repose sur une révision du dispositif national de sécurité des activités d'importance vitale défini dans le code de la défense (L. 1332-1 et suivants) et non sur une refonte de ses principes fondateurs ou la création d'un dispositif inédit. Cette politique publique a prouvé son efficacité et fait l'objet d'une déclinaison sur l'ensemble du territoire national.

Cette réforme normative et doctrinale constitue ainsi l'opportunité de moderniser notre dispositif national : rationalisation de la classification du dispositif (statut d'OIV, plan de continuité d'activité), simplification des documents de planification requis, ou encore renforcement des modalités de supervision, dans une logique de cohérence et d'efficacité.

La transposition s'inscrit dans une politique de résilience globale et cohérente. Les entités critiques seront également soumises aux obligations prévues par :

- la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (NIS 2 - négociée en parallèle de la directive REC) ;

- la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier (DORA).

C'est dans ce contexte qu'il a été décidé de construire un projet de loi commun « Résilience » pour la transposition de ces trois textes et pour prendre certaines dispositions pertinentes dans leurs champs respectifs.

Pour les autorités administratives compétentes, le renforcement du suivi du dispositif est nécessaire

Le vocabulaire national est conservé, de même que la logique d'identification des sites les plus sensibles (points d'importance vitale) ainsi que la planification associée, qui intégrera désormais les enjeux de résilience.

Le suivi effectué par le SGDSN, les ministères coordonnateurs, les zones de défense et de sécurité et les préfets de département est maintenu et pourra être renforcé.

En effet, la directive impose la révision des documents de planification (évaluation des risques, plan de résilience des opérateurs) tous les 4 ans. Cela demandera un suivi continu des services au niveau national et à l'échelle territoriale afin de renforcer la résilience de la Nation.

Pour les opérateurs d'importance vitale, une part importante des exigences de la directive sont déjà mises en oeuvre à travers le dispositif actuel

Les entités concernées par la révision du dispositif SAIV sont les opérateurs qui étaient déjà désignés dans le dispositif existant, que ce soit au titre de l'activité d'importance vitale qu'ils opèrent ou du danger grave pour la population qu'ils pourraient causer en cas d'incident.

De nouveaux opérateurs d'importance vitale pourraient néanmoins être désignés au titre de leurs activités, considérées comme d'importance vitale par l'Etat si celles-ci devaient évoluer ou émerger, en particulier dans les secteurs de l'assainissement, de l'hydrogène, ainsi que les réseaux de chaleur et de froid, nouvellement identifiés par la directive REC.

Le nombre d'opérateurs d'importance vitale (environ 300 à ce jour) n'a donc pas vocation à augmenter significativement.

Concrètement, la mise en oeuvre de la directive devrait se traduire par :

- une mise à jour de la planification, en conservant son architecture actuelle et en renforçant la composante « continuité d'activité » (déjà prévue dans le dispositif actuel au titre du L. 2151-1 du code de la défense) ;

- une meilleure prise en compte des interdépendances entre les secteurs (notamment infrastructures de réseaux), y compris entre Etats membres avec l'identification par les opérateurs de leurs interdépendances et de leurs chaînes d'approvisionnement ;

- une obligation de notification des incidents majeurs (suivant le principe qui existe déjà en matière cyber, avec des modalités d'application spécifiques) ;

- une évolution et un renforcement du dispositif d'enquêtes administratives de sécurité : extension aux demandes d'accès à distance et aux fonctions sensibles, consultation des casiers judiciaires des ressortissants des autres Etats membres de l'UE ;

- une révision du dispositif de sanctions pour les opérateurs qui ne respecteraient pas leurs obligations : substitution d'un régime de sanctions administratives au régime des sanctions pénales existant. L'objectif est de s'aligner sur les dispositions prévues dans la directive NIS 2.

La création d'un nouveau statut, celui d'« entité critique d'importance européenne particulière » (ECIEP) pour les opérateurs fournissant un/des services essentiels à au moins 6 Etats membres de l'UE, porte des enjeux particuliers : obligation de notification à la Commission et de partage d'information avec les Etats membres concernés. Néanmoins, il convient de souligner que la directive REC a été négociée (et le SGDSN a été particulièrement vigilant sur ce point) dans l'objectif de respecter les prérogatives nationales et les enjeux de souveraineté, de sécurité, de protection du secret afférent à la protection des infrastructures critiques, de sorte que :

- l'identité des entités critiques nationales ne sera pas communiquée à la Commission ;

- l'Etat membre reste le seul interlocuteur des opérateurs ;

- seules les données agrégées seront transmises à la Commission.

L'essentiel des obligations s'appliqueront à l'ensemble des secteurs d'activité d'importance vitale, y compris ceux ne figurant pas dans le champ d'application de la directive REC, afin d'aligner vers le haut le niveau d'exigence imposé aux opérateurs, en particulier pour les opérateurs relevant des secteurs régaliens.

Les mesures de résilience prévues pourraient engendrer des coûts supplémentaires pour un opérateur. Si la logique de protection physique était déjà prise en compte, la systématisation de la prise en compte de la continuité d'activité ne sera en effet pas neutre, bien qu'elle soit déjà prévue par le code de la défense.

Pour autant, l'identification et la mise en oeuvre de mesures préventives et réactives garantissant la résilience de l'opérateur lui permettront de maintenir son activité dans un contexte dégradé et contribuent à prévenir des coûts potentiellement bien supérieurs en cas de disruption de son activité. En outre, la résilience accrue de l'ensemble des opérateurs est également de nature à prévenir l'apparition de coûts en cas de disruption de l'activité d'un fournisseur pour les mêmes motifs.

Enfin, dans l'objectif d'offrir aux entités tous les moyens pour qu'ils puissent effectivement mettre en oeuvre des mesures de protection adaptées de leurs sites, le choix a été fait d'autoriser les opérateurs publics à déroger, dans certains cas précis, aux règles de la commande publique.

Pour les collectivités territoriales, l'objectif est une meilleure cohérence du dispositif

Les collectivités concernées par la directive REC sont celles qui sont déjà désignées OIV car assurant des « activités d'importance vitale » - ou services essentiels au sens de la directive REC lorsque l'activité est dans le champ d'application de la directive - dans les secteurs qui relèvent de leur compétence : par exemple pour les secteurs de la gestion de l'eau, des transports et de l'énergie.

Dans le cas d'une délégation de service public pour des activités d'importance vitale, le présent projet de loi prévoit l'information de la collectivité territoriale du statut d'opérateur d'importance vitale de son délégataire.

De nouvelles collectivités territoriales, dans un nombre limité, pourraient être désignées au titre de leurs compétences dans les secteurs de l'assainissement, de l'hydrogène, ainsi que les réseaux de chaleur et de froid.

2. TRANSPOSITION DE LA DIRECTIVE NIS 2 (NETWORK AND INFORMATION SECURITY) POUR AMÉLIORER LA SÉCURITÉ DES SYSTÈMES D'INFORMATION DES ENTREPRISES ET DES ADMINISTRATIONS.

Le titre II, Cybersécurité, a principalement pour objet de transposer la directive (UE) 2022/2555 (dite directive NIS 2) du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148.

Elle remplace la directive (UE) 2016/1148 du Parlement Européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (dite directive NIS1), laquelle a été transposée en France par la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité. Afin de garantir la résilience des « activités essentielles pour l'économie et la société de l'Union européenne », la directive NIS1 avait établi les bases d'une cybersécurité renforcée sur un ensemble de secteurs d'activité sur le territoire de l'Union européenne. Depuis 2016, la menace cyber a fortement évolué, devenant systémique. Alors que les cyber-attaquants se concentraient jusqu'à il y a quelques années sur les acteurs et opérateurs stratégiques, ils ciblent désormais l'ensemble du tissu social et économique. Au-delà de la menace stratégique (étatique) qui perdure, les cybercriminels sont entrés dans une logique de vastes campagnes d'attaques qui affectent un nombre beaucoup plus élevé de victimes (PME, collectivités territoriales, hôpitaux, etc.), avec parfois des conséquences extrêmement dommageables pour nos concitoyens.

Ainsi, la France a porté au niveau européen, pendant sa présidence du Conseil de l'Union européenne, la négociation d'une réglementation ambitieuse, la directive NIS 2. Elle détermine des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union européenne pour certaines entités qualifiées comme essentielles ou importantes, en raison des services qu'elles fournissent et de leur taille.

Un « passage à l'échelle » pour répondre à la massification de la menace cyber

La directive NIS 2 directive élargit considérablement le périmètre des acteurs et secteurs régulés par NIS1. En France, cela se traduit par une augmentation du nombre d'entités régulées de 500 à 15 000 entités environ, et une augmentation du nombre de secteurs régulés de 6 à 18 secteurs^1(*). Le périmètre retenu dans le projet de loi français cible précisément les secteurs et les types d'entités ayant le plus grand impact potentiel sur l'économie et la société françaises.

La directive élargit également le périmètre des systèmes d'information à sécuriser. Alors que NIS1 prévoyait une identification des systèmes d'information essentiels sur lesquels les obligations de la directive porteraient, la directive NIS 2 s'applique par défaut à l'ensemble des systèmes d'information de l'entité. Des mécanismes d'exemption de certains systèmes d'information seront toutefois permis si ces derniers n'affectent pas la réalisation des activités ou la fourniture des services de l'entité.

Simplification, harmonisation et proportionnalité des règles

La directive européenne NIS 2 consacre le principe de proportionnalité en prévoyant deux niveaux d'entités régulées, classées selon leur degré de criticité, leur taille et leur chiffre d'affaires (pour les entreprises) : les entités essentielles et les entités importantes. Cette distinction permet d'adapter le niveau d'exigence.

- Les entités importantes, qui représentent la plus grande proportion des acteurs concernés par le projet de loi, se verront imposer des exigences de sécurité de base (de l'ordre de « l'hygiène numérique »), qui doivent les aider à prendre conscience de l'enjeu cyber et de l'impact particulièrement dommageable que les cyberattaques pourraient avoir sur leurs activités. Le niveau d'exigence requis vis-à-vis de ces entités a été conçu pour diminuer leur probabilité d'être atteintes par un rançongiciel courant, sans nécessiter des investissements disproportionnés. Une certaine latitude leur sera laissée pour mettre en oeuvre les recommandations de sécurité les plus adaptées à leur connaissance des impacts potentiels d'une attaque, à leur environnement éventuellement spécifique, ainsi qu'à leurs moyens.

- Les entités essentielles sont des structures déjà sensibilisées ou confrontées à la menace cyber. Elles seront en partie des opérateurs déjà régulés, et donc déjà soumises depuis des années à la réglementation NIS et/ou au dispositif de sécurité des activités d'importance vitale (SAIV). Celles qui ne sont pas déjà régulées sont pour la plupart des entités dont les critères de taille et de chiffre d'affaires (hors entités de l'administration) les situent dans une catégorie pour laquelle la dépendance aux infrastructures numériques ne fait pas de doute. Ceci suppose que la compétence et les moyens relatifs à la cybersécurité fassent déjà partie de leur gestion stratégique des risques.

Le modèle de référentiel d'exigences s'appuie sur des « objectifs de sécurité » pour répondre à la menace cyber contre laquelle la directive européenne entend protéger les entités. La façon d'atteindre ces objectifs pourra être adaptée aux risques, aux enjeux et aux spécificités d'un secteur d'activité ou d'une entité. Elle sera affinée au regard des retours des consultations en cours. Ces objectifs sont organisés autour de quatre axes :

- les entités devront se doter d'une gouvernance par la conformité et les risques visant à s'assurer que le risque numérique est pris en compte au plus haut niveau de l'entité, comme peut l'être le risque juridique et financier par ailleurs ;

- les entités devront mettre en place des mesures de protection de leurs systèmes d'information afin de limiter l'occurrence d'un incident de sécurité ;

- les entités devront se doter de capacités de défense de leurs systèmes d'information afin de pouvoir réagir rapidement en cas de survenance d'un incident de sécurité pour en limiter les impacts ;

- les entités devront se doter de capacités de résilience afin de limiter les impacts liés à la survenance d'un incident de sécurité et de pouvoir revenir rapidement à une situation normale ;

- la directive NIS 2 renforce le régime de sanction qui s'appliquera aux entités régulées. Le mécanisme prévu pourra, selon les infractions, se fonder sur un pourcentage du chiffre d'affaires mondial de l'entité concernée, à l'image de ce qui est prévu dans le Règlement général sur la protection des données (RGPD) : 2 % pour les entités essentielles et 1,4 % pour les entités importantes.

Le régime de sanction établi par ce projet de loi vise avant tout un objectif dissuasif, en permettant de matérialiser le coût invisible des attaques - bien supérieur généralement aux seules sanctions - et d'aider les acteurs à prendre les bonnes décisions d'investissement.

De l'importance d'intégrer les collectivités territoriales dans cette réglementation

Les attaques informatiques affectant les collectivités territoriales sont nombreuses. De janvier 2022 à juin 2023, l'ANSSI a traité 187 incidents les concernant. Ces incidents représentent 17 % de l'ensemble des incidents traités par l'agence sur la période.

Les conséquences d'attaques informatiques peuvent être majeures à l'échelle d'une collectivité territoriale, et affecter de multiples champs de compétences et de nombreux citoyens.

Alors que l'imposition de règles aux collectivités territoriales est laissée au libre choix des Etats membres dans la directive NIS 2, la France, qui a porté cette nécessité lors des négociations européennes, a fait le choix de les intégrer dans ces nouvelles exigences, au regard de la multiplication des attaques affectant les services publics locaux et leur faible sécurisation. L'objectif est d'adopter une approche proportionnée, adaptée aux moyens et à la maturité des acteurs.

1489 entités, collectivités territoriales et groupements de collectivités territoriales (661), ainsi que certains organismes sous leur tutelle devraient être concernés au titre des entités essentielles :

- les régions métropolitaines ainsi que les régions et les « pays et territoires d'outre-mer » (22 entités) ;

- les départements métropolitains et d'outre-mer (97 entités) ;

- les métropoles, communautés urbaines et communautés d'agglomérations métropolitaines et d'outre-mer (263 entités) ;

- les communes de plus de 30 000 habitants métropolitaines et d'outre-mer (279 entités) ;

- les centres de gestion (104 entités) ;

- les services départementaux d'incendie et de secours ;

- les syndicats dont les activités s'inscrivent dans un des secteurs d'activité hautement critiques ou critiques et dont la population bénéficiaire est supérieure à 30 000 habitants.

Les 992 communautés de communes métropolitaines et d'outre-mer seront quant à elles concernées au titre des entités importantes.

La très grande majorité des communes (99% ont moins de 30 000 habitants) ne sont donc concernées que par leur intercommunalité de rattachement.

1. TRANSPOSITION DE LA DIRECTIVE DORA (DIGITAL OPERATIONAL RESILIENCE ACT) EN VUE D'AMÉLIORER LA RÉSILIENCE DU SYSTÈME BANCAIRE ET FINANCIER

Au cours des dernières décennies, l'utilisation des TIC est devenue centrale dans la fourniture de services financiers, au point qu'elles ont désormais acquis une importance cruciale dans l'exécution des fonctions quotidiennes typiques de toutes les entités financières. La numérisation couvre maintenant, par exemple, les paiements, qui ont évolué progressivement de méthodes reposant sur les espèces et le papier vers l'utilisation de solutions numériques, ainsi que la compensation et le règlement des opérations sur titres, le trading électronique et algorithmique, les opérations de prêt et de financement, le financement entre pairs, la notation de crédit, la gestion de créances et les opérations de post-marché. Le secteur des assurances a également été transformé par l'utilisation des TIC avec l'apparition des intermédiaires d'assurance offrant des services en ligne et fonctionnant avec les technologies du domaine de l'assurance ou la souscription d'assurance. L'ensemble du secteur financier a non seulement opéré une transition vers le numérique à grande échelle, mais la numérisation a également renforcé les interconnexions et les relations de dépendance au sein du secteur financier et avec les prestataires tiers d'infrastructures et de services.

L'Union doit traiter de manière adéquate et globale les risques numériques auxquels sont exposées toutes les entités financières et qui découlent d'un recours accru aux technologies de l'information et de la communication (TIC) dans le cadre de la fourniture et de la consommation de services financiers, ce qui contribuera à exploiter le potentiel que recèle la finance numérique en matière de stimulation de l'innovation et de promotion de la concurrence dans un environnement numérique sûr.

Ces dernières années, le risque lié aux TIC a attiré l'attention des décideurs politiques, des régulateurs et des organismes de normalisation internationaux, nationaux et de l'Union, dans un effort visant à renforcer la résilience numérique, à définir des normes et à coordonner le travail de réglementation ou de surveillance. Au niveau international, le Comité de Bâle sur le contrôle bancaire, le Comité sur les paiements et les infrastructures de marché, le Conseil de stabilité financière, l'Institut pour la stabilité financière, ainsi que le G7 et le G20 s'efforcent de fournir aux autorités compétentes et aux opérateurs de marché des diverses juridictions des outils leur permettant de renforcer la résilience de leurs systèmes financiers. Ces travaux ont également été motivés par la nécessité de tenir dûment compte du risque lié aux TIC dans le contexte d'un système financier mondial fortement interconnecté et de veiller à une plus grande cohérence des bonnes pratiques pertinentes.

Au niveau de l'Union, les exigences liées à la gestion du risque lié aux TIC auquel est exposé le secteur financier sont actuellement prévues par les directives 2009/65/CE(4), 2009/138/CE(5), 2011/61/UE(6), 2013/36/UE(7), 2014/59/UE(8), 2014/65/UE(9), (UE) 2015/2366(10)et (UE) 2016/2341(11) du Parlement européen et du Conseil précédemment transposées en droit national.

Ces exigences sont diverses et parfois incomplètes. Dans certains cas, le risque lié aux TIC n'est abordé qu'implicitement dans le cadre du risque opérationnel et, dans d'autres cas, il n'est tout simplement pas abordé. Il est remédié à ces problèmes par l'adoption du règlement DORA (UE) 2022/2554 du Parlement européen et du Conseil entré en vigueur le 16 janvier 2023 et qui s'appliquera à partir du 17 janvier 2025. Il y a donc lieu de modifier ces directives afin d'assurer la cohérence avec ledit règlement. La directive accompagnant le règlement DORA prévoit donc une série de modifications visant à garantir la clarté et la cohérence juridiques concernant l'application, par les entités financières agréées et soumises à une surveillance conformément auxdites directives, des diverses exigences en matière de résilience opérationnelle numérique nécessaires à l'exercice de leurs activités et à la prestation de services, assurant ainsi le bon fonctionnement du marché intérieur. Il est nécessaire de veiller à ce que ces exigences soient en adéquation avec les évolutions du marché, tout en encourageant la proportionnalité au regard notamment de la taille des entités financières et des régimes spécifiques auxquels elles sont soumises, en vue de réduire les coûts de mise en conformité.

Pour assurer une mise en oeuvre cohérente du nouveau cadre en matière de résilience opérationnelle numérique du secteur financier, La France, ainsi que les autres États membres, doivent appliquer les disposition en droit national transposant la directive accompagnant le règlement DORA (Directive (UE) 2022/2556 du Parlement Européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.)

La transposition de la directive accompagnant DORA entraîne donc des modifications d'ordre technique au niveau national :

- du code monétaire et financier (article L. 314-1 ; article L. 420-3 ; article L. 421-11 ; article L. 511-41-1-B ; article L. 511-55 ; article L. 521-9 ; article L. 521-10 ; article L. 533-2 ; article L. 533-10 ; article L. 533-10-4 ; article L. 612-24 ; L. 613-38 ; article L. 631-1 ; articles L. 712-7, L. 761-1, L. 771-1, L. 781-1, L. 752-10, L. 753-10, L. 754-8, L. 762-3, L. 763-3, L. 764-3, L. 762-4, L. 763-4, L. 764-4, L. 773-5, L. 774-5, L. 775-5, L. 773-6, L. 774-6, L. 775-6, L. 773-21, L. 774-21, L. 775-15, L. 773-30, L. 774-30, L. 775-24, L. 783-2, L. 784-2, L. 785-2, L. 783-4, L. 784-4 et L. 785-3, L. 783-13, L. 784-13 et L. 785-12) ;

- du code de la mutualité (article L. 211-12 ; article L. 212-1) ;

- du code des assurances (article L. 354-1 ; article L. 356-18)

- et du code de la sécurité sociale (article L. 931-7).

Ces modifications techniques visent principalement à introduire des références croisées spécifiques au règlement DORA. L'objectif est de garantir une prise en compte adéquate du risque lié à l'utilisation des TIC dans le secteur financier et d'assurer ainsi une cohérence avec le règlement DORA.

Pour assurer une mise en oeuvre cohérente du nouveau cadre en matière de résilience opérationnelle numérique du secteur financier, la France et les États membres doivent appliquer les dispositions de droit national transposant la directive accompagnant le règlement DORA avant le 17 janvier 2025, date d'application de ce dernier.

TABLEAU SYNOPTIQUE DES CONSULTATIONS

TABLEAU SYNOPTIQUE DES MESURES D'APPLICATION

TABLEAU D'INDICATEURS

TITRE I^ER - RÉSILIENCE DES ACTIVITÉS D'IMPORTANCE VITALE

CHAPITRE I^ER - MODIFICATIONS DU CODE DE LA DÉFENSE

Article 1^er - Modifications des articles (articles L. 1332-1 à L. 1332-22 du code de la défense)

Le premier article du projet de loi a pour objectif de modifier l'actuel chapitre II du titre III du Livre III de la partie 1 du code de la défense portant sur la protection des installations d'importance vitale (L. 1332-1 à L. 1332-7). Ce chapitre devant s'intituler « Résilience des activités d'importance vitale » sera composé de trois sections et comportera 22 articles.

Article 1^er (A) - Article L. 1332-1 du code de la défense - Définitions

1. ETAT DES LIEUX

En France, le dispositif national de sécurité des activités d'importance vitale (SAIV) a été créé en 2006 sur les bases de l'ancien dispositif de protection des points et réseaux sensibles datant de l'ordonnance n° 58-1371 du 29 décembre 1958 tendant à renforcer la protection des installations d'importance vitale. Cette première réforme visait notamment une simplification et une rationalisation du processus, en passant de trois niveaux de sensibilité des sites à un régime unique, et en concentrant l'effort sur un nombre resserré d'établissements (passage d'environ 4000 à 1500 points d'importance vitale).

Cette politique publique a été conçue dans un contexte de menace terroriste croissante, à la suite, notamment, des attentats de Madrid (2004) et de Londres (2005).

L'actuel dispositif de sécurité des activités d'importance vitale vise à assurer la protection physique et cyber d'opérateurs (publics ou privés) identifiés comme indispensables pour la continuité d'activité de la Nation, ou, de manière plus marginale, pouvant présenter un danger grave pour la population.

Ce dispositif est inscrit dans le code de la défense (articles L. 1332-1 à L. 1332-7) et compte aujourd'hui plus de 300 opérateurs, désignés d'importance vitale par l'Etat, dans 12 secteurs d'activité. Chaque secteur est supervisé par un ministère coordonnateur.

Actuellement, les articles L. 1332-1 et L. 1332-2 du code de la défense définissent une activité d'importance vitale, bien que la notion n'apparaisse pas en tant que telle :

Article L. 1332-1 : « Les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, sont tenues de coopérer à leurs frais dans les conditions définies au présent chapitre, à la protection desdits établissements, installations et ouvrages contre toute menace, notamment à caractère terroriste. Ces établissements, installations ou ouvrages sont désignés par l'autorité administrative. »

Article L. 1332-2 : « Les obligations prescrites par le présent chapitre peuvent être étendues à des établissements mentionnés à l'article L. 511-1 du code de l'environnement ou comprenant une installation nucléaire de base visée à l'article L. 593-1 du code de l'environnement quand la destruction ou l'avarie de certaines installations de ces établissements peut présenter un danger grave pour la population. Ces établissements sont désignés par l'autorité administrative. »

L'article R. 1332-4, par renvoi au R. 1332-1, définit les points d'importance vitale comme les « établissements ou ouvrages, une ou des installations dont le dommage ou l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait, directement ou indirectement,

a) D'obérer gravement le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ;

b) Ou de mettre gravement en cause la santé ou la vie de la population. ».

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que : « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^2(*). Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne^3(*).

Le dispositif de la SAIV institué en France à partir de 2006 était spécifique à la France et s'inscrivait dans le cadre constitutionnel ordinaire.

Par ailleurs, les définitions participent de l'intelligibilité et de l'accessibilité de la lois, objectifs à valeur constitutionnels qui découlent des articles 4, 5, 6 et 16 de la Déclaration des droits de l'Homme et du Citoyen de 1789^4(*).

Au niveau européen, avant l'adoption de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC), le seul cadre conventionnel applicable était la directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l'évaluation de la nécessité d'améliorer leur protection, limitée aux secteurs des transports et de l'énergie.

La directive REC du 14 décembre 2022 doit être transposée dans notre droit national d'ici le 17 octobre 2024. Elle vise à améliorer la fourniture, dans le marché intérieur, de services essentiels au maintien de fonctions sociétales ou d'activités économiques vitales en renforçant la résilience des opérateurs (appelés entités) critiques qui fournissent de tels services.

La directive REC remplace et refond en profondeur la directive de 2008 :

- elle prévoit le passage d'une logique de protection physique d'infrastructures à une logique de résilience et de continuité d'activité ;

- elle vise les « entités critiques » nationales (c'est-à-dire les opérateurs), et non plus seulement les infrastructures critiques européennes (c'est-à-dire celles dont l'arrêt ou la destruction aurait un impact sur au moins deux États membres) ;

- elle s'inscrit dans une politique de résilience globale et cohérente puisque les entités critiques seront également soumises aux obligations de cyber-résilience prévues par la directive NIS 2 ;

- elle élargit le nombre de secteurs concernés. Le champ d'application couvre désormais 11 secteurs, qui correspondent presque parfaitement aux secteurs actuels de la SAIV : énergie, transports, infrastructures bancaires, infrastructures de marché financier, santé, eau potable, assainissement, infrastructures digitales, administration publique (niveau central), espace, alimentation.

La directive permet d'offrir un socle minimal commun de résilience à tous les opérateurs de l'UE. Ces derniers ne sont aujourd'hui pas tous couverts par un dispositif comparable à celui mis en oeuvre en France, ce qui rétablira une forme de concurrence loyale à l'échelle européenne.

L'article 2 de la directive REC établit les définitions suivantes :

« 1) « entité critique », une entité publique ou privée qui a été désignée par un État membre conformément à l'article 6 comme appartenant à l'une des catégories qui figurent dans la troisième colonne du tableau de l'annexe;

2) « résilience », la capacité d'une entité critique à prévenir tout incident, à s'en protéger, à y réagir, à y résister, à l'atténuer, à l'absorber, à s'y adapter et à s'en rétablir;

3) « incident », un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d'un service essentiel, y compris lorsqu'il affecte les systèmes nationaux qui préservent l'état de droit ;

4) « infrastructure critique », un bien, une installation, un équipement, un réseau ou un système, ou une partie d'un bien, d'une installation, d'un équipement, d'un réseau ou d'un système, qui est nécessaire à la fourniture d'un service essentiel ;

5) « service essentiel », un service qui est crucial pour le maintien de fonctions sociétales ou d'activités économiques vitales, de la santé publique et de la sûreté publique, ou de l'environnement ;

6) « risque », le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l'ampleur de cette perte ou de cette perturbation et la probabilité que l'incident se produise;

7) « évaluation des risques », l'ensemble du processus permettant de déterminer la nature et l'étendue d'un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d'un service essentiel causée par cet incident ;

8) « norme », une norme au sens de l'article 2, point 1), du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil (30) ;

9) « spécification technique », une spécification technique au sens de l'article 2, point 4), du règlement (UE) n° 1025/2012 ;

10) « entité de l'administration publique », une entité reconnue comme telle dans un État membre conformément au droit national, à l'exclusion de l'organisation judiciaire, des parlements et des banques centrales, qui satisfait aux critères suivants :

a) elle a été créée pour satisfaire des besoins d'intérêt général et n'a pas de caractère industriel ou commercial ;

b) elle est dotée de la personnalité juridique ou est juridiquement habilitée à agir pour le compte d'une autre entité dotée de la personnalité juridique ;

c) elle est financée majoritairement par les autorités de l'État ou d'autres organismes de droit public de niveau central, ou sa gestion est soumise à un contrôle de la part de ces autorités ou organismes, ou son organe d'administration, de direction ou de surveillance est composé, pour plus de la moitié, de membres désignés par les autorités de l'État ou d'autres organismes de droit public de niveau central ;

d) elle a le pouvoir d'adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de mouvements transfrontières des personnes, des biens, des services ou des capitaux. »

Les autres Etats membres de l'Union européenne feront évoluer leur législation et adopteront des définitions similaires ou conformes à celles de la directive REC. A titre d'exemple, le Luxembourg a reproduit à l'identique les définitions mentionnées dans la directive REC^5(*).

Les Etats-Unis ont été précurseurs dans l'élaboration des notions d'activité d'importance vitale et d'infrastructure critique. Ce mouvement de conceptualisation fait notamment suite aux attentats du 11 septembre 2001 au World Trade Center à New-York.

Le droit américain, notamment dans le Patriot Act, définit les infrastructures critiques comme « les systèmes et les biens, physiques ou virtuels, qui sont si vitaux pour les États-Unis que l'incapacité ou la destruction de tels systèmes ou biens aurait un effet incapacitant sur la sécurité économique nationale, la santé publique nationale ou la sûreté, ou toute combinaison de ces questions ». 

Les autorités canadiennes mettent l'accent sur l'impact potentiel sur la population nationale de la dégradation ou de l'absence de certaines activités essentielles. Les « infrastructures essentielles » sont définies comme étant « les installations matérielles et informatiques, les réseaux, les services et les biens matériels dont la perturbation ou la destruction aurait de sérieuses conséquences pour la santé, la sécurité ou le bien-être économique des Canadiens et des Canadiennes, ou pour le fonctionnement efficace des gouvernements au Canada ». 

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Afin de mettre en conformité le droit national et le droit européen, tel qu'il résulte de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, il est nécessaire de modifier les définitions actuellement applicables. Les dispositions envisagées visent à articuler les définitions nationales de la SAIV (activité d'importance vitale, infrastructure critique, point d'importance vitale (PIV) et système d'information d'importance vitale (SIIV)) avec la définition de l'infrastructure critique fixée dans la directive REC. En effet, l'actuelle définition de la SAIV n'était pas assez complète (centrée sur la défense et la sécurité nationale, alors que la notion européenne de service essentiel est centrée sur la continuité économique (du marché intérieur)) et devait être simplifiée.

La nécessité d'inscrire dans la loi ces définitions résulte de l'application de l'article 34 de la Constitution, dès lors qu'elle peut être regardée comme déterminant un principe fondamental d'organisation de la défense nationale et que ces mentions concernent le champ d'application des obligations prévues par la directive dont la méconnaissance pourrait donner lieu à des sanctions administratives.

C'est également une exigence de clarté et d'accessibilité qui commande cette inscription.

Il s'agit à la fois de simplifier les définitions actuelles et de les mettre en cohérence avec le nouveau lexique prévu par la directive, en précisant la définition des activités d'importance vitale ainsi qu'en insérant dans le droit national les notions d'infrastructure critique, issue de la directive, et d'y inclure les points d'importance vitale et les systèmes d'information d'importance vitale.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Le Gouvernement a envisagé de reprendre directement les notions issues de la directive et de les substituer aux définitions actuelles. Toutefois, lors des travaux d'élaboration du projet de loi, cette option a été écartée pour pouvoir continuer à distinguer, parmi les infrastructures critiques, les points véritablement les plus sensibles.

Il a donc été privilégier de s'adosser sur le dispositif existant qui fonctionne et qui est connu des opérateurs.

Les nouvelles dispositions envisagées conservent le vocabulaire national, de même que la logique d'identification de l'ensemble des sites les plus sensibles (points d'importance vitale) ainsi que la planification associée. En effet, la directive ne prévoit des plans qu'à l'échelle de l'opérateur lui-même (plan de résilience), lorsque le dispositif national existant repose également sur des plans détaillés relatifs à chaque point d'importance vitale. Cette logique de double niveau est conservée pour ne pas diminuer le niveau d'exigence appliqué à nos opérateurs les plus sensibles.

L'objectif est de simplifier et d'élargir la définition des activités d'importance vitale par rapport à la rédaction actuelle, en veillant à la cohérence d'ensemble avec la définition fixée dans la directive REC.

Concernant la définition d'infrastructure critique, la définition proposée au présent article entend l'infrastructure critique comme une catégorie générique englobant les points d'importance vitale (PIV) et les systèmes d'information d'importance vitale (SIIV).

D'un point de vue opérationnel, la volonté de conservation du vocable national a pour objectif de simplifier la transposition de la directive européenne pour l'ensemble des parties prenantes au dispositif.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

La présente mesure crée un nouvel article L. 1332-1 du code de la défense au sein au sein d'un Chapitre II renommé « Résilience des activités d'importance vitale » (et non plus « Protection des installations d'importance vitale »), avec une section 1 rebaptisée « Dispositions générales relatives aux activités d'importance vitale » (et non plus « Dispositions générales »).

Prise seule, cette disposition ne fixe aucune obligation mais permet de rendre intelligibles et accessibles des notions connues au regard des nouvelles exigences et formulations imposées par la directive.

L'intelligibilité et l'accessibilité de la loi sont bien des objectifs à valeur constitutionnels poursuivis par le législateur en conformité avec ces objectifs qui découlent des articles 4, 5, 6 et 16 de la Déclaration des droits de l'Homme et du Citoyen de 1789^6(*).

Le présent article entend mettre les définitions nationales relatives aux activités d'importance vitale en conformité avec les dispositions retenues dans la directive européenne REC.

Les mesures de résilience prévues pourront engendrer des coûts supplémentaires pour un opérateur. Si la logique de protection physique était déjà prise en compte, la systématisation de la prise en compte de la continuité d'activité ne sera en effet pas neutre. Ces coûts sont extrêmement difficiles à évaluer tant les opérateurs de la SAIV opèrent dans des secteurs diversifiés et à différentes échelles.

Néanmoins, le principe de résilience - au coeur de cette transposition - permettra in fine à l'opérateur et - au regard de certaines dépendances - à l'ensemble du tissu économique, de pouvoir maintenir son activité dans un contexte dégradé et vise à amortir les coûts imputables à la disruption de son activité. En effet, l'ensemble des activités d'importance vitale sont nécessaires à l'activité économique de la nation (transports, énergie, télécommunications...) voire à la société elle-même (alimentation, activités civiles et militaires de l'Etat...).

Sans objet.

Sans objet.

Les collectivités territoriales désignées opérateurs d'importance vitale devront, comme c'est déjà le cas dans le dispositif actuel, désigner des PIV et des SIIV.

Les services administratifs de l'Etat (préfectures, ministères coordonnateurs, SGDSN) sont chargés d'identifier et de désigner les opérateurs d'importance vitale.

Bien que la terminologie évolue, les nouvelles définitions européennes transposées en droit français reprennent l'essence des dispositions actuellement en vigueur. L'impact sur les services administratifs reste ainsi nominal.

Le renforcement des exigences en matière de résilience des activités d'importance vitale doit permettre de limiter les impacts d'une crise ou de problèmes majeurs d'un opérateur d'importance vitale sur le fonctionnement de la société.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Le dispositif conserve la catégorie spécifique des opérateurs industriels à haut-risque, notamment à des fins de protection de l'environnement. Certaines installations peuvent avoir des impacts (pollution de l'eau, de l'air, des sols, ...et présenter des dangers (incendie, explosion, etc.) pour l'environnement, la santé et la sécurité publique. Certains établissements classés ICPE peuvent donc être désignés OIV (voir schémas au 1.1.2 de ce chapitre).

L'objectif de ce dispositif est également, comme c'est le cas depuis 2013, de protéger les OIV face aux risques naturels (inondations, incendie, etc.)

5. CONSULTATIONS MENÉES ET MODALITÉS D'APPLICATION

Une concertation de l'ensemble des ministères coordonnateurs a été réalisée sur cette mesure.

En application de l'article L. 1212-2 du code général des collectivités territoriales, le présent article a été soumis à l'examen du Conseil national d'évaluation des normes qui a rendu un avis défavorable le 22 mai 2024.

Enfin, le service national des enquêtes administratives de sécurité, le coordinateur général de la sécurité nucléaire, le service juridique du Secrétariat général des affaires européennes et l'Agence nationale de sécurité des systèmes d'informations ont également été consultés.

Les présentes dispositions entrent en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française.

Le présent titre du présent projet de loi vise à créer 22 articles au sein du code de la défense, qui est applicable de plein droit sur l'ensemble du territoire de la République conformément à son article L. 1.

Aussi, les dispositions du code de la défense créées par le présent projet de loi seront applicables de plein droit à la fois dans les collectivités régies par le principe de l'identité législative (la Guadeloupe, la Guyane, la Martinique, La Réunion, Mayotte, Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon) et par le principe de la spécialité législative (les îles Wallis et Futuna, la Polynésie française, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises).

Les nouveaux articles L. 1332-2 et L. 1332-3 du code de la défense renvoient à des dispositions du code de l'environnement qui ne sont pas applicables à Saint-Barthélemy, dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les collectivités étant compétentes dans cette matière. Si l'article L. 6311-1 du code de la défense prévoit déjà une grille de lecture générale qui couvre toute la partie législative pour son application dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, il n'existe de grille similaire pour Saint-Barthélemy. Il est proposé de créer une grille sur le même modèle au sein d'un nouvel article L. 6221-2 du code de la défense, par l'article 3 du présent projet de loi.

Par ailleurs, en tant que PTOM, le droit de l'union européenne ne s'applique pas à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises. Les dispositions applicables aux seuls OIV exerçant des services essentiels au fonctionnement du marché intérieur de l'Union européenne ne seront donc pas applicables en l'absence d'adaptation.

Le présent article ne requiert aucun texte d'application.

Article 1^er (B) - Article L. 1332-2 du code de la défense - Désignation des OIV

1. ETAT DES LIEUX

Dans le cadre du dispositif actuel de sécurité des activités d'importance vitale (SAIV), les articles L. 1332-1 et L. 1332-2 ainsi que l'article R. 1332-3 du code de la défense précisent les dispositions relatives à la désignation des opérateurs d'importance vitale (OIV).

Aujourd'hui, le statut d'OIV repose sur deux conditions :

- l'activité de l'opérateur doit s'exercer pour tout ou partie dans un secteur d'activités d'importance vitale ;

- l'opérateur doit gérer ou utiliser au moins un établissement, un ouvrage ou une installation dont le dommage, l'indisponibilité ou la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait de quelque manière que ce soit d'avoir des conséquences majeures sur le potentiel de guerre ou économique, la sécurité ou les capacités de survie de la Nation, ou sur la santé ou la vie de la population (article R. 1332-1 du code de la défense). Il s'agit ici des installations industrielles à haut risque.

L'appréciation du caractère d'importance vitale, lié aux conséquences graves d'une menace plausible pour un opérateur, se fonde sur les critères définis par les différentes directives nationales de sécurité (DNS) élaborées par les ministères coordonnateurs pour chaque secteur et sous-secteur d'activité concerné.

Périmètre des entités susceptibles d'être désignées OIV

De manière générale, et sans préjudice des précisions sectorielles apportées par les directives nationales de sécurité (DNS), un OIV peut être :

- une société (société-mère ou filiale) ;

- une association, une fondation ou une organisation internationale ;

- un service de l'Etat, une collectivité territoriale, un groupement de collectivités, un établissement public, une autorité administrative indépendante.

Le choix de l'entité ad hoc se fait après concertation avec l'opérateur concerné, en prenant en compte :

- son organisation de la sûreté-sécurité pour répondre au mieux aux objectifs du dispositif SAIV ;

- le lien entre l'entité retenue et les installations, établissements ou ouvrages susceptibles d'être désignés PIV. Ainsi, plusieurs filiales d'un même groupe peuvent, le cas échéant, être désignées.

Notification de la désignation à l'OIV

L'autorité administrative désigne l'OIV par un arrêté, qui doit préciser le ou les secteurs de rattachement (article R. 1332-3 du code de la défense) ainsi que la ou les DNS applicables (article R. 1332-17 du code de la défense).

Les opérateurs coopèrent ensuite, à leurs frais, au dispositif SAIV (article L. 1332-1 du code de la défense).

L'article R. 1332-3 du code de la défense prévoit qu'un opérateur d'importance vitale (OIV) est désigné comme tel par le ministre coordonnateur de son secteur d'activités d'importance vitale, en concertation avec le ou les ministres intéressés et après avis de la commission interministérielle de défense et de sécurité (CIDS) ou de la commission zonale de défense et de sécurité (CZDS).

La notification à l'opérateur de l'intention de le désigner OIV est l'occasion d'une concertation entre l'autorité administrative (ministre coordonnateur ou préfet de département selon le cas) et l'opérateur. Dans les deux mois dont il dispose pour faire ses remarques, l'opérateur peut faire connaître à l'autorité administrative ayant émis la notification, la liste et la nature des infrastructures qu'il pourrait par la suite proposer en annexe de son plan de sécurité d'opérateur (PSO). Il convient de souligner que les OIV relevant du ministère chargé de la défense ne peuvent être désignés que par le ministre chargé de la défense.

Ce principe de désignation comporte une exception mentionnée au deuxième alinéa de l'article R. 1332-3 du code de la défense, s'agissant des OIV qui gèrent exclusivement un établissement mentionné à l'article L. 511-1 du code de l'environnement (installations classées pour la protection de l'environnement) ou comprenant une installation nucléaire de base visée à l'article L. 593-2 du code de l'environnement.

Le préfet de département peut ainsi s'appuyer sur les DNS pour identifier les opérateurs qui pourraient répondre aux critères permettant de les nommer. Dans ce cas, l'OIV est désigné par le préfet du département dans le ressort duquel se trouve cet établissement, après avis de la CZDS des secteurs d'activités d'importance vitale, et information du ou des ministres coordonnateurs concernés.

Schéma 1 : Désignation d'un OIV - Processus initié par un ministre coordonnateur

Schéma 2 : Désignation d'un OIV - Processus initié par un préfet de département

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que : « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^7(*). Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne^8(*).

La désignation en tant qu'OIV impliquant des obligations à la charge des opérateurs dont le manquement peut être sanctionné au niveau administratif, cette désignation porte nécessairement une atteinte à la liberté d'entreprendre, laquelle découle de l'article 4 de la Déclaration des droits de l'Homme et du Citoyen de 1789^9(*). Cette atteinte ne peut être ni générale ni absolue^10(*).

En effet, le législateur peut limiter l'exercice de cette liberté à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi^11(*), alors même que cette atteinte résulterait de l'exigence constitutionnelle de transposition adéquate des directives européennes^12(*), dans un objectif de sécurité et de défense de la Nation^13(*), en l'absence de disposition spécifique contraire de la Constitution^14(*) ou de mise en cause d'une règle ou d'un principe inhérent à notre identité constitutionnelle^15(*).

Enfin, en l'absence de remise en cause de ses garanties fondamentales, la liberté du commerce et de l'industrie ne s'oppose pas à l'intervention du législateur dans ce domaine^16(*).

Au niveau européen, la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC) permet désormais d'offrir un socle minimal commun de résilience à tous les opérateurs de l'UE. Elle doit être transposée dans notre droit national d'ici le 17 octobre 2024.

Dans son considérant 2^17(*), la directive REC rappelle que : « La directive 2008/114/CE^18(*) du Conseil établit une procédure de désignation des infrastructures critiques européennes dans les secteurs de l'énergie et des transports ont la perturbation ou la destruction aurait un impact transfrontière significatif sur deux États membres au moins. Cette directive vise exclusivement la protection de ces infrastructures. Toutefois, l'évaluation de la directive 2008/114/CE réalisée en 2019 a montré qu'en raison de la nature de plus en plus interconnectée et transfrontière des activités faisant appel à des infrastructures critiques, les mesures de protection portant sur des biens individuels ne suffisent pas à elles seules pour empêcher toute perturbation. »

La directive REC vise donc désormais les « entités critiques » nationales (c'est-à-dire les opérateurs), et non plus seulement les infrastructures critiques européennes. Son champ d'application couvre 11 secteurs : énergie, transports, infrastructures bancaires, infrastructures de marché financier, santé, eau potable, assainissement, infrastructures digitales, administration publique (niveau central), espace, alimentation.

Par ailleurs, la directive REC consacre le passage d'une logique de protection d'infrastructures critiques physiques à une logique de résilience des entités critiques (article 1^er), qui met davantage l'accent sur la continuité de leur activité, en sus de la protection physique de leurs installations.

Dans son article 6 (paragraphe 2), la directive européenne REC identifie les critères suivants pour le recensement des entités critiques :

« a) l'entité fournit un ou plusieurs services essentiels ;

b) l'entité exerce ses activités sur le territoire dudit État membre et son infrastructure critique est située sur ledit territoire ; et

c) un incident aurait des effets perturbateurs importants, déterminés conformément à l'article 7, paragraphe 1, sur la fourniture par l'entité d'un ou de plusieurs services essentiels ou sur la fourniture d'autres services essentiels dans les secteurs figurant à l'annexe qui dépendent dudit ou desdits services essentiels. »

Sans objet.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

La nécessité de légiférer procède de la prise en compte de la notion de « résilience » qui figure expressément dans la directive REC mais n'existe pas dans la règlementation nationale en vigueur.

En application de l'article premier de la directive REC :

« La présente directive :

a) impose aux États membres l'obligation d'adopter des mesures spécifiques visant à garantir que les services qui sont essentiels au maintien de fonctions sociétales ou d'activités économiques vitales, dans le champ d'application de l'article 114 du traité sur le fonctionnement de l'Union européenne, soient fournis sans entrave dans le marché intérieur, en particulier l'obligation de recenser les entités critiques et l'obligation d' aider les entités critiques à s'acquitter des obligations qui leur incombent ;

b) impose aux entités critiques des obligations visant à renforcer leur résilience et leur capacité à fournir les services visés au point a) dans le marché intérieur ; [...] ».

Par ailleurs, l'article 34 de la Constitution prévoit que « la loi détermine les principes fondamentaux ([...)] de la libre administration des collectivités territoriales, de leurs compétences et de leurs ressources », témoignant de la nécessité de légiférer dans le présent cas lorsqu'une collectivité territoriale est concernée. Par ailleurs, ces dispositions ayant nécessairement un impact sur la liberté d'entreprendre et la liberté du commerce et de l'industrie, elles relèvent du niveau législatif.

Le premier objectif poursuivi par la rédaction de cet article est de conserver les grands principes du dispositif actuel de la SAIV tout en incluant une dimension résilience à la désignation des opérateurs. Cette intégration s'accompagne également d'une clarification sur la compatibilité de la notion d'OIV avec celle d'entité critique au sens de la directive.

En effet, dès lors que l'activité exercée constitue un service essentiel au fonctionnement du marché intérieur de l'Union européenne, alors l'OIV est une entité critique.

Par ailleurs, un second objectif consiste à améliorer la communication - dans le respect du secret de la défense nationale - entre délégant et délégataire en vue de rendre le dispositif SAIV lui-même plus résilient. En effet, au cours de consultations menées avec les ministères dans le cadre des travaux de transposition, il est apparu que, dans le cas des délégations et des contrats d'exploitation au profit de collectivités territoriales, les délégants peuvent se retrouver insuffisamment inclus dans le processus de désignation. Ces derniers n'étant pas toujours informés du statut du délégataire, le contrôle de l'allocation des ressources à l'application des dispositions prévues dans le cadre de la SAIV n'était pas toujours effectué.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Il a été envisagé la possibilité de conférer aux collectivités locales délégantes le statut d'OIV dans la mesure où les délégants sont en majorité des collectivités territoriales, notamment dans les secteurs de l'eau et des transports collectifs. Toutefois, à des fins de simplification du dispositif, le Gouvernement ne souhaite pas ajouter un échelon supplémentaire au sein des OIV en créant un statut d'OIV spécifique applicable aux seules collectivités territoriales concernées (elles n'auraient, en effet, pas été concernées par l'intégralité des obligations pesant sur les autres OIV).

Les dispositions envisagées visent à clarifier la désignation des OIV par l'autorité administrative, à conserver la particularité des opérateurs désignés au titre du danger grave pour la population (installation classées pour la protection de l'environnement au titre Ier du livre V du code de l'environnement ; dispositions relatives aux installation nucléaires de base prévues au chapitre III du titre IX du livre V du même code)et à ajouter une obligation d'information au profit des collectivités territoriales.

Au I, les principes actuels de désignation d'un OIV, fondé sur deux types d'opérateurs, ont été conservés :

- la définition prévue au 1° concerne les OIV exerçant une « activité d'importance vitale dont les activités sont indispensables au fonctionnement de l'économie, de la société, à la défense ou à la sécurité de la nation » : la définition a été simplifiée par rapport à la rédaction actuellement en vigueur afin de mieux prendre en compte les enjeux de continuité d'activité, tout en s'alignant sur les critères prévus par la directive. Dès lors qu'ils exercent une activité qui constitue un service essentiel au fonctionnement du marché intérieur de l'Union européenne, alors l'OIV est une entité critique

- la définition prévue au 2° concerne les OIV les opérateurs désignés au titre du danger grave pour la population (installation classées pour la protection de l'environnement au titre Ier du livre V du code de l'environnement ; dispositions relatives aux installation nucléaires de base prévues au chapitre III du titre IX du livre V du même code)qui pourront connaître des aménagement dans les mesures applicables, afin que ces opérateurs privilégient les impératifs de sécurité sur la continuité d'activité.

La deuxième partie de l'article (II) concerne l'obligation d'information au profit des collectivités territoriales.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Les présentes dispositions remplacent l'actuel article L. 1332-2 du code de la défense, au sein du Chapitre II « Résilience des activités d'importance vitale ».

Ainsi que mentionné précédemment, ces dispositions, dont le principe existait déjà, portent une atteinte à la liberté d'entreprendre et à la liberté du commerce et de l'industrie qui est proportionnée et en rapport avec l'objectif poursuivi se rattachant à la défense et à la sécurité nationale.

Par ailleurs, le remplacement des dispositions des actuels articles L. 1332-1 et L. 1332-2 du code de la défense implique d'en tirer les conséquences dans les dispositions de droit interne qui font référence, selon les cas, à certains établissements, installations ou ouvrages, relevant de l'article L. 1332-1 (actuel), lesquels correspondront aux infrastructures critiques des opérateurs d'importance vitale.

Cet impact ne se limite pas aux seuls établissements, installations, ouvrages mais peut également concerner les opérateurs eux-mêmes, lesquels seront désormais qualifiés par la loi d'opérateurs d'importance vitale qui seront distincts selon les modalités de désignation, au titre du 1° ou du 2° du I de l'article L. 1332-2.

Enfin, les modifications prévues s'agissant des documents de planification ont entraîné des impacts sur les dispositions internes y faisant référence.

Toutes ces modifications induites ont été regroupées au sein d'un article 2, qui procède aux modifications nécessaires. Ces dispositions n'ont par elles-mêmes aucun autre impact que celui de modifier des références textuelles.

La présente disposition décline au niveau national l'obligation d'identification des entités critiques en adaptant les terminologies retenues dans la directive « REC » (notamment à son article 1^er) avec celles actuellement applicables concernant les opérateurs d'importance vitale et leur résilience.

Les mesures de résilience prévues pourront engendrer des coûts supplémentaires pour un opérateur. Si la logique de protection physique était déjà prise en compte, la systématisation de la prise en compte de la continuité d'activité ne sera en effet pas neutre. Ces coûts sont extrêmement difficiles à évaluer tant les opérateurs de la SAIV opèrent dans des secteurs diversifiés et à différentes échelles.

Néanmoins, le principe de résilience - au coeur de cette transposition - permettra in fine à l'opérateur et - au regard de certaines dépendances - à l'ensemble du tissu économique de pouvoir maintenir son activité dans un contexte dégradé et vise à amortir les coûts imputables à la disruption de son activité.

Le nouveau dispositif n'entraîne pas de changement majeur quant au mode de coopération des entreprises au sein du dispositif de sécurité des activités d'importance vitale. Ce dernier continuera de s'effectuer à leurs frais. Le coût global restera semblable à celui correspondant au dispositif actuellement en vigueur, qui contenait déjà des obligations de protection physique, mais aussi de continuité d'activité (article L. 2151-4 du code de la défense).

Le coût individuel du dispositif pour chaque opérateur est difficilement quantifiable, car celui-ci est fonction d'un nombre important de facteurs (taille de l'opérateur, allant de la TPE au grand groupe ; secteur d'activité concerné ; probabilité d'occurrence et gravité des risques identifiés). Par ailleurs, certains dispositifs déjà existant permettent des reconnaissances d'équivalence, n'induisant pas de surcoût pour les opérateurs (par exemple, le code ISPS pour la sureté portuaire). Enfin, ce dispositif est de nature à réduire les risques supportés en cas de disruption de l'activité.

L'impact est limité aux éventuels besoins en ressources humaines qui résulteront du renforcement du suivi du dispositif par les ministères et les échelons locaux en charge de superviser la SAIV. Enfin, ce dispositif est de nature à réduire les risques supportés en cas de disruption de l'activité.

Les dispositions envisagées n'entraînent pas de frais supplémentaires pour les collectivités territoriales déjà concernées par le dispositif en vigueur, les obligations de protection et de continuité d'activité figurant déjà dans la loi. Certaines collectivités territoriales sont en effet déjà désignées en tant qu'OIV en raison des activités qu'elles assurent pour leurs administrés. En revanche, de nouvelles collectivités pourraient être concernées par le dispositif, dès lors qu'elles auraient à leur charge des opérateurs d'importance vitale figurant dans les nouveaux secteurs d'activité.

En revanche, les dispositions prévues dans le présent article permettront aux collectivités territoriales concernées par le dispositif d'être systématiquement informées que leur délégataire exerce une activité d'importance vitale ou gère une infrastructure critique pour leur compte.

Comme dans le dispositif existant, les présentes mesures prévoient que la désignation des opérateurs d'importance vitale se fera par l'autorité administrative (ministère coordinateur ou préfet de département après avis de la CIDS ou de la CZDS).

Le renforcement des exigences en matière de résilience des activités d'importance vitale doit permettre de limiter les impacts d'une crise ou de problèmes majeurs d'un opérateur d'importance vitale sur le fonctionnement de la société.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Le dispositif conserve la catégorie spécifique des opérateurs industriels à haut-risque, notamment à des fins de protection de l'environnement. Certaines installations peuvent avoir des impacts (pollution de l'eau, de l'air, des sols, etc.) et présenter des dangers (incendie, explosion, etc.) pour l'environnement, la santé et la sécurité publique. Certains établissements classés ICPE peuvent donc être désignés OIV (voir schémas au 1.1.2 de ce chapitre).

L'objectif de ce dispositif est également, comme c'est le cas depuis 2013, de protéger les OIV face aux risques naturels (inondations, incendie, etc.)

5. CONSULTATIONS MENÉES ET MODALITÉS D'APPLICATION

Une concertation de l'ensemble des ministères coordonnateurs a été réalisée sur cette mesure.

En application de l'article L. 1212-2 du code général des collectivités territoriales, le présent article a été soumis à l'examen du Conseil national d'évaluation des normes qui a rendu un avis défavorable le 22 mai 2024.

Enfin, le service national des enquêtes administratives de sécurité, le coordinateur général de la sécurité nucléaire, le service juridique du Secrétariat général des affaires européennes et l'Agence nationale de sécurité des systèmes d'informations ont également été consultés.

Les présentes dispositions entrent en vigueur le lendemain de la publication de la loi au Journal officiel de la République française.

Les opérateurs d'importance vitale désignés avant l'entrée en vigueur des dispositions du titre I^er de la présente loi doivent être regardés comme désignés en application du I de l'article L. 1332-2 du code de la défense dans sa rédaction résultant du chapitre I^er de la loi à la date de son entrée en vigueur.

Ces opérateurs restent soumis aux obligations qui leurs sont applicables avant l'entrée en vigueur de la présente loi jusqu'à l'accomplissement des obligations prévues aux articles L. 1332-2 à L. 1332-5 et à l'article L. 1332-11 dans leur rédaction résultant de la présente loi.

Le présent article est applicable de plein droit sur l'ensemble du territoire de la République conformément à l'article L. 1 du code de la défense.

Aussi, les dispositions du code de la défense créées par le présent projet de loi seront applicables de plein droit à la fois dans les collectivités régies par le principe de l'identité législative (la Guadeloupe, la Guyane, la Martinique, La Réunion, Mayotte, Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon) et par le principe de la spécialité législative (les îles Wallis et Futuna, la Polynésie française, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises).

Les nouveaux articles L. 1332-2 et L. 1332-3 du code de la défense renvoient à des dispositions du code de l'environnement qui ne sont pas applicables à Saint-Barthélemy, dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les collectivités étant compétentes dans cette matière. Si l'article L. 6311-1 du code de la défense prévoit déjà une grille de lecture générale qui couvre toute la partie législative pour son application dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, il n'existe de grille similaire pour Saint-Barthélemy. Il est proposé de créer une grille sur le même modèle au sein d'un nouvel article L. 6221-2 du code de la défense, par l'article 3 du présent projet de loi.

Par ailleurs, en tant que PTOM, le droit de l'union européenne ne s'applique pas à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises. Les dispositions applicables aux seuls OIV exerçant des services essentiels au fonctionnement du marché intérieur de l'Union européenne ne seront donc pas applicables en l'absence d'adaptation.

Le présent article fera l'objet d'un décret en Conseil d'Etat pour préciser notamment les conditions des désignations des opérateurs par l'autorité administrative compétente.

Article 1^er (C) - Article L. 1332-3 du code de la défense - Obligation de résilience

6. ETAT DES LIEUX

Le dispositif de la sécurité des activités d'importance vitale (SAIV) repose aujourd'hui sur une logique de protection via une obligation de résultats et non de moyens. Il s'agit d'une politique publique par laquelle l'opérateur doit démontrer auprès de l'autorité administrative la sécurisation de ses sites. Cette démonstration s'effectue par la planification qu'il doit mettre en oeuvre, validée par l'administration.

Réalisation par l'opérateur d'une analyse des risques et des menaces

Une fois l'opérateur d'importance vitale désigné par la Commission interministérielle de défense et de sécurité (CIDS), celui-ci se voit notifier une ou plusieurs Directives Nationales de Sécurité (DNS), selon le ou les secteurs d'activité dans lequel il opère. La Directive nationale de sécurité permet à l'opérateur d'identifier les risques et les menaces contre lesquels il doit se prémunir en totalité ou en partie. Charge à lui, sur la base de cette analyse des risques générale au niveau du secteur d'activité, de réaliser sa propre analyse, au niveau de l'opérateur lui-même, ainsi que de ses sites.

Réalisation par l'opérateur du plan de sécurité d'opérateur (PSO)

Contrairement au plan particulier de protection qui est clairement identifié dans la partie législative du code de la défense, le plan de sécurité opérateur (PSO) n'est aujourd'hui évoqué que dans la partie réglementaire de celui-ci (articles R. 1332-19, R. 1332-20, R. 1332-21 et R. 1332-22).

