M. Cédric Perrin. Et des lobbies !
M. Olivier Cadic. En l’occurrence, je défends la confiance dans nos réseaux et dans le numérique. C’est le gage de notre sécurité.
Mme la présidente. Je mets aux voix l’amendement n° 1 rectifié quinquies.
J’ai été saisie d’une demande de scrutin public émanant du groupe Union Centriste.
Je rappelle que la commission spéciale et le Gouvernement ont demandé le retrait de cet amendement.
Il va être procédé au scrutin dans les conditions fixées par l’article 56 du règlement.
Le scrutin est ouvert.
(Le scrutin a lieu.)
Mme la présidente. Personne ne demande plus à voter ?…
Le scrutin est clos.
J’invite Mmes et MM. les secrétaires à constater le résultat du scrutin.
(Mmes et MM. les secrétaires constatent le résultat du scrutin.)
Mme la présidente. Voici, compte tenu de l’ensemble des délégations de vote accordées par les sénateurs aux groupes politiques et notifiées à la présidence, le résultat du scrutin n° 227 :
Nombre de votants | 334 |
Nombre de suffrages exprimés | 315 |
Pour l’adoption | 181 |
Contre | 134 |
Le Sénat a adopté.
En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 16. (Applaudissements sur les travées des groupes UC et GEST, ainsi que sur des travées du groupe SER.)
Article 17
Les personnes mentionnées à l’article 14 notifient sans retard injustifié à l’autorité nationale de sécurité des systèmes d’information tout incident ayant un impact important sur la fourniture de leurs services.
Un incident est considéré comme important si :
1° Il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour la personne concernée ;
2° Il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.
Les personnes mentionnées à l’article 14 soumettent à l’autorité nationale de sécurité des systèmes d’information :
a) Sans retard injustifié et au plus tard dans les vingt-quatre heures après avoir eu connaissance de l’incident important, une notification initiale qui, le cas échéant indique si l’incident important est susceptible d’avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir un impact en dehors du territoire national ;
b) Sans retard injustifié et au plus tard dans les soixante-douze heures après avoir eu connaissance de l’incident important, une notification intermédiaire qui, le cas échéant, met à jour les informations mentionnées au a, et fournit une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission lorsqu’ils sont disponibles. Par dérogation, les entités mentionnées au 4° de l’article 8 et au 3° de l’article 9 procèdent à cette notification sans retard injustifié et au plus tard dans les vingt-quatre heures après avoir eu connaissance de l’incident important ayant un impact sur la fourniture de leurs services de confiance ;
c) À la demande de l’autorité nationale de sécurité des systèmes d’information, un rapport sur les mises à jour pertinentes de la situation ;
d) Au plus tard un mois après la notification intermédiaire mentionnée au b, un rapport final, sous réserve que l’incident soit traité ;
e) Dans le cas contraire, un rapport d’avancement, au plus tard un mois après la notification intermédiaire mentionnée au même b, devant être complété par un rapport final dans un délai d’un mois après le traitement de l’incident.
L’autorité nationale de sécurité des systèmes d’information fournit, sans retard injustifié et si possible dans les vingt-quatre heures suivant la réception de la première notification reçue, une réponse à la personne émettrice de la notification.
Pour prévenir un incident concernant une entité essentielle ou une entité importante ou pour faire face à un incident en cours ou lorsque la divulgation de l’incident est dans l’intérêt public, l’autorité nationale de sécurité des systèmes d’information peut, après avoir consulté l’entité essentielle ou importante concernée, exiger de celle-ci qu’elle informe le public de l’incident ou le faire elle-même.
Le cas échéant, les entités essentielles et importantes notifient sans retard injustifié :
– les incidents importants susceptibles de nuire à la fourniture de ces services ;
– les vulnérabilités critiques affectant leurs services ou les affectant potentiellement, ainsi que les mesures ou corrections, dès qu’elles en ont connaissance, que ces destinataires peuvent appliquer en réponse à cette vulnérabilité ou à cette menace.
Cette obligation de notification ne s’étend pas aux informations dont la divulgation porterait atteinte aux intérêts de la défense et de la sécurité nationale.
En cas d’incident important ou de vulnérabilité critique, les personnes mentionnées au premier alinéa peuvent communiquer à l’autorité nationale de sécurité des systèmes d’information la liste des destinataires de leurs services. Cette autorité tient compte, dans l’usage qu’elle fait de ces informations, des intérêts économiques de ces personnes et veille à ne pas révéler d’informations susceptibles de porter atteinte à leur sécurité et au secret en matière commerciale et industrielle.
