M. le président. L’amendement n° 54, présenté par MM. Dossus, Mellouli, Benarroche, G. Blanc et Dantec, Mme de Marco, MM. Fernique et Gontard, Mme Guhl, M. Jadot, Mmes Ollivier et Poncet Monge, M. Salmon, Mmes Senée, Souyris, M. Vogel et les membres du groupe Écologiste - Solidarité et Territoires, est ainsi libellé :
I. - Avant l’article 5
Insérer un article additionnel ainsi rédigé :
L’État met en place un plan national d’accompagnement au renforcement de la cybersécurité sur cinq ans qui identifie les compétences nécessaires et les besoins de formations sur les territoires.
Un volet de ce plan est consacré à l’accompagnement technique et financier des TPE et PME, ainsi qu’aux villes moyennes et petites intercommunalités.
Le plan clarifie le rôle des centres de réponse aux incidents de sécurité informatique territoriaux, et leur financement, dans l’accompagnement des entités nouvellement soumises à la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) et la mutualisation des moyens des collectivités.
Un bilan de la mise en œuvre de la directive est réalisé deux ans après la promulgation de la présente loi pour évaluer les difficultés et ajuster les mesures d’accompagnement.
II. – En conséquence, faire précéder cet article d’une division additionnelle et de son intitulé ainsi rédigés :
Chapitre…
De l’accompagnement des entités soumises à des exigences renforcées de cybersécurité
La parole est à M. Thomas Dossus.
M. Thomas Dossus. La transposition, par ce projet de loi, des directives NIS 2 et REC va considérablement accroître le nombre d’entités régulées en France, celui-ci passant de 500 dans le cadre de NIS 1 à près de 15 000 après l’adoption de ce texte, selon l’exposé des motifs. Cette augmentation massive concerne une grande diversité d’acteurs, une majorité étant des PME-TPE et des collectivités territoriales.
Il est ressorti des nombreuses auditions menées par la commission spéciale qu’un accompagnement était absolument nécessaire d’un point de vue tant technique – pour la mise en place de mesures de sécurité et la bonne compréhension des obligations – que financier, avec l’investissement nécessaire dans la cybersécurité et le besoin de recrutement, de formation ou de sensibilisation. Sans un soutien adéquat, le risque est grand que l’application de ce texte se fasse de façon inégale et potentiellement inefficace, avec un développement des vulnérabilités.
C’est pourquoi nous prévoyons un plan national permettant de structurer cet accompagnement pendant une durée de cinq ans en prévoyant divers dispositifs, notamment : l’identification précise des compétences nécessaires ; la mise en place d’un soutien technique concret pour aider les entités à évaluer leurs risques ; la définition des mécanismes d’aide financière ciblés pour les PME-TPE et les collectivités territoriales ; la clarification du rôle et du financement des centres de réponse aux incidents de sécurité informatique territoriaux ; et la réalisation d’un bilan de la mise en œuvre de la directive deux ans après sa promulgation, afin d’évaluer les difficultés rencontrées et d’ajuster les mesures d’accompagnement en fonction des besoins constatés sur le terrain.
Un accompagnement progressif nous paraît essentiel pour garantir une mise en conformité efficace et éviter d’imposer des charges disproportionnées aux plus petites structures, tout en assurant une élévation générale du niveau de cybersécurité.
M. le président. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur de la commission spéciale sur le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. Cet amendement semble satisfait par l’article 5 bis introduit par la commission spéciale qui prévoit l’élaboration d’une stratégie nationale en matière de cybersécurité.
Dans le contexte de la transposition de la directive NIS 2, cette stratégie devra bien sûr revenir en détail sur l’indispensable accompagnement des PME-TPE et des collectivités territoriales dans leur montée en maturité cyber.
C’est la raison pour laquelle la commission spéciale demande le retrait de cet amendement ; à défaut, elle émettra un avis défavorable.
M. le président. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. Le Gouvernement demande également le retrait de cet amendement, pour les raisons avancées par le rapporteur, mais aussi au regard d’un certain nombre d’autres éléments.
L’accompagnement des entités est au cœur du dispositif de ce projet de loi, j’ai eu l’occasion de le rappeler. C’est un impératif bien identifié sur lequel le Gouvernement est pleinement mobilisé. J’ai demandé à l’Anssi d’entamer un certain nombre d’actions en la matière qui seront progressivement mises en place : MonEspaceNIS2, Cyber PME et MonAideCyber, autant de dispositifs qui prévoient déjà un accompagnement.