Le PSO définit la politique et l'organisation de la sécurité de l'opérateur. Cette politique peut s'appuyer sur le dispositif de sécurité existant et sur l'expérience acquise dans la gestion de la qualité. Il précise, de façon générique, certaines des mesures à mettre en oeuvre pour chaque point d'importance vitale (PIV) tant sur le plan organisationnel (organiser l'alerte et gérer la crise), qu'en matière de prévention (réduire les vulnérabilités) et de protection (réduire les conséquences). Il n'est requis que si l'opérateur gère plusieurs points d'importance vitale (PIV).

Il est fondé sur une analyse de risque prenant en compte notamment les scénarios de la ou les directives nationales de sécurité (DNS). Le PSO doit permettre à l'opérateur de s'approprier la DNS à travers la rédaction d'une analyse de risque propre à l'OIV. Il permet à l'opérateur de s'interroger sur des scénarios majeurs et, le cas échéant, de repenser certains dispositifs opérationnels. Il doit également amener à une connaissance partagée de ces enjeux avec les pouvoirs publics. Il prévoit des mesures permanentes et graduées transposant tant les mesures spécifiques des DNS que les mesures Vigipirate applicables (voir partie infra). Le PSO prévoit s'il y a lieu, les délais de réalisation des mesures de protection permanentes et des mesures temporaires et graduées qu'il prescrit. En plus de l'identification et la mise en place des mesures, l'opérateur identifie dans son plan de sécurité opérateur les points d'importance vitale (PIV) sans lesquels il ne peut assurer l'activité d'importance vitale pour la ou lesquelles il a été désigné.

La sélection des PIV proposés par l'opérateur est issue de l'analyse de risque qui explicite les raisons pour lesquelles chaque point est proposé. La liste des PIV précise succinctement la nature de l'activité qui s'exerce pour chacun des points. Dans le cas où le PSO est élaboré à partir de plusieurs directives, la liste des PIV qui lui est annexée précise pour chaque PIV la ou les directive(s) qui s'y applique(nt). Dans le cas où l'opérateur envisage de proposer un seul établissement, un seul ouvrage ou une seule installation comme PIV, il accuse réception de la DNS qui lui a été transmise et soumet au ministère coordonnateur, dans un délai de six mois à compter de la date de notification de la DNS qui lui est applicable, une analyse de risque justifiant in fine la désignation d'un unique PIV. Il précise à cette occasion les caractéristiques géographiques et économiques du PIV. Dans le cas où l'opérateur envisage de proposer la désignation de plusieurs PIV, l'opérateur dispose d'un délai de six mois à compter de la date de notification de la dernière DNS qui lui est applicable pour soumettre une première version de son PSO au ministre coordonnateur. Si l'OIV ressent le besoin de se voir communiquer, à titre d'information, une autre DNS, il en formule une demande motivée auprès de l'autorité l'ayant désigné OIV. Celle-ci transmet la demande au ministre coordonnateur en charge de cette directive avec son avis sur la suite à réserver à cette demande.

Elaboration du plan de sécurité opérateur

Une fois désigné par l'autorité administrative, un OIV se voit communiquer le guide d'élaboration et le plan-type du PSO à l'occasion de la notification de la ou des DNS de son secteur d'activité. Le plan type actuel du PSO est fixé par l'arrêté du 2 juillet 2018 portant approbation du plan type des plans de sécurité d'opérateurs d'importance vitale. L'opérateur doit se conformer au plan type définit par arrêté du Premier ministre. Comme vu infra, l'opérateur dispose de six mois pour soumettre la première version de son plan de sécurité opérateur au ministère coordonnateur lui ayant notifié sa directive nationale de sécurité. Ce travail doit être effectué par une personne appartenant à l'organisation de l'OIV habilitée au secret de la défense nationale, condition obligatoire étant donné que les directives nationales de sécurité, essentielles pour rédiger le PSO, sont classifiées (en raison de la sensibilité de la partie portant sur les menaces). Dès que le ministère établit que le plan de sécurité opérateur est satisfaisant, il propose sa validation en commission interministérielle de défense et de sécurité (CIDS) ou en Commission zonale de défense et de sécurité si l'opérateur ne se situe que sur une zone de défense et de sécurité. En application de l'article R-1332-18 du code de la défense, cette commission s'assure que :

- les mesures proposées répondent de manière satisfaisante aux directives nationales de sécurité ;

- la liste des points d'importance vitale est pertinente ;

- la politique générale de sécurité définit des mesures spécifiques graduées de vigilance, de prévention, de protection et de réaction à une menace.

D'après l'article R 1332-21 du code de la défense, la commission émet dans un délai de trois mois à compter de la date de réception du plan un avis qui est notifié à l'opérateur. Cet avis est protégé par le secret de la défense nationale à l'instar du plan de sécurité opérateur une fois validés sont protégés par le secret de la défense nationale.

Une fois le plan de sécurité opérateur validé, l'opérateur est tenu de le mettre en oeuvre, en lien avec le délégué à la défense et à la sécurité. Il est décliné ensuite pour chaque PIV sous la forme de plan particulier de protection. Pour les autres installations et réseaux de l'opérateur, il peut être décliné sous forme de directives, consignes particulières ou fiches réflexes, qui ne sont pas nécessairement classifiées. La politique d'exercices et d'audits concourt à l'évaluation du plan, en vue de son adaptation et de son amélioration.

Le PSO est aujourd'hui le fondement d'une politique générale de sécurité. Ce document de planification est indissociable d'une politique globale de gestion des risques.

Schéma du processus d'élaboration du plan de sécurité opérateur pour les opérateurs ne relevant pas du ministère de la défense

Articulation avec les plans et réglementations existants

- Le plan VIGIPIRATE

Le plan VIGIPIRATE est le seul plan national dont la mise en oeuvre est permanente. C'est un dispositif global de vigilance, de prévention et de protection qui concerne l'ensemble des secteurs d'activité du pays. Il implique tous les ministères, mais également l'ensemble de la population.

Le plan VIGIPIRATE repose sur trois piliers :

- le développement d'une culture de la sécurité au sein de la société ;

- un système de niveaux qui renforce la capacité de réponse de l'Etat ;

- la mise en oeuvre de nouvelles mesures renforçant l'action gouvernementale dans la lutte contre le terrorisme.

Du fait de son obligation de se prémunir contre la menace, l'opérateur est tenu de prendre en compte la posture ainsi que les mesures identifiées dans le plan VIGIPIRATE. Pour ce faire, l'opérateur décline et adapte dans son PSO les mesures sectorielles et les mesures des domaines transverses du plan VIGIPIRATE qui lui sont applicables et qu'il est susceptible de mettre en oeuvre pour atteindre les objectifs de sécurité fixés par la DNS. En effet, la DNS notifiée à l'opérateur précise les mesures du plan VIGIPIRATE applicables au secteur ou sous-secteur pour lequel il opère une activité d'importance vitale. Le PSO décline ces mesures qui doivent être classées en :

- mesures socle, correspondant aux investissements indispensables et aux actions permanentes de vigilance ;

- mesures additionnelles activables en fonction des consignes transmises à l'opérateur dans le cadre de l'activation de mesures spécifiques du plan VIGIPIRATE. Ces mesures peuvent être techniques, organisationnelles ou comportementales.

Les mesures du plan VIGIPIRATE, volontairement larges, doivent être adaptées et déclinées au contexte de l'entreprise. C'est l'objet du plan de sécurité opérateur (PSO) et du plan particulier de protection (PPP). Le PSO permet une forte collaboration entre l'État et l'ensemble des opérateurs désignés d'importance vitale afin de prendre des dispositions cohérentes avec celles que l'autorité administrative aura arrêtées ou recommandées au niveau national.

Afin de pouvoir mettre en oeuvre les postures Vigipirate et être tenus informés de l'état de la menace, les opérateurs d'importance vitale sont destinataires des postures révisées. Les postures sont revues a minima tous les six mois et en cas d'évolution majeure de la menace.

- Le plan de continuité d'activité (PCA)

Le PCA décrit la stratégie adoptée par une organisation pour rétablir et reprendre son activité à la suite d'une perturbation importante. En listant et hiérarchisant l'ensemble des scénarios de risque et de menace pour un secteur donné, la directive nationale de sécurité constitue un référentiel pour le PCA et le PSO. Si ce dernier insiste sur les actes de malveillance (terrorisme, sabotage etc.), le PCA doit tenir compte de l'ensemble des scénarios.

Les OIV sont déjà tenus de rédiger un plan de continuité d'activité (article L. 2151-4 du code de la défense). Cette partie du code de la défense, qui régit le service de sécurité nationale (articles L. 2151-1 à L. 2151-5 du code de la défense), est destinée à « assurer la continuité de l'Etat, des collectivités territoriales, et des organismes qui leur sont rattachés, ainsi que des entreprises et établissements dont les activités contribuent à la sécurité nationale ». Elle concerne directement et uniquement les ouvrages désignés par les articles L. 1332-1 et L. 1332-2 du code de la défense, donc les OIV. Bien que cette partie du code de la défense ne soit pas celle normalement dédiée aux OIV, elle oblige bien les opérateurs désignés comme tels à réaliser des plans de continuité d'activité ou de rétablissement d'activité et surtout à identifier les personnels considérés comme essentiels pour leur activité d'importance vitale (article L. 2151-1). Les personnes concernées par ces plans peuvent, en cas de déclenchement du service de sécurité nationale, être « maintenues dans leur emploi habituel ou tenues de le rejoindre » (article L. 2151-3).

Les opérateurs d'importance vitale sont donc bien tenus, dans la législation actuelle, de réaliser des plans de continuité d'activité. Ils ont la possibilité de le décliner pour chacun de leur PIV. Il est recommandé pour l'élaboration de ce plan de continuité d'activité, d'utiliser le guide méthodologique proposé par le secrétariat général de la défense et de la sécurité nationale (SGDSN) intitulé « Guide pour réaliser un plan de continuité d'activité »^19(*). Toutefois, ce plan, contrairement aux autres plans actuellement existants (plan de sécurité opérateur, plan particulier de protection...) n'est aujourd'hui visé et validé par aucune autorité administrative. Il est donc bien censé exister, mais cela n'est vérifié de manière systématique par l'autorité administrative. Dans les faits, beaucoup d'opérateurs réalisent ou ont réalisé leur plan de continuité d'activité depuis la pandémie du Covid-19, qui a obligé beaucoup d'acteurs, qu'ils soient opérateurs ou non, à repenser leur organisation, y compris salariale en période de crise.

Délai et révision

Comme évoqué supra, le plan de sécurité opérateur (PSO) doit être réalisé par l'opérateur dans les six mois qui suivent la notification de la DNS.

La révision d'un PSO intervient en cas de modification d'une DNS, de changement d'activité de l'opérateur, ou encore en cas de modification majeure de son organisation ou de sa politique de sécurité.

Le plan particulier de protection (PPP) qui en découle doit lui être réalisé dans les deux ans à compter de la notification de la DNS. Une révision peut intervenir notamment à la suite d'un contrôle portant sur la mise en oeuvre du plan ou à l'initiative de l'opérateur.

Pour le cas particulier de révision d'une DNS, l'article R. 1332-31 du code de la défense indique que la révision d'une DNS entraine la révision, dans les délais prévus pour leur élaboration, du PSO ainsi que des plans particuliers de protection concernés - cf. explication du nouvel article L. 1332-5 sur la planification que l'opérateur doit mettre en oeuvre pour les sites qu'il identifie comme sensibles. Néanmoins, les modalités exactes de la révision du PSO et des PPP sont définies par le ministre coordonnateur en concertation avec l'OIV.

En résumé, dans le cadre actuel, l'opérateur doit élaborer :

- un Plan de Sécurité Opérateur dans le cas où il opère au moyen de plusieurs sites ou points d'importance vitale ;

- un Plan Particulier de Protection pour chaque point d'importance vitale (ce plan peut contenir une analyse du risque si l'opérateur n'a qu'un seul point d'importance vitale) ;

- éventuellement un PPP de zone d'importance vitale.

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que : « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^20(*). Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne^21(*).

Les obligations d'analyse des risques et de mise en place d'un PSO-PRO à la charge des OIV, dont le manquement pouvant être sanctionné au niveau administratif, portent une atteinte à la liberté d'entreprendre, laquelle découle de l'article 4 de la Déclaration des droits de l'Homme et du Citoyen de 1789^22(*). Cette atteinte ne peut être ni générale ni absolue^23(*). Le législateur peut limiter l'exercice de cette liberté à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi^24(*), alors même que cette atteinte résulterait de l'exigence constitutionnelle de transposition adéquate des directives européennes^25(*), dans un objectif de sécurité et de défense de la Nation, en l'absence de disposition spécifique contraire de la Constitution^26(*) ou de mise en cause d'une règle ou d'un principe inhérent à notre identité constitutionnelle^27(*).

Enfin, en l'absence de remise en cause de ses garanties fondamentales, la liberté du commerce et de l'industrie ne s'oppose pas à l'intervention du législateur dans ce domaine^28(*).

Au niveau européen, la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC) permet désormais d'offrir un socle minimal commun de résilience à tous les opérateurs de l'UE. Elle doit être transposée dans notre droit national d'ici le 17 octobre 2024.

Son champ d'application couvre 11 secteurs : énergie, transports, infrastructures bancaires, infrastructures de marché financier, santé, eau potable, assainissement, infrastructures digitales, administration publique (niveau central), espace, alimentation.

Son article 12 porte sur l'évaluation des risques par les entités critiques, et son article 13 sur les mesures de résilience des entités critiques.

Sans objet.

7. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

L'article 34 de la Constitution qui prévoit que « la loi détermine les principes fondamentaux (...) de la libre administration des collectivités territoriales, de leurs compétences et de leurs ressources », témoignant de la nécessité de légiférer dans le présent cas lorsqu'une collectivité territoriale est concernée. Par ailleurs, une loi est nécessaire s'agissant de dispositions ayant nécessairement un impact sur la liberté d'entreprendre et la liberté du commerce et de l'industrie.

La nécessité de légiférer procède en outre de la transposition de la directive européenne sur la résilience des entités critiques (REC) du 14 décembre 2022.

En premier lieu, l'article 12 de la directive dispose que l'opérateur doit réaliser une évaluation des risques dans les neuf mois suivant la réception de la notification désignant l'opérateur comme entité critique, puis selon les besoins par la suite, et au moins tous les quatre ans, sur la base des évaluations des risques d'Etats membres et d'autres sources d'informations pertinentes. Ces évaluations des risques doivent prendre en compte les risques naturels ainsi que les risques ayant une origine humaine. Il apparait donc indispensable de mentionner cette notion d'évaluation des risques à réaliser par les opérateurs dans la loi.

Par ailleurs, afin de répondre aux risques identifiés, l'article 13 de la directive impose la réalisation par les opérateurs désignés comme critiques par l'Etat membre d'un plan de résilience opérateur (PRO). L'interprétation à donner à cet article figure dans les considérants 30 et 31 de la directive REC, qui entérine le passage d'une logique de protection d'infrastructures critiques physiques, qui existait auparavant dans le dispositif de la SAIV à une logique de résilience des entités critiques. A ce jour, la partie législative du dispositif national de la SAIV comporte uniquement une obligation pour l'opérateur de réaliser les plans particuliers de protection (PPP) des sites qu'il a identifiés comme étant les plus sensibles, tandis que la réalisation du plan de sécurité opérateur s'appuie exclusivement sur des normes de niveau règlementaire. La consécration dans la loi de l'obligation pour les opérateurs de produire un plan de résilience opérateur (PRO) permettrait de clarifier les responsabilités respectives, en facilitant les échanges menés par les services de l'Etat auprès de l'opérateur désigné. Les opérateurs doivent réaliser et appliquer un plan de résilience qui permet de décrire les mesures prises par l'opérateur afin d'assurer la continuité du service essentiel pour lequel il a été désigné. Les autorités compétentes peuvent décréter que des plans ou des mesures mises en oeuvre par les opérateurs désignés en vertu d'autres obligations juridiques de résilience et de sécurité peuvent être utilisées comme équivalent par ces derniers.

Etant donné que la politique publique de la SAIV est avant tout une politique de planification mise en oeuvre par les opérateurs désignés par les autorités administratives compétentes, il apparait indispensable de pouvoir disposer d'une base législative permettant de fixer les délais pour la production et la révision du PRO, en garantissant la cohérence d'ensemble du dispositif, le cas échéant en appliquant des sanctions à l'OIV qui ne serait pas en capacité de se mettre en conformité avec les exigences fixées par la loi.

Les PRO contribueront à la préparation de l'opérateur, mais aussi de l'Etat, en cas de crise. Par comparaison, les plans de protection externe réalisés par l'autorité administrative en cas d'incident majeur malveillant sur un point d'importance vitale sont d'ailleurs faits en parfaite synergie avec les plans de l'opérateur.

Clarification et consolidations des acquis du dispositif

L'objectif du projet de loi est de conserver les acquis et réalisations du dispositif de sécurité des activités d'importance vitale (SAIV). Depuis 2006, ce dispositif a exigé un important travail de la part des opérateurs d'importance vitale désignés et des autorités administratives en charge du suivi.

Intégration de la notion de continuité d'activité et de résilience pour les opérateurs

L'objectif du projet de loi est également de renforcer la prise en compte de la composante « continuité d'activité » par les opérateurs.

A ce jour, seuls les PSO et les PPP, qui sont produits par l'opérateur, sont validés par l'autorité administrative. La commission interministérielle de défense et de sécurité (CIDS) valide les PSO - ou la Commission zonale de défense et de sécurité pour les opérateurs qui ne sont présents que sur une zone de défense et de sécurité. Les préfectures valident quant à elles les PPP, pour les PIV se situant sur leur territoire. En revanche, les plans de continuité d'activité (PCA) ne font pas l'objet d'une validation par l'autorité administrative, qui se contente de vérifier leur existence.

Ainsi, avec la fusion des actuels PSO et PCA pour devenir le PRO, l'objectif est d'améliorer la prise en compte de la continuité d'activité par les opérateurs, dans la mesure où ce dernier fera, comme le PSO, l'objet d'une validation de l'autorité administrative. L'autorité administrative devra donc valider si la politique générale de sécurité de l'opérateur est pertinente, mais également si les mesures de résilience préconisées par cet opérateur répondent aux exigences de continuité d'activité qu'imposent la directive REC.

Parallèlement, l'objectif est également de mieux distinguer les éléments classifiés de ce plan, sur le modèle des postures VIGIPIRATE : certaines dispositions sont classifiées, alors que d'autres, les plus sensibles, ne le sont pas. Cette distinction entre le classifié et le non-classifié fera l'objet d'une précision par voie réglementaire.

8. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

La première option à avoir été envisagée fut de conserver le dispositif actuel. Ainsi, la variété des plans existants aurait pu être maintenue. Le plan de continuité d'activité (PCA) serait resté un document annexe, décrit dans l'article L. 2151-4 du code de la défense. Le plan de sécurité opérateur (PSO) aurait également continué à être réalisé à part. Cette option a finalement été écartée, l'unification des deux plans en un document unique paraissant plus pertinente et simplificatrice pour les opérateurs, notamment au regard des obligations induites par la directive.

Une seconde option envisagée consistait à intégrer le plan de continuité d'activité au sein du plan particulier de protection (PPP). Ainsi, la stratégie de continuité d'activité aurait été déployée à l'échelle de chaque point d'importance vitale (PIV) plutôt qu'au niveau global qui est le niveau du plan de sécurité opérateur (PSO). Il aurait donc été question de préciser le PPP, en lui ajoutant un volet relatif à la continuité d'activité. Cette option a elle aussi été écartée, le niveau de l'opérateur paraissant plus pertinent par les différents ministères coordonnateurs. La logique poursuivie était que, si un site désigné comme point d'importance vitale venait à ne plus fonctionner, l'opérateur pourrait se reposer sur d'autres sites d'importance vitale à partir desquels il réalise les activités pour lesquelles il a été désigné. Notamment, le nombre de démarches induites a été considéré trop élevé, dans le cas où cette option aurait été retenue, ce qui aurait fortement alourdi le travail des autorités administratives - qui sont les préfectures ou les délégués militaires départementaux pour les activités militaires de l'Etat - comme des opérateurs. Toutefois, il a été évoqué une possibilité de dérogation à cette règle, à savoir que dans certains cas la partie continuité d'activité soit réalisée dans les plans particuliers de protection (PPP), de manière à ce que les mesures de résilience puissent être mises en oeuvre, le cas échéant et lorsque cela apparaît pertinent, au niveau des PIV. Cela paraissait important notamment pour les opérateurs qui étaient désignés via un site unique et afin de répondre aux particularités des différents secteurs d'activités concernés par la SAIV.

Au regard du fonctionnement du dispositif existant, les travaux interministériels ont retenu l'option de fusionner le plan de sécurité opérateur (PSO) et le plan de continuité d'activité (PCA) en un plan de résilience opérateur (PRO) unique.

L'enjeu pour cet article est de conserver toute la spécificité du dispositif SAIV français, à savoir la planification comme moyen de démonstration avec le recours aux plans-type, qui ne seront pas forcément contraignants afin de laisser l'opérateur adapter le plan type à sa situation, son analyse de risque et l'évaluation des menaces réalisée par l'Etat. De même, la centralisation et la synthèse de la planification induite par le PRO apparait de nature à éviter les redondances présentes dans les différents dispositifs actuels.

Les deux premiers paragraphes de l'article permettent d'intégrer dans la loi l'obligation pour l'opérateur de réaliser une analyse des risques. Ce point permet de compléter les dispositions antérieures de l'article L. 1332-1 qui indiquaient que les établissements, installations et ouvrages des opérateurs identifiés comme point d'importance vitale devaient se protéger contre toute menace. La directive REC précise en effet que les opérateurs doivent prendre en compte les risques d'origine naturelle comme d'origine humaine - notion de « all hazard approach » de la directive.

Le troisième paragraphe précise les mesures que doivent mettre en oeuvre les opérateurs pour assurer la notion de résilience, en conformité avec la définition figurant dans la directive.

Le terme de résilience est en effet la deuxième définition donnée à l'article 2 de la directive, à savoir « la capacité d'une entité critique à prévenir tout incident, à s'en protéger, à y réagir, à y résister, à l'atténuer, à l'absorber, à s'y adapter, et à s'en rétablir ».

Les quatrième et cinquième alinéas entérinent donc l'obligation pour l'opérateur de réaliser un plan de résilience opérateur - obligation qui découle de l'application réglementaire du dispositif existant mais aussi de la directive. Dans une logique d'allégement et de simplification pour l'opérateur et l'administration, un alinéa porte sur le principe d'équivalences possibles entre le dispositif SAIV et d'autres dispositifs de sécurité et de sureté existants, ce point étant explicitement prévu par la directive. Ainsi, le présent article donne à l'opérateur d'importance vitale la possibilité de se servir d'un plan de continuité d'activité existant pour l'intégrer à son PRO dans la partie devant porter sur les obligations de résilience, sur validation du principe par l'autorité administrative qui aurait vérifié que le plan en question répond aux exigences du dispositif SAIV.

Pour ce faire, il est également question de mieux distinguer les éléments classifiés au sein du plan : certaines parties, moins sensibles et utilisées dans le plan de continuité d'activité existant, pourraient donc être utilisées dans le plan de résilience opérateur. Ces informations provenant de documents non classifiés n'auraient donc pas vocation à l'être dans le plan de résilience opérateur, d'où le besoin de sections non classifiées dans le document. Dans cette perspective, il est prévu dans cet article de renvoyer au pouvoir règlementaire le soin de préciser les contours de la protection du secret dans le PRO.

Trois alinéas traitent des mesures de police administrative et de la possibilité de mise en demeure de l'opérateur par l'autorité compétente. Notamment, la création d'une possibilité d'astreinte d'un montant maximal de 5000 € par jour de retard d'élaboration, de révision ou de mise en oeuvre du PRO. Cette possibilité d'astreinte paraît proportionnée au regard des enjeux de sécurité et de résilience de la Nation. Par ailleurs, ce montant de 5000 € permet de donner la possibilité à l'autorité administrative compétente - et il s'agirait ici des ministères coordonnateurs qui sont en charge de revoir les plans de sécurité opérateur - de prendre des premières mesures de contrainte dans le cas où l'opérateur ne répondrait pas à ses obligations et n'adopterait pas les mesures identifiées comme essentielles pour assurer sa résilience. Cette décision permet de contraindre si besoin est un opérateur récalcitrant à réaliser sa planification.

Un alinéa précise les modalités d'application de ces dispositions pour les opérateurs désignés au titre du danger grave pour la population (installations classées pour la protection de l'environnement au titre I^er du livre V du code de l'environnement ; dispositions relatives aux installation nucléaires de base prévues au chapitre III du titre IX du livre V du même code). Pour ces opérateurs, les obligations qui doivent prévaloir sont celles de la mise en sûreté et en sécurité plutôt que de continuité d'activité.

Un décret en Conseil d'Etat précise les modalités d'application du présent article.

9. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Les dispositions envisagées remplacent l'article L. 1332-3 du code de la défense.

Il est proposé de faire figurer dans la loi l'obligation pour les OIV de produire et mettre à jour un plan de résilience opérateur (PRO) s'appuyant sur une analyse des risques validée par l'autorité administrative compétente.

Ces dispositions portent une atteinte à la liberté d'entreprendre et à la liberté du commerce et de l'industrie qui est proportionnée et en rapport avec l'objectif poursuivi se rattachant à la défense et à la sécurité nationale.

Par ailleurs, le remplacement des dispositions des actuels articles L. 1332-1 et L. 1332-2 du code de la défense implique d'en tirer les conséquences dans les dispositions de droit interne qui font référence, selon les cas, à certains établissements, installations ou ouvrages, relevant de l'article L. 1332-1 (actuel), lesquels correspondront aux infrastructures critiques des opérateurs d'importance vitale.

Cet impact ne se limite pas aux seuls établissements, installations, ouvrages mais peut également concerner les opérateurs eux-mêmes, lesquels seront désormais qualifiés par la loi d'opérateurs d'importance vitale qui seront distincts selon les modalités de désignation, au titre du 1° ou du 2° du I de l'article L. 1332-2.

Enfin, les modifications prévues s'agissant des documents de planification ont entraîné des impacts sur les dispositions internes y faisant référence.

Toutes ces modifications induites ont été regroupées au sein d'un article 2, qui procède intégralement aux modifications nécessaires. Ces dispositions n'ont par elles-mêmes aucun autre impact que celui de modifier des références textuelles.

Les dispositions de la présente mesure s'inscrivent dans le champ de la transposition de la directive européenne sur la résilience des entités critiques (REC) du 14 décembre 2022, en particulier son article 12, relatif à l'évaluation des risques par les entités critiques, et son article 13, portant sur les mesures de résilience des entités critiques.

Les mesures de résilience prévues pourront engendrer des coûts supplémentaires pour un opérateur. Si la logique de protection physique était déjà prise en compte, la systématisation de la prise en compte de la continuité d'activité ne sera en effet pas neutre. Ces coûts sont extrêmement difficiles à évaluer tant les opérateurs de la SAIV opèrent dans des secteurs diversifiés et à différentes échelles.

Néanmoins, le principe de résilience - au coeur de cette transposition - permettra in fine à l'opérateur et - au regard de certaines dépendances - à l'ensemble du tissu économique de pouvoir maintenir son activité dans un contexte dégradé et vise à amortir les coûts imputables à la disruption de son activité.

La mise en place du PRO n'entraine pas de changement majeur quant au mode de coopération avec les autorités administratives, qu'il s'agisse d'opérateurs privés ou publics. En effet, les opérateurs avaient déjà à réaliser au titre de la SAIV un plan de sécurité opérateur ainsi qu'un plan de continuité d'activité. La différence majeure repose sur le fait que les autorités administratives en charge de vérifier et valider les éléments de la planification devront dorénavant également vérifier les parties relevant de la continuité d'activité - ancien plan de continuité d'activité - dans leur plan de résilience opérateur.

Les opérateurs continueront, comme ils l'ont fait jusqu'à présent, à assumer à leurs frais les mesures indispensables à leur résilience et à la continuité de leurs activités, c'est pourquoi la logique de démonstration par la planification de la SAIV est conservée. Ils sont tenus de prouver, par les mesures qu'ils auront prévues en lien avec l'autorité administrative, que celles-ci suffisent pour assurer leur résilience, en adéquation avec leur environnement ainsi que leur secteur d'activité.

Des moyens humains supplémentaires pourraient être rendus nécessaires par la plus grande régularité des contrôles et la validation des PRO produits par les OIV, pour les ministères coordinateurs et les zones de défense et de sécurité et le SGDSN.

La mise en place du PRO n'entraine pas de changement majeur quant au mode de coopération avec les autorités administratives, qu'il s'agisse d'opérateurs privés ou publics. En effet, les opérateurs - ici les collectivités territoriales - avaient déjà à réaliser au titre de la SAIV un plan de sécurité opérateur ainsi qu'un plan de continuité d'activité. La différence majeure repose sur le fait que les autorités administratives en charge de vérifier et valider les éléments de la planification devront dorénavant également vérifier les parties relevant de la continuité d'activité - ancien plan de continuité d'activité - dans leur plan de résilience opérateur.

Les collectivités territoriales désignées comme opérateurs continueront, comme elles l'ont fait jusqu'à présent, à assumer à leurs frais les mesures indispensables à leur résilience et à la continuité de leurs activités. La logique de démonstration par la planification de la SAIV est conservée. Elles sont tenues de prouver, par les mesures qu'ils auront prévues en lien avec l'autorité administrative, que celles-ci suffisent pour assurer leur résilience, en adéquation avec leur environnement ainsi que leur secteur d'activité

La procédure de contrôle et de validation du PRO par l'autorité administrative est identique aux procédures d'ores et déjà existantes dans le dispositif national de la SAIV.

Ces contrôles s'effectuent actuellement à deux niveaux :

- le ministère coordinateur fait valider le plan de résilience opérateur durant la Commission interministérielle de défense et de sécurité (CIDS) présidée par le SGDSN ;

- la zone de défense et de sécurité (ZDS) fait valider les plans de résilience opérateur des OIV se trouvant uniquement sur leurs territoires durant les commissions zonale de défense et de sécurité (CZDS). 

A l'avenir, les services administratifs compétents continueront à réviser les plans de résilience opérateur, en vérifiant également le volet résilience - entendre ici les anciens plans de continuité d'activité visés à l'article L. 2151-4 du code de la défense.

La différence majeure introduite par le présent projet de loi, qui sera précisée par décret en Conseil d'Etat, réside dans l'introduction d'un cycle de révision obligatoire du PRO tous les quatre ans. L'autorité administrative devra s'adapter en conséquence, soit en réorganisant ses priorités à effectifs constants, soit en recrutant le cas échéant des ETP supplémentaires.

Le renforcement des exigences en matière de résilience des activités d'importance vitale doit permettre de limiter les impacts d'une crise ou de problèmes majeurs d'un opérateur d'importance vitale sur le fonctionnement de la société.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Le dispositif conserve la catégorie spécifique des opérateurs industriels à haut-risque, notamment à des fins de protection de l'environnement. Certaines installations peuvent avoir des impacts (pollution de l'eau, de l'air, des sols, etc.) et présenter des dangers (incendie, explosion, etc.) pour l'environnement, la santé et la sécurité publique. Pour ces raisons, elles sont soumises à une autre réglementation : celle des installations classées pour la protection de l'environnement (ICPE). Certains établissements classés ICPE peuvent donc être désignés OIV (voir schémas au 1.1.2 de ce chapitre).

L'objectif de ce dispositif est également, comme c'est le cas depuis 2013, de protéger les OIV face aux risques naturels (inondations, incendie, etc.)

10. CONSULTATIONS MENÉES ET MODALITÉS D'APPLICATION

Une concertation de l'ensemble des ministères coordonnateurs a été réalisée sur cette mesure.

En application de l'article L. 1212-2 du code général des collectivités territoriales, le présent article a été soumis à l'examen du Conseil national d'évaluation des normes qui a rendu un avis défavorable le 22 mai 2024.

Enfin, le service national des enquêtes administratives de sécurité, le coordinateur général de la sécurité nucléaire, le service juridique du Secrétariat général des affaires européennes et l'Agence nationale de sécurité des systèmes d'informations ont également été consultés.

Les présentes dispositions législatives entrent en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française.

Les opérateurs d'importance vitale désignés avant l'entrée en vigueur des dispositions du titre I^er de la présente loi doivent être regardés comme désignés en application du I de l'article L. 1332-2 du code de la défense dans sa rédaction résultant du chapitre I^er de la loi à la date de son entrée en vigueur.

Ces opérateurs restent soumis aux obligations qui leurs sont applicables avant l'entrée en vigueur de la présente loi jusqu'à l'accomplissement des obligations prévues aux articles L. 1332-2 à L. 1332-5 et à l'article L. 1332-11 dans leur rédaction résultant de la présente loi.

Le présent article est applicable de plein droit sur l'ensemble du territoire de la République conformément à l'article L. 1 du code de la défense.

Aussi, les dispositions du code de la défense créées par le présent projet de loi seront applicables de plein droit à la fois dans les collectivités régies par le principe de l'identité législative (la Guadeloupe, la Guyane, la Martinique, La Réunion, Mayotte, Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon) et par le principe de la spécialité législative (les îles Wallis et Futuna, la Polynésie française, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises).

Les nouveaux articles L. 1332-2 et L. 1332-3 du code de la défense renvoient à des dispositions du code de l'environnement qui ne sont pas applicables à Saint-Barthélemy, dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les collectivités étant compétentes dans cette matière. Si l'article L. 6311-1 du code de la défense prévoit déjà une grille de lecture générale qui couvre toute la partie législative pour son application dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, il n'existe de grille similaire pour Saint-Barthélemy. Il est proposé de créer une grille sur le même modèle au sein d'un nouvel article L. 6221-2 du code de la défense, par l'article 3 du présent projet de loi.

Par ailleurs, en tant que PTOM, le droit de l'union européenne ne s'applique pas à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises. Les dispositions applicables aux seuls OIV exerçant des services essentiels au fonctionnement du marché intérieur de l'Union européenne ne seront donc pas applicables en l'absence d'adaptation.

Le présent article fera l'objet d'un décret en Conseil d'Etat, qui précisera la nature des mesures de résilience pour chaque catégorie d'opérateur d'importance vitale mentionnée au I de l'article L. 1332-2 du présent projet de loi.

Article 1^er (D) - Article L. 1332-4 du code de la défense - Analyse des dépendances

1. ETAT DES LIEUX

Aujourd'hui, les opérateurs d'importance vitale (OIV), dès qu'ils sont désignés comme tels, doivent appréhender leur dépendance potentielle avec des sous-traitants.

En effet, dans le cadre de son activité normale, un OIV peut avoir sous-traité ou externalisé une ou plusieurs fonctions concourant à la réalisation de l'activité d'importance vitale en question. Dans ce cas, il appartient à l'opérateur de prendre les dispositions nécessaires vis-à-vis de son sous-traitant ou de son fournisseur, notamment dans les spécifications du contrat les liant, pour que celui-ci concoure à la réalisation des objectifs de sécurité de l'opérateur.

Par ailleurs, les actuels plans de sécurité des opérateurs (PSO) doivent faire figurer un certain nombre de dépendances :

- Les « dépendances amont » envers d'autres systèmes (énergie, télécommunications...) doivent être prises en compte dans l'analyse globale de sécurité ;

- De la même manière, les dépendances aval (conséquences de l'arrêt de l'opérateur pour d'autres secteurs d'activités d'importance vitale) doivent être décrites ;

- Enfin, les aspects internationaux doivent également être considérés (dépendance envers d'autres pays).

Par exemple, un laboratoire pharmaceutique désigné OIV précisera, dans la mesure du possible, son niveau de dépendance en matières premières importées de l'étranger.

La description des interdépendances doit permettre à l'opérateur de s'assurer que ces vulnérabilités sont correctement identifiées et, au besoin, redondées. De la même façon, cette information permet aux pouvoirs publics d'identifier d'éventuels opérateurs qui répondraient aux critères d'un OIV.

La crise sanitaire du Covid-19 a souligné combien l'économie mondialisée reposait désormais sur des chaînes de valeurs diffuses et des processus de production extrêmement fragmentés, de la conception à la distribution. C'est ainsi que les chaînes d'approvisionnement sont elles-mêmes fortement divisées entraînant des interdépendances marquées entre nations et continents mais aussi entre secteurs d'activité. Cela correspond aux processus de régionalisation, de polarisation et de développement du commerce interbranches identifiés depuis une quinzaine d'années par des organisations comme l'organisation mondiale du commerce.

Ces interdépendances signifient que toute perturbation de services essentiels, même initialement limitée à une entité ou un secteur, peut produire des effets en cascade plus larges, entraînant éventuellement une incidence négative à long terme et de grande ampleur sur la fourniture de services dans l'ensemble du marché intérieur. Les crises majeures, telles que la pandémie de COVID-19, ont mis en évidence la vulnérabilité de nos sociétés de plus en plus interdépendantes face à des risques à faible probabilité de survenance, mais à fort impact.

Ainsi, au pic de la pandémie de Covid-19, le retour de contrôles stricts aux frontières des Etats, y compris au sein de l'Union européenne, a entrainé de nombreuses perturbations quant à la poursuite de certaines activités et/ou la distribution tant de composants intermédiaires que de produits finis de toutes natures (alimentaire, informatique, automobile, médicament, etc.).

Le contexte géopolitique, géoéconomique et sanitaire mondial se caractérise désormais par une particulière instabilité. Des conflits locaux ont dorénavant une incidence mondiale, à l'instar de l'approvisionnement en céréales perturbé par la guerre en Ukraine et le minage de la Mer Noire, principal point de départ du blé ukrainien, ou encore du conflit entre Israël et le Hamas entraînant un regain de tensions dans une région capitale pour le flux mondial des marchandises (canal de Suez) ainsi qu'en témoignent les attaques directement dirigées sur des navires commerciaux en Mer rouge par les rebelles Houtis. Il est aussi possible de citer les menaces de manoeuvres chinoises au large de Taïwan, pays dominant largement la production des semi-conducteurs (60% de la production mondiale et 90% des exemplaires les plus avancés technologiquement) devenus absolument indispensables à nos économies largement numérisées.

Les exemples sont nombreux de retard ou même de pénuries de certains produits ou denrées : ainsi, lors de la récente pandémie de COVID-19 qui a servi de mise en situation, accélérant par là-même une prise de conscience en la matière, la France a constaté sa dépendance à la production de paracétamol et à d'autres principes actifs médicamenteux, dont les productions françaises et même européennes ne suffisent plus à couvrir les besoins de la population.

Il faut aussi souligner l'impact possible de catastrophes naturelles et du changement climatique sur certaines activités, lesquelles pourraient dès lors devoir fonctionner de manière dégradée, voire même s'interrompre.

De manière générale, l'évolution vers plus d'imprévisibilité géopolitique mais aussi une diversification des menaces de toutes natures sur la scène internationale doit conduire les opérateurs d'importance vitale à intégrer davantage dans leur réflexion de protection leur propre évolution dans leur environnement d'activité et ce, au sens le plus large possible. Il ne s'agit donc plus de prendre seulement en compte la sécurité de leurs installations physiques mais bel et bien de tous les éléments qui concourent même indirectement au fonctionnement nominal de leurs activités.

Les opérateurs du secteur privé disposent d'ores et déjà de cette habitude dans la mesure où la rentabilité économique de leurs activités dépend pour large partie de l'environnement global dans lequel elles se déploient. Un approvisionnement défaillant, une chaîne de valeur interrompue et donc une ligne de production par conséquent à l'arrêt sont autant d'éléments dont ces opérateurs doivent anticiper les effets pour éviter in fine une éventuelle défaillance.

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que : « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^29(*). Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne^30(*).

Les obligations d'analyse de dépendance à la charge des OIV dont le manquement pouvant être sanctionné au niveau administratif, portent une atteinte à la liberté d'entreprendre, laquelle découle de l'article 4 de la Déclaration des droits de l'Homme et du Citoyen de 1789^31(*). Cette atteinte ne peut être ni générale ni absolue^32(*). Le législateur peut limiter l'exercice de cette liberté à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi^33(*), alors même que cette atteinte résulterait de l'exigence constitutionnelle de transposition adéquate des directives européennes^34(*), dans un objectif de sécurité et de défense de la Nation, en l'absence de disposition spécifique contraire de la Constitution^35(*) ou de mise en cause d'une règle ou d'un principe inhérent à notre identité constitutionnelle^36(*).

Enfin, en l'absence de remise en cause de ses garanties fondamentales, la liberté du commerce et de l'industrie ne s'oppose pas à l'intervention du législateur dans ce domaine^37(*).

Au niveau européen, la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC) permet désormais d'offrir un socle minimal commun de résilience à tous les opérateurs de l'UE. Elle doit être transposée dans notre droit national d'ici le 17 octobre 2024.

Son champ d'application couvre 11 secteurs : énergie, transports, infrastructures bancaires, infrastructures de marché financier, santé, eau potable, assainissement, infrastructures digitales, administration publique (niveau central), espace, alimentation.

L'identification des dépendances par les opérateurs d'importance vitale est prévue par les articles 4, 12 et 19 de la directive UE 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022.

Sans objet.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

L'application de l'article 34 de la Constitution impose l'adoption d'une disposition de nature législative, dès lors qu'elle peut être regardée comme déterminant un principe fondamental d'organisation de la défense nationale et qu'il s'agit d'une sujétion imposée aux opérateurs, ainsi qu'il a été rappelé précédemment.

Le deuxième paragraphe de l'article 12 de la directive européenne REC précise par ailleurs :

« Lorsqu'une entité critique a réalisé d'autres évaluations des risques ou établi des documents en vertu d'obligations prévues dans d'autres actes juridiques qui sont pertinents pour son évaluation des risques d'entité critique, elle peut utiliser ces évaluations et documents pour satisfaire aux exigences énoncées dans le présent article. Dans l'exercice de ses fonctions de supervision, l'autorité compétente peut déclarer qu'une évaluation des risques existante réalisée par une entité critique qui porte sur les risques et le degré de dépendance visés au premier alinéa du présent paragraphe respecte, en tout ou en partie, les obligations prévues par le présent article ».

Il peut être également souligné à nouveau que ces sujétions, qui portent atteinte à la liberté d'entreprendre et à la liberté du commerce et de l'industrie, sont proportionnées à l'objectif qui s'attache à la défense et à la résilience de la Nation.

Les dispositions envisagées visent à faire de l'analyse des dépendances une obligation en soit, et à exiger des opérateurs qu'ils en tirent les conséquences opérationnelles dans leur politique de résilience.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Cette analyse aurait pu être intégrée dans les dispositions relatives à l'analyse de risque, mais le choix a été fait d'isoler cette partie pour que les opérateurs effectuent un travail de recensement exhaustif de leurs dépendances, afin que le risque de rupture d'approvisionnement ne soit pas appréhendé comme un simple risque générique non détaillé.

Les présentes dispositions créent une obligation pour les opérateurs de réaliser une analyse des risques de dépendance à l'égard de tous les acteurs, nationaux, européens ou internationaux, susceptibles d'être indispensables à la réalisation de leur activité d'importance vitale, quel que soit le positionnement occupé dans la phase d'activité et/ou de production de ce tiers. Cette étude comprend une analyse des vulnérabilités des chaines d'approvisionnement.

Pour donner une valeur réellement préventive et une nature positive à cette analyse des dépendances, les conclusions de cette analyse doivent faire l'objet de traductions concrètes dans les mesures nécessaires pour garantir l'application des dispositions

4. ANALYSE DES DISPOSITIONS ENVISAGÉES

La présente mesure remplace l'article L. 1332-4 du code de la défense au sein du chapitre II « résilience des activités d'importance vitale » (et non plus « protection des installations d'importance vitale »).

Ces dispositions portent une atteinte à la liberté d'entreprendre et à la liberté du commerce et de l'industrie qui est proportionnée et en rapport avec l'objectif poursuivi se rattachant à la défense et à la sécurité nationale.

Les présentes dispositions du projet de loi permettent d'assurer la cohérence du droit français avec la réglementation européenne qui procède de la directive REC, notamment ses articles 4, 12 et 19, qui traitent de l'identification de leurs dépendances par les opérateurs d'importance vitale.

La présente disposition, à travers le dispositif de recensement des dépendances qu'elle prévoit, permet d'accroître la résilience globale de l'économie. En effet, en identifiant toutes les dépendances et interdépendances des opérateurs d'importance vitale, quelle que soit la localisation ou le positionnement des sous-traitants dans le processus de production, il est possible d'anticiper une crise potentielle ayant une incidence sur l'un de ces sous-traitants et donc d'assurer la préparation d'une stratégie de poursuite d'activité, y compris économique.

Une telle mesure assure à l'outil de production des entreprises l'anticipation des risques, notamment les ruptures d'approvisionnement, et leur fournit donc les moyens d'assurer sa propre continuité de fonctionnement. Les entreprises désignées comme opérateurs continueront, comme elles l'ont fait jusqu'à présent, à assumer à leurs frais les mesures indispensables à leur résilience. La logique de démonstration par la planification de la SAIV est conservée. Les entreprises désignées comme opérateurs sont tenues de prouver, par les mesures qu'ils auront prévues en lien avec l'autorité administrative, que celles-ci suffisent pour assurer leur résilience, en adéquation avec leur environnement ainsi que leur secteur d'activité.

Sans objet.

Les collectivités territoriales désignées comme opérateurs continueront, comme elles l'ont fait jusqu'à présent, à assumer à leurs frais les mesures indispensables à leur résilience, c'est pourquoi la logique de démonstration par la planification de la SAIV est conservée. Les collectivités territoriales désignées comme opérateurs sont tenues de prouver, par les mesures qu'ils auront prévues en lien avec l'autorité administrative, que celles-ci suffisent pour assurer leur résilience, en adéquation avec leur environnement ainsi que leur secteur d'activité.

Les administrations en charge de la validation des documents de planification (ministères coordonnateurs, zones de défense, préfectures de département) devront analyser le respect de ces obligations dans les documents transmis, ce qui constituera une charge de travail supplémentaire pouvant avoir des impacts sur les ressources humaines.

Le renforcement des exigences en matière de résilience des activités d'importance vitale doit permettre de limiter les impacts d'une crise ou de problèmes majeurs d'un opérateur d'importance vitale sur le fonctionnement de la société.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

5. CONSULTATIONS MENÉES ET MODALITÉS D'APPLICATION

Une concertation de l'ensemble des ministères coordonnateurs a été réalisée sur cette mesure.

En application de l'article L. 1212-2 du code général des collectivités territoriales, le présent article a été soumis à l'examen du Conseil national d'évaluation des normes qui a rendu un avis défavorable le 22 mai 2024.

Enfin, le service national des enquêtes administratives de sécurité, le coordinateur général de la sécurité nucléaire, le service juridique du Secrétariat général des affaires européennes et l'Agence nationale de sécurité des systèmes d'informations ont également été consultés.

Les présentes dispositions entrent en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française.

Les opérateurs d'importance vitale désignés avant l'entrée en vigueur des dispositions du titre I^er de la présente loi doivent être regardés comme désignés en application du I de l'article L. 1332-2 du code de la défense dans sa rédaction résultant du chapitre I^er de la loi à la date de son entrée en vigueur.

Ces opérateurs restent soumis aux obligations qui leurs sont applicables avant l'entrée en vigueur de la présente loi jusqu'à l'accomplissement des obligations prévues aux articles L. 1332-2 à L. 1332-5 et à l'article L. 1332-11 dans leur rédaction résultant de la présente loi.

Le présent article est applicable de plein droit sur l'ensemble du territoire de la République conformément à l'article L. 1 du code de la défense.

Aussi, les dispositions du code de la défense créées par le présent projet de loi seront applicables de plein droit à la fois dans les collectivités régies par le principe de l'identité législative (la Guadeloupe, la Guyane, la Martinique, La Réunion, Mayotte, Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon) et par le principe de la spécialité législative (les îles Wallis et Futuna, la Polynésie française, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises).

En tant que PTOM, le droit de l'union européenne ne s'applique pas à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises. Les dispositions applicables aux seuls OIV exerçant des services essentiels au fonctionnement du marché intérieur de l'Union européenne ne seront donc pas applicables en l'absence d'adaptation.

Le présent article fera l'objet d'un décret en Conseil d'Etat afin de préciser les modalités d'élaboration de l'analyse des dépendances.

Article 1^er (E) - Article L. 1332-5 du code de la défense - Plan Particulier de Résilience

1. ETAT DES LIEUX

Une fois désignés, les opérateurs d'importance vitale sont tenus de réaliser un Plan de sécurité d'opérateur (PSO) et identifient leurs points d'importance vitale (PIV). Ces derniers sont les établissements et ouvrages nécessaires à la réalisation des activités d'importance vitale et, sont désignés de manière formelle par un arrêté du ministère coordonnateur.

La protection des PIV repose sur deux types de plans :

- un plan particulier de protection (PPP), élaboré par l'opérateur et validé par l'autorité administrative, qui précise les mesures de protection internes prévues par l'opérateur ;

- un plan de protection externe (PPE) précise les mesures de protection externes planifiées de vigilance, de prévention, de protection et de réaction prévues par les pouvoirs publics. Ce deuxième plan est réalisé après validation par l'autorité administrative du plan particulier de protection et vise à organiser la réponse de l'Etat en cas d'incident majeur auquel le plan particulier de protection ne saurait répondre seul.

Ces deux plans sont classifiés au niveau secret et validés par arrêté préfectoral.

Dans le dispositif actuel de sécurité des activités d'importance vitale, les articles L. 1332-3 à L. 1332-5 du code de la défense, ainsi que les articles R. 1332-15 et R. 1332-23 à R. 1332-32 du code de la défense, précisent les dispositions en vigueur concernant le plan particulier de protection.

L'objectif des mesures contenues dans ces plans est de mettre en échec ou à défaut, retarder les tentatives malveillantes, à en limiter les effets et à faciliter la continuité d'activité et le rétablissement d'activité. Certaines mesures sont mises en oeuvre en permanence, d'autres de manière temporaire lorsque la nécessité s'en fait sentir ou sur décision du gouvernement ou de son représentant local (notamment dans le cadre du plan VIGIPIRATE).

Les PPP sont des outils essentiels de la SAIV dans la mesure où ils démontrent les mesures de protection prises par l'opérateur, répondant à une logique de résultats (et non de moyens) dans le cadre d'une relation de partenariat avec l'Etat.

Elaboration du plan particulier de protection (PPP)

L'opérateur élabore le PPP du PIV concerné, dans un délai de deux ans à compter de la notification de la dernière Directive nationale de sécurité (DNS) qui lui est applicable. Pour son élaboration, il s'appuie sur :

- la DNS qui correspond au secteur d'activité au titre duquel l'opérateur est désigné ;

- le PSO, dont il applique la politique de sûreté.

Le PPP doit également se conformer au plan-type défini par l'arrêté du Premier ministre du 2 juillet 2018 portant approbation du plan type de plans particuliers de protection des points d'importance vitale. Ce plan-type élaboré par le SGDSN est à la fois un guide d'aide à l'élaboration d'un PPP pour l'opérateur et un document de cadrage visant à maintenir une cohérence minimale de forme pour les plans particuliers de protection de l'ensemble des PIV situés sur le territoire national.

Par ailleurs, la législation actuelle prévoit qu'en l'absence de PSO (cas d'un opérateur qui gère ou exploite un seul PIV), le PPP doit comporter une analyse de risque.

Approbation du PPP

La décision d'approbation du PPP par le préfet de département dans le ressort duquel se trouve le PIV se fonde sur une évaluation qualitative du plan soumis par l'opérateur. Cette évaluation prend en compte :

- l'avis de la Commission zonale de défense et de sécurité (CZDS) s'il a été sollicité ;

- la conformité du plan particulier de protection par rapport au plan-type ;

- la cohérence du dispositif proposé au regard de la politique générale de protection définie par le PSO ;

- la prise en compte des prescriptions de la DNS qui s'appliquent au PIV, notamment les scénarios de menace et les objectifs de sécurité ;

- l'adéquation du dispositif proposé aux infrastructures et aux modalités d'exploitation du PIV.

En cas d'impossibilité manifeste de remplir certaines rubriques l'opérateur peut s'affranchir du plan-type dans les limites fixées par le préfet de département qui, in fine, approuve le PPP soumis par l'opérateur. Dans le cadre de l'approbation d'un PPP, le préfet de département sollicite l'avis d'au moins un représentant des services de police, de gendarmerie, d'incendie et de secours ou du ministère de la défense et, idéalement, l'expertise d'une administration déconcentrée ayant une compétence particulière sur le point. Il peut également effectuer une visite sur site de manière à apprécier la bonne adéquation du contenu du PPP, en vue de son approbation, avec les caractéristiques du PIV. L'approbation des PPP des PIV du secteur nucléaire civil nécessite obligatoirement l'avis de l'autorité en charge de l'application des articles L. 1333 et suivants de l'actuel code de la défense. Un guide d'aide à l'examen du PPP a été élaboré par le ministère de l'intérieur.

A ce stade, le taux de réalisation, puis de validation des PPP peut encore être renforcé.

Mise en oeuvre du PPP

Le PPP entre en vigueur le lendemain de la date de notification de la décision d'approbation. Il est décliné, en tant que de besoin, en consignes et en fiches réflexes qui ne sont pas nécessairement classifiées. Il est mis en oeuvre par une organisation de sécurité définie par l'opérateur et adaptée à la nature et aux caractéristiques du point et comprenant le délégué pour la défense et la sécurité du PIV. La politique d'exercices et d'audits concourt à son évaluation, en vue de son adaptation et de son amélioration.

Révision du PPP

Le PPP peut être révisé :

- à la suite d'un contrôle portant sur la mise en oeuvre du plan ;

- en cas de révision de la DNS du ou des secteurs d'activités concernés ;

- en cas de révision du PSO ;

- en cas de modification des conditions d'exploitation du PIV ou de certaines données d'environnement (urbanisation, augmentation de la délinquance, incidents de sûreté, etc.) ;

- en cas de cession du PIV ;

- à l'initiative de l'OIV.

Cette révision se fait à l'initiative de l'OIV ou sur injonction du ministre coordonnateur ou du préfet de département. Pendant toute la durée du processus de révision, le plan en vigueur continue à s'appliquer. Le plan révisé remplace le plan préexistant dès réception de l'arrêté d'approbation. Dans l'éventualité où l'opérateur contesterait le refus d'approbation du plan révisé, le PPP initial resterait en vigueur jusqu'à résolution du différend.

Modification du PPP par le préfet de département

Le préfet de département peut compléter ou modifier un PPP si l'opérateur n'a pas donné suite à l'injonction qui lui a été adressée ou si malgré les ajouts ou modifications apportés, les motifs énoncés au I de l'article R. 1332-26 de l'actuel code de la défense demeurent. Dans ce cas, le préfet de département sollicite l'avis de la CZDS sur les ajouts et modifications qu'il souhaite apporter au PPP. Ces ajouts et modifications portent sur les mesures ayant fait l'objet de l'injonction adressée à l'opérateur de compléter ou modifier ledit plan.

Diffusion du PPP

L'OIV établit, pour ce qui le concerne, les règles de diffusion interne du PPP de chacun de ses PIV, dans le respect de la réglementation relative à la protection du secret de la défense nationale. Le préfet de département, ou l'autorité militaire désignée pour le secteur « Activités militaires de l'Etat », ayant approuvé le PPP en conserve une copie, qu'il transmet également au ministre coordonnateur de l'OIV. La CIDS ou la CZDS concernée peuvent demander au préfet de département communication du PPP d'un PIV notamment en préparation d'un contrôle.

Mise en oeuvre d'équivalences

Dans le domaine du transport maritime, le code des ports maritimes édicte une équivalence automatique entre les PPP et les plans de sûreté portuaire et plans de sûreté des installations portuaires approuvés (cf. articles R. 321-19 et R. 321-26 du code des ports maritimes).

Dans les autres secteurs (cf. article R. 1332-34 du code de la défense) et afin d'éviter des redondances, il appartient au préfet de département, après avis de la CIDS, de prononcer l'équivalence totale ou partielle des plans pris au titre d'autres réglementations et couvrant le domaine de la sûreté avec le PPP. Cela peut concerner, notamment, les dispositifs ci-après :

- les programmes de sûreté d'exploitant d'aéroport (PSEA) (article R. 213-1-1 du code de l'aviation civile) ;

- le plan interne de crise défini par la loi n° 2004-811 du 13 août 2004 de modernisation de la sécurité civile ;

- les plans de sûreté élaborés en application d'accords internationaux.

Le PPP de zone d'importance vitale

Une zone d'importance vitale est une aire dans laquelle sont implantés plusieurs PIV relevant d'OIV différents, pour lesquels une prise en compte commune de la sécurité présente une plus-value. Le délégué pour la défense et la sécurité de la zone d'importance vitale élabore un PPP de la zone qui prévoit des mesures communes de protection dont l'application doit être cohérente avec les mesures de protection des PIV qui constituent la zone. L'élaboration de ce plan s'appuie sur le plan-type de PPP de PIV. Les plans de sécurité des opérateurs constituant la zone d'importance vitale et leurs analyses de risque n'y sont pas annexés. Le préfet de département ou le préfet coordonnateur prend en compte le PPP de la zone d'importance vitale dans l'élaboration ou la mise à jour du plan de protection externe des PIV.

Le délégué pour la défense et la sécurité de la zone d'importance vitale, ou à défaut les OIV de la zone concernée, disposent d'un délai maximal de deux ans à partir de la date la plus récente de notification d'une DNS à l'un des opérateurs pour présenter le PPP de la zone au préfet de département ou au préfet coordonnateur. Le préfet de département ou le préfet coordonnateur dispose d'un délai de six mois à compter de la réception du PPP de la zone d'importance vitale pour statuer.

Mise en demeure et sanctions

La législation actuelle prévoit également des mesures de mise en demeure dans le cas où les opérateurs refusent de préparer leur PPP (L. 1332-4 du code de la défense). La mise en demeure des chefs d'établissement par l'autorité administrative fixe le délai pour établir le plan dans un délai qui ne peut être inférieur à un mois (L. 1332-6 du code de la défense).

Par ailleurs, des dispositions pénales sont également prévues dans le code de la défense (L. 1332-7) : « Est puni d'une amende de 150 000 euros le fait, pour les dirigeants des opérateurs mentionnés à l'article L. 1332-4 et à l'expiration du délai défini par l'arrêté de mise en demeure, d'omettre d'établir un plan de protection ou de réaliser les travaux prévus. »

Les dispositions pénales ne sont en l'espèce pas appliquées dans le dispositif actuel, ce dernier reposant sur une coopération des opérateurs, dans la mesure où l'ensemble des mesures sont prises à leurs frais.

Le plan de protection externe est un document classifié, complémentaire du PPP, réalisé par la préfecture du département dans le ressort duquel se trouve le PIV.