L’autorité nationale de sécurité des systèmes d’information informe la Commission nationale de l’informatique et des libertés de tout incident mentionné au premier alinéa susceptible d’entraîner une violation de données à caractère personnel.
Un décret en Conseil d’État fixe les modalités d’application du présent article. Il précise notamment la procédure applicable et les critères d’appréciation des caractères importants et critiques des incidents et vulnérabilités.
Mme la présidente. L’amendement n° 33, présenté par Mmes Linkenheld et Blatrix Contat, M. Cardon, Mmes Conway-Mouret et Narassiguin, MM. Ros, M. Vallet et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :
Alinéa 1
Remplacer les mots :
incident ayant un impact important
par les mots :
incident important ayant un impact
La parole est à Mme Audrey Linkenheld.
Mme Audrey Linkenheld. Cet amendement a pour objet la notion d’incident. Nous avons déjà discuté de sa définition, et les travaux de la commission spéciale ont déjà permis, fort opportunément, de préciser certains éléments. Il faut que chacune des entités concernées sache bien à quoi correspond un incident et à quel moment elle doit le signaler.
Par notre amendement, nous proposons de modifier légèrement le texte. L’article, dans sa rédaction actuelle, vise un « incident ayant un impact important ». Il nous semblerait plus juste de remplacer cette expression par celle d’« incident important ayant un impact ».
Je sais que le Gouvernement a déposé un amendement qui vise à apporter un certain nombre de précisions et que nous examinerons dans un instant. Je crois que, sur le fond, nous sommes d’accord : des précisions sont nécessaires.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. La commission spéciale a repris dans son texte les termes exacts de la directive, qu’il convient de conserver tels quels.
J’émets donc un avis défavorable sur cet amendement.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. Puisque le texte actuel reprend exactement celui de la directive, le Gouvernement sollicite le retrait de cet amendement ; à défaut, il émettrait un avis défavorable.
Mme la présidente. L’amendement n° 101, présenté par le Gouvernement, est ainsi libellé :
Alinéa 14
Après le mot :
importants
rédiger ainsi la fin de cet alinéa :
ayant un impact direct sur les destinataires de leurs services, notamment lorsqu’ils ont causé ou sont susceptibles de causer l’extraction de données sensibles de ces derniers, ou de causer la mort ou des dommages considérables à la santé d’une personne physique destinataire, ou qu’ils consistent en un accès non autorisé effectif au réseau et aux systèmes d’information de l’entité, susceptible d’être malveillant et de causer une perturbation opérationnelle grave pour le destinataire ;
La parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée. Cet amendement vise à renforcer la sécurité juridique des entités concernées.
Dans un souci de clarification, nous précisions les types d’incidents importants que ces dernières devront notifier aux destinataires de leurs services, afin de satisfaire à la lettre l’article 23 de la directive, qui soumet cette notification à la détermination de son caractère approprié.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Cet amendement du Gouvernement, dont la rédaction s’inspire du règlement d’exécution du 17 octobre 2024 de la directive NIS 2, tend à apporter une véritable clarification juridique. Cela constitue un net progrès par rapport à la version initiale du texte, qui comportait la notion d’« incident critique », laquelle était source de confusion.
La commission spéciale émet donc un avis favorable sur cet amendement.
Mme la présidente. Je mets aux voix l’article 17, modifié.
(L’article 17 est adopté.)
Section 3
Enregistrement des noms de domaine
Article 18
Les offices d’enregistrement et les bureaux d’enregistrement ainsi que les agents agissant pour le compte de ces derniers qui satisfont à l’une des conditions prévues à l’article 11 sont soumis aux dispositions de la présente section – (Adopté.)
Article 19
Les offices d’enregistrement collectent, par l’intermédiaire des bureaux d’enregistrement ainsi que des agents agissant pour le compte de ces derniers, les données nécessaires à l’enregistrement des noms de domaine.
Les offices et les bureaux d’enregistrement sont responsables du traitement de ces données au regard de la réglementation en matière de protection des données personnelles. Ils tiennent ces bases de données à jour, en maintenant les données exactes et complètes, sans redondance de collecte. À cette fin, ils mettent en place des procédures, accessibles au public, permettant de vérifier ces données lors de leur collecte et d’assurer la sécurité de leur base de données.
Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, fixe la liste des données relatives aux noms de domaine devant être collectées – (Adopté.)
Article 20
Les offices et les bureaux d’enregistrement conservent les données relatives à chaque nom de domaine dans leur base de données tant que le nom de domaine est utilisé.
