Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

Article 23
Dérogation aux secrets protégés par la loi pour la communication d'informations en matière de cybersécurité entre l'Anssi et plusieurs de ses interlocuteurs

I. La situation actuelle - la directive NIS 2 prévoit la possibilité d'échanger des informations confidentielles pour assurer son application

Le paragraphe 13 de l'article 2 de la directive NIS 2 prévoit que, sans préjudice de l'article 346 du traité sur le fonctionnement de l'Union européenne (TFUE), les informations considérées comme confidentielles en application de la réglementation de l'Union ou nationale des États membres, telle que les règles applicables au secret des affaires, ne peuvent faire l'objet d'un échange avec la Commission européenne et d'autres autorités concernées conformément à la directive que si cet échange est nécessaire à l'application de la directive.

Mais cela signifie bien que ces informations confidentielles peuvent effectivement faire l'objet d'échanges pour permettre l'application de la directive.

Étant confidentielles, ces informations échangées se limitent au minimum nécessaire et sont proportionnées à l'objectif de cet échange.

Cet échange d'informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités concernées.

Le paragraphe 14 de l'article 2 précise que les entités, les autorités compétentes, les points de contact uniques et les CSIRT traitent les données à caractère personnel dans la mesure nécessaire aux fins de la directive et conformément au règlement (UE) 2016/679, plus connu sous le nom de règlement général sur la protection des données (RGPD).

Le traitement des données à caractère personnel en vertu de la directive par les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques accessibles au public est également effectué conformément au droit de l'Union en matière de protection des données et au droit de l'Union en matière de protection de la vie privée.

À noter enfin que le paragraphe 11 de l'article 2 prévoit que les obligations énoncées dans la directive n'impliquent pas la fourniture d'informations dont la divulgation serait contraire aux intérêts essentiels des États membres en matière de sécurité nationale, de sécurité publique ou de défense.

II. Le dispositif envisagé - la définition d'un cadre en matière de coopération et d'échange d'informations en matière de cybersécurité

Afin d'assurer la transposition du paragraphe 13 de l'article 2 de la directive, l'article 23 vise :

- à définir un cadre en matière de coopération et d'échange d'informations en matière de cybersécurité ;

- dans cette perspective, à déroger aux secrets protégés par la loi et au secret de l'instruction ;

- mais, dans le même temps, à apporter des garanties suffisantes à la sécurité nationale, la sécurité publique ou la défense nationale.

En conséquence, l'article 23 prévoit que les dispositions de l'article 11 du code de procédure pénale, qui portent sur le secret de l'instruction, ou celles relatives aux secrets protégés par la loi ne font pas obstacle à la communication d'informations dont ils disposent aux fins de l'accomplissement de leurs missions respectives entre d'une part l'autorité nationale de la sécurité des systèmes d'information (c'est-à-dire l'Anssi) et, d'autre part :

- La Commission nationale de l'informatique et des libertés (Cnil) ;

- Les autorités compétentes chargées de la gestion des risques en matière de cybersécurité en vertu d'un acte sectoriel de l'Union européenne ;

- Les autorités chargées de la politique pénale, de l'action publique et de l'instruction. Cette coopération est justifiée par la lutte contre la cybercriminalité ;

- La Commission européenne ;

- Les autorités compétentes des autres États membres de l'Union européenne ;

- Des centres de réponse aux incidents de sécurité informatique (les CSIRT) ;

- Des organismes internationaux concourant aux missions de sécurité ou de défense des systèmes d'information.

Ces entités peuvent se communiquer librement les informations dont elles disposent et se consulter mutuellement aux fins de l'accomplissement de leurs missions respectives, à l'exception des informations dont la communication porterait atteinte à la sécurité publique, à la défense et la sécurité nationale ou à la conduite des relations internationales.

Cela exclut donc explicitement la communication d'informations couvertes par le secret de la défense nationale, conformément à ce que prévoit le paragraphe 11 de l'article 2 de la directive NIS 2.

En revanche, comme le prévoit tout aussi explicitement le paragraphe 13 de l'article 2 de la directive NIS 2, ces dispositions peuvent impliquer la communication d'informations relevant du secret des affaires, dont la protection est fondée sur les articles L. 151-1 et suivants du code de commerce.

L'article L. 151-1 du code de commerce définit la notion d'information protégée au titre du secret des affaires selon trois critères :

- cette information n'est pas généralement connue ou aisément accessible pour les personnes familières de ce type d'informations ;

- elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ;

- elle fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables, pour en conserver le caractère secret.

En outre, les informations échangées peuvent contenir des données à caractère personnel comme le prévoit le paragraphe 14 de l'article 2.

L'article 23 ne liste pas l'intégralité des secrets protégés par la loi auxquels sont apportés une dérogation mais mentionne les « autres secrets protégés par la loi »^36(*).

Cette formulation est liée au risque d'enchevêtrement des secrets protégés par la loi applicables à une même information partagée entre les différentes entités listées par l'article en question.

Or, le paragraphe 13 de la directive NIS 2 prévoit une dérogation aux secrets protégés par la législation nationale dès lors que l'échange de ces informations est nécessaire à l'application de la directive.

Tous les secrets protégés par la loi sont donc concernés. Il sera par exemple possible de déroger au secret professionnel auquel sont astreints les agents publics, en application de l'article L. 121-6 du code général de la fonction publique.

Le deuxième alinéa de l'article 23 prévoit que ses modalités d'application, notamment les modalités du partage d'informations, sont déterminées par décret en Conseil d'État.

III. La position de la commission - des modalités de partage d'information confidentielles proportionnées à leur objectif et respectueuses des impératifs de la défense nationale

Afin de prévenir les menaces cyber, de résoudre les incidents en cas d'attaque ou bien encore de lutter contre la cybercriminalité, le partage d'informations confidentielles entre les autorités légitimes et habilitées à cette fin constitue une nécessité. En conséquence, ce partage d'informations confidentielles est prévu par la directive NIS 2.

Un certain nombre de ces informations confidentielles étant explicitement couvertes par des secrets protégés par la loi, le présent projet de loi de transposition doit prévoir quelles autorités pourront légitimement contribuer à ce partage d'informations confidentielles dans le but d'appliquer la directive NIS 2 et dans quelles conditions.

Dans la mesure où la liste des autorités appelées à partager des informations confidentielles en matière de cybersécurité mentionnées au présent article 23 du projet de loi paraît cohérente et où les informations dont la communication porterait atteinte à la sécurité publique, à la défense et la sécurité nationale ou à la conduite des relations internationales ne pourront pas faire l'objet d'échanges, le dispositif prévu par le présent article 23 apparaît à la fois pleinement compatible avec les objectifs de la directive et respectueux des impératifs de la défense nationale.

La commission spéciale a toutefois adopté deux amendements identiques COM 54 et COM 70 présentés respectivement par Catherine Morin-Dessailly et Vanina Paoli-Gagin pour prévoir que la communication d'informations effectuée en vertu du présent article 23 ne peut intervenir que si elle est nécessaire à l'accomplissement des missions des personnes émettrices ou destinataires de ces informations. Les informations échangées se limitent au minimum nécessaire et sont proportionnées à l'objectif du partage. Le partage d'informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités concernées.

La commission a adopté cet article ainsi modifié.

Article 24
Agrément par l'Anssi d'organismes publics ou privés en tant que relais dans la prévention et la gestion des incidents cyber

I. La situation actuelle - un réseau de CSIRT relais en cours de structuration pour démultiplier les capacités d'action de l'Anssi

Cet article 24 s'inscrit en complément de l'article 17 qui prévoit, en transposition de l'article 23 de la directive NIS 2, les obligations de notifications d'incidents importants auxquels sont soumises les entités « essentielles » et « importantes ».

Il ne transpose donc pas directement lui-même une disposition précise de la directive NIS 2 mais participe à la structuration du réseau de computer security incident response team (CSIRT) placés sous l'autorité de l'Agence nationale de sécurité des systèmes d'information (Anssi) pour prévenir et gérer les incidents de cybersécurité.

L'Anssi a en effet soutenu ces dernières années la création de CSIRT relais au niveau ministériel, sectoriel et territorial, afin de démultiplier ses capacités en matière de réponse aux incidents de sécurité informatique.

II. Le dispositif envisagé - la mise en place d'un dispositif d'agrément destiné à renforcer la légitimité des CSIRT relais et à autoriser les échanges d'informations couvertes par des secrets protégés par la loi avec l'Anssi

Le premier alinéa de l'article 24 prévoit que l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire l'Anssi) agrée des organismes publics ou privés en tant que relais dans la prévention et la gestion des incidents de cybersécurité.

Il dispose également que l'Anssi et les organismes qu'elle a ainsi agréés sont autorisés à échanger entre eux des informations couvertes par des secrets protégés par la loi.

Le deuxième alinéa prévoit que les modalités d'application de cet article 24, notamment les modalités de dépôt et d'examen des demandes d'agrément des organismes publics ou privés agréés par l'Anssi, sont déterminés par décret en Conseil d'État.

Cet article vise à disposer d'une base législative solide pour consolider et structurer encore davantage le réseau de CSIRT relais de l'action de l'Anssi que celle-ci a commencé à mettre en place ces dernières années pour accroître l'impact de son action.

Le dispositif d'agrément prévu au présent article 24 vise en effet à donner aux CSIRT relais une légitimité et un cadre pour l'accompagnement des entités régulées, tout en préservant le rôle de coordination globale de l'Anssi.

Le directeur général de l'Anssi a indiqué à la commission spéciale que le rôle de ces CSIRT relais vis-à-vis des entités régulées au titre de la directive NIS 2 serait le suivant :

- contribuer au partage de l'information opérationnelle émise par l'Agence en relayant les éléments pertinents à leurs bénéficiaires ;

- relayer les alertes et les campagnes de signalement des vulnérabilités de l'Agence et contribuer à la recherche de compromissions auprès de leurs bénéficiaires ;

- orienter les actions de réponse à incident d'une entité accompagnée par un ou plusieurs prestataires, en coordination avec l'Anssi, afin d'assurer une synchronisation opérationnelle ;

- accompagner les entités régulées à la déclaration de l'incident auprès de l'Agence, ainsi que pour toutes les déclarations obligatoires (ex : Cnil) ou pour le dépôt de plainte ;

- établir les statistiques des incidents cyber sur leur périmètre et les partager au profit de la communauté des CSIRT, afin d'affiner la connaissance de la menace cyber à l'échelle nationale.

Il est en revanche clairement établi que c'est l'Anssi, et non les CSIRT relais sectoriels, qui sera destinataire des notifications d'incidents importants prévues à l'article 17 du présent projet de loi, les CSIRT relais ayant uniquement un rôle d'accompagnement et de facilitation auprès des entités régulées.

III. La position de la commission - compte tenu du changement d'échelle induit par NIS 2, la consolidation d'un réseau de relais de l'action de l'Anssi constitue une nécessité

L'entrée en vigueur du titre II du présent projet de loi transposant la directive NIS 2 constituera un changement d'échelle considérable pour les missions de l'Anssi avec le passage d'environ 500 entités régulées au titre de NIS 1 à 15 000 entités régulées au titre de NIS 2.

Si l'Anssi affectera une cinquantaine d'équivalents temps plein (ETP) à son rôle de supervision, la nécessité pour elle de disposer, dans tous les secteurs « hautement critiques » et « critiques », et partout sur le territoire, de relais, est indispensable.

Ce travail a déjà largement été entamé ces dernières années avec la structuration progressive d'un réseau de CERT relais qui doit maintenant prendre une nouvelle dimension avec la mise en application de la transposition de la directive NIS 2.

Le fait de les agréer renforcera leur légitimité vis-à-vis de leur écosystème sectoriel et les aidera à devenir des acteurs clefs de l'accompagnement dans la montée en gamme en matière de cybersécurité des entreprises, des administrations et des collectivités territoriales.

En ce qui concerne les CSIRT relais régionaux, ils pourront en outre contribuer, au niveau local, à développer une filière cyber, via la valorisation de prestataires de confiance auprès de clients potentiels, et à renforcer l'attractivité des territoires où la présence de prestataires cyber de proximité deviendra une garantie de sécurité pour les acteurs économiques.

Le renvoi à un décret en Conseil d'État des modalités de dépôt et d'examen des demandes d'agrément des CSIRT relais ne soulevant pas de difficultés, la commission spéciale n'a pas souhaité amender le présent article 24.

La commission a adopté cet article sans modification.