Dans le dispositif actuel de sécurité des activités d'importance vitale, l'actuel article R. 1332-32 du code de la défense précise les dispositions applicables concernant le plan de protection externe (PPE).

Le PPE définit les modalités d'intervention des forces de sécurité en cas d'agression sur le PIV. Il décrit et planifie les moyens humains et matériels à mettre en oeuvre. A ce titre :

- sa rédaction doit associer les principaux acteurs concernés (groupement de gendarmerie départemental ou direction départementale de la sécurité publique) ;

- il doit tenir compte des éléments du PPP sans pour autant lui être redondant ;

- il doit être testé et complété en tant que de besoin ;

- il doit, dans la mesure du possible, faire l'objet d'une déclinaison par fiche d'intervention, fiches réflexes ou dossiers d'objectifs.

Il peut également prévoir des mesures de contrôle des zones périphériques au PIV et formalise les modalités d'échange d'informations avec l'opérateur (délégué pour la défense et la sécurité du PIV).

Le PPE doit également se conformer au plan-type défini par l'arrêté du Premier ministre du 2 juillet 2018 portant approbation du plan type de plans de protection externe des points d'importance vitale. Le plan-type du PPE est un document élaboré par le SGDSN. C'est à la fois un guide d'aide à l'élaboration d'un PPE pour la préfecture de département et visant à maintenir une cohérence minimale de forme entre l'ensemble des plans de protection externe de l'ensemble des PIV situés sur le territoire national.

En cas d'actualisation du PPP d'un PIV, le préfet de département apprécie la nécessité de réviser le PPE. L'approbation d'un PPP d'une zone d'importance vitale peut entraîner la révision des PPE des PIV qui constituent cette zone, vers un PPE unique s'appliquant à ladite ZIV.

Dans le cadre de l'élaboration du PPE, le préfet de département peut être amener à effectuer une visite sur site du PIV concerné. Le préfet de département peut permettre à l'opérateur qui en fait la demande de prendre connaissance du PPE de son PIV. Il est également recommandé de communiquer le PPE aux services de police et/ou de gendarmerie compétents - dans le respect des dispositions de protection du secret de la défense nationale - dans la mesure où il leur revient d'appliquer les mesures d'intervention prévues dans ce document.

Le taux de réalisation des PPE peut encore être amélioré, notamment via un effort de formation des équipes préfectorales.

Les opérateurs d'importance vitale sont aujourd'hui tenus de réaliser, au titre des articles L. 2151-1 et L. 2151-4 du code de la défense, des plans de continuité ou de rétablissement d'activité. Ces plans ne sont aujourd'hui pas contrôlés, sur leur contenu, par l'autorité administrative, mais l'opérateur doit justifier leur élaboration. Cette planification doit permettre à l'opérateur d'identifier les personnes qui peuvent être soumises aux obligations du service de sécurité nationale définies entre les articles L. 2151-1 et L. 2151-5 du code de la défense, c'est-à-dire les individus, qui du fait de leur fonction essentielle dans l'organisation de l'opérateur désigné, peuvent être tenus de « se [maintenir] dans leur emploi habituel ou [...] de le rejoindre ». Cela ne peut avoir lieu que si le conseil des ministres décide par décret de recourir au service de sécurité nationale (article L. 2151-2).

Ce cadre reste identique à ceux précédemment décrits, c'est-à-dire le respect d'une exigence constitutionnelle de transposition des directives européennes et d'atteinte justifiée et proportionnée à la liberté d'entreprendre compte tenu des sujétions imposées aux opérateurs.

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que : « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^38(*). Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne^39(*).

Les obligations de réaliser les plans (PPE, PPE, plan de continuité) à la charge des OIV, dont le manquement pouvant être sanctionné au niveau administratif, porte nécessairement une atteinte à la liberté d'entreprendre, laquelle découle de l'article 4 de la Déclaration des droits de l'Homme et du Citoyen de 1789^40(*). Cette atteinte ne peut être ni générale ni absolue^41(*). Le législateur peut limiter l'exercice de cette liberté à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi^42(*), alors même que cette atteinte résulterait de l'exigence constitutionnelle de transposition adéquate des directives européennes^43(*), dans un objectif de sécurité et de défense de la Nation, en l'absence de disposition spécifique contraire de la Constitution^44(*) ou de mise en cause d'une règle ou d'un principe inhérent à notre identité constitutionnelle^45(*).

Enfin, en l'absence de remise en cause de ses garanties fondamentales, la liberté du commerce et de l'industrie ne s'oppose pas à l'intervention du législateur dans ce domaine^46(*).

Au niveau européen, la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC) permet désormais d'offrir un socle minimal commun de résilience à tous les opérateurs de l'UE. Elle doit être transposée dans notre droit national d'ici le 17 octobre 2024.

Son champ d'application couvre 11 secteurs : énergie, transports, infrastructures bancaires, infrastructures de marché financier, santé, eau potable, assainissement, infrastructures digitales, administration publique (niveau central), espace, alimentation.

La directive REC consacre le passage d'une logique de protection d'infrastructures critiques physiques à une logique de résilience des entités critiques (article 1^er), qui met davantage l'accent sur la continuité de leur activité, en sus de la protection physique de leurs installations.

L'article 13 de la directive prévoit que :

« Les États membres veillent à ce que les entités critiques aient mis en place et appliquent un plan de résilience ou un ou plusieurs documents équivalents, qui décrivent les mesures prises (...). Lorsque les entités critiques ont élaboré des documents ou pris des mesures en vertu d'obligations prévues dans d'autres actes juridiques qui sont (...), elles peuvent utiliser ces documents et mesures pour satisfaire aux exigences énoncées dans le présent article. Dans l'exercice de ses fonctions de supervision, l'autorité compétente peut déclarer que des mesures existantes de renforcement de la résilience prises par une entité critique qui portent, de manière appropriée et proportionnée, sur les mesures techniques, les mesures de sécurité et les mesures organisationnelles (...) respectent, en tout ou en partie, les obligations prévues par le présent article. »

Sans objet.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

La directive européenne sur la résilience des entités critiques (REC) du 14 décembre 2022 consacre le passage d'une logique de protection d'infrastructures critiques physiques à une logique de résilience des entités critiques. Les opérateurs ne sont plus seulement tenus de protéger leurs installations et matériels. Ils sont tenus de s'assurer de la résilience de l'activité pour laquelle ils ont été désignés.

Dans le cadre de la transposition, il apparaît opportun de prendre en compte au niveau législatif la notion de « plan de résilience », qui figure expressément dans la directive, et qui n'existe pas dans le dispositif actuel.

Tout changement dans l'actuel Plan de sécurité opérateur (PSO) entraine la mise à jour des plans de protection des sites (PPP et PPE). Dans la mesure où le nouveau dispositif prévoit la création d'un plan de résilience opérateur (PRO) en lieu et place du PSO, il convient ainsi de modifier les plans de protection au niveau des PIV.

Par ailleurs, l'article 34 de la Constitution impose de recourir à la loi, pour les mêmes motifs que ceux précédemment rappelés s'agissant d'une mesure d'organisation de la défense nationale laquelle impose des sujétions à des opérateurs qui peuvent être des collectivités territoriales ou des opérateurs privés intervenant dans un secteur concurrentiel.

Le premier objectif poursuivi est la conservation des grands principes du dispositif actuel tout en incluant une dimension « résilience » à la planification de la protection des sites.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Il a été envisagé de conserver le dispositif actuel avec les PPP et PPE en ajoutant un plan de résilience à réaliser pour les PIV. Cependant, il est apparu qu'une telle option alourdirait le processus actuel et serait de nature à créer de la confusion chez les opérateurs et les préfectures.

La présente mesure consacre la création du « Plan particulier de résilience » (PPR) qui remplace l'actuel Plan particulier de protection (PPP) propre à chaque PIV. Il a également pour vocation d'intégrer les éléments auparavant indiqués dans le PPE en annexe, ainsi qu'une partie des éléments qui pouvaient apparaitre auparavant dans le plan de continuité d'activité que l'opérateur devait effectuer au titre de l'article L. 2151-4.

Ainsi l'impératif de résilience est pris en compte sans lourdeur supplémentaire pour les opérateurs ou les préfectures, et la complémentarité entre l'Etat et l'opérateur qui est l'un des principes majeurs du dispositif de sécurité des activités d'importance vitale se matérialise dans un document unique. Le choix de ce dispositif vise également à assurer une cohérence avec le plan de résilience opérateur (PRO) décrit supra.

On remarquera que le présent article aligne les mesures de police administrative qui viennent compléter le dispositif actuel sur les mesures prévues supra pour les PRO, l'impératif de clarté et de simplification étant au coeur de la réflexion.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

La présente mesure remplace l'article L. 1332-5 du code de la défense et introduit dans le droit national la notion de plan particulier de résilience (PPR). Dans un second temps, il est prévu que soit ajouté le PPE en annexe de ce nouveau plan particulier de résilience afin de simplifier le processus de planification au niveau des PIV et son approbation. La trame indicative sera proposée dans les actes réglementaires.

L'article L. 2151-4 est modifié par l'article 2 du présent projet de loi pour tenir compte de cette évolution.

Ces dispositions portent une atteinte à la liberté d'entreprendre et à la liberté du commerce et de l'industrie qui est proportionnée et en rapport avec l'objectif poursuivi se rattachant à la défense et à la sécurité nationale.

Par ailleurs, le remplacement des dispositions des actuels articles L. 1332-1 et L. 1332-2 du code de la défense implique d'en tirer les conséquences dans les dispositions de droit interne qui font référence, selon les cas, à certains établissements, installations ou ouvrages, relevant de l'article L. 1332-1 (actuel), lesquels correspondront aux infrastructures critiques des opérateurs d'importance vitale.

Cet impact ne se limite pas aux seuls établissements, installations, ouvrages mais peut également concerner les opérateurs eux-mêmes, lesquels seront désormais qualifiés par la loi d'opérateurs d'importance vitale qui seront distincts selon les modalités de désignation, au titre du 1° ou du 2° du I de l'article L. 1332-2.

Enfin, les modifications prévues s'agissant des documents de planification ont entraîné des impacts sur les dispositions internes y faisant référence.

Toutes ces modifications induites ont été regroupées au sein d'un article 2, qui procède intégralement aux modifications nécessaires. Ces dispositions n'ont par elles-mêmes aucun autre impact que celui de modifier des références textuelles.

Les dispositions de la présente mesure s'inscrivent dans le champ de la transposition de la directive européenne sur la résilience des entités critiques du (REC) du 14 décembre 2022, notamment son article 13.

Le troisième alinéa des dispositions prévues dans le présent article précise les cas où une équivalence au PPR est possible. L'objectif est de prendre en compte des normes internationales déjà existantes, notamment dans le domaine maritime et portuaire où des opérateurs déjà soumis au code ISPS (International Ship and Port Facility Security) ne sont pas tenus de réaliser de PPP quand leurs plans de sûreté sont conformes au code et validés par les instances concernées.

Les mesures de résilience prévues pourront engendrer des coûts supplémentaires pour un opérateur. Si la logique de protection physique était déjà prise en compte, la systématisation de la prise en compte de la continuité d'activité ne sera en effet pas neutre. Ces coûts sont extrêmement difficiles à évaluer tant les opérateurs de la SAIV opèrent dans des secteurs diversifiés et à différentes échelles.

Néanmoins, le principe de résilience - au coeur de cette transposition - permettra in fine à l'opérateur et - au regard de certaines dépendances - à l'ensemble du tissu économique de pouvoir maintenir son activité dans un contexte dégradé et vise à amortir les coûts imputables à la disruption de son activité.

Les mesures de résilience prévues dans les présentes dispositions peuvent engendrer des coûts supplémentaires pour un opérateur privé. Si la logique de protection physique était déjà prise en compte par les opérateurs, la systématisation de la prise en compte de la continuité d'activité ne sera pas neutre. Ces coûts sont extrêmement difficiles à évaluer tant les opérateurs de la SAIV opèrent dans des secteurs diversifiés et à différentes échelles.

Néanmoins, la mise en oeuvre de mesures de résilience permet à l'opérateur de maintenir son activité dans un contexte dégradé, contribuant à prévenir des coûts potentiellement bien supérieurs en cas de disruption de son activité. En outre, la résilience accrue de l'ensemble des opérateurs est de nature également à prévenir l'apparition de coûts en cas de disruption de l'activité d'un fournisseur pour les mêmes motifs.

Le nouveau dispositif n'entraine pas de changement quant au mode de coopération avec les OIV publics et privés, qui continueront de contribuer à leurs frais.

La transformation du PPP en PPR ainsi que l'addition du PPE en annexe de ce dernier impliquera des coûts supplémentaires limités, qu'il convient de mettre en perspective avec les coûts majeurs d'une interruption totale de leurs activités.

Les dispositions de la présente mesure n'entraînent pas d'impact supplémentaire pour les collectivités territoriales par rapport au dispositif actuellement en vigueur. Certaines collectivités territoriales sont en effet déjà désignées opérateur d'importance vitale en raison des activités qu'elles assurent pour leurs administrés. Le changement d'appellation de PPR (à la place de PPP) n'aura ainsi qu'un impact marginal.

La simplification du processus d'élaboration et de validation de PPR aura pour effet une simplification du dispositif sur les services administratifs. Cela aura toutefois pour conséquence d'obliger les services administratifs - délégation militaire départementale pour les PIV militaires comme préfectures pour les PIV civils - de vérifier la bonne prise en compte et mise en place de mesures de continuité d'activité par les opérateurs, ce qui n'était autrefois pas vérifié.

De plus, la directive européenne induit la nécessité d'études périodiques de l'évaluation des risques.

De l'analyse des risques découle la rédaction du PRO puis du PPR, impliquant que ces derniers devront être revus au moins tous les quatre ans, faisant peser une charge supplémentaire sur les services administratifs concourants à toute la chaîne d'élaboration des plans mentionnée supra : préfectures, zones de défense et de sécurité, SGDSN. Un besoin en ressources humaines supplémentaires peut ici être envisagé.

Le renforcement des exigences en matière de résilience des activités d'importance vitale doit permettre de limiter les impacts d'une crise ou de problèmes majeurs d'un opérateur d'importance vitale sur le fonctionnement de la société.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sur cet enjeu, la disposition prévue n'apporte pas de modification quant au dispositif actuel.

5. CONSULTATIONS MENÉES ET MODALITÉS D'APPLICATION

Une concertation de l'ensemble des ministères coordonnateurs a été réalisée sur cette mesure.

En application de l'article L. 1212-2 du code général des collectivités territoriales, le présent article a été soumis à l'examen du Conseil national d'évaluation des normes qui a rendu un avis défavorable le 22 mai 2024.

Enfin, le service national des enquêtes administratives de sécurité, le coordinateur général de la sécurité nucléaire, le service juridique du Secrétariat général des affaires européennes et l'Agence nationale de sécurité des systèmes d'informations ont également été consultés.

Les présentes dispositions entrent en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française.

Les opérateurs d'importance vitale désignés avant l'entrée en vigueur des dispositions du titre I^er de la présente loi doivent être regardés comme désignés en application du I de l'article L. 1332-2 du code de la défense dans sa rédaction résultant du chapitre I^er de la loi à la date de son entrée en vigueur.

Ces opérateurs restent soumis aux obligations qui leurs sont applicables avant l'entrée en vigueur de la présente loi jusqu'à l'accomplissement des obligations prévues aux articles L. 1332-2 à L. 1332-5 et à l'article L. 1332-11 dans leur rédaction résultant de la présente loi.

Le présent article est applicable de plein droit sur l'ensemble du territoire de la République conformément à l'article L. 1 du code de la défense.

Aussi, les dispositions du code de la défense créées par le présent projet de loi seront applicables de plein droit à la fois dans les collectivités régies par le principe de l'identité législative (la Guadeloupe, la Guyane, la Martinique, La Réunion, Mayotte, Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon) et par le principe de la spécialité législative (les îles Wallis et Futuna, la Polynésie française, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises).

En tant que PTOM, le droit de l'union européenne ne s'applique pas à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises. Les dispositions applicables aux seuls OIV exerçant des services essentiels au fonctionnement du marché intérieur de l'Union européenne ne seront donc pas applicables en l'absence d'adaptation.

Le présent article fera l'objet d'un décret en Conseil d'Etat afin de préciser les modalités d'élaboration des plans particuliers de résilience.

Article 1^er (F) - Article L. 1332-6 du code de la défense - Enquêtes administratives de sécurité

1. ETAT DES LIEUX

Une introduction des enquêtes administratives de sécurité dans la loi LOPPSI 2.

Le dispositif de contrôle de l'accès aux points d'importance vitale, qui permet aux opérateurs désignés OIV de demander la réalisation d'enquêtes administratives de sécurité, a été créé par la loi n° 2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure (dite loi « LOPPSI 2 »). Les dispositions d'application ont été fixées par le décret n° 2012-491 du 16 avril 2012.

L'argumentaire mis en avant dans le rapport soumis à l'Assemblée Nationale et permettant de justifier l'instauration de cette mesure était que, si les opérateurs privés comme publics devaient coopérer à leur frais afin d'assurer la protection de leurs sites les plus sensibles, certaines dispositions relatives à l'accès des sites devaient être ajoutées. Le rapport^47(*) indique en effet que le dispositif n'était « pas complet dans la mesure où il ne comporte pas de dispositions relatives à l'accès à ces installations d'importance vitale ».

La mise en oeuvre de cette disposition permettait de plus d'harmoniser les pratiques : en effet, certains sites disposaient déjà de la possibilité de réaliser des procédures d'accès réglementé contrôlées par le préfet.

L'introduction de cet article dans la LOPPSI 2 avait donc pour but de donner à l'opérateur la possibilité de demander une enquête administrative de sécurité pour toutes les installations identifiées comme d'importance vitale, en se fondant sur deux principes :

- Dans tous les cas, l'accès à tout ou partie de ces zones peut être réglementé par le gestionnaire de l'établissement, installation ou ouvrage ;

- La décision d'autorisation d'accès pourra être précédée d'une demande d'avis à l'autorité administrative, dans des conditions et selon les modalités précisées par décret en Conseil d'Etat. Un opérateur d'importance vitale ne devait donc pas avoir à systématiquement demander une enquête administrative pour autoriser l'accès à l'ensemble de ses installations.

Le rapport en question établissait en effet que les besoins relatifs au contrôle d'accès pour chaque secteur d'activité devaient être identifiés dans les directives nationales de sécurité.

Après la parution du décret d'application n° 2012-491 du 16 avril 2012, les opérateurs d'importance vitale ont donc obtenu la possibilité de demander la réalisation d'une enquête administrative de sécurité. Cette enquête, devant être réalisée en une dizaine de jours, permet la consultation de différents types de fichiers :

- les fichiers d'antécédents judiciaires ;

- les fichiers de personnes recherchées ;

- les fichiers de services chargés de l'information générale (traitement de données relatif à la prévention des atteintes à la sécurité publique) ;

- les fichiers de renseignement.

Ces fichiers consultables sont régis par l'article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Dans le cadre de la procédure, les services enquêteurs peuvent également avoir accès au bulletin n°2 du casier judiciaire. Ils ne peuvent par contre avoir accès aux fichiers d'identification. La disposition existante précise également que la personne demandant l'accès au site ait connaissance de la procédure en cours.

Procédure de la demande d'avis à l'autorité administrative

La saisine pour avis du préfet ou de l'autorité militaire compétente, en ce qu'elle permet la réalisation d'une enquête administrative sur des personnes accédant à un PIV, participe au dispositif général de prévention de ces sites contre tout acte de malveillance. La procédure répond aujourd'hui au principe de complémentarité du dispositif entre l'Etat et l'opérateur. Elle contribue, en amont, à la protection des composants les plus névralgiques d'un point d'importance vitale. Si la décision d'autorisation d'accès d'une personne à un point d'importance vitale relève bien du seul opérateur, l'administration lui apporte son concours dans ce processus décisionnel. Les articles R. 1332-22-1 à R. 1332-22-3 précisent l'actuel article L. 1332-2-1 du code de la défense en prévoyant la procédure par laquelle, avant d'autoriser l'accès d'une personne à un point d'importance vitale qu'il gère, l'opérateur peut solliciter l'avis du préfet de département dans lequel est situé le PIV.

Pour les opérateurs d'importance vitale dont le ministre coordonnateur est le ministre de la défense, leur demande d'avis est adressée à l'autorité militaire désignée (service enquêteur du ministère de la défense).

Pour les opérateurs d'importance vitale relevant du domaine nucléaire, leur demande d'avis est adressée directement au commandement spécialisé pour la sécurité nucléaire (CoSSeN) depuis la création du service en question le 20 avril 2017. Le CoSSeN, service à compétence nationale rattaché à la direction générale de la gendarmerie nationale, dispose d'un département chargé d'« assurer le contrôle et le suivi administratif des personnes accédant aux installations nucléaires ainsi que la maitrise des risques métier inhérents à la sécurité des activités nucléaires. Le département comprend le bureau des accédants du nucléaire chargé d'assurer le suivi et le contrôle de toutes les personnes physiques et morales qui sont amenées à accéder aux installations concourant aux activités nucléaires ou à des informations classifiées à ce titre » (article 3 de l'arrêté du 20 avril 2017 portant organisation et fonctionnement du service à compétence nationale dénommé « Commandement spécialisé pour la sécurité nucléaire »).

De manière à faciliter les échanges et à réduire les temps de traitement de l'enquête par les services territoriaux compétents, la demande doit, dans la mesure du possible, être émise par le délégué à la défense et à la sécurité (DDS) du PIV concerné. La demande d'avis doit être signée par le DDS et adressée par écrit dématérialisé au préfet du département (préfet de police, le cas échéant), à l'autorité militaire dans lequel se situe le PIV ou sur la plateforme dédiée à cette demande du CoSSeN.

Elle doit impérativement comporter les informations suivantes, regroupées en trois rubriques :

Données relatives à l'opérateur et au PIV :

- année / numéro d'ordre de la demande pour le PIV concerné ;

- numéro de triplet.

Données relatives à la personne :

- nom et prénom(s) ;

- date et lieu de naissance ;

- domicile actuel ;

- nom de l'employeur (si différent du demandeur) ;

- profession.

Données relatives à l'accès au site :

- désignation, conformément au zonage codifié dans le PPP, de la partie ou des parties du PIV justifiant une demande d'avis en vue de l'accès ;

- justification de la nécessité de l'accès à la partie du PIV concernée ;

- justification de l'impossibilité de mettre en place des mesures de prévention autres ;

- durée prévue de l'accès au site (date, durée, période et répétition éventuelle) ;

- numéro d'immatriculation du véhicule (si l'accès en véhicule est sollicité).

Aucun élément d'identification du PIV ou de l'opérateur (charte graphique, logo, etc.) ne doit figurer sur le document transmis de manière à ce qu'il puisse être acheminé par voie dématérialisée. Il revient à l'opérateur, dans son intérêt propre, d'effectuer la demande le plus en amont possible de la date prévue d'accès au point d'importance vitale. Dans la mesure du possible, et sauf exception précisée infra, l'opérateur sollicite les services préfectoraux au minimum 3 semaines avant la venue effective sur site de la personne concernée.

De la même manière, et sauf exception, l'OIV dont le ministre coordonnateur est le ministère chargé de la défense sollicite l'autorité militaire désignée au minimum 2 mois avant la venue effective sur site de la personne concernée.

En cas d'urgence dûment justifiée par l'OIV, ce délai de sollicitation peut être réduit à 72 h. Les services préfectoraux instruisent alors la demande en priorité afin, dans la mesure du possible, de rendre un avis dans les délais compatibles avec la date prévue de l'accès au PIV par la personne concernée. Cette procédure exceptionnelle ne doit aucunement venir palier un défaut d'organisation interne de l'opérateur. Le recours à cette procédure ne peut en aucun cas revêtir un caractère systématique. La demande devra être transmise à la préfecture ou à l'autorité militaire selon la procédure dématérialisée habituelle en utilisant le document prévu pour celle-ci. Dans tous les cas, la production de l'avis par l'administration n'est pas un préalable obligatoire à l'accès d'une personne à un point d'importance vitale.

Encadrement des possibilités de demandes d'avis

Conformément aux dispositions légales et réglementaires, les demandes d'avis adressées à l'administration sont encadrées au regard, d'une part, des lieux compris dans le PIV auquel il est accédé (encadrement ratione loci) et, d'autre part, des personnes accédant à ces lieux (encadrement ratione personae) :

· Encadrement ratione loci de la demande d'avis

La demande d'avis ne peut concerner que l'accès aux parties du PIV devant faire l'objet d'une surveillance particulière car présentant une vulnérabilité spécifique au regard des scénarios de menaces retenues. Ces parties du PIV doivent être précisément identifiées dans le PPP (zonage codé). Elles peuvent correspondre, en tout ou en partie, aux composants névralgiques identifiés par le PPP. Les zones dont l'accès sera soumis au dispositif SAIV doivent être explicitement mentionnées dans le PPP en référençant notamment l'article R. 1332-22-1 du code de la défense. Il faut exclure, par exemple, les zones recevant temporairement ou de façon permanente du public telles que les postes d'accueil, les salles de réunion ou les salles de conférence. De même, les PIV sans dispositif de filtrage et de contrôle des accès sont exclus du dispositif.

· Encadrement ratione personae de la demande d'avis

Conformément à l'article R. 1332-22-2 de l'actuel code de la défense, deux catégories de personnes ne peuvent faire l'objet d'une demande d'avis quant à leur accès aux PIV :

- les personnes mentionnées par le décret n° 2005-1124 du 6 septembre 2005 fixant la liste des enquêtes administratives donnant lieu à la consultation des traitements automatisés de données personnelles mentionnés à l'article 230-6 du code de procédure pénale. En effet, du fait de leur emploi ou des fonctions qu'elles occupent lors de leur accès au PIV, ces personnes ont déjà fait l'objet d'une enquête administrative.

- les personnes dont l'accès au PIV fait l'objet de mesures de prévention et de sécurité suffisantes.

Il s'agit là des personnes qui, du fait notamment de la nature et de la durée de leur accès au site, peuvent faire l'objet d'un contrôle suffisant rendant inutile la réalisation d'une enquête administrative, et donc la formulation d'une demande d'avis auprès de l'administration. Il peut, par exemple, s'agir de personnes effectuant une courte visite du PIV et pouvant être accompagnées durant cette visite ou de personnes (stagiaires...) ne pouvant accéder aux parties les plus sensibles du PIV du fait de dispositifs d'accès restreint aux différentes parties du PIV.

Par ailleurs, sont exclues de l'application du dispositif l'ensemble des personnes ayant à accéder à un PIV à l'occasion d'une ouverture au public et ce quel qu'en soit la forme (conférences, journées portes ouvertes, etc.). Le PPP doit préciser les mesures de prévention et de sécurité mises en place pour contrôler l'accès aux différentes parties du PIV selon la raison pour laquelle cet accès s'effectue.

Avant de réaliser une enquête administrative, les services préfectoraux s'assurent que la demande d'avis formulée par l'OIV ne contrevient pas à ces critères ratione loci et ratione personae. Toute demande d'avis doit donc être justifiée au regard de ces critères. A défaut, elle sera rejetée par utilisation d'un formulaire de rejet dédié à cet effet.

Information de la personne accédant au PIV par l'opérateur d'importance vitale

L'opérateur doit obligatoirement notifier par écrit à la personne concernée qu'il a sollicité l'avis de l'administration quant à son accès au site et que, dans, ce cadre, conformément aux dispositions législatives et réglementaires en vigueur, elle fait l'objet d'une enquête administrative.

Il peut pour cela s'appuyer sur la formulation suivante :

« Dans le cadre de ... (raison de l'accès au site), vous allez être amené(e) à accéder à un/des site(s) relevant de la responsabilité de notre société. Afin de sécuriser l'accès à ce(s) site(s), et conformément aux dispositions législatives et réglementaires en vigueur, nous avons sollicité préalablement l'avis de l'autorité administrative. Dans ce cadre, une enquête administrative destinée à vérifier qu'aucun fait vous concernant n'est incompatible avec l'accès envisagé est susceptible d'être réalisée par l'autorité administrative. »

Cette notification ne doit pas faire apparaitre les raisons exactes qui prévalent au déclenchement d'une enquête. En particulier, le caractère très sensible de telle ou telle partie du point d'importance vitale ne doit pas être porté à la connaissance de la personne visée par l'enquête.

Sens de l'avis et durée de validité

Si la demande de l'opérateur est jugée recevable, le préfet émet un avis sur la compatibilité des caractéristiques de la personne avec l'accès au PIV envisagé. Afin d'émettre cet avis, une enquête administrative est diligentée.

· Sens de l'avis

A la suite de l'enquête administrative, le préfet transmet à l'opérateur d'importance vitale un avis précisant si les caractéristiques de la personne concernée sont « compatibles » ou « incompatibles » avec l'accès aux zones désignées du PIV. Cet avis, qui n'est pas une décision administrative, n'est pas motivé. Il n'est pas contraignant pour l'OIV qui reste le seul responsable de l'accès d'une personne au site dont il a la charge.

· Durée de validité de l'avis

L'avis formulé par l'administration est valable pour une durée de trois ans. Ce délai doit être entendu comme le terme avant lequel l'OIV ne sollicitera pas à nouveau l'administration pour l'accès de la même personne au même PIV. Néanmoins, si les conditions nécessaires à la délivrance de l'avis évoluent, c'est-à-dire que des changements radicaux de situation ou de comportement sont notés par le délégué à la défense et à la sécurité du site concerné, l'opérateur peut solliciter un nouvel avis de l'administration qui jugera de l'opportunité de conduire à nouveau une enquête.

Principes et cadre de l'enquête administrative

Conformément aux dispositions des articles L. 1332-2-1 et R. 1332-22-1 du code de la défense, l'enquête administrative peut donner lieu à la consultation du bulletin n° 2 du casier judiciaire ainsi que des traitements automatisés de données à caractère personnel relevant de l'article 26 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Les fichiers d'identification ne peuvent cependant pas être consultés.

Les services, civils ou militaires, en charge de l'enquête administrative doivent pouvoir s'appuyer sur l'ensemble des traitements automatisés de données visés au paragraphe précédent quel que soit l'organisme de gestion. Une collaboration efficace doit donc être mise en place entre les services du ministère de l'intérieur et ceux du ministère chargé de la défense afin de s'assurer que tous les traitements automatisés de données opportuns soient consultés, sans qu'il en résulte pour autant une obligation de communication compte tenu de la nature de certaines informations.

Ainsi, en tant que de besoin, les services du ministère de l'intérieur peuvent solliciter le concours des services du ministère chargé de la défense dans le cadre des demandes d'avis émanant d'opérateurs ne relevant pas du ministère chargé de la défense et, réciproquement, les services du ministère chargé de la défense peuvent solliciter le concours de ceux du ministère de l'intérieur pour les demandes d'avis émanant d'opérateur relevant du ministère chargé de la défense.

Le dispositif de contrôle d'accès aux points d'importance vitale ne se substitue pas aux dispositifs déjà existants fondés sur d'autres bases légales et permettant le contrôle de l'accès à des zones spécifiques.

Les enquêtes peuvent également avoir accès aux fichiers européens dédiés à cet effet - par exemple le système d'information Schengen (SIS) via le système ACCReD (automatisation de la consultation centralisée de renseignements et de données) créé en 2017, mais aussi au système européen d'information sur les casiers judiciaires (ECRIS), qui permet aux Etats européens d'échanger sur les condamnations d'un ressortissant national et devrait sous peu permettre aux Etats européens d'échanger sur les condamnations effectuées sur leur territoire pour des ressortissants étrangers (cette disposition doit être mise en oeuvre en 2024).

Portée de l'avis rendu pour les opérateurs

Sur le sujet des enquêtes administratives de sécurité, le Conseil d'Etat, lors de l'examen du projet de loi relatif aux jeux Olympiques et Paralympiques de 2024 et portant diverses autres dispositions, a émis l'avis suivant :

« Le Conseil d'Etat examine ensuite l'article L. 211-11-1 au regard de l'article 12 de la Déclaration des droits de l'homme et du citoyen de 1789 dont il découle qu'une personne privée ne peut être investie de pouvoirs de police administrative générale, inhérente à l'exercice de la force publique (Décision n° 2011-625 DC du 10 mars 2011 systèmes de vidéo protection sur la voie publique).

Il constate que l'article L. 211-11-1 crée un dispositif destiné à assurer la sécurité de grands événements auquel le Gouvernement peut décider de recourir par décret en cas de risque exceptionnel de menace terroriste, qui repose sur le contrôle par l'organisateur de l'accès aux équipements et installations qui accueillent ces grands événements des personnes autres que les spectateurs et les participants.

A l'occasion des jeux Olympiques et Paralympiques de 2024, l'article L. 211-11-1 est susceptible de s'appliquer à des événements d'une ampleur exceptionnelle dans des lieux fréquentés par des millions de personnes, y compris dans des installations mises en place dans des espaces publics. Ce dispositif devrait, selon les informations transmises par le Gouvernement, conduire les organisateurs des jeux Olympiques et Paralympiques à prendre, après autant d'enquêtes administratives, près de 750 000 décisions relatives à l'accès des personnes autres que les spectateurs aux installations et équipements dans lesquels se dérouleront ou seront retransmis les événements.

Alors que ces décisions d'autorisation d'accès constituent l'élément central de ce dispositif de sécurité, l'article L. 211-11-1 reconnait aux organisateurs un pouvoir discrétionnaire. Il laisse l'organisateur libre d'autoriser l'accès à ces lieux à des personnes qui auraient fait l'objet d'un avis défavorable de l'autorité administrative, étant rappelé que selon son deuxième alinéa « un avis défavorable ne peut être émis que s'il ressort de l'enquête administrative que le comportement ou les agissements de la personne sont de nature à porter atteinte à la sécurité des personnes, à la sécurité publique ou à la sûreté de l'Etat ». Le texte confie ainsi à l'organisateur le pouvoir de prendre une mesure de police.

Pour ces raisons le Conseil d'Etat considère que l'article L. 211-11-1 délègue à des personnes privées des compétences de police administrative générale inhérentes à l'exercice de la « force publique », cette délégation étant amplifiée par le projet, et qu'il méconnait par suite l'article 12 de la Déclaration de 1789. Aussi, afin de ne pas exposer les dispositions du projet à cette inconstitutionnalité, le Conseil d'Etat propose que la décision d'autorisation d'accès de l'organisateur soit rendue sur avis conforme de l'autorité administrative. Il modifie le projet en ce sens. »

L'assimilation du pouvoir de déroger à un avis défavorable à une mesure de police administrative, non délégable à une personne privée, exige ainsi de rendre conforme l'avis dispensé à tout opérateur d'importance vitale privé pour toute personne ayant accès à un point ou une zone sensible du point d'importance vitale.

Volume du nombre d'enquêtes effectuées 

Compte tenu des différents secteurs d'activités d'importance vitale, plusieurs services enquêteurs sont chargés de réaliser les enquêtes administratives de sécurité au titre du dispositif :

- Le Service National des Enquêtes Administratives de Sécurité (SNEAS), saisi pour tous les sites des opérateurs civils par les préfectures sur demande des opérateurs. Ce service, qui réalise annuellement 700 000 enquêtes, estime à 70 000 le nombre d'enquêtes réalisées pour les points d'importance vitale. Le service estime qu'entre 1 et 2% de ces enquêtes donnent lieu à un avis négatif ;

- La Direction du renseignement et de la sécurité de la défense, saisie pour tous les sites relevant du ministère chargé de la défense. La direction estime réaliser 300 000 enquêtes pour les points d'importance vitale relevant de leurs secteurs d'activités (activités militaires de l'Etat et activités de l'industrie de l'armement) mais aussi pour les besoins d'habilitations du ministère ;

- Le Commandement spécialisé pour la sécurité nucléaire (CoSSeN), saisi pour les sites relevant du domaine nucléaire, étant donné que le secteur a des obligations spécifiques en termes de mesures de sureté. L'organisme estime réaliser environ 396 000 enquêtes annuelles, avec moins d'1 % d'avis défavorables (2569 très exactement pour l'année 2022).

Recours administratif 

Si la décision finale de suivre ou non l'avis transmis par l'autorité administrative reste à la main de l'opérateur - il est rappelé que la motivation de l'avis n'est jamais transmise à ce dernier -, la personne ayant fait l'objet d'un avis négatif pour laquelle l'accès à un point d'importance vitale peut avoir été refusé a la possibilité d'effectuer un recours administratif préalable obligatoire (RAPO). Ce dernier est effectué auprès du ministère coordonnateur, en sa qualité d'autorité administrative et au vu des dispositions de l'article R. 1332-33. Le ministère coordonnateur peut donc changer, s'il l'estime nécessaire, la décision d'accès ou non au site d'importance vitale, décision qui peut être contestée devant un tribunal administratif.

En premier lieu, le Conseil constitutionnel a déjà été conduit à déclarer conforme à la Constitution les dispositions de l'article 25 de la loi n° 2003-239 du 18 mars 2003 pour la sécurité intérieure pérennisant le principe des enquêtes administratives de sécurité et en étendant le champ d'intervention possible^48(*).

De telles dispositions portent nécessairement atteinte à la liberté d'entreprendre, à la liberté de circulation et au droit d'obtenir un emploi découlant de l'alinéa 5 du Préambule de la Constitution de 1946^49(*).

Toutefois, comme déjà rappelé, dès lors qu'elle est proportionnée et justifiée, le législateur peut y porter une atteinte strictement limitée aux objectifs d'ordre public et de défense nationale poursuivis. Et cette atteinte, dès lors qu'elle se concilie, sans erreur manifeste, avec le droit de chacun d'obtenir un emploi, comme c'est le cas en l'espèce, le législateur ne méconnaît pas la Constitution^50(*).

Au niveau européen, la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC) permet désormais d'offrir un socle minimal commun de résilience à tous les opérateurs de l'UE. Elle doit être transposée dans notre droit national d'ici le 17 octobre 2024.

Son champ d'application couvre 11 secteurs : énergie, transports, infrastructures bancaires, infrastructures de marché financier, santé, eau potable, assainissement, infrastructures digitales, administration publique (niveau central), espace, alimentation.

L'article 14 de la directive (UE) 2022/2557 du Parlement européen et du Conseil (REC), prévoit que : « 1. Les États membres précisent les conditions dans lesquelles une entité critique est autorisée, dans des cas dûment motivés et compte tenu de l'évaluation des risques d'État membre, à présenter des demandes de vérification des antécédents (...) ».

Cette vérification concerne trois catégories de personnes :

- Celles exerçant des fonctions considérées comme sensibles pour l'opérateur ;

- Celles qui accèdent physiquement ou à distance aux PIV ou aux systèmes d'information ;

- Celles pour lesquelles un recrutement est envisagé sur un poste sensible.

Plusieurs Etats membres, notamment la Belgique, disposent de dispositifs comparables au système actuellement en vigueur en France.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

L'article 14 de la directive REC demande aux Etats membres de « prévoir les conditions dans lesquelles une entité critique est autorisée, dans des cas dûment motivés et compte tenu de l'évaluation des risques d'Etat membre, à présenter des demandes de vérification des antécédents des personnes ». Ces enquêtes doivent pouvoir porter sur un champ plus large que le cadre français actuel, à savoir sur :

- les personnes qui occupent des fonctions sensibles au sein de l'opérateur d'importance vitale ou pour le compte de celui-ci, notamment en ce qui concerne la résilience de l'entité ;

- les personnes ayant accès à distance aux locaux et aux systèmes d'informations ou de contrôle de l'opérateur, y compris en lien avec sa sécurité ;

- les personnes dont le recrutement est envisagé à des postes répondant aux critères énoncés aux points précédents.

La directive REC prévoit également un certain nombre de conditions dans le traitement de ces demandes. Les Etats membres doivent en effet traiter ces demandes dans un délai « raisonnable », de manière conforme au droit national et aux procédures nationales, ainsi qu'au droit de l'Union européenne. Ces demandes doivent être « proportionnées et strictement limitées à ce qui est nécessaire. Elles sont effectuées dans le seul but d'évaluer un risque potentiel pour la sécurité de l'entité [...] concernée » (paragraphe 2 de l'article 14 de la directive « REC »). Ces demandes doivent a minima corroborer l'identité de la personne faisant l'objet d'une demande de « criblage » et vérifier les casiers judiciaires de ladite personne.

Au vu de ces éléments et de la possibilité donnée à des opérateurs, publics comme privés, de demander la réalisation d'enquêtes administratives de sécurité au regard de leur statut d'opérateur d'importance vitale, il apparait indispensable de cadrer ces dispositions au niveau législatif, puis de les décliner au niveau réglementaire afin d'offrir les garanties nécessaires aux individus qui pourraient faire l'objet de telles enquêtes. L'article 34 de la Constitution réserve en effet à la loi le soin de fixer les règles en matière d'organisation de la Défense nationale et d'exercice des libertés publiques.

Les dispositions proposées visent à la fois à mettre en cohérence le dispositif avec le nouveau champ prévu par la directive (accès à distance et fonctions sensibles) et avec l'avis du Conseil d'Etat susmentionné.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Sans objet.

Le dispositif retenu prévoit l'élargissement du champ des enquêtes administratives de sécurité aux accès à distance aux PIV, ainsi qu'aux fonctions sensibles, conformément à la directive. Il acte également le passage à un avis conforme lorsque celui-ci est négatif et demandé par une personne privée, pour tenir compte de l'avis susmentionné.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

La présente mesure remplace l'article L. 1332-6 du code de la défense, désormais consacré au cadre des enquêtes administratives de sécurité pour l'accès aux PIV, qui figurait à l'article L. 1332-2-1 du même code.

De telles dispositions portent atteinte à la liberté d'entreprendre, à la liberté de circulation et au droit d'obtenir un emploi. Ces atteintes sont toutefois proportionnées et justifiées par des motifs liés à l'ordre public et à la défense nationale. Par ailleurs, cette atteinte se concilie avec le droit de chacun d'obtenir un emploi.

Les dispositions de la présente mesure s'inscrivent dans le champ de la transposition de la directive européenne sur la résilience des entités critiques du (REC) du 14 décembre 2022, notamment son article 14.

Les mesures de résilience prévues pourront engendrer des coûts supplémentaires pour un opérateur. Si la logique de protection physique était déjà prise en compte, la systématisation de la prise en compte de la continuité d'activité ne sera en effet pas neutre. Ces coûts sont extrêmement difficiles à évaluer tant les opérateurs de la SAIV opèrent dans des secteurs diversifiés et à différentes échelles.

Néanmoins, le principe de résilience - au coeur de cette transposition - permettra in fine à l'opérateur et - au regard de certaines dépendances - à l'ensemble du tissu économique de pouvoir maintenir son activité dans un contexte dégradé et vise à amortir les coûts imputables à la disruption de son activité.

Les opérateurs pourront solliciter des enquêtes sur un champ plus large, afin de renforcer leur sécurité. Ils ne pourront toutefois plus déroger aux avis défavorables, dès lors que l'entité dispose d'un statut privé, conformément à l'avis du Conseil d'Etat susmentionné.

L'élargissement du champ des enquêtes pourrait avoir une incidence sur le volume d'enquêtes réalisées, nécessitant un renforcement en ressources humaines des services enquêteurs concernés.

Sans objet.

Comme évoqué supra, l'élargissement du champ des enquêtes pourrait avoir une incidence sur le volume d'enquêtes réalisées, nécessitant un renforcement en ressources humaines des services enquêteurs concernés : le Service National des Enquêtes Administratives de Sécurité (SNEAS), la Direction du renseignement et de la sécurité de la défense, et le Commandement spécialisé pour la sécurité nucléaire (CoSSeN).

Le renforcement des exigences en matière de sécurité des activités d'importance vitale doit permettre de limiter les impacts d'une crise ou de problèmes majeurs d'un opérateur d'importance vitale sur le fonctionnement de la société.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Les modalités de réalisation des enquêtes demeurent inchangées. Seul le périmètre des enquêtes est élargi. 

Sans objet.

5. CONSULTATIONS MENÉES ET MODALITÉS D'APPLICATION

Une concertation de l'ensemble des ministères coordonnateurs a été réalisée sur cette mesure.

En application de l'article L. 1212-2 du code général des collectivités territoriales, le présent article a été soumis à l'examen du Conseil national d'évaluation des normes qui a rendu un avis défavorable le 22 mai 2024.

Enfin, le service national des enquêtes administratives de sécurité, le coordinateur général de la sécurité nucléaire, le service juridique du Secrétariat général des affaires européennes et l'Agence nationale de sécurité des systèmes d'informations ont également été consultés.

Les présentes dispositions entrent en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française.

Le présent article est applicable de plein droit sur l'ensemble du territoire de la République conformément à l'article L. 1 du code de la défense.

Aussi, les dispositions du code de la défense créées par le présent projet de loi seront applicables de plein droit à la fois dans les collectivités régies par le principe de l'identité législative (la Guadeloupe, la Guyane, la Martinique, La Réunion, Mayotte, Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon) et par le principe de la spécialité législative (les îles Wallis et Futuna, la Polynésie française, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises).

En tant que PTOM, le droit de l'union européenne ne s'applique pas à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises. Les dispositions applicables aux seuls OIV exerçant des services essentiels au fonctionnement du marché intérieur de l'Union européenne ne seront donc pas applicables en l'absence d'adaptation.

Le présent article, à l'instar des autres dispositions législatives du Titre I du présent projet de loi, fera l'objet d'un décret en Conseil d'Etat afin de préciser les modalités et les cas de saisine d'une demande d'enquête administrative.

Article 1^er (G) - Article L. 1332-7 du code de la défense - Notification d'incidents

1. ETAT DES LIEUX

Notification des incidents physiques

Le dispositif de sécurité des activités d'importance vitale actuel ne comprend pas aujourd'hui d'obligation pour les opérateurs d'importance vitale de réaliser des notifications d'incidents physiques auprès de l'autorité administrative.

Si l'obligation de notifier les incidents auprès de l'autorité administrative ne figure pas dans la loi, il est tout de même demandé aux opérateurs d'avoir une vision de leurs incidents : l'Instruction générale interministérielle n°6600 relative la sécurité des activités d'importance vitale^51(*) (IGI 6600), adoptée en 2014, rappelle bien dans la partie « Révision du PPP » (3.5.3, p. 31) que l'opérateur peut être tenu de réviser son plan particulier de protection dans plusieurs cas, y compris « en cas de modification des conditions d'exploitation du PIV ou de certaines données d'environnement (urbanisation, augmentation de la délinquance, incidents de sûreté, etc.) ». Le document mentionne également les incidents de sécurité répertoriés comme des « données intéressantes au titre de la sécurité du site »^52(*) pouvant être communiquées par l'opérateur en amont d'une visite de contrôle. Enfin, ces incidents sont également mentionnés dans la trame de rapport d'incident indiquée dans l'annexe 7^53(*) de l'IGI 6600.

Le suivi des incidents de l'opérateur d'importance vitale sur ses sites est également sous-entendu dans le guide pour l'élaboration d'un plan de sécurité d'opérateur paru en 2018. Les opérateurs, lors de l'élaboration de leur plan de sécurité opérateur (PSO), sont tenus de développer des éléments de leur dispositif d'alerte et de gestion de crise^54(*), qui comprend une partie portant sur la gestion de l'alerte. L'opérateur est donc tenu, dans sa planification qui est aujourd'hui revue par l'autorité administrative, de décrire son schéma d'alerte, de gestion des astreintes et de remontée d'incidents. Au niveau local, les points d'importance vitale sont tenus, dans leur plan particulier de protection (PPP)^55(*), de prévoir une remontée d'informations avec plusieurs entités, à savoir les autorités de décision interne, les autorités administratives (services préfectoraux, forces de sécurité intérieure, service du haut fonctionnaire de défense et de sécurité du ministère coordonnateur) ainsi que les populations et abonnés prioritaires si nécessaire.

De surcroît, les opérateurs peuvent avoir à remonter certains types d'incidents à l'autorité administrative, du fait de règlementations autres que celle relative à la sécurité des activités d'importance vitale. A titre d'exemple, les opérateurs désignés au titre du secteur des transports maritimes peuvent être tenus de remonter certains incidents qui pourraient avoir lieu sur leur site au titre de la règlementation résultant du Code international pour la sûreté des navires et des installations portuaires^56(*). C'est également le cas pour les opérateurs relevant du secteur des télécommunications au titre des dispositions en vigueur du Code des postes et des télécommunications électroniques^57(*).

Notification des incidents de cybersécurité

Les opérateurs d'importance vitale doivent, en application de l'article L. 1332-6-2 du code de la défense, notifier au Premier ministre les incidents qui affecteraient le fonctionnement des systèmes d'informations d'importance vitale (SIIV) qu'il a pu désigner au titre du L. 1332-6-1 du code de la défense. Cette obligation a été intégrée au dispositif en 2013, avec l'adoption de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale qui a créé le statut des systèmes d'informations d'importance vitale (SIIV).

Ces incidents, qui relèvent avant tout de la cybersécurité, sont dans les faits notifiés

- à l'Agence nationale de sécurité des systèmes d'informations (ANSSI), via le CERT-FR ;

- ou au ministre de la défense, en application du décret n° 2024-158 du 28 février 2024 relatif à la sécurité des systèmes d'information d'importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire ;

- ou au ministre de la défense pour ceux qui concernent la protection et le contrôle des matières nucléaires, de leurs installations, et de leurs transports qui relèvent de sa compétence ;

- à l'ANSSI, via le CERT-FR et au ministre de la transition écologique et de la cohésion des territoires pour ceux qui concernent la protection et le contrôle des matières nucléaires, de leurs installations, et de leurs transports qui relèvent de sa compétence ;

- à l'ANSSI, via le CERT-FR et au ministre de la transition écologique et de la cohésion des territoires pour ceux qui concernent la sécurité et sûreté de l'aviation civile.

L'ANSSI effectue la détection et la supervision pour les services. Le service est en charge de la coopération au niveau national et international. A ce titre, il anime un écosystème de relais au niveau ministériel et régional. Le but de ces relais régionaux ou ministériels est de sensibiliser des acteurs qui ne traitent pas de manière directe avec l'ANSSI.

Les notifications d'incidents effectuées à l'autorité nationale de sécurité des systèmes d'information et, le cas échéant, à l'ANSSI peuvent faire l'objet d'une réaction ou assistance opérationnelle de la part de l'agence ou de l'autorité. En effet, l'autorité nationale est tenue d'effectuer, sur la base du signalement effectué par l'entité, des recommandations à la suite d'un incident. La remontée d'information effectuée peut donc générer une réponse opérationnelle. Les informations remontées à l'autorité nationale de sécurité des systèmes d'information concernent :

- Tout incident qui impacterait la continuité de service de l'entité ;

- Tout incident qui impacterait un vol d'informations ;

- D'autres incidents pour lesquels il est jugé utile d'effectuer une remontée d'informations.

L'enjeu de cette remontée d'informations est d'avoir mis un certain nombre de critères en amont de la saisine de l'opérateur, afin d'obtenir des informations pertinentes, pouvant être traitées dans un laps de temps restreint.

Actuellement, les opérateurs peuvent saisir l'autorité nationale de sécurité des systèmes d'information d'un incident cyber par plusieurs canaux de remontée d'informations - formulaire, courriel, appel téléphonique, courrier papier pour les informations sensibles, etc. Le déclarant rapporte son incident, et une prise de contact est faite rapidement suivant la demande de précisions - que ce soit pour répondre à une demande d'assistance ou pour capitaliser sur les données. Il n'y a pas de réponse automatique, mais il existe des fiches réflexes ou procédures à utiliser suivant les situations - par exemple, il est rappelé à l'opérateur de faire une déclaration à la CNIL en cas de perte de données clients ou de déposer plainte. Un rappel des aides existantes peut également être effectué, ainsi que des conseils sur la communication que l'opérateur peut avoir auprès de son personnel comme de ses clients. L'opérateur indique en général s'il s'agit d'une notification obligatoire. L'autorité nationale de sécurité des systèmes d'information qualifie l'importance de l'incident. La remontée peut donc s'effectuer en deux temps : une primo-notification, effectuée de manière rapide, puis une demande à l'opérateur de produire un rapport plus approfondi via un formulaire à remplir.

Le cadre constitutionnel le respect d'une exigence constitutionnelle de transposition des directives européennes et d'atteinte justifiée et proportionnée à la liberté d'entreprendre compte tenu des sujétions imposées aux opérateurs.

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que : « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^58(*). Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne^59(*).

L'obligation de notification des incident à l'autorité administrative, à la charge des OIV, porte nécessairement une atteinte à la liberté d'entreprendre, laquelle découle de l'article 4 de la Déclaration des droits de l'Homme et du Citoyen de 1789^60(*). Cette atteinte ne peut être ni générale ni absolue^61(*). Le législateur peut limiter l'exercice de cette liberté à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi^62(*), alors même que cette atteinte résulterait de l'exigence constitutionnelle de transposition adéquate des directives européennes^63(*), dans un objectif de sécurité et de défense de la Nation, en l'absence de disposition spécifique contraire de la Constitution^64(*) ou de mise en cause d'une règle ou d'un principe inhérent à notre identité constitutionnelle^65(*).

Enfin, en l'absence de remise en cause de ses garanties fondamentales, la liberté du commerce et de l'industrie ne s'oppose pas à l'intervention du législateur dans ce domaine^66(*).

Au niveau européen, la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC) permet désormais d'offrir un socle minimal commun de résilience à tous les opérateurs de l'UE. Elle doit être transposée dans notre droit national d'ici le 17 octobre 2024.

Son champ d'application couvre 11 secteurs : énergie, transports, infrastructures bancaires, infrastructures de marché financier, santé, eau potable, assainissement, infrastructures digitales, administration publique (niveau central), espace, alimentation.

L'article 14 de la directive consacre l'obligation pour les opérateurs d'effectuer une notification de leurs incidents à l'autorité administrative. Les Etats membres doivent en effet être capables d'obtenir les informations reçues, de les traiter, de fournir à l'entité des informations pouvant l'aider à la résolution de l'incident et de prévenir les autres Etats membres et la Commission si l'incident en question est susceptible de les concerner.

L'article 15 de la directive insiste sur l'importance que ces incidents soient notifiés « sans retard injustifié » : ceux-ci doivent faire l'objet d'une première notification dans les 24h et être suivie, dans le mois qui suit l'incident, par un rapport détaillé partagé par l'entité auprès de son autorité.

Les opérateurs identifiés comme entités critiques par l'Etat membre doivent notifier à autorité administrative « les incidents qui perturbent ou sont susceptibles de perturber de manière importante la fourniture de services essentiels ». Les opérateurs auront donc à évaluer non seulement l'impact mais également les impacts possibles que pourraient avoir l'incident.

Plusieurs critères d'impact sont mis en avant dans le texte de la directive, à savoir :

- le nombre et la proportion d'utilisateurs affectés par la perturbation ;

- la durée de la perturbation ;

- la zone géographique concernée par la perturbation, en tenant compte de son éventuel isolement géographique.

La directive statue également sur le minimum d'informations que devra fournir les notifications d'incidents et le rapport détaillé d'incident, en indiquant que ces informations doivent permettre à l'autorité compétente de saisir la « nature, la cause et les conséquences possibles de l'incident, y compris toute information disponible nécessaire pour déterminer tout impact transfrontière de l'incident ».

Sans objet.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Les critères et modalités de la procédure de remontée d'incidents mentionnés aux articles 14 et 15 de la directive REC, qui doivent être adaptées pour tous les secteurs d'activités, devront être spécifiées au niveau infra-réglementaire et explicitées dans les directives nationales de sécurité (DNS). Une prise en compte des particularités des territoires ultramarins devra également être prise en compte, par exemple en identifiant des critères de remontée d'incidents pouvant être différents mais plus pertinents au regard des caractéristiques de ces territoires. L'ensemble de ces dispositions réglementaires ou infra-réglementaires nécessitent donc un cadre législatif clair. L'article 34 de la Constitution impose de recourir à la loi s'agissant d'une mesure d'organisation de la défense nationale laquelle impose des sujétions à des opérateurs qui peuvent être des collectivités territoriales ou des opérateurs privés.

Enfin, la directive dispose également que les Etats membres informent le public desdits incidents « lorsqu'ils estiment qu'il serait dans l'intérêt général de le faire ». Cette disposition, qui est une option laissée à l'appréciation des Etats membres, doit figurer dans le projet de loi.

Les dispositions prévues visent à instaurer le régime de notification d'incidents requis par la directive. En raison des différences sectorielles, il ne peut fixer de manière précise l'ensemble des critères qui pourraient être identifiés par l'entité avant de notifier son incident, il s'attache donc à ce que l'opérateur remonte tout incident qui pourrait affecter son activité d'importance vitale - activité qui est à l'origine même de sa désignation.

A terme, l'objectif de cette nouvelle obligation pour les opérateurs est que le nouveau dispositif de notification d'incident soit adapté à chaque secteur d'activité, par l'identification de critères qui seraient fixés dans les directives nationales de sécurité et via les canaux d'informations et les acteurs idoines. Des critères communs pourraient également être identifiés entre les différents secteurs, en particulier lorsque les incidents ont des origines malveillantes. Cette remontée d'informations devra se faire via les canaux d'informations idoines : certaines informations fournies par les opérateurs pourraient avoir à être protégées par le secret de la défense nationale, ou avec des procédures permettant cette protection.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Comme indiqué au point 2.2, certaines informations fournies par les opérateurs pourraient avoir à être protégées par le secret de la défense nationale, ou avec des procédures permettant cette protection, rendant l'information au public très limitée.

Le premier alinéa de l'article fixe l'obligation de notification d'incidents à l'autorité administrative, dans un délai prévu par décret en Conseil d'Etat. Le second exige de l'autorité administrative compétente qu'elle informe le public lorsqu'il est dans l'intérêt général de le faire.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

La présente disposition remplace l'article L. 1332-7 du code de la défense.

La mesure est une nouvelle obligation juridique pour le dispositif de sécurité des activités d'importance vitale. Les obligations seront complétées au niveau réglementaire puis dans les documents cadres du dispositif SAIV, les directives nationales de sécurité dont les missions et contenus seront explicitées dans le cadre réglementaire - comme c'est le cas dans le dispositif actuel.

Il faudra que les obligations de remontée d'informations prennent en compte les obligations pouvant exister pour certains secteurs sur ce sujet, par exemple pour le secteur des télécommunications qui peut être concerné par l'obligation réglementaire instaurée par l'article D. 98-5 du Code des postes et des communications électroniques.

Les dispositions de la présente mesure s'inscrivent dans le champ de la transposition de la directive européenne sur la résilience des entités critiques du (REC) du 14 décembre 2022, notamment son article 15.

Sans objet.

Le nouveau dispositif implique pour l'opérateur d'identifier dans sa planification un schéma d'alerte et de notifications d'incidents avec l'autorité administrative compétente. Il devra également mettre en oeuvre ce schéma d'alerte et de gestion de crise au sein de chaque site identifié comme point d'importance vitale.