Je souhaite aller plus loin et avoir l’assurance que nous communiquerons avec toutes les entités qui seront assujetties au texte, pour les accompagner de façon proactive et les sensibiliser via l’accompagnement de tous les réseaux qui sont mobilisés par le texte : je pense aux associations d’élus, mais aussi aux fédérations syndicales et professionnelles. Nous sommes à l’œuvre afin que ces entités puissent se saisir pleinement des obligations qui sont les leurs.
Cependant, tout cela ne peut figurer dans la loi. En outre, dans cet amendement, il est fait référence aux TPE ; or, dans la mesure où elles sont composées de moins de 50 équivalents temps plein (ETP), celles-ci ne sont pas assujetties aux dispositions du texte.
M. le président. Je mets aux voix l’amendement n° 54.
(L’amendement n’est pas adopté.)
TITRE II
CYBERSÉCURITÉ
Chapitre Ier
De l’autorité nationale de sécurité des systèmes d’information
Article 5
L’autorité nationale de sécurité des systèmes d’information mentionnée à l’article L. 2321-1 du code de la défense est chargée de la mise en œuvre de la politique du Gouvernement en matière de sécurité des systèmes d’information régie par le présent titre et de son contrôle.
Le Premier ministre peut désigner un organisme autre que l’autorité nationale de sécurité des systèmes d’information mentionnée au premier alinéa pour exercer à l’égard de certaines entités, à raison de leur activité dans le domaine de la défense, certaines des responsabilités de cette autorité prévues par le présent titre.
Les missions de l’autorité nationale et des organismes désignés par le Premier ministre ainsi que leurs conditions d’exercice sont précisées par décret en Conseil d’État. Ces missions comprennent notamment l’accompagnement et le soutien au développement de la filière cybersécurité en coordination avec les ministères compétents.
M. le président. La parole est à Mme Catherine Morin-Desailly, sur l’article.
Mme Catherine Morin-Desailly. Cela a été dit, nos collectivités territoriales, nos hôpitaux et nos entreprises subissent de plus en plus de cyberattaques qui emportent de nombreuses conséquences : coût des réparations, interruption des services ou de l’activité pouvant avoir des conséquences graves, vol de données. Le travail de transposition des directives européennes réalisé aujourd’hui est donc crucial pour que l’ensemble des États membres de l’Union européenne disposent d’un niveau de protection efficace et harmonisé.
En France, c’est l’Anssi, en première ligne dans l’application de la directive NIS 2, qui devra relever au moins deux grands défis.
Le premier défi est celui de l’appropriation par les entités concernées de leurs nouvelles obligations. L’Agence devra construire un cadre de confiance avec les entreprises et les près de 1 500 collectivités territoriales concernées ; pour ces dernières, la mise en conformité nécessitera d’importants moyens humains et financiers. Le Gouvernement devra donc les accompagner dans le cadre des prochaines lois de finances. Cela doit faire partie de l’effort global de défense dont M. Lecornu n’a pas manqué de parler ces derniers jours. Vous l’avez rappelé, madame la ministre, la menace est grande, la guerre est bien hybride et les menaces cyber, très nombreuses.
Par conséquent, nous attendons aussi du Gouvernement qu’il énonce clairement sa stratégie cyber. Nous la demandons depuis des années. La mission commune d’information créée sur l’initiative du groupe Union Centriste dont j’étais la rapporteure en 2014 plaidait déjà pour une gouvernance stratégique du secteur numérique et une montée en compétences du plus grand nombre.
L’article 5 bis conduisant à l’élaboration d’une stratégie nationale par le Premier ministre, introduit par voie d’amendement par la commission spéciale, est fondamental.
Le second défi à relever concerne la mise en œuvre, enfin, au-delà des plans Draghi, d’une industrie française et européenne compétitive, susceptible de répondre à la demande qui découlera de l’application des directives. Nos entreprises fournissent des solutions fiables et imperméables aux lois extraterritoriales. Elles doivent prioritairement bénéficier de l’effet de ruissellement suscité par la loi. Il y a là un enjeu économique d’emploi, mais aussi de souveraineté.
C’est la raison pour laquelle j’ai absolument tenu à préciser que les missions de l’Anssi comprennent aussi l’accompagnement et le soutien au développement de la filière cybersécurité en coordination avec les ministères concernés.
Je remercie les rapporteurs et les membres de la commission spéciale d’avoir soutenu cet amendement.
M. le président. Je mets aux voix l’article 5.
(L’article 5 est adopté.)
