M. Patrick Chaize, rapporteur. Cet amendement vise à accorder aux entreprises, aux administrations et aux collectivités territoriales les délais nécessaires pour se mettre en conformité avec les obligations prévues par la directive NIS 2, dont ce projet de loi assure la transposition.
Il s’agira en particulier pour les 15 000 entités désormais régulées de se mettre en conformité avec le référentiel prévu à l’article 14 qu’édictera l’Anssi, ce qui nécessitera des investissements importants, le recours à des prestataires spécialisées, l’embauche de personnel qualifié, etc.
Il faudra donc laisser le temps aux entités de s’organiser. C’est pourquoi il est important de prévoir des délais nécessaires avant la mise en œuvre de contrôles, a fortiori de sanctions. Dans un souci de proportionnalité, ce délai est fixé à trois ans pour les entités essentielles et à quatre ans pour les entités importantes, qui sont de plus petite taille et souvent moins bien outillées pour mettre en place leurs nouvelles obligations en matière de cybersécurité.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. Nous avons eu l’occasion de nous exprimer sur ce point à plusieurs reprises.
Aucun délai d’entrée en vigueur autre que celui qui est relatif à la transposition par les États membres n’est prévu dans la directive. Des dispositions transitoires ou d’entrée en vigueur différée ne peuvent donc être retenues. Ce point a été confirmé par le Conseil d’État.
Pour ces raisons, le Gouvernement ne peut émettre un avis favorable sur cet amendement. Pour autant, je l’ai déjà mentionné, je m’engage à ce que cette logique de progressivité soit respectée. Elle se traduira par le délai de trois ans dont j’ai parlé tout à l’heure, au cours duquel les contrôles de l’Anssi ne seront que des contrôles blancs ayant une visée pédagogique et d’accompagnement.
Le Gouvernement demande donc le retrait de cet amendement, faute de quoi il émettrait un avis défavorable.
Mme la présidente. La parole est à M. le rapporteur.
M. Patrick Chaize, rapporteur. Dès lors que j’ai entendu l’explication de Mme la ministre, je retire cet amendement, madame la présidente.
Mme la présidente. L’amendement n° 118 est retiré.
Chapitre IV
Dispositions diverses d’adaptation
Article 38
Le titre III de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique est ainsi modifié :
1° L’article 30 est ainsi modifié :
a) Au II, les mots : « la communauté » sont remplacés par les mots : « l’Union » ;
b) Le III est ainsi modifié :
– le premier alinéa est ainsi rédigé :
« III. – La fourniture, le transfert depuis ou vers un État membre de l’Union européenne, l’importation et l’exportation d’un moyen de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité sont soumis à une déclaration préalable auprès du Premier ministre, sauf dans les cas prévus au b du présent III et sans préjudice des exigences applicables aux biens à double usage intégrant un moyen de cryptologie. Un décret en Conseil d’État fixe : » ;
– au b, après le mot : « depuis », sont insérés les mots : « ou vers », les mots : « la communauté » sont remplacés par les mots : « l’Union » et, après le mot : « importation », sont ajoutés les mots : « ou exportation » ;
c) Le IV est abrogé ;
2° L’article 33 est abrogé ;
3° Le I de l’article 35 est ainsi rédigé :
« I. – Sans préjudice de l’application du code des douanes, le fait de ne pas satisfaire à l’obligation de déclaration prévue à l’article 30 en cas de fourniture, de transfert depuis ou vers un État membre de l’Union européenne, d’importation ou d’exportation d’un moyen de cryptologie est puni d’un an d’emprisonnement et de 15 000 euros d’amende. – (Adopté.)
