Mme la présidente. L’amendement n° 89 rectifié quinquies, présenté par MM. Bleunven, J.-M. Arnaud, Cambier et Henno, Mme Jacquemet et MM. Lafon, Parigi et Pillefer, est ainsi libellé :
I. – Alinéa 7
Remplacer les mots :
et qui ne peut être inférieur à un mois, sauf en cas de manquement grave ou répété
par les mots :
. Sauf en cas de manquement grave ou répété, le délai ne peut être inférieur à un mois et doit être adapté à la gravité du manquement, à la taille et à la capacité opérationnelle de l’entité concernée ;
II. – Alinéa 9
Compléter cet alinéa par une phrase ainsi rédigée
Les recommandations formulées sont adaptées à la taille et à la capacité opérationnelle de l’entité concernée.
La parole est à M. Paul Toussaint Parigi.
M. Paul Toussaint Parigi. Il est défendu, madame la présidente.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Cet amendement vise à préciser que le délai accordé à l’Anssi à une entité pour que celle-ci se mette en conformité avec ses obligations, d’une part, et les recommandations qu’elle peut lui enjoindre de mettre en œuvre, d’autre part, doivent être adaptées à la gravité du manquement, à la taille et à la capacité opérationnelle de l’entité.
Je rappelle que l’article 31 habilite l’Anssi à décider de cinq types de mesures d’exécution lorsqu’elle constate un manquement dans le cadre d’un contrôle. Elle pourra donc choisir celui qui correspond le mieux à la nature du manquement et aux caractéristiques de l’entité contrôlée. Elle pourra même clore la procédure sans adopter de mesures d’exécution lorsque la situation le justifiera.
La disposition proposée ne paraît donc pas nécessaire. C’est pourquoi la commission spéciale demande le retrait de cet amendement ; à défaut, elle émettrait un avis défavorable.
M. Paul Toussaint Parigi. Je le retire, madame la présidente !
Mme la présidente. L’amendement n° 89 rectifié quinquies est retiré.
L’amendement n° 23 rectifié, présenté par Mme M. Carrère, MM. Bilhac, Fialaire, Gold et Grosvalet, Mmes Guillotin et Jouve, MM. Laouedj et Masset, Mme Pantel et M. Ruel, est ainsi libellé :
Alinéa 10
Compléter cet alinéa par une phrase ainsi rédigée :
Ce montant ne peut excéder 100 euros par jour de retard pour les collectivités territoriales, leurs groupements et leurs établissements publics administratifs.
La parole est à Mme Maryse Carrère.
Mme Maryse Carrère. C’est le même type d’amendement que tout à l’heure.
Ce projet de loi impose des obligations lourdes. Bien que la modification apportée par la commission spéciale, qui remplace l’infraction pénale par une amende administrative, soit un progrès notoire, la question de la proportionnalité des sanctions aux collectivités demeure.
En effet, l’amende administrative, qui varie de 1 euro à 500 euros après deux notifications successives, permet toujours d’appliquer une majoration quotidienne en cas de retard dans la mise en conformité.
Ce projet de loi prévoit une astreinte de 5 000 euros par jour de retard. Cet amendement vise à réduire cette dernière à 100 euros par jour, pour des raisons de proportionnalité évidentes.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Cet amendement tend à abaisser de 5 000 à 100 euros par jour de retard le plafond de l’astreinte pouvant être décidée en parallèle d’une mesure d’exécution lorsque l’entité contrôlée est une collectivité territoriale, un groupement de collectivité ou un établissement public administratif appartenant à une collectivité.
Bien que je partage vos alarmes sur la situation financière des collectivités, ma chère collègue, une telle différenciation entre les différentes catégories d’entités paraît d’autant moins justifiée que la mise en œuvre dans le délai imparti de la mesure d’exécution adoptée par l’Anssi s’impose à toutes les entités sans distinction.
Je rappelle que l’objet d’une mesure d’exécution est non de sanctionner l’entité contrôlée, mais de mettre en terme à un manquement aux obligations qui s’imposent à elle, afin d’éviter de graves conséquences pour la sécurité de ces systèmes d’information. Le fait qu’il s’agisse d’une collectivité territoriale n’y change rien.
Il est donc nécessaire de prévoir une astreinte suffisamment incitative pour que ces mesures soient mises en œuvre le plus rapidement possible. Pour mémoire, il n’est pas prévu qu’une astreinte accompagne systématiquement une mesure d’exécution. Il appartiendra en effet à l’Anssi d’en décider en fonction des circonstances.
