Mme la présidente. L’amendement n° 14 rectifié, présenté par Mme Paoli-Gagin, MM. Chasseing et Chevalier, Mme L. Darcos et MM. Grand, Laménie, V. Louault, A. Marc et L. Vogel, est ainsi libellé :
Après l’article 58
Insérer un article additionnel ainsi rédigé :
Au second alinéa de l’article L. 121-8 du code des assurances, les mots : « ou de mouvements populaires » sont remplacés par les mots : « , de mouvements populaires ou d’attaques informatiques ».
La parole est à Mme Vanina Paoli-Gagin.
Mme Vanina Paoli-Gagin. En l’état actuel du droit, c’est à l’assuré victime d’une cyberattaque qu’il revient de prouver que le dommage subi n’est pas causé par un fait relevant d’une guerre étrangère.
Or, face à l’intensification et à la multiplication des cyberattaques, il est souvent quasiment impossible pour l’assuré d’en identifier officiellement l’auteur. Cette disposition, unique dans le droit des États membres, nuit au développement de l’assurance cyber en France et pousse les grands groupes français à souscrire des contrats à l’étranger.
Ailleurs en Europe, c’est à l’assureur qu’il revient de prouver qu’un dommage a été causé par un fait autre qu’une guerre étrangère. Afin de remédier à ce défaut d’attractivité de la France – tel est l’un des objets de ce texte – nous proposons d’inverser la charge de la preuve pour les cyberattaques.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Michel Canévet, rapporteur. La commission spéciale a émis un avis favorable sur cet amendement.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. Je comprends l’objectif de cet amendement, mais le problème qu’il vise à résoudre n’est pas suffisamment étayé par des éléments factuels montrant qu’un nombre significatif d’entreprises françaises choisirait de s’assurer à l’étranger pour éviter que la charge de la preuve ne leur incombe.
De plus, il reste à prouver qu’un assureur serait plus à même de démontrer que le sinistre de son assuré résulte d’une cyberattaque.
En faisant peser la charge de la preuve de la cyberguerre sur les assureurs, ceux-ci vont, pour se dérisquer, se désengager du marché de l’assurance cyber.
Or, dans toutes les discussions que j’ai pu avoir avec les différentes entités assujetties au texte, la question de l’assurance est cruciale. Il est impératif de soutenir le développement d’offres adaptées, et l’adoption de cet amendement risquerait d’être contre-productive à cet égard.
Enfin, la rédaction proposée vise toutes les attaques informatiques. J’en comprends l’esprit, mais elle aurait pour conséquence que, dès lors que l’assureur prouve que le sinistre résulte d’une attaque informatique, il n’aurait pas à indemniser les dommages subis par l’assuré.
Autrement dit, l’adoption de cet amendement pourrait offrir aux assureurs un blanc-seing pour ne pas couvrir les cyberattaques, ce qui nous éloignerait de l’objectif que nous visons.
J’émets donc un avis défavorable.
Mme la présidente. Je mets aux voix l’amendement n° 14 rectifié.
(L’amendement est adopté.)
Mme la présidente. En conséquence, un article additionnel ainsi rédigé est inséré dans le projet de loi, après l’article 58.
Chapitre III
Dispositions modifiant le code de la mutualité
Article 59
La seconde phrase de l’avant-dernier alinéa de l’article L. 211-12 du code de la mutualité est complétée par les mots : « et, en particulier, mettent en place et gèrent des réseaux et des systèmes d’information conformément au règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 » – (Adopté.)
Article 60
Le deuxième alinéa de l’article L. 212-1 du code de la mutualité est complété par les mots : « du présent code, à l’exception de l’article L. 354-1 du code des assurances » – (Adopté.)
Après l’article 60
Mme la présidente. L’amendement n° 75 rectifié, présenté par Mme Gréaume, M. Gay et les membres du groupe Communiste Républicain Citoyen et Écologiste – Kanaky, est ainsi libellé :
Après l’article 60
Insérer un article additionnel ainsi rédigé :
Après le troisième alinéa de l’article L. 211-12 du code de la mutualité, sont insérés quatre alinéas ainsi rédigés :
« Les mutuelles et unions mentionnées à l’article L. 211-10 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :
« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;
« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;
« À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés aux 1° et 2°, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »
La parole est à M. Gérard Lahellec.
M. Gérard Lahellec. Cet amendement a pour objet d’introduire un principe de préférence encadré, qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services.
Néanmoins, je ne me fais pas d’illusion sur le sort qui lui sera réservé… (Sourires.)
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Michel Canévet, rapporteur. Pour les mêmes raisons que celles invoquées au sujet des amendements précédents déposés par votre groupe, mon cher collègue, la commission spéciale a émis un avis défavorable sur cet amendement.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. Même avis.
