EXAMEN EN COMMISSION
Réunie le mercredi 16 février 2022, la commission a examiné le rapport de Mme Anne-Catherine Loisier sur la proposition de loi n° 226 (2021-2022), examinée en deuxième lecture, pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public.
Mme Sophie Primas , présidente . - Nous examinons à présent, en deuxième lecture, la proposition de loi de M. Laurent Lafon, président de la commission de la culture, de l'éducation et de la communication du Sénat, pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public.
Mme Anne-Catherine Loisier , rapporteure . - Le dispositif envisagé s'apparente à un « Nutriscore » de la cybersécurité, que nous avons appelé « Cyberscore » et qui doit permettre aux consommateurs usagers d'être mieux informés quant à la protection de leurs données en ligne.
Notre quotidien est de plus en plus virtuel. Nous communiquons par l'intermédiaire de messageries instantanées et, depuis le début de la pandémie, nous travaillons de plus en plus à l'aide de logiciels de visioconférence. Nous nous informons en ligne en consultant les résultats des moteurs de recherche. Nous interagissons sur les réseaux sociaux et nous téléchargeons des applications toujours plus nombreuses pour répondre à nos différents besoins et nous divertir. Mais nous n'avons pas toujours une bonne connaissance des risques qu'entraîne cet usage accru du numérique et une bonne maîtrise des pratiques de sécurité, qui doivent pourtant aller de pair.
Les fuites de données, les piratages des comptes, les escroqueries en ligne, les attaques malveillantes et les failles dans la cybersécurité des entreprises, des hôpitaux, des collectivités territoriales et des administrations sont malheureusement de plus en plus fréquents.
Selon les résultats des récents travaux de la délégation aux entreprises du Sénat sur la cybersécurité des entreprises, en 2020, 43 % des petites et moyennes entreprises (PME) françaises ont constaté un incident de cybersécurité ; 16 % des cyberattaques ont menacé la viabilité même d'une entreprise et les attaques au rançongiciel ont été multipliées par quatre entre 2020 et 2021.
Si tous ces incidents et scandales nous sensibilisent toujours davantage aux enjeux liés à la protection de nos données, nos habitudes de consommation et nos pratiques de production n'évoluent pas comme elles le devraient.
Plusieurs législations nationales et européennes concernent la protection des données, mais les textes en vigueur sont finalement peu orientés vers l'information des consommateurs. C'est cette carence que le présent texte entend combler en créant un dispositif simple, lisible et facilement compréhensible informant les consommateurs du niveau de cybersécurité des solutions numériques qu'ils utilisent.
L'article 1 er est relatif au dispositif envisagé, à savoir le Cyberscore.
Le premier enjeu concerne le périmètre d'application.
Alors que la rédaction initiale désignait les opérateurs de plateforme en ligne, nous avions adopté, à l'issue de l'examen en première lecture au Sénat, un périmètre plus large applicable aux fournisseurs de services de communication au public en ligne. Nous avions alors retenu comme cible principale les logiciels de visioconférence, au regard de la généralisation de leur utilisation depuis le début de la crise sanitaire.
Après plusieurs modifications et de nombreuses hésitations du Gouvernement, c'est la notion d'opérateurs de plateforme en ligne qu'a finalement retenue l'Assemblée nationale. Le périmètre a été complété afin d'inclure les systèmes de messagerie instantanée et de visioconférence, conformément à notre souhait initial.
Un décret d'application viendra définir les seuils d'activité au-delà desquels ces acteurs seront concernés. J'insiste, notre cible initiale, c'étaient les plateformes et les services de communication les plus utilisés. À cet égard, la rédaction issue de l'Assemblée nationale satisfait nos attentes.
Le deuxième enjeu à l'article 1 er concerne la nature et la dénomination du dispositif.
Au Sénat, nous avions souhaité que ce dispositif ne soit pas trop contraignant ou trop coûteux : il ne faudrait pas qu'il pénalise les très petites entreprises (TPE), les PME ou les start-ups innovantes en matière de services en ligne. À l'Assemblée nationale, la commission des affaires économiques avait adopté un dispositif contraignant de certification par l'Agence nationale de sécurité des systèmes d'information (Anssi). En séance, un équilibre a été trouvé pour que le dispositif de Cyberscore soit, en fait, un « audit de cybersécurité » réalisé par des prestataires agréés de l'Anssi. La notion d'audit se rapproche davantage de ce que nous entendions par diagnostic et permettra des mises à jour régulières. L'équilibre trouvé à l'Assemblée nationale me semble donc également satisfaisant.
