Mme la présidente. L’amendement n° 120, présenté par MM. Canévet, Chaize et Saury, au nom de la commission spéciale, est ainsi libellé :
I. – Alinéa 2, seconde phrase
1° Supprimer les mots :
et au c du II
2° Remplacer la référence :
L. 521-10
par la référence :
L. 521-1
II. – Alinéas 3 et 4
Remplacer les mots :
aux a et b du
par le mot :
au
III. – Compléter cet article par deux alinéas ainsi rédigés :
…. – Il est ajouté un paragraphe ainsi rédigé :
«… – La Caisse des dépôts et consignations réalise les déclarations mentionnées au I, dans les conditions prévues par le décret mentionné à l’article L. 518-15-1. »
La parole est à M. le rapporteur.
M. Michel Canévet, rapporteur. Cet amendement vise à prendre en compte la situation particulière de la Caisse des dépôts et consignations (CDC), pour l’intégrer aux obligations déclaratives.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme la présidente. Je mets aux voix l’article 49, modifié.
(L’article 49 est adopté.)
Article 49 bis (nouveau)
Le III de l’article L. 532-50 du code monétaire et financier est complété par un alinéa ainsi rédigé :
« Les dispositions du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 s’appliquent aux succursales agréées conformément au I du présent article dans les conditions prévues pour les succursales d’établissement de crédit agréées conformément à l’article L. 511-10. – (Adopté.)
Article 50
Au premier alinéa de l’article L. 533-2 du code monétaire et financier, après le mot : « informatiques », sont insérés les mots : « , y compris des réseaux et des systèmes d’information mis en place et gérés conformément au règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011, » – (Adopté.)
Article 51
L’article L. 533-10 du code monétaire et financier est ainsi modifié :
1° Le I est complété par un 6° ainsi rédigé :
« 6° À l’exception de celles qui gèrent des fonds d’investissement alternatifs relevant du IV de l’article L. 532-9 ou des fonds d’investissement alternatifs relevant du I de l’article L. 214-167, mettent en place des procédures administratives et comptables saines, des dispositifs de contrôle et de sauvegarde dans le domaine du traitement électronique des données, y compris des réseaux et des systèmes d’information mis en place et gérés conformément au règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011. » ;
2° Le II est ainsi modifié :
a) À la première phrase du 4°, après le mot : « systèmes », sont insérés les mots : « appropriés et proportionnés, y compris des systèmes de technologies de l’information et de la communication mis en place et gérés conformément à l’article 7 du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 précité » ;
b) Le 5° est ainsi modifié :
– après le mot : « garantir », sont insérés les mots : « , conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011, » ;
– après le mot : « information, », il est inséré le mot : « pour » ;
– après les mots : « autorisé et », il est inséré le mot : « pour » – (Adopté.)
Article 52
L’article L. 533-10-4 du code monétaire et financier est ainsi modifié :
1° Le a du 1° est complété par les mots : « , conformément aux exigences prévues au chapitre II du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 » ;
2° Le 2° est ainsi modifié :
a) Le mot : « plans » est remplacé par le mot : « mécanismes » ;
b) Après le mot : « négociation, », sont insérés les mots : « y compris d’une politique et de plans en matière de continuité des activités liées aux technologies de l’information et de la communication et de plans de réponse et de rétablissement des technologies de l’information et de la communication mis en place conformément à l’article 11 du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 précité » ;
c) Sont ajoutés les mots : « et aux chapitres II et IV du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 précité » – (Adopté.)
Article 53
(Supprimé)
Article 54
Le III de l’article L. 613-38 du code monétaire et financier est ainsi modifié :
1° Au 3°, après le mot : « continuité », sont insérés les mots : « et la résilience opérationnelle numérique » ;
2° Le 17° est complété par les mots : « , y compris des réseaux et des systèmes d’information mentionnés dans le règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 » – (Adopté.)