Article 39
I. – Le chapitre Ier du titre II du livre III de la deuxième partie du code de la défense est ainsi modifié :
1° L’article L. 2321-2-1 est ainsi modifié :
a) Au premier alinéa, la première occurrence du mot : « ou » est remplacée par le signe : « , » et les mots : « à l’article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité » sont remplacés par les mots : « des entités essentielles au sens des articles 8 et 10 de la loi n … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » ;
b) Au quatrième alinéa, la première occurrence du mot : « ou » est remplacée par le signe : « , » et les mots : « à l’article 5 de la loi n° 2018-133 du 26 février 2018 précitée » sont remplacés par les mots : « des entités essentielles au sens des articles 8 et 10 de la loi n° … du … précitée » ;
2° L’article L. 2321-3 est ainsi modifié :
a) Au premier alinéa, les mots : « opérateurs mentionnés à l’article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité » sont remplacés par les mots : « entités essentielles au sens de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » ;
b) Au deuxième alinéa, la première occurrence du mot : « ou » est remplacée par le signe : « , » et les mots : « à l’article 5 de la loi n° 2018-133 du 26 février 2018 précitée » sont remplacés par les mots : « d’une entité essentielle au sens des articles 8 et 10 de la loi n° … du … précitée ».
II. – Le code des postes et des communications électroniques est ainsi modifié :
1° L’article L. 33-1 est ainsi modifié :
a) À la fin du a du I, les mots : « qui incluent des obligations de notification à l’autorité compétente des incidents de sécurité ayant eu un impact significatif sur leur fonctionnement » sont supprimés ;
b) Après le q du même I, il est inséré un r ainsi rédigé :
« r) Les prescriptions en matière de sécurité des systèmes d’information prévues par loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité. » ;
c) À l’avant-dernier alinéa dudit I, les mots : « n ter et o » sont remplacés par les mots : « n ter, o et r » ;
d) Après le 3° du VII, il est inséré un 4° ainsi rédigé :
« 4° Les dispositions du r du I sont applicables en Polynésie française, dans les îles Wallis et Futuna et en Nouvelle-Calédonie dans leur rédaction issue de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité. » ;
2° Après le deuxième alinéa de l’article L. 45, il est inséré un alinéa ainsi rédigé :
« Chaque office d’enregistrement est responsable du fonctionnement technique du domaine de premier niveau qui lui est attribué, incluant notamment l’exploitation de ses serveurs de noms de domaine, la maintenance de ses bases de données d’enregistrement et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms de domaine, qu’il effectue lui-même ces opérations ou qu’elles soient sous-traitées. » ;
3° Au deuxième alinéa de l’article L. 45-3, après le mot : « territoire » sont insérés les mots : « de l’un des États membres » ;
4° L’article 45-4 est ainsi modifié :
a) La première phrase du premier alinéa est complétée par les mots : « ainsi que par les agents agissant pour le compte de ces derniers » ;
b) À la seconde phrase du même premier alinéa, après le mot : « enregistrement », sont insérés les mots : « ni aux agents agissant pour le compte de ces derniers » ;
c) Le dernier alinéa est complété par une phrase ainsi rédigée : « Les bureaux d’enregistrement sont responsables vis-à-vis de l’office d’enregistrement du respect de ces règles par les agents agissant pour leur compte. » ;
d) Il est ajouté un alinéa ainsi rédigé :
« Le décret en Conseil d’État prévu à l’article L. 45-7 précise les catégories d’agents pouvant agir pour le compte des bureaux d’enregistrement. » ;
5° L’article L. 45-5 est ainsi modifié :
a) Le deuxième alinéa est ainsi rédigé :
« Les offices d’enregistrement, par l’intermédiaire des bureaux d’enregistrement ainsi que des agents agissant pour le compte de ces derniers, collectent les données nécessaires à l’enregistrement des noms de domaine, notamment celles relatives à l’identification des personnes physiques ou morales titulaires de ces noms de domaine et des personnes chargées de leur gestion. Après l’enregistrement, et sans retard injustifié, les offices et les bureaux d’enregistrement rendent publiques, au moins quotidiennement, ces données dès lors qu’elles n’ont pas de caractère personnel. Ils tiennent ces bases de données à jour, en maintenant les données exactes et complètes, sans redondance de collecte, et sont responsables du traitement de ces données dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. » ;
b) À la première phrase du dernier alinéa, après le mot : « inexactes », sont insérés les mots : « ou incomplètes » ;
c) Sont ajoutés deux alinéas ainsi rédigés :
« Les offices d’enregistrement et les bureaux d’enregistrement répondent aux demandes d’accès aux données d’enregistrement dans un délai n’excédant pas soixante-douze heures après réception de la demande.