Par conséquent, la commission spéciale émet un avis défavorable sur cet amendement.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. Nous avons choisi de ne pas sanctionner les collectivités territoriales pour répondre à la situation que vous avez décrite, madame la sénatrice, et à laquelle le Gouvernement est pleinement attentif. Pour autant, il est important de prévoir un levier financier permettant l’effectivité de la mesure ; l’abaissement du montant que vous proposez – 100 euros par jour d’astreinte, contre les 5 000 euros prévus initialement – nous semble excessif.
Il faut absolument que les exigences de cybersécurité soient prises au sérieux. Même si nous pouvons prévoir que les collectivités ne soient pas soumises à des sanctions, une astreinte d’un montant substantiel paraît nécessaire, afin de s’assurer que tout le monde prend conscience des risques auxquels les collectivités sont exposées.
J’émets donc un avis défavorable.
Mme la présidente. L’amendement n° 61 rectifié, présenté par Mme Paoli-Gagin, MM. Chasseing et Chevalier, Mme L. Darcos et MM. Grand, Laménie, V. Louault, A. Marc, L. Vogel et Wattebled, est ainsi libellé :
Alinéa 10
Compléter cet alinéa par une phrase ainsi rédigée :
Cette mesure d’exécution ne peut être rendue publique par l’autorité nationale de sécurité des systèmes d’information.
La parole est à Mme Vanina Paoli-Gagin.
Mme Vanina Paoli-Gagin. Mes chers collègues, nous l’avons dit, nous ne souhaitons pas surtransposer ces directives dans ce projet de loi.
Cet amendement de précision vise à éviter toute surtransposition dans la pratique des sanctions, notamment la publicité des manquements. Ainsi, il s’agit de prévoir explicitement dans le texte que l’Anssi ne peut rendre les manquements publics.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Cet amendement vise à interdire à l’Anssi de rendre publique la mesure d’exécution adoptée. Je rappelle que, sur notre initiative, la commission spéciale a supprimé la faculté accordée à l’Anssi de rendre publique la mesure d’exécution adoptée et d’enjoindre à la personne contrôlée de rendre public son manquement.
Seule la commission des sanctions est désormais habilitée à décider, dans l’intérêt du public, de publier sa décision ou un extrait de celle-ci.
Cet amendement paraissant satisfait, la commission spéciale demande son le retrait ; à défaut, elle émettrait un avis défavorable.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Vanina Paoli-Gagin. Je le retire, madame la présidente !
Mme la présidente. L’amendement n° 61 rectifié est retiré.
Je mets aux voix l’article 31, modifié.
(L’article 31 est adopté.)
Article 32
(Supprimé)
Article 33
Lorsque la personne contrôlée fournit des éléments montrant qu’elle s’est mise en conformité avec la mesure d’exécution notifiée en application de l’article 31 dans le délai imparti, l’autorité nationale de sécurité des systèmes d’information constate qu’il n’y a pas lieu de poursuivre la procédure et en informe la personne contrôlée.
Dans le cas contraire, l’autorité nationale de sécurité des systèmes d’information notifie à la personne contrôlée les griefs retenus à son encontre et saisit la commission des sanctions mentionnée à l’article L. 1332-15 du code de la défense.
Lorsque la personne contrôlée est une entité essentielle au sens des articles 8 et 10 de la présente loi et qu’elle n’apporte pas la preuve qu’elle s’est mise en conformité avec les mesures d’exécution mentionnées aux 2°, 3° et 5° de l’article 31 de la présente loi dans le délai imparti, l’autorité nationale de sécurité des systèmes d’information peut suspendre une certification ou une autorisation concernant tout ou partie des services fournis ou des activités exercées par l’entité jusqu’à ce que celle-ci ait mis un terme au manquement. Lorsque cette certification ou cette autorisation a été délivrée par un organisme de certification ou d’autorisation tiers, l’autorité nationale de sécurité des systèmes d’information enjoint à cet organisme de la suspendre jusqu’à ce que l’entité ait mis un terme au manquement – (Adopté.)
Article 34
Un décret en Conseil d’État fixe les modalités de la procédure prévue à la présente section – (Adopté.)
Section 3
Des sanctions
Article 35
Saisie par l’autorité nationale de sécurité des systèmes d’information, la commission des sanctions mentionnée à l’article L. 1332-15 du code de la défense statue sur les manquements constatés aux obligations découlant de l’application des chapitres II et III du présent titre, dans les conditions prévues par la présente section – (Adopté.)
