Multiplication du nombre d'autorités de supervision et de règlementations applicables au secteur numérique

Question de M. MAUREY Hervé (Eure - UC) publiée le 23/01/2025

M. Hervé Maurey attire l'attention de M. le ministre de l'économie, des finances et de la souveraineté industrielle et numérique sur la multiplication du nombre d'autorités de supervision et de règlementations applicables au secteur numérique.

D'après une étude intitulée « Les télécoms : l'investissement au service de la connectivité », les opérateurs télécoms sont supervisés par trois autorités nationales différentes (le ministère de l'économie et des finances, l'Agence nationale de la sécurité des systèmes d'information, ANSSI, et la Commission nationale de l'informatique et des libertés, CNIL) et deux autorités européennes (l'Agence de l'Union européenne pour la cybersécurité, ENISA, et les Autorités européennes de surveillance).

L'étude souligne que certaines lois et réglementations nationales et européennes imposent des déclarations redondantes, notamment le règlement DORA, la déclaration des cyberattaques à l'ANSSI et à la CNIL, ou encore la directive résilience des entités critiques (REC) qui impose une déclaration - par les opérateurs - à l'ANSSI et au Ministère, puis par l'ANSSI à l'ENISA.

L'étude indique que centraliser les déclarations des opérateurs auprès d'un seul acteur (par exemple l'ANSSI) sous forme de guichet unique, pourrait être une mesure de simplification et d'harmonisation, d'autant plus que chaque autorité peut avoir sa propre procédure de déclaration.

Le sénateur souhaite donc connaître la position du Gouvernement en la matière et les mesures qu'il compte prendre afin de simplifier et harmoniser les déclarations des opérateurs télécoms aux autorités de supervision.

Publiée dans le JO Sénat du 23/01/2025 - page 177

Transmise au Ministère délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargé de l'intelligence artificielle et du numérique

Réponse du Ministère délégué auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargé de l'intelligence artificielle et du numérique publiée le 29/01/2026

En France, la régulation des télécommunications repose sur une articulation claire entre plusieurs acteurs publics. L'Arcep, autorité administrative indépendante, est chargée de la régulation économique et technique du secteur : elle garantit une concurrence effective, supervise le déploiement des réseaux fixes et mobiles et veille à la qualité de service pour les usagers. Le Ministère de l'Économie et des Finances, définit les orientations stratégiques et le cadre législatif, notamment via la Direction générale des entreprises. La simplification réglementaire est un enjeu majeur pour le Gouvernement. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, en cours d'examen à l'Assemblée nationale, a été l'occasion de mener un travail de simplification globale du cadre règlementaire de la cybersécurité en France. L'harmonisation des différentes règlementations et la réduction de la superposition règlementaire en matière de cybersécurité ont ainsi été recherchées dans la transposition des textes européens REC, NIS 2 et DORA. Ainsi, alors que les exigences de cybersécurité étaient jusqu'à présent dispersées entre plusieurs réglementations, un socle commun de mesures de gestion des risques cyber fondé sur la directive NIS 2 est désormais applicable à l'ensemble des entités régulées. Toutes les entités régulées par NIS 2 devront appliquer ces mesures et assurer par exemple le recensement de leurs systèmes d'information, la mise en place d'un cadre de gouvernance de la sécurité numérique ou encore la conduite d'audits de sécurité permettant d'atteindre un niveau commun de cybersécurité. En complément de ce socle commun, des régimes spéciaux peuvent s'appliquer à des entités spécifiques ou des secteurs particuliers. Par exemple, dans le cadre du dispositif de sécurité des activités d'importance vitale, les opérateurs d'importance vitale doivent compléter leurs mesures de gestion des risques cyber par des mesures renforcées permettant de faire face à une menace d'origine étatique. Par ailleurs, des mesures sectorielles, ne trouvant pas d'équivalent dans le socle commun, peuvent être imposées, à l'image des exigences liées à DORA. La question de la notification d'incident de cybersécurité est également un enjeu majeur pour les autorités, afin notamment d'assurer une assistance auprès d'une entité victime en cas de cyberattaque. La création d'un guichet unique pour toutes les notifications nécessite cependant un travail de fond technique important pour évaluer la possibilité de créer un système sécurisé de transmission d'information en direct et automatiquement à plusieurs autorités sur des périmètres de réglementations différents. Dans le cadre du projet de loi Résilience, le Gouvernement a dès lors visé à faciliter les démarches de notifications d'incidents pour les entités régulées au travers de plusieurs mesures de simplification. Ainsi, pour les entités soumises à la fois à DORA et à NIS 2, un même formulaire de notification d'incident pourrait être transmis aux deux autorités. Une telle notification permettra qu'une assistance de la part de l'ANSSI auprès d'une entité bancaire ou des infrastructures des marchés financiers puisse être apportée à tout moment. Une recherche de simplification a également été conduite dans le cadre de l'articulation entre NIS 2 et le Règlement général sur la protection des données (RGPD). Afin de permettre aux victimes d'une attaque informatique de notifier une violation de données à caractère personnel, l'ANSSI prévoit dans le cadre du développement de sa plateforme de déclaration d'incidents de faciliter la déclaration auprès de la CNIL.

Publiée dans le JO Sénat du 29/01/2026 - page 474