CHAPITRE III
DE LA SUPERVISION

Article 25
Prescription par l'Anssi de mesures nécessaires en cas de menace pour la sécurité des systèmes d'information de plusieurs types d'entités

I. La situation actuelle - des obligations de notification des incidents cyber pèsent déjà sur diverses entités, certaines d'entre elles pouvant se voir imposer la mise en oeuvre de mesures en cas de crise

1. L'Anssi doit être informée des incidents significatifs affectant les systèmes d'information des opérateurs de services essentiels (OSE)

Depuis la transposition par le législateur de la directive européenne NIS 1^37(*) en 2018, le Premier ministre fixe les règles de sécurité nécessaires à la protection des réseaux et systèmes d'information nécessaires à la fourniture de services essentiels par les opérateurs de services essentiels (OSE), de façon à garantir un niveau de sécurité adapté au risque existant, compte tenu de l'état des connaissances^38(*).

Ces règles définissent les mesures appropriées pour prévenir les incidents qui compromettent la sécurité des réseaux et systèmes d'information utilisés pour la fourniture des services essentiels ou pour en limiter l'incidence afin d'assurer la continuité de ces services. Les opérateurs concernés par ces règles les appliquent à leurs frais.

En outre, les OSE doivent déclarer à l'Anssi, sans délai après en avoir pris connaissance, les incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture de services essentiels, lorsque ces incidents ont ou sont susceptibles d'avoir, compte tenu du nombre d'utilisateurs et de la zone géographique touchés ainsi que de la durée de l'incident, une incidence significative sur la continuité de ces services^39(*).

En cas de manquement à cette obligation, les dirigeants d'un OSE sont passibles d'une amende de 75 000 euros^40(*).

Les fournisseurs de service numérique sont soumis à des obligations et à un régime de sanctions similaires^41(*).

2. Les opérateurs d'importance vitale (OIV) sont astreints au respect d'une obligation similaire et peuvent se voir imposer des mesures jugées nécessaires en cas de crise majeure

Depuis l'entrée en vigueur de la loi de programmation militaire pour les années 2014 à 2019^42(*), le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs d'importance vitale (OIV) et des opérateurs publics ou privés qui participent à ces systèmes dont une atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population^43(*). Les entités concernées sont tenues d'appliquer ces règles à leurs frais.

Dans ce cadre, le législateur a institué une obligation pour les OIV d'informer sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité des systèmes d'information concernés^44(*).

Au surplus, le Premier ministre est autorisé, pour répondre aux crises majeures menaçant ou affectant la sécurité des systèmes d'information, à décider des mesures que les OIV doivent mettre en oeuvre^45(*).

3. La directive NIS 2 impose aux États membres de veiller à la mise en oeuvre par les entités essentielles et importantes des mesures nécessaires à la gestion des risques cyber

L'article 21 de la directive dite NIS 2 prévoit que les États membres veillent à ce que les entités « essentielles » et « importantes » prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d'autres services.

Si la traduction de cette obligation est avant tout portée par l'article 14 du présent projet de loi, l'article 25 confère également des pouvoir à l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire l'Anssi) lorsqu'elle a connaissance d'une menace susceptible de porter atteinte aux entités régulées au titre de la directive NIS 2.

II.  Le dispositif proposé - la possibilité pour l'Anssi d'imposer à plusieurs catégories d'entités la mise en oeuvre de mesures en cas de menace pour la sécurité de leurs systèmes d'information

Le présent article 25 prévoit d'habiliter l'Anssi, lorsqu'elle aura connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information de diverses entités, à prescrire à l'entité concernée les mesures nécessaires, notamment pour éviter un incident ou y remédier, ainsi que le délai qui leur sera accordé pour mettre en oeuvre ces mesures et en rendre compte.

Les entités concernées seront les personnes mentionnées à l'article 14 du présent projet de loi, à savoir :

- les entités « essentielles » ;

- les entités « importantes » ;

- les administrations de l'État et leurs établissements publics administratifs qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale ainsi que de la répression pénale ;

- les missions diplomatiques et consulaires françaises pour leurs réseaux et systèmes d'information ;

- le Commissariat à l'énergie atomique et aux énergies alternatives pour ses activités dans le domaine de la défense ;

- les juridictions administratives et judiciaires.

Les bureaux d'enregistrement pourraient également se voir prescrire la mise en oeuvre de mesures par l'Anssi.

Un décret en Conseil d'État devrait déterminer les modalités d'application de ces dispositions.

Pour rappel, conformément à l'article 23 de la directive NIS 2 , l'article 17 du présent projet de loi tend par ailleurs à obliger les mêmes entités - à l'exception des bureaux d'enregistrement - à notifier sans retard injustifié à l'Anssi tout incident ayant une incidence importante sur la fourniture de leurs services.

III. La position de la commission - des modifications rédactionnelles

Constatant qu'il se bornait à transposer les dispositions de la directive NIS 2, la commission spéciale a adopté le présent article modifié par un amendement rédactionnel n° COM-107 des rapporteurs.

En tout état de cause, le renvoi à un décret en Conseil d'État pour la détermination des modalités de son application paraît justifié par le caractère manifestement réglementaire des précisions à apporter, en ce qui concerne tant la procédure à suivre que les délais de mise en oeuvre des mesures prescrites.

La commission a adopté cet article ainsi modifié.

SECTION 1
RECHERCHE ET CONSTATATION DES MANQUEMENTS

SOUS-SECTION 1
HABILITATION

Article 26
Habilitation des agents de plusieurs organismes à rechercher et constater les manquements et infractions en matière de cybersécurité

I. La situation actuelle - l'extension des compétences de l'Anssi et d'autres entités dans le champ du contrôle

Dans le cadre des nouvelles obligations imposées ces dernières années aux entités concernées par la réglementation européenne en matière de cybersécurité, l'Agence nationale de la sécurité des systèmes d'information (Anssi) s'est vue attribuer des missions supplémentaires.

En premier lieu, pour l'application du règlement dit « eIDAS » de 2014^46(*), l'Anssi assure désormais un triple rôle en matière de contrôle de la sécurité des moyens d'identification électronique :

- un rôle de certification, qui s'exerce au travers, d'une part, de la certification de la conformité des moyens d'identification électronique aux exigences du cahier des charges établi par l'Anssi - correspondant an niveau de garantie « élevé » au sens de la réglementation européenne^47(*) -, qui induit la présomption de fiabilité, et, d'autre part, de la délivrance aux prestataires fournissant un moyen d'identification électronique autre que présumé fiable et qui en font la demande d'une certification attestant du niveau de garantie présenté par ce moyen d'identification électronique, sur la base de référentiels définissant les exigences de sécurité associées^48(*) ;

- un rôle de publication sur son site internet des décisions de certification en cours de validité sous la forme d'une « liste nationale de confiance »^49(*) ;

- et un rôle de contrôle, soit par ses propres moyens, soit par le biais d'un centre d'évaluation, du respect par le prestataire de confiance des exigences induites par la certification pendant la période de validité de la décision de certification^50(*).

Par ailleurs, le règlement dit « Cyber Security Act » (CSA) fait obligation à chaque État membre de l'Union européenne de désigner une ou plusieurs autorités nationales de certification de cybersécurité (ANCC), rôle qui incombe, en France, à l'Anssi^51(*).

Cette dernière doit ainsi, entre autres, superviser et faire respecter les règles prévues dans les schémas européens de certification de cybersécurité et contrôler le respect des obligations qui incombent aux fabricants ou fournisseurs de produits, services ou processus technologiques de l'information et de la communication.

II. Le dispositif proposé - une habilitation des agents de l'Anssi et d'autres entités à rechercher et à constater les manquements et infractions en matière de cybersécurité

Le présent article habilite les agents et personnes, spécialement désignés et assermentés à cet effet, de l'Anssi et des organismes indépendants ou services de l'État qu'elle désigne, à rechercher et à constater les manquements et infractions aux obligations prévues par :

- le règlement dit « eIDAS » de 2014 ;

- le règlement dit « CSA » de 2019 ;

- les chapitres II et III du titre II du présent projet de loi, respectivement consacrés à la cyber résilience et à la supervision ;

- les articles L. 100, L. 102 et L. 103 du code des postes et des communications électroniques, lesquels portent respectivement sur les obligations incombant aux prestataires d'envois recommandés électroniques, les caractéristiques des moyens d'identification électronique ainsi que les modalités de leur certification (voir supra) et les caractéristiques des services de coffre-fort numérique et la possibilité de leur certification.

- et les exigences de cybersécurité résultant des autorisations, certifications, qualifications et agréments que l'Anssi délivre.

III. La position de la commission - des clarifications nécessaires

Jugeant cet article justifié par la nécessité de permettre aux agents et personnels de l'Anssi de conduire les opérations de contrôle dont ils sont chargés, la commission spéciale a adopté un amendement n° COM-109 des rapporteurs.

Celui-ci supprime la référence aux infractions pouvant avoir été commises par les personnes contrôlées par l'Anssi, compte tenu du remplacement du régime de sanctions pénales actuellement en vigueur par un régime d'amendes administratives, et clarifie le rôle des agents et personnels des organismes indépendants en matière de recherche des manquements.

Leur intervention serait ainsi limitée à la recherche des manquements aux obligations qui s'imposent aux personnes contrôlées, sous le contrôle des agents et personnels assermentés de l'Anssi ou des services de l'État désignés par elle. Ils ne seraient eux-mêmes ni assermentés ni habilités à constater lesdits manquements, c'est-à-dire à en dresser procès-verbal.

La commission spéciale a également adopté un amendement de coordination n° COM-108 créant un article additionnel avant le présent article.

La commission a adopté cet article ainsi modifié.

SOUS-SECTION 2
DES POUVOIRS

Article 27
Droits et obligations des agents chargés d'un contrôle de l'Anssi
et de la personne contrôlée

I. Les modifications proposées par le Gouvernement : la détermination des droits et obligations des agents chargés d'un contrôle de l'Anssi et des personnes contrôlées

A. La réglementation permet le contrôle de la sécurité des systèmes d'information des opérateurs de services essentiels et des opérateurs d'importance vitale, sans en fixer le cadre avec précision

Les opérateurs de services essentiels (OSE) peuvent être soumis par le Premier ministre à des contrôles destinés à vérifier le respect de leurs obligations en matière de sécurité des réseaux et systèmes d'information ainsi que le niveau de sécurité des réseaux et systèmes d'information nécessaires à la fourniture de services essentiels^52(*).

Le contrôle est effectué, sur pièces et sur place, par l'Agence nationale de la sécurité des systèmes d'information (Anssi) ou par des prestataires de service qualifiés par le Premier ministre, son coût étant à la charge des OSE.

Dans ce cadre, les OSE sont tenus de communiquer à l'Anssi ou au prestataire de service chargé du contrôle les informations et éléments nécessaires à la réalisation du contrôle, y compris les documents relatifs à leur politique de sécurité et, le cas échéant, les résultats d'audit de sécurité, et de leur permettre d'accéder aux réseaux et systèmes d'information faisant l'objet du contrôle afin d'effectuer des analyses et des relevés d'informations techniques.

En cas de manquement constaté à l'occasion d'un contrôle, l'Anssi peut mettre en demeure les dirigeants de l'OSE concerné de se conformer, dans un délai qu'elle détermine en tenant compte des conditions de fonctionnement de l'OSE et des mesures à mettre en oeuvre, aux obligations qui lui incombent.

Le fait, pour les dirigeants d'un OSE, de ne pas se conformer aux règles de sécurité qui s'imposent à eux à l'issue du délai fixé par la mise en demeure est puni de 100 000 € d'amende^53(*). Ils encourent par ailleurs une amende de 125 000 € s'ils font obstacle aux opérations de contrôle.

De même, dans le cadre de la loi de programmation militaire pour les années 2014 à 2019^57(*), le législateur a autorisé le Premier ministre à demander à l'Anssi, à des services de l'État désignés par lui ou à des prestataires de service qualifiés par lui de soumettre les opérateurs d'importance vitale (OIV) à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité nécessaires à la protection des systèmes d'information^58(*).

Le cas échéant, le coût du contrôle est supporté par l'opérateur concerné.

Le fait, pour les dirigeants d'un OIV, de ne pas satisfaire à leurs obligations en la matière est puni d'une amende de 150 000 €, cette sanction étant précédée d'une mise en demeure^59(*).

Qu'il s'agisse des OSE ou des OIV, néanmoins, aucune disposition législative ou réglementaire ne détermine avec précision ni les prérogatives reconnues aux agents chargés du contrôle de la sécurité des systèmes d'information dans le cadre de celui-ci, ni les obligations qui s'imposent à eux.

B. Le Gouvernement souhaite déterminer les droits et obligations des agents chargés du contrôle et des personnes contrôlées

Le présent article vise à obliger les personnes faisant l'objet d'un contrôle de l'Anssi à mettre à disposition des agents ou personnels chargés du contrôle les moyens nécessaires pour effectuer les vérifications sur pièces et sur place et évaluer leur conformité aux exigences et le respect des obligations qui leur incombent.

Le droit d'accès de ces agents et personnels aux locaux des entités contrôlées serait consacré, étant précisé qu'ils peuvent pénétrer dans les lieux à usage professionnel.