Cela s'intègre dans les coûts des mesures de résilience prévues par l'opérateur, ainsi que dans la réalisation de ses documents de planification.

Sans objet.

Les collectivités territoriales désignées comme opérateurs continueront, comme ils l'ont fait jusqu'à présent, à assumer à leurs frais les mesures indispensables à leur résilience. Comme indiqué dans la partie 4.2.2, cette obligation sera intégrée dans la planification des opérateurs, qui devra prévoir un schéma d'alerte et de gestion de crise afin de gérer au mieux l'incident.

L'impact sur les services administratifs sera dimensionnant :

- Au niveau territorial, les préfectures ainsi que les zones de défense devront être notifiées des incidents afin de pouvoir réagir en tant que de besoin - via s'il le faut une intervention des forces de sécurité intérieure mais aussi afin d'avoir une connaissance des enjeux de leur territoire ;

- Au niveau national, un suivi par les ministères coordonnateurs ainsi que par le SGDSN sera effectué afin d'identifier rapidement les incidents pouvant avoir des incidences majeures sur la continuité d'activité des activités d'importance vitale, prévoir les mesures de réaction nécessaires et avoir un état des lieux de la malveillance ou de la menace pouvant affecter le dispositif.

Ce suivi nécessitera la mise en place de cellules opérationnelles ou d'astreinte. Un suivi des incidents devra être effectué et une analyse des conséquences desdits incidents devra être produite. Ce traitement de l'information remontée demandera un suivi de la part des différentes autorités en charge du suivi du dispositif. La fourniture d'informations aux opérateurs d'importance vitale de même qu'aux services de renseignement devra être prévue.

Pour les ministères, si certains disposaient déjà de cellules d'astreinte voire de centres opérationnels, ce n'est pas le cas de tous. Un renforcement en ressources humaines sera donc à prévoir pour les services impactés (centres de crises des ministères), afin de s'assurer que le traitement de l'information devant être fournie par l'opérateur dans les 24h soit effectué dans des délais raisonnable et qu'une possible réaction soit prévue rapidement.

Le renforcement des exigences en matière de sécurité des activités d'importance vitale doit permettre de limiter les impacts d'une crise ou de problèmes majeurs d'un opérateur d'importance vitale sur le fonctionnement de la société.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

5. CONSULTATIONS MENÉES ET MODALITÉS D'APPLICATION

Une concertation de l'ensemble des ministères coordonnateurs a été réalisée sur cette mesure.

En application de l'article L. 1212-2 du code général des collectivités territoriales, le présent article a été soumis à l'examen du Conseil national d'évaluation des normes qui a rendu un avis défavorable le 22 mai 2024.

Enfin, le service national des enquêtes administratives de sécurité, le coordinateur général de la sécurité nucléaire, le service juridique du Secrétariat général des affaires européennes et l'Agence nationale de sécurité des systèmes d'informations ont également été consultés.

Les présentes dispositions entrent en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française.

Le présent article est applicable de plein droit sur l'ensemble du territoire de la République conformément à l'article L. 1 du code de la défense.

Aussi, les dispositions du code de la défense créées par le présent projet de loi seront applicables de plein droit à la fois dans les collectivités régies par le principe de l'identité législative (la Guadeloupe, la Guyane, la Martinique, La Réunion, Mayotte, Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon) et par le principe de la spécialité législative (les îles Wallis et Futuna, la Polynésie française, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises).

En tant que PTOM, le droit de l'union européenne ne s'applique pas à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises. Les dispositions applicables aux seuls OIV exerçant des services essentiels au fonctionnement du marché intérieur de l'Union européenne ne seront donc pas applicables en l'absence d'adaptation.

Le présent article, à l'instar des autres dispositions législatives du Titre I du présent projet de loi, fera l'objet d'un décret en Conseil d'Etat afin de préciser la procédure de notification des incidents ainsi que le délai dans lequel cette notification doit intervenir.

Article 1^er (H) - Articles L. 1332-8 et 9 du code de la défense - Dispositions applicables aux entités critiques d'importance européenne particulière

1. ETAT DES LIEUX

Présentation de la directive sur les infrastructures critiques européenne de 2008

A la suite des attentats de Madrid en 2004 et Londres en 2005 dans les transports, les Etats membres de l'Union européenne ont ouvert des discussions et échanges portant sur la résilience des infrastructures critiques au niveau européen. Le programme européen de protection des infrastructures critiques (PEPIC) a été adopté en 2006^67(*). Les menaces auxquelles il doit répondre ne se limitaient pas seulement au terrorisme, mais englobaient les activités criminelles, les catastrophes naturelles et d'autres causes d'accidents, selon une approche tous risques. L'objectif général était d'améliorer la protection des infrastructures critiques dans l'Union européenne. C'est dans ce cadre qu'a été adoptée la directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l'évaluation de la nécessité d'améliorer leur protection^68(*). Cette directive, abrogée par la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC), prévoyait un mécanisme d'identification et de désignation des infrastructures critiques européennes (ICE) « dont l'arrêt ou la destruction aurait un impact considérable sur deux Etats membres au moins », dans les seuls secteurs des transports et de l'énergie. La mise en oeuvre de ce mécanisme s'appuyait sur des lignes directrices (non contraignantes) élaborées conjointement par la Commission et les Etats membres, et reposait donc essentiellement sur la coopération entre Etats membres, sur une base volontaire.

La directive REC prévoit un niveau de coopération et d'harmonisation supérieur à la directive de 2008 en :

- prévoyant un cadre minimal commun pour l'ensemble des entités critiques nationales des Etats membres, pour l'ensemble des secteurs concourant au fonctionnement du marché intérieur ;

- conservant un volet de coopération européenne entre les Etats membres ainsi qu'avec la Commission européenne via notamment la création du statut spécifique d'entité critique d'importance européenne particulière.

Les dispositions proposées résultent directement de la transposition de la directive REC qui prévoit des dispositions spécifiques pour certains opérateurs lorsqu'ils ont un intérêt au niveau de plusieurs Etats membres.

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que : « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^69(*). Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne^70(*).

Les dispositions applicables aux entités critiques d'importance européenne particulière portent nécessairement une atteinte à la liberté d'entreprendre, laquelle découle de l'article 4 de la Déclaration des droits de l'Homme et du Citoyen de 1789^71(*). Cette atteinte ne peut être ni générale ni absolue^72(*). Le législateur peut limiter l'exercice de cette liberté à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi^73(*), alors même que cette atteinte résulterait de l'exigence constitutionnelle de transposition adéquate des directives européennes^74(*), dans un objectif de sécurité et de défense de la Nation, en l'absence de disposition spécifique contraire de la Constitution^75(*) ou de mise en cause d'une règle ou d'un principe inhérent à notre identité constitutionnelle^76(*).

Enfin, en l'absence de remise en cause de ses garanties fondamentales, la liberté du commerce et de l'industrie ne s'oppose pas à l'intervention du législateur dans ce domaine^77(*).

Au niveau européen, la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC) permet désormais d'offrir un socle minimal commun de résilience à tous les opérateurs de l'UE. Elle doit être transposée dans notre droit national d'ici le 17 octobre 2024.

Son champ d'application couvre 11 secteurs : énergie, transports, infrastructures bancaires, infrastructures de marché financier, santé, eau potable, assainissement, infrastructures digitales, administration publique (niveau central), espace, alimentation.

Le chapitre IV de la directive traite des entités critiques d'importance européenne particulière.

L'article 17 de la directive crée une nouvelle catégorie d'entités considérées comme critiques au niveau européen, les « entités critiques d'importance européenne particulière », pour lesquelles la directive impose des obligations supplémentaires. Un statut spécifique pour ces entités soumises à des obligations particulières doit donc figurer dans la loi.

L'identification des entités critiques d'importance européenne particulière doit répondre à plusieurs conditions énumérées par l'article 17 de la directive :

- l'entité doit avoir été désignée en tant qu'entité critique - en France, cela sera nécessairement un opérateur d'importance vitale -,

- l'entité doit fournir les mêmes services essentiels ou des services essentiels similaires dans au moins six Etats membres ;

- l'entité a fait l'objet d'une notification de la part de l'autorité administrative sur la base d'une instruction de la Commission européenne.

Après adoption du présent projet de loi, l'entité devra avoir été désignée au titre du 1° u I de l'article L. 1332-2 du code de la défense.

L'article 18 de la directive crée pour la Commission européenne et les Etats membres concernés directement par l'entité critique d'importance européenne particulière la possibilité de réaliser des « missions de conseil ». Ces missions doivent avoir pour objectif d'évaluer les mesures mises en place par l'entité et de vérifier que l'entité met en oeuvre les obligations de résilience prévues dans la directive.

Sans objet.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

L'opérateur d'importance vitale relevant de la catégorie d'entité critique au niveau européen doit assurer une activité d'importance vitale et fournir des services essentiels au sens de la directive.

La liste de ces services essentiels est établie depuis le 25 juillet 2023 dans l'acte délégué adopté par la Commission européenne^78(*), qui permet d'identifier les services pour lesquels les Etats membres sont tenus d'effectuer leur analyse des risques en vertu de l'application de l'article 5 de la directive.

La liste des services en question doit donc être évoquée dans la loi, de même que la définition des services essentiels afin que l'identification des entités concernées par les obligations européennes soit rendue possible.

L'introduction de la mention des services essentiels dans la loi est impérative selon les règles de transposition en vigueur, d'autant plus que les autorités françaises seront tenues de s'assurer que les opérateurs d'importance vitale qu'elles désigneront au titre du futur L. 1332-2 soient en mesure d'indiquer s'ils assurent un ou plusieurs services essentiels dans d'autres Etats membres.

Dans le cas où six Etats membres ou plus seraient concernés, les autorités françaises devront notifier cette information à la Commission européenne. Cette obligation pour les autorités françaises implique qu'elles soient en mesure de fournir ces informations.

Par ailleurs, les missions de conseil prévues à l'article 18 de la directive ne peuvent être effectuées qu'avec l'accord des autorités étatiques compétentes, mais si elles ont lieu l'opérateur devra donner accès à ces « missions de conseil » et lui fournir les informations nécessaires prévues dans la directive. A la suite de son inspection, la « mission de conseil » doit fournir ses conclusions à la Commission européenne, l'Etat membre qui a désigné l'entité ainsi que les autres Etats membres pour lesquels l'entité critique d'importance européenne particulière fournit au moins un service essentiel.

L'objectif poursuivi est de s'assurer que les entités concernées par l'acte délégué de la directive, car fournissant des services considérés comme essentiels, puissent être clairement identifiées lorsqu'elles fournissent les mêmes services essentiels ou des services essentiels similaires dans au moins six Etats membres.

Cela permet aussi de faire une différenciation entre les opérateurs d'importance vitale qui sont concernés par l'application de la directive, pour lesquels les autorités françaises seront tenues d'effectuer des remontées d'information auprès de la Commission européenne et les opérateurs exclus d'obligations strictement européennes ou de remontée d'information. Les opérateurs en question sont les opérateurs concernés par l'exclusion prévue au premier article de la directive résilience des entités critiques : les secteurs régaliens - activités militaires de l'Etat, activités civiles de l'Etat, activités judiciaires, mais aussi les opérateurs dont les secteurs ne figurent pas dans l'annexe de la directive REC ou son acte délégué, à savoir le nucléaire ainsi que l'industrie. Pour l'ensemble des opérateurs désignés au titre de ces secteurs, qui seront donc considérés comme opérateurs d'importance vitale en France, aucune transmission d'information ne sera à effectuer par les autorités françaises auprès des autres Etats membres ou de la Commission européenne.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Durant les travaux interministériels a été évoqué le fait de ne pas faire de distinctions entre les secteurs concernés par la directive REC et les autres secteurs existant déjà actuellement au sein du dispositif SAIV (activités civiles de l'Etat, activités militaires de l'Etat, activités judiciaires de l'Etat, industrie, nucléaire).

Toutefois, il est apparu comme important pour des questions de souveraineté nationale de faire une distinction claire au sein de la loi entre les opérateurs concernés par les transmissions d'informations auprès d'autres Etats membres ainsi que de la Commission, en particulier pour les opérateurs qui pourraient être concernés par plusieurs secteurs au titre de la SAIV. La possibilité pour la Commission européenne d'organiser des missions de conseil au sein d'opérateurs d'importance vitale opérant sur des secteurs concernés par la directive mais aussi régaliens est apparu comme un risque trop important d'un point de vue de souveraineté pour que l'exclusion ne soit pas directement rappelée dans la loi.

Le nouvel article L. 1332-8 prévoit l'obligation, pour les opérateurs, d'informer l'autorité administrative lorsqu'ils fournissent des services essentiels dans six Etats membres ou plus, et prévoit leur régime de désignation en tant qu'entité critique d'importance européenne particulière. L'article L. 1332-9 prévoit les modalités relatives à l'exécution des missions de conseil de la Commission européenne pour ces opérateurs, incluant notamment la nécessité de l'accord préalable de l'autorité administrative.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

La présente mesure insère les nouveaux articles L. 1332-8 et L. 1332-9 du code de la défense au sein au sein du chapitre II consacré à la « Résilience des activités d'importance vitale ».

La création d'une sous-section dédiée intitulée « Dispositions applicables aux entités critiques d'importance européenne particulière » permet d'identifier les opérateurs d'importance vitale fournissant des services essentiels au sens de la directive pour six Etats membres ou plus et pouvant être de ce fait désignés entité critique d'importance européenne particulière.

Les dispositions de la présente mesure s'inscrivent dans le champ de la transposition de la directive européenne sur la résilience des entités critiques du (REC) du 14 décembre 2022, notamment ses articles 17 et 18.

La Commission européenne désigne les entités critique d'importance européenne particulière. Les opérateurs peuvent alors faire l'objet d'une mission de conseil au titre de laquelle il doit garantir l'accès aux informations, systèmes et installations relatifs à la fourniture de leurs services essentiels qui sont nécessaires à l'exécution de cette mission de conseil, dans le respect des secrets protégés par la loi.

Sur le fondement des conclusions de la mission de conseil, l'opérateur se voit communiquer par la Commission européenne un avis sur le respect de ses obligations et, le cas échéant, sur les mesures qui pourraient être prises pour améliorer sa résilience.

Sans objet.

Seules les entreprises disposant du statut d'opérateur d'importance vitale et qui fourniraient des services considérés comme essentiels au sens de l'acte délégué du 25 juillet 2023 sont concernées.

Les obligations d'accès possible en cas de mission de conseil pour les entités critiques d'importance européenne particulière et de transmission d'information sont relativement peu contraignantes. Les opérateurs au sein desquels seraient organisés des missions de conseil de la Commission pourraient avoir à mettre en place des mesures supplémentaires de résilience, mais ces mesures éventuelles seront dans tous les cas à déterminer avec les autorités administratives françaises. Elles viendraient en complément des mesures que les opérateurs doivent mettre en oeuvre au titre de la première sous-section, soit avec un impact financier limité.

Sans objet.

Seules les collectivités territoriales disposant du statut d'opérateur d'importance vitale, et qui fourniraient des services considérés comme essentiels au sens de l'acte délégué du 25 juillet 2023, sont concernés.

A l'instar d'entreprises disposant de ce statut, la nouvelle obligation créée par le présent article sera peu contraignante puisqu'elle consistera à prendre en compte le statut des opérateurs, à accorder un accès possible en cas de mission de conseil pour les entités critiques d'importance européenne particulière et à transmettre des informations supplémentaires si cela est nécessaire.

Les ministères coordonnateurs, en lien avec le SGDSN, devront déterminer, lors de la désignation de chaque opérateur d'importance vitale, si ses activités considérées comme d'importance vitale fournissent des services essentiels au sens de la directive REC. Les ministères coordonnateurs, sous couvert de la validation du SGDSN qui est l'autorité compétente identifiée auprès de la Commission européenne sur le sujet, devront également répondre aux éventuelles demandes d'organisation de mission de conseil de la Commission et contribuer à leur préparation des missions en question. Ces missions, dont le principe devra faire l'objet d'un accord de la France, devraient demeurer marginales.

En favorisant le partage d'informations et des bonnes pratiques au niveau européen sur les secteurs concernés par la directive REC, l'objectif est de favoriser la coordination entre Etats membres sur ces sujets, ce qui à terme devrait profiter à l'ensemble de la société européenne. En effet, les entités considérées comme critiques sont de plus en plus interdépendantes, une résilience plus importante de chaque Etat membre aura à termes des impacts sur l'ensemble des services de l'Union, en particulier sur les secteurs organisés en réseau.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

5. CONSULTATIONS MENÉES ET MODALITÉS D'APPLICATION

Une concertation de l'ensemble des ministères coordonnateurs a été réalisée sur cette mesure.

En application de l'article L. 1212-2 du code général des collectivités territoriales, les présentes dispositions ont été soumises à l'examen du Conseil national d'évaluation des normes qui a rendu un avis défavorable le 22 mai 2024.

Enfin, le service national des enquêtes administratives de sécurité, le coordinateur général de la sécurité nucléaire, le service juridique du Secrétariat général des affaires européennes et l'Agence nationale de sécurité des systèmes d'informations ont également été consultés.

Les présentes dispositions entrent en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française.

Les présentes dispositions sont applicables de plein droit sur l'ensemble du territoire de la République conformément à l'article L. 1 du code de la défense.

Aussi, les dispositions du code de la défense créées par le présent projet de loi seront applicables de plein droit à la fois dans les collectivités régies par le principe de l'identité législative (la Guadeloupe, la Guyane, la Martinique, La Réunion, Mayotte, Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon) et par le principe de la spécialité législative (les îles Wallis et Futuna, la Polynésie française, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises).

En tant que PTOM, le droit de l'union européenne ne s'applique pas à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises. Les dispositions applicables aux seuls OIV exerçant des services essentiels au fonctionnement du marché intérieur de l'Union européenne ne seront donc pas applicables en l'absence d'adaptation.

Les présentes dispositions feront l'objet d'un décret en Conseil d'Etat afin de préciser la procédure d'identification des entités critiques et l'obligation résultant de la qualification d'entité critique d'importance européenne particulière.

Article 1^er (I) - Article L. 1332-10 du code de la défense

1. ETAT DES LIEUX

Le cadre juridique précédemment en vigueur (avant les décrets d'application de l'article 18^79(*) de la loi n° 2022-52 du 24 janvier 2022 relative à la responsabilité pénale et à la sécurité intérieure) résultait de l'article D. 133-10 du code de l'aviation civile qui prévoyait trois régimes encadrant la prise de vue aérienne :

- Un régime d'interdiction pour les prises de vue aérienne des zones interdites, dont la liste est fixée par un arrêté interministériel revu chaque année. La dernière version de cet arrêté a été publiée au Journal officiel de la République française du 13 juin 2021 (arrêté du 10 juin 2021 fixant la liste des zones interdites à la prise de vue aérienne par appareil photographique, cinématographique ou tout autre capteur de télédétection). Les dérogations sont délivrées par le ou les ministres de tutelle des zones, à l'exception des zones situées en Guyane, du ressort du préfet territorialement compétent ;

- Un régime d'autorisation pour les prises de vue aérienne en dehors du spectre visible. Les autorisations sont délivrées par le représentant de l'Etat dans le département ou le délégué du Gouvernement dans le territoire où l'utilisateur est domicilié et par le préfet de police pour les personnes résidant à Paris ;

- Un régime déclaratif pour les enregistrements d'images ou de données dans le champ du spectre visible au-dessus du territoire national (la déclaration est faite auprès du service territorial de l'aviation civile dont relève le domicile du demandeur) ;

Ces dispositions s'appliquaient sans préjudice de celles qui permettent à certains organismes et à certaines entités d'être dispensés de l'application de l'article D. 133-10 du code de l'aviation civile.

L'article 18 de la loi du 24 janvier 2022 précitée supprime les régimes d'autorisation pour la prise de vue aérienne hors du spectre visible et le régime déclaratif. Ne subsiste que le régime d'interdiction assorti de dérogations pour la captation aérienne au-dessus des zones sensibles qui, conformément à la hiérarchie des normes, est érigé au niveau législatif.

Elle étend le périmètre de l'interdiction - et par voie de conséquence des dérogations - à d'autres opérations que la seule captation d'images. En effet, elle prend en compte la transmission, la conservation, l'utilisation et surtout la diffusion des données recueillies.

Elle prévoit des sanctions pénales lorsque ces opérations ont été réalisées sans autorisation. Plus précisément, l'article L. 6232-8 du code des transports interdit le transport par aéronef sans autorisation, des explosifs, des armes, munitions de guerres. L'article interdit également le transport et l'usage des appareils photographiques au-dessus des zones interdites sans autorisation spéciale des autorités administratives. Pour cette infraction, l'article prévoit une peine d'emprisonnement d'un an et une amende de 75 000 euros d'amende. En outre, l'article L. 6232-9 du code des transports permet la confiscation et saisie des capteurs, des appareils photographiques et des clichés de zones interdites par les forces de sécurités intérieures. Enfin, l'article L. 6232-5 du code des transports prévoit l'interdiction de piloter un aéronef pour une durée pouvant aller de trois mois à trois ans.

Il est proposé de conserver la mesure existante.

Cette mesure de sécurité, existante, n'est pas immédiatement prévue par la directive REC.

Sans objet.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Il est proposé de conserver cette mesure législative, sans la modifier, mais en la renumérotant pour tirer les conséquences des modifications du code de la défense par le présent projet de loi.

Il s'agit de reprendre la disposition existante.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Sans objet.

La disposition existante en matière de captation est conservée et figure désormais à l'article L. 1332-10 du code de la défense, tandis que la section I bis devient la sous-section 3. La référence aux opérateurs d'importance vitale est actualisée.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Le présent article L. 1332-10 du code de la défense se substitue à l'actuel article L. 1332-6-1 A du code de la défense.

Cette mesure n'est pas prévue par la directive REC.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

5. CONSULTATIONS MENÉES ET MODALITÉS D'APPLICATION

Une concertation de l'ensemble des ministères coordonnateurs a été réalisée sur cette mesure.

En application de l'article L. 1212-2 du code général des collectivités territoriales, le présent article a été soumis à l'examen du Conseil national d'évaluation des normes qui a rendu un avis défavorable le 22 mai 2024.

Enfin, le service national des enquêtes administratives de sécurité, le coordinateur général de la sécurité nucléaire, le service juridique du Secrétariat général des affaires européennes et l'Agence nationale de sécurité des systèmes d'informations ont également été consultés.

Les présentes dispositions entrent en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française.

Le présent article est applicable de plein droit sur l'ensemble du territoire de la République conformément à l'article L. 1 du code de la défense.

Aussi, la disposition est applicable de plein droit à la fois dans les collectivités régies par le principe de l'identité législative (la Guadeloupe, la Guyane, la Martinique, La Réunion, Mayotte, Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon) et par le principe de la spécialité législative (les îles Wallis et Futuna, la Polynésie française, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises).

Le présent article ne nécessite pas de texte d'application, se bornant à une reprise de l'existant.

Article 1^er (J) - Article L. 1332-11 du code de la défense - Systèmes d'information d'importance vitale

1. ETAT DES LIEUX

Fin 2013, pour faire face à l'augmentation en quantité et en sophistication des attaques informatiques, l'article 22 de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale a complété le dispositif de sécurité des activités d'importance vitale en imposant aux opérateurs d'importance vitale (OIV) le renforcement de la sécurité des systèmes d'information critiques qu'ils exploitent : les systèmes d'information d'importance vitale (SIIV).

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a pour double mission d'accompagner les opérateurs d'importance vitale (OIV) dans la sécurisation de leurs systèmes d'information critiques et de contrôler, en tant qu'autorité nationale, le respect de ce cadre réglementaire précurseur en matière de réponse à la cybermenace.

La déclaration des SIIV

Les OIV doivent identifier et déclarer leurs systèmes d'information d'importance vitale c'est à dire les systèmes les plus critiques pour lesquels une attaque avérée aurait des conséquences graves pour la Nation. Est entendu par système les plus critiques les systèmes sans lesquels l'opérateur ne pourrait réaliser son ou ses activités d'importance vitale ou systèmes qui concourent à la protection des sites critiques de l'opérateur. Les modalités de déclaration sont définies dans les arrêtés sectoriels.

L'obligation de notification des incidents à l'Autorité nationale de sécurité des systèmes d'information (article L. 1332-6-2 du code de la défense)

Les OIV doivent notifier directement l'autorité nationale de sécurité des systèmes d'information des incidents affectant leurs SIIV. Les types d'incidents à notifier sont spécifiques aux secteurs et précisés par arrêté.

La définition des règles de sécurité applicables aux SIIV

L'autorité nationale de sécurité des systèmes d'informations définit les règles techniques et organisationnelles de sécurité des systèmes d'information devant être appliquées par l'opérateur à ses SIIV. Elles sont au nombre de 20 et adressent les thématiques suivantes :

- Gouvernance et pilotage de la sécurité informatique,

- Maîtrise des risques,

- Maîtrise des systèmes d'information,

- Gestion des incidents de sécurité,

- Protection des systèmes d'information.

Les exigences sont définies dans des arrêtés sectoriels.

Contrôles de sécurité (article L. 1332-6-3)

L'autorité nationale de sécurité des systèmes d'information peut déclencher des contrôles de sécurité afin d'évaluer le niveau de sécurité de l'OIV. Le contrôle est conduit par l'ANSSI ou par un autre service de l'État ou par un prestataire d'audit qualifié par l'autorité nationale de sécurité des systèmes d'informations, ou le cas échéant, qualifié par l'ANSSI (PASSI LPM).

Crise majeure (article L. 1332-6-4)

Le Premier ministre peut imposer des mesures aux OIV afin de répondre à une crise majeure menaçant ou affectant la sécurité des systèmes d'information.

Ce dispositif (articles L. 1332-6-1 à L. 1332-6-6 du code de la défense) constitue une étape majeure dans le renforcement de la cybersécurité des infrastructures critiques. Il a d'ores et déjà permis de recenser les systèmes d'information les plus sensibles de la Nation, de sensibiliser les dirigeants d'OIV au risque cyber et a conduit à d'importants investissements en cybersécurité. Néanmoins, le niveau de maturité reste inégal entre les différents secteurs d'activité et de nombreux opérateurs ne disposent pas à ce jour de ressources suffisantes et de l'organisation adéquate pour piloter efficacement la sécurité de leurs systèmes d'information.

Afin de garantir la résilience des « activités essentielles pour l'économie et la société de l'Union européenne », la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (Network and Information Security, NIS) a établi les bases d'une cybersécurité renforcée pour un ensemble de secteurs d'activité sur le territoire de l'Union européenne.

Depuis 2016, la menace cyber a fortement évolué, devenant systémique. Alors que les cyber-attaquants se concentraient jusqu'à il y a quelques années sur les acteurs et opérateurs stratégiques, ils ciblent désormais l'ensemble du tissu social et économique. Au-delà de la menace stratégique (étatique) qui perdure, les cybercriminels sont rentrés dans une logique de vastes campagnes d'attaques et affectent un grand nombre de victimes (PME, collectivités territoriales, hôpitaux...), avec parfois des conséquences extrêmement dommageables pour nos concitoyens.

Face à la croissance forte de la menace cyber et l'augmentation du nombre de secteurs et organisations touchés qui en découle, la France a porté au niveau européen, pendant sa présidence du Conseil de l'Union européenne, la négociation d'une réglementation ambitieuse, la directive NIS 2^80(*).

Cette directive élargit considérablement le périmètre des acteurs et secteurs régulés par NIS 1. En France, cela se traduit par une augmentation du nombre d'entités régulées de 500 à 15 000 environ, et une augmentation du nombre de secteurs régulés de 6 à 18^81(*). Le périmètre retenu dans le présent projet de loi cible précisément les secteurs et les types d'entités ayant le plus grand impact potentiel sur l'économie et la société françaises.

La directive élargit également le périmètre des systèmes d'information à sécuriser. Alors que NIS 1 prévoyait une identification des systèmes d'information essentiels sur lesquels les obligations de la directive porteraient, la directive NIS 2 s'applique par défaut à l'ensemble des systèmes d'information de l'entité. Des mécanismes d'exemption de certains systèmes d'information seront toutefois permis si ces derniers n'affectent pas la réalisation des activités ou la fourniture des services de l'entité.

La directive européenne NIS2 consacre elle-même le principe de proportionnalité en prévoyant deux niveaux d'entités régulées, classées selon leur degré de criticité, leur taille et leur chiffre d'affaires (pour les entreprises) : les entités essentielles et les entités importantes. Les entités essentielles sont des structures déjà sensibilisées ou confrontées à la menace cyber. Elles seront en partie des opérateurs déjà régulés, et donc déjà soumises depuis des années à la réglementation NIS et/ou au dispositif de sécurité des activités d'importance vitale (SAIV).

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que : « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^82(*). Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne^83(*).

Les dispositions applicables aux entités critiques portent nécessairement une atteinte à la liberté d'entreprendre, laquelle découle de l'article 4 de la Déclaration des droits de l'Homme et du Citoyen de 1789^84(*). Cette atteinte ne peut être ni générale ni absolue^85(*). Le législateur peut limiter l'exercice de cette liberté à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi^86(*), alors même que cette atteinte résulterait de l'exigence constitutionnelle de transposition adéquate des directives européennes^87(*), dans un objectif de sécurité et de défense de la Nation, en l'absence de disposition spécifique contraire de la Constitution^88(*) ou de mise en cause d'une règle ou d'un principe inhérent à notre identité constitutionnelle^89(*).

Enfin, en l'absence de remise en cause de ses garanties fondamentales, la liberté du commerce et de l'industrie ne s'oppose pas à l'intervention du législateur dans ce domaine^90(*).

Au niveau européen, la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC) permet désormais d'offrir un socle minimal commun de résilience à tous les opérateurs de l'UE. Elle doit être transposée dans notre droit national d'ici le 17 octobre 2024.

Son champ d'application couvre 11 secteurs : énergie, transports, infrastructures bancaires, infrastructures de marché financier, santé, eau potable, assainissement, infrastructures digitales, administration publique (niveau central), espace, alimentation.

De plus, il est précisé dans les deux premiers articles de la directive NIS2 que les entités désignées comme entités critiques au sens de la directive REC doivent obligatoirement être désignés par les Etats membres comme entités essentielles au sens de NIS2. Ce lien entre les deux directives est clairement explicité dans le considérant 30 de la directive NIS2 :

« Vu les liens qui existent entre la cybersécurité et la sécurité physique des entités, il convient d'assurer la cohérence des approches entre la directive (UE) 2022/2557 du Parlement européen et du Conseil et la présente directive. À cet effet, les entités recensées en tant qu'entités critiques en vertu de la directive (UE) 2022/2557 devraient être considérées comme des entités essentielles en vertu de la présente directive. De plus, chaque État membre devrait veiller à ce que sa stratégie nationale en matière de cybersécurité prévoie un cadre d'action pour une coordination renforcée en son sein entre ses autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557, dans le contexte du partage d'informations relatives aux risques et aux menaces et incidents en matière de cybersécurité, ainsi qu'aux risques et aux menaces et incidents non liés à la cybersécurité, et de l'exercice des tâches de supervision. Les autorités compétentes en vertu de la présente directive et les autorités compétentes en vertu de la directive (UE) 2022/2557 devraient coopérer et échanger des informations sans retard injustifié, notamment en ce qui concerne le recensement des entités critiques, les risques, les menaces et incidents en matière de cybersécurité, ainsi que les risques, menaces et incidents non liés à la cybersécurité affectant les entités critiques, y compris les mesures physiques et de cybersécurité adoptées par les entités critiques ainsi que les résultats des activités de supervision réalisées à l'égard de ces entités ».

L'alinéa 3 de l'article 2 de la directive NIS2 prévoit que les entités critiques désignées au titre de la directive REC entrent dans le champ d'application de la directive NIS2 et doivent être considérées comme des entités essentielles au titre de cette même directive (article 1, alinéa 1, paragraphe f).

Sans objet.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

La nécessité de légiférer est requise par la transposition de la directive européenne (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (NIS 2), notamment ses deux premiers articles. Les besoins de coordination entre les autorités compétentes des directives REC et NIS2 est également rappelé dans les considérants 9 ; 13 ; 20 ; 24 ; 40 de la directive sur la résilience des entités critiques (REC) du 14 décembre 2022. La coordination entre les autorités compétentes de ces deux directives est également demandée dans les articles 1 ; 4 ; 6 ; 9 et 21 de la directive REC.

La prise en compte des dispositions de ces deux directives implique un changement du droit national : les obligations cyber actuelles des opérateurs d'importance vitale ne portaient que sur les Systèmes d'informations d'importance vitale (SIIV), donc certains systèmes d'informations de l'opérateur, ceux identifiés par lui comme les plus sensibles. La directive NIS2 va plus loin dans la logique de résilience, étant donné que tous les systèmes d'informations des opérateurs identifiés comme critiques au titre de la directive REC devront appliquer les obligations de NIS2 en tant qu'entités essentielles.

Le dispositif actuel de SAIV prend déjà en compte les SIIV. L'objectif du présent projet de loi est double : conservation des dispositions existantes et transpositions des directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (NIS 2). ainsi que la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC). Les deux textes font en effet référence dans plusieurs de leurs articles évoqués infra à l'autre directive.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Sans objet.

La nouvelle sous-section 4 « Dispositions applicables aux systèmes d'information » reprend les dispositions qui figuraient dans la section 2 « Dispositions spécifiques à la sécurité des systèmes d'information » du code de la défense (articles L. 1332-6-1 à L. 1332-6-6), qui imposait des mesures de protection cyber aux OIV.

Le présent article impose également à tous les OIV de mettre en oeuvre les obligations prévues au titre du Chapitre II du présent projet de loi « De la cyber résilience », à savoir :

- Article 14 : mise en oeuvre de mesures de résilience cyber (instauration d'une gouvernance de sécurité des réseaux et SI, de formation à la cybersécurité, destinées à assurer la protection des réseaux et SI y compris en cas de sous-traitance, mise en place d'outils et de procédures pour assurer la défense des réseaux et SI et de gérer les incidents, garantir la résilience des activités) ;

- Article 16 : identification par les opérateurs de leur SIIV ;

- Article 17 : notification obligatoire des incidents cyber.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Le présent article L. 1332-11 (sous-section 4 « Dispositions applicables aux systèmes d'information ») remplace la section 2 « Dispositions spécifiques à la sécurité des systèmes d'information » du code de la défense (articles L. 1332-6-1 à L. 1332-6-6)

Les dispositions de la présente mesure s'inscrivent dans le champ de la transposition de la directive européenne sur la résilience des entités critiques du (REC) du 14 décembre 2022, notamment ses articles 1, 4, 6, 9 et 21.

Sans objet.

Se référer aux éléments fournis infra pour les articles 14 et 16 du projet de loi, au sein la section prévue pour la transposition de la directive européenne (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (NIS 2).

Se référer aux éléments fournis infra pour les articles 14 et 16 du projet de loi, au sein la section prévue pour la transposition de la directive européenne (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (NIS 2).

Se référer aux éléments fournis infra pour les articles 14 et 16 du projet de loi, au sein la section prévue pour la transposition de la directive européenne (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (NIS 2).

Se référer aux éléments fournis infra pour les articles 14 et 16 du projet de loi, au sein la section prévue pour la transposition de la directive européenne (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union (NIS 2).

Le renforcement des exigences en matière de sécurité des systèmes d'information d'importance vitale doit permettre de limiter les impacts d'une crise ou de problèmes majeurs d'un opérateur d'importance vitale sur le fonctionnement de la société.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

5. CONSULTATIONS MENÉES ET MODALITÉS D'APPLICATION

Une concertation a été réalisée avec l'ensemble des ministères coordonnateurs et l'Agence Nationale de la Sécurité des Systèmes d'information (ANSSI).

En application de l'article L. 1212-2 du code général des collectivités territoriales, le présent article a été soumis à l'examen du Conseil national d'évaluation des normes qui a rendu un avis défavorable le 22 mai 2024.

Enfin, le service national des enquêtes administratives de sécurité, le coordinateur général de la sécurité nucléaire, le service juridique du Secrétariat général des affaires européennes et l'Agence nationale de sécurité des systèmes d'informations ont également été consultés.

Les présentes dispositions entrent en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française.

Les opérateurs d'importance vitale désignés avant l'entrée en vigueur des dispositions du titre I^er de la présente loi doivent être regardés comme désignés en application du I de l'article L. 1332-2 du code de la défense dans sa rédaction résultant du chapitre I^er de la loi à la date de son entrée en vigueur.

Ces opérateurs restent soumis aux obligations qui leurs sont applicables avant l'entrée en vigueur de la présente loi jusqu'à l'accomplissement des obligations prévues aux articles L. 1332-2 à L. 1332-5 et à l'article L. 1332-11 dans leur rédaction résultant de la présente loi.

Le présent article est applicable de plein droit sur l'ensemble du territoire de la République conformément à l'article L. 1 du code de la défense.

Aussi, les dispositions du code de la défense créées par le présent projet de loi seront applicables de plein droit à la fois dans les collectivités régies par le principe de l'identité législative (la Guadeloupe, la Guyane, la Martinique, La Réunion, Mayotte, Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon) et par le principe de la spécialité législative (les îles Wallis et Futuna, la Polynésie française, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises).

Le présent article renvoie à l'article L. 1332-2 du code de la défense, qui renvoie lui-même à des dispositions du code de l'environnement qui ne sont pas applicables à Saint-Barthélemy, dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les collectivités étant compétentes dans cette matière. Si l'article L. 6311-1 du code de la défense prévoit déjà une grille de lecture générale qui couvre toute la partie législative pour son application dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, il n'existe de grille similaire pour Saint-Barthélemy. Il est proposé de créer une grille sur le même modèle au sein d'un nouvel article L. 6221-2 du code de la défense, par l'article 3 du présent projet de loi.

Par ailleurs, en tant que PTOM, le droit de l'union européenne ne s'applique pas à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises. Les dispositions applicables aux seuls OIV exerçant des services essentiels au fonctionnement du marché intérieur de l'Union européenne ne seront donc pas applicables en l'absence d'adaptation.

Le présent article fera l'objet d'un décret en Conseil d'Etat résultant de la transposition de la directive NIS 2 distinct de celui portant sur l'application du titre I^er du projet de loi. Ce décret en Conseil d'Etat ne sera pas codifié dans le code de la défense.

Article 1^er (K) - Articles L. 1332-12 à L. 1332-14 du code de la défense - Habilitation et contrôles

1. ETAT DES LIEUX

Il existe d'ores et déjà des procédures de contrôle des obligations applicables aux opérateurs d'importance vitale. Elles se déclinent selon les secteurs d'activités.

Pour le secteur des activités militaires de l'Etat, les procédures de contrôle sont définies dans les DNS « activités militaires de l'Etat » et « activités industrielles de l'armement » ainsi que par les dispositions contenues au chapitre 5 de l'instruction générale interministérielle (IGI) 6600 du 7 janvier 2014 relative la sécurité des activités d'importance vitale^91(*). Les autorités de contrôle sont en effet différentes pour ces secteurs d'activités spécifiques afin de correspondre au mieux aux spécificités des secteurs ainsi qu'à l'organisation des forces armées sur le territoire national.

Pour le sous-secteur d'activité du nucléaire, elles sont définies par la DNS « nucléaire » ainsi que par les dispositions contenues au chapitre 6 de l'IGI 6600 du 7 janvier 2014 précitée. Ce suivi particulier a deux objectifs : en premier lieu, faire en sorte que les obligations de la SAIV soient en adéquation avec les obligations nationales et internationales des installations nucléaires, très normées (suivi par l'Agence Internationale de l'Energie Atomique, application des obligations des articles L. 1333-1 et suivants du code de la défense), mais également prendre en compte la spécificité de ce secteur pour la SAIV. En effet, un grand nombre d'opérateurs désignés au titre de la DNS « nucléaire » le sont au titre du danger grave qu'ils pourraient porter à la population (actuel L. 1332-2 du code de la défense) et doivent donc faire l'objet d'un traitement particulier.

Si le suivi des « activités militaires de l'Etat », « activités industrielles de l'armement » ou « nucléaire » fait l'objet d'un traitement particulier, le suivi des autres secteurs s'articule comme suit.

Les préfets de département approuvent les PPP et élaborent les PPE. Ils ont également, conformément à l'article R. 1332-29 du code de la défense, la responsabilité de s'assurer régulièrement du bon niveau de protection des PIV, par un dialogue permanent entre les préfectures et les délégués pour la défense et la sécurité locaux identifiés pour chaque point d'importance vitale par l'opérateur. Cette responsabilité comprend la possibilité de visite sur site du PIV concerné. Dans ce cas, le préfet de département ou son représentant peut être accompagné d'experts des services déconcentrés de l'Etat en fonction de la nature du PIV. L'article R. 1332-30 du code de la défense précise ce pouvoir des préfets de départements - ou de l'autorité désignée par le ministre de la défense pour les opérateurs suivis par ce dernier -, car il permet aux autorités compétentes de mettre l'opérateur en demeure d'exécuter cette mesure « dans un délai compris entre un mois et trois mois selon la nature de la mesure » dans le cas où l'opérateur n'a pas réalisé une mesure de protection prévue dans son plan particulier de protection. Dans le cas où, après l'expiration du délai l'autorité constate que la mesure n'a pas été mise en oeuvre, celle-ci peut saisir « l'autorité judiciaire aux fins de poursuite de l'auteur du délit prévu par les dispositions du premier alinéa de l'article L. 1332-7 », article qui fixe les dispositions pénales que peut encourir un opérateur d'importance vitale en cas de manquement à ses obligations.

Par ailleurs, le préfet de département dispose de la possibilité de solliciter le contrôle d'un PIV par la Commission zonale de défense et de sécurité (CZDS) (article R. 1332-15 du code de la défense). Afin de permettre à la CZDS d'effectuer une programmation des contrôles de PIV, les préfets de département la tiennent régulièrement informée de l'approbation des PPP.

La Commission interministérielle de défense et de sécurité et la Commission zonale de défense et de sécurité sont chargées d'une mission générale de contrôle de la mise en oeuvre du dispositif de protection des PIV et zones d'importance vitale, c'est-à-dire les zones qui englobent plusieurs points d'importance vitale, à l'exception de ceux dépendant d'OIV relevant du ministre de la défense. Elles peuvent, à leur initiative ou sur demande d'un ministre coordonnateur ou d'un préfet de département, contrôler les mesures prises pour la sécurité des PIV ou des ZIV. La CZDS ne contrôle que les points et les zones d'importance vitale situés dans sa zone de compétence, et donc sa zone de défense et de sécurité.

La CIDS peut émettre des directives d'inspection. A cet égard, elle peut fixer annuellement, sur proposition du SGDSN (et de l'ANSSI), la liste des PIV qui en raison de la criticité potentielle de leur système d'information doivent faire l'objet d'un contrôle. Des représentants de l'ANSSI font alors partie des équipes chargées du contrôle de ces PIV et réalisent le contrôle du système d'information ainsi que du site. L'ANSSI peut également, à sa demande, se joindre aux équipes chargées des contrôles des autres PIV.

Afin de coordonner les prévisions de contrôle, en prenant en compte les éventuelles directives d'inspection émises par la CIDS, les CZDS transmettent au SGDSN ainsi qu'au ministère de l'intérieur, au titre de l'animation territoriale :

- un calendrier annuel prévisionnel de contrôles ;

- un bilan annuel des contrôles effectués au titre de l'année passée.

Dans la perspective d'un contrôle, la CZDS demandera en tant que de besoin communication du PPP approuvé au préfet de département.

Les dispositions ci-après donnent des indications sur le déroulement du contrôle, sans préjuger des adaptations nécessaires au cas par cas, laissées à l'appréciation de la CZDS.

Objectifs du contrôle

Le nombre total de PIV ne permet pas aux seules commissions de contrôler l'intégralité des PIV relevant de leur ressort territorial. Les contrôles de la commission sont ainsi complémentaires avec la mission générale de vérification de la réalisation des PPP dévolue aux préfets de département, qui sont associés à la politique de contrôle.

Après un contrôle ayant donné lieu à des recommandations à l'opérateur, la vérification de la mise en oeuvre de ces recommandations incombe à l'autorité de contrôle, qui en informera le préfet de département.

Si les documents de référence concernant la sécurité du PIV sont d'abord la DNS, le PSO et le PPP, la commission peut vérifier, plus généralement, que les mesures de sécurité ne contiennent pas de failles évidentes en matière de protection des installations contre la malveillance.

Préparation du contrôle sur place

Dans l'esprit de coopération avec les opérateurs qui sous-tend la démarche SAIV, les contrôles sont annoncés, et non impromptus. Le président de la commission informe par écrit le délégué pour la défense et la sécurité du PIV de la date et de l'objet du contrôle ou de la visite sur site, de la composition de l'équipe de contrôle et du programme prévisionnel et, si possible, de l'horaire. Il signale le cas échéant les points particuliers sur lesquels portera le contrôle. Lorsque le contrôle est mené par une commission, le préfet de département en est informé et peut formuler un avis quant à son opportunité.

En cas de contrôle d'une ZIV, le délégué pour la défense et la sécurité de la ZIV est le correspondant de l'équipe de contrôle.

Le contrôle se déroule idéalement sur une seule journée. Lorsqu'il porte aussi sur la sécurité des systèmes d'information, le contrôle peut nécessiter normalement trois à quatre journées supplémentaires mais ne mobilise que les experts de la sécurité des systèmes d'information de l'équipe de contrôle (les représentants de l'ANSSI) et du PIV. Le contrôle peut être prolongé si l'étendue ou la complexité du PIV le justifie, sur décision du président de la commission ou du préfet de département en tant qu'autorité de contrôle.

Le contrôle des PIV est effectué par des membres de la CZDS ou leurs représentants, préalablement formés à la sécurité des activités d'importance vitale, accompagnés en tant que de besoin par des experts en fonction de la nature du PIV. Ils forment une équipe de contrôle. Tous les membres de l'équipe de contrôle doivent posséder une habilitation de niveau secret défense.

La composition de l'équipe de contrôle est adaptée en fonction des enjeux de sécurité du PIV, de la durée du contrôle (sur un ou plusieurs jours) et des expertises particulières recherchées. Néanmoins, c'est au président de la commission ou à son représentant qu'il appartient de définir le format de cette équipe. Le chef de la délégation est le président de la commission ou son représentant. Les domaines d'expertise requis pour le contrôle sont notamment la gestion de risques, la sûreté, la sécurité physique des installations et la sécurité des systèmes d'information.

A ce titre, l'équipe de contrôle de la CZDS est typiquement composée de la manière suivante :

- un représentant du préfet de zone de défense et de sécurité, chef de la délégation et chargé de produire le rapport ;

- un représentant du préfet de département ayant approuvé le PPP, s'il le souhaite ;

- un représentant du service de gendarmerie ou de police territorialement compétent ;

- un représentant du ministère coordonnateur, au titre de son expertise ;

- des experts de l'Agence nationale de la sécurité des systèmes d'information notamment lorsqu'il s'agit d'un contrôle demandé par l'ANSSI.

Une réunion préparatoire au contrôle est organisée avec les participants sélectionnés, le ministère coordonnateur concerné ou son représentant déconcentré et toute autre personne dont la présence lui paraît justifiée. La participation du DDS du PIV concernée est indispensable.

Les objectifs de cette réunion sont de :

- procéder à un examen rapide des caractéristiques du PIV contrôlé, sur la base des documents existants (PPP, PPE, PSO, DNS, rapport de contrôle antérieur) ;

- définir les axes principaux du contrôle sur site et les points saillants à vérifier, régler les aspects logistiques notamment les moyens d'accès aux composants névralgiques, les moyens de contrôle (droits d'accès, outils, etc.), les modalités pratiques du déplacement.

Le chef de délégation effectue la répartition des tâches entre les membres de l'équipe de contrôle.

L'équipe de contrôle doit prendre connaissance du référentiel de sécurité du site constitué par le PPP et le PSO. L'économie générale de la gestion de la sûreté du PIV, l'analyse de risque sur laquelle elle repose et l'organisation de la défense en profondeur du site doivent être assimilées et les composants névralgiques du PIV identifiés.

Le représentant de la préfecture de département, s'il est présent, fait connaître ce qu'il sait du PIV. Notamment, il fait savoir à l'équipe de contrôle l'état d'avancement de la mise en oeuvre du PPP et si certaines des mesures de protection prévues dans celui-ci ne sont pas encore mises en place.

Des éléments de contexte et informations complémentaires à celles contenues dans le PPP sont apportés, comme :

- l'environnement du site (zone urbaine ou rurale, isolement, etc.) ;

- les autres réglementations de sécurité ou sûreté auxquelles il est éventuellement soumis (ISPS, OACI, ZRR, ICPE, Seveso, INB, zone d'interdiction de survol ou de prise de vues aériennes, zones protégées, etc.) ;

- d'une manière générale, toutes données intéressantes au titre de la sécurité du site (sensibilité ou vulnérabilité particulière, incidents de sécurité répertoriés, etc.).

Déroulement du contrôle

Le contrôle doit être exécuté de sorte à pouvoir déterminer si le dispositif de défense en profondeur du PIV est cohérent avec le PPP et les exigences minimales de sûreté attendues sur le site. De même l'adéquation avec le PPE peut être vérifiée.

a - Confidentialité du déroulement du contrôle

Les membres de l'équipe de contrôle font preuve sur place de discrétion vis-à-vis du personnel et des autres visiteurs présents sur le PIV. Les réunions se tiennent dans une salle dédiée au sein du PIV afin d'assurer la confidentialité des entretiens. Tous les participants doivent être habilités au secret de la défense nationale

b - Etapes du contrôle

Les étapes prévues ci-après sont indicatives et s'adaptent à chaque cas.

§ Etape 1 : réunion de lancement du contrôle

Le chef de délégation introduit la séance de lancement du contrôle en présentant un bref rappel des tenants et aboutissants du dispositif de la SAIV, du rôle des acteurs, de l'objectif du contrôle et de la composition de l'équipe de contrôle.

Le caractère classifié des informations échangées et des documents étudiés est rappelé. La présence des personnels du PIV participant au contrôle est nécessaire pour assurer que l'ensemble des intervenants de l'opérateur comprend le cadre général dans lequel s'inscrit le contrôle.

§ Etape 2 : présentation sur table du PIV et du PPP par l'opérateur

L'opérateur présente le PIV et le PPP pour permettre à l'équipe de contrôle d'apprécier sur table la politique générale de sécurité du PIV. Il précise l'activité du PIV, son organisation, son fonctionnement et les grandes lignes de l'analyse de risque du PPP (scénarios de menace, vulnérabilités).

§ Etape 3 : contrôle des mesures de protection

- Protection physique

Le site est visité avec l'opérateur selon une logique concentrique, de l'extérieur (contour et entrée du PIV) vers l'intérieur (composants névralgiques du PIV). Le système de défense en profondeur doit ainsi pouvoir être identifié et compris, ses éventuelles lacunes détectées.

Les mesures de sécurité existantes sont comparées aux prescriptions du PPP et leur pertinence est jugée non seulement par rapport à l'analyse de risque qu'il contient mais aussi par rapport aux vulnérabilités identifiées par ailleurs par l'équipe de contrôle.

Le contrôle des mesures du plan VIGIPIRATE applicables au PIV est effectué. Sont notamment vérifiées l'application des mesures actives et la préparation des autres mesures graduées prévues dans le PPP comme par exemple le contrôle des personnes ou les mesures face aux menaces NRBC-E.

- Sécurité des systèmes d'information

Le contrôle de la sécurité des systèmes d'information est effectué lorsqu'un système d'information constitue ou est susceptible de constituer un composant névralgique du PIV (pouvant alors être désigné comme système d'information d'importance vitale, comme défini à l'actuel L. 1332-6-1).

Le contrôle comporte une analyse technique du niveau de sécurité du système d'information, au regard des mesures de sécurité des systèmes d'information présentées dans le PPP, mais aussi par rapport aux menaces et vulnérabilités identifiées par ailleurs par l'équipe de contrôle, sur site, et à la lecture des documents transmis.

Les contrôles ne se limitent donc pas à un audit de l'organisation SSI (procédures, maintien en condition de sécurité) et à un contrôle de la sécurité physique des composants du système d'information, mais incluent également un examen technique du système d'information pouvant notamment comprendre :

- le relevé d'informations techniques (configurations du système, journaux d'évènements, traces d'incidents, etc.) ;

- la réalisation de tests d'intrusion dans le système d'information ;

- l'analyse du code source des logiciels ;

- la conduite d'entretiens avec les personnes en charge de l'administration du système ;

- et plus généralement toutes actions permettant d'analyser le niveau de sécurité.

Les interventions réalisées sont conformes à celles définies lors de la planification du contrôle. Une convention entre l'OIV et l'ANSSI peut être préalablement établie en tant que de besoin pour préciser les conditions dans lesquelles ces interventions sont effectuées. Sous son contrôle, le PIV met à disposition de l'ANSSI un accès direct à son système d'information pour permettre ces interventions.

- Dispositif de gestion de crise et plan de continuité d'activité

L'organisation mise en place pour traiter les crises et assurer la continuité et le rétablissement d'activités du site font partie des éléments contrôlés. A ce titre, les membres de la commission de contrôle peuvent exiger d'avoir accès au plan de continuité d'activité de l'OIV, éventuellement décliné localement.

§ Etape 4 : bilan avec l'opérateur

Un bilan immédiat est effectué à la fin du contrôle en présence du délégué à la défense et à la sécurité ainsi que du responsable de la sécurité des systèmes d'information de l'opérateur. Cette réunion de clôture a pour objectif de présenter à l'opérateur l'appréciation de l'équipe de contrôle sur la sécurité du PIV et de recueillir son avis en vue de tirer les conclusions initiales essentielles.

Les points suivants sont notamment abordés :

- conformité des mesures de sécurité avec le contenu du PPP ;

- pertinences des mesures de sécurité mises en place ;

- principales failles de sécurité détectées au regard des risques identifiés ;

- application des mesures VIGIPIRATE ;

- principaux axes d'amélioration.

La nature des principales non-conformités des mesures de protection avec le PPP est constatée avec le DDS. Les failles importantes dans l'analyse de risque, identifiées pendant le contrôle, mais non traitées par le PPP, sont aussi constatées.

Rapport de contrôle

Enfin, un rapport de contrôle est établi.

L'objectif du rapport de contrôle est de présenter à l'opérateur des recommandations pour améliorer la protection du PIV par rapport à son contexte, à l'état de l'art, et à son référentiel de sécurité (PPP, PSO, DNS). Il met donc en évidence les vulnérabilités du PIV face aux menaces identifiées et les mesures à prendre pour réduire la probabilité d'occurrence et/ou l'impact des risques. Parmi ces mesures, on distingue :

- les recommandations simples pour les problèmes les moins graves, qui ne donneront pas lieu à des suites particulières ;

- les préconisations, appelant une action de l'opérateur et/ou la révision du PPP.

Le rapport de contrôle est classifié et respecte un plan type.

Il commence par une brève description des modalités du contrôle, puis une page de synthèse sur le niveau de protection du PIV constaté pendant le contrôle, les principales failles détectées dans la sûreté du PIV, les recommandations et préconisations faites à l'opérateur.

Le rapport est rédigé par le chef de la délégation, approuvé par la commission et validé par son président. Il est ensuite transmis au DDS qui peut formuler des observations écrites, lesquelles pourront être annexées au rapport ou mener à sa révision.

Le rapport est soumis par le chef de délégation à l'autorité en charge du contrôle (CIDS, CZDS ou préfet de département) avant son adoption définitive.

Le rapport est adressé au :

- DDS du PIV ;

- DDS de l'OIV ;

- aux préfets de zone de défense et de sécurité et de département concernés ;

- au(x) ministre(s) coordonnateur(s) concernés ;

- au SHFD du ministère de l'intérieur, au titre de l'animation territoriale ;

- au SGDSN.

Le suivi des préconisations figurant dans le rapport du contrôle incombe à l'autorité de contrôle. Lorsque les préconisations concernent la sécurité des systèmes d'information, l'autorité de contrôle peut faire appel aux personnes qualifiées ayant participé au contrôle (i.e. les experts de l'ANSSI) pour s'assurer du suivi de ces préconisations.

L'autorité de contrôle est informée des suites données à son rapport, tout comme le préfet de département.

De manière générale, le contrôle du PIV peut conduire à :

- la révision du PPP (Art. R. 1332-31 du code de la défense) ;

- la mise en demeure de l'OIV d'exécuter, dans un délai compris entre un et trois mois, une ou plusieurs mesures du PPP qui n'auraient pas été réalisées (Art. R. 1332-30 du code la défense);

- la saisine de l'autorité judiciaire aux fins de poursuite de l'auteur du délit (Art. R. 1332-30 du code de la défense).

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que : « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^92(*). Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne^93(*).

Les dispositions applicables aux entités critiques portent nécessairement une atteinte à la liberté d'entreprendre, laquelle découle de l'article 4 de la Déclaration des droits de l'Homme et du Citoyen de 1789^94(*). Cette atteinte ne peut être ni générale ni absolue^95(*). Le législateur peut limiter l'exercice de cette liberté à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi^96(*), alors même que cette atteinte résulterait de l'exigence constitutionnelle de transposition adéquate des directives européennes^97(*), dans un objectif de sécurité et de défense de la Nation, en l'absence de disposition spécifique contraire de la Constitution^98(*) ou de mise en cause d'une règle ou d'un principe inhérent à notre identité constitutionnelle^99(*).

Enfin, en l'absence de remise en cause de ses garanties fondamentales, la liberté du commerce et de l'industrie ne s'oppose pas à l'intervention du législateur dans ce domaine^100(*).

En l'espèce, l'exigence d'une transposition complète de la directive REC, qui impose de prévoir un mécanisme de supervision, doit s'accompagner de garanties offertes aux opérateurs concernés dans la conduite des contrôles. L'assermentation des agents de contrôle permet de confier à ces agents une possibilité de rédiger des procès-verbaux qui font foi jusqu'à preuve du contraire.

Ces garanties sont indispensables pour s'assurer d'une procédure répondant à l'ensemble des exigences qui s'imposent dans le cas où une sanction administrative peut être infligée à un opérateur privé, ce qui a nécessairement des effets sur ses libertés économiques dans les limites détaillées précédemment.

Au niveau européen, la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC) permet désormais d'offrir un socle minimal commun de résilience à tous les opérateurs de l'UE. Elle doit être transposée dans notre droit national d'ici le 17 octobre 2024.

Son champ d'application couvre 11 secteurs : énergie, transports, infrastructures bancaires, infrastructures de marché financier, santé, eau potable, assainissement, infrastructures digitales, administration publique (niveau central), espace, alimentation.

L'article 21 de la directive REC prévoit que : « Afin d'évaluer le respect des obligations découlant de la présente directive par les entités qu'ils ont recensées en tant qu'entités critiques en vertu de l'article 6, paragraphe 1, de la présente directive, les États membres veillent à ce que les autorités compétentes disposent des pouvoirs et des moyens nécessaires pour: a) procéder à des inspections sur place de l'infrastructure critique et des locaux utilisés par l'entité critique pour fournir ses services essentiels et à la supervision à distance des mesures prises par les entités critiques conformément à l'article 13; b) effectuer ou ordonner des audits portant sur ces entités critiques ».

