Mme la présidente. L’amendement n° 72, présenté par Mme Gréaume, M. Gay et les membres du groupe Communiste Républicain Citoyen et Écologiste – Kanaky, est ainsi libellé :
Alinéa 11
Compléter cet alinéa par une phrase ainsi rédigée :
L’ensemble des activités relevant de l’exploitation d’une fréquence, notamment la fourniture de services de communications électroniques qui en découle, est soumis aux mêmes obligations d’immatriculation et de droit.
La parole est à M. Gérard Lahellec.
M. Gérard Lahellec. Cet amendement vise à poser une règle simple : lorsque l’on exploite une ressource publique, le spectre électromagnétique, et que l’on fait du commerce sur notre sol, on doit se plier aux mêmes exigences que n’importe quelle entreprise française.
Certes, nous ne disons pas que cette proposition est une solution miracle. Mais elle représente un premier pas.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Patrick Chaize, rapporteur. De nombreux acteurs internationaux font le choix de s’adresser à la France, afin de bénéficier d’une autorisation d’exploiter une assignation de fréquence déposée auprès de l’Union internationale des télécommunications (UIT), car l’Agence nationale des fréquences (ANFR) est tout à fait reconnue pour sa capacité à en obtenir.
Si cette situation témoigne de l’excellence de l’expertise française dans ce domaine, il paraît indispensable de s’assurer que les acteurs privés qui bénéficient de ce savoir-faire en matière de gestion de fréquences ne nuisent pas aux intérêts de la sécurité et de la défense nationale et contribuent au développement de l’économie française.
C’est pourquoi les évolutions prévues à l’article 42, qui visent à accorder plus de marge à l’ANFR et au ministre chargé des communications électroniques avant, durant et après la procédure d’autorisation d’assignation de fréquences relatives à un système satellitaire, sont particulièrement bienvenues. Je pense en particulier au fait de prévoir que l’autorisation d’exploiter une fréquence ne peut être octroyée qu’à une entité de droit français ou à un établissement immatriculé au registre du commerce et des sociétés en France.
Le savoir-faire de l’ANFR doit en effet bénéficier non à des entreprises étrangères sans lien avec la France et uniquement à la recherche de la juridiction la plus favorable à leurs intérêts, mais à des entreprises qui sont en mesure de faire valoir l’existence d’un intérêt économique ou d’un intérêt pour la défense nationale, justifiant que la déclaration soit effectuée au nom de la France.
Prévoir une obligation d’établissement en France pour l’emploi ultérieur de systèmes satellitaires à des fins de fourniture de services de communication électronique poserait en revanche un problème de compatibilité avec le droit de l’Union européenne, en particulier avec l’article 56 du traité sur le fonctionnement de l’Union européenne, qui garantit la libre prestation de services.
Par conséquent, la commission spéciale émet un avis défavorable sur cet amendement.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme la présidente. Madame la ministre, monsieur le rapporteur, mes chers collègues, il est bientôt vingt heures. Nous allons entamer la discussion du titre III de ce projet de loi. Pensez-vous que nous pouvons examiner les 17 amendements qui lui sont rattachés en trente minutes ? (Marques d’assentiment.)
Cela suppose que, tous, nous fassions preuve de concision.