Au surplus, ceux-ci seraient habilités à :

- exiger la communication de tout document nécessaire à l'accomplissement de leur mission, quel qu'en soit le support, et à obtenir ou prendre copie de ces documents par tout moyen et sur tout support, y compris les éléments de nature à établir la mise en oeuvre effective par l'entité contrôlée des mesures de nature à répondre à ses obligations, dont les rapports d'audit menés par des organismes indépendants ;

- recueillir, sur place ou sur demande, tout renseignement ou toute justification utile ;

- accéder aux systèmes d'information, aux logiciels, aux programmes informatiques et aux données stockées et en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins de la supervision ;

- procéder, sur convocation ou sur place, aux auditions de toute personne susceptible d'apporter des éléments utiles à leurs constatations - le cas échéant, ils en dresseraient procès-verbal, que les personnes entendues liraient et signeraient tout en pouvant y faire consigner leurs observations ; en cas de refus de signer, mention en serait faite sur le procès-verbal.

Il est prévu que le secret professionnel ne puisse être opposé par les personnes contrôlées aux agents ou personnels chargés du contrôle agissant dans le cadre de leurs pouvoirs de contrôle.

Dans le même temps, ces agents et personnels ainsi que les experts qui concourront à l'accomplissement de leur mission de recherche et de constatation des manquements à la réglementation et des infractions en matière de cybersécurité seraient astreints au secret professionnel pour les faits, actes ou renseignements dont ils auraient connaissance en raison de leurs fonctions, sous réserve des éléments utiles à l'établissement des documents nécessaires à l'instruction.

Les rapports, avis ou autres documents justifiant d'adopter les mesures mentionnées aux articles 28, 29 et 32 du présent projet de loi - c'est-à-dire, respectivement, l'application d'une amende administrative en cas d'obstacle au contrôle, la mise à la charge de la personne contrôlée du coût du contrôle et la mise en oeuvre d'une mesure d'exécution -, y compris ceux établis ou recueillis dans le cadre de la recherche de manquement, pourraient être communiquées à la personne contrôlée.

Enfin, il serait dressé procès-verbal des vérifications et visites menées dans le cadre du contrôle, qui ferait foi jusqu'à preuve du contraire.

II. La position de la commission : des modifications rédactionnelles et une sécurisation juridique

La commission se félicite que soient enfin déterminées avec précision les prérogatives et obligations des agents et personnels chargés des contrôles menés par l'Anssi, qui n'étaient jusqu'alors fixées par aucun texte de nature législative ou réglementaire.

Elle a par conséquent adopté le présent article assorti d'un amendement n° COM-110 des rapporteurs y apportant des modifications de nature rédactionnelle et tendant à en renforcer la sécurité juridique, notamment en ce qui concerne les modalités d'établissement des procès-verbaux d'auditions.

La commission a adopté cet article ainsi modifié.

Article 28
Devoir de coopération de la personne contrôlée et amende administrative
en cas d'obstacle à un contrôle

I. Les modifications proposées par le Gouvernement : l'instauration d'un devoir de coopération de la personne contrôlée par l'Anssi et l'application d'une amende administrative en cas d'obstacle au contrôle

A. Le régime de sanctions pénales applicable en cas de manquement d'un opérateur à ses obligations, inadapté aux enjeux, n'est pas mis en oeuvre

1. Des sanctions pénales sont prévues en cas d'obstacle à un contrôle de l'Anssi

S'il n'existe pas de régime de sanction unique pour les faits d'obstacle à un contrôle de l'Agence nationale de la sécurité des systèmes d'information (Anssi), une amende de 125 000 € est d'ores et déjà prévue en cas d'obstacle de la part des dirigeants d'un opérateur de services essentiels (OSE) aux opérations de contrôle du niveau de sécurité des systèmes d'information et du respect de leurs obligations en la matière^64(*).

En outre, le fait, pour les dirigeants d'un opérateur d'importance vitale (OIV), de ne pas satisfaire à un certain nombre de leurs obligations, et notamment à celle de soumettre les systèmes d'information de l'OIV à des contrôles destinés à vérifier leur niveau de sécurité et le respect des règles de sécurité nécessaires à leur protection, est puni d'une amende de 150 000 €^65(*).

2. Un régime d'amendes administratives doit être instauré en application de la directive NIS 2

L'article 34 de la directive dite « NIS 2 »^66(*) instaure un régime d'amendes administratives en cas de non-respect des obligations qu'elle instaure, ce qui facilitera la mise en oeuvre effective des pénalités financières dans un contexte de fort accroissement du nombre d'entités contrôlées par l'Anssi.

L'étude d'impact du présent projet de loi précise d'ailleurs que le régime de sanctions pénales actuellement en vigueur en France n'a jamais été mis en oeuvre, dans la mesure où il n'offre pas à l'Anssi la possibilité d'une approche graduée.

Aussi est-il prévu que les États membres veillent à ce que, lorsqu'elles violent leurs obligations en matière de gestion des risques cyber et d'information, les entités importantes soient soumises à des amendes administratives d'un montant maximal s'élevant au moins à 7 millions d'euros ou à 1,4 % du chiffre d'affaires annuel mondial total de l'exercice précédent de l'entreprise à laquelle appartient l'entité concernée, le montant le plus élevé étant retenu.

S'agissant des entités essentielles, ces seuils planchers sont portés à 10 millions d'euros et à 2 % du chiffre d'affaires.

La directive permet en outre à chaque État membre d'établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des entités de l'administration publique.

B. Le Gouvernement propose d'instaurer un devoir de coopération de la personne contrôlée par l'Anssi et de punir d'une amende administrative le fait de faire obstacle au contrôle

Le présent article tend à obliger la personne contrôlée à coopérer avec l'Anssi. Il habilite dans le même temps les agents et personnels chargés du contrôle à constater toute action de la part de la personne contrôlée de nature à faire obstacle au contrôle.

Le fait, pour la personne contrôlée, de faire obstacle aux demandes de l'Anssi nécessaires à la recherche des manquements et à la mise en oeuvre de ses pouvoirs de contrôle, notamment en fournissant des renseignements incomplets ou inexacts ou en communiquant des pièces incomplètes ou dénaturées, serait constitutif d'un manquement et puni d'une amende administrative prononcée par la commission des sanctions instituée par l'article 1^er du présent projet de loi.

Le montant de cette amende, proportionné à la gravité du manquement, ne pourrait excéder 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, hors taxes, de l'exercice précédent, le montant le plus élevé étant retenu - soit le plafond minimal fixé par la directive dite « NIS 2 » pour les amendes administratives prononcées à l'encontre des entités essentielles.

Les griefs constitutifs d'obstacle au contrôle retenus à l'encontre de la personne contrôlée lui seraient notifiés par l'Anssi, laquelle saisirait la commission des sanctions afin qu'elle se prononce.

Il est enfin précisé que ces dispositions ne s'appliqueraient ni aux administrations de l'État, ni à ses établissements publics administratifs. Le Conseil d'État justifie cette exclusion au motif que « le Gouvernement dispose à leur égard d'autres moyens que ces amendes pour garantir le respect de leurs obligations »^67(*). Les collectivités territoriales et leurs groupements et établissement seraient, pour leur part, soumises à ces dispositions du fait de « l'absence de dispositif équivalent » qui leur soit applicable.

II. La position de la commission : des modifications rédactionnelles et de sécurisation juridique

Dans la mesure où le champ des entités soumises aux contrôles de l'Anssi fait l'objet d'une extension dans le cadre de la transposition de la directive dite « NIS 2 », il est logique que soit instauré un régime de sanction unique pour ce qui concerne les faits d'obstacle à un contrôle.

Considérant qu'il se borne à transposer les dispositions de ladite directive en fixant le montant plafond des amendes administratives pouvant être prononcées dans ce cas au niveau minimal prévu par celle-ci, la commission a adopté le présent article assorti d'un amendement n° COM-111 des rapporteurs y apportant des modifications de nature rédactionnelle et précisant que le chiffre d'affaires retenu pour la détermination du plafond de l'amende est celui de l'entreprise à laquelle appartient la personne contrôlée, conformément aux prescriptions de la directive.

La commission a adopté cet article ainsi modifié.

Article 29
Forme et prise en charge financière des contrôles

I. Les modifications proposées par le Gouvernement : la fixation des formes possibles des contrôles de l'Anssi et leur financement par la personne contrôlée

A. La réglementation prévoit d'ores et déjà la prise en charge du coût des contrôles par les opérateurs, mais pas la forme qu'ils peuvent revêtir

1. La forme des contrôles de l'Anssi, dont le coût est pris en charge par les opérateurs contrôlés, n'est pas suffisamment encadrée

Aucune disposition législative ou réglementaire ne détermine pour l'heure la forme que peut revêtir un contrôle de l'Agence nationale de la sécurité des systèmes d'information (Anssi).

En tout état de cause, la loi met le coût du contrôle à la charge de la personne contrôlée dans le cas des contrôles destinés à vérifier le niveau de sécurité des systèmes d'information des opérateurs de services essentiels (OSE) et des opérateurs d'importance vitale (OIV) et le respect des règles de sécurité en la matière^68(*).

S'agissant des OIV, la réglementation en vigueur précise que, lorsqu'un contrôle est effectué par un service de l'État, son coût est calculé en fonction du temps nécessaire à la réalisation du contrôle et du nombre d'agents publics qui y participent, un arrêté du Premier ministre fixant le coût d'un contrôle mobilisant un agent public pendant une journée^69(*). Dans le cas d'un contrôle effectué par un prestataire de service, le coût du contrôle est déterminé librement par les parties.

2. La directive NIS 2 liste différents types de contrôles auxquels les entités essentielles et importantes doivent pouvoir être soumises et prévoit la prise en charge par l'entité du coût des audits ciblés réalisés par un organisme indépendant

Aux termes des articles 32 et 33 de la directive dite « NIS 2 »^70(*), les États membres doivent veiller à ce que les autorités compétentes, lorsqu'elles accomplissent leurs tâches de supervision à l'égard d'entités essentielles ou importantes, aient le pouvoir de soumettre ces entités, a minima, à :

- des inspections sur place et des contrôles à distance, y compris des contrôles aléatoires effectués par des professionnels formés ;

- des audits de sécurité réguliers et ciblés réalisés par un organisme indépendant ou une autorité compétente ;

- des scans de sécurité fondés sur des critères d'évaluation des risques objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération de l'entité concernée ;

- des demandes d'informations nécessaires à l'évaluation - ex post dans le cas des entités importantes - des mesures de gestion des risques en matière de cybersécurité adoptées par l'entité concernée, notamment les politiques de cybersécurité consignées par écrit, ainsi que du respect de l'obligation de soumettre des informations aux autorités compétentes conformément à l'article 27 de la directive ;

- des demandes d'accès à des données, à des documents et à toutes informations nécessaires à l'accomplissement de leurs tâches de supervision ;

- des demandes de preuves de la mise en oeuvre des politiques de cybersécurité, telles que les résultats des audits de sécurité effectués par un auditeur qualifié et les éléments de preuve sous-jacents correspondants.

Au surplus, les entités essentielles doivent pouvoir être soumises à des audits ad hoc, notamment lorsqu'ils sont justifiés en raison d'un incident important ou d'une violation de la directive par l'entité.

Il est précisé que le coût d'un audit de sécurité ciblé effectué par un organisme indépendant doit être supporté par l'entité contrôlée, sauf lorsque l'autorité compétente en décide autrement dans des cas dûment motivés.

B. Le Gouvernement propose de déterminer les formes possibles d'un contrôle de l'Anssi et d'en mettre le coût à la charge de la personne contrôlée

Le présent article tend à lister les différentes formes que pourrait prendre un contrôle de l'Anssi, à savoir :

- des inspections sur place et des contrôles à distance ;

- des audits de sécurité réguliers et ciblés réalisés par l'Anssi ou par un organisme indépendant choisi par elle ;

- des scans de sécurité ;

- et des audits en cas d'incident important ou d'une violation des dispositions de l'article 26 du présent projet de loi, qui habilite les agents de l'Anssi ainsi que des organismes indépendants et des services de l'État spécialement désignés à cet effet à rechercher et constater les manquements à la réglementation et les infractions en matière de cybersécurité.

Il est par ailleurs prévu que le coût du contrôle soit supporté par la personne contrôlée, sauf si, à titre exceptionnel, l'Anssi en décidait autrement. D'après l'étude du présent projet de loi, ce choix découlerait de la volonté d'appliquer « un principe de redevance pour service rendu, conformément à la jurisprudence du Conseil d'État », et ce « dans un souci d'harmonisation » avec les dispositifs actuellement applicables aux OIV et aux OSE.