« Le décret en Conseil d’État prévu à l’article L. 45-7 fixe la liste des données d’enregistrement devant être collectées. » ;
6° L’article L. 45-8 est complété par les mots : « dans leur rédaction issue de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité ».
III. – Le titre Ier de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité est abrogé.
IV. – L’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives est ainsi modifiée :
1° Les 2° et 3° du II de l’article 1er sont abrogés ;
2° Les articles 9 et 12 sont abrogés ;
3° Le I de l’article 14 est abrogé – (Adopté.)
Après l’article 39
Mme la présidente. Je suis saisie de deux amendements identiques.
L’amendement n° 15 rectifié septies est présenté par Mme Morin-Desailly, M. Laugier, Mme Patru, M. Duffourg, Mmes Billon et Saint-Pé, MM. Henno et Lafon, Mme Jacquemet, M. Chauvet, Mme Gacquerre et MM. Pillefer et P. Martin.
L’amendement n° 44 est présenté par M. Cardon, Mmes Linkenheld, Blatrix Contat, Conway-Mouret et Narassiguin, MM. M. Vallet, Ros et les membres du groupe Socialiste, Écologiste et Républicain.
Ces deux amendements sont ainsi libellés :
Après l’article 39
Insérer un article additionnel ainsi rédigé :
La première phrase du premier alinéa de l’article L. 4121-3 du code du travail est complétée par les mots : « et dans la sécurisation des outils numériques ».
La parole est à Mme Catherine Morin-Desailly, pour présenter l’amendement n° 15 rectifié septies.
Mme Catherine Morin-Desailly. Il s’agit de compléter le document unique d’évaluation des risques professionnels (Duerp).
Ce document, qui, comme vous le savez, mes chers collègues, est obligatoire dans toute entreprise dès l’embauche du premier salarié, présente le résultat de l’évaluation des risques pour la santé et la sécurité auxquels peuvent être exposés les salariés.
Face à la menace cyber, à laquelle sont soumises maintenant quasi quotidiennement toutes les entreprises, il semble aujourd’hui pertinent de reconnaître le risque cyber comme un risque professionnel.
Une cyberattaque a bien sûr des conséquences économiques pour une entreprise, mais elle a aussi des conséquences psychosociales sur l’ensemble de ses personnels. Elle crée pour ses équipes une surcharge exceptionnelle d’activité, un sentiment de sidération, parfois d’incompétence, voire de culpabilité, qui peuvent aussi entacher l’efficacité.
La mise en place de nouveaux réflexes cyber après attaque peut également causer une forme de stress supplémentaire pour l’ensemble des salariés.
Compléter le document unique d’évaluation des risques professionnels permettrait un engagement général de toutes les parties prenantes de l’entreprise sur cette question, puisque celles-ci devraient procéder à une évaluation commune du risque et mettre en place une politique adaptée.
Cette nouvelle obligation participerait également à l’acculturation collective au numérique du plus grand nombre, en faveur de laquelle le Sénat plaide depuis de nombreuses années.
Mme la présidente. La parole est à M. Rémi Cardon, pour présenter l’amendement n° 44.
M. Rémi Cardon. Il s’agit d’un amendement de bon sens, qui vise à intégrer les risques cyber dans le Duerp distribué à l’embauche. Plus encore, ce document invite le salarié à une prise de conscience des risques au sein de l’entreprise.
Intégrer le risque cyber permet de satisfaire à trois objectifs : tout d’abord, sensibiliser et responsabiliser le salarié, ensuite, protéger les salariés – mieux vaut en effet prévenir que guérir –, enfin, favoriser un engagement plus large et une dynamique collective au sein de l’entreprise.
Voilà une disposition qui ne coûte pas cher ! (Sourires.)
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Je ne reviens pas sur l’objet de l’amendement. Néanmoins, je ne suis pas convaincu par le bénéfice qu’apporterait cette modification, qui figurerait dans un article du code du travail portant sur des sujets bien différents.
L’article a en effet trait à l’environnement de travail des travailleurs et à l’impact de ce dernier sur la santé physique et mentale des travailleurs, une question qui n’a que peu à voir avec la cybersécurité.