Mme la présidente. Je mets aux voix l’amendement n° 75 rectifié.
(L’amendement n’est pas adopté.)
Chapitre IV
Dispositions modifiant le code de la sécurité sociale
Article 61
La seconde phrase de l’avant-dernier alinéa de l’article L. 931-7 du code de la sécurité sociale est complétée par les mots : « et, en particulier, mettent en place et gèrent des réseaux et des systèmes d’information conformément au règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 » – (Adopté.)
Après l’article 61
Mme la présidente. L’amendement n° 77 rectifié bis, présenté par Mme Gréaume, M. Gay et les membres du groupe Communiste Républicain Citoyen et Écologiste – Kanaky, est ainsi libellé :
Après l’article 61
Insérer un article additionnel ainsi rédigé :
Après le troisième alinéa de l’article L. 931-7 du code de la sécurité sociale sont insérés quatre alinéas ainsi rédigés :
« Les institutions de prévoyance et unions mentionnées à l’article L. 931-6 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :
« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;
« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;
« À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux conditions mentionnées aux 1° et 2°, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »
La parole est à M. Gérard Lahellec.
M. Gérard Lahellec. Cet amendement vise également à introduire un principe de préférence. Il en ira d’ailleurs de même des deux amendements suivants, que je considère donc d’ores et déjà comme défendus, madame la présidente. J’aurai plaidé de mon mieux ! (Sourires.)
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Michel Canévet, rapporteur. La commission spéciale a émis un avis défavorable sur cet amendement, tout comme sur les deux amendements suivants.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. J’émets les mêmes avis défavorables, sur les trois amendements.
Mme la présidente. Je mets aux voix l’amendement n° 77 rectifié bis.
(L’amendement n’est pas adopté.)
Mme la présidente. L’amendement n° 81 rectifié, présenté par Mme Gréaume, M. Gay et les membres du groupe Communiste Républicain Citoyen et Écologiste – Kanaky, est ainsi libellé :
Après l’article 61
Insérer un article additionnel ainsi rédigé :
Afin de garantir un niveau de protection des données à caractère personnel conforme aux exigences du Règlement général sur la protection des données (UE) 2016/679 et de la Charte des droits fondamentaux de l’Union européenne, les entités visées par le titre III de la présente loi doivent assurer l’hébergement et le traitement des données à caractère personnel collectées en France sur des infrastructures situées sur le territoire national.
À cette fin, ces données doivent être stockées soit :
1. Sur un service de cloud qualifié SecNumCloud par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ;
2. Sur un système d’information interne, physiquement localisé en France et conforme aux exigences de sécurité définies par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Toute externalisation de ces données vers un prestataire non qualifié SecNumCloud ou situé hors du territoire national est interdite, sauf dérogation expressément accordée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Les autorités de contrôle compétentes peuvent imposer des sanctions financières en cas de non-respect de cette obligation.
Cet amendement est déjà défendu.
Il a reçu un avis défavorable de la commission spéciale et du Gouvernement.
Je le mets aux voix.
(L’amendement n’est pas adopté.)
Mme la présidente. L’amendement n° 79, présenté par Mme Gréaume, M. Gay et les membres du groupe Communiste Républicain Citoyen et Écologiste – Kanaky, est ainsi libellé :
Après l’article 61
Insérer un article additionnel ainsi rédigé :
Le Gouvernement remet au Parlement, dans un délai de six mois à compter de la promulgation de la présente loi, un rapport sur le recours aux prestataires de services de technologies de l’information et de la communication par les entités visées au titre III de la présente loi. Ce rapport évalue notamment la part des entreprises extra-communautaires parmi ces prestataires, ainsi que les enjeux en matière de résilience et de souveraineté numérique.
Cet amendement est déjà défendu.
Il a reçu un avis défavorable de la commission spéciale et du Gouvernement.
Je le mets aux voix.
(L’amendement n’est pas adopté.)
Chapitre V
Dispositions finales
Article 62 A (nouveau)
Les entités financières essentielles et importantes auxquelles s’applique le présent titre III et auxquelles s’impose, en application du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, l’adoption de mesures de gestion des risques en matière de cybersécurité ou la notification d’incidents importants, ne sont pas tenues de se conformer aux exigences prévues par la directive (UE) 2022/1555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148, y compris celles relatives à la supervision, dès lors que l’adoption de ces mesures et la notification de ces incidents ont un effet au moins équivalent à ces exigences – (Adopté.)
Article 62
Le présent titre entre en vigueur le lendemain de la promulgation de la présente loi. Toutefois, les articles 46, 47 et 54 sont applicables à compter du 1er janvier 2030 aux sociétés de financement.