Article 36
Lorsqu’elle est saisie par l’autorité nationale de sécurité des systèmes d’information de manquements aux obligations découlant de l’application des chapitres II et III du présent titre, la commission des sanctions mentionnée à l’article L. 1332-15 du code de la défense est composée :
1° Des personnes mentionnées au 1° de l’article L. 1332-16 du même code ;
2° De trois personnalités qualifiées, nommées respectivement par le Premier ministre, le président de l’Assemblée nationale et le président du Sénat en raison de leurs compétences dans le domaine de la sécurité des systèmes d’information. Ces personnalités qualifiées ne doivent pas avoir exercé de fonctions au sein de l’autorité nationale de sécurité des systèmes d’information depuis moins de cinq ans.
Mme la présidente. L’amendement n° 58 rectifié, présenté par MM. Cadic et Canévet, est ainsi libellé :
Après l’alinéa 1
Insérer un alinéa ainsi rédigé :
…° D’un représentant du ministère coordonnateur du secteur d’activité auquel appartient l’entité pour laquelle la commission est saisie ;
La parole est à M. Olivier Cadic.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. La commission des sanctions sera composée d’un membre du Conseil d’État, d’un membre de la Cour de cassation, d’un membre de la Cour des comptes et de trois personnalités qualifiées, nommées en raison de leurs compétences dans le domaine de la sécurité des systèmes d’information. Ces membres seront nommés pour un mandat de cinq ans, renouvelable une fois.
Ainsi composée, la commission des sanctions paraît équilibrée. Il serait a contrario excessivement complexe de prévoir que, pour chaque secteur d’activité différent – je rappelle que l’article 7 recense dix-huit secteurs hautement critiques… –, un membre différent émanant du ministère coordonnateur du secteur d’activité viendrait s’ajouter aux six membres permanents.
Par conséquent, la commission spéciale demande le retrait de cet amendement ; à défaut, elle émettrait un avis défavorable.
Mme la présidente. Quel est l’avis du Gouvernement ?
M. Olivier Cadic. Je le retire, madame la présidente !
Mme la présidente. L’amendement n° 58 rectifié est retiré.
L’amendement n° 105, présenté par le Gouvernement, est ainsi libellé :
Alinéa 3, seconde phrase
Rédiger ainsi cette phrase :
Ces personnalités ne peuvent avoir exercé, au cours des trois années précédant leur nomination, une activité au sein de l’une des personnes mentionnées aux articles 8 et 9 ni au sein de l’autorité nationale de sécurité des systèmes d’information.
La parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée. Cet amendement vise à améliorer les garanties d’indépendance de la commission des sanctions – un sujet dont nous avons discuté avec la commission spéciale, qui lui accorde beaucoup d’importance –, ainsi que la prévention des conflits d’intérêts en son sein.
Il s’agit d’élargir aux entités assujetties la règle d’incompatibilité prévue pour l’Anssi et d’en abaisser la durée à trois ans, soit la durée de droit commun en la matière.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Avis favorable.
Mme la présidente. Je mets aux voix l’article 36, modifié.
(L’article 36 est adopté.)
Article 37
I. – En cas de manquement constaté aux obligations prévues au présent titre, la commission des sanctions peut prononcer :
1° À l’encontre des entités essentielles et des opérateurs mentionnés à l’article L. 1332-2 du code de la défense, à l’exception des administrations de l’État et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial, hors taxes, de l’exercice précédent de l’entreprise à laquelle l’entité essentielle appartient, le montant le plus élevé étant retenu ;
2° À l’encontre des entités importantes, à l’exception des administrations de l’État et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total, hors taxes, de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient, le montant le plus élevé étant retenu ;
3° À l’encontre des offices d’enregistrement et des bureaux d’enregistrement mentionnés à l’article 18 de la présente loi, à l’exception de ceux relevant des articles L. 45 à L. 45-8 du code des postes et des communications électroniques lorsqu’il s’agit d’un manquement aux obligations prévues à la section 3 du chapitre II de la présente loi, une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 7 millions d’euros ou 1,4 % du chiffre d’affaires annuel mondial total, hors taxes, de l’exercice précédent. Cette amende peut se cumuler avec l’amende prévue au 1° prononcée à l’encontre d’un office d’enregistrement en cas de manquement aux obligations applicables aux entités essentielles.
Si les manquements relevés constituent également une violation du règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, donnant lieu à une amende administrative prononcée par la Commission nationale de l’informatique et des libertés en application des articles 20 à 22-1 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, la commission des sanctions ne peut prononcer de sanction sous forme d’amende administrative.
