Après l'article 16

Insérer un article additionnel ainsi rédigé :

Il ne peut être imposé aux fournisseurs de services de chiffrement, y compris aux prestataires de services de confiance qualifiés, l’intégration de dispositifs techniques visant à affaiblir volontairement la sécurité des systèmes d’information et des communications électroniques tels que des clés de déchiffrement maîtresses, ou tout autre mécanisme permettant un accès non consenti aux données protégées. 

La sécurité des systèmes d’information est un enjeu stratégique pour la protection des données personnelles, la confidentialité des communications, le secret des affaires, la protection des Droits et Libertés fondamentales et la souveraineté numérique. Le chiffrement joue un rôle central dans cet écosystème en garantissant l’intégrité et la confidentialité des échanges numériques, qu’il s’agisse de transactions financières, de communications privées ou de données sensibles des entreprises et administrations.

Or, certaines initiatives législatives et réglementaires, tant au niveau national qu’international, ont cherché à imposer aux fournisseurs de services de chiffrement des obligations visant à insérer des dispositifs techniques permettant un accès aux données protégées par des tiers, notamment par les autorités publiques. Ces dispositifs, communément appelés « portes dérobées » (backdoors), « clés de déchiffrement maîtresses » ou autres mécanismes d’affaiblissement volontaire de la sécurité, présentent des risques considérables pour la sécurité informatique et la protection des droits fondamentaux.

D’une part, ces dispositifs créent des vulnérabilités exploitables non seulement par les autorités prévues, mais également par des acteurs malveillants, qu’il s’agisse de cybercriminels, d’États hostiles ou d’entités privées cherchant à compromettre la sécurité des systèmes d’information. Il est démontré que toute faiblesse introduite dans un système de chiffrement réduit sa fiabilité de manière globale et incontrôlable. Ainsi, l’obligation d’intégrer de telles failles irait à l’encontre des principes de sécurité informatique et de cybersécurité reconnus au niveau international et imposé par la Directive NIS2.

D’autre part, l’introduction de ces obligations remettrait en cause des droits fondamentaux tels que le droit à la vie privée et à la protection des données personnelles, garantis par des textes fondamentaux comme le Règlement général sur la protection des données (RGPD) ou l’article 8 de la Convention européenne des droits de l’homme. L’accès non consenti aux communications et aux données privées, sans garanties suffisantes, constituerait une atteinte disproportionnée à ces droits.

Enfin, sur le plan économique et stratégique, fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à leur compétitivité face aux acteurs internationaux qui, eux, ne seraient pas nécessairement soumis aux mêmes contraintes. Cela risquerait d’entraîner un déplacement des utilisateurs et entreprises vers des solutions étrangères considérées comme plus sûres, affaiblissant ainsi notre souveraineté numérique.

Cet amendement vise donc à inscrire dans la loi un principe clair de sécurité numérique

Alinéa 4

Compléter cet alinéa par les mots :

aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à transposer plusieurs directives européennes, notamment la directive (UE) 2022/2557 sur la résilience des entités critiques. Ce texte fixe des obligations strictes en matière de sécurité des systèmes d'information, assorties de sanctions financières en cas de manquement.

Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes

En conséquence, cet amendement vise à :

•          Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d'information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.

•          Préserver l'efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l'accompagnement, la formation et le soutien technique, afin d'aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.

L'adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l'amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.

Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.

Compléter cet article par un alinéa ainsi rédigé :

Ce coût ne s’applique pas aux administrations de l’État et à ses établissements publics administratifs, aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs. 

Cet amendement vise à exonérer les audités du financement des audits

En effet, les structures soumises à ces contrôles, qu’il s’agisse d’associations, de collectivités territoriales, d’établissements publics ou de petites entreprises, disposent souvent de budgets contraints. L’imposition d’un contrôle à leur charge représenterait une contrainte financière supplémentaire, risquant d’entraver leur fonctionnement ou de compromettre leur équilibre budgétaire.