TITRE III
RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE DU SECTEUR FINANCIER
Chapitre Ier
Dispositions modifiant le code monétaire et financier
Article 43 A (nouveau)
Le code monétaire et financier est ainsi modifié :
1° La section 2 du chapitre Ier du livre Ier est complétée par un article L. 141-10 ainsi rédigé :
« Art. L. 141-10. – La Banque de France exerce les fonctions et missions prévues à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 pour les dépositaires centraux mentionnés à l’article L. 441-1. » ;
2° Après l’article L. 612-24, il est inséré un article L. 612-24-1 ainsi rédigé :
« Art. L. 612-24-1. – L’Autorité de contrôle prudentiel et de résolution exerce les fonctions et missions prévues à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 pour les personnes mentionnées au A du I de l’article L. 612-2, à l’exception de celles mentionnées au b de son 2°. »
Mme la présidente. L’amendement n° 123, présenté par le Gouvernement, est ainsi libellé :
I. - Alinéa 3
Remplacer les mots :
exerce les fonctions et missions prévues à l’article 19
par les mots :
veille au respect
II. - Alinéa 5
1° Remplacer les mots :
exerce les fonctions et missions prévues à l’article 19
par les mots :
veille au respect
2° Après les mots :
personnes mentionnées
Rédiger ainsi la fin de cet alinéa :
aux I et II de l’article L. 612-2, à l’exception de celles mentionnées au b du 2° du A du I et du 8° du B du I.
La parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée. Cet amendement vise à désigner la Banque de France, ainsi que l’Autorité de contrôle prudentiel et de résolution (ACPR), comme autorités compétentes au titre de l’application du règlement Dora.
Nous avons eu un certain nombre de discussions sur la nécessaire articulation entre l’application de la directive NIS 2 et celle du règlement Dora, notamment en ce qui concerne la notification des incidents. Celle-ci permet d’assurer l’assistance technique dont les entités concernées auront besoin de la part des équipes spécialisées dans la gestion des incidents de sécurité informatique, les Csirt.
Il nous semble que cette articulation est satisfaite par un autre amendement, qui tend à expliciter les incidents concernés. Dans le cadre de Dora, nous demandons que l’autorité compétente et l’Anssi soient notifiées des incidents, afin de répondre aux impératifs opérationnels.
Les entités financières peuvent être attaquées à tout moment, de jour comme de nuit, n’importe quel jour. Or l’autorité financière n’opère pas les week-ends. Il est donc essentiel de maintenir la notification auprès de l’Anssi, qui assure déjà, de manière opérationnelle, un rôle d’appui, de contrôle et de soutien à tout moment.
Mme la présidente. Le sous-amendement n° 124, présenté par M. Canévet, est ainsi libellé :
Amendement n° 123, alinéas 1 à 5 et 7 à 10
Supprimer ces alinéas.
La parole est à M. Michel Canévet.
M. Michel Canévet. Ce que la commission spéciale a cherché, c’est la simplification pour l’ensemble des opérateurs. Tel est le sens des améliorations du texte que nous avons proposées.
L’amendement n° 123, que le Gouvernement a d’ailleurs déposé très tardivement, vise à remettre en cause ce travail. J’ai donc déposé ce sous-amendement, qui vise à préserver le principe du guichet unique, afin d’éviter aux entreprises d’avoir à multiplier les démarches. Toutefois, je conserve une partie des dispositions gouvernementales, qui corrigent une erreur de référence et me semblent donc justifiées.
Mme la présidente. Quel est l’avis du Gouvernement sur le sous-amendement n° 124 ?
Mme Clara Chappaz, ministre déléguée. Le processus que j’ai décrit nous semble approprié, car il permet de conserver une certaine simplicité en utilisant un même formulaire et un système efficace de partage d’informations entre les deux autorités.
M. le rapporteur et moi-même avons eu l’occasion d’échanger sur ce point à plusieurs reprises ; nous restons tous deux convaincus de nos positions respectives. En tout cas, il me paraît nécessaire de s’appuyer sur l’Anssi dans le cadre du règlement Dora.
Mme la présidente. Je mets aux voix l’article 43 A, modifié.
(L’article 43 A est adopté.)
Après l’article 43 A
Mme la présidente. L’amendement n° 107 rectifié, présenté par le Gouvernement, est ainsi libellé :
Après l’article 43 A
Insérer un article additionnel ainsi rédigé :
Après l’article L. 612-24 du code monétaire et financier, il est inséré un article L. 612-24-… ainsi rédigé :
« Art. L. 612-24-…. I. – En application du premier alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières soumises à ce règlement qui relèvent de la compétence de l’Autorité de contrôle prudentiel et de résolution, à l’exception des personnes mentionnées au b) du 2° du A du I de l’article L. 612-2, adressent à l’Autorité de contrôle prudentiel et de résolution leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.