De plus, l'article 22 de la directive REC prévoit que : « Les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la présente directive et prennent toutes les mesures nécessaires pour assurer la mise en oeuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives. Les États membres informent la Commission, au plus tard le 17 octobre 2024 du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures. »

Sans objet.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

L'article 34 de la Constitution dispose que « la loi fixe les règles concernant [...] la procédure pénale » ainsi que « l'assiette, le taux et les modalités de recouvrement des impositions de toutes natures ».

Dans la mesure où les dispositions envisagées sont relatives à la procédure de recherche et de constatation d'infractions par les opérateurs d'importance vitale, en vertu des obligations qui sont les leurs en cette qualité, par des agents assermentés mais ne disposant pas du statut d'officier de police judiciaire, toute modification de cette matière relève du domaine législatif.

De surcroît, les recherches menées par ces agents assermentés font l'objet d'un compte-rendu, qui doit être transmis « sans délai au Procureur de la République », en cas de constatations effectives d'une ou plusieurs infractions.

La nécessité de légiférer est également liée aux articles 21 et 22 de la directive REC, qui établissent que les autorités compétentes des Etats membres disposent « des pouvoirs et moyens nécessaires » pour assurer le suivi de leurs entités critiques. Ce suivi intègre des inspections sur pièces et sur place ainsi que des audits. De telles dispositions de contrôles accordés aux pouvoirs publics sur des entités publiques comme privées doivent être inscrites dans le cadre législatif.

L'objectif principal des présentes dispositions est d'assurer la qualité et l'impartialité de l'instruction des dossiers de saisine de la Commission des sanctions mentionnée à l'article L. 1332-15 du présent projet de loi, notamment grâce aux données et constatations collectées et aux rapports formulés à l'occasion des contrôles des OIV. L'objectif est également de donner un certain nombre de garanties aux opérateurs mais également de sanctionner spécifiquement, comme en matière fiscale, tout comportement qui aurait pour effet de faire obstacle à la conduite du contrôle.

Il s'agit enfin de mettre en cohérence notre dispositif actuel avec les obligations et l'esprit de la directive REC, en encadrant le statut et les missions des agents chargés de la supervision des opérateurs. Cet objectif implique de pouvoir :

- Ancrer le rôle des chargés de mission de sécurité économique présents en zone de défense et de sécurité, qui sont les agents chargés de suivre le dispositif SAIV et donc d'animer la politique publique sur le territoire. Ces agents effectuent déjà des contrôles chez les opérateurs, et l'enjeu est donc d'entériner le rôle qu'ils effectuent actuellement au sein du dispositif SAIV ;

- Eclaircir la marge de manoeuvre des préfectures de départements (ou de l'autorité désignée par le ministre de la défense pour les activités relevant de son ministère) dans les contrôles qu'elles peuvent effectuer chez les opérateurs. En effet, s'il est prévu dans la législation et la réglementation que les préfectures sont compétentes pour valider les plans particuliers de protection et s'assurer de leur bonne mise en oeuvre, il n'est pas précisé - que ce soit au niveau réglementaire ou dans l'IGI 6600 - les modalités de contrôles ou de visites des préfectures sur site ;

- Créer des possibilités pour les ministères coordonnateurs de faire constater des manquements de leurs opérateurs, en particulier pour la réalisation des plans de sécurité opérateur. En effet, si aujourd'hui les autorités en charge de l'approbation des plans particuliers de protection ont la possibilité de prendre des arrêtés de mise en demeure à l'encontre des opérateurs, ce n'est pas le cas pour les ministères coordonnateurs. Ces derniers doivent pourtant vérifier et valider que les plans de sécurité opérateur sont réalisés dans les temporalités fixées par voie réglementaire, et que les objectifs desdits plans correspondent aux scénarios de risques et de menaces fixés dans les directives nationales de sécurité ;

- Assurer un parallélisme et une synergie avec le dispositif retenu pour les constations des manquements cyber, qui sont effectués par des agents assermentés de l'autorité nationale de sécurité des systèmes d'information ou des organismes indépendants qu'elle désigne - cf. article 26 du présent projet de loi.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Sans objet.

Les présentes dispositions consacrent un renforcement du dispositif actuel afin de mieux encadrer les agents chargés de la supervision des opérateurs d'importance vitale, notamment s'agissant de leurs pouvoirs et des sanctions en cas d'obstacle au contrôle.

Il est ainsi prévu un dispositif d'assermentation, afin de consolider juridiquement les dossiers pouvant nourrir les procédures devant la Commission des sanctions instituée par l'article L. 1332-15 du présent projet de loi.

De même, sur le modèle de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, ou de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, les fonctions et prérogatives des agents en charge du contrôle sont encadrées et précisées.

Ainsi, ces agents de l'Etat, assermentés et habilités pour ce faire, peuvent réaliser des contrôles sur pièces et sur place, afin de vérifier la satisfaction par les OIV de leurs obligations.

A travers l'assermentation dont disposent ces agents, la sécurité juridique des conclusions de leurs enquêtes sera renforcée.

Des garanties sont présentes tant pour le respect de la législation de protection du secret que pour les intérêts économiques des opérateurs, notamment à travers le secret professionnel auquel ces agents sont strictement astreints, dans les conditions prévues à l'article 226-13 du code pénal. Cette condition parait en effet indispensable pour garantir aux opérateurs publics comme privés que les informations fournies aux agents chargés des contrôles ne pourront pas être utilisées à d'autres fins que celui du contrôle de la mise en oeuvre du dispositif SAIV.

De même, par l'obligation de coopération des opérateurs avec les agents lors de la réalisation des contrôles, l'autorité administrative dispose d'une garantie supplémentaire pour assurer l'effectivité des règles de SAIV en vigueur. En cela, les présentes dispositions du projet de loi répondent pleinement aux objectifs de la directive REC, ainsi qu'aux objectifs de continuité des activités considérées comme « indispensables au fonctionnement de l'économie, de la société, à la défense, à la sécurité ou à la survie de la nation ». L'exonération limitée à l'Etat et à ses établissements publics administratifs se justifie par l'existence de moyens alternatifs à disposition des autorités administratives.

Toute manoeuvre faisant obstacle au contrôle pourra être sanctionnée dans les mêmes conditions que celles concernant les obligations de résilience : la commission des sanctions sera alors saisie pour prononcer une telle sanction, sans que le cumul, le cas échéant, des sanctions pour les deux motifs ne puissent excéder le montant maximal prévu pour chacune des deux.

Enfin, pour assurer la dimension dissuasive et donc préventive du dispositif de contrôle, il est précisé que, le cas échéant et si les constations faites le nécessitent, la transmission au parquet se fait sans délai.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

La présente mesure crée les articles L. 1332-12 à L. 1332-14 du code de la défense au sein du chapitre II « Résilience des activités d'importance vitale », section 2 « Contrôles, sanctions administratives et dispositions pénales ».

Les présentes dispositions ne correspondent pas à proprement parler d'une mesure de transposition de la directive REC. Néanmoins, cette dernière exige à son article 22 des Etats-membres qu'ils mettent en place des « mesures nécessaires (...), effectives, proportionnées et dissuasives » pour assurer le respect des dispositions induites par la directive elle-même.

Par ailleurs, la directive NIS2, qui s'applique également aux opérateurs identifiés comme critiques au sens de la directive, oblige les Etats membres dans ses articles 34 et 36 à mettre en place des sanctions administratives et pénales. Dans une logique de parallélisme, il a été décidé pour la transposition de la directive REC, de créer, en plus des sanctions pénales déjà existantes, des sanctions administratives.

En conséquence, les présentes dispositions permettent de mettre en cohérence le nouveau dispositif de contrôle des OIV avec la directive REC (notamment ses articles 21 et 22).

Sans objet.

Sans objet.

Au-delà des efforts de réorganisation des priorités et de redéploiement des effectifs existants, les présentes dispositions pourraient conduire à recruter des ETP supplémentaires, notamment en préfecture, afin d'assurer l'application de l'ensemble des articles du futur chapitre II du titre III du Livre III de la partie I du code de la défense.

Il apparait essentiel, pour chaque ministère coordonnateur, d'identifier précisément les agents en charge des contrôles et ce, à tous les échelons impliqués : préfecture, zone de défense et ministères eux-mêmes (qu'il s'agisse des Services des hauts fonctionnaires de défense et de sécurité (SHFDS) ou d'autres services, par exemple ceux en charge de traiter les enquêtes administratives de sécurité).

Concrètement, pour les différents secteurs qui relèvent aujourd'hui de la sécurité des activités d'importance vitale, cela peut se traduire par des besoins en ressources humaines ou ressources budgétaires.

Les opérateurs d'importance vitale qui seraient des collectivités territoriales seront tenues, comme pour les autres opérateurs, de donner accès aux locaux ainsi qu'aux données considérées comme nécessaires aux agents assermentés afin que ceux-ci s'assurent que les dispositions mises en oeuvre par les opérateurs sont suffisantes au regard des obligations du code de la défense. Cette obligation ne devrait pas entrainer de frais supplémentaires pour les collectivités territoriales.

Les modalités de contrôle restent dans l'ensemble inchangées.

En revanche, les préfectures, dans le ressort desquelles se trouvent des OIV, pourraient être amenées à redéployer des effectifs ou à procéder à des recrutements d'ETP supplémentaires afin de pouvoir traiter les signalements effectués par les équipes de contrôle.

Le renforcement des exigences en matière de sécurité des opérateurs d'importance vitale doit permettre de limiter les impacts sur le fonctionnement de la société d'une crise ou de problèmes majeurs touchant l'opérateur.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

5. CONSULTATIONS MENÉES ET MODALITÉS D'APPLICATION

Une concertation de l'ensemble des ministères coordonnateurs a été réalisée sur cette mesure.

En application de l'article L. 1212-2 du code général des collectivités territoriales, les présentes dispositions ont été soumises à l'examen du Conseil national d'évaluation des normes qui a rendu un avis défavorable le 22 mai 2024.

Enfin, le service national des enquêtes administratives de sécurité, le coordinateur général de la sécurité nucléaire, le service juridique du Secrétariat général des affaires européennes et l'Agence nationale de sécurité des systèmes d'informations ont également été consultés.

La présente disposition entre en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française. Toutefois, afin de produire des effets, elle nécessitera l'adoption d'un décret en Conseil d'Etat (mentionné infra).

Conformément aux dispositions de l'article L. 1 du code de la défense, s'agissant d'une mesure liée à la politique de sécurité nationale ou à la politique de défense, la présente disposition s'appliquera de plein droit sur l'ensemble du territoire de la République, sans qu'aucune mention expresse d'application ne soit requise pour les collectivités d'outre-mer.

Les présentes dispositions feront l'objet d'un décret en Conseil d'Etat, qui précisera la procédure de désignation et d'assermentation des agents de l'Etat.

Article 1^er (L) - Articles L. 1332-15 à L. 1332-19 du code de la défense - Commission des sanctions

1. ETAT DES LIEUX

Le dispositif de sécurité des activités d'importance vitale repose sur une logique de coopération et de confiance entre l'Etat et les opérateurs d'importance vitale.

La finalité du dispositif est d'assurer, par les mesures de protection et de sécurité mises en oeuvre par les opérateurs, un certain niveau de résilience des entités désignées opérateurs d'importance vitale.

L'objectif final reste en effet la continuité d'activité des activités d'importance vitale. Un certain niveau de souplesse est donc à mettre en place dans le suivi du dispositif, qui ne se veut pas coercitif. C'est pourquoi le dispositif se met en oeuvre avec une logique de résultats et non pas de moyens : c'est à l'opérateur, par les plans de résilience qu'il effectue, de prouver à l'autorité étatique que son dispositif ainsi que les mesures de résilience qu'il met en place sont suffisantes pour assurer la continuité de sa ou ses activités d'importance vitale.

La législation actuelle ne comporte donc que très peu de dispositions permettant la mise en oeuvre de sanctions, qu'elles soient administratives ou pénales.

Sanctions administratives du dispositif

Plusieurs dispositions existent aujourd'hui dans le code de la défense permettant à l'autorité administrative de prendre certaines mesures administratives à l'encontre d'un opérateur d'importance vitale qui ne remplirait pas ses obligations.

En effet, l'article L. 1332-4 de l'actuel code de la défense permet à l'autorité administrative - le préfet de département ou l'autorité militaire compétente - de mettre par arrêté « en cas de refus des opérateurs de préparer leur plan particulier de protection, [...], les chefs d'établissements ou d'entreprises assujettis en demeure de l'établir dans le délai qu'elle fixe ».

Cette autorité administrative a la possibilité, en vertu de l'article L. 1332-5 de ce même code, de mettre ces mêmes chefs d'établissements ou d'entreprises assujettis en demeure de réaliser le plan particulier de protection, dont l'obligation est régie à l'article L. 1332-3.

L'actuel article L. 1332-6 du code de la défense clarifie les modalités de mises en oeuvre des dispositions précédentes :

« Les arrêtés de mise en demeure prévus aux articles L. 1332-4 et L. 1332-5 fixent un délai qui ne peut être inférieur à un mois, et qui est déterminé en tenant compte des conditions de fonctionnement de l'opérateur et des travaux à exécuter.

Les arrêtés concernant les entreprises nationales ou faisant appel au concours financier de l'Etat sont transmis au ministre de tutelle et au ministre de l'économie et des finances, qui sont immédiatement informés des difficultés susceptibles de se produire dans l'application de l'arrêté ».

Dans les faits, ces mesures n'ont jamais été réalisées, des solutions privilégiant le dialogue entre l'autorité administrative et l'opérateur étant mises en oeuvre.

Sanctions pénales du dispositif

L'actuel article L. 1332-7 du dispositif donne aujourd'hui une base juridique à la SAIV pour mettre en oeuvre s'il y a lieu des sanctions pénales. Les manquements sur lesquels peuvent porter les sanctions sont les suivants :

- non-réalisation du plan particulier de protection dans les délais impartis par l'arrêté de mise en demeure évoqué au L. 1332-4 ;

- absence d'entretien des dispositifs de protection malgré une mise en demeure ;

- non-respect des obligations relatives à la cybersécurité du dispositif (articles L. 1332-6-1 à L. 1332-6-4 du code de la défense, avec une mise en demeure devant être effectuée au préalable).

Les personnes susceptibles d'encourir ces sanctions pénales, avec une amende de 150 000 euros, sont pour ces trois cas de figure les chefs d'établissements ou d'entreprises assujettis.

Les personnes morales peuvent également être déclarées responsables. L'actuel article L. 1332-7 du code de la défense dispose en effet que, dans les conditions prévues à l'article L. 121-2 du code pénal, « des infractions prévues au [L. 1332-7] encourent une amende suivant les modalités prévues à l'article 131-38 du même code ».

Dans les faits, aucune sanction pénale n'a jamais été prononcée en vertu du dispositif de sécurité des activités d'importance vitale. Ce constat s'explique par le fait que, comme expliqué supra, la mise en oeuvre du dispositif se fait avant tout dans une logique de coopération et de confiance entre l'Etat et l'opérateur. La mise en oeuvre de sanctions n'est pas l'objectif de cette politique publique. De plus, les contraintes techniques mises en oeuvre sur le dispositif, dont la plupart des informations y faisant référence sont classifiées par la protection du secret de la défense nationale - sont donc par nature difficiles à divulguer, même au travers d'une procédure pénale. Il faudrait en effet que les personnes soient habilitées au secret de la défense nationale et aient le besoin d'en connaitre.

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que : « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^101(*). Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne^102(*).

Les dispositions applicables aux entités critiques et le régime de sanction lié portent nécessairement une atteinte à la liberté d'entreprendre, laquelle découle de l'article 4 de la Déclaration des droits de l'Homme et du Citoyen de 1789^103(*). Cette atteinte ne peut être ni générale ni absolue^104(*). Le législateur peut limiter l'exercice de cette liberté à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi^105(*), alors même que cette atteinte résulterait de l'exigence constitutionnelle de transposition adéquate des directives européennes^106(*), dans un objectif de sécurité et de défense de la Nation, en l'absence de disposition spécifique contraire de la Constitution^107(*) ou de mise en cause d'une règle ou d'un principe inhérent à notre identité constitutionnelle^108(*).

Enfin, en l'absence de remise en cause de ses garanties fondamentales, la liberté du commerce et de l'industrie ne s'oppose pas à l'intervention du législateur dans ce domaine^109(*).

Par ailleurs, s'agissant du cadre constitutionnel applicable aux dispositions prévoyant des sanctions administratives, il a été rappelé par la jurisprudence constitutionnelle « qu'aucun principe ou règle de valeur constitutionnelle ne fait obstacle à ce qu'une autorité administrative non soumise au pouvoir hiérarchique du ministre, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction »^110(*). Ainsi, une commission qui n'est pas légalement une autorité administrative indépendante peut tout de même infliger des sanctions administratives dès lors que sont respectées les garanties d'indépendance et d'impartialité et que la procédure instituée respecte les exigences qui s'imposent en tel domaine (droits de la défense principalement pour les sanctions ayant le caractère de punition^111(*)).

Sur la nature et le montant des sanctions susceptibles d'être prononcées après contrôle et constatation de manquements par un agents assermenté, donc par une autre autorité que la commission dans le respect du principe de séparation des poursuites et du jugement^112(*), celles-ci doivent respecter des règles de fond semblables à celles prévalant en matière pénale dès lors que ces sanctions ont vocation à punir la méconnaissance de règles d'exercice d'une activité.

Il en est ainsi du principe de nécessité^113(*) et de proportionnalité^114(*), du principe de légalité, du principe d'individualisation, lesquels principes d'appuient sur des définitions précises d'infractions pouvant être sanctionnées^115(*).

Il en résulte un encadrement constitutionnel fort et nécessaire de toute sanction administrative pouvant être infligée à un opérateur par une commission indépendante ne relevant pas du pouvoir hiérarchique d'un ministre mais n'étant pas légalement une autorité administrative indépendante.

La directive européenne résilience des entités critiques (REC), dans ses articles 21 et 22, impose aux Etats membres d'avoir les moyens nécessaires de vérifier que les opérateurs désignés mettent bien en oeuvre les dispositions de résilience prévues dans la directive - en particulier au titre de l'article 13.

Il est en effet spécifié à l'article 21-1 de la directive que :

« Afin d'évaluer le respect des obligations découlant de la présente directive par les entités qu'ils ont recensées en tant qu'entités critiques en vertu de l'article 6, paragraphe 1, de la présente directive, les Etats membres veillent à e que les autorités compétentes disposent des pouvoirs et des moyens nécessaires pour :

a) « Procéder à des inspections sur place de l'infrastructure critique et des locaux utilisés par l'entité critique pour fournis ses services essentiels et à la supervision à distance des mesures prises par les entités critiques conformément à l'article 13 ;

b) Effectuer ou ordonner des audits portant sur ces entités critiques ».

Sur la directive résilience des entités critiques, les Etats membres ont peu d'indications sur les sanctions qu'ils sont supposés mettre en oeuvre - le législateur européen ayant fait le choix de laisser les Etats membres décider des dispositions qui leur paraitraient les plus opportunes. En effet l'article 22 de la directive stipule que :

« Les Etats membres déterminent le régime de sanctions applicables aux violations des dispositions nationales adoptées conformément à la présente directive et prennent toutes les mesures nécessaires pour assurer la mise en oeuvre de ces sanctions. Ces sanctions doivent être effectives, proportionnées et dissuasives. Les Etats membres informent la Commission, au plus tard le 17 octobre 2024 du régime ainsi déterminé et des mesures ainsi prises, de même que, sans retard, de toute modification apportée ultérieurement à ce régime ou à ces mesures ».

Sans objet.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

La modernisation du dispositif ne doit pas entraîner un changement de logique dans son application : l'objectif n'est pas de sortir de la logique de coopération et de confiance mise en oeuvre entre l'Etat et les opérateurs et de mettre en place un nombre important de sanctions.

Les Etats membres ont la possibilité de mettre en place le régime de sanctions qui leur parait le plus pertinent, qu'il soit composé de sanctions administratives, pénales ou les deux. Toutefois, il faut rappeler que les entités critiques désignées au titre de l'application de la directive - donc les opérateurs d'importance vitale qui seront désignés sur le fondement du deuxième alinéa du 1° du I de l'article L. 1332-2 car fournissant des services essentiels au sens de la directive - sont également des entités essentielles pour la directive NIS2^116(*). Or, pour cette directive, les sanctions prévues sont beaucoup plus prescriptives.

L'article 34 de la directive NIS2 prévoit en effet que les entités essentielles puissent être soumises à des amendes administratives d'un montant maximal s'élevant à 10 millions d'euros ou à au moins 2% du chiffre d'affaires annuel mondial total de l'exercice précédent de l'entreprise à laquelle l'entité essentielle appartient. L'article 32 de cette même directive, qui prévoit les mesures de supervision et d'exécution en ce qui concerne les entités essentielles, est également largement prescriptif.

Etant donné que la désignation en tant qu'opérateur d'importance vitale, en vertu de sa désignation au titre du nouveau L. 1332-2 entraîne la désignation de l'entité comme entité essentielle - ce point est prévu dans l'article de la présente loi qui fixe les conditions de désignation des entités essentielles. Les opérateurs d'importance vitale seront donc soumis aux sanctions administratives prévues par la directive NIS2.

Dans une logique de cohérence, il apparait opportun de renforcer le niveau de sanctions possibles sur la dimension physique du dispositif SAIV afin de ne pas créer de distorsion flagrante entre les sanctions encourues pour des manquements physiques par rapport à ceux de la dimension cyber.

Cette disposition s'appliquera de plus à tous les opérateurs d'importance vitale, car comme expliqué supra dans la partie de l'étude d'impact relative à l'article L. 1332-11, les dispositions relevant de la protection cyber imposées aux opérateurs d'importance vitale seront identiques pour tous les secteurs d'activité - que ceux-ci soient concernés par la liste des services essentiels de la directive REC ou non. Dans cette même logique, les sanctions mises en oeuvre au titre de la sécurité des activités d'importance vitale seront uniques pour tous les secteurs d'activités d'importance vitale.

Etant donné les éléments évoqués précédemment, il est apparu opportun de créer une entité chargée du suivi des sanctions administratives, sachant que ladite entité devait fournir un certain nombre de garanties, que ce soit en termes de traitement, d'équité et d'impartialité, auprès des opérateurs assujettis. Cette instance doit pouvoir être destinataire des informations, rapports de contrôle effectués par la ou les autorités administratives en charge du suivi des opérateurs d'importance vitale, tout en gardant une indépendance par rapport aux autorités en charge du contrôle.

L'introduction dans la loi de cette nouvelle entité parait indispensable en ce qu'elle constitue une garantie essentielle s'agissant de la possibilité de sanctionner la méconnaissance de dispositions législatives par un opérateur.

L'objectif du présent article est de créer une autorité compétente chargé d'émettre, s'il y a lieu et en cas de manquement établi, des sanctions administratives. A ce titre, cette entité doit être indépendante des autorités en charge du contrôle, afin d'assurer un certain nombre de garanties aux opérateurs d'importance vitale.

Les sanctions administratives doivent de plus être uniformes entre les différents secteurs d'activité d'importance vitale, il apparaissait donc peu opportun de laisser les autorités administratives responsables de chaque secteur d'activité d'être les seuls à décider sur leurs opérateurs d'importance vitale. Une entité rattachée au Premier ministre, pouvant traiter des différents cas des secteurs d'activités d'importance vitale, paraissait idoine afin d'assurer l'égalité de traitement entre les opérateurs.

L'objectif est également de faire en sorte que les sanctions prises par cette entité puissent être éclairées, avec des personnes ayant une connaissance de la thématique et des obligations imposées aux opérateurs.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Lors des consultations effectuées avec les ministères coordonnateurs dans le cadre des travaux de transposition de la directive REC, a été évoqué la possibilité de donner les pouvoirs de supervision et de contrôle des opérateurs d'importance vitale à ces seuls ministères. Les sanctions administratives auraient donc été prises pour tous les opérateurs d'importance vitale par le ministère coordonnateur responsable du secteur d'activité au titre duquel l'opérateur a été désigné. Cette solution ne paraissait pas idéale pour plusieurs raisons :

- Les possibilités de différences de traitement entre les différents ministères sur leurs opérateurs pouvaient créer des distorsions de traitement et donc une inégalité entre les opérateurs désignés ;

- Pour les opérateurs pouvant être désignés au titre de plusieurs secteurs d'activités d'importance vitale, une coordination interministérielle se serait avérée nécessaire ;

Ces différentes raisons ont fait apparaitre la nécessité de créer une instance impartiale et équitable pour tous les opérateurs sur ces sujets, et qui permettent un suivi uniforme et interministériel de la SAIV sur l'ensemble du territoire.

Une fois l'option de la commission retenue, il s'est posé la question de la nature et de la composition de cette commission.

Afin de rendre le dispositif le plus efficace et le plus adapté au domaine particulier de la SAIV, il a été écarté toute possibilité de créer une nouvelle autorité administrative indépendante ou tout autre organe revêtant les caractéristiques d'une juridiction.

Le présent article crée une commission placée auprès du Premier ministre en charge du traitement et de la prononciation des sanctions administratives pouvant être émises sur les opérateurs d'importance vitale.

A ce titre, il est prévu qu'elle soit compétente pour constater des manquements en vertu des obligations créées par le présent chapitre. La saisine de cette commission ne pourra être faite que par les autorités administratives chargées d'effectuer les contrôles au titre des articles L. 1332-12 et L. 1332-13. Pour le dispositif de sécurité des activités d'importance vitale, il pourra s'agir des ministères coordonnateurs, les préfectures de département ou autorité militaire compétente, ou les zones de défense et de sécurité. Les modalités de saisine devront être clarifiées par voie réglementaire.

Afin de pouvoir prendre une décision éclairée, la commission reçoit les rapports et procès-verbaux des contrôles. Une fois saisie, il est prévu qu'elle notifie à l'opérateur les griefs susceptibles d'être retenus à son encontre.

La composition de la Commission est mentionnée à l'article L. 1332-16. Elle doit être composée d'un membre du Conseil d'Etat désigné par le vice-président du Conseil d'Etat, d'un membre de la Cour de cassation désigné par le président de cette même Cour, d'un membre de la Cour des comptes désigné par le premier président de la Cour des comptes. De plus, trois personnalités qualifiées sont désignées pour être membre de la Commission : ces personnes doivent être désignées en vertu de leur compétence dans le domaine de la sécurité des activités d'importance vitale, sur proposition de l'autorité administrative.

Il est rappelé que les membres de cette commission doivent prendre leur décision en toute impartialité : ils ne peuvent recevoir d'instructions de la part d'aucune autorité. Afin d'assurer le suivi du dossier, un rapporteur est nommé, sans possibilité pour ce rapporteur de recevoir aucune instruction. La décision prise doit être motivée, et ne peut être donnée sans que l'opérateur n'ait été entendu ou, à défaut, dûment convoqué. Elle a la possibilité d'auditionner toute personne qu'elle juge utile. La décision est prise à la majorité des membres présent : en cas de partage des voix, celle du président est prépondérante.

Les amendes administratives (L. 1332-17) pouvant être prises par la Commission peuvent aller jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel mondial (obligation liée à l'article 34 de la directive NIS2). Une amende peut également être réalisée par la Commission dans le cas où l'opérateur d'importance vitale ferait obstacle aux demandes de l'autorité administrative dans le cadre des contrôles effectués (obligation du L. 1332-13).

Les opérateurs d'importance vitale qui seraient des administrations de l'Etat, des collectivités territoriales et de leurs établissements publics administratifs, ne sont pas soumis à l'amende mentionnée supra.

La commission des sanctions peut également prendre des sanctions administratives en vertu de certaines obligations prévues aux articles 28 et 37 du présent projet de loi.

L'entité chargée d'émettre les sanctions (L. 1332-18) a la possibilité d'ordonner la publication, la diffusion, l'affichage de la sanction pécuniaire ou d'un extrait. Les modalités de recouvrement de ces sanctions sont également présentées dans le présent article, ainsi que les possibilités de recours.

4. ANALYSE DES DISPOSIITONS ENVISAGÉES

Des articles L. 1332-15 à L. 1332-19 sont créés dans le code de la défense, au sein de la nouvelle sous-section 2 « Sanctions » de la Section 2 « Contrôles et sanctions administratives ».

Ces dispositions sont proportionnées et en rapport avec l'objectif poursuivi se rattachant à la défense et à la sécurité nationale.

Les présentes dispositions du projet de loi permettent d'assurer la cohérence du droit français avec les articles 21 et 22 de la directive REC ainsi que les articles 34 et 36 de la directive NIS2.

Sans objet.

L'impact ne pourra porter que sur les opérateurs d'importance vitale, soit un peu moins de 400 entités en France.

Les possibilités de sanctions sont relativement importantes et pourraient impacter fortement les opérateurs, mais les amendes prises devront prendre en compte les capacités financières de l'opérateur. Il serait contreproductif que des sanctions visant à obliger à un opérateur à se conformer aux obligations de la sécurité des activités d'importance vitale aient pour conséquence de l'empêcher financièrement de mettre en place ces mesures. L'objectif de la sécurité des activités d'importance vitale reste d'assurer la continuité d'activité d'opérateur qui fournissent des services ou activités considérés comme essentiels par l'Etat ou la Nation.

De plus, il est rappelé que la logique de coopération et de confiance entre l'Etat et l'opérateur est indispensable pour la bonne mise en oeuvre du dispositif. La mise en place d'une procédure de sanctions devra rester l'exception plutôt que la norme, et impacter un nombre limité d'opérateurs.

La mise en oeuvre de la procédure ainsi que le traitement des dossiers impactera les services administratifs compétents. Dans une même logique que ce qui a pu être indiqué dans les briques de l'étude d'impact supra relatives aux articles L. 1332-12 et L. 1332-13, un renforcement en matière de ressources humaines des services administratifs en charge du suivi des contrôles et rapports effectués auprès des opérateurs pourrait être nécessaire, et favoriserait plus largement le suivi du dispositif de sécurité des activités d'importance vitale.

Les collectivités territoriales peuvent faire partie des 400 entités concernées.

Une disposition expresse du présent article exclut les collectivités territoriales, qui ne pourront se voir infliger d'amendes administratives de la part de la Commission des sanctions.

Sans objet. Comme mentionné au 4.2.3. supra, un renforcement en matière de ressources humaines des services administratifs en charge du suivi des contrôles et rapports effectués auprès des opérateurs pourrait être nécessaire.

Le renforcement des exigences en matière de sécurité des opérateurs d'importance vitale doit permettre de limiter les impacts sur le fonctionnement de la société d'une crise ou de problèmes majeurs touchant l'opérateur.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

5. CONSULTATIONS MENÉES ET MODALITÉS D'APPLICATION

Une concertation a été réalisée avec l'ensemble des ministères coordonnateurs et l'Agence Nationale de la Sécurité des Systèmes d'information (ANSSI).

En application de l'article L. 1212-2 du code général des collectivités territoriales, les présentes dispositions ont été soumises à l'examen du Conseil national d'évaluation des normes qui a rendu un avis défavorable le 22 mai 2024.

Enfin, le service national des enquêtes administratives de sécurité, le coordinateur général de la sécurité nucléaire, le service juridique du Secrétariat général des affaires européennes et l'Agence nationale de sécurité des systèmes d'informations ont également été consultés.

Les présentes dispositions entreront en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française. Toutefois, afin de produire des effets, elles nécessiteront l'adoption d'un décret en Conseil d'Etat (mentionné infra, 5.2.3.).

Conformément aux dispositions de l'article L. 1 du code de la défense, s'agissant d'une mesure liée à la politique de sécurité nationale ou à la politique de défense, les présentes dispositions s'appliqueront de plein droit sur l'ensemble du territoire de la République, sans qu'aucune mention expresse d'application ne soit requise pour les collectivités d'outre-mer.

Les présentes dispositions feront l'objet d'un décret en Conseil d'Etat.

Article 1^er (M) - Article L. 1332-20 à L. 1332-22 du code de la défense - Marchés publics et contrats de concessions relatifs à la sécurité des activités d'importance vitale

1. ETAT DES LIEUX

L'évolution de la situation internationale, notamment la guerre en Ukraine, est venue rappeler l'importance de la sécurité des infrastructures critiques indispensables au fonctionnement de la Nation, parfaitement susceptibles de subir l'ingérence de puissances qui pourraient être hostiles à nos intérêts ou le devenir dans un contexte international mouvant.

Ce risque d'ingérence n'est pas limité aux États, il peut également être le fait d'entreprises qui y sont liées et pourraient, en particulier en cas de conflit ou de tensions internationales, chercher à perturber certaines activités d'importance vitale ou encore à exploiter des informations qu'elles tiendraient de leurs interventions passées pour le compte d'un OIV.

Il apparaît donc nécessaire de garantir notre maîtrise sur les entreprises qui seraient en mesure d'affecter la sécurité des OIV et la continuité de leurs activités.

En l'état actuel du droit, il n'existe pas réellement de moyen de se prémunir du risque qu'un acteur hostile, ou soupçonné de l'être, candidate à des marchés ou des concessions, voire les remporte en application des règles de la consultation lorsque ces marchés ou ces concessions sont passés en application du code de la commande publique.

Le code de la commande publique prévoit certes des dispositions permettant de limiter l'accès aux marchés publics aux opérateurs émanant d'États qui n'ont pas signé l'accord sur les marchés publics de l'OMC, notamment dans ses articles L. 2153-1 et L. 2153-2. Mais ces dispositions issues des directives européennes, bien qu'elles représentent une avancée positive, ont été conçues comme des instruments de réciprocité commerciale et pas comme des instruments de protection de nos intérêts essentiels. Elles sont par ailleurs peu protectrices puisque les filiales européennes de groupes étrangers doivent être traitées comme des entreprises européennes.

Le règlement 2022/1031 dit « IMPI » (Instrument relatif aux marchés publics internationaux)^117(*) représente une évolution favorable de ce point de vue, puisqu'il permet d'assimiler une filiale sans activité substantielle dans l'UE à une société étrangère. Cependant, ce règlement est, là encore, destiné à régler des questions de réciprocité dans l'ouverture des marchés, et ne vise pas à traiter des questions de protection des intérêts essentiels de la Nation. Sa mise en oeuvre relève par ailleurs de la Commission, et non des États membres.

La protection de nos intérêts essentiels doit donc s'inscrire dans le cadre prévu spécifiquement à cet effet.

Le droit de la commande publique offre, sous certaines conditions, plusieurs outils mobilisables par les OIV afin d'alléger les obligations qu'ils doivent respecter lors de la passation de leurs marchés.

Ainsi, certains OIV^118(*) peuvent recourir aux marchés de défense ou de sécurité, définis à l'article L. 1113-1 du code de la commande publique, qui, en fonction de leur objet, sont exemptés des obligations de publicité et de mise en concurrence ou sont soumis à des obligations adaptées à leurs spécificités. La mise en oeuvre de ces dispositifs ne peut, cependant, être ni générale ni automatique et doit résulter d'une démonstration au cas par cas par l'acheteur. Le Conseil d'Etat a ainsi récemment rappelé^119(*) que la seule circonstance que les sites concernés par le marché constituaient des points d'importance vitale n'était pas de nature à imposer que toute prestation en lien avec ces sites devait être considérée comme bénéficiant de dérogations prévues par le CCP.

Surtout, le code de la commande publique soumet au seul titre II du livre V de la deuxième partie les marchés publics qui exigent le secret ou dont l'exécution doit s'accompagner de mesures particulières de sécurité conformément aux dispositions législatives ou réglementaires en vigueur ou pour lesquels la protection des intérêts essentiels de l'État l'exige, à condition que cette sécurité ou cette protection ne puisse pas être garantie par d'autres moyens (article L. 2512-3). Le code prévoit des dispositions analogues pour les contrats de concessions : ceux qui exigent le secret ou dont l'exécution doit s'accompagner de mesures particulières de sécurité conformément aux dispositions législatives ou réglementaires en vigueur ou pour lesquels la protection des intérêts essentiels de l'État l'exige, à condition que cette sécurité ou cette protection ne puisse pas être garantie par d'autres moyens, sont soumis au seul titre II du livre II de la troisième partie du code de la commande publique (article L. 3212-3).

Ce régime correspond à celui des marchés et concessions qui étaient exclus du champ d'application de l'ancien code des marchés publics et de l'ordonnance n° 2016-65 du 29 janvier 2016 relative aux contrats de concession, et qui peuvent donc notamment être conclus sans mise en concurrence et sans publicité.

Il trouve son pendant, en droit européen, dans les dispositions de l'article 15 de la directive 2014/2433^120(*) pour les pouvoirs adjudicateurs et de l'article 24 de la directive 2014/25^121(*) pour ce qui concerne les entités adjudicatrices opérant dans le secteur de l'électricité.

La présente mesure vise à en clarifier les conditions d'application à certains marchés et concessions des OIV.

La liberté et l'égalité d'accès à la commande publique sont des principes de valeur constitutionnelle^122(*).

Ils doivent être combinés avec les autres principes à valeur constitutionnelle, notamment la sauvegarde des intérêts fondamentaux de la Nation, au nombre desquels figurent l'indépendance de la Nation ainsi que les éléments essentiels de son potentiel économique^123(*) .

Le Conseil constitutionnel a par exemple confirmé à cet égard que les réacteurs électronucléaires à construire participent de ces éléments essentiels du potentiel économique^124(*).

L'article III de l'accord sur les marchés publics^125(*) de l'OMC prévoit que : « rien dans le présent accord ne sera interprété comme empêchant une Partie quelconque d'entreprendre une action ou de ne pas divulguer des renseignements si elle l'estime nécessaire à la protection des intérêts essentiels de sa sécurité, se rapportant aux marchés d'armes, de munitions ou de matériel de guerre, ou aux marchés indispensables à la sécurité nationale ou aux fins de la défense nationale ».

En droit européen, les directives relatives à la commande publique mentionnée supra prévoient en conséquence une exclusion de leur application pour des raisons de sécurité, notamment « dans la mesure où la protection des intérêts essentiels de la sécurité d'un État membre ne peut être garantie par des mesures moins intrusives » (article 10 de la directive 2014/23, article 15 de la directive 2014/24 et article 24 de la directive 2014/25).

La jurisprudence européenne et la Commission ont confirmé que les « intérêts essentiels » de la sécurité de l'État ne se limitent pas aux intérêts de la défense nationale ou de la sécurité au sens le plus étroit du terme.

La Commission a ainsi estimé que la Lituanie avait pu attribuer sans mise en concurrence la construction et l'exploitation d'un terminal de gaz naturel liquéfié, et considéré que l'absence de mise en concurrence était appropriée et proportionnée au but poursuivi au regard des enjeux de sécurité énergétique pour éviter tout lien entre le titulaire du contrat et un opérateur étranger, que ce soit à l'occasion de son attribution ou à l'avenir (Commission européenne, 20 novembre 2013, décision SA.36740, §229 et suivants).

Cette décision de la Commission a été validée par le tribunal de l'Union européenne (TUE, 12 septembre 2019, aff. T. 417/16, notamment points 128 et suivants).

Le Tribunal a notamment jugé qu'aucune mesure autre que l'attribution directe n'aurait pu garantir la sécurité d'approvisionnement, et a considéré que d'autres solutions d'une nature moins restrictive telles que, par exemple, les critères d'attribution, l'imposition d'obligations pouvant être assorties de sanctions pénales, l'insertion d'exigences en matière de sécurité dans le contrat ou l'examen de la capacité à respecter certaines exigences en matière de capacité technique n'auraient pas permis de garantir la protection des intérêts essentiels de la Lituanie.

Le Tribunal a également confirmé à cette occasion que l'exception relative à la protection des intérêts essentiels de l'État s'applique tant sous l'empire des directives relatives à la commande publique que sous l'empire des grands principes issus des traités et qu'elle permet ainsi de procéder par voie d'attribution directe, sans aucune forme de publicité ni de mise en concurrence (§132).

Cette décision a été confirmée par la Cour de justice de l'Union européenne (CJUE, 29 avril 2021, aff. C-847/19 P, notamment pts. 58 et s.).

La Cour de justice a notamment consacré dans sa décision l'existence d'une « marge d'appréciation » laissée aux États membres pour décider des mesures jugées nécessaires à la protection des intérêts essentiels de leur sécurité.

Dans le même sens, la Commission a admis l'inapplicabilité des directives relatives aux marchés publics dans le cas de la centrale nucléaire de Dukovany en République Tchèque sur le fondement des intérêts essentiels de l'État (Décision de la Commission SA.58207, §169 et s.).

En dehors du domaine énergétique, la Cour de justice a également admis récemment le recours à cette exception pour l'impression de certains documents par la Pologne (CJUE 7 septembre 2023, aff. C-601/21).

Cette décision rappelle notamment que l'objectif de préservation de la sécurité nationale correspond « à l'intérêt primordial de protéger les fonctions essentielles de l'État et les intérêts fondamentaux de la société, par la prévention et la répression des activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales d'un pays ». Elle a admis le recours à l'exception tirée de la protection des intérêts essentiels au motif que certains documents présentaient un niveau de sensibilité particulièrement élevé et qu'une éventuelle fuite pourrait avoir des conséquences irréparables pour la sécurité nationale. Elle a enfin confirmé que le droit de l'Union n'impose pas de contrainte aux États membres quant au niveau de protection de leurs intérêts essentiels qu'ils souhaitent atteindre.

La possibilité d'attribution directe est conforme à la jurisprudence de la Cour, qui reconnaît qu'il peut être dérogé au principe de transparence pour des raisons impérieuses d'intérêt général ; pour un motif énoncé à l'article 52 du TFUE (qui vise notamment la sécurité publique) ou, plus largement, pour des « considérations prises en compte par le droit de l'Union ».

En droit interne, la position du Conseil d'Etat sur les services juridiques va dans le même sens puisqu'elle évoque une « dérogation »^126(*) aux principes dégagés par le Conseil constitutionnel. Le Conseil constitutionnel a également admis^127(*) la constitutionnalité des dispositions du code de la commande publique qui permettent de conclure des contrats sans publicité ni mise en concurrence lorsqu'un motif d'intérêt général le justifie (au sujet de l'article L. 2122-1 du code de la commande publique qui permet notamment de prévoir une procédure sans publicité ni mise en concurrence à raison de l'objet du marché quand le respect d'une telle procédure est contraire à un motif d'intérêt général). Or la sauvegarde du potentiel économique de la Nation est déjà reconnue comme un principe de valeur constitutionnelle.

Il apparaît que d'autres pays européens ont déjà encouragé les acheteurs publics à faire usage des dispositions dérogatoires prévues par les articles 15 de la directive 2014/24 et 24 de la directive 2014/25, parfois sans recourir à un vecteur législatif qui en préciserait le champ d'application exact.

S'agissant de la Belgique, par exemple, l'article 33 de sa loi sur les marchés publics de 2016 s'apparente très nettement à notre article L. 2512-3 :

« [...] § 2 La présente loi ne s'applique pas aux marchés publics qui ne sont pas par ailleurs exclus en vertu du paragraphe 1er [relevant de la défense et de la sécurité] dans la mesure où la protection des intérêts essentiels de la sécurité du Royaume ne peut être garantie par des mesures moins intrusives, par exemple en imposant des conditions en vue de protéger la confidentialité des informations que le pouvoir adjudicateur met à disposition dans le cadre d'une procédure de passation prévue par la présente loi.

En outre, et en conformité avec l'article 346, paragraphe 1^er, a), du Traité sur le fonctionnement de l'Union européenne, la présente loi ne s'applique pas aux marchés publics qui ne sont pas par ailleurs exclus en vertu du paragraphe 1^er du présent article, dans la mesure où l'application de la présente loi obligerait le Royaume à fournir des informations dont il estimerait la divulgation contraire aux intérêts essentiels de sa sécurité.

§ 3. Lorsque la passation et l'exécution du marché public sont déclarés secrets ou doivent s'accompagner de mesures particulières de sécurité, conformément aux dispositions législatives, réglementaires ou administratives en vigueur dans le Royaume, la présente loi ne s'applique pas, pour autant qu'il est établi que la protection des intérêts essentiels concernés ne peut être garantie par des mesures moins intrusives, telles que celles visées au paragraphe 2, alinéa 1^er. »

Sans avoir réservé un sort particulier à ses OIV (puisqu'un tel régime n'existe pas encore en Belgique), le Gouvernement belge a cependant édicté une circulaire^128(*), le 11 septembre 2023, qui incite les pouvoirs adjudicateurs fédéraux à respecter et utiliser comme cadre d'interprétation une « boîte à outils » visant à réduire les risques de sécurité dans le cadre des marchés publics et procéder à un « quick scan » pour tous les marchés publics susceptibles d'avoir un impact sur la sécurité nationale.

Ladite circulaire invite à faire un plein usage des dispositions permettant de protéger les intérêts essentiels de l'Etat, après avoir réalisé un examen de proportionnalité à l'aune de la jurisprudence de la CJUE.

On notera aussi que la République Tchèque a invoqué le bénéfice de cette exception pour le projet de centrale nucléaire de Dukovany.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

La présente disposition précise le champ d'application des règles définies au titre II du livre V de la deuxième partie et au titre II du livre II de la troisième partie du code de la commande publique du code de la commande publique, ce qui exige l'intervention du législateur.

Il apparaît nécessaire de légiférer pour renforcer, en tenant compte de la marge d'appréciation permise par le droit de l'Union, la protection des intérêts essentiels de la Nation à l'occasion des contrats de la commande publique les plus sensibles des OIV.

La mesure restreint la liberté d'accès à la commande publique et relève donc de la loi.

La mesure vise à clarifier l'état du droit afin de tenir compte du dernier état de la jurisprudence européenne et à définir les marchés et contrat de concessions des OIV qui sont exclus des règles de la commande publique afin de prévenir tout risque d'ingérence ou d'atteinte à la continuité de leurs activités d'importance vitale.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Le code de la commande publique permet déjà aujourd'hui, tout particulièrement à ses articles L. 2512-3 et L. 3212-3, d'écarter son application sur le fondement de la protection des intérêts essentiels de l'État.

L'option de ne pas légiférer a cependant été écartée parce qu'il importe que l'État définisse lui-même ce qui apparaît essentiel à la protection des intérêts fondamentaux de la Nation et le niveau de protection à atteindre.

Une mise en concurrence à des conditions définies par l'acheteur permettant la consultation d'opérateurs fiables demeurera toutefois possible dans la mesure compatible avec la protection de nos intérêts essentiels.

L'option d'exclure du droit commun l'ensemble des contrats de la commande publique des OIV qui y sont soumis a été écartée afin de garantir la conformité de la mesure au droit de l'Union (et éviter qu'elle soit utilisée pour des marchés ou contrats de concessions dépourvus de tout lien avec la protection des intérêts essentiels de l'État, par exemple ceux portant sur des fournitures usuelles sans spécificité ni contribution à la sécurité, ou non nécessaires pour la continuité des activités d'importance vitale).

L'option retenue consiste à adopter une disposition spécifique, proche de celle retenue dans le cadre de la loi n° 2024-450 du 21 mai 2024 relative à l'organisation de la gouvernance de la sûreté nucléaire et de la radioprotection pour répondre au défi de la relance de la filière nucléaire, qui ne serait pas codifiée dans le code de la commande publique, compte tenu de sa circonscription aux seuls OIV soumis au code de la commande publique.

Elle prévoit l'application du titre II du livre V de la deuxième partie de la commande publique (pour les marchés) et du titre II du livre II de la troisième partie du code de la commande publique (pour les contrats de concession), qui correspondent aux régimes des contrats qui étaient exclus du champ d'application du code des marchés publics et de l'ordonnance n° 2016-65 du 29 janvier 2016 relative aux contrats de concession dans l'état du droit antérieur à la codification du droit de la commande publique.

Elle s'appliquera aux marchés publics et contrats de concessions relatifs à la conception, la qualification, la fabrication, la modification, la maintenance ou le retrait des structures, équipements, systèmes, matériels, composants ou logiciels nécessaires à la protection des infrastructures critiques ou à l'exercice de l'activité d'importance vitale de l'opérateur, à la condition que cette protection ou cet exercice ne puisse être garanti par d'autres moyens.

Afin de garantir que ces dérogations soient bien conformes au droit de l'Union européenne et ne risquent pas d'être utilisés pour des contrats dépourvus de tout lien avec la protection des intérêts essentiels de l'État, les OIV devront informer l'autorité administrative qu'ils mettent en oeuvre cette mesure. De la sorte, il serait explicite que les acheteurs publics et entités adjudicatrices devraient être en mesure d'établir qu'il n'est pas possible de prévenir ces risques par des mesures de moindre effet (par exemple en appliquant l'article L. 2132-1, alinéa 3 du code qui permet à l'acheteur d'« imposer aux opérateurs économiques des exigences visant à protéger la confidentialité des informations qu'il communique dans le cadre de la procédure de passation d'un marché » ou en imposant l'utilisation de certains équipements critiques pour des raisons techniques ou juridiques). Les conditions et délais d'informations seront précisés par voie réglementaire.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Comme exposé supra, la constitutionnalité des dispositions envisagées ne fait pas débat. Elles prévoient en effet des dérogations aux principes de la commande publique à raison de l'objet du marché ou du contrat de concession quand le respect des procédures de droit commun est de nature à compromettre la continuité d'une activité d'importance vitale, laquelle est sans conteste un motif d'intérêt général.

Des articles L. 1332-20 à L. 1332-22 sont créés dans le code de la défense au sein du Chapitre II « Résilience des activités d'importance vitale », section 4 « Marchés publics et contrats de concessions relatifs à la sécurité des activités d'importance vitale ».

La mesure ne nécessite aucune abrogation. Elle n'a pas vocation à être codifiée dans le code de la commande publique.

Des directives européennes en matière de commande publique ont été publiées en 2014. Il s'agit :

- de la directive 2014/23/UE du 26 février 2014 sur l'attribution de contrats de concession ;

- de directive 2014/24/UE du 26 février 2014 sur la passation des marchés publics ;

- de la directive 2014/25/UE du 26 février 2014 relative à la passation de marchés par des entités opérant dans les secteurs de l'eau, de l'énergie, des transports et des services postaux.

Par ailleurs, l'ensemble des règles régissant tous les contrats constituant des marchés de défense ou de sécurité sont encadrés par la directive 2009/81/CE, qui harmonise les règles de passation des marchés de défense ou de sécurité à l'échelle de l'Union.

En particulier, les articles 15 de la directive 2014/24 et 24 de la directive 2014/25 prévoient une exclusion de leur application pour des raisons de sécurité, notamment « dans la mesure où la protection des intérêts essentiels de la sécurité d'un État membre ne peut être garantie par des mesures moins intrusives ».

Les dispositions envisagées s'inscrivent pleinement dans ce cadre normatif européen ; il ne se heurte à aucun obstacle d'ordre conventionnel, dès lors que les marchés publics et contrats de concessions mentionnés par le projet de loi, dont l'objet est précisément défini, peuvent être considérés comme hors du champ de la directive au titre de la protection des intérêts essentiels de l'Etat, à plus forte raison dans la mesure où le projet rappelle que la protection de ces intérêts ne doit pas, en l'espèce, pouvoir être garantie par des mesures moins intrusives.

La mesure n'a, par elle-même, aucune incidence macroéconomique. Elle aura néanmoins une contribution indirecte au titre de l'amélioration de la défense économique de la Nation, notamment concernant la sécurité d'approvisionnement.

Comme exposé supra, l'adoption des dispositions envisagées permettrait aux OIV soumis au code de la commande publique de faire valoir leur statut lorsqu'ils passent certaines marchés publics ou contrats de concession, pour pouvoir déroger à certaines dispositions du code de la commande publique, et ainsi écarter les candidats problématiques.

La mesure n'a, par elle-même, aucune incidence générale sur les entreprises. Elle pourra entraîner dans certains cas des restrictions à la liberté d'accès à la commande publique, justifiées par la protection des intérêts essentiels de la Nation et limitées par le maintien du principe d'une mise en concurrence et la nécessité de tenir compte de la pluralité d'offres susceptibles de répondre au besoin.

Sans objet.

Le cas échéant, les collectivités désignées par l'autorité administrative en tant qu'opérateurs d'importance vitale sont soumises aux dispositions de commande publique visées par le présent projet de loi.

Les services administratifs verront de facto leur mission de supervision évoluer puisqu'ils devront contrôler le respect effectif des dispositions spéciales de commande publique appliquées aux OIV publics.

En outre, l'autorité administrative est informée par les entités adjudicatrices et les pouvoirs adjudicateurs lorsque ces derniers ont recours aux règles prévues par le présent article, selon des modalités renvoyées à un décret.

La présente mesure contribuera à l'amélioration de la défense économique de la Nation.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

La mesure n'a, par elle-même, aucun impact environnemental. Elle aura néanmoins une contribution indirecte au titre de l'amélioration de la défense économique de la Nation, notamment concernant la protection contre les actes de malveillance sur point d'importance vitale et donc sur la réduction associée des risques pour l'environnement.

5. CONSULTATIONS MENÉES ET MODALITÉS D'APPLICATION

Une concertation de l'ensemble des ministères coordonnateurs a été réalisée sur cette mesure.

En application de l'article L. 1212-2 du code général des collectivités territoriales, les présentes dispositions ont été soumises à l'examen du Conseil national d'évaluation des normes qui a rendu un avis défavorable le 22 mai 2024.

Enfin, le service national des enquêtes administratives de sécurité, le coordinateur général de la sécurité nucléaire, le service juridique du Secrétariat général des affaires européennes et l'Agence nationale de sécurité des systèmes d'informations ont également été consultés.

Les présentes dispositions entreront en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française. Toutefois, afin de produire des effets, elles nécessiteront l'adoption d'un décret en Conseil d'Etat (mentionné infra, 5.2.3.).

Conformément aux dispositions de l'article L. 1 du code de la défense, s'agissant d'une mesure liée à la politique de sécurité nationale ou à la politique de défense, les présentes dispositions s'appliqueront de plein droit sur l'ensemble du territoire de la République, sans qu'aucune mention expresse d'application ne soit requise pour les collectivités d'outre-mer.

Les présentes dispositions feront l'objet d'un décret en Conseil d'Etat.

TITRE II - CYBERSÉCURITÉ

CHAPITRE I^ER - DE L'AUTORITÉ NATIONALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION

Article 5 - Missions et compétences de l'autorité nationale

1. ÉTAT DES LIEUX

Dans son panorama de la menace de 2023^129(*), l'Agence nationale de la sécurité des systèmes d'information (ANSSI) a identifié quatre tendances principales en matière cyber. L'espionnage stratégique et industriel est la menace qui a le plus mobilisé ses équipes. Les cyberattaques à des fins d'extorsion se sont maintenues à un niveau élevé. L'augmentation de 30% du nombre d'attaques par rançongiciel portées à la connaissance de l'ANSSI peut en témoigner. L'ANSSI a également constaté un regain du nombre d'attaques à des fins de promotion de discours politique ou de déstabilisation. Enfin, il est établi que l'exploitation de vulnérabilités « jour-zéro »^130(*) et « jour-un »^131(*) reste une porte d'entrée de choix pour les attaquants.

En vertu de l'article L. 2321-1 du code de la défense, « le Premier ministre définit la politique et coordonne l'action gouvernementale en matière de sécurité et de défense des systèmes d'information. Il dispose à cette fin de l'autorité nationale de sécurité des systèmes d'information qui assure la fonction d'autorité nationale de défense des systèmes d'information ».

Aux termes de l'article R. 2321-1 du même code : « L'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 est l'Agence nationale de la sécurité des systèmes d'information ».

Créée par le décret n° 2009-834 du 7 juillet 2009 modifié par le décret n° 2020-455 du 21 avril 2020, l'ANSSI, service à compétence nationale rattaché au secrétaire général de la défense et de la sécurité nationale (SGDSN), est l'autorité nationale de sécurité des systèmes d'information. En cette qualité, l'ANSSI « propose au Premier ministre les mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d'information des autorités publiques et des opérateurs d'importance vitale et elle coordonne, dans le cadre des orientations fixées par le Premier ministre, l'action gouvernementale en matière de défense des systèmes d'information ». Par ailleurs, le ministre de la défense dispose de compétences spécifiques en matière de cybersécurité prévues par la sous-section 4 de la section 2 du chapitre I^er du titre I^er du livre IV du code de la défense.

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^132(*).

De ce fait, le Conseil constitutionnel juge qu'il lui appartient de veiller au respect de cette exigence lorsqu'il est saisi dans les conditions prévues par l'article 61 de la Constitution d'une loi ayant pour objet de transposer en droit interne une directive de l'Union européenne^133(*), même si son contrôle est limité.

Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne^134(*).

Le présent article vise à transposer les mesures issues de l'article 8 de la directive 2022/2555^135(*), ci-après « NIS 2 », en ce qui concerne la désignation de l'autorité nationale de sécurité des systèmes d'information et sa compétence pour contrôler la mise en oeuvre de la directive. Il ouvre le titre II dont le principal objet est de transposer l'intégralité de la directive NIS 2.

La directive NIS 2 remplace la directive (UE) 2016/1148 du Parlement Européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (dite directive NIS1), laquelle a été transposée en France par la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité.

Afin de prendre en compte l'évolution de la menace cyber devenue systémique, la directive NIS 2 a considérablement élargi le périmètre initial des acteurs et secteurs régulés par NIS 1 qui ciblait uniquement les acteurs et opérateurs les plus stratégiques via la mise en place d'une procédure national d'identification. En France, cet élargissement du périmètre se traduit par une augmentation estimée du nombre d'entités régulées de 500 à près de 15 000, et une augmentation du nombre de secteurs régulés de 6 à 18. La directive NIS2 élargit également le périmètre des systèmes d'information à sécuriser. Alors que la directive NIS1 prévoyait une identification des systèmes d'information essentiels sur lesquels les obligations de la directive porteraient, la directive NIS2 s'applique par défaut à l'ensemble des systèmes d'information de l'entité. Des mécanismes d'exemption de certains systèmes d'information sont toutefois permis si ces derniers n'impactent pas la réalisation des activités ou la fourniture des services de l'entité.

La directive NIS 2 consacre enfin le principe de proportionnalité en prévoyant deux niveaux d'entités régulées, les entités importantes et essentielles, classées selon leur degré de criticité, leur taille et leur chiffre d'affaires (pour les entreprises), afin d'adapter le niveau d'exigence. Les entités importantes, qui représentent la plus grande proportion des acteurs concernés par le projet de loi, se verront imposer des exigences de sécurité de base (de l'ordre de « l'hygiène numérique »), pour diminuer leur probabilité d'être atteintes par un rançongiciel courant. Les entités essentielles sont des structures déjà sensibilisées ou confrontées à la menace cyber. Elles seront en partie des opérateurs déjà régulés, et donc déjà soumises depuis des années à la réglementation NIS et/ou au dispositif de sécurité des activités d'importance vitale (SAIV).