Mme la présidente. L’amendement n° 109, présenté par le Gouvernement, est ainsi libellé :
Rédiger ainsi cet article :
Le présent titre entre en vigueur le lendemain de la promulgation de la présente loi. Toutefois, les dispositions des articles 46, 47 et 54 sont applicables aux sociétés de financement remplissant les conditions prévues au point 145 du paragraphe 1 de l’article 4 du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) n° 648/2012 à compter du 17 janvier 2026.
La parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée. Madame la présidente, mesdames, messieurs les sénateurs, je sais que nous essayons d’achever rapidement l’examen de ce texte. Cependant, je me permettrai de m’arrêter un instant sur cet amendement, car il est très important.
Il s’agit de rétablir le principe d’une entrée en application différenciée entre les plus grandes sociétés de financement et les autres entreprises de ce type.
Les plus grandes sociétés de financement exercent, pour certaines, des activités critiques pour le secteur financier français et devraient être assujetties dès la promulgation de la loi à des standards élevés en matière de résilience et de cybersécurité. Je sais que nous avons eu de nombreuses discussions sur ce sujet, mais il me semble essentiel que nous nous arrêtions un instant pour en débattre de nouveau.
Que dirons-nous lorsqu’une société de financement qui octroie des prêts immobiliers aux Françaises et aux Français sera attaquée – pas dans dix ans, mais bien demain, dans l’année qui vient ? Que répondrons-nous aux citoyens qui ont fait confiance à ces organismes, à nos infrastructures numériques, à la France pour protéger les activités essentielles à notre nation ?
Nous ne pouvons pas leur dire que nous n’avons pas suffisamment pris le temps de discuter de cet amendement. Il est essentiel, pour maintenir la confiance des citoyens dans nos institutions, que ces grandes sociétés de financement soient assujetties aux obligations qui sont les leurs en matière de cybersécurité dès à présent.
Par ailleurs, les autres sociétés de financement, de taille plus modeste, devraient bénéficier d’un report de l’entrée en application de ces exigences dans le cadre d’un calendrier de mise en conformité proportionné – sur ce point, je vous rejoins, monsieur le rapporteur.
Cet amendement vise donc à rétablir une date d’assujettissement des petites sociétés de financement dans des délais plus adaptés, afin que, à moyen terme, l’ensemble du secteur financier français applique un niveau d’exigences cohérent.
Le 1er janvier 2030 apparaît dans cette perspective comme un horizon trop lointain, compte tenu du développement de cette menace. En outre, l’ampleur de cette différenciation est inéquitable par rapport à d’autres acteurs du secteur financier distribuant des services comparables aux sociétés de financement.
Dans un souci d’équité, mais avant tout de confiance et de lutte contre la menace cyber, nous vous demandons, mesdames, messieurs les sénateurs, de revenir à la rédaction initiale.
Mme la présidente. Quel est l’avis de la commission spéciale ?
M. Michel Canévet, rapporteur. Le Sénat est attaché, d’une part, à simplifier la vie des acteurs économiques, et, d’autre part, à éviter toute surtransposition des textes européens.
Or, ici, nous sommes précisément face à un cas de surtransposition. C’est pourquoi la commission spéciale a proposé une échéance assez lointaine, afin d’éviter que les acteurs soumis à la concurrence internationale ne soient pénalisés sur le marché européen. Nous souhaitons reporter l’application des obligations aux sociétés de financement à 2030.
En ce qui concerne les petites sociétés de financement, la commission spéciale défend un principe de proportionnalité : celles-ci ne se verraient imposer que des démarches adaptées à leur taille réelle. Tel est l’objet de l’amendement que je présenterai ensuite.
En conséquence, la commission spéciale a émis un avis défavorable sur cet amendement du Gouvernement.
Mme la présidente. La parole est à Mme la ministre déléguée.
Mme Clara Chappaz, ministre déléguée. Je me permets d’insister, car vous aurez compris que ce sujet nous tient particulièrement à cœur.
Le Gouvernement n’a pas la volonté d’aller au-delà des exigences européennes. Comme je l’ai déjà souligné à plusieurs reprises, nous avons pleinement intégré le principe de non-surtransposition et veillé à assurer une harmonisation au niveau européen.
Cependant, notre cadre juridique présente une spécificité : il inclut les sociétés de financement, une réalité qui n’existe pas dans d’autres États membres. Nous devons donc prendre en compte cette particularité avec pragmatisme.
Il s’agit avant tout de garantir une protection efficace de nos concitoyens, en cohérence avec l’objectif de résilience que nous visons au travers de ce texte.
Mme la présidente. Je mets aux voix l’amendement n° 109.
(L’amendement n’est pas adopté.)