De plus, ces contrôles sont exigés par des autorités de contrôle dans le cadre d’une réglementation visant à garantir la conformité et la transparence du niveau de cyber sécurité de ces structures. Il apparaît donc incohérent de leur faire supporter des coûts élevés pour une obligation qui leur est imposée.

En conséquence vise à :

•          Préserver la soutenabilité financière des structures concernées en évitant des charges excessives.

•          Garantir que les contrôles soient effectués sans pression financière pouvant nuire au fonctionnement budgétaire des entités concernées.

•          Assurer l’équité en attribuant la prise en charge de ces coûts aux instances prescriptrices ou à des fonds publics dédiés, selon des modalités à définir.

L’adoption de cet amendement permettrait de préserver l’activité des entités contrôlées tout en garantissant que les contrôles exigés soient réalisés dans les meilleures conditions. Elle éviterait également que certaines structures, par manque de moyens, soient dans une situation financière inadéquate en raison de ces contrôles.

Cet amendement s’inscrit ainsi dans une démarche de protection des entités concernées, tout en veillant à la bonne application des exigences de transparence et de conformité édictées par le texte.

Après l’article 17

Insérer un article additionnel ainsi rédigé :

I. – Les établissements publics de coopération intercommunale à fiscalité propre classés parmi les entités importantes au sens de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (Texte présentant de l’intérêt pour l’EEE) qui ne disposent pas des moyens humains, financiers ou d’ingénierie nécessaires à leur mise en conformité avec les exigences de cybersécurité bénéficient d’un accompagnement spécifique de l’État. Cet accompagnement prend la forme d’un fonds de soutien financier.

Un décret précisera les modalités d’attribution des subventions de ce fonds de soutien.

Les établissements publics de coopération intercommunale à fiscalité propre ayant bénéficié du parcours “cybersécurité” du plan France Relance ne sont pas éligibles à ce fonds de soutien.

II. – Les conséquences financières de la création de ce fonds sont compensées, à due concurrence, par la création d’une taxe additionnelle à l’accise sur les tabacs prévue au chapitre IV du titre I^er du livre III du code des impositions sur les biens et services.

Le titre II du projet de loi vise à transposer la directive NIS 2 en étendant les obligations en matière de cybersécurité à un plus grand nombre d'entités, notamment aux intercommunalités.

Si cette extension est justifiée par la nécessité de renforcer la résilience des collectivités face aux risques d’attaques numériques, elle pose néanmoins un problème majeur pour les petites intercommunalités à fiscalité propre, en particulier les communautés de communes, qui ne disposent pas toujours des ressources suffisantes pour répondre à ces exigences.

Depuis 2021, le parcours cybersécurité du plan France Relance a démontré l’importance d’un accompagnement ciblé mais seules 78 communautés de communes sur 992 ont pu bénéficier de ce dispositif, contre 139 communautés d’agglomérations sur 227 et 15 métropoles sur 22.

Une majorité de petites intercommunalités risquent donc de ne pas pouvoir se conformer aux nouvelles obligations sans soutien financier et technique supplémentaire.

Cet amendement ne remet pas en cause l’application de la directive NIS 2 aux intercommunalités, mais propose, pour sa mise en œuvre, les ressources adéquates via la mise en place d’un fonds spécifique, évitant ainsi de placer ces collectivités dans une situation où elles seraient incapables d’assurer leurs obligations en matière de cybersécurité.

Alinéa 4

Compléter cet l’alinéa par les mots :

aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs

Ce projet de loi fixe des obligations strictes en matière de sécurité des systèmes d'information, assorties de sanctions financières en cas de manquement. 

Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes. 

En conséquence, cet amendement vise à :

• Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d'information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.

• Préserver l'efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l'accompagnement, la formation et le soutien technique, afin d'aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.

L'adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l'amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.

Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.

Compléter cet article par un alinéa ainsi rédigé :

Ce coût ne s’applique pas aux administrations de l’État et à ses établissements publics administratifs, aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs.