II. – La commission des sanctions peut prononcer une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial total, hors taxes, de l’exercice précédent, le montant le plus élevé étant retenu, à l’encontre :
1° Des fournisseurs de moyens d’identification électronique relevant des schémas d’identification électronique notifiés par l’État, des prestataires de services de confiance établis sur le territoire français, des fournisseurs de dispositifs de création de signature et de cachet électronique qualifié qu’elle certifie et des organismes d’évaluation de la conformité, à l’exception des administrations de l’État et de leurs établissements publics à caractère administratif, en cas de manquement constaté au règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 précité ;
2° Des organismes d’évaluation de la conformité sauf si l’organisme d’évaluation de la conformité est l’autorité nationale de certification de cybersécurité, des titulaires d’une déclaration de conformité aux exigences d’un schéma de certification européen et de cybersécurité, des titulaires d’un agrément, d’une qualification ou d’un certificat dans le domaine de la cybersécurité, en cas de manquement constaté au règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 précité ou aux exigences mentionnées au 4° et au 5° de l’article 26 de la présente loi.
III. – Lorsque la commission des sanctions envisage de prononcer l’amende prévue à l’article 28 à l’encontre de la même personne, le montant cumulé des sanctions ne peut excéder le montant maximum de l’amende prévue au I ou au II du présent article.
IV. – La commission des sanctions peut également prononcer à l’encontre des organismes d’évaluation de la conformité et des titulaires d’agréments, de qualifications ou de certificats en matière de cybersécurité, au titre du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 précité, du règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 précité ou des exigences de cybersécurité mentionnées au 5° de l’article 26 de la présente loi les mesures suivantes :
1° L’abrogation d’un agrément, d’une qualification ou d’un certificat ;
2° L’abrogation de l’autorisation, de l’agrément ou de l’habilitation délivré à l’organisme d’évaluation de la conformité, lorsque le manquement n’est pas corrigé dans le délai imparti par l’autorité nationale de sécurité des systèmes d’information.
V. – La commission des sanctions peut, en dernier recours, si le manquement persiste après que l’amende administrative prévue au I ou au II du présent article a été prononcée, interdire à toute personne physique exerçant les fonctions de dirigeant dans l’entité essentielle d’exercer des responsabilités dirigeantes dans cette entité, jusqu’à ce que l’entité essentielle ait remédié au manquement. Ces dispositions ne s’appliquent pas aux administrations.
VI (nouveau). – Lorsque la commission des sanctions prononce l’une des sanctions prévues aux I à IV, elle peut exiger que l’entité concernée communique au public, par tout moyen adapté et à ses frais, le manquement constaté.
La commission des sanctions peut décider, dans l’intérêt du public, de rendre publique sa décision ou un extrait de celle-ci, selon des modalités qu’elle précise.
Mme la présidente. L’amendement n° 106, présenté par le Gouvernement, est ainsi libellé :
Alinéa 13, première phrase
Remplacer les mots :
en dernier recours, si le manquement persiste après que l’amende administrative prévue au I ou au II du présent article a été prononcée
par les mots :
si les mesures d’exécution prévues aux articles 25 et 31 sont inefficaces,
La parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée. Cet amendement a pour objet la mise en conformité à la directive NIS 2 qui ne conditionne pas l’interdiction d’exercer des dirigeants des entités essentielles à la persistance d’un manquement malgré l’imposition d’amendes pécuniaires.
En effet, l’article 32 de la directive NIS 2 prévoit une procédure en deux temps, lorsque les mesures d’exécution de son paragraphe 4 aux points a) à d) et au point f) imposées aux entités essentielles – mesures de police administrative reprises dans le projet de loi – sont inefficaces.
En premier lieu, l’entité essentielle est invitée, dans un délai imparti, à pallier les insuffisances ou à satisfaire aux exigences des mesures d’exécution.
En second lieu, si la mesure demandée n’est pas prise dans ce délai, l’autorité de supervision peut notamment prévoir une interdiction temporaire d’exercer pour les dirigeants, qui sont des personnes physiques, de ces entités essentielles.
De plus, conformément à l’article 34 de la directive NIS 2, les amendes administratives peuvent intervenir en complément de l’interdiction d’exercer.