La commission spéciale émet donc un avis défavorable.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. Dans le cadre de la transposition de la directive NIS 2, nous avons l’obligation de respecter le plus fidèlement possible la directive et de ne pas surtransposer. Nous sommes pleinement conscients des risques que vous mentionnez et de l’importance d’embarquer les employés dans la compréhension des risques cyber et la préparation à ces risques.
Cependant, il nous semble qu’il s’agirait là d’une surtransposition qui ne plairait pas aux entités, parce que, nous le savons, il faut que le cadre européen reste le plus harmonisé possible ; nous ne devons pas tomber dans la disparité. L’harmonisation, telle est bien l’objectif de ce texte.
A contrario, cette disposition créerait pour les entités assujetties une obligation que la directive ne prévoit pas. Elle s’appliquerait par ailleurs au-delà du périmètre des organisations prévues dans la directive.
Pour toutes ces raisons, le Gouvernement demande le retrait de cet amendement ; à défaut, il émettrait un avis défavorable.
Mme la présidente. Je mets aux voix les amendements identiques nos 15 rectifié septies et 44.
(Les amendements ne sont pas adoptés.)
Article 40
I. – Le titre II de la présente loi, à l’exception de l’article 13 et des 2° à 6° du II de l’article 39, est applicable en Polynésie française et en Nouvelle-Calédonie, sous réserve des adaptations suivantes :
1° En l’absence d’adaptation, les références faites par des dispositions du titre II applicables en Polynésie française et en Nouvelle-Calédonie à des dispositions qui n’y sont pas applicables sont remplacées par les références aux dispositions ayant le même objet applicables localement ;
2° En Polynésie française et en Nouvelle-Calédonie, les sanctions pécuniaires encourues en application du titre II sont prononcées en monnaie locale, compte tenu de la contre-valeur de l’euro dans cette monnaie.
I bis (nouveau). – le titre II de la présente loi, à l’exception de l’article 13, est applicable dans les îles Wallis et Futuna et dans les Terres australes et antarctiques françaises. Toutefois, dans les îles Wallis et Futuna les sanctions pécuniaires encourues en vertu du titre II de la présente loi sont prononcées en monnaie locale, compte tenu de la contre-valeur de l’euro dans cette monnaie.
II. – L’article 13 de la présente loi n’est pas applicable à Saint-Barthélemy et à Saint-Pierre-et-Miquelon.
III. – Pour l’application du titre II à Saint-Barthélemy, à Saint-Pierre-et-Miquelon, dans les îles Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les références à la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148, au règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, au règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n° 1999/93/CE et au règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 sont remplacées par la référence aux règles en vigueur en métropole en vertu de la même directive et des mêmes règlements.
IV. – Le I de l’article 57 de la loi n° 2004-575 du 21 juin 2004 précitée est ainsi modifié :
1° Au premier alinéa, les mots : « 25 et 29 à 49 » sont remplacés par les mots : « 25, 29 à 31 et 37 à 49 » et les mots : « loi n° 2024-449 du 21 mai 2024 visant à sécuriser et à réguler l’espace numérique » sont remplacés par les mots : « loi n … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » ;
2° Au deuxième alinéa, les mots : « 25 et 29 à 49 » sont remplacés par les mots : « 25, 29 à 31 et 37 à 49 » et, après les mots : « Terres australes et antarctiques françaises », sont insérés les mots : « dans leur rédaction résultant de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » ;
3° Au troisième alinéa, les mots : « articles 35 à 38 » sont remplacés par les mots : « articles 37, 38 » et les mots : « 29 à 34, 39 et 40 » sont remplacés par les mots : « 29 à 31, 37, 39 et 40 ».
V. – Le I de l’article 24 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité est ainsi rédigé :
« I. – Le titre V est applicable à Wallis-et-Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, dans sa rédaction résultant de la présente loi. »
VI. – L’article 16 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives est complété par les mots : « dans sa rédaction résultant de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité » – (Adopté.)
