EXPOSÉ GÉNÉRAL
Mesdames, Messieurs,
Face à l'émergence de menaces transfrontalières, la nécessité d'harmoniser les réponses et les dispositifs de sécurité avec nos voisins et nos alliés est devenue, pour tous, une évidence.
Dans le monde toujours plus interdépendant et interconnecté qui est le nôtre, nous ne pourrons en effet espérer lutter efficacement contre le terrorisme, contre le trafic d'armes ou encore contre la cybercriminalité sans approche commune ni coordination.
Aucune politique nationale ne sera à la hauteur d'une criminalité sans frontière.
Cette prise de conscience généralisée est à l'origine de plusieurs initiatives européennes récentes, politiques comme législatives, qui tendent à faire émerger une politique commune en matière de sécurité intérieure , que l'on ne peut que saluer.
Dans ce contexte, le Sénat est saisi en premier lieu et en première lecture d'un projet de loi n° 105 (2017-2018) portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, pour l'examen duquel le Gouvernement a engagé la procédure accélérée.
Ce projet de loi vise à transposer deux directives européennes dans le domaine de la sécurité : la directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, communément dénommée directive « NIS » et la directive 2017/853 du 17 mai 2017 modifiant la directive 91/477/CEE relative au contrôle de l'acquisition et de la détention d'armes .
Il s'attache par ailleurs à tirer les conséquences en droit français de la décision n° 1104/2011/UE relative aux modalités d'accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo .
Compte tenu du nécessaire respect des engagements européens qui s'imposent au législateur, l'examen parlementaire de textes de transposition est nécessairement plus contraint que celui d'un projet ou d'une proposition de loi ordinaire.
Il revient toutefois au Parlement de veiller au respect de l'obligation de transposition et de s'assurer de la bonne intégration de la norme européenne dans le droit national. C'est dans cet esprit que votre rapporteur a inscrit ses travaux.
I. UN PROJET DE LOI QUI TIRE LES CONSÉQUENCES DE L'HARMONISATION CROISSANTE DES DISPOSITIFS DE SÉCURITÉ AU NIVEAU EUROPÉEN
A. LA LUTTE CONTRE LA CYBER-CRIMINALITÉ, CONDITION ESSENTIELLE DE PROTECTION DU MARCHÉ INTÉRIEUR
1. La directive « NIS » : un texte ambitieux et nécessaire
Adoptée en juillet 2016 à l'issue de trois années de négociations, la directive 2016/1148, dite directive « NIS », poursuit un double objectif :
- d'une part, renforcer le niveau de cybersécurité des États membres pour les activités économiques stratégiques ;
- d'autre part, améliorer la coordination entre États membres en cas de survenance d'incidents transnationaux affectant les réseaux et systèmes d'information des entités essentielles.
Bien qu'elle s'inscrive dans le cadre plus global de mise en place d'une stratégie européenne en matière de cybersécurité, dont les premiers axes ont été définis en 2013, elle constitue la première initiative législative européenne ainsi que la première tentative d'harmonisation des normes dans ce domaine .
La directive est prise sur le fondement de l'article 114 du traité sur le fonctionnement de l'Union européenne, qui habilite l'Union à adopter des mesures destinées à établir ou assurer le fonctionnement du marché intérieur.
Elle résulte du constat que l'impact potentiel des incidents affectant les systèmes d'information, qu'ils soient ou non d'intention criminelle, est considérable pour l'économie et la société européennes , dont le fonctionnement s'appuie désormais en grande partie sur les nouvelles technologies. Ceci ira en s'accentuant, par exemple avec la voiture autonome ou les objets connectés.
S'il est difficile d'évaluer précisément l'impact économique des cyberattaques, une étude conduite en 2016 par l'agence européenne pour la sécurité des réseaux (ENISA) évaluait par exemple à 0,41 % du produit intérieur brut (PIB) de l'Union européenne le coût global des incidents cybernétiques. Plusieurs cas concrets illustrent également ce constat. Ainsi, l'attaque informatique subie par l'entreprise française Saint-Gobain au mois d'août 2017 aurait entraîné des pertes s'élevant à 250 millions d'euros.
Or, si ce constat paraît très largement partagé par les autorités publiques, il le serait beaucoup moins au sein du monde économique, qui représente pourtant la première cible des tentatives d'attaques et d'intrusions informatiques. Au cours de son audition par votre rapporteur, le Medef a ainsi souligné que si les grandes entreprises présentaient généralement une « culture » élevée dans le domaine de la sécurité informatique, les petites et moyennes entreprises tardaient en revanche, pour la plupart, à mettre en place une politique ambitieuse en la matière et à réaliser les investissements nécessaires.