Cet amendement vise donc à conditionner l’interdiction d’exercer des dirigeants à l’inefficacité des mesures de police administratives, afin de ne pas pénaliser outre mesure les dirigeants et d’avoir l’assurance qu’ils sont fidèles autant que possible à la directive.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. La sanction consistant à prévoir une interdiction d’exercice pour des dirigeants qui n’auraient pas rempli leurs obligations en matière de cybersécurité est très mal vécue par les représentants des entreprises entendues par la commission spéciale. Notre intention première était donc de la supprimer purement et simplement.
Nous avons toutefois été sensibles au fait que, cette sanction étant prévue par la directive, sa suppression aurait présenté un risque de sous-transposition manifeste.
Le compromis trouvé par la commission spéciale, à savoir que la sanction d’interdiction d’exercice peut être prononcée en dernier recours, si le manquement persiste après que l’amende administrative a été prononcée, paraît plus équilibré, quand bien même il comporterait un léger risque de sous-transposition.
C’est la raison pour laquelle la commission spéciale émet un avis défavorable sur cet amendement.
Mme la présidente. Je suis saisie de trois amendements identiques.
L’amendement n° 21 rectifié nonies est présenté par Mme Morin-Desailly, MM. Laugier et Duffourg, Mmes Patru et Billon, MM. Henno et Lafon, Mme Jacquemet, M. Chauvet, Mme Gacquerre et MM. Pillefer et P. Martin.
L’amendement n° 46 rectifié est présenté par Mmes Conway-Mouret, Linkenheld et Blatrix Contat, M. Cardon, Mme Narassiguin, MM. Ros, M. Vallet et les membres du groupe Socialiste, Écologiste et Républicain.
L’amendement n° 88 rectifié quinquies est présenté par MM. Bleunven, J.-M. Arnaud, Cambier et Henno, Mme Jacquemet, MM. Lafon, Parigi et Pillefer et Mme Saint-Pé.
Ces trois amendements sont ainsi libellés :
Compléter cet article par un alinéa ainsi rédigé :
… . – Lorsque la commission des sanctions prononce l’une des sanctions prévues au présent article, elle prend en compte les circonstances et la gravité du manquement, le comportement de son auteur, notamment sa bonne foi, ainsi que ses ressources et ses charges.
La parole est à Mme Catherine Morin-Desailly, pour présenter l’amendement n° 21 rectifié nonies.
Mme Catherine Morin-Desailly. Il a déjà été question de cet amendement, qui a pour objet de prendre en compte, dans le prononcé de la sanction, les circonstances et la gravité du manquement, le comportement de son auteur, notamment sa bonne foi, ainsi que ses ressources et ses charges. Cela permettrait d’éviter toute mesure disproportionnée qui pourrait peser très lourdement sur les plus petites entités, notamment les TPE-PME.
Mme la présidente. La parole est à M. Rémi Cardon, pour présenter l’amendement n° 46 rectifié.
M. Rémi Cardon. Il est défendu, madame la présidente.
Mme la présidente. La parole est à M. Paul Toussaint Parigi, pour présenter l’amendement n° 88 rectifié quinquies.
M. Paul Toussaint Parigi. Il est également défendu.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Même si je souscris à l’esprit de ces amendements identiques, il ne me paraît pas indispensable de prévoir explicitement dans la loi que la commission des sanctions doit prendre en compte les circonstances et la gravité du manquement, le comportement de son auteur, notamment sa bonne foi, ainsi que ses ressources et ses charges.
Il va en effet de soi que toutes ces données seront appréciées. C’est pour cette raison que l’article 37 prévoit uniquement les plafonds des amendes administratives susceptibles d’être imposées aux entités régulées qui ne respecteraient pas leurs obligations en matière de cybersécurité.
Pour autant, l’objet de cet amendement ne pose pas de difficulté. C’est pourquoi la commission spéciale émet un avis de sagesse favorable.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme la présidente. Je mets aux voix les amendements identiques nos 21 rectifié nonies, 46 rectifié et 88 rectifié quinquies.
(Les amendements sont adoptés.)
Mme la présidente. Je mets aux voix l’article 37, modifié.
(L’article 37 est adopté.)
Après l’article 37
Mme la présidente. L’amendement n° 118, présenté par MM. Chaize, Saury et Canévet, au nom de la commission spéciale, est ainsi libellé :
Après l’article 37
Insérer un article additionnel ainsi rédigé :
Pour les entités essentielles mentionnées aux articles 8 et 10, les dispositions du présent chapitre entrent en vigueur trois ans après la promulgation de la loi n° du relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
Pour les entités importantes mentionnées aux articles 9 et 10, les dispositions du présent chapitre entrent en vigueur quatre ans après la promulgation de la loi n° du relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
La parole est à M. le rapporteur.