Du reste, et pour mémoire, l'article 27 du présent projet de loi habilite notamment les agents ou personnes chargés des contrôles à exiger la communication de tout document nécessaire à l'accomplissement de leur mission, quel qu'en soit le support, et à obtenir ou prendre copie de ces documents par tout moyen et sur tout support, y compris les éléments de nature à établir la mise en oeuvre effective par l'entité contrôlée des mesures de nature à répondre à ses obligations, dont les rapports d'audit menés par des organismes indépendants.

II. La position de la commission : une clarification juridique relative à la prise en charge du coût des contrôles de l'Anssi

La commission constate que le présent article se borne à transposer en droit national les dispositions de la directive déterminant la forme que peuvent revêtir les contrôles de l'Anssi.

En revanche, le choix de faire reposer le coût de ces contrôles sur la personne contrôlée va bien au-delà des prescriptions de la directive - laquelle ne met à la charge des entités contrôlées que le coût des audits de sécurité ciblés effectués par un organisme indépendant, sauf décision contraire de l'autorité compétente.

D'après les informations recueillies au cours des auditions menées par les rapporteurs, il pourrait être envisagé de ne faire supporter le coût d'un contrôle par la personne faisant l'objet de ce contrôle que dans le cas où celui-ci révèlerait une infraction ou un manquement aux obligations qui s'imposent à la personne contrôlée.

En tout état de cause, l'ensemble des parties prenantes entendues par la commission spéciale - entreprises comme collectivités territoriales - se sont élevées contre le principe même de faire reposer le coût des contrôles, sans distinction ni précision particulière, sur la personnes contrôlée, l'exonération exceptionnelle que pourrait accorder l'Anssi apparaissant purement discrétionnaire.

Par conséquent, sur la proposition des rapporteurs, la commission a adopté un amendement de clarification juridique n° COM-112 visant à préciser explicitement que la personne contrôlée n'est pas tenue de prendre en charge le coût du contrôle lorsque celui-ci ne révèle aucune infraction ou manquement auxdites obligations.

La commission a adopté cet article ainsi modifié.

Article 30
Modalités d'application des dispositions relatives aux prérogatives de l'Anssi en matière de recherche et de constatation des manquements

I. Les modifications proposées par le Gouvernement : la fixation des modalités d'application par décret en Conseil d'État

Le présent article tend à prévoir la fixation des modalités d'application de la sous-section 2 de la section 1 du chapitre III du présent projet de loi, qui détermine les prérogatives de l'Anssi en matière de recherche et de constatation des manquements, par un décret en Conseil d'État.

II. La position de la commission : une adoption sans modification

Les dispositions proposées n'appellent pas de commentaire de la part de la commission, qui se déclare favorable à son adoption.

La commission a adopté cet article sans modification.

SECTION 2
MESURES CONSÉCUTIVES AUX CONTRÔLES

Article 31
Ouverture d'une procédure à l'encontre de la personne contrôlée

I. Les modifications proposées par le Gouvernement : l'ouverture par l'Anssi d'une procédure à l'issue d'un contrôle

A. Les dirigeants des opérateurs ne se conformant pas à leurs obligations en matière de sécurité des systèmes d'information après avoir été mis en demeure de le faire sont passibles d'une amende

Lorsqu'un manquement est constaté dans le cadre d'un contrôle du niveau de sécurité des réseaux et systèmes d'information d'un opérateur de services essentiels (OSE) et du respect des règles de sécurité en la matière, l'Anssi peut mettre en demeure les dirigeants de l'OSE concerné de se conformer, dans un délai qu'elle détermine en tenant compte des conditions de fonctionnement de l'OSE et des mesures à mettre en oeuvre, aux obligations qui leur incombent^71(*).

Le fait, pour les dirigeants d'un OSE, de ne pas se conformer aux règles de sécurité qui s'imposent à eux à l'issue du délai fixé par la mise en demeure est puni de 100 000 € d'amende^72(*).

De même, le fait, pour les dirigeants d'un opérateur d'importance vitale (OIV), de ne pas satisfaire à leurs obligations en matière de sécurité des réseaux et systèmes d'information est puni d'une amende de 150 000 €, cette sanction étant précédée d'une mise en demeure^73(*).

B. Le Gouvernement entend permettre l'ouverture par l'Anssi d'une procédure au terme d'un contrôle

Le présent article tend à permettre à l'Anssi d'engager une procédure à l'encontre de la personne contrôlée au vu des résultats d'un contrôle.

L'Anssi devrait dès lors notifier sa décision à la personne contrôlée et désigner parmi les agents et personnes habilités un ou plusieurs rapporteurs chargés de l'instruction de cette procédure.

II. La position de la commission : des modifications de sécurisation et de clarification juridiques

La commission juge nécessaire de permettre le déclenchement d'une procédure à l'encontre de la personne contrôlée lorsque le contrôle révèle un manquement aux obligations qui s'imposent à la personne contrôlée. Elle a par conséquent adopté un amendement n° COM-113 des rapporteurs prévoyant explicitement l'ouverture d'une procédure de cette nature dans un tel cas.

Par ailleurs, dans un souci de clarification de l'objectif poursuivi lors de l'ouverture par l'Anssi d'une telle procédure, cet amendement tend également à intégrer au présent article les dispositions de l'article 32 du présent projet de loi, qui permettent à l'Anssi soit de clore la procédure lorsque les faits constatés ne justifient pas l'adoption d'une mesure d'exécution, soit d'adopter une telle mesure si celle-ci s'avère nécessaire pour mettre un terme à l'infraction ou au manquement.

Enfin, il supprime la faculté accordée à l'Anssi de rendre publique la mesure d'exécution adoptée et d'enjoindre à la personne contrôlée de rendre public son manquement. Seule la commission des sanctions serait donc habilitée à décider d'une mesure de publicisation, dans la mesure où celle-ci constitue davantage une sanction qu'une mesure de police administrative.

La commission a adopté cet article ainsi modifié.

Article 32
Mesures d'exécution

I. Les modifications proposées par le Gouvernement : la possibilité pour l'Anssi de mettre en oeuvre des mesures d'exécution au terme de la procédure initiée à l'issue d'un contrôle

A. La directive NIS 2 impose aux États membres de permettre l'adoption de mesures d'exécution à l'encontre des entités contrôlées

Les articles 32 et 33 de la directive dite « NIS 2 »^74(*) prévoient que les États membres veillent à ce que leurs autorités compétentes, lorsqu'elles exercent leurs pouvoirs d'exécution à l'égard d'entités essentielles ou importantes, aient a minima le pouvoir :

- d'émettre des avertissements concernant les violations de la directive par les entités concernées ;

- d'adopter des instructions contraignantes, y compris en ce qui concerne les mesures nécessaires pour éviter un incident ou y remédier, ainsi que les délais pour mettre en oeuvre ces mesures et rendre compte de cette mise en oeuvre, ou une injonction exigeant des entités concernées qu'elles remédient aux insuffisances constatées ou aux violations de la directive ;

- d'ordonner aux entités concernées de mettre un terme à un comportement qui viole la directive et de ne pas le réitérer ;

- d'ordonner aux entités concernées de garantir la conformité de leurs mesures de gestion des risques en matière de cybersécurité avec l'article 21 de la directive ou de respecter les obligations d'information prévues par son article 23, de manière spécifique et dans un délai déterminé ;

- d'ordonner aux entités concernées d'informer les personnes physiques ou morales à l'égard desquelles elles fournissent des services ou exercent des activités susceptibles d'être affectées par une cybermenace importante de la nature de la menace, ainsi que de toutes mesures préventives ou réparatrices que ces personnes physiques ou morales pourraient prendre en réponse à cette menace ;

- d'ordonner aux entités concernées de mettre en oeuvre les recommandations formulées à la suite d'un audit de sécurité dans un délai raisonnable ;

- d'ordonner aux entités concernées de rendre publics les aspects de violations de la directive de manière spécifique ;

- et d'imposer ou de demander aux organes compétents ou aux juridictions d'imposer, conformément au droit national, une amende administrative en plus d'une mesure d'exécution.

S'agissant spécifiquement des entités essentielles, les autorités compétentes doivent également pouvoir désigner, pour une période déterminée, un responsable du contrôle ayant des tâches bien définies pour superviser le respect, par les entités concernées, des articles 21 et 23 de la directive.

En outre, lorsque les mesures d'exécution adoptées sont inefficaces, les États membres doivent veiller à ce que leurs autorités compétentes aient le pouvoir de fixer un délai dans lequel l'entité essentielle soit invitée à prendre les mesures nécessaires pour pallier les insuffisances ou satisfaire aux exigences de ces autorités.

Si la mesure demandée n'est pas prise dans le délai imparti, les États membres doivent veiller à ce que les autorités compétentes aient le pouvoir de suspendre temporairement ou de demander à un organisme de certification ou d'autorisation ou à une juridiction, conformément au droit national, de suspendre temporairement une certification ou une autorisation concernant tout ou partie des services pertinents fournis ou des activités pertinentes menées par l'entité essentielle.

Au surplus, aux termes de l'article 34 de la directive, les États membres peuvent prévoir le pouvoir d'imposer des astreintes pour contraindre une entité essentielle ou importante à mettre un terme à une violation de la directive conformément à une décision préalable de l'autorité compétente.

B. Le Gouvernement entend permettre à l'Anssi soit de clore la procédure ouverte à l'issue d'un contrôle, soit d'adopter une mesure d'exécution

Le présent article tend à déterminer la manière dont pourrait se poursuivre la procédure ouverte par l'Anssi à l'encontre de la personne contrôlée au vu des résultats d'un contrôle.

Dans le cas où l'instruction ne ferait pas état de faits justifiant une mesure d'exécution, l'Anssi clôturerait la procédure et en informerait la personne concernée.

En revanche, dans le cas contraire, l'Anssi serait habilitée à adopter une mesure d'exécution après avoir mis la personne concernée en mesure de présenter ses observations. Elle pourrait ainsi :

- prononcer une mise en garde à l'encontre de la personne contrôlée ;

- lui enjoindre de prendre les mesures nécessaires pour éviter un incident ou y remédier et définir les délais accordés pour les mettre en oeuvre et en rendre compte ;

- lui enjoindre de se mettre en conformité avec les obligations qui lui sont applicables dans un délai qu'elle détermine et qui ne peut être inférieur à un mois, sauf en cas de manquement gravé ou répété ;

- lui ordonner d'informer les personnes physiques ou morales au profit desquelles elle fournit des services ou exerce des activités susceptibles d'être affectées par une cybermenace importante de la nature de cette menace et de toute mesure préventive ou réparatrice qu'elles pourraient prendre pour répondre à cette menace ;

- lui enjoindre de mettre en oeuvre dans le délai qu'elle fixe les recommandations formulées à la suite d'un audit de sécurité ;

- et exiger qu'elle informe le public du manquement constaté par tout moyen adapté.

Le cas échéant, la mesure d'exécution devrait être notifiée aux intéressés et pourrait être assortie d'une astreinte dont le montant serait plafonné à 5 000 euros par jour de retard. L'Anssi serait autorisée à rendre cette mesure publique.

Il est enfin précisé que l'astreinte journalière courrait à compter du jour suivant l'expiration du délai imparti aux personnes concernées pour déférer à l'injonction. En cas d'inexécution totale ou partielle ou d'exécution tardive, la commission des sanctions instituée par l'article 1^er du présent projet de loi pourrait procéder à la liquidation de cette astreinte.

II. La position de la commission : la suppression de cet article

Les dispositions du présent article, qui n'appellent pas de modification de fond - dans la mesure où elles se bornent à transposer les dispositions de la directive dite « NIS 2 » -, mais uniquement des modifications de nature rédactionnelle, ont été intégrées à l'article 31 du présent projet de loi par un amendement n° COM-113 des rapporteurs, dans un souci de clarification de l'objectif poursuivi lors de l'ouverture par l'Anssi d'une procédure à l'encontre de la personne contrôlée.

Par conséquent, la commission a adopté un amendement n° COM-114 des rapporteurs visant à supprimer le présent article.

La commission a supprimé cet article.

Article 33
Saisine de la commission des sanctions

I. Les modifications proposées par le Gouvernement : la saisine de la commission des sanctions en cas d'inexécution d'une mesure d'exécution

Le présent article tend à déterminer la manière dont pourrait se conclure la procédure ouverte par l'Anssi à l'encontre de la personne contrôlée dans le cas où il aurait été décidé d'une mesure d'exécution.

Il prévoit que l'Anssi constate qu'il n'y a pas lieu de poursuivre la procédure et notifie sa décision à la personne concernée lorsque celle-ci fournit des éléments montrant qu'elle s'est conformée à la mesure d'exécution dans le délai imparti.

En revanche, dans le cas où la personne concernée ne se serait pas conformée à l'une des mesures d'exécution prononcées par l'Anssi, cette dernière lui notifierait les griefs retenus et saisirait la commission des sanctions instituée par l'article 1^er du présent projet de loi.