Cet amendement vise à exonérer les audités du financement des audits

En effet, les structures soumises à ces contrôles, qu’il s’agisse d’associations, de collectivités territoriales, d’établissements publics ou de petites entreprises, disposent souvent de budgets contraints. L’imposition d’un contrôle à leur charge représenterait une contrainte financière supplémentaire, risquant d’entraver leur fonctionnement ou de compromettre leur équilibre budgétaire.

De plus, ces contrôles sont exigés par des autorités de contrôle dans le cadre d’une réglementation visant à garantir la conformité et la transparence du niveau de cyber sécurité de ces structures. Il apparaît donc incohérent de leur faire supporter des coûts élevés pour une obligation qui leur est imposée.

En conséquence vise à :

• Préserver la soutenabilité financière des structures concernées en évitant des charges excessives.

• Garantir que les contrôles soient effectués sans pression financière pouvant nuire au fonctionnement budgétaire des entités concernées.

• Assurer l’équité en attribuant la prise en charge de ces coûts aux instances prescriptrices ou à des fonds publics dédiés, selon des modalités à définir.

L’adoption de cet amendement permettrait de préserver l’activité des entités contrôlées tout en garantissant que les contrôles exigés soient réalisés dans les meilleures conditions. Elle éviterait également que certaines structures, par manque de moyens, soient dans une situation financière inadéquate en raison de ces contrôles.

Cet amendement s’inscrit ainsi dans une démarche de protection des entités concernées, tout en veillant à la bonne application des exigences de transparence et de conformité édictées par le texte.

Alinéa 5

Après le mot : 

Accéder

insérer les mots :

, lorsque cela est directement nécessaire à l’accomplissement de leur mission,

Cet amendement vise à introduire un critère de nécessité pour mieux apprécier et objectiver la légalité des demandes d’accès et offrir ainsi un niveau renforcé de sécurité juridique.

Alinéa 2

1° Après le mot :

fournissant

insérer le mot :

sciemment

2° Compléter cet alinéa par une phrase ainsi rédigée :

Si, et dans la mesure où, il n'est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu.

Cet amendement vise à introduire une gradation et un critère d’intention dans la sanction administrative prévue par le projet de loi en cas de fourniture incomplète d’informations à l’ANSSI par les entités.

Compléter cet article par un alinéa ainsi rédigé :

L’autorité nationale de sécurité des systèmes d’information communique chaque année au public, par tout moyen adapté, le montant total des coûts induits par les contrôles mis à la charge des personnes contrôlées.

Étant donné qu'il n'est pas permis aux Parlementaires, eu égard aux règles de recevabilité financière des amendements fixées par l'article 40 de la Constitution, d'imputer les coûts induits par les contrôles à l'autorité contrôlante plutôt qu'aux entreprises contrôlées, il est à défaut proposé d'obliger l'autorité à indiquer le montant total des coûts induits pour les acteurs privés par les contrôles qu'elle décide.

En effet, il n'apparaît pas opportun, au plan organisationnel, de ne pas faire peser sur l'autorité contrôlante le coût de ses propres décisions, selon le principe "qui décide paye".

Cet amendement introduit un mécanisme de publication des coûts induits, afin que les pouvoirs exécutif ou législatif puissent mieux apprécier les conséquences du mode de financement retenu dans le texte initial du Gouvernement.

Alinéa 3

Compléter cet alinéa par les mots :

et dont le siège social se situe dans un État membre de l’Union européenne

Le mécanisme de contrôle prévu à l'article 29 prévoit que l'ANSSI peut déléguer les contrôles à des organismes indépendants.

Eu égard au caractère très sensible de ces contrôles et des données récoltées, il est impératif de veiller à ce que ces organismes soient européens.

C'est pourquoi cet amendement vise à expliciter cette condition dans le texte de la loi.

Après l’article 58

Insérer un article additionnel ainsi rédigé :

Au second alinéa de l’article L. 121-8 du code des assurances, les mots : « ou de mouvements populaires » sont remplacés par les mots : « , de mouvements populaires ou d’attaques informatiques ».