Après l’article 54
Mme la présidente. L’amendement n° 73, présenté par Mme Gréaume, M. Gay et les membres du groupe Communiste Républicain Citoyen et Écologiste – Kanaky, est ainsi libellé :
Après l’article 54
Insérer un article additionnel ainsi rédigé :
Après l’article L. 574-6 du code monétaire et financier, il est inséré un article L. 574-… ainsi rédigé :
« Art. L. 574-….- I. – Les entités mentionnées au sein du titre III de la loi n° du relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, et relevant du champ d’application des chapitres II et IV du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :
« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;
« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;
« II. – À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au I, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »
La parole est à M. Gérard Lahellec.
M. Gérard Lahellec. Cet amendement tend à poser un principe de bon sens : lorsque les entités bancaires et financières externalisent des services numériques, elles doivent en priorité recourir à des prestataires qui respectent nos normes de cybersécurité, notre réglementation et notre fiscalité.
Si, dans un cas précis, aucune offre n’est disponible sur le territoire, une exception peut être faite.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Michel Canévet, rapporteur. Je comprends l’intention des auteurs de cet amendement. Ce sujet doit être examiné dans un cadre européen et la préférence conçue à ce niveau, car les institutions font appel à des opérateurs sur l’ensemble du continent.
La commission spéciale a donc émis un avis défavorable sur cet amendement.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme la présidente. Je mets aux voix l’amendement n° 73.
(L’amendement n’est pas adopté.)
Article 55
Le quatrième alinéa du II de l’article L. 631-1 du code monétaire et financier est ainsi rédigé :
« L’Autorité des marchés financiers, la Banque de France, l’Autorité de contrôle prudentiel et de résolution et l’autorité nationale en charge de la sécurité des systèmes d’information se communiquent sans délai les renseignements utiles à l’exercice de leurs missions respectives dans le domaine de la sécurité des systèmes d’information afin d’assurer, en particulier, le respect de la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité et du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011. – (Adopté.)
Article 56
Le code monétaire et financier est ainsi modifié :
1° Le I de l’article L. 712-7 est complété par un 14° ainsi rédigé :
« 14° Le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011. » ;
2° La deuxième ligne du tableau du second alinéa du I des articles L. 752-10, L. 753-10 et L. 754-8 est ainsi rédigée :
« |
L. 314-1 |
la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité |
» ; |
3° (Supprimé)
4° La première ligne du tableau du second alinéa du I des articles L. 762-3, L. 763-3 et L. 764-3 est remplacée par deux lignes ainsi rédigées :
« |
L. 420-3 |
la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité |
|
L. 420-4 et L. 420-5 |
l’ordonnance n° 2017-1107 du 22 juin 2017 |
» ; |
5° Le tableau du second alinéa du I des articles L. 762-4, L. 763-4 et L. 764-4 est ainsi modifié :
a) La quatrième ligne est remplacée par trois lignes ainsi rédigées :
« |
L. 421-1 à L. 421-3 |
l’ordonnance n° 2016-827 du 23 juin 2016 |
|
L. 421-4 |
la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité |
||
L. 421-5 à L. 421-7-2 |
l’ordonnance n° 2016-827 du 23 juin 2016 |
» ; |
b) La dixième ligne est ainsi rédigée :
« |
L. 421-11 |
la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité |
» ; |
6° (Supprimé)
7° La neuvième ligne du tableau du second alinéa du I des articles L. 773-5, L. 774-5 et L. 775-5 est remplacée par deux lignes ainsi rédigées :
« |
L. 511-41-1 B |
la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité |
|
L. 511 41-1 C |
l’ordonnance n° 2020-1635 du 21 décembre 2020 |
» ; |
8° La septième ligne du tableau du second alinéa du I des articles L. 773-6, L. 774-6 et L. 775-6 est ainsi rédigée :
« |
L. 511-55 |
la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité |
» ; |
9° La dernière ligne du tableau du second alinéa du I des articles L. 773-21, L. 774-21 et L. 775-15 est ainsi rédigée :
« |
L. 521-9 et L. 521-10 |
la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité |
» ; |
10° Le tableau du second alinéa du I des articles L. 773-30, L. 774-30 et L. 775-24 est ainsi modifié :