Mme la présidente. L’amendement n° 122, présenté par MM. Canévet, Chaize et Saury, au nom de la commission spéciale, est ainsi libellé :
Compléter cet article par un alinéa ainsi rédigé :
Lorsqu’elles remplissent les conditions prévues au point 145 du paragraphe 1 de l’article 4 du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) n° 648/2012, les sociétés de financement appliquent les règles énoncées aux chapitres II à IV et à la section 1 du chapitre V du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) n° 2016/1011 conformément au principe de proportionnalité énoncé à l’article 4 du même règlement (UE).
La parole est à M. le rapporteur.
M. Michel Canévet, rapporteur. Il est défendu, madame la présidente.
Mme la présidente. Quel est l’avis du Gouvernement ?
Mme Clara Chappaz, ministre déléguée. J’espère que nous n’aurons pas à subir de telles cyberattaques et à les expliquer à nos concitoyens…
Le Gouvernement émet un avis défavorable.
Mme la présidente. Je mets aux voix l’amendement n° 122.
(L’amendement est adopté.)
Mme la présidente. Je mets aux voix l’article 62, modifié.
(L’article 62 est adopté.)
Vote sur l’ensemble
Mme la présidente. Avant de mettre aux voix l’ensemble du projet de loi, je donne la parole à Mme Catherine Morin-Desailly, pour explication de vote.
Mme Catherine Morin-Desailly. Je veux le souligner, nous avons ce soir la satisfaction de clore un cycle, celui de la transposition en droit français de plusieurs textes européens. Je pense notamment à la loi visant à sécuriser et à réguler l’espace numérique, adoptée avant l’été, qui pose un cadre de régulation pour le marché et les services numériques.
Le texte que nous allons voter ce soir est fondamental, car il établit une véritable architecture de sécurité pour notre pays, nos entreprises, nos collectivités territoriales et nos entités critiques, auxquels il donne une forme de résilience.
Bien sûr, il reste beaucoup à faire, notamment sur le plan pratique et financier. Il faudra veiller à ce que des moyens accompagnent nos collectivités territoriales, y compris les plus petites, même si elles ne figurent pas directement dans le texte de loi. Il est essentiel que nous trouvions les voies et moyens pour cela.
Je veux insister sur deux points.
Tout d’abord, il faut conquérir notre autonomie stratégique et mener une véritable politique industrielle. Les rapports de MM. Draghi et Letta ont dressé un constat désastreux quant aux dernières années. Nous sommes à la croisée des chemins et, de toute façon, le contexte géopolitique actuel ne nous laisse plus le choix : nous devons réagir.
Ensuite, je veux saluer l’amendement de notre collègue Olivier Cadic, que j’ai eu le plaisir de cosigner et de défendre et qui a été adopté tout à l’heure. Je suis convaincue que ses dispositions sont au cœur même de ce texte. Désormais, la loi interdira l’implantation de portes dérobées, une pratique de toute façon inefficace et contre-productive.
Je conclurai en me référant à Bruce Schneier, l’un des plus grands cryptologues et experts en informatique au monde : le choix pour nous est non pas entre plus de sécurité et plus de liberté, mais entre plus ou moins de sécurité. Avec ce projet de loi, nous faisons clairement le choix d’une sécurité renforcée.
Mme la présidente. La parole est à M. Gérard Lahellec, pour explication de vote.
M. Gérard Lahellec. Madame la présidente, madame la ministre déléguée, mes chers collègues, nous ne nions pas que ce texte pose des bases plus protectrices en matière de procédures, de suivi et de tests, ce qui est un point positif.
Cependant, des interrogations subsistent, comme l’ont révélé nos débats. Tout d’abord, sur la transposition pour les collectivités territoriales, un sujet sur lequel je ne reviendrai pas. Ensuite, sur l’absence d’une véritable logique de planification, un point sur lequel j’ai insisté en fin de débat.
Nous aspirons à une cybersécurité émancipatrice, fondée sur la réindustrialisation et encore plus protectrice et exigeante, au niveau tant européen que national.
C’est au regard de ces considérations que nous avons fait le choix de nous abstenir sur ce texte.
Mme la présidente. Personne ne demande plus la parole ?…
Je mets aux voix, dans le texte de la commission spéciale, modifié, l’ensemble du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité.
(Le projet de loi est adopté.)
Mme la présidente. Mes chers collègues, nous allons maintenant interrompre nos travaux ; nous les reprendrons à vingt et une heures cinquante-cinq.
La séance est suspendue.
(La séance, suspendue à vingt heures vingt-cinq, est reprise à vingt et une heures cinquante-cinq, sous la présidence de M. Didier Mandelli.)
PRÉSIDENCE DE M. Didier Mandelli
vice-président