Mme la présidente. L’amendement n° 40, présenté par Mmes S. Robert, Linkenheld et Blatrix Contat, M. Cardon, Mmes Conway-Mouret et Narassiguin, MM. Ros, M. Vallet et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :
Alinéa 1
Remplacer les mots :
tant que le nom de domaine est utilisé
par les mots :
pendant la durée d’utilisation du nom de domaine et jusqu’à expiration d’un délai d’un an à compter de la cessation de l’utilisation de ce nom de domaine
La parole est à Mme Corinne Narassiguin.
Mme Corinne Narassiguin. Nous avons observé une augmentation du nombre d’enregistrements de faux noms de domaines lors des jeux Olympiques. Ces noms ont été utilisés pour promouvoir des articles de contrefaçon, des faux billets ou des sites de streaming frauduleux.
Certains bureaux d’enregistrement de noms de domaine sont complices. Ils se fondent sur la confidentialité pour s’opposer à la communication des données d’enregistrement ou divulguent au titulaire du nom de domaine l’identité du demandeur de la communication de ces données.
L’article 20 impose aux offices et aux bureaux d’enregistrement de conserver les données relatives à l’enregistrement des noms de domaine, sans prévoir aucune période minimale de conservation.
Cette obligation demeurerait donc valable uniquement tant que le nom de domaine est utilisé.
Il en résulte un risque majeur de fraude au bénéfice des délinquants numériques, qui peuvent utiliser un nom de domaine simplement durant quelques jours, avant d’en employer un autre, et en renouvelant ce processus indéfiniment, sans que l’on soit en mesure de procéder rapidement à leur identification.
Pour prévenir les risques de fraude et permettre l’identification des délinquants numériques, cet amendement du groupe Socialiste, Écologiste et Républicain a pour objet que la conservation des données soit obligatoire pendant une durée d’un an à compter de la cessation de l’utilisation du nom de domaine.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Cet amendement a effectivement pour objet la conservation des données relatives à l’enregistrement des noms de domaine pendant la durée d’utilisation du nom de domaine et jusqu’à l’expiration d’un délai d’un an à compter de la cessation de son utilisation, alors que l’article 20 énonce actuellement que cette conservation n’est valable que tant que le nom de domaine est employé.
Je souhaiterais que le Gouvernement nous indique si le risque de fraude évoqué par le groupe SER et par la société civile des producteurs phonographiques est avéré et si, dans l’affirmative, la conservation des données d’enregistrement pendant un an pourrait être pertinente pour lutter contre une telle fraude.
Je souhaite donc entendre l’avis du Gouvernement.
Mme la présidente. Quel est donc l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. Comme je l’ai indiqué hier, notre objectif est de ne pas surtransposer la directive NIS 2. Celle-ci prévoit uniquement que les données doivent être conservées tant que le nom de domaine est utilisé.
Ce projet de loi n’a pas tant pour objet la lutte contre la délinquance numérique que vous mentionnez que la transposition d’un cadre européen visant à assurer un niveau élevé de cybersécurité, à la fois par les mesures qu’il contient et par les modalités de signalement d’incidents.
Toutefois, l’adoption de cet amendement aurait l’avantage d’instaurer une durée minimale de conservation des données à compter de la cessation de l’utilisation du nom de domaine.
Le Gouvernement s’en remet donc à la sagesse du Sénat.
Mme la présidente. Quel est maintenant l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. La commission spéciale s’en remet également à la sagesse du Sénat sur cet amendement.
Mme la présidente. Je mets aux voix l’article 20, modifié.
(L’article 20 est adopté.)
Article 21
Les offices et bureaux d’enregistrement rendent publiques sans retard injustifié après l’enregistrement d’un nom de domaine, les données d’enregistrement relatives à ce nom de domaine dès lors qu’elles n’ont pas de caractère personnel.
Mme la présidente. L’amendement n° 41, présenté par Mmes S. Robert, Linkenheld et Blatrix Contat, M. Cardon, Mmes Conway-Mouret et Narassiguin, MM. Ros, M. Vallet et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :
I. - Après la première occurrence du mot :
domaine
insérer les mots :
, à titre gratuit
II. - Compléter cet article par les mots :
, y compris les données d’enregistrement de nom de domaine des personnes morales
III. - Compléter cet article par un alinéa ainsi rédigé :
À cette fin, les offices et bureaux d’enregistrement mettent à disposition une interface en permettant l’accès.
La parole est à Mme Corinne Narassiguin.
