N° 38
SÉNAT
SESSION ORDINAIRE DE 2020-2021
Enregistré à la Présidence du Sénat le 13 octobre 2020
RAPPORT
FAIT
au nom de la commission des affaires économiques (1) sur la proposition de loi pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public ,
Par Mme Anne-Catherine LOISIER,
Sénatrice
(1) Cette commission est composée de : Mme Sophie Primas , présidente ; M. Alain Chatillon, Mme Dominique Estrosi Sassone, M. Patrick Chaize, Mme Viviane Artigalas, M. Franck Montaugé, Mme Anne-Catherine Loisier, MM. Jean-Pierre Moga, Bernard Buis, Fabien Gay, Henri Cabanel, Franck Menonville, Joël Labbé , vice-présidents ; MM. Laurent Duplomb, Daniel Laurent, Mme Sylviane Noël, MM. Rémi Cardon, Pierre Louault , secrétaires ; M. Serge Babary, Mme Martine Berthet, M. Jean-Baptiste Blanc, Mme Florence Blatrix Contat, MM. Michel Bonnus, Denis Bouad, Yves Bouloux, Jean-Marc Boyer, Alain Cadec, Mme Anne Chain-Larché, M. Patrick Chauvet, Mme Marie-Christine Chauvin, M. Pierre Cuypers, Mmes Françoise Férat, Catherine Fournier, M. Daniel Gremillet, Mme Micheline Jacques, MM. Jean-Marie Janssens, Jean-Baptiste Lemoyne, Mmes Valérie Létard, Marie-Noëlle Lienemann, MM. Claude Malhuret, Serge Merillou, Jean-Jacques Michau, Mme Guylène Pantel, MM. Sebastien Pla, Christian Redon-Sarrazy, Mme Évelyne Renaud-Garabedian, MM. Olivier Rietmann, Daniel Salmon, Mme Patricia Schillinger, MM. Laurent Somon, Jean-Claude Tissot .
Voir les numéros :
Sénat : |
629 (2019-2020) et 39 (2020-2021) |
L'ESSENTIEL
I. LA PRÉOCCUPATION CROISSANTE DE LA SOCIÉTÉ QUANT À LA SÉCURITÉ DES DONNÉES INFORMATIQUES SE HEURTE À UNE INFORMATION LACUNAIRE
A. LA CYBERSÉCURITÉ, CONTREPARTIE INDISPENSABLE À LA NUMÉRISATION DE LA SOCIÉTÉ, DES POUVOIRS PUBLICS ET DE L'ÉCONOMIE.
L'Anssi définit la cybersécurité de façon technique, comme un « état recherché pour un système d'information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l'intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu'ils rendent accessibles . La cybersécurité fait appel à des techniques de sécurité des systèmes d'information et s'appuie sur la lutte contre la cybercriminalité et sur la mise en place d'une cyberdéfense ». Il s'agit donc de préserver les données personnelles 1 ( * ) ou professionnelles stockées et les services proposés des diverses menaces techniques 2 ( * ) . Mais la sécurité des données peut aussi être menacée par des lois à portée extraterritoriales, comme le Cloud Act américain.
Pour ceux qui ont la chance d'accéder à des réseaux performants et de maîtriser les outils numériques on rappellera ici que, fin 2019, la fibre n'était déployée que pour moins de la moitié des locaux de notre territoire, que la 4G est loin d'être généralisée et qu'il est estimé que 13 millions de Français sont éloignés du numérique , leur vie est de plus en plus virtuelle. Le Gouvernement ambitionne de dématérialiser 100 % des 250 démarches les plus utilisées par les citoyens d'ici à mai 2022. La crise de la Covid a amplifié à la fois la fracture numérique mais aussi certains usages numériques : on a ainsi observé une hausse significative des commandes en ligne et des visioconférences, qu'elles soient utilisées à des fins professionnelles ou personnelles 3 ( * ) .
Les scandales et les failles de sécurité à répétition qui ont pu affecter de grandes entreprises du numérique ont fait un premier travail de sensibilisation de nos concitoyens aux enjeux de cybersécurité : selon un sondage, 90 % des Français considèrent que les données personnelles sont précieuses, qu'elles devraient être davantage protégées et qu'elles sont convoitées par les géants du Net. Cependant, on observe que cette prise de conscience n'amène pas forcément à un changement d'habitudes. Ainsi, de nombreux Français, y compris des organisations institutionnelles, se sont précipités, lors du confinement, sur les solutions de visioconférences les plus faciles à utiliser sans se préoccuper des risques quant à la confidentialité des échanges. Or, en recourant à des plateformes non sécurisées, les consommateurs s'exposent à de nombreux risques : enregistrement vidéo à l'insu des participants, utilisation de la reconnaissance vocale pour attribution pérenne de propos qu'on pense oubliés à l'issue de la conversation, espionnage, manipulation via deep fake ...
Les pouvoirs publics sont également la cible de nombreuses attaques, en particulier les collectivités territoriales et le secteur de la santé . Au-delà des cyberattaques, la question de savoir si les entreprises auxquelles les pouvoirs publics décident de recourir pour opérer certains de leurs services présentent des garanties suffisantes quant à la sécurité des données qu'elles traitent est régulièrement posée, comme l'illustre la polémique relative au contrat passé par l'État avec Microsoft pour prendre en charge la plateforme des données de santé ( Health Data Hub ), qui centralise les données de santé des Français en vue de favoriser la recherche et l'innovation.
Enfin, les entreprises sont aussi particulièrement exposées aux risques pesant sur la sécurité de leurs données : selon une enquête de la CPME, en 2019, 40 % des PME déclaraient avoir déjà subi une attaque ou une tentative d'attaque. Selon un sondage , seules 39 % des entreprises se disent suffisamment préparées en cas de cyberattaques de grande ampleur. La question de savoir si les prestataires choisis présentent des garanties suffisantes quant à la sécurité de leurs données stratégiques se pose également pour les entreprises, lesquelles ne sont pas protégées par un règlement général de protection des données, contrairement aux personnes physiques.
* 1 Une donnée personnelle se définit comme toute information se rapportant à une personne physique identifiée ou identifiable.
* 2 Voir le rapport annuel « État de la menace liée au numérique », Délégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces.
* 3 Voir, sur la hausse de la petite criminalité sur internet pendant le confinement, le rapport d'information de MM. Olivier CADIC et Rachel MAZUIR, fait au nom de la commission des affaires étrangères, de la défense et des forces armées du Sénat, sur le « suivi de la cybermenace pendant la crise sanitaire », juin 2020.