Article 5 bis (nouveau)
Afin de parvenir à un niveau élevé de cybersécurité et de le maintenir, le Premier ministre élabore une stratégie nationale en matière de cybersécurité, qui comprend notamment :
1° Les objectifs et priorités de la Nation en matière de cybersécurité, couvrant en particulier les secteurs mentionnés à l’article 7 ;
2° Une liste des différents acteurs et autorités concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité ;
3° Un cadre de gouvernance visant une coordination renforcée entre les acteurs et autorités définis au 2° dans le but d’atteindre les objectifs et priorités mentionnés au 1° ;
4° Un inventaire des mesures garantissant le partage d’informations par les acteurs et autorités mentionnés au 2° sur les risques, les menaces et les incidents en matière de cybersécurité ainsi que la préparation, la réaction et la récupération des services après incident ;
5° Un plan comprenant les mesures nécessaires en vue d’améliorer le niveau général de sensibilisation des entreprises, des administrations publiques et des citoyens à la cybersécurité ;
6° Les indicateurs clés de performance aux fins de l’évaluation de la mise en œuvre de la stratégie nationale en matière de cybersécurité.
La stratégie nationale en matière de cybersécurité est mise à jour au moins tous les trois ans.
À compter de 2026 et tous les deux ans, le Gouvernement remet au Parlement, avant le 30 septembre des années concernées, un rapport sur la mise en œuvre de la stratégie nationale en matière de cybersécurité. Ce rapport précise notamment l’évolution des indices de performance définis par ladite stratégie.
M. le président. L’amendement n° 65, présenté par Mme Gréaume, M. Gay et les membres du groupe Communiste Républicain Citoyen et Écologiste – Kanaky, est ainsi libellé :
I. – Alinéa 1
Rédiger ainsi cet alinéa :
Afin de parvenir à un niveau élevé de souveraineté numérique et de le maintenir, le Premier ministre élabore une stratégie nationale, notamment en matière de cybersécurité, qui comprend notamment :
II. - Après l’alinéa 6
Insérer quatre alinéas ainsi rédigés :
…° Un plan de financement de la formation et de la recherche en matière de cyber sécurité ;
…° Un plan permettant de financer une véritable doctrine de l’autonomie technologique maximale en matière de renseignement et de cyberdéfense, en faisant du recours à des technologies extra-européennes une exception devant être motivée ;
…° Une évaluation du coût de notre dépendance aux solutions numériques extra-européennes ;
…° Une évaluation fine de l’externalisation des services numériques au sens large et du recours aux prestations intellectuelles informatiques par l’État, les organismes publics et les collectivités territoriales ;
La parole est à M. Fabien Gay.
M. Fabien Gay. Il ne peut y avoir de stratégie nationale en matière de cybersécurité sans souveraineté numérique.
Au vu des bouleversements mondiaux – nul besoin d’en dire plus –, on ne peut pas se résigner ou être réduit à acheter ou louer des solutions extérieures, surtout américaines, notamment pour le cloud. Nous devons passer d’une stratégie numérique de la confiance à une stratégie de la souveraineté, en procédant à une évaluation fine de notre dépendance afin d’y remédier. À l’instar du Conseil d’État, nous appelons à un arrêt de l’externalisation en faveur d’un « capitalisme des plateformes ».
Je profite du temps qui me reste pour interroger Mme la ministre. Ce texte n’est pas que technique : on ne peut pas parler de cybersécurité sans évoquer les entreprises et les salariés qui la font vivre. À cet égard, que compte faire le Gouvernement s’agissant d’Atos ?
Madame la ministre, vous êtes en négociation sur les supercalculateurs jusqu’au 25 mai prochain – nous nous en réjouissons tous. Pour autant, il s’agit d’une grande entreprise, qui compte 10 000 salariés en France, 130 000 dans le monde ; elle est l’un des leaders en infogérance, dans le cloud et en cybersécurité.
Faut-il laisser des acteurs privés dépecer l’entreprise ou intervenir au minimum ? Certains plaident pour la nationalisation complète. Pour notre part, dans le cadre d’une mission d’information sur la situation et l’avenir du groupe Atos conduite par un sénateur du groupe socialiste, un sénateur et une sénatrice du groupe Les Républicains et moi-même, nous avons plaidé pour une entrée au capital à hauteur de 15 % pour sauver l’entreprise.
M. le président. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. La stratégie nationale en matière de cybersécurité devra avant tout se concentrer sur les moyens de protéger nos entreprises, nos administrations et nos collectivités territoriales contre les attaques cyber qui peuvent paralyser leurs services et lourdement les pénaliser, tout comme leurs utilisateurs.