Au sens de la directive NIS 2, l'autorité nationale de sécurité des systèmes d'information est l'autorité compétente pour contrôler la mise en oeuvre de la directive en France. Elle est également le point de contact unique, pour les autorités compétentes des autres États membres, pour la Commission et l'Agence de l'Union européenne pour la cybersécurité (ENISA), ainsi que pour les autres autorités sectorielles compétentes sur ces sujets. Elle est également centre national de réponse aux incidents de sécurité informatique (CSIRT national), autorité chargée de la gestion des incidents de cybersécurité et crises cyber ainsi que représentante de la France dans le cadre de la coopération internationale organisée par la directive NIS 2, notamment au sein de EU-CyCLONe (article 16 de la directive NIS 2) et au sein du réseau des CSIRT (article 15 de la directive NIS 2).

La Belgique, qui est aujourd'hui l'un des rares Etats membres à avoir finalisé la transposition de la directive NIS 2 dans son droit national, a fait le choix, dans son projet de loi, de désigner une autorité nationale de cybersécurité unique, le Centre pour la Cybersécurité Belgique, qui n'est pas explicitement cité dans la loi afin de respecter l'indépendance du pouvoir exécutif, mais sera désigné par lui. Le texte prévoit la possibilité de nommer des autorités sectorielles ainsi que des services d'inspection sectoriels.

La Belgique a également fait le choix d'inscrire dans son projet de loi le rôle de l'autorité nationale de cybersécurité afin de centraliser ses compétences, que ce soit celles prévues par la directive NIS 2 ou celles déjà dévolues au Centre pour la Cybersécurité Belgique. En cohérence avec la directive, le texte liste les missions prévues par NIS 2 (voir supra) ainsi que celles mentionnées en tant qu'autorité nationale, dont la gestion, par une approche intégrée et centralisée, des différents projets relatifs à la cybersécurité et la coordination entre autorités publiques et le secteur privé ou le monde scientifique, en matière de gestion des crises cyber et en tant que centre de réponse à incident national.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

L'article L. 2321-1 du code de la défense dispose déjà que « Dans le cadre de la stratégie de sécurité nationale et de la politique de défense, le Premier ministre définit la politique et coordonne l'action gouvernementale en matière de sécurité et de défense des systèmes d'information. Il dispose à cette fin de l'autorité nationale de sécurité des systèmes d'information qui assure la fonction d'autorité nationale de défense des systèmes d'information ».

Toutefois, le rôle de l'autorité nationale de sécurité des systèmes d'information en matière de sécurité des systèmes d'information n'est défini que par des dispositions isolées^136(*). Aussi importe-t-il de disposer que l'autorité nationale de sécurité des systèmes d'information est chargée de la mise en oeuvre de la politique du gouvernement en matière de sécurité des systèmes d'information et de son contrôle.

Il convient de noter qu'outre le non-respect d'une exigence constitutionnelle (cf. paragraphe 1.2), la non transposition, le retard dans la transposition, l'absence de communication des mesures de transposition ou la mauvaise transposition d'une directive européenne peuvent entraîner un risque contentieux pour la France. En effet, au niveau de l'Union européenne, la France est susceptible de faire l'objet d'une procédure de manquement devant la Cour de justice de l'Union européenne, dans la majorité des cas à l'initiative de la Commission européenne, impliquant des sanctions pécuniaires (somme forfaitaire ou astreinte).

Par ailleurs, en droit interne, le juge administratif peut être conduit à sanctionner un défaut de transposition de deux manières :

1. par une annulation du texte de transposition qui se révèlerait infidèle ou incomplet ;

2. par l'annulation de procédures ou actes conformes au droit interne mais ne répondant pas aux objectifs fixés par des dispositions non transposées de directives ou en contradiction avec des dispositions précises et inconditionnelles qu'elles contiennent.

Les missions de l'autorité nationale de sécurité des systèmes d'information sont duales (sécurité des systèmes d'information et défense des systèmes d'information). En effet, l'autorité nationale de sécurité des systèmes d'information est aussi investie de compétences qui, si elles ne relèvent pas strictement du champ de la sécurité nationale ou de la défense, concourent pour partie à la stratégie de sécurité nationale ainsi qu'à la défense et à la promotion des intérêts fondamentaux de la Nation. A titre d'exemple, la qualification et la certification de produits et de prestataires de services de confiance dans le cadre des obligations des opérateurs d'importance vitale ou la délivrance d'agréments à des produits de sécurité. Si les missions de l'autorité nationale de défense des systèmes d'information sont clairement définies dans la loi, celles de l'autorité nationale de sécurité des systèmes d'information ne sont quant à elles définies par aucun texte, si ce n'est par des dispositions isolées. La dualité de ses missions implique, d'ailleurs, que ces compétences ne peuvent pas figurer au sein de code de la défense, à l'instar d'autres services de l'Etat (cf. infra).

Par ailleurs, si l'organisation et la répartition des compétences entre les services de l'Etat relève, en principe, du domaine règlementaire, l'organisation administrative liée à l'exercice de certaines compétences peut, toutefois, figurer au niveau de la loi. A titre d'exemples, le code de la sécurité intérieure prévoit dans son livre Ier, un titre II portant sur l'organisation administrative qui aborde notamment le rôle des préfets en tant que représentant de l'Etat. Le même code détermine à l'article L. 811-2 les compétences des services spécialisés de renseignement au titre de la politique publique de renseignement. L'autorité nationale de sécurité des systèmes d'information mettant en oeuvre la politique du gouvernement en matière de sécurité des systèmes d'information, sa compétence doit donc être déterminée au niveau de la loi pour en prévoir le rôle prépondérant au regard d'autres services dont les missions figurent dans la loi.

De plus, cette désignation de l'autorité nationale de sécurité des systèmes d'information comme autorité compétente chargée de la cybersécurité au sens de l'article 8 de la directive a des implications fortes pour les collectivités territoriales et pour les entreprises, compte tenu notamment de la mise en place d'un pouvoir de supervision et de contrôle. Ces éléments justifient que cette mission soit inscrite dans la loi.

Dans un contexte d'augmentation du volume de cyberattaques auquel la France fait face^137(*), et de leur sophistication croissante, disposer d'une autorité nationale cheffe de file identifiée comme assurant la coordination, à l'échelon national, de l'action gouvernementale et des différents services en matière de cybersécurité, constitue un atout essentiel pour doter la France d'une cyber résilience de tout premier ordre, objectif fixé par le Président de la République dans la revue nationale stratégique de 2022.

Dans cette perspective, le présent article permet de transposer l'article 8 de la directive NIS2 en prévoyant l'existence d'une autorité nationale de sécurité des systèmes d'information chargée de la mise en oeuvre de la législation et de la politique du Gouvernement en matière de sécurité des systèmes d'information, dont les missions et leurs conditions d'exercice seront précisées par décret.

Le renvoi à un décret permettra de préciser en quelles matières spécifiques certains ministères exerceront, dans le domaine de la défense, les compétences de l'autorité nationale de sécurité des systèmes d'information au sens de l'article 8 de la directive, préservant ce faisant la répartition des compétences existant actuellement.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Deux options pouvaient être envisagées : codifier l'article dans le code de la défense ou prévoir les missions dans une loi autonome, hors du code de la défense.

Le choix de désigner dans la loi une autorité nationale cheffe de file identifiée comme assurant la coordination, à l'échelon national, de l'action gouvernementale et des différents services en matière de cybersécurité, lui permet de disposer des compétences nécessaires pour bâtir et organiser la protection de la Nation face aux cyberattaques et ainsi renforcer le niveau de cybersécurité global et la stabilité du cyberespace, en coordination étroite avec l'ensemble des acteurs de l'État disposant de compétences en matière de cybersécurité et de cyberdéfense.

En outre, l`option de retenir la loi autonome trouve sa justification dans les éléments suivants.

Les missions de l'autorité nationale de sécurité des systèmes d'information sont duales puisqu'elles relèvent à la fois de la sécurité des systèmes d'information et de la défense des systèmes d'information telle que définie par l'article L. 2321-1 du code de la défense. L'article 5, en ce qu'il porte le rôle de mise en oeuvre de la politique du gouvernement en matière de sécurité des systèmes d'information, se justifie puisque certaines de ses missions, qui seront précisées par décret en Conseil d'Etat, ne relèvent pas strictement du champ de la sécurité nationale ou de la défense. Par exemple, ce sont les cas de la qualification et de la certification de produits et de prestataires de services de confiance ou de la délivrance d'agréments à des produits de sécurité ou des services de confiance en vertu de règlements européens tels que le règlement eIDAS ou le règlement CSA qui ont trait au développement de la confiance numérique sur le marché intérieur.

En effet, si le code de la défense intègre des dispositions plus larges que la défense militaire stricto sensu, elles ont systématiquement trait à l'organisation générale de la défense et de la sécurité nationale, qu'il s'agisse de l'organisation des services de l'Etat et des établissements qui lui sont rattachés ou des règles applicables à des entités dont l'atteinte risquerait d'affecter la vie de la Nation, notamment la protection de la population, l'intégrité du territoire et la permanence des institutions de la République (régimes d'exceptions, défense économique, etc.).

De manière générale, l'article L. 1111-1 du code de la défense précise que « L'ensemble des politiques publiques concourt à la sécurité nationale ». Pour autant, l'ensemble des règles permettant de mettre en oeuvre ces politiques publiques ne figurent pas au sein du code de la défense. Il en va ainsi de la sécurité des systèmes d'information dont certaines dispositions figurent également dans d'autres textes codifiés ou non (le code monétaire et financier par exemple au sujet de la vérification de l'identité).

Les notions de cybersécurité et de cyberdéfense présentent ce lien d'interdépendance sans qu'elles ne recouvrent des périmètres identiques. Ainsi, la cyberdéfense est l'« Ensemble des moyens mis en place par un État pour défendre dans le cyberespace les systèmes d'information jugés d'importance vitale, qui contribuent à assurer la cybersécurité » tandis que la cybersécurité est définie comme un «  « État d'un système d'information qui résiste aux cyberattaques et aux pannes accidentelles survenant dans le cyberespace » ^138(*).  La cyberdéfense met notamment en oeuvre la lutte informatique défensive, définie comme un « Ensemble coordonné d'actions menées par un État, qui consistent à détecter, à analyser et à prévenir des cyberattaques, et à y réagir le cas échéant » et la lutte informatique offensive définie comme un « Ensemble coordonné d'actions menées dans le cyberespace par un État contre des systèmes d'information ou de données pour les perturber, les modifier, les dégrader ou les détruire. ». Ce sont ces deux types d'actions de lutte qui figurent au titre des missions de l'autorité nationale de défense des systèmes d'information prévues à l'article L. 2321-1 et suivants du code de la défense.

En outre, l'article L. 2321-1 du code de la défense dispose expressément que « Dans le cadre de la stratégie de sécurité nationale et de la politique de défense, le Premier ministre définit la politique et coordonne l'action gouvernementale en matière de sécurité et de défense des systèmes d'information. Il dispose à cette fin de l'autorité nationale de sécurité des systèmes d'information qui assure la fonction d'autorité nationale de défense des systèmes d'information ». Or, les missions qui relèvent traditionnellement du développement de l'écosystème de la cybersécurité telles que la certification ou la qualification de produits ou de prestataires de services de confiance ont été confiées directement à l'autorité nationale. A ce titre, c'est le directeur général de l'ANSSI qui délivre ces décisions administratives individuelles à titre de compétences propres au titre de l'article 4 du décret n° 2009-834 et non par délégation de signature du Premier ministre.

Partant, la disparition de l'article 5, par le rattachement des missions de l'autorité nationale de sécurité des systèmes d'information à l'article L. 2321-1 du code de la défense pour l'ensemble des missions qui relèvent de la certification et de la qualification, liées à la mise en oeuvre de règlement européens ou d'exigences nationale, ne serait pas conforme à la portée de cet article du code de la défense qui ne s'inscrit que par le prisme de la stratégie de sécurité nationale et de la politique de défense et de fait, de la compétence du Premier ministre.

A titre d'illustration, l'ordonnance n° 2005-1516 (dont une partie a vocation à disparaître avec la simplification portée par le projet de loi), qui est le fondement de niveau législatif des exigences du référentiel général de sécurité, n'a jamais conduit à codifier les missions qui en découlent au sein du code de la défense. Pas plus, par ailleurs, que la loi n° 2018-133 précitée transposant la directive NIS 1 qui s'adressait aux opérateurs de services essentiels ainsi qu'aux fournisseurs de services numériques qui est restée une loi autonome et n'a pas fait l'objet de codification au sein du code de la défense.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

La déclinaison, au niveau règlementaire, des missions de l'autorité nationale modifiera :

- le décret n° 2009-834 précité ;

- le décret n° 2002-535 relatif à l'évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l'information ;

- le décret n° 2010-112 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

- le décret n° 2015-350 relatif à la qualification des produits de sécurité et des prestataires de service de confiance pour les besoins de la sécurité des systèmes d'information ;

- le décret n° 97-34 relatif à la déconcentration des décisions administratives individuelles le cas échéant.

En outre, des dispositions réglementaires prévoiront que certains ministres, en particulier le ministre chargé de la défense, exerceront les missions de l'autorité nationale de sécurité des systèmes d'information, pour son compte ou dans les domaines relevant spécifiquement de leurs attributions.

La mesure prévue à l'article 5 vise à transposer l'article 8 de la directive NIS 2.

Face à une menace qui se massifie, des acteurs malveillants qui se professionnalisent et la multiplication des attaques, tous les secteurs et toutes les tailles d'entreprise et d'organisation sont touchés. Cette augmentation constante des attaques^139(*) coûte par ailleurs très cher aux entreprises, aux administrations et aux particuliers. Le coût direct d'une cyberattaque peut par exemple s'élever à environ un million d'euros pour une collectivité territoriale, voire à plus de cinq millions d'euros pour un centre hospitalier.

De manière générale, désigner dans les textes l'autorité nationale et clarifier son rôle permettra de lutter plus efficacement contre des incidents de cybersécurité qui peuvent nuire à la poursuite des activités économiques sur le marché intérieur, entraîner des pertes financières, entamer la confiance des utilisateurs et causer un préjudice majeur à l'économie et la société. Des impacts plus directs, notamment ceux liés à la mise en oeuvre de la directive, sont mentionnés dans la suite de l'étude d'impact, en particulier dans les chapitres II relatif à la cyber résilience et III pour ce qui concerne le régime de supervision.

En facilitant la gestion de crise d'origine cyber avec les partenaires européens ou relevant du secteur privé, il est attendu que les impacts intersectoriels et transfrontaliers de ces crises soient mieux anticipés et formalisés, permettant d'identifier de meilleures mesures de remédiation et donc de réduire plus rapidement les impacts métiers associés et le coût des crises pour les organisations.

L'ancrage du rôle de l'autorité nationale dans la loi aura aussi pour effet de renforcer la lutte proactive contre les cyberattaques. En effet, les qualifications, certifications, agréments et labels permettent d'accélérer la diffusion de produits et services numériques de confiance avec un impact positif sur l'économie, via le développement de cet écosystème et via le renforcement de la cybersécurité des organisations utilisatrices et donc de leur compétitivité.

L'inscription, au niveau règlementaire, du rôle de centre national de réponse aux incidents informatiques renforcera les capacités de supervision de l'ANSSI, sans engendrer en tant que telle d'impact sur ses moyens (qui devront en revanche être adaptés à l'extension de son champ de compétence découlant des autres dispositions du projet de loi).

La mise en oeuvre des responsabilités du ministre de la défense sur son périmètre de responsabilité n'engendrera pas non plus de coût supplémentaire, dès lors qu'il met déjà en oeuvre des responsabilités similaires.

Sans objet.

Cf. §4.2.3 Impacts budgétaires.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Conformément aux dispositions de l'article L. 1212-2 du code général des collectivités territoriales, la présente disposition a été soumise à l'examen du Conseil national d'évaluation des normes (CNEN) qui a rendu un avis défavorable le 22 mai 2024.

Sur le fondement de l'article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l'informatique et des libertés (CNIL) a été consultée à titre facultatif. Elle a rendu un avis favorable le 23 mai 2024 au renforcement des mesures en matière de cybersécurité, appelant toutefois à s'assurer de la cohérence des exigences de sécurité découlant des principes relatifs à la protection des données avec celles issues de la directive NIS 2 ainsi qu'à une coordination entre la CNIL et l'ANSSI sur la mise en oeuvre de NIS 2.

Le présent article entrera en vigueur le lendemain de la publication de la loi au Journal officiel de la République française.

Conformément à l'article 40 du présent projet de loi, le titre II est applicable dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, sous réserve des adaptations suivantes :

1° En l'absence d'adaptation, les références faites, par des dispositions du titre II applicables en Polynésie française et en Nouvelle-Calédonie, à des dispositions qui n'y sont pas applicables sont remplacées par les références aux dispositions ayant le même objet applicables localement.

2° Dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie, les sanctions pécuniaires encourues en vertu du titre II de la présente loi sont prononcées en monnaie locale, compte tenu de la contre-valeur de l'euro dans cette monnaie.

Pour l'application du titre II à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les références à la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union et aux règlements de l'Union européenne sont remplacées par la référence aux règles en vigueur en métropole en vertu de la même directive et des mêmes règlements.

Un décret en Conseil d'Etat précisera les missions de l'autorité nationale de sécurité des systèmes d'information ainsi que celles des organismes désignés par le Premier ministre pour exercer, dans le domaine de la défense, les missions de cette autorité. Il prévoira le cas échéant, les modalités de leur coopération avec l'Agence nationale de sécurité des systèmes d'information.

CHAPITRE II - DE LA CYBER RÉSILIENCE

Article 6 - Définitions

1. ETAT DES LIEUX

Le droit national, que ce soit au niveau législatif ou réglementaire, ne comporte pas d'appareil de définitions des notions et des concepts liés à la cybersécurité tels que « bureau d'enregistrement », « prestataire de service de confiance », prestataire de service de confiance qualifié », « office d'enregistrement » ou encore « service de centre de données ».

L'existant est dispersé, lacunaire ou bien encore cantonné à un niveau infra-réglementaire. Par exemple, la seule notion de système d'information est définie par l'article 4 de la directive NIS 1, par l' ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, par le décret n° 2019-1088 relatif au système d'information et de communication de l'Etat et à la direction interministérielle du numérique et par l'instruction générale interministérielle 1300 sur la protection du secret de la défense nationale.

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^140(*). Si les règlements eIDAS et CSA sont directement applicables, la directive NIS 2 contient de nombreuses définitions dont certaines renvoient également à celles du règlement.

Tant la transposition que le principe de clarté de la loi et l'objectif de valeur constitutionnelle d'intelligibilité et d'accessibilité de la loi imposent d'adopter des dispositions suffisamment précises et des formules non équivoques »^141(*).

La directive (UE) 2022/2555 (dite directive NIS 2) du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148 définit en son article 6 les termes qui contribuent à déterminer son champ d'application et procède par renvoi à d'autres textes de droit dérivé de l'Union européenne, à savoir les règlements eIDAS et CSA, et ce à des fins d'harmonisation de la terminologie liée à la cybersécurité.

A titre d'exemple, la directive NIS 2 s'adresse à des prestataires de services de confiance. Aux fins d'éviter la coexistence avec une nouvelle définition propre à la directive NIS 2, celle-ci se réfère, par renvoi, à celle du règlement eIDAS.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Le présent article a pour objet de transposer les notions de la directive requises pour la mise en oeuvre du dispositif normatif. Les définitions ont notamment vocation à préciser le champ d'application des obligations que porte le titre II du projet de loi et relèvent du niveau de la loi, notamment aux fins de répondre aux exigences du principe de clarté de la loi découlant de l'article 34 de la Constitution^142(*) d'une part et de l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi fondé sur les articles 4, 5, 6 et 16 de la Déclaration de 1789^143(*).

A titre d'exemple, la notion de prestataires de services de confiance qualifiés telle que définie au présent article ne concerne que les prestataires de services de confiance qualifiés tels que définis par le règlement eIDAS. Or, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) qualifie des prestataires de services de confiance qui ne relèvent pas de du règlement eIDAS mais d'autres textes tels que l'ordonnance n° 2005-1516. Ainsi, préciser au sein des définitions du présent article qu'au sens du titre II du projet de loi, la notion de prestataire de service de confiance est celle entendue par le règlement eIDAS permet d'éviter une surtransposition en précisant clairement le champ d'application de celle-ci.

En outre, l'adaptation de certaines notions en droit français conduisent à prévoir certaines définitions au niveau de la loi telles que celles de bureau d'enregistrement ou d'office d'enregistrement.

S'il vise à définir les concepts et entités utiles au sens du titre II du projet de loi, ce qui limite effectivement sa portée à la mise en oeuvre de la transposition de la directive NIS 2, en excluant les notions d'usage courant, l'établissement de ce bref glossaire procède également d'une démarche de simplification législative et règlementaire. Il pourrait en particulier faire office de référence pour d'autres textes, législatifs, réglementaires ou infra-réglementaires.

3. OPTIONS POSSIBLES DISPOSITIF RETENU

Option 1 : Procéder par renvoi pur et simple aux définitions de la directive mais l'objectif à valeur constitutionnelle d'intelligibilité et d'accessibilité de la norme commande d'éviter, en général, la transposition par renvoi ou référence.

Option 2 : Reprendre in extenso l'ensemble des définitions au risque d'avoir des définitions concurrentes ou qui ne présentent pas de difficulté d'interprétation.

Option 3 : Ne reprendre que celles qui conduisent à adapter des notions existantes en droit national dès lors que le Conseil d'Etat recommande de distinguer clairement entre les termes et les notions employés par la directive qui doivent être introduits en droit interne pour les besoins de la transposition et ceux qui peuvent être transcrits par renvoi à des notions habituelles en droit français.

Le présent article définit huit notions courantes liées à la sécurité et à la résilience numérique, qu'il s'agisse des entités entrant dans le champ d'application du présent projet de loi ou des évènements susceptibles de les concerner :

- Bureau d'enregistrement ;

- Entité ;

- Prestataire de services de confiance ;

- Prestataire de services de confiance qualifié ;

- Office d'enregistrement ;

- Représentant ;

- Service de centre de données ;

- Système d'information.

Dans le projet de loi, il a été décidé d'inscrire les définitions qui nécessitent une éventuelle adaptation dans le droit national. C'est le cas, par exemple, des notions de bureau d'enregistrement et d'office d'enregistrement. Il a également été décidé d'inscrire celles qui permettent d'apporter une précision par rapport à cadre national. C'est le cas notamment pour les services de centre de données puisque le 11 bis de l'article L. 32 du CPCE définit le terme de « centre de données » mais la définition associée (« On entend par centres de données les installations accueillant des équipements de stockage de données numériques. ») est plus restrictive que celle prévue par la directive NIS 2 et reprise donc au 6° de l'article 6 du projet de loi. C'est le cas aussi de la définition de prestataires de service de confiance qualifié ou non. En France, l'ANSSI qualifie plusieurs types de service de confiance en plus de ceux prévus par le règlement n° 910/2014 dit eIDAS, comme les prestataires d'audit en sécurité des systèmes d'information (PASSI)^144(*). Conformément à la directive NIS 2, qui vise uniquement les prestataires de services de confiance au sens du règlement eIDAS, seules les définitions prévues par la directive ont été reprises. Dans un souci de simplification règlementaire, une définition de système d'information a également été ajoutée au 8° du présent article parce que, comme détaillé supra dans le cadre général, plusieurs définitions coexistaient, notamment celle du décret n° 2019-1088 qui a été reprise dans le projet de loi.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Les présentes dispositions ne sont pas codifiées.

Au sein de ce projet de loi, il a été décidé d'inscrire les définitions de la directive NIS 2 qui nécessitent une éventuelle adaptation dans le droit national (cf. supra).

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Conformément aux dispositions de l'article L. 1212-2 du code général des collectivités territoriales, la présente disposition a été soumise à l'examen du Conseil national d'évaluation des normes (CNEN) qui a rendu un avis défavorable le 22 mai 2024.

Sur le fondement de l'article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l'informatique et des libertés (CNIL) a été consultée à titre facultatif. Elle a rendu un avis favorable le 23 mai 2024 au renforcement des mesures en matière de cybersécurité, appelant toutefois à s'assurer de la cohérence des exigences de sécurité découlant des principes relatifs à la protection des données avec celles issues de la directive NIS 2 ainsi qu'à une coordination entre la CNIL et l'ANSSI sur la mise en oeuvre de NIS 2.

La disposition entrera en vigueur le lendemain de la publication du projet de loi au Journal officiel de la République française.

Conformément à l'article 40 du présent projet de loi, le titre II est applicable dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, sous réserve des adaptations suivantes :

1° En l'absence d'adaptation, les références faites, par des dispositions du titre II applicables en Polynésie française et en Nouvelle-Calédonie, à des dispositions qui n'y sont pas applicables sont remplacées par les références aux dispositions ayant le même objet applicables localement.

2° Dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie, les sanctions pécuniaires encourues en vertu du titre II de la présente loi sont prononcées en monnaie locale, compte tenu de la contre-valeur de l'euro dans cette monnaie.

Pour l'application du titre II à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les références à la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union et aux règlements de l'Union européenne sont remplacées par la référence aux règles en vigueur en métropole en vertu de la même directive et des mêmes règlements.

La présente disposition ne requiert aucune mesure d'application.

Articles 7 à 16 - Périmètre de compétence de l'autorité nationale
et exigences de sécurité

1. ÉTAT DES LIEUX

L'accroissement de la menace cybercriminelle se traduit dans les faits par un nombre croissant de victimes de cyberattaques dans tous les secteurs d'activité, publics et privés. Dans son « Panorama de la menace informatique 2023 » publié en février 2024, l'ANSSI a notamment observé une augmentation de 30 % du nombre d'attaques par rançongiciel portées à sa connaissance en 2023 par rapport à la même période en 2022.

L'Union européenne (UE) a déjà pris conscience de la nécessité de protéger les acteurs du marché unique de cette menace, afin de limiter les impacts économiques, financiers et sociétaux de la cybercriminalité, en élaborant la directive 2016/1148 du 6 juillet 2016, concernant des « mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union », premier instrument du marché intérieur visant à améliorer la résilience des « activités essentielles pour l'économie et la société de l'Union européenne » contre les risques liés à la cybersécurité, en établissant les bases d'une cybersécurité renforcée sur un ensemble de secteurs d'activité sur le territoire de l'Union européenne.

Cette directive européenne, dite « NIS 1 » a été transposée en droit français au moyen de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité.

Ces dispositions aujourd'hui en vigueur concernent environ 500 opérateurs, répartis dans six secteurs d'activité que l'UE avait jugés prioritaires en raison de leurs effets potentiellement systémiques (énergie, transports, banque et marchés financiers, santé, eau potable, infrastructures numériques), auxquels la France a ajouté six autres secteurs dont les enjeux ont également été jugés prioritaires (assurance, restauration, traitement des eaux, éducation, emploi et formation, organismes sociaux).

La directive est structurée autour de quatre axes principaux :

- le renforcement des capacités nationales de cybersécurité des Etats membres ;

- la coopération entre les Etats membres portant sur les aspects stratégiques et opérationnels de la cybersécurité ;

- un socle réglementaire commun pour l'identification et le renforcement, par les Etats, de la cybersécurité des opérateurs de services essentiels (OSE) dont l'interruption pourrait affecter le fonctionnement de nos économies et de nos sociétés ;

- un cadre réglementaire destiné à renforcer la cybersécurité des fournisseurs de service numérique (FSN).

Les OSE sont des opérateurs tributaires des réseaux ou systèmes d'information, qui fournissent un service essentiel dont l'interruption aurait un impact significatif sur le fonctionnement de l'économie ou de la société.

Avec ce premier dispositif, ces grands acteurs ont été soumis à l'obligation de déclarer leurs incidents de sécurité à l'ANSSI, et de mettre en oeuvre les mesures de sécurité nécessaires pour réduire fortement l'exposition de leurs systèmes les plus critiques aux risques cyber.

Les OSE étaient désignés selon un processus, relativement lourd administrativement, impliquant la consultation des ministères sur l'identité des opérateurs à désigner, la transmission d'un courrier d'intention de désignation à chaque opérateur, une réponse officielle à la prise en compte des remarques faites par l'ANSSI puis la désignation individuelle par arrêté du Premier ministre. Le décret n° 2018-384 du 23 mai 2018 fixait notamment les règles de sécurité que les entités régulées devaient respecter, dont l'élaboration et la mise en oeuvre d'une politique de sécurité des réseaux et systèmes d'information ou la détection et le traitement des incidents de sécurité affectant les réseaux et systèmes d'information.

Le texte de la première directive NIS prévoyait que la Commission réexamine périodiquement le fonctionnement global du dispositif et évalue la liste des secteurs et sous-secteurs dans lesquels sont identifiés des opérateurs de services essentiels et les types de services numériques couverts par la directive. C'est dans le respect de cet engagement que la nouvelle directive (n° 2022/2555, appelée « NIS 2 ») a été élaborée. L'évolution de son périmètre confirme au niveau européen ce que la France avait anticipé dès 2018, en intégrant des secteurs d'activité qui n'étaient pas prévus par NIS 1 et dont les entreprises désignées OSE seront automatiquement considérées comme des entités essentielles sous NIS 2.

A l'heure actuelle, certaines entités peuvent être assujetties à plusieurs régimes d'obligations en matière de cybersécurité selon qu'elles sont identifiées comme opérateur de service essentiel, OIV ou administration au sens de l'article L. 100-3 du code des relations entre le public et l'administration. Ainsi, coexistent à la fois les obligations en vertu de la loi de 2018-133, celles en vertu des articles L. 1332-6-1 du code de la défense et celles relative au respect du référentiel général de sécurité découlant de l'ordonnance n° 2005-1516.

On relève un enchevêtrement des notions et des champs d'application entre, d'une part, la directive NIS 2 et, d'autre part, les législations internes existantes, en particulier :

- Les articles L. 1332-1 et L. 1332-2 du code de la défense, qui imposent à certains opérateurs (appelés « opérateurs d'importance vitale » ou « OIV ») de mettre en oeuvre des règles de sécurité nécessaires à la protection de leurs systèmes d'information pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population, obligation étendue aux systèmes d'information des opérateurs publics ou privés qui participent à ces systèmes ;

- L'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives introduit le référentiel général de sécurité (RGS) qui impose aux autorités administratives la mise en oeuvre de mesures de sécurité visant à limiter la fraude liée à l'usage des services numériques de ces administrations pour échanger avec leurs usagers ou d'autres administrations.

Au-delà du seul champ d'application, d'autres règlementations coexistent avec la directive NIS 2. C'est le cas de l'instruction générale interministérielle 1300 (IGI 1300) relative à la protection du secret de la défense nationale. Elle a été révisée en 2021 via l'adoption d'une nouvelle version qui a fait évoluer les niveaux et modalités de classification ainsi que la procédure d'habilitation. Elle a également clarifié les modalités d'accès des acteurs privés dans un objectif général de simplification, pour répondre à la multiplication des informations et supports classifiés, et de modernisation. L'instruction interministérielle II 901 (II 901) relative à la protection des systèmes d'information sensibles implique pour les entités concernées de respecter des obligations en matière organisationnelle, d'évaluation des risques, de défense en profondeur et de respect des règles d'hygiène ainsi que de recourir à des produits de sécurité et à des prestataires de confiance qualifiés par l'ANSSI. L'instruction générale interministérielle 1337 (IGI 1337) précise le cadre de gouvernance de la sécurité numérique de l'Etat (PSSIE), aux niveaux interministériel et ministériel ainsi que pour les établissements publics sous tutelles des ministères.

La directive NIS 2 s'applique aux administrations centrales et régionales. Par ailleurs, elle laisse la possibilité aux Etats membres d'appliquer ses dispositions aux administrations locales.

Le principe de libre administration des collectivités territoriales est consacré aux articles 34 et 72 de la Constitution de 1958 et repris dans le code général des collectivités territoriales. Il s'agit d'un principe à valeur constitutionnelle^145(*) qui s'impose au législateur et à toutes les autorités administratives. Le fait d'imposer des obligations aux collectivités territoriales touche au principe de leur libre administration et nécessite de légiférer^146(*).

L'article 34 de la Constitution prévoit notamment que la loi détermine les principes fondamentaux des obligations civiles et commerciales. Ainsi, une loi qui impose des obligations à des entreprises privées doit déterminer précisément le périmètre des entreprises soumises à ces obligations^147(*).

La simplification et la rationalisation du cadre législatif et règlementaire est nécessaire compte tenu de l'enchevêtrement des notions et des champs d'application entre d'une part, la directive NIS 2, et d'autre part, les législations internes existantes. En effet, l'objectif de valeur constitutionnelle d'intelligibilité de la loi assure la lisibilité des textes, prohibe la complexité « inutile »^148(*) et « excessive » de la loi au regard de l'aptitude de ses destinataires^149(*), favorise la simplification du texte législatif^150(*), soutient la codification, notamment à droit constant^151(*), combat la contradiction et l'inintelligibilité^152(*), et pose une exigence de précision^153(*).

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^154(*). Il en va de même pour une loi ayant pour objet d'adapter le droit interne à un règlement de l'Union européenne^155(*).

La directive NIS 2 élargit considérablement le périmètre des acteurs et secteurs régulés par la directive. En France, cela se traduit par une augmentation estimée du nombre d'entités régulées de 500 à près de 15 000, et une augmentation du nombre de secteurs régulés de 6 à 18. Elle a pour objectif d'atténuer les menaces pesant sur les réseaux et les systèmes d'information supportant les activités des entités et utilisés pour fournir leurs services, et d'assurer la continuité de ces services en cas d'incident, contribuant ainsi à la sécurité de l'Union et au bon fonctionnement de son économie et de sa société.

Le périmètre retenu dans la directive NIS 2 cible précisément les secteurs et les types d'entités ayant le plus grand impact potentiel sur l'économie et la société, là où la directive NIS 1 prévoyait une procédure nationale d'identification des opérateurs de services essentiels. Par exemple, les réseaux de communication électronique ont été intégrées dans le périmètre de la directive parce qu'ils sont considérés comme des opérateurs particulièrement sensibles aux cyberattaques en raison de leur rôle central dans les communications, le partage d'information et l'usage d'internet. C'est aussi le cas des offices d'enregistrement de noms de domaine. En fonction de leur taille et leur importance, ces opérateurs seront ensuite classés comme entité essentielle ou importante. De cette classification, la directive NIS 2, base du présent article, fait découler plusieurs obligations à la centaine d'opérateurs de réseaux de communication électronique comme la mise en place d'un cadre de gestion des risques ou l'harmonisation des modalités de remontée des incidents. Si la transposition de NIS 2 implique majoritairement des modifications du code de la défense, elle a également un impact non négligeable sur le code des postes et des communications électroniques du fait de l'intégration des réseaux télécoms.

La directive NIS 2 élargit également le périmètre des systèmes d'information à sécuriser. La focalisation du dispositif NIS 1 sur des systèmes d'information dits « essentiels » a conduit à minimiser les risques présentés par des systèmes d'information annexes ou support, dont la vocation première n'est pas de porter les applications métier au titre desquelles les opérateurs sont désignés. Or, ces systèmes constituent autant de vecteurs efficaces et fréquents d'attaques, parce qu'ils permettent d'usurper une identité numérique ou d'élever les privilèges d'un utilisateur pour lui donner accès illégalement aux actifs numériques les plus critiques de l'entité. La directive NIS 2 prévoit donc une prise en compte plus pertinente des systèmes d'information à protéger. Alors que la directive NIS 1 prévoyait une identification des systèmes d'information essentiels sur lesquels les obligations de la directive porteraient, la directive NIS 2 s'applique par défaut à l'ensemble des systèmes d'information de l'entité. Des mécanismes d'exemption de certains systèmes d'information sont toutefois permis si ces derniers n'impactent pas la réalisation des activités ou la fourniture des services de l'entité.

Enfin, bien qu'elle soit prescriptive pour un certain nombre de ses dispositions, la directive NIS 2 permet aux Etats membres d'aller plus loin que ce qu'elle prévoit de deux façons :

- soit en leur laissant le choix d'opter pour l'application des dispositions dans certains cas, par exemple pour l'intégration du niveau local ou des établissements d'enseignement supérieur ou encore la possibilité d'exempter des entités spécifiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière ;

- soit en vertu du principe d'harmonisation minimale prévu à l'article 5 qui permet aux Etats membres d'adopter ou de maintenir des dispositions assurant un niveau de cybersécurité plus élevé tant qu'elles s'avèrent nécessaires, justifiées et proportionnées.

La hausse des menaces cyber ne touche pas que les pays de l'Union européenne ou de l'Europe. Plusieurs Etats se sont ainsi dotés de législations en matière de cybersécurité pour faire face à ces nouvelles menaces. Le Royaume-Uni a développé une stratégie nationale de cybersécurité en 2022. Cette stratégie ne concerne cependant que les organisations gouvernementales et vise à la fois à renforcer la protection face aux risques cyber mais aussi la résilience en cas d'incident^156(*). De même, les Etats-Unis ont engagé une stratégie de cybersécurité en 2023 qui est similaire à la directive NIS 2. En effet, les autorités américaines ont souhaité renforcer les exigences obligatoires qui pèsent sur les infrastructures critiques notamment les opérateurs de communications électroniques^157(*).

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^158(*). La France a ainsi l'obligation de mettre son droit interne en conformité avec la directive européenne 2022/2555, au plus tard le 17 octobre 2024.

Cette transposition en droit français nécessite l'abrogation partielle de la loi n°2018-133 du 26 février 2018 qui transposait la directive NIS 1, laquelle est abrogée par la directive NIS 2.

En outre, la transposition de cette directive impose des obligations importantes aux entreprises et aux administrations, y compris les collectivités territoriales et leurs groupements et établissements publics, ce qui relève de l'article 34 de la Constitution (libre administration des collectivités territoriales, régime des obligations civiles et commerciales).

Les présentes dispositions permettent également d'harmoniser et de simplifier le cadre juridique existant en matière de cybersécurité en appliquant les mêmes mesures de gestion des risques et les exigences de sécurité à des systèmes d'information d'autres entités (administrations de l'Etat qui ne sont pas des entités essentielles, opérateurs d'importance vitale), aujourd'hui soumises à d'autres législations internes (ordonnance n° 2005-1516, code de la défense) qu'il convient également de modifier.

Les objectifs sont les suivants :

- Définir le champ d'application des exigences relatives à la sécurité des systèmes d'information portées par les présentes dispositions :

- Harmoniser, simplifier et rendre lisible le cadre juridique existant en matière de protection de certains systèmes d'information, avec des exigences de sécurité uniformisées et adaptées à chaque niveau de menace ainsi qu'aux spécificités sectorielles et thématiques. Dans les faits, cela implique de :

Schéma explicatif de la stratégie d'articulation du périmètre de la directive NIS 2 avec celui des autres textes existants.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Si les dispositions de la directive NIS 2 doivent être transposées, plusieurs options ont été envisagées s'agissant du maintien dans des textes spécifiques de dispositions relatives à la protection des systèmes d'information.

La première option consistait à ne pas intégrer dans le projet de loi les dispositions existantes dans les autres législations internes, ce qui conduisait à conserver dans la législation interne :

- Des règles de sécurité pour les systèmes d'information des entités soumises à la directive NIS 2 ;

- Des règles de sécurité spécifiques dans l'ordonnance n° 2005-1516 sur les systèmes d'information des autorités publiques, telles que définies dans cette ordonnance, lorsque ces systèmes échangent des informations avec des administrations ou des usagers ;

- Des règles de sécurité spécifiques dans le code de la défense sur les systèmes d'information d'importance vitale des opérateurs d'importance vitale (OIV) ou des systèmes d'information d'opérateurs publics ou privés qui participent à ces systèmes.

La seconde option consistait à intégrer une partie des législations existantes dans le projet de loi par l'obligation de mettre en oeuvre des règles de sécurité tout en renvoyant à des textes distincts lesdites spécificités (maintien de l'ordonnance n° 2005-1516 ou des articles L. 1332-6-1 et suivants du code de la défense).

Ces options ont été écartées au profit d'une plus grande harmonisation de ces différents cadres, plus conforme à l'objectif d'intelligibilité de la loi, en intégrant l'ensemble du socle d'obligations de sécurisation ainsi que l'obligation de prévoir des règles de sécurité spécifiques pour des systèmes d'information présentant une sensibilité particulière dans un seul et même texte.

Le dispositif retenu comprend :

- des dispositions qui explicitent les notions d'entités essentielles et d'entités importantes pour l'application des mesures de gestion des risques en matière de cybersécurité sur la base de critères objectifs (catégories d'entités, seuils/secteurs, rattachement territorial) ;

- des dispositions qui visent à fournir à l'autorité nationale de sécurité des systèmes d'information les informations nécessaires à l'établissement et à la mise à jour de la liste des entités essentielles, des entités importantes et des bureaux d'enregistrement ;

- des dispositions permettant d'assurer l'articulation avec d'autres actes juridiques sectoriels de l'Union européenne imposant eux aussi des mesures de gestion des risques en matière de cybersécurité ou de notification des incidents importants ;

- des dispositions, applicables tant aux entités essentielles et importantes qu'aux administrations de l'État et à leurs établissements publics administratifs qui ne sont pas entités essentielles, qui prévoient les objectifs des mesures de gestion des risques que ces personnes doivent mettre en oeuvre en fonction des risques identifiés. Ces dispositions prévoient qu'un décret en Conseil d'État fixera les mesures de gestion des risques de cybersécurité sur leurs systèmes d'information et réseaux auxquelles doivent se conformer ces personnes et prévoira les conditions d'élaboration, de modification et de publication d'un référentiel d'exigences techniques et organisationnelles adaptées à ces différentes personnes, leur permettant, si ces dernières mettent en oeuvre les exigences du référentiel, de s'en prévaloir auprès de l'autorité de contrôle pour démontrer le respect de leurs obligations ;

- des dispositions spécifiques imposant la mise en oeuvre des exigences du référentiel ou de certaines exigences spécifiques sur :

Pour chaque objectif poursuivi, les dispositifs retenus sont les suivants :

a) Périmètre d'application

Les présentes dispositions prévoient une application sans restriction des éléments prescriptifs de la directive NIS 2 relatifs à la définition des entités concernées, aux critères et seuils, aux secteurs, sous-secteurs et types d'entités.

Aux termes de la directive elle-même, les entités visées par NIS 2 devraient être classées en deux catégories, entités essentielles et entités importantes, en fonction de la mesure dans laquelle elles sont critiques au regard du secteur ou du type de service qu'elles fournissent, ainsi que de leur taille. 

Les articles 8 et 9 énumèrent limitativement les catégories d'opérateurs inclus dans le périmètre d'application de NIS 2, respectivement au titre des entités essentielles et des entités importantes. Ces catégories reposent en particulier sur des critères :

- de taille : les entreprises appartenant à un des secteurs d'activité hautement critiques qui emploient au moins 250 personnes ou dont le chiffre d'affaires annuel excède 50 millions d'euros ou le total du bilan annuel excède 43 millions d'euros sont des entités essentielles, alors que celles qui emploient au moins 50 personnes ou dont le total du bilan annuel excède 10 millions d'euros (et qui ne sont pas des entités essentielles) sont des entités importantes ;

- de secteur d'activité (ex. : prestataires de service de confiance qualifiés, offices d'enregistrement ou fournisseurs de services de système de noms de domaine) ;

- d'appartenance aux administrations de l'Etat, sous certaines conditions (cf. infra.) ;

- d'inclusion parmi les acteurs régulés au titre d'autres dispositifs : opérateurs d'importance vitale (OIV) et opérateurs de services essentiels (OSE), notamment.

La directive NIS 2 prévoit en effet à son article 3 la possibilité pour les États membres de désigner en tant qu'entités essentielles les entreprises ayant reçu le statut d'opérateur de service essentiel au titre de NIS 1. La France a en effet considéré que la mise en oeuvre des mesures de cybersécurité NIS 1 a accéléré leur montée en maturité cyber ce qui, in fine, permettra de faciliter leur mise en conformité avec les mesures de sécurité NIS 2.

Les dispositions retiennent une déclinaison au niveau territorial du secteur des administrations publiques prenant en compte, au titre des entités essentielles, les régions, conformément à la directive qui vise expressément les administrations au niveau régional comme relevant d'un secteur hautement critique. En revanche, elle laisse le choix d'une application des dispositions de la directive au niveau local (cf. article 2 § 5 a). Dans une même approche de proportionnalité qui irrigue la directive, les dispositions du projet de loi s'attachent à intégrer le niveau local, lorsqu'il présente une sensibilité particulière le justifiant. Cela concerne notamment les départements, métropoles, communautés urbaines, communautés d'agglomérations, et communes de plus de 30 000 habitants, ainsi que leurs établissements publics administratifs dont les activités s'inscrivent dans un des secteurs d'activité hautement critiques ou critiques. Sont également compris dans ce périmètre les centres de gestion, services départementaux d'incendie et de secours, les syndicats dont les activités s'inscrivent dans un des secteurs d'activité hautement critiques ou critiques et dont la population bénéficiaire est supérieure à 30 000 habitants ou encore les institutions et organismes interdépartementaux dont les activités s'inscrivent dans un des secteurs d'activité hautement critiques ou critiques. Les communautés de communes et leurs établissements publics administratifs dont les activités s'inscrivent dans un des secteurs d'activité hautement critiques ou critiques, sont quant à elles incluses au titre des entités importantes.

La directive, à son article 2 §5 b), prévoit que les établissements d'enseignement peuvent être inclus sur décision des Etats membres. Les articles 8 et 9 ne retiennent dans leur champ d'application, au titre des entités essentielles ou importantes, selon les cas, que les seuls établissements d'enseignement supérieur menant des activités de recherche.

Le texte prévoit par ailleurs l'intégration dans le périmètre, comme entités essentielles, des opérateurs déjà désignés opérateurs de service essentiel (OSE) au titre de NIS 1.

Il maintient également le pouvoir de désignation unitaire, par arrêté du Premier ministre, d'entités dont le niveau de criticité, estimé en concertation avec les ministères coordonnateurs, le justifie, sans considération des seuils de chiffre d'affaires ou de nombre d'employés applicables dans le cadre général.

L'article 10 prévoit enfin de mettre en oeuvre le « sur-classement » laissé à l'appréciation des Etats membres sur la base des critères définis par la directive NIS 2 (à son article 3 1° e). Ce mécanisme permet de désigner comme entité essentielle une entité dont l'évaluation de criticité le justifie sur le plan national, alors que les conditions relatives à son secteur d'activité ou à sa taille la destinaient à être considérée en tant qu'entité importante par le texte de la directive.

La transposition française exclut du périmètre d'application, conformément au 7° de l'article 2 relatif au champ d'application de la directive NIS 2, les entités de l'administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, en particulier celles de l'administration régalienne.

A son article 14, le projet de loi prévoit cependant de leur appliquer des mesures de droit national équivalentes aux obligations découlant de NIS 2, à l'exception du principe de remontée d'information au niveau européen prévu par la directive. Cela implique de mettre en place un pilotage de la sécurité des réseaux et systèmes d'information adaptée, comprenant notamment la formation à la cybersécurité des membres des organes de direction et des personnes exposées aux risques, d'assurer la protection des réseaux et systèmes d'information, y compris en cas de recours à la sous-traitance, de mettre en place des outils et des procédures pour assurer la défense des réseaux et systèmes d'information et gérer les incidents et de garantir la résilience des activités.

b) Articulation avec les autres réglementations

La transposition française prévoit, à son article 13, l'application des clauses incluses dans la directive NIS 2, relatives à la notion d'acte juridique sectoriel de l'Union.

Elle prend en compte l'évolution nécessaire du dispositif SAIV, pour que toute entité désignée OIV soit soumise aux obligations afférentes au statut d'entité essentielle, ainsi qu'à des obligations spécifiques visant à les protéger de la menace stratégique/étatique ciblée (la directive NIS 2 visant une protection contre la menace cybercriminelle de masse). Le projet de loi prévoit de conserver et de faire évoluer des obligations complémentaires spécifiques au statut d'OIV.

c) Conditions de mise en oeuvre

Les entités concernées par la directive NIS 2 ne seront pas désignées par l'administration, contrairement à ce qui était prévu par la directive NIS 1. Elles devront analyser les critères et seuils qui permettent de définir si elles sont ou non assujetties à cette nouvelle réglementation, et le cas échéant devront prendre l'initiative de s'enregistrer auprès de l'autorité nationale de cybersécurité compétente. Cet enregistrement consistera à identifier l'entité et les critères au titre desquels elle est concernée, et de porter à la connaissance de l'autorité nationale de sécurité des systèmes d'information toutes les informations qui permettront l'échange entre autorité et assujetti, l'accompagnement à la mise en oeuvre, le contrôle, les injonctions et les sanctions.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Les présentes dispositions de transposition prévoient, en application de cette possibilité, des obligations pour les régions, les départements, les grandes communes et certains groupements mais également pour certains établissements publics locaux.

Les présentes mesures créent de nouvelles dispositions qui ne seront pas codifiées.

Ces dispositions impliquent des modifications de législations existantes :

- pour intégrer les obligations de la directive NIS 2 qui abroge la directive NIS 1. Cela implique l'abrogation des articles 1 à 15 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité systèmes d'information d'importance vitale qui transposaient la directive NIS 1 ;

- pour harmoniser et simplifier le cadre juridique national existant :

Pour l'économie et la société françaises, la mise en conformité des entités régulées permettra d'atteindre un niveau de sécurité renforcé pour adresser la cybercriminalité de masse, qui aura nécessairement pour effets de complexifier la tâche des attaquants et de diminuer, à leurs yeux, l'attrait des entités régulées.

Le périmètre d'application retenu dans la transposition française tient compte des effets systémiques d'une attaque, c'est-à-dire généralisés et étendus à l'ensemble d'un secteur et aux autres secteurs qui peuvent en dépendre.

Par conséquent, le périmètre retenu dans le projet de loi cible précisément les secteurs et les types d'entités ayant le plus grand impact potentiel sur l'économie française. La durée d'indisponibilité des services d'une entité, constatée sur de nombreux exemples d'attaques qui ont donné lieu à des opérations de cyberdéfense conduites par l'ANSSI, varie de quelques semaines à plusieurs mois, selon le niveau de préparation de l'entité victime. L'application de la réglementation NIS 2 au périmètre retenu permettra de limiter la probabilité et la durée des interruptions de service, et donc la perte de chiffre d'affaires, voire le risque de faillite pour les entités à but lucratif, sur les secteurs essentiels au bon fonctionnement de notre économie : électricité, transports, banque et infrastructures de marchés financiers, infrastructures numériques, espace, services postaux et d'expédition, industrie manufacturière, transformation et distribution des denrées alimentaires, etc.

L'augmentation du niveau de sécurisation des acteurs économiques constitue également un facteur de compétitivité, dans la mesure où les donneurs d'ordres s'orientent plus volontiers vers des producteurs ou des prestataires dont la maitrise des moyens de production inspire confiance. Cela procure en effet des garanties en termes de disponibilité et donc de respect des délais contractuels, de protection des données, potentiellement stratégiques, confiées dans le cadre d'une prestation, et de fiabilité dans le résultat produit, la vulnérabilité des moyens de production à une attaque cyber pouvant aboutir à la corruption des produits livrés.

Pour les entités régulées, dont le nombre est estimé à environ 15 000, la mise en conformité au regard de la réglementation NIS 2 nécessitera un investissement initial, qui se traduira notamment par une mobilisation de compétences. Le maintien global en conditions de sécurité des systèmes d'information critiques devra aussi faire l'objet d'un flux financier annuel, pour adapter en continu le dispositif aux évolutions du système d'information et à la menace, sans que l'impact de la nouvelle réglementation sur des dépenses a priori déjà prévues puisse être spécifiquement identifié.

Il convient en effet de relativiser cet effort nécessaire pour la mise en conformité, pour deux raisons notamment :

- les entités essentielles sont des structures déjà sensibilisées ou confrontées à la menace cyber. Elles seront pour partie des opérateurs de services essentiels (OSE), et donc déjà soumises depuis plusieurs années à la réglementation NIS 1. A ce titre, l'effort pour se conformer à NIS 2 devrait être limité. Celles qui ne sont pas déjà OSE sont pour la plupart des entités dont les critères de taille et de chiffre d'affaires les situent dans une catégorie pour laquelle la dépendance aux infrastructures numériques ne fait pas de doute et qui ont déjà, à ce titre, développé une certaine maîtrise de leur sécurité numérique.

- le niveau d'exigence requis vis-à-vis des entités importantes a été conçu pour diminuer leur probabilité d'être atteintes par un rançongiciel courant vis-à-vis duquel elles seraient désemparées, sans nécessiter des investissements disproportionnés. Une certaine latitude leur sera par ailleurs laissée pour adopter des modalités de mise en oeuvre des recommandations de sécurité les plus adaptées à leur connaissance des impacts potentiels d'une attaque, à leur environnement éventuellement spécifique, ainsi qu'à leurs moyens. Le niveau d'ambition pour les entités importantes n'excèdera donc pas celui des règles d'hygiène informatique largement préconisées par l'ANSSI relatives notamment à la sensibilisation et formation des utilisateurs, à la connaissance du systèmes d'information, au contrôle des accès ou à la sécurité des postes, du réseau et de l'administration^159(*). En outre, le « Règlement général sur la protection des données » (RGPD) en vigueur depuis mai 2018, invite les entités à mettre en oeuvre des mesures de sécurité sur lesquelles elles peuvent capitaliser pour atteindre les objectifs posés par NIS 2. Enfin, des économies d'échelle sont possibles, notamment pour les mesures organisationnelles, par exemple par la mutualisation ou l'externalisation de la fonction de RSSI (« RSSI as a Service »).

Il convient par ailleurs de mettre en perspective les investissements nécessaires pour se mettre en conformité avec les dispositions de NIS 2, au regard du coût constaté d'une cyberattaque par rançongiciel. Dans la sphère publique, les établissements hospitaliers ont supporté les dégâts les plus élevés : les coûts directs ont ainsi été estimés à 2,36 millions d'euros pour le Centre hospitalier Dax-Côte d'Argent (février 2021) et à plus de 5,5 millions pour le Centre hospitalier Sud-Francilien de Corbeil-Essonnes (août 2022). Les collectivités territoriales et les intercommunalités ont également été lourdement affectées, avec des coûts directs estimés à 960 000 euros pour la Métropole Aix-Marseille-Provence (mars 2020) et à plus de 1,5 millions d'euros pour la ville de Bondy (novembre 2020).

Au niveau des administrations publiques nationales, les dernières évaluations du niveau de cybersécurité montrent un certain retard de ce secteur par rapport au secteur privé. Une hausse limitée de leur plafond d'appui, susceptible de s'appuyer sur la réinternalisation en cours de certaines compétences numériques, pourrait permettre d'adresser cet écart, dont la gestion s'inscrit notamment dans la logique de la feuille de route de cybersécurité et du cadre de gouvernance de la sécurité numérique de l'état mise en place par le décret n° 2022-513 du 8 avril 2022 relatif à la sécurité numérique du système d'information et de communication de l'Etat et de ses établissements publics.

1489 entités, collectivités territoriales et groupements de collectivités territoriales (661), ainsi que certains organismes sous leur tutelle devraient être concernés au titre des entités essentielles :

- les régions métropolitaines ainsi que les régions et les « pays et territoires d'outre-mer » (22 entités) ;

- les départements métropolitains et d'outre-mer (97 entités) ;

- les métropoles, communautés urbaines et communautés d'agglomérations métropolitaines et d'outre-mer (263 entités) ;

- les communes de plus de 30 000 habitants métropolitaines et d'outre-mer (279 entités) ;

- les centres de gestion (104 entités) ;

- les services départementaux d'incendie et de secours ;

- les syndicats dont les activités s'inscrivent dans un des secteurs d'activité hautement critiques ou critiques et dont la population bénéficiaire est supérieure à 30 000 habitants.

Les 992 communautés de communes métropolitaines et d'outre-mer seront quant à elles concernées au titre des entités importantes.

La très grande majorité des communes (99% ont moins de 30 000 habitants) ne sont donc concernées que par leur intercommunalité de rattachement.

Les collectivités concernées devront donc monter en compétences sur le sujet de la cybersécurité.

La mise en oeuvre de la nouvelle réglementation NIS 2 aura plusieurs effets sur les services concernés par la cybersécurité au niveau national.

L'articulation de la réglementation NIS 2 avec les autres réglementations sectorielles ou nationales vise à simplifier globalement la mise en oeuvre de la cybersécurité en France, notamment en limitant l'effet d'empilement d'exigences réglementaires. En ce sens, les présentes dispositions auront des impacts limités à l'égard des services administratifs. Les activités de sensibilisation, formation, accompagnement et régulation pourront en partie être mutualisées dans la mesure où les exigences relevant de différents statuts procèderont de référentiels communs et cohérents. Ce sera notamment le cas concernant les entités essentielles, les administrations publiques nationales et les opérateurs d'importance vitale, actuellement soumis à trois corpus réglementaires distincts, qui évolueront pour converger vers un ensemble partagé de règles construites en réponse à des objectifs communs. Ainsi les ministères ne seront plus sollicités par le processus de désignation d'OSE qui disparaîtra et avec lequel disparaitront des charges administratives lourdes de formalisme : consultation des ministères sur l'identité des opérateurs à désigner, transmission d'un courrier d'intention de désignation à chaque opérateur, réponse officielle à la prise en compte de ses remarques, désignation individuelle par arrêté du Premier ministre.

Pour l'autorité nationale de sécurité des systèmes d'information, l'extension massive du périmètre se traduira automatiquement par une multiplication d'un facteur d'environ 20 à 30 du nombre total d'entités régulées. Les réglementations de cybersécurité de cette nature s'appliquent actuellement à environ 600 opérateurs (OIV et OSE), l'organisation actuelle de l'autorité nationale étant dimensionnée pour entretenir une relation de relative proximité avec eux, justifiée par la mise en oeuvre de cadres de régulation relativement récents. Le changement d'échelle induit par les critères retenus dans la directive NIS 2 ne sera cependant pas répercuté dans les mêmes proportions au sein de l'autorité nationale. Les mécanismes de régulation retenus, et notamment celui prévu à l'article 12 consistant à demander aux entités assujetties de se déclarer elles-mêmes auprès de l'autorité nationale, permettront d'alléger la charge de travail administratif de l'autorité. Par ailleurs, l'expérience de plusieurs années d'accompagnement et d'évaluation permet à l'autorité nationale de développer des outils numériques afin d'automatiser une importante partie de la relation avec les assujettis, ce qui limitera également le besoin de renfort en effectif. L'autorité nationale envisage de surcroît d'utiliser des relais, notamment sectoriels, qui faciliteront les échanges d'information avec les entités régulées et allégeront par conséquent la charge de sensibilisation actuelle.

Le renforcement d'effectif nécessaire pour que l'autorité nationale assume ses missions au regard de l'évolution du périmètre restera raisonnable, de l'ordre de 60 ETP.