Dans ce contexte, l'intervention du législateur , qu'il soit national ou européen, apparaît comme un « mal nécessaire » afin d'inciter les acteurs économiques à se conformer à un socle minimum de règles de sécurité pour assurer la protection de leurs activités. Qui plus est, l'interconnexion des réseaux et des systèmes d'information implique une nécessaire interdépendance entre les États, tout incident sur un territoire étant susceptible d'en affecter un autre, d'où la pertinence, dans ce domaine, d'une politique européenne commune .
2. Une transposition partielle par le projet de loi
Outre plusieurs mesures d'effet direct, qui n'appellent pas de transposition en droit national, la directive « NIS » prévoit la mise en place d'un cadre réglementaire contraignant, imposant à un certain nombre d'entités stratégiques pour le fonctionnement de l'économie et de la société :
- d'une part, de respecter un socle minimal de règles et de prendre un certain nombre de mesures de sécurité afin d'assurer la fiabilité et la résilience de leurs réseaux et systèmes d'information, obligation susceptible de faire l'objet d'un contrôle par les autorités administratives et pouvant donner lieu à sanctions en cas de manquement ;
- d'autre part, de signaler aux autorités nationales compétentes en matière de cyber-sécurité les incidents de sécurité dont elles sont les victimes.
Deux catégories de structures sont visées par la directive, les opérateurs économiques essentiels , soit les entités qui fournissent des services essentiels au fonctionnement de la société et de l'économie, et les fournisseurs de service numérique , chacune de ces catégories se voyant imposer, en fonction de son caractère plus ou moins stratégique, un régime différent d'obligations et de contrôle en matière de sécurité informatique.
Les dispositions d'effet direct de la directive Outre la création d'un cadre réglementaire contraignant pour les opérateurs de services essentiels et les fournisseurs de service numérique, la directive comprend plusieurs dispositions qui s'imposent directement aux États membres et ne nécessitent pas de transposition en droit français. La directive invite tout d'abord les États membres à procéder à un renforcement de leurs capacités en matière de cyber-sécurité. Elle prévoit notamment qu'ils devront définir une stratégie nationale de sécurité ainsi que se doter d'autorités nationales compétentes en matière de cyber-sécurité, chargées de s'assurer de la bonne transposition de la directive, et d'équipes nationales de réponse aux incidents informatiques. En France, l'agence nationale de sécurité des systèmes d'information (ANSSI) a été désignée pour remplir ce double rôle. La directive prévoit par ailleurs la mise en oeuvre d'un cadre de coopération volontaire entre les États membres , à deux niveaux : un groupe de coopération sera mis en oeuvre sur les aspects « politiques » de la cyber-sécurité ; un autre, regroupant les équipes nationales de réponse aux incidents informatiques, sera chargé d'établir une coopération sur les aspects techniques et opérationnels. |
Le titre I er du projet de loi tend à transposer, en droit interne ce nouveau dispositif.
Les articles 1 er à 4 comportent des dispositions communes applicables à l'ensemble du dispositif . L' article 1 er définit ainsi les notions de « réseaux et systèmes d'information » et de « sécurité des systèmes d'information ». L' article 2 précise le champ d'application des dispositions transposées, afin notamment d'exclure les entités faisant d'ores et déjà l'objet d'une réglementation en matière de sécurité des systèmes d'information. L' article 3 concerne quant à lui les règles de confidentialité et de discrétion professionnelle qui s'imposent à l'administration et aux prestataires qu'elle habilite dans l'application des dispositions du projet de loi. Enfin, l'article 4 prévoit que les modalités d'application du titre I er seront déterminées par un décret en Conseil d'État.
Les articles 5 à 9 du projet de loi précisent le régime applicable aux opérateurs économiques essentiels . L' article 5 définit la notion d'opérateur économique essentiel et précise son champ d'application. Les articles 6 et 7 déterminent les obligations imposées à ces opérateurs, d'une part s'agissant des règles et mesures de sécurité à mettre en oeuvre, d'autre part en matière de signalement d'incidents. L' article 8 précise les modalités de contrôle, par l'autorité administrative, du respect de ces obligations, tandis que l' article 9 fixe les sanctions encourues par les opérateurs en cas de manquement à ces mêmes obligations.
Enfin, de manière symétrique, les articles 10 à 15 transposent les règles applicables aux fournisseurs de service numérique . Les articles 10 et 11 définissent la notion de fournisseur de service numérique et précisent le champ d'application du nouveau régime qui leur est imposé. Les articles 12 et 13 déterminent les règles imposées aux fournisseurs de service numérique en matière de sécurité des systèmes d'information ainsi que les obligations de signalement d'incident. Enfin, de même que pour les opérateurs économiques essentiels, les articles 14 et 15 précisent les conditions de contrôle de ces fournisseurs ainsi que le régime pénal qui leur est applicable.