Chapitre V
Dispositions relatives aux communications électroniques
Article 41
L’article L. 39-1 du code des postes et des communications électroniques est ainsi rédigé :
« Art. L. 39-1. – I. – Est puni de six mois d’emprisonnement et de 30 000 euros d’amende le fait :
« 1° De maintenir un réseau indépendant en violation d’une décision de suspension ou de retrait du droit d’établir un tel réseau ;
« 2° D’utiliser une fréquence, un équipement ou une installation radioélectrique :
« a) Dans des conditions non conformes à l’article L. 34-9 ;
« b) Sans posséder l’autorisation prévue à l’article L. 41-1 ;
« c) En dehors des conditions de ladite autorisation lorsque celle-ci est requise ;
« d) Sans posséder le certificat d’opérateur prévu à l’article L. 42-4 ;
« e) En dehors des conditions réglementaires générales prévues à l’article L. 33-3 ;
« f) Sans l’accord ou l’avis mentionné au I de l’article L. 43 ou en dehors des caractéristiques déclarées lors de la demande de cet accord ou de cet avis.
« II. – Est puni de trois ans d’emprisonnement et de 75 000 euros d’amende, sans préjudice de l’application de l’article 78 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, le fait :
« 1° De perturber les émissions hertziennes d’un service autorisé en utilisant une fréquence, un équipement ou une installation radioélectrique :
« a) Dans des conditions non conformes à l’article L. 34-9 ;
« b) Sans posséder l’autorisation prévue à l’article L. 41-1 ;
« c) En dehors des conditions de ladite autorisation lorsque celle-ci est requise ;
« d) Sans posséder le certificat d’opérateur prévu à l’article L. 42-4 ;
« e) En dehors des conditions réglementaires générales prévues à l’article L. 33-3 ;
« f) Sans l’accord ou l’avis mentionné au I de l’article L. 43 ou en dehors des caractéristiques déclarées lors de la demande de cet accord ou de cet avis ;
« 2° De perturber les émissions hertziennes d’un service autorisé en utilisant un appareil, un équipement ou une installation, électrique ou électronique, dans des conditions non conformes à la réglementation régissant la compatibilité électromagnétique des équipements électriques et électroniques.
« III. – Est puni de cinq ans d’emprisonnement et de 150 000 euros d’amende le fait :
« 1° D’avoir pratiqué l’une des activités prohibées par le I de l’article L. 33-3-1 en dehors des cas et conditions prévus au II du même article L. 33-3-1 ;
« 2° D’utiliser, sans l’autorisation prévue au premier alinéa de l’article L. 41-1, des fréquences attribuées par le Premier ministre en application de l’article L. 41 pour les besoins de la défense nationale et de la sécurité publique ou d’utiliser une installation radioélectrique, en vue d’assurer la réception de signaux transmis sur ces mêmes fréquences, sans l’autorisation prévue au deuxième alinéa de l’article L. 41-1. »
Mme la présidente. L’amendement n° 110, présenté par le Gouvernement, est ainsi libellé :
Alinéa 11
Remplacer les mots :
sans préjudice
par les mots :
sous réserve
La parole est à Mme la ministre déléguée.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. Avis favorable.
Mme la présidente. Je mets aux voix l’article 41, modifié.
(L’article 41 est adopté.)
Article 42
I. – L’article L. 97-2 du code des postes et communications électroniques est ainsi modifié :
1° Le I est ainsi modifié :
a) Le second alinéa du 1 est remplacé par cinq alinéas ainsi rédigés :
« L’Agence nationale des fréquences déclare, au nom de la France, l’assignation de fréquence correspondante à l’Union internationale des télécommunications et engage la procédure prévue par le règlement des radiocommunications.