« Lorsque ces entités sont également soumises en tant qu’entités essentielles ou importantes aux dispositions prévues au titre II de la loi n° X du X relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, elles transmettent également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.
« II. – En application du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les entités financières mentionnées au premier alinéa du I peuvent adresser à l’Autorité de contrôle prudentiel et de résolution leurs notifications de cybermenaces. Dans ce cas, elles transmettent également ces notifications à l’autorité nationale de sécurité des systèmes d’information. »
La parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée. Cet amendement vise à définir une procédure qui évite aux entités de devoir adresser plusieurs déclarations identiques aux différentes autorités financières dont elles relèvent.
Une communication supplémentaire est toutefois prévue au bénéfice de l’Anssi, de manière obligatoire pour les entités assujetties à NIS 2 et sur une base volontaire pour les autres entités, afin de faciliter le partage rapide d’informations et le traitement des incidents et menaces par l’Anssi.
Je tiens à insister de nouveau sur ce point : nous disposons avec l’Anssi d’une autorité compétente sur ces questions. Il est essentiel de s’assurer qu’elle puisse accompagner au mieux les entités financières lorsque celles-ci sont ciblées par des attaques.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Michel Canévet, rapporteur. La commission spéciale souhaitant simplifier la vie des entreprises, elle a émis un avis défavorable sur cet amendement.
Mme la présidente. La parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée. Nous aussi, nous visons un objectif de simplification. Mais il me semble que les entreprises peuvent tout de même renseigner un simple formulaire ! Ainsi, elles pourront accéder facilement au soutien qui leur est absolument nécessaire en cas de cyberattaque.
Mme la présidente. La parole est à M. le rapporteur.
M. Michel Canévet, rapporteur. Adopter cet amendement serait contradictoire avec la position que nous venons de prendre sur l’article précédent.
Mme la présidente. Je mets aux voix l’amendement n° 107 rectifié.
(L’amendement n’est pas adopté.)
Article 43
Au 7° du III de l’article L. 314-1 du code monétaire et financier, après les mots : « de l’information », sont insérés les mots : « et de la communication » – (Adopté.)
Article 44
L’article L. 420-3 du code monétaire et financier est ainsi modifié :
1° Le I est ainsi modifié :
a) À la première phrase, les mots : « des systèmes, des procédures et des mécanismes efficaces assurant » sont remplacés par les mots : « et maintient sa résilience opérationnelle conformément aux exigences prévues au chapitre II du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 pour garantir » et le mot : « tension » est remplacé par les mots : « graves tensions » ;
b) À la deuxième phrase, après le mot : « tests », il est inséré le mot : « exhaustifs » et, à la fin, les mots : « dans des situations d’extrême volatilité des marchés » sont supprimés ;
c) À la troisième phrase, après le mot : « activités », sont insérés les mots : « , y compris une politique et des plans en matière de continuité des activités liées aux technologies de l’information et de la communication et des plans de réponse et de rétablissement des technologies de l’information et de la communication mis en place conformément à l’article 11 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 précitée afin d’assurer le maintien de ses services, » ;
2° Le III est ainsi modifié :
a) Au premier alinéa, après la seconde occurrence du mot : « tests », sont insérés les mots : « conformément aux exigences fixées aux chapitres II et IV du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 précitée » et les mots : « s’assurer » sont remplacés par le mot : « garantir » ;
b) Au deuxième alinéa, après le mot : « négociation, », il est inséré le mot : « afin » – (Adopté.)