Mme Corinne Narassiguin. L’article 21 prévoit que les offices et les bureaux d’enregistrement des noms de domaine rendent publiques, sans retard injustifié après l’enregistrement d’un nom de domaine, les données d’enregistrement relatives à ce nom de domaine, dès lors que celles-ci n’ont pas de caractère personnel.
Par cet amendement, nous souhaitons encadrer cette obligation, en précisant que la mise à disposition des données doit être gratuite et qu’il appartient aux offices et aux bureaux d’enregistrement de se doter d’une interface, afin de permettre au public d’accéder à ces informations.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Sous réserve de l’avis du Gouvernement, je serais plutôt favorable à cet amendement, qui tend à renforcer concrètement, via la garantie de gratuité et l’obligation de mise à disposition d’une interface, la publicité des données d’enregistrement relatives aux noms de domaine, ce qui correspond à l’objet de l’article 21.
Je souhaite toutefois connaître au préalable l’avis du Gouvernement.
Mme la présidente. Quel est donc l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. La directive NIS 2 impose aux offices et bureaux d’enregistrement des noms de domaine de premier niveau de collecter les données d’enregistrement à des fins de constitution d’une base de données. Ces données sont rendues publiques, à l’exception de celles qui ont un caractère personnel, ce qui, vous en conviendrez, est justifié.
Dans la mesure où cette directive implique que la publication des données s’effectue à titre gratuit, la précision que souhaitent apporter les auteurs de cet amendement ne nous paraît pas nécessaire.
En outre, cette publication s’effectue déjà via une interface spécifique, par l’intermédiaire des protocoles existants et de leur version modernisée et plus sécurisée, le Registration Data Access Protocol (RADP). Ces protocoles sont standardisés à l’échelle internationale. Ils garantissent un accès simple et gratuit aux données d’enregistrement non personnelles des noms de domaine.
Ainsi les bureaux et les offices d’enregistrement ont déjà développé cette interface ayant à vocation à rendre les données publiques et gratuites.
C’est pourquoi, considérant que cet amendement est satisfait, le Gouvernement demande son retrait.
Mme la présidente. Quel est maintenant l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Même avis.
Mme la présidente. Je mets aux voix l’article 21.
(L’article 21 est adopté.)
Article 22
Pour les besoins des procédures pénales et de la sécurité des systèmes d’information, les agents habilités à cet effet par l’autorité judiciaire ou par l’autorité nationale de sécurité des systèmes d’information peuvent obtenir des offices et bureaux d’enregistrement les données mentionnées à l’article 20.
Les offices et les bureaux d’enregistrement fixent les règles de procédure pour la communication de ces données aux agents mentionnés au premier alinéa. Cette communication intervient dans un délai n’excédant pas soixante-douze heures. Ces règles sont accessibles au public.
Un décret en Conseil d’État, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les modalités d’application du présent article – (Adopté.)
Section 4
Coopération et échange d’informations
Article 23
Les dispositions de l’article 11 du code de procédure pénale ou celles relatives aux autres secrets protégés par la loi ne font pas obstacle à la communication d’informations dont ils disposent aux fins de l’accomplissement de leurs missions respectives, à l’exception des informations dont la communication porterait atteinte à la sécurité publique, à la défense et la sécurité nationale ou à la conduite des relations internationales, entre, d’une part, l’autorité nationale de sécurité des systèmes d’information, et, d’autre part, la Commission nationale de l’informatique et des libertés ou les autorités compétentes chargées de la gestion des risques en matière de cybersécurité en vertu d’un acte sectoriel de l’Union européenne ou les autorités chargées de la conduite de la politique pénale, de l’action publique et de l’instruction ou la Commission européenne ou les autorités compétentes des autres États membres de l’Union européenne ou des centres de réponse aux incidents de sécurité informatique ou des organismes internationaux concourant aux missions de sécurité ou de défense des systèmes d’information.
La communication d’informations effectuée en application du premier alinéa ne peut intervenir que si elle est nécessaire à l’accomplissement des missions des personnes émettrices ou destinataires de ces informations. Les informations échangées se limitent au minimum nécessaire et sont proportionnées à l’objectif du partage. Le partage d’informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités concernées.
Les modalités d’application du présent article, notamment les modalités du partage d’informations, sont déterminées par décret en Conseil d’État – (Adopté.)
Article 24
L’autorité nationale de sécurité des systèmes d’information agrée des organismes publics ou privés en tant que relais dans la prévention et la gestion des incidents. L’autorité et les organismes qu’elle a ainsi agréés sont autorisés à échanger entre eux des informations couvertes par des secrets protégés par la loi.