Les objectifs de sécurité envisagés pour les entités essentielles sont une évolution des règles proposées pour NIS 1 pour lesquelles il existe majoritairement des guides pour aider les organisations à leur mise en oeuvre. L'effort de sensibilisation réalisé par l'ANSSI dans la mise en oeuvre de la loi de programmation militaire de 2014 et de NIS 1 a permis d'accompagner de nombreuses entités à leur mise en conformité. Ces entités pourront servir de relais pour accompagner leur chaîne de sous-traitants.

L'ANSSI renforce également, dans la perspective de la mise en oeuvre de NIS 2, son action vis-à-vis des fédérations professionnelles, des associations professionnelles des acteurs de la cybersécurité, et anime des communautés de prestataires de services qualifiés dans un objectif d'accompagnement à la fois des futures entités régulées à leur mise en conformité, mais également des offreurs de produits et services pour qu'ils proposent des parcours d'accompagnement adaptés.

La réglementation NIS 2 engendre des obligations sur un grand nombre d'activités au sein de l'UE, ce qui nécessite de mobiliser de nombreuses compétences en cybersécurité, allant des plus techniques, comme les tests de pénétration de réseaux ou les investigations suite à incident, à celles relatives à la gouvernance, comme la gestion de crise, ou à des connaissances méthodologiques, comme les analyses de risque. Elle constitue par conséquent une opportunité de création d'emplois, dont on sait qu'ils seront pérennes à la fois chez les entités régulées privées, au sein des administrations et dans les équipes des prestataires de services en cybersécurité, de plus en plus sollicités.

Sans objet.

Ce besoin supplémentaire de compétences en cybersécurité ne fait que grossir celui déjà identifié plus largement dans les métiers du numérique. Une des façons d'accroitre le volume de la main d'oeuvre qualifiée disponible consiste à encourager les femmes à s'engager dans les métiers du numérique et de la cybersécurité, alors que leur niveau de représentation à la fois en entreprises et dans les organismes de formation est particulièrement bas. Sans être un facteur de succès suffisant, les besoins de compétences accrues portés par la nouvelle réglementation cyber auront indirectement un effet favorable à une meilleure mixité femmes-hommes.

Sans objet.

Sans objet.

Sans objet.

Le dispositif retenu permet de prendre en compte dans le périmètre réglementaire une grande partie des sites industriels présentant des risques d'accidents majeurs au sens de la directive SEVESO, bien que tous ces acteurs ne puissent être regroupés dans un seul secteur, au sens de la nomenclature NIS 2. Les mécanismes de désignation unitaire et de sur-classement permettent en effet de faire entrer dans le périmètre d'application les entités dont les activités sont en relation avec des substances dangereuses pour la santé et pour l'environnement. La sécurisation de leurs systèmes informatiques apportera une garantie supplémentaire dans la gestion de leurs risques industriels.

Le fait que les secteurs des eaux usées (« hautement critique » au sens de l'annexe I de la directive) et de la gestion des déchets (« critique ») entrent dans le périmètre NIS 2 aura pour effet de sécuriser les processus industriels de recyclage ou de traitement, et de renforcer la résilience des acteurs environnementaux correspondant.

Les présentes dispositions présentent peu d'impacts directs complémentaires sur l'environnement, même si on peut considérer que la sécurisation efficace des infrastructures et des services numériques, y compris en environnement industriel, aura pour effet de contenir la consommation de papier (bureautique) et de matières premières (processus industriels), et de limiter les déplacements des personnels (télétravail et téléconférences).

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Dans une logique de co-construction, l'ANSSI a conduit un grand nombre de consultations préalables à la transposition de la directive européenne 2022/2555.

Les prestataires qualifiés par l'ANSSI pour réaliser des accompagnements au profit des actuels opérateurs régulés (OIV et OSE) ont fait partie des premières consultations. Les échanges avec ces prestataires (PASSI : prestataires d'audit de la sécurité des systèmes d'information ; PRIS : prestataires de réponse aux incidents de sécurité ; PDIS : prestataires de détection d'incidents de sécurité) ont permis de bénéficier d'un retour d'expérience sur les difficultés et le coût de mise en conformité de leurs clients avec les réglementations SAIV et NIS. Cette consultation a également donné lieu à l'expression d'avis pertinents étayés par la connaissance des réalités de terrain, sur les niveaux de sécurisation souhaitables et supportables qui pourraient être imposés aux entités assujetties à NIS 2, selon leur taille.

Les associations professionnelles représentatives des secteurs constituant le périmètre de NIS 2 ont été sollicitées en trois étapes pour recueillir, analyser et synthétiser les avis de leurs adhérents. Un peu plus de 70 fédérations ont ainsi participé dans le courant du second semestre 2023 à ces consultations sur les définitions de périmètre, les modalités d'échange entre autorité nationale et assujettis, et concernant les mesures de cybersécurité qui seront intégrées dans la réglementation nationale.

Les associations d'élus et des représentants des collectivités territoriales ont quant à elles été consultées pour déterminer, en ce qui les concerne, un périmètre pertinent d'application de la directive, comprendre les difficultés auxquelles elles pourraient être confrontées et identifier les accompagnements spécifiques qu'elles pourraient nécessiter pour les aider à atteindre les niveaux de conformité attendus.

En application de l'article L. 1212-2 du CGCT, les dispositions envisagées ont été soumises à
titre obligatoire au Conseil national d'évaluation des normes, qui a rendu un avis défavorable le 22 mai 2024.

La Commission supérieure du numérique et des postes a été consultée sur les présentes dispositions. Elle a rendu un avis n° 2024-03 le 21 mai 2024 appelant à s'assurer de la clarté du périmètre des entités concernées et des mesures qu'elles devront appliquer ainsi qu'à mettre en oeuvre une stratégie d'accompagnement à la mise en conformité et une politique de supervision progressive.

Sur le fondement de l'article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l'informatique et des libertés a été consultée à titre facultatif. Elle a rendu un avis favorable le 23 mai 2024 au renforcement des règles en matière de cybersécurité, appelant toutefois à s'assurer de la cohérence des exigences de sécurité découlant des principes relatifs à la protection des données avec celles issues de la directive NIS 2 ainsi qu'à une coordination entre la CNIL et l'ANSSI sur la mise en oeuvre de NIS 2.

Telle que prévue par la directive NIS 2, la transposition française entrera en application au plus tard le 17 octobre 2024, date de l'échéance de transposition.

La disposition entrera en vigueur le lendemain de la publication de la loi au Journal officiel de la République française.

Dès l'entrée en vigueur de la loi, les entités concernées auront l'obligation de s'enregistrer auprès de l'autorité nationale de cybersécurité.

La réglementation NIS 2, telle que mise en oeuvre en France, définira des délais de mise en conformité qui tiendront compte des efforts de compréhension, de montée en compétence et d'investissement que les exigences imposent aux assujettis. Les lignes directrices et les objectifs de haut niveau font partie des textes publiés depuis fin 2022, mais les textes précis de transposition ne seront connus du grand public qu'à la suite de la phase règlementaire. Une mise en oeuvre de contrôles susceptibles de découler sur des sanctions n'est pas envisagée avant plusieurs années.

Les dispositions de transposition de la directive NIS 2, applicable dans l'ensemble de l'Union européenne, s'appliquent sur l'ensemble du territoire national. Des dispositions réglementaires particulières seront prévues pour couvrir les collectivités territoriales à statut particulier (notamment Outre-mer) et selon le principe de spécialité législative.

Conformément à l'article 40 du présent projet de loi, le titre II, à l'exception de l'article 13, est applicable dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, sous réserve des adaptations suivantes :

1° En l'absence d'adaptation, les références faites, par des dispositions du titre II applicables en Polynésie française et en Nouvelle-Calédonie, à des dispositions qui n'y sont pas applicables sont remplacées par les références aux dispositions ayant le même objet applicables localement.

2° Dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie, les sanctions pécuniaires encourues en vertu du titre II de la présente loi sont prononcées en monnaie locale, compte tenu de la contre-valeur de l'euro dans cette monnaie.

L'article 13 du titre II n'est pas applicable à Saint-Barthélemy et à Saint-Pierre-et-Miquelon.

Pour l'application du titre II à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les références à la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union et aux règlements de l'Union européenne sont remplacées par la référence aux règles en vigueur en métropole en vertu de la même directive et des mêmes règlements.

Un décret en Conseil d'Etat précise :

- la liste des secteurs d'activité hautement critiques et critiques ;

- certains critères d'identification des entités essentielles et importantes ;

- les modalités de désignation unitaire de certaines entités par le Premier ministre ;

- les modalités de communication des informations nécessaires à l'établissement de la liste des entités ;

- l'application des mesures de sécurité.

Par arrêté du Premier ministre, certaines entités seront désignées comme entités essentielles ou importantes ou exclues du champ du texte.

Articles 18 à 22 - Enregistrement des noms de domaine

1. ETAT DES LIEUX

Le « Domain Name System » (système de nom de domaine) ou DNS est un service permettant de faire correspondre un nom de domaine à une adresse IP (Internet Protocol) - le numéro attribué à titre permanent ou provisoire à chaque périphérique relié à Internet, adresse qui prend la forme d'une suite de numéros (par exemple, « 45.60.12.53 ») et est compréhensible par une machine.

Le nom de domaine (URL ou Uniform Resource Locators, « localisateur uniforme de ressource », sous la forme « exemple.fr »), plus facile à retenir et à retranscrire pour l'internaute, constitue l'alias alphanumérique de l'adresse IP. Les machines appelées serveurs de nom de domaine (ou serveurs DNS) permettent d'établir la correspondance entre le nom de domaine et l'adresse IP des machines d'un réseau.

Le système DNS s'appuie sur une structure arborescente. L'ensemble des noms de domaine constituent ainsi un arbre inversé où chaque noeud est séparé du suivant par un point. On appelle « nom de domaine » chaque noeud de l'arbre. Le nom absolu, correspondant à l'ensemble des étiquettes des noeuds d'une arborescence, séparées par des points, et terminé par un point final, est appelé adresse FQDN (Fully Qualified Domain Name). A titre d'exemple, « legifrance.gouv.fr. » constitue une adresse FQDN.

Lorsqu'une requête relative à un nom de domaine est effectuée, des serveurs sont successivement interrogés pour retrouver l'adresse IP correspondante. Si l'on cherche par exemple le nom de domaine « exemple.fr », dans un premier temps, un serveur racine est interrogé, qui renvoie vers le serveur faisant autorité pour le domaine de premier niveau, appelé le Top Level Domain ou extension (« .fr » dans l'exemple). Dans un second temps, le serveur autorité de premier niveau renvoie l'adresse du serveur faisant autorité sur le second niveau (ici, « exemple.fr »), et cela jusqu'à ce que la requête soit résolue.

Le domaine de premier niveau est, dans le système de noms de domaine internet, un sous domaine de la racine. Il est possible de les distinguer en trois principales catégories :

- domaine de premier niveau spécial (à des fins techniques, tel le « .arpa » relatif aux paramètres d'adressage et de routage) ;

- domaines de premier niveau nationaux (correspond à un pays ou un territoire de celui-ci. Ex : « .fr », « .nc ») ;

- domaines de premier niveau génériques (correspond en général à un secteur d'activité). Ces domaines se divisent en domaines génériques non parrainés (« .net », « .org » pour les organisations à but non lucratif, « .com » pour les organisations à but lucratif, « .pro » etc...) et en domaines génériques parrainés (« .gov » pour les organismes gouvernementaux américains).

Chaque domaine de premier niveau est géré par une organisation qui est chargée d'allouer (éventuellement de manière commerciale) ses sous-domaines, aussi appelée office d'enregistrement.

Cet office d'enregistrement est une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l'administration du domaine de premier niveau, y compris de l'enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l'exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l'entité elle-même ou qu'elles soient sous-traitées, mais à l'exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage. A titre d'exemple, en application de l'article L. 45 du code des postes et des communications électronique, l'office d'enregistrement en charge du domaine de premier niveau du « .fr » est l'Association française pour le nommage Internet en coopération (AFNIC)^160(*), qui agit sur délégation du ministre chargé des communications électroniques. Dans cet environnement, les bureaux d'enregistrement, qui sont des entités fournissant des services d'enregistrement de noms de domaine, exercent leur activité d'intermédiaire auprès de l'office d'enregistrement d'une part et des professionnels et particuliers d'autre part. Ils sont accrédités par les offices d'enregistrement à cette fin. A titre d'illustration, l'AFNIC répertorie comme bureaux d'enregistrement Orange, SFR (pour les fournisseurs d'accès à internet), Gandi, OVH ou bien encore Nameshield.

Cadre réglementaire actuel pour les noms de domaines de premier niveau :

Au niveau national :

Aujourd'hui, le seul cadre juridique existant relatif aux noms de domaine est celui prévu par le CPCE aux articles L. 45 à L. 45-8. Il est relatif à l'enregistrement et à l'attribution des seuls noms de domaine de premier niveau (« .fr »).

Au niveau européen :

La directive NIS 1 ne prévoyait pas, dans son champ d'application, d'obligations pour les bureaux d'enregistrement, ni de dispositions relatives à la sécurisation des noms de domaines génériques.

La directive NIS 2, en ce sens, opère un changement en intégrant les offices d'enregistrement pour ce qui concerne les obligations de sécurisation, et les bureaux d'enregistrement pour ce qui relève de la collecte et de la mise à jour des données d'enregistrement.

Afin d'harmoniser les règles à l'échelle européenne et de pouvoir accéder aux données permettant d'identifier le propriétaire d'un nom de domaine en cas d'incident, l'article 28 de la directive NIS 2 prévoit de nouvelles règles en matière d'enregistrement des noms de domaine. Les Etats membres doivent imposer aux offices d'enregistrement de collecter et de conserver certaines données d'enregistrement des noms de domaine (nom du titulaire, point de contact, nom du domaine...) et organise l'accès et la publicité de ces données. La directive prévoit également que les Etats membres doivent prendre des mesures pour s'assurer de la fiabilité des serveurs et des bases de données des offices d'enregistrement des noms de domaine.

Aux termes de l'article 88-1 de la Constitution : « La République participe à l'Union européenne constituée d'Etats qui ont choisi librement d'exercer en commun certaines de leurs compétences en vertu du traité sur l'Union européenne et du traité sur le fonctionnement de l'Union européenne, tels qu'ils résultent du traité signé à Lisbonne le 13 décembre 2007 ». Le Conseil constitutionnel déduit de cette disposition que : « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^161(*).

L'article 74 de la Constitution prévoit que les modalités d'application des lois dans les collectivités d'outre-mer reposent sur une loi organique. En modifiant l'applicabilité des mesures dans les collectivités d'outre-mer, le législateur s'inscrit dans ce cadre constitutionnel et devra, à ce titre, veiller à sa compatibilité avec le statut qui régit chaque collectivité sous peine de censure^162(*).

En ce qui concerne particulièrement les noms de domaine, le Conseil constitutionnel dans sa décision n° 2010-45 QPC^163(*) a estimé que l'encadrement, tant pour les particuliers que pour les entreprises, du choix et de l'usage des noms de domaine sur internet affecte les droits de la propriété intellectuelle, la liberté de communication et la liberté d'entreprendre.

- S'agissant des droits de la propriété intellectuelle, leur rattachement à la protection constitutionnelle des articles 2 et 17 de la Déclaration de 1789 s'est fait en deux temps. Le Conseil a d'abord reconnu la protection la propriété industrielle et commerciale, en 1991^164(*). Dans un second temps, le Conseil a consacré l'extension de cette protection constitutionnelle aux droits de la propriété culturelle^165(*). Enfin, le Conseil a précisé la portée de la protection constitutionnelle des droits d'auteur, compris comme « le droit, pour les titulaires du droit d'auteur et de droits voisins, de jouir de leurs droits de propriété intellectuelle et de les protéger dans le cadre défini par la loi et les engagements internationaux de la France »^166(*). Dans la motivation de sa décision du 6 octobre 2010 précitée, le Conseil constitutionnel relève que l'encadrement du choix et de l'usage des noms de domaine affecte les droits de la propriété intellectuelle ;

- Dans sa décision 2009-580 DC précitée, le Conseil a conféré une valeur forte au droit d'accéder à l'internet comme un droit attaché à l'article 11 de la Déclaration des droits de l'homme et du citoyen de 1789 en jugeant « qu'en l'état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu'à l'importance prise par ces services pour la participation à la vie démocratique et l'expression des idées et des opinions, ce droit implique la liberté d'accéder à ces services ». Il reprend ce raisonnement dans sa décision n° 2010-45 QPC précitée et juge ainsi « qu'en l'état actuel des moyens de communication et eu égard au développement généralisé des services de communication au public en ligne ainsi qu'à l'importance prise par ces services dans la vie économique et sociale, notamment pour ceux qui exercent leur activité en ligne, l'encadrement, tant pour les particuliers que pour les entreprises, du choix et de l'usage des noms de domaine sur internet affecte la liberté de communication et la liberté d'entreprendre. » La référence à la liberté d'entreprendre, qui découle de l'article 4 de la Déclaration de 1789, vient ainsi s'ajouter à la liberté de communication.

Dans la même décision 2010-45 QPC le Conseil constitutionnel reconnait par ailleurs que le législateur doit, conformément à l'article 34 de la Constitution, déterminer « les principes fondamentaux (...) des obligations civiles et commerciales ». Il précise que « ressortissent en particulier aux principes fondamentaux de ces obligations civiles et commerciales les dispositions qui mettent en cause leur existence même ». Il reconnait ainsi une obligation du législateur de fixer des principes généraux pour définir les conditions dans lesquelles les noms de domaine sont attribués ou peuvent être renouvelés, refusés ou retirés.

Le présent article vise à transposer es mesures issues de l'article 28 la directive 2022/2555 dite NIS 2 en matière d'encadrement de l'enregistrement des noms de domaine. Plus largement, elle s'inscrit dans la stratégie de l'Union européenne pour renforcer la résilience des organisations essentielles au sein de l'Union qui a abouti aux directives n° 2022/2557 dite « REC », concernant la résilience des entités critiques, et n° 2022/2556 dite DORA concernant la résilience opérationnelle numérique du secteur financer.

Aux Etats-Unis et au Royaume-Uni, l'enregistrement des noms de domaine de premier niveau repose également sur une organisation unique qui reçoit une délégation pour fournir les noms de domaine (Nominet au Royaume-Uni et Neustar aux Etats-Unis). Les règles d'acquisition sont sensiblement similaires avec une obligation de résidence ou d'exercice d'une activité sur le territoire de l'Etat.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Si des dispositions existent dans le droit national, particulièrement dans le CPCE, ces dernières ne permettent pas d'assurer entièrement la transposition des mesures imposées par la directive NIS 2. La transposition des directives est une obligation à valeur constitutionnelle, comme indiqué supra, et celle-ci doit être effectuée avant le 17 octobre 2024. La nécessité de légiférer découle donc directement de l'adoption de la directive NIS 2.

L'objectif poursuivi est de mettre en conformité le droit interne avec l'article 28 de la directive NIS 2 concernant l'enregistrement des noms de domaine.

3. OPTIONS POSSIBLES ET DISPOSITIF RETENU

Aucune autre option n'a été envisagée.

La transposition d'une directive étant obligatoire et les mesures modifiées par le présent article étant de nature législative, il est apparu nécessaire de légiférer.

L'article 18 définit les acteurs auxquels les dispositions de la section s'appliquent.

L'article 19 impose à ces acteurs la mise en place d'une base de données.

L'article 20 défini la durée de conservation des données.

L'article 21 impose la publication des données d'enregistrement d'un nom de domaine.

L'article 22 prévoit l'obligation de communiquer ces données à l'autorité judiciaire et à l'autorité nationale de sécurité des systèmes d'information pour les besoins des procédures pénales ou de la sécurité des systèmes d'information.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Les dispositions portées par les articles 19 à 22 ne sont pas codifiée dans le CPCE dans une volonté de ne pas apporter de la confusion entre le dispositif actuel applicable aux enregistrements de nom de domaine et visé aux articles L. 45. L'objet et le champ d'application de ces articles sont différents de celui visé par NIS2.

Au niveau réglementaire, des modifications du décret n° 2015-1317 du 20 octobre 2015 pris en application des articles L. 33-6 et L. 45 du code des postes et des communications électroniques seront nécessaires pour tenir compte des précisions introduites par le présent article aux articles L. 45-4 et L. 45-5 du CPCE.

Les modifications prévues par le présent dispositif permettront de se mettre en conformité avec l'article 28 de la Directive NIS 2 qui impose l'obligation de tenu d'une base des données d'enregistrement des noms de domaines, les données collectées et la communication de ces données aux autorités publiques pour des besoins légitimes. Les modifications prévues permettent de rendre l'article pleinement effectif en droit interne.

La présente disposition vise à faciliter l'accès à des donnée d'enregistrement exacte par des demandeurs légitimes.

Les offices et les bureaux d'enregistrement devront recueillir les données relatives aux titulaires de noms de domaine et mettre en place des procédures permettant aux services de l'Etat (autorité judiciaire et autorité nationale de sécurité des systèmes d'information) d'accéder à ces données, à leur demande, dans un délai maximal de 72 heures. Le coût de mise en oeuvre de ces nouvelles obligations est modeste.

Il n'y a aucun impact budgétaire notable, dès lors que le dispositif se borne à permettre l'accès des services de l'Etat aux informations relatives aux titulaires de noms de domaine.

Sans objet.

Les impacts sur les services administratifs ne sont pas spécifiques à cet article et seront à ce titre identiques à l'ensemble de ceux du projet de loi.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

La communication des données à un impact sur les données personnelles des particuliers qui aurait recours à des services d'enregistrement de nom de domaine.

Sans objet.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

En application de l'article L. 36-5 du code des postes et des communications électroniques, les présentes dispositions ont été soumises à l'examen de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse. Le 23 mai 2024, elle a rendu un avis n° 2024-1131 favorable au renforcement des mesures visant à assurer un niveau élevé de cybersécurité. Il appelle à prévoir un délai suffisant aux acteurs pour se mettre en conformité, des critères de désignation des entités suffisamment précis ainsi qu'une bonne articulation de ces nouvelles obligations avec les dispositions du code de la défense pour les opérateurs d'importance vitale.

Conformément aux dispositions de l'article L. 1212-2 du code général des collectivités territoriales, les présentes dispositions ont été soumises à l'examen du Conseil national d'évaluation des normes (CNEN) qui a rendu un avis défavorable le 22 mai 2024.

La Commission supérieure du numérique et des postes a été consultée sur les présentes dispositions. Elle a rendu un avis n° 2024-03 le 21 mai 2024 appelant à s'assurer de la clarté du périmètre des entités concernées et des mesures qu'elles devront appliquer ainsi qu'à mettre en oeuvre une stratégie d'accompagnement à la mise en conformité et une politique de supervision progressive.

Sur le fondement de l'article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l'informatique et des libertés a été consultée à titre facultatif. Elle a rendu un avis favorable le 23 mai 2024 au renforcement des mesures en matière de cybersécurité, appelant toutefois à s'assurer de la cohérence des exigences de sécurité découlant des principes relatifs à la protection des données avec celles issues de la directive NIS 2 ainsi qu'à une coordination entre la CNIL et l'ANSSI sur la mise en oeuvre de NIS 2.

Les présentes dispositions entreront en vigueur le lendemain de la publication de la loi au Journal officiel de la République française.

L'article est applicable de plein droit dans les départements relevant de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, Mayotte, La Réunion).

Il est également applicable dans les collectivités de Saint-Barthélemy, Saint-Martin, Saint-Pierre-et-Miquelon eu égard à leurs lois organiques respectives.

Conformément aux dispositions de l'article 40 du présent projet de loi, le titre II, à l'exception de l'article 13, est applicable dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, sous réserve des adaptations suivantes :

1° En l'absence d'adaptation, les références faites, par des dispositions du titre II applicables en Polynésie française et en Nouvelle-Calédonie, à des dispositions qui n'y sont pas applicables sont remplacées par les références aux dispositions ayant le même objet applicables localement.

2° Dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie, les sanctions pécuniaires encourues en vertu du titre II de la présente loi sont prononcées en monnaie locale, compte tenu de la contre-valeur de l'euro dans cette monnaie.

III. - La section 3 du chapitre II du titre II n'est pas applicable en Polynésie française et en Nouvelle-Calédonie.

IV. - Pour l'application du titre II à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les références à la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union et aux règlements de l'Union européenne sont remplacées par la référence aux règles en vigueur en métropole en vertu de la même directive et des mêmes règlements.

Un décret en Conseil d'Etat pris après avis CNIL devra définir la liste des données relatives aux noms de domaine devant être collectées ainsi que les modalités d'application concernant la procédure de communication des données à l'autorité judiciaire et à l'autorité nationale de sécurité des systèmes d'information.

Articles 17, 23 et 24 - Notifications d'incidents importants et partage d'informations

1. ÉTAT DES LIEUX

L`autorité de sécurité des systèmes d'information en France est l'Agence nationale de la sécurité des systèmes d'information (ANSSI), rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN). Le ministre de la défense dispose également de compétences spécifiques en matière de cybersécurité prévues par la sous-section 4 de la section 2 du chapitre I^er du titre I^er du livre IV du code de la défense.

Pour ce qui relève de l'ANSSI, elle assure les fonctions de CERT (Computer Emergency Response Team) ou CSIRT (Computer Security Incident Response Team - les deux termes, CERT et CSIRT, sont strictement équivalents) national et gouvernemental pour la France. Ces missions de réponse à incident sont exercées au sein du CERT gouvernemental en France, le CERT-FR, créé en 1999, avant la transposition de la directive NIS 1. Le CERT-FR fait partie de l'ANSSI et apporte son appui aux ministères, aux autorités, et à d'autres organismes publics administratifs, ainsi qu'aux opérateurs d'importance vitale (OIV) et opérateurs de services essentiels (OSE).

Le partage d'information et la notification d'incidents et de vulnérabilités font partie des prérogatives du CERT-FR, notamment à travers les missions suivantes :

- détecter les vulnérabilités du système, également grâce à la surveillance de la technologie ;

- aider à la mise en place de moyens de protection contre d'éventuels incidents futurs ;

- gérer les réponses aux incidents, au besoin avec le soutien de partenaires de confiance ;

- favoriser et animer un réseau de confiance, avec différentes entités.

Le CERT-FR fournit des services à la fois réactifs et proactifs, 24h/24 et 7j/7.

- En termes de services réactifs, le CERT-FR assure notamment la réponse aux incidents, l'assistance, le soutien, la remédiation et la rédaction et diffusion des bulletins et alertes relatifs à des vulnérabilités permettant de les corriger.

- En matière de services proactifs, le CERT-FR identifie les vulnérabilités critiques et informe ses bénéficiaires, fournit des services d'audits techniques et d'audits automatisés via un portail web, analyse et partage des connaissances sur les menaces, et partage ces informations dans des enceintes dédiées sur le plan national et international ainsi que via son site web.

De plus, dans le cadre de la coopération et du partage des connaissances, le CERT-FR échange des analyses techniques sur les tactiques, techniques et procédures (TTP) communément utilisées par les attaquants à des fins de prévention et de réaction. Il fait partie de plusieurs groupes de coopération, nationaux comme internationaux, afin d'échanger des informations sur les incidents et les menaces.

L'ANSSI est également destinataire de déclarations d'incidents au titre de plusieurs textes, notamment des opérateurs de services essentiels conformément à la loi n° 2018-133, des opérateurs d'importance vitale concernant leurs systèmes d'information d'importance vitale en vertu de l'article L. 1332-6-2 du code de la défense, des incidents d'origine informatique des opérateurs de communications électroniques en vertu de l'article D. 98-5 du CPCE ou encore des éditeurs de logiciels en vertu de l'article L. 2321-4-1 du code de la défense (non concernés par la directive NIS 2). S'agissant du secret de l'instruction prévu par l'article 11 du code de procédure pénale, qui s'applique par principe, en l'absence de disposition législative contraire, plusieurs textes prescrivent déjà au ministère public de communiquer les suites judiciaires données à une procédure pénale. Une telle obligation figure notamment à l'article 40-2 du code de procédure pénale pour les dénonciations faites par les autorités publiques au titre de l'article 40, le procureur de République devant les aviser des poursuites ou mesures alternatives décidées à la suite de leur signalement. De même, l'article L. 561-30-1 du code monétaire et financier prévoit que, pour les faits susceptibles de relever du blanchiment du produit d'une infraction ou du financement du terrorisme ayant fait l'objet d'une note d'information de la cellule de renseignement financier nationale au procureur de la République, ce dernier doit l'informer de l'engagement d'une procédure judiciaire, du classement sans suite ainsi que des décisions prononcées par les juridictions répressives

Avec la transposition de la directive NIS 2, il est attendu une croissance forte du nombre d'entités régulées. En France, on estime que le nombre d'entités régulées va passer de 500 à près de 15 000. La France a institué, dans cette perspective, une politique de développement de l'écosystème des acteurs de la cybersécurité. Cette politique se traduit par l'accompagnement à la création et la montée en maturité de CSIRT régionaux, sectoriels et ministériels, ainsi qu'une forte collaboration avec le secteur privé pour remplir ces missions, notamment en matière de connaissance de la menace, de notification d'incidents et d'aide à la remédiation.

L'ANSSI a en effet soutenu l'émergence de CSIRT territoriaux, ministériels et sectoriels via le plan France Relance. Douze CSIRT régionaux ont été ouverts en métropole, ainsi que trois centres de ressources cyber ultramarins (Nouvelle-Calédonie, Réunion, Territoires français d'Amériques), étape préliminaire à l'ouverture prochaine de leur CSIRT. En lien avec les politiques économiques des territoires, ces structures offrent un premier niveau d'accompagnement aux entités de type PME, ETI, collectivités territoriales et associations locales, en assurant les premiers gestes de réponse à incident, en orientant les victimes vers des prestataires et en les coordonnant si nécessaire. Elles les accompagnent aussi dans le dépôt de plainte et les déclarations obligatoires (à la CNIL par exemple) ainsi qu'en matière d'alertes sur les vulnérabilités. Elles conduisent également des missions de prévention vis-à-vis des acteurs sur leurs territoires. Sept CSIRT sectoriels ont également été créés, notamment dédiés aux établissements de santé, à l'enseignement supérieur, au secteur maritime et aux entreprises de défense. Dotés des mêmes capacités que les CSIRT territoriaux, ils se spécialisent dans l'analyse de la menace et des impacts sectoriels aujourd'hui cruciaux pour des organisations à la chaîne d'approvisionnement complexe. Enfin, 10 CSIRT ministériels viennent compléter ce maillage. Ils agissent au profit des administrations centrales des ministères pour leurs systèmes d'information centraux et apportent, en complément du CERT-FR, des services de détection, de réponse à incident et d'analyse de la menace.

L'ANSSI accompagne et contribue à l'InterCERT France, association loi 1901 constituée en novembre 2021, qui vise à renforcer les liens de coopération et à accompagner la montée en maturité des CSIRT français, publics comme privés. De janvier 2022 à juin 2023, l'ANSSI a également assuré au travers du CERT-FR la présidence du CSIRT Network, le réseau des CSIRT à périmètre national de l'Union européenne.

Ces réseaux de CSIRT permettent d'accroître le nombre d'entités en France ayant accès à des capacités de prévention, de détection, de partage d'information et de réaction aux incidents. En tant que CERT gouvernemental, l'ANSSI accompagne le renforcement de la défense du système d'information de l'État via d'autres projets. Elle a par exemple développé, avec la direction interministérielle du numérique (DINUM), des fonctions de cyberdéfense automatisée sur le réseau interministériel de l'État, tout en poursuivant le déploiement de moyens de supervision de la sécurité des systèmes au sein des différents ministères.

Aux termes de l'article 88-1 de la Constitution : « La République participe à l'Union européenne constituée d'Etats qui ont choisi librement d'exercer en commun certaines de leurs compétences en vertu du traité sur l'Union européenne et du traité sur le fonctionnement de l'Union européenne, tels qu'ils résultent du traité signé à Lisbonne le 13 décembre 2007 ». Le Conseil constitutionnel déduit de cette disposition que : « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^167(*).Les obligations de notification d'incidents et leurs modalités d'application, tout comme les échanges d'informations entre l'autorité nationale de sécurité des systèmes d'information et d'autres entités, sont susceptibles de porter atteinte au principe de la liberté du commerce et de l'industrie et notamment à la liberté d'entreprendre, principe à valeur constitutionnelle qui découle de l'article 4 de la Déclaration des droits de l'homme et du citoyen.

La liberté d'entreprendre comprend non seulement la liberté d'accéder à une profession ou à une activité économique mais également la liberté dans l'exercice de cette profession ou de cette activité^168(*). Il appartient au législateur d'apporter à cette liberté des limitations liées à des exigences constitutionnelles ou justifiées par l'intérêt général, à la condition qu'il n'en résulte pas d'atteintes disproportionnées au regard de l'objectif poursuivi^169(*).

Par ailleurs, les présentes dispositions prévoient des obligations de partage d'information relative aux incidents de cybersécurité, notamment vers les partenaires européens, susceptible de conduire à déroger au secret de l'enquête et de l'instruction. Or, le Conseil constitutionnel a pu rappeler que le secret de l'enquête et de l'instruction est une garantie donnée aux citoyens pour assurer à la fois la préservation de l'ordre public en permettant la recherche des auteurs d'infractions, mais aussi une garantie du respect de la présomption d'innocence et de la protection de la vie privée. Il ne peut subir de restriction que si celle-ci est justifiée par un intérêt général et proportionnée à celui-ci^170(*).

L'article 11 §3 a) de la directive NIS 2 donne au CSIRT national la tâche de surveiller et analyser les cybermenaces, les vulnérabilités et les incidents au niveau national et, sur demande, d'apporter une assistance aux entités essentielles et importantes concernées pour surveiller en temps réel ou quasi réel leurs réseaux et systèmes d'information.

En matière de notification, NIS 2 prévoit, à son article 23, un mécanisme échelonné pour la notification des incidents^171(*) importants pour les entités essentielles et importantes. En matière de notification d'incidents significatifs, la directive NIS 2 établit plusieurs étapes afin de trouver le juste équilibre entre « la notification rapide qui aide à atténuer la propagation potentielle des incidents importants et permet aux entités essentielles et importantes de chercher de l'aide » et la « notification approfondie qui permet de tirer des leçons précieuses des incidents individuels et d'améliorer au fil du temps la cyber résilience des entreprises individuelles et de secteurs tout entiers ». Cela comprend :

- Une « alerte précoce », sous un délai de 24h après avoir eu connaissance de l'incident important, qui le cas échéant indique si l'on suspecte que l'incident important a été causé par des actes illicites ou malveillants ou s'il pourrait y avoir un impact transfrontière ;

- Une « notification d'incident », sous un délai de 72h après avoir eu connaissance de l'incident important, qui le cas échéant met à jour les informations fournies au titre de l'alerte précoce, et fournit une évaluation initiale de l'incident, y compris sa gravité et son impact, et les indicateurs de compromission quand disponibles ;

- A la demande du CSIRT, un « rapport intermédiaire » sur les mises à jour pertinentes de la situation ;

- Un « rapport final », dans un délai d'un mois, sous réserve que l'incident soit traité, dont le contenu est précisé à l'article 23, paragraphe 4, point d ;

- Dans le cas contraire, un « rapport d'avancement », dans un délai d'un mois, devant être complété par un rapport final dans un délai d'un mois après le traitement de l'incident.

La directive NIS 2 prévoit également, à son article 23, paragraphe 1 et 2 de la directive NIS 2, que les entités notifient le cas échéant, et sans retard injustifié, aux destinataires de leurs services les incidents importants susceptibles de nuire à la fourniture de ces services et qu'elles communiquent avec ceux affectés par une cybermenace importante, toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace. Une cybermenace importante est « une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d'avoir un impact grave sur les réseaux et les systèmes d'information d'une entité ou les utilisateurs des services de l'entité, en causant un dommage matériel, corporel ou moral considérable ».

Enfin, l'article 23, paragraphe 7 de la directive NIS 2, prévoit, entre autres mesures, que le CSIRT puisse imposer aux entités d'informer le public de l'incident important, lorsque la sensibilisation du public est nécessaire pour prévenir ou faire face à un incident important, ou lorsque la divulgation de l'incident est dans l'intérêt public.

En matière de partage d'informations, l'article 29 de la directive prévoit que les Etats membres veillent à ce que les entités importantes et les entités essentielles s'organisent pour échanger des informations cyber entre elles. Par ailleurs, l'article 10 paragraphe 3 de la directive prévoit que chaque CSIRT national dispose d'une infrastructure de communication et d'information adaptée, sécurisée et résiliente, permettant d'échanger des informations avec les entités et les autres parties prenantes, incluant la contribution au déploiement d'outils sécurisés de partage d'informations.

La Belgique a souhaité inscrire dans son projet de loi de transposition de NIS 2 les différentes étapes et obligations fixées par la directive en matière de notification d'incidents significatifs. Comme cela est envisagé au niveau français, le texte renvoie ensuite au niveau règlementaire la définition des seuils précis de notification en fonction du degré d'impact ou d'urgence de l'incident.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Notification d'incidents

Pour rappel, la directive NIS 2 établit des obligations de notification d'incidents^172(*) pour les entités essentielles et importantes. La notification à l'autorité nationale doit être distinguée de l'information des utilisateurs, qui n'intervient que dans un second temps et en tant que de besoin.

Les objectifs poursuivis dans ce cadre sont de plusieurs ordres sur le plan opérationnel :

- renforcer le rôle du CERT-FR et les obligations des entités essentielles et importantes en termes de notification d'incidents ;

- maintenir une cohérence avec le dispositif existant en matière de terminologie ;

- obliger toutes les victimes d'un incident critique ou susceptible de nuire à la fourniture de ces services ou d'une vulnérabilité^173(*) critique affectant les réseaux et les systèmes d'information, à informer leurs clients, à l'exception des informations dont la divulgation porterait atteinte aux intérêts de la défense ou de la sécurité nationale ;

- améliorer la communication des informations sur les incidents transfrontières et trans sectoriels à l'autorité nationale par les entités ;

- prévoir un pouvoir d'injonction de l'autorité nationale pour que les entités informent et signalent leurs incidents aux victimes ou publiquement.

Partage d'informations

Les objectifs opérationnels liés au partage d'informations sont de plusieurs ordres :

- divulgation coordonnée de vulnérabilités : le signalement de vulnérabilité doit pouvoir être réalisé de manière anonyme, à la demande de son émetteur. Cette disposition n'appelle pas de marge d'appréciation et ne fait pas l'objet de besoin métier. En revanche, un point d'attention est identifié sur la nécessité de ne pas prévoir de disposition qui serait ensuite remise en cause par les dispositions du futur règlement européen Cyber Resilience Act (CRA) ;

- partage d'information et coopération avec le secteur privé ;

- mise à disposition d'outils de partage ;

- si l'incident touche deux Etats membres, prévoir la possibilité, par défaut, de partager certaines informations sur les incidents signalés : il est souhaité que les données contextuelles techniques d'un incident signalé au CERT-FR puissent être partagées pour répondre aux besoins de coopération, sauf si la victime ou la sensibilité du sujet (ex. affaire judiciarisée ou informations classifiées) s'y oppose ;

- transmission d'informations dans le cadre de l'évaluation par les pairs en présence d'observateurs : les informations échangées se limitent au minimum nécessaire et sont proportionnées à l'objectif de cet échange.

Les objectifs poursuivis dans le cadre de la transposition de cette mesure sont les suivants :

- Être destinataire de toutes les notifications d'incidents dans les meilleurs délais, au titre de l'article 11 §3 a) de la directive ;

- En tant que CSIRT gouvernemental et national, assurer la diffusion de l'information aux bons relais au bon moment.

Aux termes de l'article 88-1 de la Constitution : « La République participe aux Communautés européennes et à l'Union européenne, constituées d'Etats qui ont choisi librement, en vertu des traités qui les ont instituées, d'exercer en commun certaines de leurs compétences ». Le Conseil constitutionnel déduit de cette disposition que « la transposition en droit interne d'une directive communautaire résulte d'une exigence constitutionnelle »^174(*).

Notification d'incidents

L'article 17 du projet de loi doit être adopté au niveau législatif, eu égard à ses conséquences sur l'activité des entités. Cette disposition vient en effet imposer des obligations de notification d'incidents, la nature des incidents qui doivent être notifiés et les destinataires de ces notifications.

Des dispositions législatives sont donc nécessaires pour définir un cadre et apporter des garanties suffisantes afin d'éviter les atteintes disproportionnées à la liberté du commerce et de l'industrie, liberté publique au sens de l'article 34 de la Constitution, et à la liberté d'entreprendre, découlant de l'article 4 de la Déclaration des droits de l'homme et du citoyen de 1789.

Partage d'informations

L'article 23 du projet de loi doit être adopté au niveau législatif, eu égard à ses conséquences sur les secrets protégés par la loi et la sécurité nationale.

Ces dispositions peuvent également impliquer la communication d'informations relevant du secret des affaires, dont la protection est fondée sur les articles L. 151-1 et suivants du code de commerce. L'article L. 151-1 du code de commerce définit la notion d'information protégée au titre du secret des affaires selon trois critères : cette information n'est pas généralement connue ou aisément accessible pour les personnes familières de ce type d'informations ; elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ; elle fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables, pour en conserver le caractère secret.

Bien que les articles L. 151-7 à L. 151-9 du code de commerce prévoient des exceptions au secret des affaires, ces exceptions ne couvrent pas l'échange d'informations entre les entités mentionnées à l'article 23 du projet de loi.

En outre, les informations échangées peuvent contenir des données à caractère personnel.

Enfin, l'échange d'information impose de prévoir une dérogation au secret professionnel, auquel sont astreints les agents publics, en application de l'article L. 121-6 du code général de la fonction publique.

Une disposition législative est donc nécessaire pour, d'une part, définir un cadre et apporter des garanties suffisantes à la sécurité nationale, la sécurité publique ou la défense nationale et, d'autre part, déroger aux secrets protégés par la loi et au secret de l'instruction.

L'article 24 du projet de loi doit être adopté au niveau législatif, eu égard à ses conséquences sur des organismes privés agréés par l'autorité nationale de sécurité des systèmes d'information. Cette disposition prévoit en effet des obligations de diffusion d'alertes et d'informations et de coopération avec l'autorité nationale de sécurité des systèmes d'information.

Une disposition législative est donc nécessaire pour définir un cadre et apporter des garanties suffisantes afin d'éviter les atteintes disproportionnées à la liberté du commerce et de l'industrie et à la liberté d'entreprendre.

Par ailleurs, les dispositions concernant les collectivités territoriales, leurs groupements et établissements publics locaux en tant qu'entités essentielles ou importantes doivent être adoptées au niveau législatif.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Sans objet.

Notifications d'incidents majeurs

Les entités essentielles et importantes notifient, sans retard injustifié par rapport aux différents délais fixés par la directive, à l'autorité nationale de sécurité des systèmes d'information tout incident ayant un impact important sur la fourniture de leurs services. Dans certains cas prévus par la loi (prévenir un incident concernant une entité essentielle ou une entité importante ou faire face à un incident en cours, ou lorsque la divulgation de l'incident est dans l'intérêt public), l'autorité nationale de sécurité des systèmes d'information peut, après avoir consulté l'entité essentielle ou importante concernée, exiger de l'entité qu'elle informe le public de l'incident ou le faire elle-même.

Afin de ne pas obliger la notification de tout incident, mais bien de se limiter aux incidents significatifs, des critères d'évaluation d'impacts ou de seuils permettant de caractériser un tel incident dans le cadre de la directive NIS 2 seront précisés au niveau règlementaire sur une base similaire à ce qui a été fait pour la loi de programmation militaire (LPM) pour 2024-2030. Une définition du caractère significatif d'un incident de cybersécurité y a en effet déjà été intégrée. Cette définition est une déclinaison de la notion telle qu'établie à l'article 20 3 b de la directive NIS 2 ("the incident has affected or has the potential to affect other natural or legal persons by causing considerable material or non-material losses.") mais adaptée au contexte d'un produit numérique. La liste de critères pour les vulnérabilités significatives et les incidents compromettant la sécurité d'un système d'information sera précisée par décret.

Les entités essentielles et importantes notifient, sans délai, aux destinataires de leurs services, à l'exception des informations dont la divulgation porterait atteinte aux intérêts de la défense ou de la sécurité nationale :

- les incidents critiques susceptibles de nuire à la fourniture de ces services ;

- les vulnérabilités critiques affectant leurs services ou les affectant potentiellement, ainsi que les mesures ou corrections, dès qu'elles en ont connaissance, que ces destinataires peuvent appliquer en réponse à cette vulnérabilité ou à cette menace.

L'autorité nationale de sécurité des systèmes d'information recueille la liste des destinataires des services des entités essentielles et importantes concernées, qui peuvent la lui communiquer en cas d'incident critique ou de vulnérabilité critique. Elle tient compte des intérêts économiques de ces personnes et veille à ne pas révéler d'informations susceptibles de porter atteinte à leur sécurité et au secret en matière commerciale et industrielle.

A noter que l'obligation de notification positionne l'autorité nationale comme centralisateur des éléments afin de mieux orienter ses capteurs de veille au niveau national, et donc mieux anticiper la menace à laquelle la France est confrontée. Cette position lui permet de réduire le risque de dilution de l'information en matière de menace comme d'incidentologie et de mieux partager l'information auprès des écosystèmes de CSIRT relais sur le plan national.

Les modalités d'application de cette disposition seront fixées par décret en Conseil d'Etat.

Partage d'informations

L'article 23 du projet de loi prévoit une obligation de coopération de l'autorité nationale de sécurité des systèmes d'information avec la Commission nationale de l'informatique et des libertés, les autorités compétentes en charge de la gestion des risques en matière de cybersécurité en vertu d'un acte sectoriel de l'Union, les autorités chargées de la conduite de la politique pénale, de l'action publique et de l'instruction, ainsi que les organismes internationaux concourant aux missions de sécurité ou de défense des systèmes d'information. L'autorité nationale de sécurité des systèmes d'information peut également communiquer aux organismes internationaux concourant aux missions de sécurité ou de défense des systèmes d'information, sur leur demande ou à son initiative, les informations qu'elle détient sur les incidents informatiques. L'autorité nationale de sécurité des systèmes d'information coopère avec la Commission européenne et les autorités compétentes des autres Etats membres de l'Union européenne. Elle peut également coopérer avec des centres de réponse aux incidents de sécurité informatique ou des organismes équivalents des Etats tiers à l'Union européenne. L'autorité nationale de sécurité des systèmes d'information coopère avec la Commission européenne et les autorités compétentes des autres Etats membres de l'Union européenne. Elle peut également coopérer avec des centres de réponse aux incidents de sécurité informatique ou des organismes équivalents des Etats tiers à l'Union européenne.

Ces entités peuvent se communiquer librement les informations dont elles disposent et se consulter mutuellement aux fins de l'accomplissement de leurs missions respectives, à l'exception des informations dont la communication porterait atteinte à la sécurité publique, à la défense et la sécurité nationale ou à la conduite des relations internationales.

Pour certains de ces organismes, l'article 23 prévoit une dérogation aux secrets protégés par la loi et au secret de l'instruction. Pour l'ensemble des organismes avec lesquels l'autorité nationale est tenue de coopérer, des données à caractère personnel sont susceptibles d'être communiquées. Par ailleurs, l'autorité nationale ne peut pas communiquer des informations qui porteraient atteinte à la sécurité nationale, la sécurité publique ou la défense nationale. Cela exclut donc la communication d'informations couvertes par le secret de la défense nationale.

L'article 23 ne liste pas l'intégralité des secrets protégés par la loi auxquels sont apportés une dérogation mais mentionne les « autres secrets protégés par la loi ». Cette formulation est liée au risque d'enchevêtrement des secrets protégés par la loi applicables à une même information partagée entre les différentes entités listées par l'article en question. Or, l'article 2 §13 de la directive n° 2022/2555 prévoit une dérogation aux secrets protégés par la législation nationale dès lors que l'échange de ces informations est nécessaire à l'application de la directive. Tous les secrets protégés par la loi sont donc concernés. De plus, la formulation mentionnant les « autres secrets protégés par la loi » existe déjà au niveau législatif, à l'article L. 311-5 du code des relations entre le public et l'administration : « 2° Les autres documents administratifs dont la consultation ou la communication porterait atteinte : [...] h) Ou sous réserve de l'article L. 124-4 du code de l'environnement, aux autres secrets protégés par la loi ».

Il a été décidé de ne pas rendre obligatoire les outils de partage qui seront mis à disposition, notamment pour limiter le coût à la charge des entités nouvellement régulées.

L'article 24 prévoit les missions des organismes publics ou privés agréés par l'autorité nationale des systèmes d'information et autorise les échanges d'informations couvertes par des secrets protégés par la loi.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Notification d'incident

L'article 17 du présent projet de loi créent de nouvelles dispositions qui ne seront pas codifiées. Il prévoit les obligations et délais de notification d'incident à l'autorité nationale de sécurité des systèmes d'information et aux destinataires des services des entités concernées. Il prévoit également les obligations d'information du public de certains incidents.

Partage d'informations

Les articles 23 sur les modalités de la coopération de l'autorité nationale de sécurité des systèmes d'information avec d'autres entités nationales, européennes et internationales, ainsi que 24 relatif aux missions des organismes publics ou privés agréés, du présent projet de loi créent de nouvelles dispositions qui ne seront pas codifiées.

A noter que la coopération entre l'autorité nationale de sécurité des systèmes d'information et les autorités chargées de la conduite de la politique pénale, de l'action publique et de l'instruction est justifiée par la lutte contre la cybercriminalité. La dérogation faite au secret de l'enquête et de l'instruction est proportionnée, dans la mesure où l'échange d'information demeure une faculté et non une obligation faite à l'autorité judiciaire.

La directive NIS 2 mentionne à plusieurs reprises la possibilité d'échanger des données, y compris des données à caractère personnel avec des pays situés hors de l'Union européenne. En revanche, le Règlement général sur la protection des données reste applicable et ces partages d'information doivent notamment s'inscrire dans le cadre des mécanismes de protection des données tels que les décisions d'adéquation.

A titre d'exemple, à l'article 11, il est prévu que :

« 7. Les CSIRT peuvent établir des relations de coopération avec les centres de réponse aux incidents de sécurité informatique nationaux de pays tiers. Dans le cadre de ces relations de coopération, les États membres facilitent un échange d'informations effectif, efficace et sécurisé avec ces centres de réponse aux incidents de sécurité informatique nationaux de pays tiers, en utilisant les protocoles d'échange d'informations appropriés, y compris le « Traffic Light Protocol ». Les CSIRT peuvent échanger des informations pertinentes avec des centres de réponse aux incidents de sécurité informatique nationaux de pays tiers, y compris des données à caractère personnel, dans le respect du droit de l'Union en matière de protection des données.

8. Les CSIRT peuvent coopérer avec des centres de réponse aux incidents de sécurité informatique nationaux de pays tiers ou des organismes équivalents de pays tiers, notamment dans le but de leur fournir une assistance en matière de cybersécurité ».

Cet article est éclairé par le considérant 45 qui précise que « Compte tenu de l'importance de la coopération internationale en matière de cybersécurité, les CSIRT devraient pouvoir participer à des réseaux de coopération internationaux en plus du réseau des CSIRT institué par la présente directive. Par conséquent, aux fins de l'accomplissement de leurs tâches, les CSIRT et les autorités compétentes devraient pouvoir échanger des informations, y compris des données à caractère personnel, avec les centres de réponses aux incidents de sécurité informatique nationaux ou les autorités compétentes de pays tiers, pour autant que les conditions prévues par le droit de l'Union en matière de protection des données pour les transferts de données à caractère personnel vers des pays tiers, entre autres celles de l'article 49 du règlement (UE) 2016/679, soient remplies ».

De la même manière, le considérant 74 prévoit que « Afin de faciliter la mise en oeuvre effective de la présente directive, entre autres en ce qui concerne la gestion des vulnérabilités, les mesures de gestion des risques en matière de cybersécurité, les obligations d'information et les accords de partage d'informations en matière de cybersécurité, les États membres peuvent coopérer avec des pays tiers et entreprendre des activités jugées appropriées à cette fin, y compris des échanges d'informations sur les cybermenaces, les incidents, les vulnérabilités, les outils et méthodes, les tactiques, les techniques et les procédures, la préparation et les exercices pour la gestion des crises de cybersécurité, la formation, le renforcement de la confiance ainsi que les arrangements permettant de partager les informations de façon structurée ».

A cette fin, l'article 23 du projet de loi prévoit la possibilité d'échanger des informations avec diverses entités aux fins de l'accomplissement de leurs missions respectives sous réserve de la préservation des informations dont la communication porterait atteinte à la sécurité publique, à la défense et la sécurité nationale ou à la conduite des relations internationales.

L'ANSSI dispose d'un panorama de la menace cyber qui lui permet d'objectiver le risque cyber et les impacts potentiels d'une menace ou information. Grâce à son positionnement, le CERT-FR est en mesure de mieux prévoir et prendre en compte l'exposition aux risques et ainsi d'évaluer la pertinence ou non de partager l'information. Tout partage d'informations est en effet évalué au regard du risque, l'information portant sur une valeur, une criticité, un coût qui évoluent au cours de son cycle de vie. La gouvernance de l'information est donc un enjeu clé qui doit être porté avec responsabilité particulièrement au regard de l'effet systémique potentiel du risque cyber. Dans ce cadre, on peut considérer que l'effet de cette mesure peut être important sur le plan macro-économique dès lors qu'il peut réduire un risque d'exploitation de faille, de compromission, propre à nuire aux intérêts économiques de la Nation.

Aujourd'hui, le contexte économique laisse apparaître certaines tendances en matière de menaces économiques. L'analyse de ces menaces montre de plus en plus une sophistication et une simultanéité des attaques opérées par des acteurs ingérants.

Pour répondre à l'augmentation de la menace avec des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus d'entités trop souvent mal protégées, l'autorité nationale de sécurité des systèmes d'information doit pouvoir renforcer sa capacité opérationnelle, dans un contexte où la transposition de la directive va élargir son périmètre d'activité dans une mesure sans précédent en matière de réglementation cyber. En France, cela se traduit effectivement par une augmentation estimée du nombre d'entités régulées de 500 à près de 15 000, et une augmentation du nombre de secteurs régulés de 6 à 18.

Ainsi, pour répondre aux obligations de partage de l'information et renforcer les capacités de cyberdéfense de la Nation, l'ANSSI travaille depuis plusieurs années au développement de l'écosystème de partenaires privés. A ce titre, l'émergence d'une stratégie nationale de prévention et d'assistance aux victimes de cybermalveillance, en lien avec le secteur privé à travers le Groupement d'intérêt public Action contre la cybermalveillance (GIP Acyma), la densification du réseau de centres de réponse aux incidents cyber (CSIRT ministériels, régionaux et sectoriels) ou encore la mobilisation des Campus Cyber pour renforcer le lien nécessaire entre acteurs privés et acteurs publics, participent au maillage territorial et sectoriel des dispositifs, au plus près des besoins opérationnels. Le développement de cet écosystème cyber de confiance constitue un levier de croissance et de montée en compétences cyber. Son impact économique et en termes d'image de la France dans la sphère cyber internationale est à considérer de manière directe et indirecte.

Cette mesure, renforcée par le partage entre Etats membres, peut contribuer à renforcer la cyber-protection des entités européennes d'intérêt. Ses effets directs et indirects pourraient être importants tant sur le plan de la sécurité que sur la croissance des entités essentielles et importantes, dès lors qu'elles sauront s'approprier et mettre à profit les recommandations et les mesures de remédiation, notamment en matière de vulnérabilités.

En ce qui concerne l'agrément d'organismes publics et privés en tant que relais dans la prévention et la gestion des incidents, la structuration d'un réseau de CSIRT relais aura deux impacts principaux : le développement au niveau régional d'une filière cyber, via la valorisation de prestataires de confiance auprès de clients potentiels, et le renforcement de l'attractivité des territoires où la présence de prestataires cyber de proximité deviendra une garantie de sécurité pour les acteurs économiques.

Concernant la seule mise en oeuvre des obligations de notification et de partage de l'information, la charge budgétaire pesant sur les administrations en général apparaît mesurée voire nulle, car de telles notifications sont déjà effectuées vers l'autorité nationale de sécurité des systèmes d'information.

Pour l'ANSSI, cette mesure aura pour effet principal de renforcer les capacités de supervision de l'ANSSI, sans engendrer en tant que telle d'impact significatif sur ses moyens (qui devront en revanche être adaptés à l'extension de son champ de compétence découlant des autres dispositions du projet de loi).

Il n'y a pas d'impact particulier de cette mesure sur les collectivités territoriales. Il convient cependant de noter que dans le cas particulier des régions, cette mesure implique qu'elles maintiennent en état de fonctionnement leurs CSIRT régionaux, actuellement au nombre de douze (toutes les régions de l'hexagone, hors Auvergne-Rhône-Alpes, ainsi que trois Centres de ressources cyber ultramarins en Nouvelle-Calédonie, à la Réunion et dans les territoires français d'Amériques qui travaillent eux-mêmes à l'ouverture prochaine de leurs centres de réponse à incident), sans qu'elle ne crée de charge additionnelle particulière.

En effet, un partage d'informations est déjà organisé régulièrement entre le CERT-FR et les CSIRT régionaux via des points de situation bilatéraux organisés tous les quinze jours. Ces points sont l'occasion pour le CERT-FR de capter des informations relatives à des cybermenaces en région et donc des opportunités pour détecter les signaux faibles précurseurs d'attaques de grande ampleur ou susceptibles de viser des entités critiques. Réciproquement, ces échanges permettent au CERT-FR d'informer les CSIRT de signalements qui lui sont remontés et qui impactent leurs bénéficiaires, voire, si la maturité d'un CSIRT le permet, d'envisager des désescalades d'incidents vers le CSIRT. Au-delà du bénéfice opérationnel de ces échanges, ces derniers permettent de développer la coopération entre le CERT-FR et les CSIRT, ainsi que d'éprouver la fiabilité des processus de traitement coordonné d'un incident.

Au niveau des administrations publiques nationales, les dernières évaluations du niveau de cybersécurité en date montrent un certain retard de ce secteur par rapport au secteur privé. Il conviendrait par conséquent, pour s'assurer que ces entités puissent atteindre la conformité à la directive NIS 2, qu'une part plus substantielle de leurs budgets numériques soient consacrés à la sécurité numérique. L'effort adapté est estimé à 5% des budgets numériques des ministères. Certains ministères consacrent déjà de tels moyens à leur sécurité numérique, tandis qu'un rééquilibrage limité devra être réalisé par d'autres pour se mettre en conformité. Des emplois publics seront également consacrés aux CSIRT ministériels relais.

