II. LES PRINCIPALES OBSERVATIONS DU RAPPORTEUR SPÉCIAL
Dans la continuité de ces dernières années, le renforcement des moyens de la mission « Direction de l'action du Gouvernement » reflète la place croissante accordée aux enjeux relatifs au numérique et à l'écologie. Malgré les nécessaires efforts de maîtrise de la dépense publique, le rapporteur spécial considère l'ensemble de ces moyens supplémentaires comme globalement justifiés au regard de l'importance croissante des enjeux liés à la régulation du numérique.
A. UNE PRIORITÉ ACCORDÉE AUX ENJEUX DU NUMÉRIQUE ET À SA RÉGULATION
1. Un nouveau renforcement des moyens alloués à la cyber-sécurité et à la protection des données personnelles
Depuis une dizaine d'années, un nombre croissant de cyber-attaques touche directement les intérêts de l'État, mais également ceux des collectivités territoriales, des entreprises, de divers établissements publics ou de certains opérateurs d'intérêt vital (hôpitaux, centrales nucléaires...). À titre d'exemple, pas moins de 203 attaques par logiciel de rançon (ou « rançongiciel ») avaient été traitées par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en 2021, soit une hausse de 5 % par rapport à l'année 2020 et un triplement par rapport à l'année 2019. En 2022, l'ANSSI a reçu pas moins de 2 173 signalements et traité 831 incidents.
Nombre d'incidents traités par l'ANSSI entre 2019 et 2021
Catégorie d'incident traité |
2019 |
2020 |
2021 |
Évolution 2019-2021 |
Intrusion |
370 |
759 |
1 057 |
+ 285 % |
Attaque par rançongiciel |
69 |
192 |
203 |
+ 294 % |
Incident majeur |
9 |
7 |
8 |
- |
Source : commission des finances du Sénat, à partir des rapports annuels d'activité de l'ANSSI
Dans ce contexte, le présent projet de loi prévoit un nouveau renforcement des moyens alloués à l'ANSSI, qui bénéficiera d'un schéma d'emplois de 40 ETP supplémentaires en 2024 (après 40 ETP en 2023). L'ANSSI bénéficie désormais de nouveaux locaux, situés à Rennes, à proximité du pôle de cyber-défense du ministère des armées. Cette antenne territoriale aura vocation à accueillir 200 agents, principalement issus de la direction des opérations de l'agence, à l'horizon 2025.
Autre service rattaché au Secrétariat général de la défense et de la sécurité nationale (SGDSN), l'Opérateur des systèmes d'information interministériels classifiés (OSIIC) voit également ses effectifs renforcés avec 10 ETP supplémentaires. De même, le Groupement interministériel de contrôle (GIC), chargé de centraliser les demandes d'autorisation de mise en oeuvre des techniques de renseignement émises par les services, disposera de moyens financiers et d'effectifs nettement accrus, avec 6 ETP supplémentaires, et devrait occuper un nouveau bâtiment à Montrouge, pleinement adapté à son activité au cours du premier semestre 2024.
En outre, la Commission nationale de l'informatique et des libertés (CNIL), qui travaille en étroite coopération avec l'ANSSI sur les sujets relatifs à la protection des données, verra ses effectifs renforcés à hauteur de 10 ETP supplémentaires en 2024 (après 18 ETP en 2023) afin de lui permettre d'exercer sa mission croissante de protection numérique des données (63 % des violations de données reçues par la CNIL en 2022 sont dues à des attaques externes malveillantes).
Enfin, la direction interministérielle du numérique (DINUM) disposera également de moyens supplémentaires significatifs avec + 11,9 millions d'euros en CP pour un budget porté à 45,4 millions d'euros en 2024, ainsi que 30 ETP supplémentaires, en lien avec la mise en oeuvre de sa feuille de route et dont 15 ETP seront réalisés par anticipation en gestion 2023 (après 10 ETP en 2023), notamment pour sécuriser les communications des administrations par internet. En 2024, la DINUM achèvera les investissements nécessaires au déploiement de la nouvelle plateforme interministérielle d'accès à internet et réalisera la refonte du système d'information du réseau interministériel de l'État (RIE), laquelle s'accompagnera d'une assistance auprès des ministères utilisateurs. Un datalab dédié à l'intelligence artificielle au bénéfice des politiques et services publics sera également créé. De même, la DINUM bénéficiera d'une dotation complémentaire de + 2 millions d'euros en AE et en CP par an destinée au développement de nouvelles solutions et outils numériques.