Le troisième enjeu à l'article 1 er concerne le contenu de cet audit de cybersécurité, qui doit être défini par un arrêté ministériel.
Sous l'impulsion du rapporteur de l'Assemblée nationale et contre l'avis du Gouvernement, nos collègues députés ont adopté un amendement tendant à indiquer que cet audit doit porter sur la sécurisation et la localisation des données. Il s'agit là d'une précision importante, car la localisation permet de déterminer le régime juridique applicable. Une localisation au sein de l'Union européenne est une meilleure garantie de pouvoir bénéficier des protections permises par le droit communautaire et le règlement général sur la protection des données (RGPD). C'est un enjeu, non seulement de sécurité, mais aussi de souveraineté numérique.
Toutefois, la localisation ne peut pas être le seul critère pour apprécier les standards de sécurité de l'hébergement des données. Certaines données sont hébergées de manière sécurisée en dehors de l'Union européenne. À l'inverse, dans certains pays de l'Union, comme l'Irlande, le degré de protection des données est insatisfaisant.
C'est pourquoi il importe que la Commission européenne puisse prendre des décisions d'adéquation ou de standard attestant que le niveau de protection des données dans un pays tiers est au moins équivalent à celui permis, majoritairement, par le droit de l'Union. Une telle décision d'adéquation à l'égard des États-Unis a par exemple été invalidée par la Cour de justice de l'Union européenne (CJUE) dans l'arrêt Privacy Shield de 2020.
On ne saurait l'ignorer : les données peuvent être stockées sur des serveurs et dans des centres de données situés dans l'Union européenne, mais hébergées par des logiciels de cloud américains. On touche là les limites de la stratégie actuelle du Gouvernement et de son label « cloud de confiance », accordé alors que des entreprises utilisent des licences de logiciels américains. Nous devrons donc être vigilants sur ce point et suivre avec attention l'élaboration de l'arrêté ministériel qui définira le contenu du futur audit de cybersécurité.
Malgré ces réserves, le texte voté par l'Assemblée nationale est acceptable.
Le quatrième et dernier enjeu à l'article 1 er concerne les modalités d'information aux consommateurs et de présentation du dispositif.
Au Sénat, nous avions opté pour un dispositif lisible, clair et compréhensible, grâce au système coloriel qui s'inspire de la présentation que nous connaissons avec le Nutriscore. Nos collègues députés ont maintenu ces dispositions.
L'article 2 visait à modifier les règles applicables à la commande publique pour prendre en compte des « impératifs de cybersécurité ». En commission, nous avions émis certaines réserves quant à la validité juridique de ces dispositions, qui ont été supprimées en séance. L'Assemblée nationale n'est pas revenue sur ces suppressions, ce qui permet de centrer le texte sur l'information des consommateurs.
Enfin, un troisième article a été ajouté à l'Assemblée nationale afin de prévoir un délai d'entrée en vigueur, fixé au 1 er octobre 2023. Cette échéance peut sembler lointaine, mais la réalisation d'un audit de cybersécurité est à la fois inédite et très technique. La définition du périmètre d'application nécessitera donc beaucoup de concertations. De ce fait, l'introduction d'un tel délai me semble justifiée.
Les mesures réglementaires d'application sont nombreuses et le Gouvernement nous a indiqué que des consultations seraient menées pour préparer leur élaboration. Nous le lui rappellerons : il est indispensable que les parlementaires, et plus particulièrement les sénateurs, qui ont pris l'initiative de ce texte, soient associés à ces consultations.
Cette proposition de loi a été notifiée à la Commission européenne à l'issue de son examen en première lecture, conformément aux exigences de la directive européenne de 2015 relative aux services de la société de l'information. Dans l'éventualité où des observations seraient formulées, le Gouvernement devra transmettre ces informations au Parlement. Les consultations liées à l'élaboration des mesures réglementaires d'application permettront de prendre en compte les remarques de la Commission européenne et des autres États membres. Nous y serons attentifs.
Ainsi, au-delà de quelques points d'alerte, les modifications votées par l'Assemblée nationale nous semblent aller dans le bon sens. Je vous propose donc un vote conforme.
M. Jean-Pierre Moga . - Je tiens à féliciter notre rapporteure ; les élus de notre groupe voteront ce texte conforme.
EXAMEN DES ARTICLES
Article 1er
L'article 1 er est adopté sans modification.
Article 3
L'article 3 est adopté sans modification.
La proposition de loi est adoptée sans modification.