a) La troisième ligne est ainsi rédigée :
« |
L. 533-2 |
la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité |
» ; |
b) La quatorzième ligne est ainsi rédigée :
« |
L. 533-10 |
la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité |
» ; |
c) La seizième ligne est remplacée par trois lignes ainsi rédigées :
« |
L. 533-10-2 et L. 533-10-3 |
l’ordonnance n° 2016-827 du 23 juin 2016 |
|
L. 533-10-4 |
la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité |
||
L. 533-10-5 à L. 533-10-8 |
l’ordonnance n° 2016-827 du 23 juin 2016 |
» ; |
11° La vingt-deuxième ligne du tableau du second alinéa du I des articles L. 783-2, L. 784-2 et L. 785-2 est ainsi rédigée :
« |
L. 612-24, à l’exception de son huitième alinéa |
la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité |
» ; |
12° La vingt et unième ligne du tableau du second alinéa du I des articles L. 783-4, L. 784-4 et L. 785-3 est ainsi rédigée :
« |
L. 613-38 |
la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité |
» ; |
13° La deuxième ligne du tableau du I des articles L. 783-13, L. 784-13 et L. 785-12 est ainsi rédigée :
« |
L. 631-1 |
la loi n° … du … relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité |
» |
Mme la présidente. L’amendement n° 121, présenté par MM. Canévet, Chaize et Saury, au nom de la commission spéciale, est ainsi libellé :
Alinéa 11, tableau, première colonne, première ligne
Supprimer les mots :
L. 421-1 à
La parole est à M. le rapporteur.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme la présidente. Je mets aux voix l’article 56, modifié.
(L’article 56 est adopté.)
Chapitre II
Dispositions modifiant le code des assurances
Article 57
L’article L. 354-1 du code des assurances est ainsi modifié :
1° À la fin de la première phrase du troisième alinéa, les mots : « à l’article L. 310-3 » sont remplacés par les mots : « au 13° de l’article L. 310-3 » ;
2° La seconde phrase du quatrième alinéa est complétée par les mots : « et, en particulier, mettent en place et gèrent des réseaux et des systèmes d’information conformément au règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 » – (Adopté.)
Après l’article 57
Mme la présidente. L’amendement n° 74 rectifié, présenté par Mme Gréaume, M. Gay et les membres du groupe Communiste Républicain Citoyen et Écologiste – Kanaky, est ainsi libellé :
Après l’article 57
Insérer un article additionnel ainsi rédigé :
Après le troisième alinéa de l’article L. 354-1 du code des assurances sont insérés quatre alinéas ainsi rédigés :
« 1° Les entreprises d’assurance et de réassurance recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :
« a) Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;
« b) Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;
« 2° À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au 1° , l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »
La parole est à M. Gérard Lahellec.
M. Gérard Lahellec. Cet amendement vise à défendre une position claire : nous devons structurer un cadre qui donne aux acteurs français ou européens les moyens de peser. Cela implique des règles et de la planification. Le reste n’est que naïveté ou complaisance.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Michel Canévet, rapporteur. Pour les mêmes raisons que pour de précédents amendements, j’émets un avis défavorable.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme la présidente. Je mets aux voix l’amendement n° 74 rectifié.
(L’amendement n’est pas adopté.)
Article 58
Le I de l’article L. 356-18 du code des assurances est ainsi modifié :
1° À la première phrase du troisième alinéa, les mots : « à l’article L. 310-3 » sont remplacés par les mots : « au 13° de l’article L. 310-3 » ;
2° La seconde phrase du dernier alinéa est complétée par les mots : « et, en particulier, mettent en place et gèrent des réseaux et des systèmes d’information conformément au règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 » – (Adopté.)
Après l’article 58
Mme la présidente. L’amendement n° 14 rectifié, présenté par Mme Paoli-Gagin, MM. Chasseing et Chevalier, Mme L. Darcos et MM. Grand, Laménie, V. Louault, A. Marc et L. Vogel, est ainsi libellé :
Après l’article 58
Insérer un article additionnel ainsi rédigé :
Au second alinéa de l’article L. 121-8 du code des assurances, les mots : « ou de mouvements populaires » sont remplacés par les mots : « , de mouvements populaires ou d’attaques informatiques ».