Du reste, dans l'hypothèse où la personne concernée serait une entité essentielle et où elle n'apporterait pas la preuve qu'elle s'est conformée, dans le délai imparti, à quatre types de mesures d'exécution - mise en garde, injonction de prendre les mesures nécessaires pour éviter un incident ou y remédier, injonction de se mettre en conformité avec les obligations applicables et injonction de mettre en oeuvre les recommandations formulées à la suite d'un audit de sécurité -, l'Anssi serait autorisée à suspendre une certification ou une autorisation concernant tout ou partie des services fournis ou des activités exercées par cette entité jusqu'à ce que celle-ci ait remédié au manquement.

Si cette certification ou cette autorisation a été délivrée par un organisme de certification ou d'autorisation, il est prévu que l'Anssi enjoigne à cet organisme de la suspendre jusqu'à ce que l'entité ait remédié au manquement.

II. La position de la commission : des modifications rédactionnelles et de coordination

Le présent article se bornant, comme les précédents, à transposer les dispositions de la directive dite « NIS 2 » visant à mettre un terme aux infractions et aux manquements aux obligations incombant aux personnes contrôlées et s'inscrivant dans le cadre du régime de sanctions administratives institué par ladite directive, la commission n'a identifié aucun obstacle à son adoption.

Elle a néanmoins adopté un amendement n° COM-115 des rapporteurs visant à améliorer la qualité rédactionnelle du dispositif, à procéder aux coordinations découlant de l'intégration des dispositions de l'article 32 du présent projet de loi à l'article 31 et à exclure les avertissements du champ des mesures d'exécution dont la non-application peut entraîner la suspension d'une certification ou d'une autorisation par l'Anssi, compte tenu du fait qu'il n'est pas possible, à proprement parler, de se conformer à un avertissement, dont le prononcé n'appelle pas la mise en oeuvre d'une action, mais plutôt la non-réitération d'un fait.

La commission a adopté cet article ainsi modifié.

Article 34
Modalités d'application des dispositions relatives à la procédure pouvant être engagée par l'Anssi à l'encontre de la personne contrôlée

I. Les modifications proposées par le Gouvernement : la fixation des modalités de la procédure pouvant être ouverte à l'encontre de la personne contrôlée par décret en Conseil d'État

Le présent article tend à prévoir la fixation par un décret en Conseil d'État des modalités d'application de la section 2 du chapitre III du présent projet de loi, qui détermine le cadre juridique applicable à la procédure pouvant être engagée par l'Anssi à l'encontre de la personne contrôlée au terme d'un contrôle.

II. La position de la commission : une adoption sans modification

Les dispositions proposées n'appellent pas de commentaire de la part de la commission, qui se déclare favorable à son adoption.

La commission a adopté cet article sans modification.

Article 35
Compétence de la commission des sanctions

I. La situation actuelle - la création d'une commission des sanctions en matière de cybersécurité constitue une nouveauté

Il n'existe pour l'heure pas de commission des sanctions en matière de cybersécurité, celle-ci constituant une innovation du présent projet de loi qui vise à garantir la bonne application des mesures qu'il prévoit pour que l'ensemble des entités concernés élèvent leur niveau de cybersécurité.

Cette innovation résulte directement des dispositions de l'article 36 de la directive NIS 2 qui prévoit que les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la directive et prennent toutes les mesures nécessaires pour assurer la mise en oeuvre de ces sanctions.

L'article 36 précise que les sanctions prévues doivent être effectives, proportionnées et dissuasives.

II. Le dispositif envisagé - une même commission des sanctions pour les manquements prévus aux obligations prévues par les directives REC et NIS 2

L'article 1^er du présent projet de loi introduit un article L. 1332-15 au code de la défense qui prévoit la création d'une commission des sanctions instituée auprès du Premier ministre.

L'article 35 prévoit que cette commission des sanctions statue sur les manquements constatés aux obligations découlant de l'application du chapitre II « De la cyber résilience », c'est-à-dire les articles 6 à 24, et du chapitre III « De la supervision », c'est-à-dire les articles 25 à 37, dans les conditions prévues par la présente section « Des sanctions » qui comprend les articles 35 à 37.

Cette commission est saisie par l'autorité administrative des manquements constatés. L'autorité, en l'occurrence l'Anssi, notifie à l'opérateur concerné les griefs susceptibles d'être retenus à son encontre.

La commission des sanctions reçoit les rapports et procès-verbaux des contrôles réalisés par l'autorité.

III. La position de la commission - une commission commune des sanctions mais avec une composition adaptée

Le présent article, qui prévoit que la commission des sanctions créé au titre I du projet de loi est compétente pour statuer sur les manquements constatés aux obligations découlant de l'application des chapitres II et III du titre II, ne présente pas de difficultés, dans la mesure où l'article 36 prévoit une composition adaptée avec la nomination de personnalités qualifiées compétentes dans le domaine de la sécurité des systèmes d'information.

La commission a adopté cet article sans modification.

Article 36
Composition de la commission des sanctions

I. La situation actuelle - la mise en place d'une commission des sanctions qui découle de la transposition de la directive NIS 2

Il n'existe pour l'heure pas de commission des sanctions en matière de cybersécurité, celle-ci constituant une innovation qui vise à garantir la bonne application des mesures prévues par le projet de loi pour que l'ensemble des entités concernées élèvent leur niveau de cybersécurité. Cette commission des sanctions est introduite aux articles L. 1332-15 et suivants du code de la défense par l'article 1^er du présent projet de loi.

Comme indiqué dans le commentaire de l'article 35, cette innovation résulte directement des dispositions de l'article 36 de la directive NIS 2 qui prévoit que les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la directive et prennent toutes les mesures nécessaires pour assurer la mise en oeuvre de ces sanctions.

L'article 36 de la directive NIS 2 précise que les sanctions prévues doivent être effectives, proportionnées et dissuasives.

II. Le dispositif envisagé - les trois personnalités qualifiées membres de la commission des sanctions lorsqu'elle est compétente en matière de cybersécurité seraient toutes nommées par le Premier ministre

L'article 36 du projet de loi prévoit que lorsqu'elle est saisie de manquements aux obligations découlant de l'application du chapitre II « De la cyber résilience » et du chapitre III « De la supervision » du présent projet de loi, la commission des sanctions en matière de cybersécurité prévue aux articles L. 1332-15 et suivants du code de la défense et placée auprès du Premier ministre est composée :

- des personnes mentionnées au 1° de l'article L. 1332-16 du code de la défense, c'est-à-dire d'un membre du Conseil d'État, président, désigné par le vice-président du Conseil d'État, d'un membre de la Cour de cassation désigné par le premier président de la Cour de cassation et d'un membre de la Cour des comptes désigné par le premier président de la Cour des comptes ;

- de trois personnalités qualifiées, nommés par le Premier ministre en raison de leurs compétences dans le domaine de la sécurité des systèmes d'information.

L'article L. 1332-16 du code de la défense, tel que prévu par l'article 1^er du présent projet de loi, prévoit que les membres de la commission des sanctions exercent leurs fonctions en toute impartialité. Dans l'exercice de leurs attributions, ils ne reçoivent ni ne sollicitent d'instruction d'aucune autorité.

Le président de la commission, qui est un membre du Conseil d'État, désigne un rapporteur parmi ses membres. Celui-ci ne peut recevoir aucune instruction.

La commission des sanctions statue par décision motivée. Aucune sanction ne peut être prononcée sans que l'opérateur concerné ou son représentant ait été entendu ou, à défaut, dûment convoqué. La commission peut auditionner toute personne qu'elle juge utile.

La commission statue à la majorité des membres présents. En cas de partage égal des voix, celle du président est prépondérante.

Le président et les membres de la commission ainsi que leurs suppléants respectifs sont nommés par décret pour un mandat de cinq ans, renouvelable une fois. Ils sont tenus au secret professionnel.

III. La position de la commission - un ajustement des autorités de nomination des personnalités qualifiées pour renforcer l'indépendance de la commission des sanctions

Si elle n'a pas remis en cause la composition de la commission des sanctions proposée à l'article 36, la commission spéciale a adopté, outre un amendement COM 117 du rapporteur Patrick Chaize précisant que c'est l'autorité nationale de sécurité des systèmes d'information qui saisit la commission des sanctions :

- un amendement COM 118 du rapporteur Patrick Chaize qui prévoit, pour renforcer les garanties d'indépendance de la commission des sanctions, que les trois personnalités qualifiées en raison de leurs compétences dans le domaine de la sécurité des systèmes d'information qui y siègeront ne seront pas uniquement désignées par le Premier ministre mais nommées respectivement par le Premier ministre, le président de l'Assemblée nationale et le président du Sénat ;

- un amendement COM 119 du rapporteur Patrick Chaize qui prévoit, toujours afin de garantir au maximum l'indépendance de la commission des sanctions, que les personnalités qualifiées nommées dans son collège n'exercent pas de responsabilités, ou n'ont pas exercé de responsabilités depuis moins de cinq ans, au sein de l'autorité nationale de sécurité des systèmes d'information.

La commission a adopté l'article ainsi modifié.

Article 37
Sanctions en cas de manquements aux obligations en matière de cybersécurité

I. La situation actuelle - un dispositif de sanctions administratives prévu par la directive NIS 2 afin de garantir sa bonne application par les entités régulées

L'article 36 de la directive NIS 2 prévoit que les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la directive et prennent toutes les mesures nécessaires pour assurer la mise en oeuvre de ces sanctions.

L'article 36 précise que les sanctions prévues doivent être effectives, proportionnées et dissuasives.

Dans le même temps, l'article 34 de la directive intitulé « Conditions générales pour imposer des amendes administratives à des entités essentielles et importantes » prévoit lui aussi que les États membres veillent à ce que les amendes administratives imposées aux entités « essentielles » et « importantes » sur son fondement pour des violations de la directive soient effectives, proportionnées et dissuasives, compte tenu des circonstances de chaque cas.

Le paragraphe 4 de l'article 34 prévoit que les États membres veillent à ce que, lorsqu'elles violent l'article 21 (article sur les mesures de gestion des risques en matière de cybersécurité transposé par l'article 14 du présent projet de loi) ou 23 (article sur les obligations de notification et d'information transposé par l'article 17 du présent projet de loi), les entités « essentielles » soient soumises à des amendes administratives d'un montant maximal s'élevant à au moins 10 millions d'euros ou à au moins 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent de l'entreprise à laquelle l'entité « essentielle » appartient, le montant le plus élevé étant retenu.

Le paragraphe 5 de l'article 34 prévoit que les États membres veillent à ce que, lorsqu'elles violent l'article 21 (article sur les mesures de gestion des risques en matière de sécurité transposé par l'article 14 du présent projet de loi) ou 23 (article sur les obligations d'information transposé par l'article 17 du présent projet de loi), les entités « importantes » soient soumises à des amendes administratives d'un montant maximal s'élevant à au moins 7 millions d'euros ou à au moins 1,4 % du chiffre d'affaires annuel mondial total de l'exercice précédent de l'entreprise à laquelle l'entité importante appartient, le montant le plus élevé étant retenu.

Le paragraphe 7 de l'article 34 dispose que chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des entités de l'administration publique.

Le point b) du paragraphe 5 de l'article 32 de la directive prévoit enfin que lorsque les mesures d'exécution ordonnées à une entité essentielle en matière de cybersécurité ne sont pas prises dans le délai imparti, les États membres veillent à ce que leurs autorités compétentes aient le pouvoir de demander aux organes compétents ou aux juridictions compétentes, conformément au droit national, d'interdire temporairement à tout personne physique exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal dans l'entité « essentielle » d'exercer des responsabilités dirigeantes dans cette entité.

Cette interdiction temporaire est uniquement appliquée jusqu'à ce que l'entité concernée prenne les mesures nécessaires pour remédier aux insuffisances ou se conformer aux exigences de l'autorité compétente à l'origine de l'application de ces mesures d'exécution.

L'imposition de ces suspensions ou interdictions temporaires est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l'Union et à la Charte, y compris le droit à un recours effectif et à accéder à un tribunal impartial, la présomption d'innocence et les droits de la défense.

II. Le dispositif envisagé - des sanctions qui assurent une transposition fidèle de la directive

Le I de l'article 37 établit les sanctions que peut prononcer la commission des sanctions mentionnée aux articles 35 et 36 en cas de manquement constaté aux obligations prévues par les dispositions prévues au présent titre II « Cybersécurité » visant à transposer la directive NIS 2.

A l'encontre des entités « essentielles » définies à l'article 8 et des opérateurs mentionnés à l'article L. 1332-2 du code de la défense, il prévoit une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, hors taxes, de l'exercice précédent de l'entreprise à laquelle l'entité « essentielle » appartient, le montant le plus élevé étant retenu. Les administrations de l'État et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs ne peuvent se voir appliquer cette sanction.