Il faut bien sûr encourager parallèlement le développement en France de l’écosystème des entreprises spécialisées en matière de cybersécurité, mais il ne paraît en pratique pas possible de prétendre avoir recours uniquement à des technologies françaises ou européennes.
Pour ce qui relève de la souveraineté numérique, je propose à Fabien Gay de voter en faveur de l’amendement n° 36 que nous examinerons dans quelques instants et qui répond à sa demande.
C’est pourquoi la commission spéciale demande le retrait de l’amendement n° 65 au profit de l’amendement n° 36 ; à défaut, elle émettra un avis défavorable.
M. le président. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. Monsieur le sénateur, vous mentionnez l’importance de la stratégie cyber. Je vous rejoins sur ce point. Elle a été présentée pour la première fois en 2015, réactualisée en 2018 et en 2021 ; le Président de la République a annoncé à la fin de l’année dernière qu’elle le serait de nouveau cette année.
L’Anssi et le secrétariat général de la défense et de la sécurité nationale (SGDSN) vous apporteront plus de précisions sur ces stratégies, qui visent à avancer dans trois domaines : une réponse à la menace, une sécurisation de notre nation et une protection de nos entités critiques – nous parlons de ce dernier point aujourd’hui.
Après des discussions avec la commission spéciale, le Gouvernement a fait le choix d’ajouter la mention de la stratégie nationale en matière de cybersécurité dans ce projet de loi, conformément à votre souhait, monsieur le rapporteur, alors que telle n’était pas son intention initiale.
Pour autant, le Gouvernement demande le retrait de l’amendement n° 65 au profit de l’amendement n° 96 qu’il a déposé et qui vise lui aussi à définir cette stratégie. Il nous semble important que cette définition se concentre sur des objets stratégiques – les objectifs, la gouvernance, les indicateurs –, afin de pouvoir en rendre compte devant le Parlement.
L’ajout de plans divers ou autres précisions ne paraît pas relever du niveau stratégique qui est celui que le Gouvernement vise dans l’amendement n° 96. Cette stratégie pourra être déclinée en mesures sectorielles, mais il n’est pas nécessaire que cela figure dans la loi.
M. le président. La parole est à M. Fabien Gay, pour explication de vote.
M. Fabien Gay. Monsieur le rapporteur, nous avons présenté cet amendement sans préciser que tout devait relever de l’échelon français, ni même européen. Nous appelons à dresser la liste des dépendances et à les évaluer afin d’envisager comment les réduire d’ici cinq ou dix ans et de voir s’il existe une solution française, voire européenne. Évidemment, dans un certain nombre de domaines, nous serons obligés de coopérer. Vous avez bien perçu la nuance : nous n’appelons pas à nous priver dès demain de toute solution extérieure au profit de réponses franco-françaises.
Madame la ministre, je vous remercie d’avoir répondu complètement à côté de ma question… Je sais qu’il faut aller vite, qu’il est déjà tard, qu’il ne faut pas retarder les débats, mais le sujet est important et le Sénat n’est pas une assemblée technique : on peut sortir de ses fiches !
Comment avoir un débat sur la cybersécurité sans parler du réel ? Que fait-on de l’entreprise Atos, qui, je le répète, compte 10 000 salariés en France, 130 000 dans le monde ? D’accord, l’État veut sauver les supercalculateurs ; nous nous en réjouissons, nous le redisons.
Atos est un leader dans le domaine de la cybersécurité et de l’infogérance informatique, qui s’est notamment occupé des jeux Olympiques et gère de nombreux ministères. D’ailleurs, certains appels d’offres ne sont pas renouvelés. J’interpelle donc le Gouvernement. Continuons-nous à ne pas renouveler les appels d’offres qu’a remportés Atos et à les attribuer à d’autres ? C’est tout de même une question dont on devrait débattre ici !
La cybersécurité ne se réduit pas à des aspects techniques : il faut entrer dans le réel, y compris celui des 10 000 salariés qui font cette entreprise.
Après, ce n’est pas grave : je ne voulais secouer personne, surtout pas Mme la ministre qui n’était pas prête à répondre à cette question…
M. le président. La parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée. Monsieur le sénateur, vos propos me surprennent. L’amendement que vous avez déposé concerne la stratégie nationale en matière de cybersécurité.
La question que vous posez à propos d’Atos a été jugée irrecevable dans le cadre de ce débat.