La parole est à Mme Vanina Paoli-Gagin.
Mme Vanina Paoli-Gagin. En l’état actuel du droit, c’est à l’assuré victime d’une cyberattaque qu’il revient de prouver que le dommage subi n’est pas causé par un fait relevant d’une guerre étrangère.
Or, face à l’intensification et à la multiplication des cyberattaques, il est souvent quasiment impossible pour l’assuré d’en identifier officiellement l’auteur. Cette disposition, unique dans le droit des États membres, nuit au développement de l’assurance cyber en France et pousse les grands groupes français à souscrire des contrats à l’étranger.
Ailleurs en Europe, c’est à l’assureur qu’il revient de prouver qu’un dommage a été causé par un fait autre qu’une guerre étrangère. Afin de remédier à ce défaut d’attractivité de la France – tel est l’un des objets de ce texte – nous proposons d’inverser la charge de la preuve pour les cyberattaques.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Michel Canévet, rapporteur. La commission spéciale a émis un avis favorable sur cet amendement.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. Je comprends l’objectif de cet amendement, mais le problème qu’il vise à résoudre n’est pas suffisamment étayé par des éléments factuels montrant qu’un nombre significatif d’entreprises françaises choisirait de s’assurer à l’étranger pour éviter que la charge de la preuve ne leur incombe.
De plus, il reste à prouver qu’un assureur serait plus à même de démontrer que le sinistre de son assuré résulte d’une cyberattaque.
En faisant peser la charge de la preuve de la cyberguerre sur les assureurs, ceux-ci vont, pour se dérisquer, se désengager du marché de l’assurance cyber.
Or, dans toutes les discussions que j’ai pu avoir avec les différentes entités assujetties au texte, la question de l’assurance est cruciale. Il est impératif de soutenir le développement d’offres adaptées, et l’adoption de cet amendement risquerait d’être contre-productive à cet égard.
Enfin, la rédaction proposée vise toutes les attaques informatiques. J’en comprends l’esprit, mais elle aurait pour conséquence que, dès lors que l’assureur prouve que le sinistre résulte d’une attaque informatique, il n’aurait pas à indemniser les dommages subis par l’assuré.
Autrement dit, l’adoption de cet amendement pourrait offrir aux assureurs un blanc-seing pour ne pas couvrir les cyberattaques, ce qui nous éloignerait de l’objectif que nous visons.
J’émets donc un avis défavorable.
Mme la présidente. En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 58.
Chapitre III
Dispositions modifiant le code de la mutualité
Article 59
La seconde phrase de l’avant-dernier alinéa de l’article L. 211-12 du code de la mutualité est complétée par les mots : « et, en particulier, mettent en place et gèrent des réseaux et des systèmes d’information conformément au règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 » – (Adopté.)
Article 60
Le deuxième alinéa de l’article L. 212-1 du code de la mutualité est complété par les mots : « du présent code, à l’exception de l’article L. 354-1 du code des assurances » – (Adopté.)
Après l’article 60
Mme la présidente. L’amendement n° 75 rectifié, présenté par Mme Gréaume, M. Gay et les membres du groupe Communiste Républicain Citoyen et Écologiste – Kanaky, est ainsi libellé :
Après l’article 60
Insérer un article additionnel ainsi rédigé :
Après le troisième alinéa de l’article L. 211-12 du code de la mutualité, sont insérés quatre alinéas ainsi rédigés :
« Les mutuelles et unions mentionnées à l’article L. 211-10 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :
« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;
« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;
« À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés aux 1° et 2°, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »
La parole est à M. Gérard Lahellec.
M. Gérard Lahellec. Cet amendement a pour objet d’introduire un principe de préférence encadré, qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services.
Néanmoins, je ne me fais pas d’illusion sur le sort qui lui sera réservé… (Sourires.)