Cette sanction constitue une transposition fidèle du paragraphe 4 de l'article 34 de la directive NIS 2, avec l'utilisation de l'exemption pour les administrations publiques rendue possible par le paragraphe 7 dudit article 34.

A l'encontre des entités « importantes » définies à l'article 9, il prévoit une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total, hors taxes, de l'exercice précédent de l'entreprise à laquelle l'entité importante appartient, le montant le plus élevé étant retenu. Là encore, les administrations de l'État et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs ne peuvent se voir appliquer cette sanction.

Cette sanction constitue une transposition fidèle du paragraphe 5 de l'article 34 de la directive NIS 2, avec l'utilisation de l'exemption pour les administrations publiques rendue possible par le paragraphe 7 dudit article 34.

À l'encontre des offices d'enregistrement et des bureaux d'enregistrement mentionnés à l'article 18 du présent projet de loi, à l'exception de ceux relevant des articles L. 45 à L. 45-8 du code des postes et des communications électroniques lorsqu'il s'agit d'un manquement aux obligations prévues à la section 3 du chapitre II du présent projet de loi, il prévoit une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total, hors taxes, de l'exercice précédent. Cette amende peut se cumuler avec l'amende prévue pour les entités « essentielles » à l'encontre d'un office d'enregistrement en cas de manquement aux obligations applicables aux entités « essentielles ».

Le quatrième alinéa de l'article 37 prévoit que si les manquements relevés constituent également une violation du règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, donnant lieu à un amende administrative prononcée par la Commission nationale de l'informatique et des libertés (Cnil) en vertu des articles 20 à 22-1 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la commission des sanctions ne peut prononcer de sanction sous forme d'amende administrative.

Le II de l'article 37 prévoit que la commission peut prononcer une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, hors taxes, de l'exercice précédent, le montant le plus élevé étant retenu, à l'encontre :

- des fournisseurs de moyens d'identification électronique relevant des schémas d'identification électronique notifiés par l'État, des prestataires de services de confiance établis sur le territoire français, des fournisseurs de dispositifs de création de signature et de cachet électronique qualifié qu'elle certifie et des organismes d'évaluation de la conformité, à l'exception des administrations de l'État et de leurs établissements publics à caractère administratif, en cas de manquement constaté aux dispositions du règlement (UE) n° 910/2014 du 23 juillet 2014

- des organismes d'évaluation de la conformité sauf si l'organisme d'évaluation de la conformité est l'autorité nationale de certification de cybersécurité, des titulaires d'une déclaration de conformité aux exigences d'un schéma de certification européen, des titulaires d'un agrément, d'une qualification ou d'un certificat dans le domaine de la cybersécurité, en cas de manquement constaté aux dispositions du règlement (UE) n° 2019/881 du 17 avril 2019 ou aux exigences applicables mentionnés au 4° et au 5° de l'article 26 du présent projet de loi.

Le III de l'article 37 prévoit que lorsque la commission des sanctions envisage de prononcer l'amende prévue à l'article 28 à l'encontre de la même personne, le montant cumulé des sanctions ne peut excéder le montant de l'amende prévue au I ou au II du présent article 37, c'est-à-dire 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, hors taxes, de l'exercice précédent, le montant le plus élevé étant retenu.

Pour mémoire, l'article 28 prévoit que le fait, pour une personne contrôlée de faire obstacle aux demandes de l'autorité nationale de sécurité des systèmes d'information nécessaires à la recherche des manquements et à la mise en oeuvre des pouvoirs de cette dernière, notamment en fournissant des renseignements incomplets ou inexacts ou en communiquant des pièces incomplètes ou dénaturées, est constitutif d'un manquement et puni d'une amende administrative prononcée par la commission des sanctions mentionnée à l'article 35 dont le montant, proportionné à la gravité du manquement, ne peut excéder dix millions d'euros ou 2 % du chiffre d'affaires annuel mondial, hors taxes, de l'exercice précédent, le montant le plus élevé étant retenu.

Le IV de l'article 37 prévoit que la commission des sanctions peut également prononcer les mesures suivantes à l'encontre des organismes d'évaluation de la conformité et des titulaires d'agréments, de qualifications ou de certificats en matière de cybersécurité, au titre des dispositions du règlement (UE) n° 910/2014 du 23 juillet 2014, des dispositions du règlement (UE) 2019/881 du 17 avril 2019 ou des exigences de cybersécurité mentionnés au 5° de l'article 26 du présent projet de loi, à savoir :

- l'abrogation d'un agrément, d'une qualification ou d'un certificat ;

- l'abrogation de l'autorisation, de l'agrément ou de l'habilitation délivré à l'organisme d'évaluation de la conformité, lorsque le manquement n'est pas corrigé dans le délai imparti par l'autorité nationale de sécurité des systèmes d'information.

Le V de l'article 37 prévoit enfin que la commission des sanctions peut interdire à toute personne physique exerçant les fonctions de dirigeant dans l'entité « essentielle » d'exercer des responsabilités dirigeantes dans cette entité, jusqu'à ce que l'entité « essentielle » ait remédié au manquement.

Cette sanction est prévue pour assurer la transposition du point b) du paragraphe 5 de l'article 32 de la directive.

Il est précisé que ces dispositions ne s'appliquent pas aux administrations.

III. La position de la commission - un encadrement de la sanction interdisant l'exercice par une personne physique de fonctions de direction au sein d'une entité « essentielle »

Lors de son audition, le directeur général de l'Anssi a indiqué que, sur la question des sanctions, le texte s'inscrit avant tout dans une logique d'accompagnement des entités vers une mise en conformité, la définition des sanctions permettant de matérialiser les conséquences attachées, à terme, à une non-conformité.

Dans cet esprit, le projet de loi se contente en la matière de transposer à l'identique les mesures de la directive NIS 2 en matière d'amendes administratives, les taux d'amendes visés, 2 % du chiffre d'affaires pour les entités « essentielles » et 1,4 % pour les entités « importantes » étant des seuils maximaux.

Si la commission spéciale a considéré que la transposition de ces sanctions pécuniaires était en effet fidèle, elle a en revanche estimé que prévoir, sans aucune forme d'encadrement que la commission des sanctions peut interdire à toute personne physique exerçant les fonctions de dirigeant dans l'entité « essentielle » d'exercer des responsabilités dirigeantes dans cette entité, jusqu'à ce que l'entité « essentielle » ait remédié au manquement, paraissait problématique.

En conséquence, elle a adopté un amendement COM 120 du rapporteur Patrick Chaize qui prévoit que la faculté pour la commission des sanctions d'interdire à une personne physique exerçant les fonctions de dirigeant dans une entité « essentielle » qui n'aurait pas accompli toutes ses obligations en matière de cybersécurité d'exercer des responsabilités dirigeantes dans cette entité est possible uniquement en dernier recours, si et seulement si le manquement persiste alors que l'entité « essentielle » s'est déjà vue imposer une amende administrative.

Il s'agit de réserver cette sanction à des cas graves et exceptionnels qui verraient un dirigeant persister à refuser de résoudre un manquement alors même que son entreprise aurait déjà été sanctionnée.

La commission a également adopté un amendement COM 121 du rapporteur Patrick Chaize qui prévoit que lorsque la commission des sanctions prononce l'une des sanctions prévues aux I, II, III et IV de l'article 37, elle peut exiger que l'entité concernée communique au public, par tout moyen adapté et à ses frais, le manquement constaté. La commission des sanctions peut également décider, dans l'intérêt du public, de rendre publique sa décision ou un extrait de celle-ci, selon des modalités qu'elle précise.

Il s'agit là d'un amendement de cohérence avec celui porté à l'article 32 qui tend à renforcer les garanties attachées à la publicisation de mesures d'exécution qui pourrait être reconnue comme une sanction.

La commission a adopté l'article ainsi modifié.

CHAPITRE IV
DISPOSITIONS DIVERSES D'APPLICATION

Article 38
Alléger le contrôle des biens de cryptologie

I. La situation actuelle - l'importation de bien de cryptologie est soumis à un dispositif d'information préalable et leur exportation à un dispositif de déclaration préalable auprès du Premier ministre

Le titre III de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (articles 29 à 46 de cette loi) est consacré à la sécurité dans l'économie numérique et le chapitre I^er de ce titre aux moyens et prestations de cryptologie.

1) Définition des moyens de cryptologie

Le premier article de ce chapitre I^er, l'article 29, précise qu'on entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète.

Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.

On entend par prestation de cryptologie toute opération visant à la mise en oeuvre, pour le compte d'autrui, de moyens de cryptologie.

2) Utilisation, fourniture, transfert, importation et exportation de moyens de cryptologie

L'article 30 la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est consacré à l'utilisation, à la fourniture, au transfert, à l'importation et à l'exportation de moyens de cryptologie.

Il prévoit que l'utilisation des moyens de cryptologie est libre, quelle que soit leur fonction.

La fourniture, le transfert depuis ou vers un État membre de la Communauté européenne, l'importation et l'exportation des moyens de cryptologie assurant exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont également libres.

Toutefois, la fourniture, le transfert depuis un État membre de la Communauté européenne ou l'importation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont soumis à une déclaration préalable auprès du Premier ministre.

Le fournisseur ou la personne procédant au transfert ou à l'importation tiennent à la disposition du Premier ministre une description des caractéristiques techniques de ce moyen de cryptologie, ainsi que le code source des logiciels utilisés.

Un décret en Conseil d'État fixe :

- les conditions dans lesquelles sont souscrites ces déclarations, les conditions et les délais dans lesquels le Premier ministre peut demander communication des caractéristiques du moyen, ainsi que la nature de ces caractéristiques ;

- les catégories de moyens dont les caractéristiques techniques ou les conditions d'utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'État, leur fourniture, leur transfert depuis un État membre de la Communauté européenne ou leur importation peuvent être dispensés de toute formalité préalable.

Le transfert vers un État membre de la Communauté européenne et l'exportation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont pour leur part soumis à autorisation du Premier ministre, et non à simple déclaration préalable.

Un décret en Conseil d'État fixe :

- Les conditions dans lesquelles sont souscrites les demandes d'autorisation ainsi que les délais dans lesquels le Premier ministre statue sur ces demandes ;

- Les catégories de moyens dont les caractéristiques techniques ou les conditions d'utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'État, leur transfert vers un État membre de la Communauté européenne ou leur exportation peuvent être soit soumis au régime déclaratif et aux obligations d'information prévus ci-dessus, soit dispensés de toute formalité préalable.

Ce décret n° 2007-663 du 2 mai 2007 modifié, qui précise les modalités d'application de l'article 30, dispose notamment que c'est à l'Agence nationale de sécurité des systèmes d'information (Anssi) que les déclarations et demandes d'autorisation d'exportation sont adressées.

Il prévoit également que les autorisations d'exportation sont délivrées pour une durée qui ne peut excéder cinq ans et doivent être renouvelées passé ce délai.

Cette réglementation coexiste avec celle relative aux biens à double usage (BDU), à savoir les biens, produits ou technologies essentiellement civils, sujets au risque de détournement d'usage à des fins militaires prohibées ou de prolifération nucléaire, biologique ou chimique, dont l'exportation est contrôlée. Certains moyens de cryptologie sont également soumis à cette réglementation des BDU.

Aussi, lorsqu'un BDU intègre un dispositif de cryptologie, il faut une autorisation préalable d'exportation de bien de cryptologie délivrée par l'Anssi, puis une autorisation de licence d'exportation de BDU relevant du régime général.

La réglementation européenne est notamment précisée par le décret n° 2001-1192 du 13 décembre 2001 relatif au contrôle à l'exportation, à l'importation et au transfert des biens et technologies à double usage (modifié pour tenir compte du règlement européen de 2009) et par l'arrêté du 13 décembre 2001 relatif au contrôle à l'exportation vers les pays tiers et au transfert vers les États membres de la Communauté européenne de biens et technologies à double usage.

Ce dernier texte précise que l'autorisation d'exportation est un préalable à une demande de licence pour les moyens de cryptologie. Ce contrôle en deux étapes ayant chacune leurs délais propres est donc perçu par les entreprises concernées comme un double contrôle pénalisant pour l'export depuis la France.

3) Responsabilité civile des prestataires de services de certification électronique pour les préjudices qu'ils causent

L'article 33 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique prévoit que sauf à démontrer qu'ils n'ont commis aucune faute intentionnelle ou négligence, les prestataires de services de certification électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés dans chacun des cas suivants :

- les informations contenues dans le certificat, à la date de sa délivrance, étaient inexactes ;

- les données prescrites pour que le certificat puisse être regardé comme qualifié étaient incomplètes ;

- la délivrance du certificat n'a pas donné lieu à la vérification que le signataire détient la convention privée correspondant à la convention publique de ce certificat ;

- les prestataires n'ont pas, le cas échéant, fait procéder à l'enregistrement de la révocation du certificat et tenu cette information à la disposition des tiers.