2. La consolidation des moyens alloués à la régulation de la communication audiovisuelle et numérique
Parallèlement au renforcement des moyens alloués à la cyber-sécurité et à la protection des données, le présent projet de loi de finances conforte les moyens consacrés à la régulation des plateformes numériques. Ainsi, l'Autorité de régulation de la communication audiovisuelle et numérique (ARCOM), issue de la fusion au 1er janvier 2022 du Conseil supérieur de l'audiovisuel (CSA) et de la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur internet (HADOPI), se voit accorder des moyens accrus, avec une dotation budgétaire en progression de + 2,1 millions d'euros en AE et en CP (pour un budget de 50,9 millions d'euros) et 10 ETP supplémentaires, portant son plafond d'emplois à 380 ETP pour 2024.
Ce renforcement doit permettre à la fois de consolider les équipes permanentes de l'ARCOM, afin de répondre au cadre législatif et réglementaire déjà existant, et de mettre en oeuvre les nouvelles missions confiées à l'ARCOM, notamment l'application du règlement sur les services numériques (RSN, ou en anglais, Digital Services Act - DSA) dès 2023 pour les très grandes plateformes et son extension à l'ensemble des plateformes courant 2024.
Dans le cadre du projet de loi visant à sécuriser et à réguler l'espace numérique, actuellement en discussion au Parlement, l'ARCOM devrait être désignée coordinateur pour les services numériques (CSN, ou en anglais, Digital Services Coordinator - DSC) pour la France et, ainsi, être chargée de coordonner le contrôle du respect du RSN et de recevoir les plaintes à l'encontre des intermédiaires en ligne.
Le règlement européen sur les services numériques (RSN)
Le 27 octobre 2022, le règlement européen sur les services numériques (Digital Services Act - DSA) a été publié au Journal officiel de l'Union européenne.
Cette législation définit une nouvelle norme à l'échelle européenne en matière de responsabilité des plateformes en ligne, en protégeant mieux les utilisateurs d'internet et leurs droits fondamentaux, suivant un modèle de régulation systémique de ces acteurs similaire à celui mis en place par le cadre français. Entrée en vigueur dès la mi-novembre, cette législation est applicable dans toute l'Union européenne, dès 2023, aux très grandes plateformes et aux très grands moteurs de recherche avant d'être étendue à l'ensemble des opérateurs numériques concernés.
Dans le cadre du projet de loi visant à sécuriser et à réguler l'espace numérique, actuellement en discussion au Parlement, l'ARCOM devrait être désignée coordinateur pour les services numériques (CSN, ou en anglais, Digital Services Coordinator - DSC) pour la France et, ainsi, être chargée de coordonner le contrôle du respect du RSN et de recevoir les plaintes à l'encontre des intermédiaires en ligne.
Source : annexes budgétaires et réponses au questionnaire du rapporteur spécial
L'ARCOM est ainsi appelée à exercer de nouvelles compétences, en lien avec les régulateurs de chaque État-membre, la Commission européenne et l'ensemble des autorités françaises compétentes, dont notamment :
- le contrôle des demandes de blocage, de retrait et de déréférencement des sites et contenus à caractère terroriste ou pédopornographique2(*) ;
- la protection des mineurs à l'égard des communications commerciales relatives aux jeux d'argent3(*) ;
- la protection des mineurs à l'égard de leur utilisation des réseaux sociaux4(*) ;
- enfin, le contrôle de l'accessibilité pour les personnes en situation de handicap, compétence qui devrait prochainement être étendue aux sites internet des acteurs publics5(*).
* 2 Loi n° 2022-1159 du 16 août 2022 portant transposition du règlement européen du 29 avril 2021 relatif à la lutte contre la diffusion des contenus à caractère terroriste en ligne.
* 3 Loi n° 2023-451 du 9 juin 2023 visant à encadrer l'influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux.
* 4 Loi n° 2023-566 du 7 juillet 2023 visant à instaurer une majorité numérique et à lutter contre la haine en ligne.
* 5 Loi n° 2023-171 du 9 mars 2023 portant diverses dispositions d'adaptation au droit de l'Union européenne dans les domaines de l'économie, de la santé, du travail, des transports et de l'agriculture.