Article 45
Le code monétaire et financier est ainsi modifié :
1° À l’article L. 421-4, les mots : « aux alinéas 2 et 4 » sont remplacés par les mots : « au 2 » ;
2° L’article L. 421-11 est ainsi modifié :
a) Le I est ainsi modifié :
– au 2, après le mot : « permettant », sont insérés les mots : « de gérer les risques auxquels elle est exposée, y compris les risques liés aux technologies de l’information et de la communication conformément au chapitre II du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011, » ;
– le 4 est abrogé ;
b) À la seconde phrase du premier alinéa du III, les mots : « aux 2 et 4 » sont remplacés par les mots : « au 2 » et sont ajoutés les mots : « du présent article » ;
c) À la seconde phrase du second alinéa du même III, les mots : « aux 2 et 4 » sont remplacés par les mots : « au 2 » et, après la référence : « II », sont insérés les mots : « du présent article » – (Adopté.)
Après l’article 45
Mme la présidente. Je suis saisie de trois amendements faisant l’objet d’une discussion commune.
L’amendement n° 119, présenté par MM. Canévet, Chaize et Saury, au nom de la commission spéciale, est ainsi libellé :
Après l’article 45
Insérer un article additionnel ainsi rédigé :
Le code monétaire et financier est ainsi modifié :
1° L’article L. 54-10-7 est complété par un paragraphe ainsi rédigé :
« …. – L’Autorité des marchés financiers exerce les fonctions et missions prévues à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 pour les prestataires agréés conformément au I, à l’exception de ceux visés à l’article L. 612-24-1. » ;
2° Après l’article L. 421-11, il est inséré un article L. 421-11-… ainsi rédigé :
« Art. L. 421-11-… – L’Autorité des marchés financiers exerce les fonctions et missions prévues à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 pour l’entreprise de marché mentionnée à l’article L. 421-2. »
La parole est à M. le rapporteur.
M. Michel Canévet, rapporteur. Cet amendement vise à désigner l’Autorité de contrôle prudentiel et de résolution comme institution de référence pour les entreprises de marché et pour les prestataires de cryptoactifs.
Mme la présidente. L’amendement n° 111 rectifié, présenté par le Gouvernement, est ainsi libellé :
Après l’article 45
Insérer un article additionnel ainsi rédigé :
L’article L. 54-10-7 du code monétaire et financier est complété par un paragraphe ainsi rédigé :
« VI. En application du deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les prestataires agréés conformément au I, à l’exception de ceux visés au I. de l’article L. 612-24-1 du code monétaire et financier, adressent à l’Autorité des marchés financiers leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.
« En application du premier alinéa du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, les prestataires agréés conformément au I, à l’exception de ceux visés au I de l’article L. 612-24-1 du code monétaire et financier peuvent adresser à l’Autorité des marchés financiers leurs notifications de cybermenaces. »
La parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée. Cet amendement vise à désigner l’Autorité des marchés financiers (AMF) comme destinataire des déclarations d’incidents des prestataires de services sur cryptoactifs agréés, conformément au règlement Dora.
Mme la présidente. L’amendement n° 112 rectifié, présenté par le Gouvernement, est ainsi libellé :
Après l’article 45
Insérer un article additionnel ainsi rédigé :
Après l’article L. 421-11 du code monétaire et financier, il est inséré un article L. 421-11-1 ainsi rédigé :
« Art. L. 421-11-1. – En application du deuxième alinéa du paragraphe 1 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, l’entreprise de marché adresse à l’Autorité des marchés financiers ses déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.
« Lorsque l’entreprise de marché est également soumise en tant qu’entité essentielle ou importante aux dispositions prévues au titre II de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, elle transmet également à l’autorité nationale de sécurité des systèmes d’information, en application du sixième alinéa du 1 de l’article 19 du règlement mentionné à l’alinéa précédent, leurs déclarations d’incidents majeurs liés aux technologies de l’information et de la communication.