Les prestataires ne sont pas responsables du préjudice causé par un usage du certificat dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé, à condition que ces limites figurent dans le certificat et soient accessibles aux utilisateurs.

Ils doivent justifier d'une garantie financière suffisante, spécialement affectée au paiement des sommes qu'ils pourraient devoir aux personnes s'étant fiées raisonnablement aux certificats qualifiés qu'ils délivrent, ou d'une assurance garantissant les conséquences pécuniaires de leur responsabilité civile professionnelle.

4) Sanctions pénales en cas de non-respect des dispositions de l'article 30 relatives à l'utilisation, à la fourniture, au transfert, à l'importation et à l'exportation de moyens de cryptologie

L'article 34 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique prévoit les sanctions administratives associées au non-respect de l'article 30 relatives à l'utilisation, à la fourniture, au transfert, à l'importation et à l'exportation de moyens de cryptologie.

Le I de l'article 35 prévoit lui les sanctions pénales qui s'appliquent en cas de non-respect des dispositions de l'article 30.

En premier lieu, le fait de ne pas satisfaire à l'obligation de déclaration prévue à l'article 30 en cas de fourniture, de transfert, d'importation ou d'exportation d'un moyen de cryptologie ou à l'obligation de communication au Premier ministre prévue par ce même article est puni d'un an d'emprisonnement et de 15 000 euros d'amende.

En second lieu, le fait d'exporter un moyen de cryptologie ou de procéder à son transfert vers un État membre de la Communauté européenne sans avoir préalablement obtenu l'autorisation mentionnée à l'article 30 ou en dehors des conditions de cette autorisation, lorsqu'une telle autorisation est exigée, est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.

II. Le dispositif envisagé - le passage d'un régime d'autorisation à un simple régime de déclaration préalable pour l'exportation de moyens de cryptologie

L'article 38 du présent projet de loi procède à une réécriture complète de l'article 30 de la loi n° 2004-575 du 21 juin 2004^75(*) consacré à l'utilisation, à la fourniture, au transfert, à l'importation et à l'exportation de moyens de cryptologie.

Il procède également à une abrogation de l'article 33 et modifie le I de l'article 35.

L'objectif de ces évolutions législatives est d'alléger la charge qui pèse sur les entreprises et l'administration en matière de contrôle des moyens de cryptologie.

1) Évolution des dispositions relatives à l'utilisation, la fourniture, le transfert, l'importation et l'exportation de moyens de cryptologie

Le I de l'article 30 réécrit demeure inchangé et prévoit toujours que l'utilisation des moyens de cryptologie est libre.

Le II, qui prévoit que la fourniture, le transfert depuis ou vers un État membre de l'Union européenne, l'importation et l'exportation des moyens de cryptologie assurant exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont libres, demeure lui aussi inchangé à l'exception de l'actualisation consistant à remplacer les mots « Communauté européenne » par les mots « Union européenne ».

Le III prévoit que la fourniture, le transfert depuis ou vers un État membre de l'Union européenne, l'importation et l'exportation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont soumis à une déclaration préalable auprès du Premier ministre, sans préjudice des exigences applicables aux biens à double usage intégrant un moyen de cryptologie.

Un décret en Conseil d'État fixe :

- Les conditions dans lesquelles sont souscrites ces déclarations, les conditions et les délais dans lesquels le Premier ministre peut demander communication des caractéristiques du moyen, ainsi que la nature de ces caractéristiques ;

- Les catégories de moyens dont les caractéristiques techniques ou les conditions d'utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'État, leur fourniture, leur transfert depuis ou vers un État membre de l'Union européenne ou leur importation ou exportation peuvent être dispensés de toute formalité préalable.

Ce nouveau III rassemble les dispositions relatives à l'importation de moyens de cryptologie de l'ancien III et celles relatives à l'exportation de moyens de cryptologie de l'ancien IV.

Trois évolutions notables méritent d'être notées.

La première, et de loin la plus importante, est le passage d'un régime d'autorisation à un simple régime de déclaration préalable pour l'exportation de moyens de cryptologie.

Il s'agit là d'une mesure de simplification car le régime d'autorisation préalable à l'exportation de moyens de cryptologie poursuit pour l'essentiel le même objectif que le régime d'autorisation préalable à l'exportation des biens à double usages prévu par le règlement 2021/821.

En outre, même si elle ne simplifie pas les démarches imposées pour l'importation et la fourniture en France de moyens de cryptologie, cette évolution permet néanmoins, grâce au régime unique de déclaration applicable à toutes les opérations, d'alléger la charge pour l'administration tout en maintenant un dispositif de contrôle et de recueil d'informations techniques sur les moyens de cryptologie circulant en France.

En deuxième lieu, l'obligation qui était faite au fournisseur ou à la personne procédant au transfert ou à l'importation de tenir à la disposition du Premier ministre une description des caractéristiques techniques du moyen de cryptologie, ainsi que le code sources des logiciels utilisés, disparaît.

En troisième lieu, il est précisé que les règles du nouveau III s'appliquent sans préjudice des exigences applicables aux biens à double usage intégrant un moyen de cryptologie, afin de prendre en compte le régime d'autorisation préalable à l'exportation des biens à double usages (BDU) prévu par le règlement 2021/821, pour lequel un dispositif d'autorisation d'exportation sera bien maintenu.

2) Responsabilité des prestataires de services de certification électronique pour les préjudices qu'ils causent

L'article 33 qui prévoyait que, sauf à démontrer qu'ils n'ont commis aucune faute intentionnelle ou négligence, les prestataires de services de certification électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés est abrogé.

Comme rappelé supra, cet article 33 prévoyait un régime de responsabilité civile des prestataires de services de certification électronique.

Les principes énoncés dans cet article étaient devenus obsolètes et en partie incohérents avec les dispositions prévues à l'article 13 du règlement européen 910/2014 dit « eIDAS ».

En effet, l'article 33 de la loi n° 2004-575 prévoyait que « Sauf à démontrer qu'ils n'ont commis aucune faute intentionnelle ou négligence, les prestataires de services de certification électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés [...] ».

Le règlement eIDAS, quant à lui, prévoit à son article 13 un régime général de responsabilité du prestataire de service de confiance, que ce dernier soit qualifié ou non : « Sans préjudice du paragraphe 2, les prestataires de services de confiance sont responsables des dommages causés intentionnellement ou par négligence à toute personne physique ou morale en raison d'un manquement aux obligations prévues par le [règlement eIDAS] ».

L'abrogation de l'article 33 constitue donc une mesure de simplification et de clarification juridique.

3) Sanctions pénales en cas de non-respect des dispositions de l'article 30 relatives à l'utilisation, à la fourniture, au transfert, à l'importation et à l'exportation de moyens de cryptologie

Le I de l'article 35 de la loi n°2004-575 est réécrit par le présent article 38 pour prévoir que sans préjudice de l'application du code des douanes, le fait de ne pas satisfaire à l'obligation prévue à l'article 30 de la même loi en cas de fourniture, de transfert depuis ou vers un État membre de l'Union européenne, d'importation ou d'exportation d'un moyen de cryptologie est puni d'un an d'emprisonnement et de 15 000 euros d'amende.

L'absence de respect de l'obligation de communication au Premier ministre prévue à l'article 30 n'est donc plus sanctionnée.

De même, la sanction qui était prévue en cas d'exportation d'un moyen de cryptologie ou son transfert vers un État membre de l'Union européenne sans avoir préalablement obtenu l'autorisation mentionnée à l'article 30 ou en dehors des conditions de cette autorisation, lorsqu'une telle autorisation est exigée, disparaît. Cette sanction était de deux ans d'emprisonnement et de 30 000 euros d'amende.

III. La position de la commission - une mesure de simplification bienvenue pour éviter un dispositif de double autorisation à l'export inutile

Le régime d'autorisation préalable à l'exportation de moyens de cryptologie prévu par la loi n° 2004-575 pour la confiance dans l'économie numérique actuellement en vigueur poursuit le même objectif que le régime d'autorisation préalable à l'exportation des biens à double usages (BDU) prévu par le règlement 2021/821.

Il en résulte, pour les entreprises qui exportent des biens à double usage (BDU) contenant des moyens de cryptologie, une double procédure d'autorisation alors qu'il s'agit d'une même opération d'exportation.

Cette situation génère beaucoup d'incompréhension de la part des entreprises concernées, car elles sont pénalisées par ce surcroît de formalités administratives qui rallonge les délais en amont de la commercialisation de leur produits et nuit à leur compétitivité vis-à-vis de leurs concurrents étrangers.

En ce qui concerne l'Anssi, le traitement des demandes d'autorisation d'exportation prévues par la loi n° 2004-575 pour la confiance dans l'économie numérique, qui vient s'ajouter aux demandes d'autorisation d'exportation de biens à double usage (BDU), constitue une charge aussi chronophage que peu utile.

De fait, ce sont aujourd'hui trois équivalents temps plein (ETP) qui doivent traiter cinq cent demandes d'autorisation d'exportation de moyens de cryptographie par an, les fonctions de cryptographie étant aujourd'hui présentes dans de nombreux produits.

Or, ainsi que cela a été précisé par l'Anssi à votre rapporteur, au cours des cinq dernières années, aucun refus n'a été délivré en réponse à une demande d'autorisation d'exportation déposée en application de la loi n° 2004-575 précitée, ce qui tend à montrer que, dans les faits, ce dispositif n'a pas lieu d'être.

La transformation de ce régime d'autorisation en régime déclaratif constitue donc une mesure de simplification bienvenue, à même de contribuer à l'amélioration de la compétitivité des entreprises qui exportent des moyens de cryptographie ou des produits qui en contiennent, grâce à un allègement des procédures administratives et à un raccourcissement des délais, et de libérer l'Anssi de ce travail, pour redéployer ses ressources vers ses nombreuses autres missions.

La suppression des sanctions prévues en cas de défaut d'obtention d'autorisation apparaît pleinement cohérente avec la suppression du régime d'autorisation lui-même.

La commission a adopté cet article sans modification.

Article 39
Abrogation de la transposition de la directive NIS 1 et simplification du cadre réglementaire

I. La situation actuelle - plusieurs textes portant sur la cybersécurité, et en particulier les dispositions législatives de transposition de la directive NIS 1, doivent être supprimés ou modifiés pour tenir compte de la transposition de la directive NIS 2

Dans le contexte de la transposition de la directive NIS 2 assuré par le présent projet de loi, de nombreuses dispositions législatives deviennent caduques et doivent par conséquent être abrogées.

I) Le titre I^er de la loi n° 2018-133 du 26 février 2018 assure la transposition en droit français de la directive NIS 1

Le titre I^er, soit les articles 1 à 15, de la loi n° 2018-133 du 26 février 2018 transpose en droit national les dispositions de la directive n° 2016/1148 du 6 juillet 2016 dite NIS 1, dont l'objectif majeur était d'assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d'information de l'Union européenne.

Prenant pour modèle le volet cyber du dispositif national de sécurité des activités d'importance vitale (SAIV) prévu par le code de la défense, cette loi prévoit la désignation d'opérateurs de services essentiels (OSE).

Ces OSE sont désignés par le Premier ministre au regard de leurs activités, qui s'inscrivent dans un secteur défini dans la transposition nationale et reprenant au minimum ceux listés dans la directive NIS 1.

Ces OSE sont tenus de déclarer à l'Agence nationale de sécurité des systèmes d'information (Anssi) leurs systèmes d'information essentiels (SIE) répondant à des critères définis au niveau réglementaire et sur lesquels ces opérateurs doivent appliquer des mesures de sécurité.

Les mesures de sécurité définies dans le cadre de NIS 1 reprennent celles définies dans le cadre du volet cyber du dispositif SAIV et dont les exigences ont été allégées pour tenir compte des enjeux visés par la directive et de la maturité des OSE.

Cette loi vise également les fournisseurs de services numériques qui couvrent les services d'informatique en nuage (opérateurs de cloud), les places de marché en ligne et les moteurs de recherche.

II) L'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives

L'ordonnance n° 2005-1516 du 8 décembre 2005 introduit le référentiel général de sécurité (RGS) qui impose aux autorités administratives la mise en oeuvre de mesures de sécurité visant à limiter la fraude liée à l'usage des services numériques de ces administrations pour échanger avec leurs usagers ou d'autres administrations (par exemple : l'identification électronique, la signature ou le cachet électronique, l'horodatage électronique)^76(*).

Trois types d'acteurs sont concernés par le RGS :

- L'autorité administrative qui se voit imposer des obligations dans ces échanges par voie électronique avec ses usagers ou d'autres autorités administratives ;

- Les prestataires de services de confiance ou des fournisseurs qui peuvent, sur la base du volontariat, qualifier leurs produits de sécurité ou leurs services de confiance en vue de les proposer aux autorités administratives pour faciliter leur mise en conformité aux obligations ;

- Les organismes délivrant des décisions de qualification des prestataires de services de confiance.