M. Fabien Gay. Donc on n’en reparle pas ? Excusez-moi !
Mme Clara Chappaz, ministre déléguée. Vous avez présenté un amendement sur la stratégie, je vous réponds donc sur la stratégie.
La question d’Atos est importante, mais elle n’est pas l’objet de nos discussions et ne relève pas de ce texte. C’est pourquoi je vous invite à la poser à d’autres occasions, qui sont nombreuses, par exemple dans le cadre d’une séance de questions d’actualité au Gouvernement.
Mme Catherine Morin-Desailly. Je vais suivre l’avis du rapporteur, car il s’agit ici de transposer trois directives portant sur les questions de cybersécurité, de cyberdéfense et de cyberrésilience. Cela étant, pour avoir travaillé pendant de nombreuses années sur ces sujets, je comprends parfaitement les questions qui ont été posées par mon collègue.
J’ai l’impression de radoter en le répétant, mais depuis 2013, la commission des affaires européennes du Sénat a mis ce sujet sur la table et a dénoncé, gouvernement après gouvernement, l’absence totale de stratégie globale et offensive en faveur de la souveraineté numérique. Aujourd’hui, on pleure parce qu’on se rend compte, dans le nouveau contexte international, que nos dépendances technologiques sont très dangereuses. Elles nous menacent désormais directement, et nos infrastructures sont particulièrement vulnérables.
Si nous ne nous réarmons pas, tant sur le plan militaire que sur le plan cyber, nous serons mal, c’est vrai. Sébastien Lecornu l’a d’ailleurs rappelé ce week-end : nous pouvons avoir l’arme de dissuasion nucléaire, mais si nous ne sommes pas du tout équipés en matière de cybersécurité, nous avons déjà perdu la guerre.
Je comprends donc l’agacement de certains collègues, madame la ministre déléguée, car nous avons alerté à maintes reprises sur ces enjeux, à travers des résolutions européennes. Bien sûr, la France n’est pas seule responsable, puisque ce secteur est régulé par l’Union européenne. Mais, pour reprendre l’expression de la journaliste Maria Ressa, nous avons remporté ce qu’elle a appelé « la course des tortues ». Nous avons fini par réglementer, en adoptant le règlement européen sur les services numériques (DSA) et le règlement sur les marchés numériques (DMA), afin de créer des conditions plus équitables d’émergence de nos propres entreprises.
Toutefois, le chemin reste long, et nous avons encore énormément de travail pour enfin mettre en place une politique industrielle ambitieuse, laquelle nous fait cruellement défaut et devrait être notre priorité absolue, aux côtés des réglementations.
Pour autant, je respecte la logique du texte et les priorités qu’il fixe. Gardons néanmoins en tête l’ampleur de la tâche qui nous attend. (M. Mickaël Vallet applaudit.)
M. le président. Madame la ministre, mes chers collègues, il est minuit. Je vous propose de prolonger notre séance jusqu’à minuit et demi.
Il n’y a pas d’observation ?…
Il en est ainsi décidé.
Je suis saisi de deux amendements faisant l’objet d’une discussion commune.
L’amendement n° 96, présenté par le Gouvernement, est ainsi libellé :
I. – Alinéa 2
Supprimer les mots :
, couvrant en particulier les secteurs mentionnés à l’article 7
II. – Alinéas 3, 5 et 6
Supprimer ces alinéas
III. - Alinéa 4
Remplacer les mots :
définis au 2°
par les mots :
concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité
La parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée. J’ai déjà évoqué cet amendement, qui vise à compléter les ajouts pertinents de la commission spéciale en intégrant explicitement la notion de stratégie dans le texte, conformément à ce qui était prévu par la directive. Il tend aussi à préciser ce que doit contenir cette stratégie : ses objectifs, son cadre de gouvernance et les indicateurs de performance sur lesquels nous pourrons nous appuyer pour l’évaluer.
J’en profite pour rebondir sur votre propos, madame la sénatrice. Depuis de nombreuses années, le Gouvernement défend, notamment à l’échelon européen, l’ambition de construire notre souveraineté technologique et numérique, tout en renforçant notre résilience. C’est absolument essentiel.
Les discours que nous entendons aujourd’hui à l’échelle européenne montrent que cette politique industrielle et cette vision commencent à porter leurs fruits. Elles intègrent désormais pleinement des exigences en matière de cybersécurité. L’appui à notre écosystème numérique, comme je l’ai souligné dans mon propos liminaire, est une véritable priorité.