« Cette déclaration est effectuée sous réserve :
« – de la conformité de l’assignation demandée avec le tableau national de répartition des bandes de fréquences et aux stipulations des instruments de l’Union internationale des télécommunications ;
« – de l’existence d’un intérêt économique ou d’un intérêt pour la défense nationale justifiant que la déclaration soit effectuée au nom de la France ;
« – que l’assignation soumise ne soit pas de nature à compromettre les intérêts de la sécurité nationale et le respect par la France de ses engagements internationaux. » ;
b) Le 2 est ainsi modifié :
– après le deuxième alinéa, il est inséré un alinéa ainsi rédigé :
« L’autorisation est octroyée à une entité de droit français ou à un établissement immatriculé au registre du commerce et des sociétés en France. » ;
– au 1°, après le mot : « défense », il est inséré le mot : « nationale » et sont ajoutés les mots : « ainsi que le respect par la France de ses engagements internationaux » ;
– après le 4°, sont insérés des 5° et 6° ainsi rédigés :
« 5° Lorsque le demandeur ne peut démontrer que l’autorisation présente un intérêt économique pour la France ;
« 6° Lorsque le demandeur est dans l’incapacité technique ou financière de faire face durablement aux obligations qui seraient les siennes une fois l’autorisation obtenue. » ;
c) Il est ajouté un alinéa ainsi rédigé :
« Elle peut être assortie, le cas échéant, de conditions visant à assurer que les activités prévues dans le cadre de l’exploitation de l’assignation autorisée ne porteront pas atteinte aux intérêts de la sécurité et de la défense nationale ou au respect par la France de ses engagements internationaux. » ;
2° Le second alinéa du III est remplacé par onze alinéas ainsi rédigés :
« Lorsque le titulaire de l’autorisation ne se conforme pas, dans le délai imparti, à la mise en demeure qui lui a été adressée, le ministre chargé des communications électroniques peut lui notifier des griefs.
« Après que l’intéressé a reçu la notification des griefs et a été mis à même de consulter le dossier et de présenter ses observations écrites, le ministre chargé des communications électroniques procède, avant de prononcer une sanction, à son audition selon une procédure contradictoire.
« Le ministre chargé des communications électroniques peut, en outre, entendre toute personne dont l’audition lui paraît utile.
« Le ministre chargé des communications électroniques peut prononcer à l’encontre du titulaire de l’autorisation l’une des sanctions suivantes :
« 1° La suspension totale ou partielle, pour un mois au plus, de l’autorisation, la réduction de sa durée, dans la limite d’une année, ou son retrait ;
« 2° Une sanction pécuniaire dont le montant est proportionné à la gravité du manquement et aux avantages qui en sont retirés, sans pouvoir excéder 3 % du chiffre d’affaires hors taxes du dernier exercice clos, ou 5 % de celui-ci en cas de nouvelle violation de la même obligation. À défaut d’activité permettant de déterminer ce plafond, le montant de la sanction ne peut excéder 150 000 euros, ou 375 000 euros en cas de nouvelle violation de la même obligation ;
« 3° L’interruption de la procédure engagée par la France auprès de l’Union internationale des télécommunications.
« Lorsque le manquement est constitutif d’une infraction pénale, le montant total des sanctions pécuniaires prononcées ne peut excéder le montant de la sanction encourue le plus élevé.
« Lorsque le ministre chargé des communications électroniques a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué sur les mêmes faits ou des faits connexes, ce dernier peut ordonner que la sanction pécuniaire s’impute sur l’amende qu’il prononce.
« Les sanctions pécuniaires sont recouvrées comme les créances de l’État étrangères à l’impôt et au domaine.
« Les décisions du ministre chargé des communications électroniques sont motivées et notifiées à l’intéressé. Elles peuvent être rendues publiques dans les publications, journaux ou services de communication au public par voie électronique choisis par lui, dans un format et pour une durée proportionnés à la sanction infligée. Elles peuvent faire l’objet d’un recours de pleine juridiction. » ;
3° Le VI est ainsi rédigé :
« VI. – Un décret en Conseil d’État fixe les modalités d’application du présent article. Il précise :
« 1° Les conditions dans lesquelles l’Agence nationale des fréquences déclare, au nom de la France, les assignations de fréquence à l’Union internationale des télécommunications ;
« 2° La procédure selon laquelle les autorisations sont délivrées ou retirées et selon laquelle leur caducité est constatée ;
« 3° Les conditions dont les autorisations d’exploitation peuvent être assorties ;
« 4° La durée et les conditions de modification et de renouvellement de l’autorisation ;
« 5° Les conditions de mise en service du système satellitaire ;
« 6° Les modalités d’établissement et de recouvrement de la redevance prévue au deuxième alinéa du 2 du I ;
« 7° Les modalités des procédures de mise en demeure et de sanction prévues au III. »
II. – À l’article L. 97-4 du code des postes et des communications électroniques, après la référence : « L. 97-2 », sont insérés les mots : « , dans sa rédaction résultant de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, ».
III. – Les dispositions du présent article s’appliquent à compter de l’entrée en vigueur du décret prévu au VI et au plus tard le 31 décembre 2025.