Concernant l'impact de cette mesure sur l'ANSSI, compte-tenu de l'extension du périmètre d'application de la directive NIS 2, on peut envisager qu'il y aura davantage de transmissions de signalements d'incidents vers l'autorité nationale. La sous-direction Opérations s'est réorganisée pour pouvoir assurer les missions qui seront les siennes. Ainsi, une nouvelle Division Écosystèmes, services et coopération (DESC) a été créée afin de coordonner la fourniture vers l'extérieur des services portés par la sous-direction Opérations sous la « marque » CERT-FR. Elle assure de manière cohérente et massive, en appui de l'expertise métier nécessaire, la délivrance des services permettant de démultiplier les actions de prévention, protection et résilience auprès de l'ensemble de ses bénéficiaires directs et indirects de l'autorité nationale comme le prévoit la directive NIS 2. Le dispositif proposé nécessite donc la création de 14 emplois dans cette mission de recueil des signalements et de relations opérationnelles avec les entités régulées, pour un total de 32 postes d'ici à 2027.

Par ailleurs, pour assurer le service auprès d'un nombre d'acteurs démultiplié, le CERT-FR devra bâtir les outils nécessaires à son efficacité : les outils de coopération et partenariats et les outils nécessaires à la bonne gestion des relations avec les organismes agréés.

La transposition de la directive NIS 2 crée de nouvelles obligations sur un grand nombre d'activités au sein de l'UE, ce qui nécessite de mobiliser de nombreuses compétences en cybersécurité, allant des plus techniques, comme les tests de pénétration de réseaux ou les investigations suite à incident, à celles relatives à la gouvernance, comme la gestion de crise, ou à des connaissances méthodologiques, comme les analyses de risque.

La consécration dans le texte de transposition de l'obligation de notification des incidents et du partage d'informations constitue, de la même manière, une opportunité de création d'emplois, dont on sait qu'ils seront pérennes à la fois chez les entités régulées privées, au sein des administrations et dans les équipes des prestataires de services en cybersécurité, de plus en plus sollicités.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

On peut envisager un impact positif concernant le coût carbone dans la mesure où les entités disposeront de compétences propres en interne, ce qui limitera les cas de nécessité de déplacements sur site pour les différents prestataires et parties prenantes aux missions de réponse à incident.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Un travail a été mené depuis plusieurs années pour bâtir un écosystème relais de confiance : CSIRT ministériels, sectoriels ou territoriaux ou prestataires qualifiés, avec lesquels l'ANSSI échange régulièrement.

Conformément aux dispositions de l'article L. 1212-2 du code général des collectivités territoriales, les présentes dispositions ont été soumises à l'examen du Conseil national d'évaluation des normes (CNEN) qui a rendu un avis défavorable le 22 mai 2024.

La Commission supérieure du numérique et des postes (CSNP) a été consultée sur les présentes dispositions. Elle a rendu un avis n° 2024-03 le 21 mai 2024 appelant à s'assurer de la clarté du périmètre des entités concernées et des mesures qu'elles devront appliquer ainsi qu'à mettre en oeuvre une stratégie d'accompagnement à la mise en conformité et une politique de supervision progressive.

Sur le fondement de l'article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l'informatique et des libertés a été consultée à titre facultatif. Elle a rendu un avis favorable le 23 mai 2024 au renforcement des mesures en matière de cybersécurité, appelant toutefois à s'assurer de la cohérence des exigences de sécurité découlant des principes relatifs à la protection des données avec celles issues de la directive NIS 2 ainsi qu'à une coordination entre la CNIL et l'ANSSI sur la mise en oeuvre de NIS 2.

Les présentes dispositions entreront en vigueur le lendemain de la publication de la loi au Journal officiel de la République française.

Conformément à l'article 40 du présent projet de loi, le titre II, à l'exception de l'article 13, est applicable dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, sous réserve des adaptations suivantes :

1° En l'absence d'adaptation, les références faites, par des dispositions du titre II applicables en Polynésie française et en Nouvelle-Calédonie, à des dispositions qui n'y sont pas applicables sont remplacées par les références aux dispositions ayant le même objet applicables localement.

2° Dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie, les sanctions pécuniaires encourues en vertu du titre II de la présente loi sont prononcées en monnaie locale, compte tenu de la contre-valeur de l'euro dans cette monnaie.

Pour l'application du titre II à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les références à la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union et aux règlements de l'Union européenne sont remplacées par la référence aux règles en vigueur en métropole en vertu de la même directive et des mêmes règlements.

Un décret en Conseil d'Etat fixe les modalités d'application de la notification obligatoire des incidents majeurs. Il précise notamment la procédure applicable et les critères d'appréciation des caractères importants et critiques des incidents et vulnérabilités ainsi que les délais de notification des incidents et des vulnérabilités.

Un décret en Conseil d'Etat précise également le partage d'information nécessaire à l'accomplissement des missions de l'autorité nationale de sécurité des systèmes d'information d'une part et de certains organismes d'autre part ainsi que les modalités de dépôt et d'examen des demandes d'agrément des organismes agréés par l'autorité nationale de sécurité des systèmes d'information.

CHAPITRE III - DE LA SUPERVISION

Articles 25 à 37 - Supervision - Procédures de contrôle et de sanction

1. ETAT DES LIEUX

Différentes dispositions en matière de cybersécurité, issues pour certaines du droit européen, prévoient des dispositifs de supervision se traduisant notamment par des mécanismes de contrôle et de sanction en cas de manquement aux règles qu'elles instaurent vis-à-vis des opérateurs relevant de leur champ d'application.

L'ANSSI, en tant qu'autorité nationale en matière de sécurité des systèmes d'information, a été désignée comme l'autorité en charge de faire appliquer ces dispositions. Au titre du dispositif SIIV^175(*), présenté supra à l'article 1^er, et de la loi^176(*) transposant la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (directive « NIS 1 »), l'autorité nationale de sécurité des systèmes d'information (ANSSI) est en charge de faire appliquer par les opérateurs régulés un ensemble d'exigences relatives à la cybersécurité de leurs systèmes d'information d'importance vitale ou essentiels.

Des régimes de sanctions pénales, prenant la forme d'amendes, sont d'ores et déjà en vigueur^177(*) et sont destinés à inciter les opérateurs à se mettre en conformité avec les règles de déclaration, de gestion des risques et des incidents, ainsi qu'à un ensemble d'exigences techniques, sur la partie de leur activité qui repose de manière critique sur des moyens numériques. Ces sanctions sont applicables aux manquements de la part des opérateurs factuellement constatés concernant, notamment : le non-respect des règles de sécurité numérique fixées par le Premier ministre, l'obligation de déclaration des incidents de sécurité ou d'information du public, le déroulement des contrôles commandés par le Premier ministre. Toutefois, il est apparu que les mécanismes de sanction étaient peu adaptés, n'offrant par exemple pas la possibilité d'une approche graduée par l'autorité nationale de sécurité des systèmes d'information. Ils n'ont, de fait, jamais été mis en oeuvre.

La directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive « NIS 2 ») prévoit à son article 36 l'instauration d'un régime de sanctions administratives, parallèlement à l'élargissement du champ d'application des exigences, engendrant une forte augmentation du nombre des entités régulées, et par conséquent une forte augmentation du nombre d'opérateurs pour lesquels des sanctions administratives sont susceptibles d'être prononcées en cas de manquement.

Par ailleurs, au titre du règlement eIDAS de 2014^178(*), qui instaure un cadre européen en matière d'identification électronique et de services de confiance, afin de faciliter l'émergence du marché unique numérique et encadre en particulier la signature électronique, plusieurs rôles sont confiés à l'ANSSI : organe de contrôle des prestataires de confiance, organisme de certification des dispositifs de création de signature et cachet électronique qualifiés (QSCD), organisme chargé d'établir, tenir à jour et publier la liste nationale de confiance. La mission de vérification du respect des exigences de sécurité pour les moyens d'identification électronique relevant d'un schéma notifié par la France lui échoit également. Outre les pouvoirs de contrôle conférés à l'ANSSI, un régime national prévoyant des sanctions effectives, proportionnées et dissuasives doit être instauré.

En outre, au titre du règlement Cyber Security Act (CSA) de 2019^179(*), qui prévoit une gouvernance européenne pour adopter des schémas de certification de cybersécurité afin d'attester de la conformité des produits, services et processus aux exigences prévues par les schémas, selon une méthodologie d'évaluation précise, l'ANSSI a été désignée autorité nationale de certification de cybersécurité (ANCC) et doit à ce titre, au niveau national, superviser et faire respecter les règles prévues dans les schémas européens de certification de cybersécurité et contrôler le respect des obligations qui incombent aux fabricants ou fournisseurs de produits technologiques de l'information et de la communication. Ceci se traduit principalement par deux missions à assurer : la certification pour le niveau d'assurance élevé et la supervision de la mise en oeuvre des schémas de certification de cybersécurité. Cette seconde mission inclut les activités de surveillance de marché pour les produits, services et processus autoévalués, de notification des organismes d'évaluation de la conformité et d'autorisation lorsque prévu par le schéma, de mise en oeuvre d'un régime de sanctions effectives, proportionnées et dissuasives, de mise en oeuvre d'un système de gestion de réclamations, et de soutien à l'organisme national d'accréditation. La mise en oeuvre du cadre laisse présager d'une multiplication du nombre de schémas de certification à opérer et d'éléments à certifier.

Enfin, depuis la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale, l'autorité nationale de sécurité des systèmes d'information était chargée d'évaluer le niveau de sécurité des systèmes d'information d'importance vitale des opérateurs d'importance vitale ainsi que le respect des règles de sécurité fixées par arrêté du Premier ministre.

Une logique identique a conduit, lors de la transposition de la directive NIS, à soumettre au contrôle de l'autorité nationale de la sécurité des systèmes d'information les opérateurs de services essentiels et les fournisseurs de service numérique.

L'article 34 de la Constitution prévoit que relèvent notamment du domaine de la loi les droits civiques et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ; la liberté, le pluralisme et l'indépendance des médias ; les sujétions imposées par la défense nationale aux citoyens en leur personne et en leurs biens.

Le Conseil constitutionnel rattache la justification des prérogatives d'enquête et de contrôle des agents de l'Autorité des marchés financiers à la prévention des atteintes à l'ordre public et à la recherche des auteurs d'infractions (décision n° 2017-646/647 QPC du 20 juillet 2017, cons. 9). Certaines de ses décisions se réfèrent plus spécifiquement à un objectif de préservation de l'ordre public économique (décisions n° 2011-126 QPC du 13 mai 2011, n° 2012-280 QPC du 12 octobre 2012, n° 2021-892 QPC du 26 mars 2021).

A titre d'exemple, le Conseil constitutionnel considère que la définition des garanties appropriées et spécifiques relève de la loi lorsqu'une disposition peut affecter, par ses conséquences, le droit au respect de la vie privée et les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques (décision n° 2004-499 DC du 29 juillet 2004).

Les missions de contrôle conférées à l'administration, pour lesquelles des pouvoirs d'investigation lui ont été confiés doivent tenir compte de principes constitutionnels tels que le respect du domicile, applicable également aux personnes morales, le droit à la vie privée et la protection des données à caractère personnel.

A ce titre, le Conseil d'Etat a rappelé dans un arrêt Interconfort du 6 novembre 2009 que : « Considérant qu'aux termes de l'article 8 de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales : 1. Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. 2. Il ne peut y avoir ingérence d'une autorité publique dans l'exercice de ce droit que pour autant que cette ingérence est prévue par la loi et qu'elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l'ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés d'autrui ; Considérant que si le droit au respect du domicile que ces stipulations protègent s'applique également, dans certaines circonstances, aux locaux professionnels où des personnes morales exercent leurs activités, il doit être concilié avec les finalités légitimes du contrôle, par les autorités publiques, du respect des règles qui s'imposent à ces personnes morales dans l'exercice de leurs activités professionnelles ; que le caractère proportionné de l'ingérence que constitue la mise en oeuvre, par une autorité publique, de ses pouvoirs de visite et de contrôle des locaux professionnels résulte de l'existence de garanties effectives et appropriées, compte tenu, pour chaque procédure, de l'ampleur et de la finalité de ces pouvoirs ».

Ce faisant, lorsque des pouvoirs d'enquête et d'investigation sont confiés à l'administration menant à terme à une sanction, ils doivent être entourés de garanties suffisantes relatives notamment à l'impartialité, l'adéquation et la nécessité des mesures ainsi que le respect des droits de la défense et le contradictoire afin que les mesures de contrôle conservent un caractère proportionné.

Le Conseil constitutionnel admet que le niveau de garantie apporté aux pouvoirs d'enquête et d'investigation confiés à l'administration varie en fonction de l'organisme qui en est doté. En effet, dans une décision n° 2016-616/617 QPC du 9 mars 2017, il a considéré que : « Le principe de la séparation des pouvoirs, ni aucun autre principe ou règle de valeur constitutionnelle, ne font obstacle à ce qu'une autorité administrative non soumise au pouvoir hiérarchique du ministre, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction dans la mesure nécessaire à l'accomplissement de sa mission, dès lors que l'exercice de ce pouvoir est assorti par la loi de mesures destinées à assurer la protection des droits et libertés constitutionnellement garantis. En particulier, doivent être respectés le principe de la légalité des délits et des peines ainsi que les droits de la défense, principes applicables à toute sanction ayant le caractère d'une punition, même si le législateur a laissé le soin de la prononcer à une autorité de nature non juridictionnelle. Doivent également être respectés les principes d'indépendance et d'impartialité découlant de l'article 16 de la Déclaration de 1789 ».

La Cour européenne des droits de l'homme elle-même admet que « des impératifs de souplesse et d'efficacité, entièrement compatibles avec la protection des droits de l'homme, peuvent justifier l'intervention préalable d'organes administratifs [...] ne satisfaisant pas sous tous leurs aspects [aux] prescriptions » de l'article 6§1 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH, 23 juin 1981, Le Compte, Van Leuven et De Meyere c/ Belgique, n° 6878/75 et 7238/75, point 5).

Ainsi, est applicable aux sanctions administratives, notamment, le principe du respect des droits de la défense (Conseil d'Etat, Sect., 5 mai 1944, Dame veuve Trompier-Gravier, n° 69751 ; Conseil constitutionnel, n° 97-389 DC du 22 avril 1997, n° 99-411 DC du 16 juin 1999, n° 2001-451 DC du 27 novembre 2001). En ce qui concerne la motivation de la décision de sanction et le caractère contradictoire de la procédure, ce principe est formalisé dans le code des relations entre le public et l'administration (aux articles L. 211-1 et suivants, pour la motivation, et aux articles L. 121-1 et suivants, en particulier l'article L. 122-2, pour la procédure contradictoire). Ces garanties font l'objet des dispositions adaptées à ces principes dans le projet de loi.

S'agissant des sanctions administratives, si le Conseil constitutionnel a admis « qu'aucun principe ou règle de valeur constitutionnelle ne fait obstacle à ce qu'une autorité administrative, agissant dans le cadre de prérogatives de puissance publique, puisse exercer un pouvoir de sanction », il a ajouté que ce n'est qu'à la condition, « d'une part, que la sanction susceptible d'être infligée [soit] exclusive de toute privation de liberté et, d'autre part, que l'exercice du pouvoir de sanction [soit] assorti par la loi de mesures destinées à sauvegarder les droits et libertés constitutionnellement garantis » (Cons. const., n° 89-260 DC du 28 juillet 1989).

Bien que d'application plus souple pour certains, les sanctions administratives sont tenues au respect des principes de légalité des délits et des peines, de non rétroactivité des lois répressives plus sévères ou d'application immédiate des lois répressives plus douces, de nécessité et de proportionnalité des sanctions, d'individualisation des peines, de personnalité des peines ou encore d'égalité devant la loi.

La Convention européenne des droits de l'homme, et en particulier son article 6 relatif au droit à un procès équitable est applicable dans le cadre de régimes de sanctions administratives, étant entendu que la Cour européenne des droits de l'homme admet une certaine souplesse dans la mise en oeuvre des garanties : « des impératifs de souplesse et d'efficacité, entièrement compatibles avec la protection des droits de l'homme, peuvent justifier l'intervention préalable d'organes administratifs [...] ne satisfaisant pas sous tous leurs aspects [aux] prescriptions » de l'article 6§1 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (CEDH, 23 juin 1981, Le Compte, Van Leuven et De Meyere c/ Belgique, n° 6878/75 et 7238/75, point 5). Au demeurant, la mesure envisagée ne contrevient à aucune règle du droit conventionnel international.

Le cadre du dispositif de contrôle et de sanctions découlant, pour l'essentiel, de règlements et de directives de l'Union européenne présente un niveau d'harmonisation élevé entre Etats membres de l'Union européenne, rendant une étude de droit comparé non pertinente.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Le règlement CSA dispose que les modalités de supervision susmentionnées s'appliquent à compter du 28 juin 2021. Le 31 janvier 2024, le premier schéma de certification européen, EUCC (EU Common Criteria), conforme aux réglementations européennes en matière de cybersécurité a été adopté avec des premiers certificats qui pourront être délivrés un an plus tard, soit à partir de début 2025. A cette date, il reviendra à l'ANCC de pouvoir jouer son rôle de supervision, ce qui nécessite que les pouvoirs d'enquête et de sanction de l'autorité nationale de sécurité des systèmes d'information soient définis dans la loi. Un régime de sanctions pour les violations au règlement lui-même doit être prévu mais aussi pour les violations des futurs schémas de certification européens attendus dans le cadre de règlements d'exécution.

Concernant le règlement eIDAS, il convient que l'autorité nationale de sécurité des systèmes d'information soit en mesure de sanctionner, le cas échéant, les acteurs qui ne respectent pas les exigences auxquelles ils sont soumis. Cela nécessite que les pouvoirs d'enquête et de sanction de l'autorité nationale de sécurité des systèmes d'information soient définis dans la loi.

S'agissant de la directive NIS 2, le délai de transposition fixé par le texte est le 17 octobre 2024. Le dispositif étant substantiellement modifié par rapport à la première directive, notamment à travers le périmètre des entités soumises au respect des obligations prévues par la directive, les pouvoirs de supervision et contrôles accordés à l'autorité nationale et l'introduction de sanctions administratives, une évolution des dispositions législatives en matière de pouvoirs d'enquête et de sanction de l'autorité nationale de sécurité des systèmes d'information est nécessaire.

Enfin, le dispositif de supervision instauré pour les besoins des textes précédents viendra modifier le régime de sanctions pénales prévu actuellement dans le dispositif SAIV pour son volet cyber, ce qui permettra une plus grande cohérence entre les régimes de sanctions applicables aux différentes réglementations.

La mise en oeuvre de l'ensemble des réglementations susmentionnées nécessite ainsi de doter l'autorité nationale de sécurité des systèmes d'information des pouvoirs d'enquête et de police administrative suffisants pour assurer ses missions de contrôle, tout en rationalisant les dispositifs existants.

En effet, alors que les dispositifs existants conduisent à une saisine du juge pénal aux fins de prononcer une sanction, un régime de sanctions administratives vient s'ajouter pour assurer la mise en oeuvre effective d'obligations portant sur les entités et autorités publiques concernées. Si l'autorité nationale est, jusqu'à présent, en charge de l'évaluation du niveau de sécurisation de systèmes d'information sensibles (article 1332-3 du code de la défense et articles 8 et 14 de la loi n° 2018-133), la transposition de la directive NIS 2 implique désormais de la doter de pouvoirs contraignants pour (i) rechercher et constater des manquements et (ii) prononcer des mesures d'exécution de se mettre en conformité, jusqu'à la notification des griefs en cas de respect par les entités concernées.

Bien qu'ils soient d'application immédiate, la mise en oeuvre des règlements européens eIDAS et CSA implique également la définition des régimes de sanctions dans le droit national. L'article 16 du règlement eIDAS renvoie aux Etats membres le soin de fixer le régime des sanctions applicables là où l'article 65 du règlement CSA dispose que « Les États membres déterminent le régime des sanctions applicables aux violations des dispositions du présent titre et aux violations des schémas européens de certification de cybersécurité et prennent toutes les mesures nécessaires pour assurer la mise en oeuvre de ces sanctions ».

De jurisprudence constante, il appartient à l'ordre juridique interne de chaque État membre, en vertu du principe de l'autonomie procédurale, de désigner les juridictions compétentes et de régler les modalités procédurales des recours destinés à assurer la sauvegarde des droits que les justiciables tirent du droit de l'Union (voir, en ce sens, arrêts du 30 septembre 2003, Köbler, C-224/01, EU:C:2003:513, point 47, et du 27 juin 2013, Agrokonsulting, C-93/12, EU:C:2013:432, point 35). Toutefois, la directive NIS 2 présente un degré de précision élevé quant aux pouvoirs et mesures d'exécution relevant de l'autorité compétente afin d'assurer la mise en oeuvre effective de la directive.

Les principes de clarté et de simplification de la loi commandent de mutualiser les procédures de recherche et constatation des manquements en veillant à prévoir les garanties procédurales adéquates et protectrices des droits de la défense, dès lors que cette procédure aura vocation à conduire, le cas échéant à une sanction administrative.

Une loi est donc nécessaire pour doter l'autorité nationale de sécurité des systèmes d'information des pouvoirs et moyens requis dans le cadre d'une procédure d'instruction et de poursuite et de mettre à jour les dispositions législatives existantes.

Enfin, si les règlements eIDAS et CSA laissent le soin aux Etats membres de déterminer les sanctions applicables, la directive NIS 2 fixe elle-même les plafonds des sanctions, qu'il revient au droit national de reprendre in extenso sauf à encourir le risque de sous-transposer la directive.

Dans le même esprit de simplification que ci-dessus, les plafonds des sanctions ont été harmonisés avec ceux en cas de non-respect des règlements eIDAS et CSA, lesquels seront ainsi proportionnés et dissuasifs ainsi que ces textes le prescrivent.

Le renforcement du rôle de l'autorité nationale, inscrit dans le présent projet de loi découle de plusieurs réglementations européennes en lien avec la sécurité numérique (en particulier, mais pas exclusivement, la transposition de la directive NIS 2) et nécessite la définition d'un cadre et de procédures pour garantir le bon fonctionnement, tant du point de vue de l'objectivité et de l'impartialité que de l'efficacité, des dispositifs de supervision prévus par ces réglementations, y compris l'instauration de procédures de contrôle et de mécanismes de sanction adaptés.

L'objectif est que ce cadre :

- fournisse la base juridique nécessaire à l'autorité nationale de sécurité des systèmes d'information pour mettre en oeuvre le cadre juridique européen et assurer son rôle de supervision en lien avec les différentes réglementations européennes ;

- permette une mise en oeuvre effective de sanctions graduées, proportionnées et dissuasives, dans des délais adaptés, créant de ce fait une réelle incitation au sein des entités concernées au respect de leurs obligations respectives et ainsi à adopter de bonnes pratiques en matière de cybersécurité ;

- tienne compte autant que possible d'une approche harmonisée entre les différents textes nationaux relatifs à la sécurité du numérique, ainsi qu'avec ceux liés à la résilience des entités critiques (directive REC^180(*)) ;

- présente des garanties suffisantes d'une procédure régulière, respectant les conditions d'un échange contradictoire ainsi que les principes généraux du droit, notamment en matière d'indépendance, d'impartialité et de respect des droits de la défense ;

- garantisse un haut niveau de cohérence entre les régimes de sanctions prévus par les différentes réglementations susmentionnées dans la mesure où certaines entités peuvent être soumises à plusieurs de ces réglementations.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Mise à part pour quelques matières spécifiques précisées par décret, pour lesquelles certains ministères exerceront les compétences de l'autorité nationale de sécurité des systèmes d'information, les missions de supervision associées aux différentes réglementations en matière de cybersécurité susmentionnées sont confiées à l'ANSSI en tant qu'autorité nationale de sécurité des systèmes d'information.

Cette centralisation facilite le déploiement d'une approche coordonnée et cohérente des différentes facettes de la supervision en matière de cybersécurité. De par la possibilité pour l'ANSSI de déterminer, à partir de sa connaissance d'ensemble des enjeux de la cybersécurité, les priorités thématiques ou sectorielles pertinentes, cette approche pourra s'inscrire dans des programmes de contrôle qui pourraient être établis chaque année, dans le respect d'une logique de progressivité adaptée, liée à l'entrée en vigueur d'un nouveau cadre et à la nécessité pour les opérateurs de se l'approprier et de prendre les mesures adéquates pour satisfaire à l'ensemble de leurs nouvelles obligations. Cette position permettra ainsi d'assurer efficacement le pilotage du cadre réglementaire à venir, en proposant un socle de mesures et d'actions accessible, lisible, uniformisé et adapté aux différents niveaux de menace (cybercriminelle et étatique). C'est le choix qui a été fait dans les désignations des autorités nationales compétentes effectuées au titre des réglementations européennes précitées par note des autorités françaises auprès des autorités européennes, et qui est traduit dans la loi par les présentes dispositions.

Afin de rendre effectif le rôle de contrôle de l'autorité nationale de sécurité des systèmes d'information au service de ses missions de supervision, il est nécessaire d'habiliter ses agents à la recherche et à la constatation des manquements aux différentes réglementations susmentionnées, ainsi que de prévoir leur assermentation dans la mesure où ils seront amenés à effectuer des constats utilisés, le cas échéant, comme moyens de preuve venant étayer une décision de sanction. Ceux-ci doivent en outre être dotés de pouvoirs d'enquête suffisants pour l'accomplissement de cette mission, notamment les pouvoirs de réaliser des contrôles sur place ou sur pièces et de demander aux entités contrôlées toutes les informations et l'accès à leurs équipements nécessaires pour évaluer la conformité aux exigences et le respect des obligations leur incombant.

Le dispositif entend mettre à la charge des entités contrôlées le coût des mesures de contrôle prévues à l'article 29. Si la directive prévoit uniquement la prise en charge par les entités des audits ciblés lorsqu'ils sont réalisés par un organisme indépendant, un deuxième choix pouvait être de faire supporter aux entités les évaluations techniques et plus largement toute action de contrôle permettant de retenir l'application d'un principe de redevance pour service rendu, conformément à la jurisprudence du Conseil d'Etat^181(*), dans un souci d'harmonisation avec ce qui était d'ores et déjà prévu dans le cadre du dispositif SAIV (article L. 1332-6-3) et de la loi n° 2018-133 concernant les opérateurs de services essentiels.

S'agissant de la nature et du niveau maximum des sanctions prévues en cas de manquement aux réglementations susmentionnées, ceux-ci doivent être fixés dans la loi. Là où la directive NIS 2 précise que ce sont des sanctions administratives qui doivent être prononcées, les règlements CSA et eIDAS ne spécifient pas leur nature. Dès lors, des sanctions administratives ou pénales pourraient être choisies. De même, la directive NIS 2 est prescriptive sur le niveau maximum des sanctions pécuniaires devant être fixé, tandis que les règlements CSA et eIDAS ne spécifient aucun montant. Concernant enfin le dispositif SAIV, il ne prévoit actuellement que des sanctions pénales. Sans contrevenir à ces textes, des natures de sanction et des montants soit identiques, soit différents, pourraient donc être prévus pour sanctionner les manquements à ces différentes réglementations.

Concernant la procédure de sanction, trois options sont envisageables :

Option 1 : attribuer à l'autorité nationale de sécurité des systèmes d'information la responsabilité d'instruire, de constater les manquements, de prendre les mesures de police administrative et de prononcer les sanctions administratives prévues dans la loi ;

Option 2 : charger l'autorité nationale de l'instruction, de la constatation des manquements et des mesures de police administrative, comme dans l'option 1, tandis qu'une commission des sanctions composée de magistrats et de personnalités compétentes, nommés indépendamment de l'autorité nationale est chargée de statuer sur les sanctions administratives prévues dans la loi ;

Option 3 : séparer entièrement de l'autorité nationale les missions liées au prononcé de sanctions, qui seraient exercées par une autorité différente, qu'elle soit administrative ou judiciaire.

La recherche de cohérence dans la nature des sanctions dans le dispositif SAIV, tant pour son volet lié à la sécurité physique et à la résilience que pour son volet lié à la sécurité numérique, et dans la mise en oeuvre de la directive NIS 2 et des règlements CSA et eIDAS, amène à retenir le principe de l'instauration de sanctions administratives applicables aux manquements de toutes ces réglementations. Adaptées au contexte de chaque réglementation, celles-ci prennent selon les cas la forme d'amendes administratives, d'une suspension de certaines activités pour une entité ou d'interdiction temporaire d'exercice de ses responsabilités par son dirigeant ou encore d'une abrogation d'une certification, d'une qualification ou d'une autorisation (article 37).

Le texte prévoit que le constat par l'autorité nationale de manquements aux obligations visées dans les chapitres II et III du projet de loi, qui instaure les régimes de sanctions prévus par les réglementations eIDAS, CSA, NIS 2 et SAIV (volet cyber), ne sera pas sanctionné pénalement mais par une sanction administrative n'emportant donc pas inscription au casier judiciaire.

S'agissant du niveau maximum du montant des sanctions pouvant être prononcées dans la mise en oeuvre des règlements CSA et eIDAS, par souci de cohérence du cadre de supervision de différentes réglementations qui ont en commun de concourir à une meilleure prise en compte des enjeux de cybersécurité et à une hausse du niveau de sécurité, il est préférable de ne pas multiplier les niveaux maximum de sanction étant entendu que la commission des sanctions aura la faculté de décider dans chaque cas d'un montant individualisé, proportionné à la gravité des faits dans la limite du niveau maximum à savoir 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial hors taxes ou 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial hors taxes en fonction des entités concernées.

Concernant la procédure de sanction, bien que le Conseil constitutionnel ait validé le principe selon lequel un service administratif peut prononcer des sanctions administratives^182(*), il est proposé d'écarter l'option 1, afin d'éviter tout risque de contentieux quant à l'impartialité des décisions. Concernant l'option 3, soit elle induirait des coûts administratifs disproportionnés du fait de la nécessité de doter l'autorité indépendante ainsi nouvellement créée de moyens matériels et de compétences techniques importants (cas de la création d'une autorité administrative indépendante), soit elle contribuerait à l'engorgement des services en charge de l'instruction des procédures judiciaires (cas du recours à une procédure pénale). Ces coûts n'apparaissent pas justifiés alors même que le dispositif de supervision prévu par NIS 2 permet de prendre toute une série de mesures contraignantes sans solliciter nécessairement l'intervention de l'autorité de sanction elle-même et que l'effet attendu du régime de sanction instauré devrait être principalement dissuasif et que, de ce fait, le nombre de sanctions prononcées devrait rester limité, au moins dans un premier temps.

Ainsi, il est proposé de retenir l'option 2, dans laquelle les rôles de supervision et d'instruction seront portés par l'autorité nationale tandis que la sanction administrative sera prononcée par une commission des sanctions indépendante, composée de magistrats du Conseil d'État, de la Cour de cassation et de la Cour des comptes, ainsi que de personnalités qualifiées. Il peut être relevé que cette option est en outre similaire à ce qui est mis en place pour de nombreuses autorités auxquelles est attribuée une compétence pour prononcer des sanctions administratives, dans la mesure où cela permet une séparation des fonctions d'instruction et de sanction^183(*), facteur offrant des garanties d'impartialité.

Ainsi, à l'issue des contrôles réalisés par l'autorité nationale, dont la charge financière relève des entités contrôlées, et en cas de manquement constaté (articles 31 à 34), il pourra être adressé à l'opérateur une mise en demeure de se mettre en conformité, motivée et assortie d'un délai raisonnable émanant du directeur de l'autorité nationale, qui pourra en outre décider de la rendre publique (article 32). Les mesures d'exécution prises dans ce cadre pourront, le cas échéant, être accompagnées d'une astreinte au plus égale à 5 000 euros par jour de retard.

Si elle l'estime nécessaire, l'autorité nationale pourra, à l'issue du délai de mise en conformité précisé dans la mise en demeure et s'il est avéré que l'intéressé n'a pas apporté les preuves qu'il s'est mis en conformité, notifier à l'intéressé les griefs retenus et saisir la commission des sanctions. Cette dernière, après avoir entendu selon une procédure contradictoire l'intéressé, un représentant de l'autorité nationale et toute personne dont l'audition lui parait utile, statuera sur l'imposition d'une sanction et, le cas échéant, sur les modalités et, en cas de sanction pécuniaire, le quantum de cette sanction, qui doivent être proportionnés à la gravité des faits. Les sanctions prononcées par la commission des sanctions seront, le cas échéant, assorties d'une prise en charge financière par l'intéressé de la publication de la décision, s'il est décidé de la rendre publique.

Le continuum de mesures d'exécution et de sanctions pouvant être mises en oeuvre, en cas de manquement constaté, par l'autorité nationale et, le cas échéant, la commission des sanctions si elle est saisie, offre ainsi une progressivité dans l'approche répressive.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Les articles 25 à 37 du présent projet de loi forment un chapitre III intitulé « De la supervision », au sein du Titre II.

Les articles 8 (paragraphe 2), 32, 33, 34, 35 et 36 de la directive NIS 2 sont transposés dans les articles 25 à 37 du présent projet de loi, lesquels incluent également des dispositions d'adaptation du droit national aux règlements CSA (en particulier à ses articles 58 et 65) et eIDAS (en particulier à ses articles 16, 17).

Face à une menace toujours plus importante, des acteurs malveillants qui se professionnalisent et la multiplication des attaques, tous les secteurs et toutes les tailles d'entreprises et d'organisations sont touchés par les enjeux de la cybersécurité, avec un coût global important pour l'économie française.

Assurer un bon niveau de sécurité numérique général pour l'ensemble des entités avec des exigences particulières s'agissant des entités les plus sensibles, ce à quoi concourra l'exercice effectif des compétences de supervision, de contrôle et de sanction prévues par le présent projet de loi, sera par conséquent un facteur de renforcement de la compétitivité des entreprises françaises, de leur résilience et en conséquence de l'économie nationale.

Plus spécifiquement, en concourant à l'objectif principal de chacune de ces réglementations, le dispositif de supervision, de contrôle et de sanction proposé contribuera :

- au bon fonctionnement du marché européen numérique, qui est conditionné par la confiance que le grand public et les entreprises accordent aux produits, services et processus concernés, laquelle est renforcée par le recours à une certification de cybersécurité unifiée et mise en oeuvre comme levier d'amélioration de leur sécurité (règlement CSA), ainsi que par la mise en oeuvre d'un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques, qui accroit l'efficacité des services en ligne publics et privés et la sûreté des transactions électroniques (règlement eIDAS) ;

- à l'augmentation du niveau moyen de sécurité numérique des acteurs économiques, à la diminution de l'impact et donc du coût de la cybercriminalité en France, à l'augmentation de la demande sur le marché des solutions de sécurisation, à la diffusion large de la culture du risque cyber et à l'incitation des opérateurs à se conformer aux obligations réglementaires en la matière.

Le bon fonctionnement de la supervision qui peut faire intervenir diverses mesures à l'égard des entités assujetties (avertissement, injonctions, etc.) et, le cas échéant, des mécanismes de sanction est de nature à créer une incitation à la bonne application par un grand nombre d'entités des dispositions de différentes réglementations concourant, globalement, à la sécurité numérique. Il est en effet attendu de dispositifs efficaces de supervision et de contrôle et, le cas échéant, de sanction, conçus et mis en oeuvre de manière objective, indépendante, proportionnée et réactive, un effet incitatif sur le plus grand nombre des entités assujetties.

Une partie des entités assujetties étant des entreprises, les impacts économiques identifiés ci-dessus s'appliquent également. Le bon fonctionnement de la supervision qui peut faire intervenir diverses mesures à l'égard des entreprises assujetties et, le cas échéant, des mécanismes de sanction, est de nature à créer une incitation à la bonne application par un grand nombre d'entreprises des dispositions de différentes réglementations concourant, globalement, à la sécurité numérique et par conséquent à favoriser un environnement propice à la bonne conduite de leurs opérations et à l'accomplissement de leur rôle économique et social.

Le renforcement des dispositifs de supervision et de sanction (équipe dédiée en charge de la mise en oeuvre de cette mission au sein de l'autorité nationale) ainsi que la création de la commission des sanctions généreront un coût de personnel et de fonctionnement pour l'Etat qui paraît mesuré, et en tout état de cause proportionné à l'objectif poursuivi.

Une partie des entités assujetties étant des collectivités territoriales, les impacts micro-économiques identifiés ci-dessus peuvent être considérés s'appliquer à elles. Ainsi, le bon fonctionnement de la supervision est de nature à créer une incitation à la bonne application par un grand nombre de collectivités territoriales des dispositions de différentes réglementations concourant, globalement, à la sécurité numérique et, par conséquent, au bon accomplissement de leurs missions au service de leurs administrés.

L'application de sanctions administratives, à l'issue d'une procédure découlant d'une instruction par l'autorité nationale, permet d'éviter de contribuer à l'engorgement existant par ailleurs des services qui instruisent les procédures judiciaires, a fortiori avec des dossiers qui demandent souvent, de par leur technicité, une forte expertise en sécurité numérique pour en évaluer finement l'ensemble des enjeux.

La mesure proposée permet, pour autant, la séparation de la fonction décisionnelle en matière de sanctions des fonctions en charge des autres missions de l'autorité nationale (notamment : sensibilisation, assistance technique, formation, mise en oeuvre de dispositifs de détection, recueil d'informations techniques relatives aux incidents affectant les systèmes d'information et concours à la réponse à ces incidents,), ainsi que de la fonction responsable du pilotage des missions de contrôle et de l'instruction des dossiers, tout en maintenant cette dernière au sein des services de l'autorité nationale, lui permettant de bénéficier du haut niveau de technicité et de connaissance du secteur de la cybersécurité développés au sein de l'autorité nationale, ce que l'option 3 supra n'aurait pas permis. Des mesures organisationnelles internes à l'autorité nationale permettront en outre à celle-ci de s'assurer qu'en son sein des modalités de fonctionnement pertinentes soient trouvées entre la fonction responsable du pilotage des missions de contrôle et de l'instruction des dossiers, d'une part, et les fonctions assurant des missions de conseil aux opérateurs (notamment : sensibilisation, assistance technique, formation, mise en oeuvre de dispositifs de détection, recueil d'informations techniques relatives aux incidents affectant les systèmes d'information et concours à la réponse à ces incidents) d'autre part, pour préserver la confiance placée par les opérateurs dans les échanges qu'ils ont avec l'administration dans les différents contextes que ceux-ci peuvent prendre.

Par ailleurs, l'autorité nationale est déjà identifiée par les entités dans son rôle d'accompagnement pour leur permettre d'élever le niveau de sécurité de leurs systèmes d'information, rôle qui devra, dans le fonctionnement de l'autorité nationale, être élargi et renforcé pour tenir compte de la diversité des secteurs concernés et du nombre des entités assujetties à la directive NIS 2.

Les mesures proposées peuvent avoir un effet indirect sur l'emploi, au travers d'un besoin croissant de personnel dans les fonctions liées à la cybersécurité dans les organisations ainsi que chez les fournisseurs de solutions de cybersécurité (produits et services), tandis qu'en encourageant le renforcement du niveau de sécurité d'opérateurs économiques elle permet également de contribuer à leur solidité financière, et donc à préserver des emplois qui seraient menacés en cas d'attaque à fort impact sur une ou plusieurs entités.

Sans objet.

Sans objet.

Sans objet.

Sans objet.

L'encouragement au renforcement du niveau de sécurité numérique des entités assujetties à la directive NIS2 induit par les mesures de contrôle et de sanction est de nature à favoriser un environnement de confiance pour les particuliers, en tant que clients des entreprises et administrés des administrations.

Le fonctionnement des équipes de l'autorité nationale en charge de l'activité de supervision et de contrôle ainsi que de la commission des sanctions générera une activité additionnelle de nature administrative, qui sera homogène aux activités déjà existantes de l'autorité nationale.

Les impacts attendus en matière environnementale (induits par la consommation d'énergie, de produits consommables, les déplacements, etc.) paraissent dès lors non spécifiques à cette activité et, en tout état de cause, mesurés au vu de l'objectif poursuivi.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Conformément aux dispositions de l'article L. 1212-2 du code général des collectivités territoriales, la présente disposition a été soumise à l'examen du Conseil national d'évaluation des normes (CNEN) qui a rendu un avis défavorable le 22 mai 2024.

La Commission supérieure du numérique et des postes (CSNP) a été consultée sur les présentes dispositions. Elle a rendu un avis n° 2024-03 le 21 mai 2024 appelant à s'assurer de la clarté du périmètre des entités concernées et des mesures qu'elles devront appliquer ainsi qu'à mettre en oeuvre une stratégie d'accompagnement à la mise en conformité et une politique de supervision progressive.

Sur le fondement de l'article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l'informatique et des libertés (CNIL) a été consultée à titre facultatif. Elle a rendu un avis favorable le 23 mai 2024 au renforcement des mesures en matière de cybersécurité, appelant toutefois à s'assurer de la cohérence des exigences de sécurité découlant des principes relatifs à la protection des données avec celles issues de la directive NIS 2 ainsi qu'à une coordination entre la CNIL et l'ANSSI sur la mise en oeuvre de NIS 2.

Un travail a été mené depuis plusieurs années pour bâtir un écosystème relais de confiance : CSIRT ministériels, sectoriels ou territoriaux ou prestataires qualifiés, avec lesquels l'ANSSI échange régulièrement.

Les présentes dispositions entrent en vigueur le lendemain de la publication de la présente loi au Journal officiel de la République française.

Les dispositions s'appliqueront sur l'ensemble du territoire national.

S'agissant des sanctions pécuniaires (articles 28 et 37), elles seront prononcées en monnaie locale pour ce qui concerne les entités établies dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie.

L'article 30 prévoit que des mesures de caractère réglementaire à prendre par voie de décret en Conseil d'État préciseront les modalités d'application des dispositions de la Section 1, notamment relativement à la recherche et aux constations des manquements.

L'article 34 prévoit qu'un décret en Conseil d'Etat fixe les modalités de la procédure d'instruction.

Par ailleurs, comme mentionné supra, les conditions de fonctionnement de la commission des sanctions seront également définies par décret en Conseil d'Etat, prévu à l'article L. 1332-14 du code de la défense.

CHAPITRE IV - DISPOSITIONS DIVERSES D'ADAPTATION

Article 38 - Alléger le contrôle des biens de cryptologie

1. ÉTAT DES LIEUX

On entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète.

Le régime de contrôle des moyens et prestations de cryptologie relève actuellement de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN) et son décret d'application n° 2007-663 du 2 mai 2007 modifié.

L'article 30 de la loi prévoit une utilisation libre des moyens de cryptologie, quelle que soit leur fonction. Il prévoit également la fourniture, le transfert depuis un Etat membre, l'export et l'import libres de moyens de cryptologie ayant des fonctions d'authentification et d'intégrité.

Toutefois, il impose un régime de déclaration préalable auprès du Premier ministre pour la fourniture, l'import et les transferts depuis et vers un Etat membre de moyens de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité. Le même régime déclaratif est prévu pour la fourniture de prestations de cryptologie du même type en vertu de l'article 31 de la même loi.

Enfin, l'article 30 impose un régime d'autorisation préalable pour l'export vers un Etat membre de l'Union européenne de ces mêmes moyens. Aux termes du décret n°2007-663 précité, les autorisations d'exportation sont délivrées pour une durée qui ne peut excéder cinq ans et doivent être renouvelées passé ce délai.

Le décret n° 2007-663 précise les modalités d'application des articles 30 et 31, et dispose notamment que c'est à l'ANSSI que les déclarations et demandes d'autorisation d'exportation sont adressées.

Cette réglementation coexiste avec celle relative aux biens à double usage (BDU), à savoir les biens, produits ou technologies essentiellement civils, sujets au risque de détournement d'usage à des fins militaires prohibées ou de prolifération nucléaire, biologique ou chimique, dont l'exportation est contrôlée, à laquelle certains moyens de cryptologie sont également soumis. Aussi, lorsqu'un BDU intègre un dispositif de cryptologie, il faut une autorisation préalable d'exportation de bien de cryptologie délivrée par l'ANSSI, puis une autorisation de licence d'exportation de BDU relevant du régime général. La réglementation européenne^184(*) est notamment précisée par le décret n° 2001-1192 du 13 décembre 2001 relatif au contrôle à l'exportation, à l'importation et au transfert des biens et technologies à double usage (modifié pour tenir compte du règlement européen de 2009) et par l'arrêté du 13 décembre 2001 relatif au contrôle à l'exportation vers les pays tiers et au transfert vers les Etats membres de la Communauté européenne de biens et technologies à double usage.

Ce dernier texte précise que l'autorisation d'exportation est un préalable à une demande de licence pour les moyens de cryptologie^185(*). Ce contrôle, en deux étapes ayant chacune leurs délais propres, est donc perçu comme un double contrôle pénalisant pour l'export depuis la France.

A ses articles 32 et 33, la loi n° 2004-575 du 21 juin 2004 définit également un principe de responsabilité civile pour les prestataires de services de cryptologie au titre des prestations fournies. Elle définit, à son article 34, les sanctions administratives associées au non-respect de l'article 30 et, à son article 35, les sanctions pénales associées au non-respect des articles 30, 31 et 34.

L'objectif de valeur constitutionnelle d'intelligibilité de la loi assure la lisibilité des textes et prohibe la complexité inutile^186(*).

L'objet de l'article est lié au règlement (UE) 2021/821 du Parlement européen et du Conseil du 20 mai 2021 instituant un régime de l'Union de contrôle des exportations, du courtage, de l'assistance technique, du transit et des transferts en ce qui concerne les biens à double usage.

2. NÉCESSITÉ DE LÉGIFÉRER ET OBJECTIFS POURSUIVIS

Le régime de contrôle des moyens et prestations de cryptologie relève actuellement de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN). Sa modification implique une disposition de niveau législatif.

L'objectif est d'alléger la charge pour les entreprises et l'administration.

Le régime d'autorisation préalable à l'exportation de moyens de cryptologie prévu par la loi n° 2004-575 susmentionnée poursuit le même objectif que le régime d'autorisation préalable à l'exportation des biens à double usages prévu par le règlement 2021/821. Ce doublon réglementaire est source d'incompréhension pour les entreprises exportatrices qui ne comprennent pas pourquoi, en France, l'administration exige deux autorisations différentes pour la même opération d'exportation. Cette double procédure rallonge nécessairement le délai des formalités administratives en amont de la commercialisation des produits, ce qui nuit à la réactivité des entreprises françaises et peut, dans certains cas, obérer leur compétitivité face à des acteurs étrangers, y compris européens.

Pour l'administration, le traitement des demandes d'autorisation d'exportation prévues par la loi n° 2004-575 précitée, en plus des demandes d'autorisation d'exportation de BDU, est une charge dont elle pourrait utilement faire l'économie. Cette charge est d'autant plus conséquente que l'utilisation de moyens de cryptologie s'est largement démocratisée : des fonctions de cryptographie sont désormais embarquées dans de très nombreux produits. Aujourd'hui, ce seul dispositif nécessite trois ETP, lesquels traitent en moyenne cinq cent demandes par an.

En tout état de cause, au cours des cinq dernières années aucun refus n'a été délivré en réponse à une demande d'autorisation d'exportation déposée en application de la loi n° 2004-575 précitée, ce qui tend à montrer que, dans les faits, ce dispositif n'a pas de véritable utilité.

3. OPTIONS ENVISAGÉES ET DISPOSITIF RETENU

Outre le dispositif retenu, deux options étaient envisageables :

- le maintien des régimes actuels de déclaration et demande d'autorisation d'exportation, ce qui laisse persister des contraintes fortes allant à l'encontre du principe de simplification du droit ;

- la suppression des deux régimes de déclaration et d'autorisation d'exportation, ce qui permet un allégement total de la charge administrative. Toutefois, elle fait disparaitre intégralement ce mécanisme de recueil d'informations techniques sur les moyens de cryptologie circulant en France et pose donc des difficultés en termes de sécurité car elle réduit la connaissance qu'a l'administration des moyens utilisés pour garantir la confidentialité des échanges d'information.

Le projet de loi retient la transformation du régime d'autorisation en régime déclaratif. Cette option offre un bon équilibre entre, d'une part, l'objectif de simplification du droit et, d'autre part, la nécessité de maintenir une veille technique sur les moyens de cryptologie circulant en France. En effet, cette mesure apporte un allègement de la charge sur l'exportation. Même si elle ne simplifie pas les démarches imposées pour l'importation et la fourniture en France de moyens de cryptologie, elle permet néanmoins, grâce au régime unique de déclaration applicable à toutes les opérations, d'alléger la charge pour l'administration et de maintenir un dispositif de contrôle et de recueil d'informations techniques sur les moyens de cryptologie circulant en France.

En cohérence avec la suppression du régime d'autorisation, le I de l'article 35 de la loi n° 2004-575 est modifié pour supprimer les sanctions prévues en cas de défaut d'obtention d'autorisation.

L'article 33 de la loi n° 2004-575 précitée prévoit un régime de responsabilité des prestataires de services de certification électronique. Les principes énoncés dans cet article sont rendus obsolètes et en partie incohérents avec les dispositions prévues à l'article 13 du règlement 910/2014 dit « eIDAS ». En effet, l'article 33 de la loi n° 2004-575 prévoit que « Sauf à démontrer qu'ils n'ont commis aucune faute intentionnelle ou négligence, les prestataires de services de certification électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés [...] ». Le règlement eIDAS, quant à lui, prévoit à son article 13 un régime général de responsabilité du prestataire de service de confiance, que ce dernier soit qualifié ou non : « Sans préjudice du paragraphe 2, les prestataires de services de confiance sont responsables des dommages causés intentionnellement ou par négligence à toute personne physique ou morale en raison d'un manquement aux obligations prévues par le [règlement eIDAS] ».

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

Cette mesure modifie les articles 30 et 35 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN). Elle abroge l`article 33 de la même loi. Elle impacte également l'article 57 de la loi du 21 juin 2004 relative aux dispositions ultra-marines en raison des renvois (voir l'article 40 du présent projet de loi).

Les dispositions envisagées s'articulent avec le règlement 2021/821 du 20 mai 2021. Ce règlement prévoit en effet les modalités de contrôle à l'export des moyens de cryptologie ainsi que le périmètre de contrôle à savoir les biens listés à l'annexe I, catégorie 5, partie 2.

Ce règlement prévoit également les modalités de contrôle pour les transferts vers un autre Etat membre des biens de la catégorie 5, partie 2 listés à l'annexe IV. Le paragraphe 8 de l'article 11 prévoit par ailleurs qu'un État membre peut, par sa législation nationale, exiger que, pour tout transfert intra-Union au départ de cet État membre de biens visés à l'annexe I, catégorie 5, partie 2, qui ne sont pas énumérés à l'annexe IV, des informations complémentaires concernant ces biens soient fournies à ses autorités compétentes.

Le décret en Conseil d'Etat devra assurer la cohérence avec ce règlement en particulier pour la définition des catégories de moyens dispensés de formalités préalables pour l'exportation ou le transfert vers un autre Etat membre.

Sans objet.

Cette modification supprimera pour les exportateurs une formalité administrative, ce qui améliorera la lisibilité de la procédure dont ils doivent s'acquitter en amont d'une exportation et contribuera à leur réactivité commerciale. Plus généralement, elle impliquera un allègement pour les exportateurs de moyens de cryptologie en termes de délai avant exportation.

Sans objet.

Sans objet.

Cf. § « Objectifs poursuivis ».

Sans objet.

Sans objet.

Sans objet.

Sans objet.

Sans objet

Sans objet.

Sans objet.

5. CONSULTATIONS ET MODALITÉS D'APPLICATION

Ces dispositions n'ont pas fait l'objet de consultation spécifique des acteurs industriels, qui ont déjà, à de nombreuses occasions, fait connaître leur opposition au double régime de contrôle actuel, et leur souhait de voir les contraintes allégées au maximum.

Conformément aux dispositions de l'article L. 1212-2 du code général des collectivités territoriales, la présente disposition a été soumise à l'examen du Conseil national d'évaluation des normes (CNEN) qui a rendu un avis défavorable le 22 mai 2024.

Enfin, sur le fondement de l'article 8 de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, la Commission nationale de l'informatique et des libertés (CNIL) a été consultée à titre facultatif.

Ces dispositions entrent en vigueur au lendemain de la publication de la loi au Journal officiel de la République française.

Conformément à l'article 40 du présent projet de loi, le titre II est applicable dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, sous réserve des adaptations suivantes :

1° En l'absence d'adaptation, les références faites, par des dispositions du titre II applicables en Polynésie française et en Nouvelle-Calédonie, à des dispositions qui n'y sont pas applicables sont remplacées par les références aux dispositions ayant le même objet, applicables localement.

2° Dans les îles Wallis et Futuna, en Polynésie française et en Nouvelle-Calédonie, les sanctions pécuniaires encourues en vertu du titre II de la présente loi sont prononcées en monnaie locale, compte tenu de la contre-valeur de l'euro dans cette monnaie.

Pour l'application du titre II à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les références à la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union et aux règlements de l'Union européenne sont remplacées par la référence aux règles en vigueur en métropole en vertu de la même directive et des mêmes règlements.

Enfin, conformément à l'article 40 du présent projet de loi, l'article 57 de la loi du 21 juin 2004 est modifié pour l'application de cette loi en Nouvelle-Calédonie, en Polynésie française, à Wallis-et-Futuna, dans les Terres australes et antarctiques françaises et à Mayotte

Les décrets suivants devront être modifiés :

- Décret en Conseil d'Etat n° 2007-663 du 2 mai 2007 pris pour l'application des articles 30, 31 et 36 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique et relatif aux moyens et aux prestations de cryptologie ;

- Décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » ;

- Arrêté du 13 décembre 2001 relatif au contrôle à l'exportation vers les pays tiers et au transfert vers les Etats membres de la Communauté européenne de biens et technologies à double usage.

En outre, l'arrêté du 29 janvier 2015 définissant la forme et le contenu des dossiers de déclaration et de demande d'autorisation d'opérations relatives aux moyens et aux prestations de cryptologie devra être modifié.

Article 39 (I, II et III) - Abrogation de la transposition de la directive NIS 1 et simplification du cadre réglementaire

1. ÉTAT DES LIEUX

L'ordonnance n° 2005-1516 du 8 décembre 2005 introduit le référentiel général de sécurité (RGS) qui impose aux autorités administratives^187(*) la mise en oeuvre de mesures de sécurité visant à limiter la fraude liée à l'usage des services numériques de ces administrations pour échanger avec leurs usagers ou d'autres administrations (par exemple : l'identification électronique, la signature / le cachet électronique, l'horodatage électronique). L'ordonnance n° 2005-1516 du 8 décembre 2005 s'accompagne du décret 2010-112 du 2 février 2010 et de l'arrêté du 13 juin 2014 portant approbation de la dernière version RGS.

Périmètre organique

Trois types d'acteurs sont concernés par le RGS :

- L'autorité administrative qui se voit imposer des obligations dans ces échanges par voie électronique avec ses usagers ou d'autres autorités administratives,

- Les prestataires de services de confiance ou des fournisseurs qui peuvent, sur la base du volontariat, qualifier leurs produits de sécurité ou leurs services de confiance en vue de les proposer aux autorités administratives pour faciliter leur mise en conformité aux obligations,

- Les organismes délivrant des décisions de qualification des prestataires de services de confiance.

Périmètre technique

Le RGS s'applique aux seuls systèmes d'information mis en oeuvre par les autorités administratives et qui supportent des échanges par voie électronique entre ces autorités administratives et leurs usagers ou entre autorités administratives elles-mêmes (par exemple : impots.gouv.fr, le site internet d'une collectivité territoriale permettant à un administré de payer les frais de cantine, le site internet du Conseil d'État).

Mesures de sécurité

Le RGS prévoit des mesures liées à la protection des échanges par voie électronique entre l'autorité administrative mettant en oeuvre le système qui supporte ces échanges et les usagers ou d'autres autorités administratives.

Lorsqu'une autorité administrative recourt à des produits de sécurité ou à des prestataires de services de confiance ayant fait l'objet d'une qualification, cette administration peut se prévaloir d'une présomption de conformité aux exigences du RGS.

Les articles 1 à 15 de la loi n° 2018-133 du 26 février 2018 transposent en droit national les dispositions de la directive n° 2016/1148 du 6 juillet 2016 dite NIS 1, dont l'objectif majeur est d'assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d'information de l'Union européenne.

Cette loi s'accompagne du décret n° 2018-384 du 23 mai 2018 qui précise les dispositions relatives à la sécurité des réseaux et des systèmes d'information des OSE et des fournisseurs de services numériques et de plusieurs arrêtés^188(*) du Premier ministre précisant notamment les modalités de déclaration des incidents de sécurité ainsi que les règles de sécurité devant être mises en oeuvre.

Périmètre organique

Prenant pour modèle le volet cyber du dispositif national de sécurité des activités d'importance vitale (SAIV) prévu par le code de la défense, cette loi prévoit la désignation d'opérateurs de services essentiels (OSE). Ces OSE sont désignés par le Premier ministre au regard de leurs activités, qui s'inscrivent dans un secteur défini dans la transposition nationale et reprenant au minimum ceux listés dans la directive NIS 1.

Cette loi vise également les fournisseurs de services numériques qui couvre les services d'informatique en nuage (opérateurs de cloud), les places de marché en ligne, les moteurs de recherche.

Périmètre technique

Ces OSE sont tenus de déclarer à l'ANSSI leurs systèmes d'information essentiels (SIE) répondant à des critères définis au niveau réglementaire et sur lesquels ces opérateurs devront appliquer des mesures de sécurité.

Mesures de sécurité

Les mesures de sécurité définies dans le cadre de NIS 1 reprennent celles définies dans le cadre du volet cyber du dispositif SAIV et dont les exigences ont été allégées pour tenir compte des enjeux visés par la directive et de la maturité des OSE.

Les opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense (appelés « opérateurs d'importance vitale » ou « OIV ») doivent mettre en oeuvre des règles de sécurité nécessaires à la protection de leurs systèmes d'information pour lesquels l'atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population, obligation étendue aux systèmes d'information des opérateurs publics ou privés qui participent à ces systèmes (article L. 1332-6-1 du code de la défense).

Principe de libre administration des collectivités territoriales

La directive s'applique aux administrations centrales et régionales. Par ailleurs, elle laisse la possibilité aux Etats membres d'en appliquer les dispositions aux administrations locales.

Le projet de loi impose des obligations aux régions, aux départements, aux grandes communes et à certains groupements, mais également à certains établissements publics locaux.

Le principe de libre administration des collectivités territoriales figure à l'article 72 de la Constitution de 1958. Repris dans le code général des collectivités territoriales, la libre administration est un principe à valeur constitutionnelle ^189(*) qui s'impose au législateur et à toutes les autorités administratives. Le fait d'imposer des obligations aux collectivités territoriales touche au principe de leur libre administration et nécessite de légiférer^190(*).

Régime des obligations civiles et commerciales

L'article 34 de la Constitution prévoit notamment que la loi détermine les principes fondamentaux des obligations civiles et commerciales. Ainsi, une loi qui impose des obligations à des entreprises privées doit déterminer précisément le périmètre des entreprises soumises à ces obligations^191(*) .