M. le président. L’amendement n° 39, présenté par M. M. Vallet, Mmes Linkenheld et Blatrix Contat, M. Cardon, Mmes Conway-Mouret et Narassiguin, M. Ros et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :
Alinéa 6
Après le mot :
publiques
Insérer les mots :
, des communes
La parole est à M. Mickaël Vallet.
M. Mickaël Vallet. Cet amendement porte sur la diffusion et l’intégration de la culture du risque jusqu’à l’échelon communal. J’avais proposé à la commission spéciale un amendement visant à inclure la question du risque cyber dans les plans communaux de sauvegarde, mais celui-ci a été déclaré irrecevable en application de l’article 40 de la Constitution.
Cette fois, l’amendement soutenu par le groupe Socialiste, Écologiste et Républicain tend à prévoir que la stratégie nationale en matière de cybersécurité mentionne explicitement les communes, afin que l’échelon communal soit pleinement pris en compte, accompagné et intégré dans le dispositif.
Nous savons tous à quel point la question du risque cyber concerne les communes, comme en attestent les incidents qui ont touché nos départements ces dernières années.
M. le président. Quel est l’avis de la commission spéciale sur ces deux amendements ?
M. Patrick Chaize, rapporteur. La commission spéciale a émis un avis défavorable sur l’amendement n° 96. Le Gouvernement propose en effet de revenir sur le texte qu’elle avait adopté en supprimant plusieurs alinéas de l’article 5 bis. Or ces dispositions sont essentielles, notamment celles qui précisent que la stratégie nationale en matière de cybersécurité comprend un cadre de gouvernance, un plan de sensibilisation à destination des entreprises, des administrations publiques et des citoyens, ainsi que des indicateurs clés de performance permettant d’évaluer la mise en œuvre de cette stratégie.
L’amendement n° 39 semble satisfait par l’alinéa 6 de l’article 5 bis, qui mentionne explicitement les administrations publiques, qui incluent les collectivités territoriales et leurs groupements. En conséquence, la commission spéciale en demande le retrait ; à défaut, elle émettra un avis défavorable sur son adoption.
M. le président. Quel est l’avis du Gouvernement sur l’amendement n° 39 ?
Mme Clara Chappaz, ministre déléguée. Le Gouvernement demande son retrait au profit de l’amendement n° 96.
M. le président. La parole est à Mme Audrey Linkenheld, pour explication de vote.
Mme Audrey Linkenheld. Je souhaite expliquer mon vote sur l’amendement du Gouvernement pour témoigner de la surprise qui est la mienne et rejoindre l’avis du rapporteur.
Nous avons collectivement admis qu’il était nécessaire d’inscrire dans ce projet de loi la notion de stratégie nationale en matière de cybersécurité. Je trouve extrêmement surprenant, madame la ministre, que vous nous expliquiez qu’une telle stratégie ne concernerait pas ce qui fait Nation, en particulier les collectivités locales.
Vous avez eu l’occasion de vous rendre dans ma commune. Je vous ai relaté l’incident que j’ai également évoqué à la tribune : la cyberattaque dont a été victime la ville de Lille. Vous avez aussi visité notre campus cyber, le premier en région, et constaté les besoins d’accompagnement et de sensibilisation, notamment pour les collectivités locales. Vous les avez vus et vous avez souscrit à leurs demandes. Alors, comment allons-nous expliquer demain à ces collectivités territoriales qu’elles ne relèveraient pas de la stratégie nationale en matière de cybersécurité ? Même question pour les entreprises, d’ailleurs…
La commune que j’évoquais, victime d’une cyberattaque, est aujourd’hui soumise à un contrôle de la chambre régionale des comptes. Je ne m’étendrai pas davantage sur ce point, n’ayant pas compétence pour en parler ici. Mais savez-vous ce que la chambre régionale des comptes demande à cette collectivité territoriale ? Une stratégie en matière de cybersécurité ! Et demain, nous devrions affirmer que les stratégies locales en matière de cybersécurité n’ont aucun lien avec la stratégie nationale ? Que tout ce que nous avons dit sur la nécessité d’un accompagnement technique et financier, à la fois public et privé, au niveau local, n’aurait rien à voir avec cette stratégie nationale ?
Cela me semble absolument incompréhensible pour l’ensemble des entités concernées par ce projet de loi, alors même que nous partageons tous l’objectif de cyberrésilience et de cyberprotection. C’est la raison pour laquelle je ne comprends pas cet amendement. Notre groupe ne le votera pas.