Les modalités d’application du présent article, notamment les modalités de dépôt et d’examen des demandes d’agrément des organismes mentionnés au premier alinéa, sont déterminées par décret en Conseil d’État – (Adopté.)
Après l’article 24
Mme la présidente. L’amendement n° 60 rectifié, présenté par MM. Cadic et Canévet, est ainsi libellé :
Après l’article 24
Insérer un article additionnel ainsi rédigé :
Les entités essentielles et importantes ainsi que, le cas échéant, leurs fournisseurs ou prestataires de services peuvent échanger entre elles, à titre volontaire, au sein de communautés, des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, aux incidents évités ou non, aux vulnérabilités, aux techniques et procédures, aux indicateurs de compromission, aux tactiques, techniques et procédures adverses, ainsi que des informations spécifiques sur les acteurs de la menace, des alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les cyberattaques, lorsque ce partage d’informations :
1° Vise à prévenir et à détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact ;
2° Renforce le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant leur capacité de se propager, en soutenant une série de capacités de défense, en remédiant aux vulnérabilités et en les révélant, en mettant en œuvre des techniques de détection, d’endiguement et de prévention des menaces, des stratégies d’atténuation ou des étapes de réaction et de rétablissement, ou en encourageant la recherche collaborative en matière de cybermenaces entre les entités publiques et privées.
Cet échange est mis en œuvre au moyen d’accords de partage d’informations en matière de cybersécurité, compte tenu de la nature potentiellement sensible des informations partagées.
Les échanges volontaires des informations prévues au premier alinéa peuvent nécessiter le traitement de certaines catégories de données à caractère personnel, telles que les adresses IP, les localisateurs de ressources uniformes (URL), les noms de domaine, les adresses électroniques, les informations compromises ou encore les horodatages lorsqu’ils révèlent des données à caractère personnel.
Ces traitements de données à caractère personnel sont considérés comme nécessaires à des intérêts légitimes poursuivis par des entités essentielles et importantes, ainsi que par leurs fournisseurs ou prestataires de services, conformément à l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
Ces accords de partage d’informations précisent les éléments opérationnels, y compris le recours éventuel à des plateformes TIC spécialisées et d’outils d’automatisation, le contenu et les conditions – notamment de sécurisation renforcée – de ces partages.
Lorsque des autorités publiques ou les centres de réponse aux attaques informatiques participent à ces accords de partage et mettent à disposition tout ou partie des informations visées à l’alinéa 1 dont elles disposent, elles respectent les conditions prévues par décret en Conseil d’État.
Les entités essentielles et importantes notifient à l’autorité nationale de sécurité des systèmes d’information sans délai indu leur participation aux accords de partage d’informations en matière de cybersécurité visés au présent article lorsqu’elles concluent de tels accords ou, le cas échéant, lorsqu’elles se retirent de ces accords une fois que le retrait prend effet.
La parole est à M. Olivier Cadic.
M. Olivier Cadic. Cet amendement vise à transposer les dispositions de l’article 29 de la directive NIS 2, qui prévoient l’existence d’accords de partage d’informations en matière de cybersécurité, permettant aux entités essentielles, aux entités importantes et à leurs prestataires en matière de cybersécurité d’échanger des informations détaillées et opérationnelles sur les menaces cyber, afin de mieux y faire face. C’est une demande forte de leur part.
Selon les considérants 119 et 120 de la directive, « le partage d’informations contribue à accroître la sensibilisation aux cybermenaces, laquelle renforce à son tour la capacité des entités à empêcher les menaces de se concrétiser en incidents réels et leur permet de mieux contenir les effets des incidents et de se rétablir plus efficacement. […] Il est donc nécessaire de permettre l’émergence, au niveau de l’Union, d’accords de partage volontaire d’informations en matière de cybersécurité.
« À cette fin, les États membres devraient activement aider et encourager les entités, telles que celles fournissant des services de cybersécurité et actives dans la recherche, ainsi que les entités concernées qui ne relèvent pas du champ d’application de la présente directive, à participer à ces mécanismes d’échange d’informations en matière de cybersécurité. Ces accords devraient être établis conformément aux règles de concurrence de l’Union et au droit de l’Union en matière de protection des données. »
Pour lever tout doute à ce sujet, il semble nécessaire de reprendre également le contenu du considérant 121, qui décrit le recours à la base légale de l’intérêt légitime pour fonder les traitements de données à caractère personnel qui pourraient être effectués à cette occasion et reconnaître que le partage de données concernées est conforme aux exigences du RGPD.