« En application du premier alinéa du paragraphe 2 de l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier, l’entreprise de marché peut adresser à l’Autorité des marchés financiers ses notifications de cybermenaces. Dans ce cas, elle transmet également ces notifications à l’autorité nationale de sécurité des systèmes d’information. »
La parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée. Il s’agit d’une disposition similaire, mais pour les entreprises de marché.
Mme la présidente. Quel est l’avis de la commission spéciale sur les amendements nos 111 rectifié et 112 rectifié ?
M. Michel Canévet, rapporteur. La commission spéciale émet un avis défavorable sur ces amendements.
Mme la présidente. Quel est l’avis du Gouvernement sur l’amendement n° 119 ?
Mme Clara Chappaz, ministre déléguée. Nos deux amendements ont été travaillés avec l’AMF, et leur rédaction semble plus satisfaisante. Je sollicite donc le retrait de l’amendement n° 119 à leur profit.
Mme la présidente. En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 45, et les amendements nos 111 rectifié et 112 rectifié n’ont plus d’objet.
Article 46
L’article L. 511-41-1-B du code monétaire et financier est ainsi modifié :
1° Le deuxième alinéa est ainsi modifié :
a) Après le mot : « opérationnel », sont insérés les mots : « dont les risques liés aux technologies de l’information et de la communication au sens du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011, y compris ceux liés aux services de technologies de l’information et de la communication fournis par les prestataires tiers, » ;
b) Après le mot : « excessif », sont insérés les mots : « , les risques mis en évidence par des tests de résilience opérationnelle numérique conformément au chapitre IV du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 précité » ;
2° Le cinquième alinéa est ainsi modifié :
a) Après le mot : « établir », sont insérés les mots : « des politiques et » ;
b) Après le mot : « activité », sont insérés les mots : « ainsi que des plans de réponse et de rétablissement des technologies de l’information et de la communication concernant les technologies qu’ils utilisent pour la communication d’informations » – (Adopté.)
Article 47
Au premier alinéa de l’article L. 511-55 du code monétaire et financier, après le mot : « saines, » sont insérés les mots : « de réseaux et de systèmes d’information mis en place et gérés conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011, » – (Adopté.)
Article 48
L’article L. 521-9 du code monétaire et financier est complété par un alinéa ainsi rédigé :
« Ils respectent en outre les exigences du chapitre II du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 applicables aux prestataires de services de paiement définis au I de l’article L. 521-1. – (Adopté.)
Article 49
Les I et II de l’article L. 521-10 du code monétaire et financier sont ainsi rédigés :
« I. – Les prestataires de services de paiement déclarent à l’Autorité de contrôle prudentiel et de résolution tout incident opérationnel ou de sécurité majeur lié au paiement. Les prestataires de services de paiement mentionnés au I et au c du II de l’article L. 521-10 réalisent cette déclaration conformément aux dispositions de l’article 23 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.
« Lorsque les prestataires de services de paiement déclarent ces incidents à l’Autorité de contrôle prudentiel et de résolution, ils le font dans les conditions prévues par l’article 19 de ce règlement, à l’exception des entités mentionnées aux a et b du II de l’article L. 521-1.
« L’Autorité de contrôle prudentiel et de résolution prend, au besoin, des mesures appropriées, conformément aux dispositions de l’article 22 dudit règlement, à l’exception des mesures relatives aux entités mentionnées aux a et b du II de l’article L. 521-1.
« En application de l’article L. 631-1, l’Autorité de contrôle prudentiel et de résolution communique ces incidents et, le cas échéant, les mesures prises à la Banque de France aux fins de l’accomplissement par celle-ci de ses missions prévues à l’article L. 141-4.
« II. – La Banque de France évalue les incidents opérationnels ou de sécurité majeurs liés au paiement. Elle prend au besoin des mesures appropriées et en informe l’Autorité de contrôle prudentiel et de résolution en application de l’article L. 631-1. »