Le RGS s'applique aux seuls systèmes d'information mis en oeuvre par les autorités administratives et qui supportent des échanges par voie électronique entre ces autorités administratives et leurs usagers ou entre autorités administratives elles-mêmes (par exemple : impots.gouv.fr ou le site internet d'une collectivité territoriale permettant à un administré de payer les frais de cantine).

Lorsqu'une autorité administrative recourt à des produits de sécurité ou à des prestataires de services de confiance ayant fait l'objet d'une qualification, cette administration peut se prévaloir d'une présomption de conformité aux exigences du RGS.

III) Les dispositions du code des postes et des communications électroniques portant sur les opérateurs de communication électronique et sur les offices d'enregistrement

Plusieurs dispositifs du code des postes et des communications électroniques (CPCE) sont directement concernés par les articles du titre II du présent projet de loi, raison pour laquelle l'article 39 leur apporte les modifications qui seront exposées infra.

En premier lieu, l'article L. 33-1 du code des postes et des communications électroniques prévoit que l'établissement et l'exploitation des réseaux ouverts au public et la fourniture au public de services de communications électroniques sont libres sous réserve du respect de règles portant notamment sur les conditions de permanence, de qualité, de disponibilité, de sécurité et d'intégrité du réseau et du service qui incluent des obligations de notification à l'autorité compétente des incidents de sécurité ayant eu un impact significatif sur leur fonctionnement.

En deuxième lieu, les articles L. 45 et suivants portent sur l'attribution et la gestion des noms de domaine et sur les offices d'enregistrement, sujets traités par les articles 18 à 22 du projet de loi.

II. Le dispositif envisagé - l'abrogation ou la modification de plusieurs textes portant sur la cybersécurité

1) Suppression des références à la loi n° 2018-133 transposant la directive NIS 1 dans le code de la défense

Le titre I^er de la loi n° 2018-133 transposant la directive NIS 1 étant abrogé par le III du présent article 39 du projet de loi, le I dudit article 39 procède au remplacement de la référence « loi n° 2028-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité » par les mots « loi n°.... du .... relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité ».

Cette évolution est directement liée au fait que les OIV et les OSE mentionné aux L. 2321-2-1 et L. 2321-3 du code de la défense sont remplacés par la notion d'entité « essentielle » prévue par la transposition de la directive NIS 2.

2) La modification des dispositions du code des postes et des communications électroniques portant sur les opérateurs de communication électronique et sur les offices d'enregistrement

Le II de l'article 39 apporte des modifications à plusieurs articles du code des postes et des communications électroniques (CPCE) relatifs aux modalités d'enregistrement des noms de domaine de premier niveau.

Le 1° remplace la mention de la déclaration des incidents prévue à l'article L. 33-1 par un r) faisant référence au présent projet de loi. L'objectif est ainsi de supprimer, au sein du CPCE, les dispositions spéciales concernant la cybersécurité en matière de communications électroniques afin de les intégrer dans le droit général prévu par le présent projet de loi.

La modification de l'article L. 33-1 du CPCE rend ainsi applicable, en droit interne, aux opérateurs de télécommunication, l'ensemble des dispositions prévues par le projet de loi. Il est précisé que ces dispositions sont applicables en Polynésie française, dans les îles Wallis et Futuna et en Nouvelle-Calédonie.

Le 2° du II de l'article 39 précise à l'article L. 45 du CPCE que chaque office d'enregistrement est responsable du fonctionnement technique du domaine de premier niveau qui lui est attribué, incluant notamment l'exploitation de ses serveurs de noms de domaine, la maintenance de ses bases de données d'enregistrement et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms de domaine, qu'il effectue ces opérations lui-même ou qu'elles soient sous traitées.

Le 3° apporte une précision rédactionnelle à l'article L.45-3 du CPCE.

Le 4° ajoute des références aux agents agissant pour le compte des bureaux d'enregistrement à l'article L. 45-4 du CPCE et prévoit qu'un décret en Conseil d'État vient préciser les catégories auxquelles appartiennent lesdits agents.

Le 5° modifie l'article L. 45-5 du CPCE pour prévoir que les offices d'enregistrement, par l'intermédiaire des bureaux d'enregistrement ainsi que des agents agissant pour le compte de ces derniers, collectent les données nécessaires à l'enregistrement des noms de domaine, notamment celles relatives à l'identification des personnes physiques ou morales titulaires de ces noms de domaine et des personnes chargées de leur gestion. Après leur enregistrement, et sans retard injustifié, les offices et les bureaux d'enregistrement rendent publiques, au moins quotidiennement, ces données dès lors qu'elles n'ont pas de caractère personnel. Ils tiennent ces bases de données à jour, en maintenant les données exactes et complètes, sans redondance de collecte, et sont responsables du traitement de ces données dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Le 5° prévoit également que les offices et les bureaux d'enregistrement répondent aux demandes d'accès aux données d'enregistrement dans un délai n'excédant pas soixante-douze heures après réception de la demande. Il précise que la liste des données d'enregistrement devant être collectée est fixée par décret en Conseil d'État.

3) L'abrogation du titre I^er de la loi n° 2018-133 transposant la directive NIS 1

L'article 44 de la directive 2022/2555 dite NIS 2 vient abroger les dispositions de la directive (UE) 2016/1148 dite NIS 1.

En conséquence, le III de l'article 39 du projet de loi prévoit l'abrogation du titre I^er de la loi n° 2018-133 transposant la directive NIS 1.

L'abrogation de ce titre constitue donc la traduction logique de la disparition de la directive qu'il avait transposé en droit français.

4) Abrogation de plusieurs articles de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives

Le IV de l'article 39 procède à l'abrogation de plusieurs articles de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, qui, comme rappelé supra, avait introduit le référentiel général de sécurité (RGS) qui impose aux autorités administratives la mise en oeuvre de mesures de sécurité visant à limiter la fraude liée à l'usage des services numériques de ces administrations pour échanger avec leurs usagers ou d'autres administrations.

Dans un souci de simplification et d'harmonisation des exigences applicables, seules les administrations qui seront assujetties à la transposition nationale de la directive NIS 2 seront par ailleurs assujetties au RGS.

Le RGS conservera son périmètre technique actuel, à savoir les systèmes d'information que les administrations mettent en oeuvre et qui supportent des échanges par voie électronique entre ces administrations et leurs usagers ou entre administrations elles-mêmes.

Les dispositions de l'article 9 de l'ordonnance n° 2005-1516 définissant les obligations pour les autorités administratives sont abrogées car désormais portées par les dispositions de l'article 14 du projet de loi.

En supprimant le raccrochement du RGS à l'article 9 de l'ordonnance n° 2005-1516 et en le couvrant via les dispositions du troisième alinéa de l'article 16 du projet de loi, les dispositions du IV de l'article 39 du projet de loi permettent de :

- Modifier le champ d'application du RGS pour ne couvrir que les administrations visées par la transposition de la directive NIS 2.

- Définir des mesures de sécurité spécifiques, pour les systèmes d'information supportant des échanges par voie électronique entre l'administration mettant en oeuvre un tel système et les usagers de ce système d'information ou d'autres administrations, visant à limiter la fraude liée à l'usage de ces systèmes d'information.

Les dispositions de l'article 12 de l'ordonnance n° 2005-1516 relatives au référencement des produits de sécurité et prestataires de services de confiance qualifiés sont abrogées car abandonnées.

Un impact économique positif bénéficiera aux prestataires de services de confiance dont la qualification au titre du règlement eIDAS leur permettra d'être conforme aux exigences du RGS, les dispensant ainsi de s'engager dans un second processus de qualification au titre du RGS long et onéreux.

Les dispositions du I de l'article 14 de l'ordonnance n° 2005-1516 relatives au délai de mise en conformité au RGS sont abrogées.

Les définitions des notions utilisées dans les articles abrogés mentionnés précédemment, à savoir celles au 2° et 3° du II de l'article 1er de l'ordonnance n° 2005-1516 sont également abrogées.

III. La position de la commission - des abrogations et de modifications de textes qui permettent de simplifier le droit et de prendre en compte les modifications apportées par le titre II du présent projet de loi

Le présent article 39 porte des mesures destinées à adapter plusieurs textes pour tenir compte des dispositions adoptées au titre II du projet de loi pour transposer la directive NIS 2.

C'est bien sûr le cas de l'abrogation du titre I^er de la loi n° 2018-133 transposant la directive NIS 1 qui n'avait plus lieu d'être une fois la directive NIS 2 transposée.

Mais c'est également le cas des articles L. 45 et suivants du code des postes et des communications électroniques (CPCE) qui devaient être modifiés pour tenir compte des dispositions des articles 18 à 22 du projet de loi sur les offices et bureaux d'enregistrement ou de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, qu'il fallait revoir en particulier pour concilier le champ d'application du Règlement général de sécurité (RGS) et celui de NIS 2, de sorte que les administrations ne soient pas visées par un double dispositif d'obligations.

Au total, cet article technique n'a donc pas appelé de modifications de fond de la part de la commission spéciale, à l'exception d'un amendement rédactionnel COM 122 du rapporteur Patrick Chaize.

La commission a adopté cet article ainsi modifié.

Article 40
Mesures applicables à l'outre-mer pour les territoires sous spécialité législative

I. La situation actuelle - la loi de transposition de la directive NIS 1 était directement applicable dans les collectivités d'outre-mer régies par le régime de l'identité législative et prévoyait des mesures spécifiques pour les collectivités régies par le régime de spécialité législative

Comme indiqué précédemment, la directive européenne NIS 1 avait été transposée en droit français au moyen de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité.

Les mesures prévues par cette loi étaient directement applicables aux collectivités régies par le régime de l'identité législative, c'est-à-dire le département de Guadeloupe, le département de La Réunion, les régions de la Guadeloupe et de La Réunion, les collectivités de la Guyane, de la Martinique et de Mayotte, mais également Saint-Barthélemy, Saint-Pierre-et-Miquelon et Saint-Martin.

Il avait fallu en revanche adopter des mesures spécifiques pour les collectivités régies par le régime de spécialité législative, pour lesquelles seules les dispositions législatives qui comportent une mention expresse à cette fin sont applicables dans ces territoires, à savoir les îles Wallis-et-Futuna, la Polynésie française, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises.

II. Le dispositif envisagé - des dispositions destinées à prévoir l'application du titre II du présent projet de loi aux collectivités d'outre-mer régies par le régime de spécialité législative

Alors que les territoires d'outre-mer sont de plus en plus connectés et confrontés à des cyber menaces, les articles du titre II du présent projet de loi assurant la transposition de la directive NIS 2 sont applicables de plein droit, sans aucune adaptation, aux collectivités régies par le régime de l'identité législative, c'est-à-dire le département de Guadeloupe, le département de La Réunion, les régions de la Guadeloupe et de La Réunion, les collectivités de la Guyane, de la Martinique et de Mayotte, mais également Saint-Martin car ces collectivités font toutes parties du territoire de l'Union européenne.

En vertu du régime de spécialité législative, le I du présent article 40 dispose expressément que le titre II du présent projet de loi, à l'exception de son article 13, est applicable dans les îles Wallis-et-Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, sous réserve des adaptations suivantes :

- en l'absence d'adaptation, les références faites, par des dispositions du titre II applicables en Polynésie française et en Nouvelle-Calédonie, à des dispositions qui n'y sont pas applicables sont remplacées par les références aux dispositions ayant le même objet applicable localement ;

- dans les îles Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie, les sanctions pécuniaires encourues en vertu du titre II du présent projet de loi sont prononcées en monnaie locale, compte tenu de la contre-valeur de l'euro dans cette monnaie.

Le II de l'article 40 prévoit également que l'article 13 du présent projet de loi n'est pas applicable à Saint-Barthélemy et à Saint-Pierre-et-Miquelon. De fait, l'article 13 du projet de loi, en ce qu'il renvoie à des textes sectoriels non visés explicitement (existants ou à venir) ne peut être applicable aux pays et territoires d'outre-mer (PTOM) conformément aux principes d'identité et spécialité législative selon les collectivités et territoires.

C'est également afin de respecter l'inapplicabilité du droit de l'UE dans ces territoires qu'il a été fait le choix de rendre applicables dans ces territoires les dispositions du titre II du projet de loi « en tant que droit national faisant référence au droit dérivé ». Le III de l'article 40 prévoit ainsi que pour l'application du titre II à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis-et-Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les références à la directive NIS 2 et à d'autres textes européens sont remplacées par la référence aux règles en vigueur en métropole en vertu de la même directive et des mêmes règlements.

Au total, en matière de périmètre d'application, l'article 40 du projet de loi prévoit donc une application sans restriction des éléments prescriptifs de la directive NIS 2 relatifs à la définition des entités concernées, aux critères et seuils, aux secteurs, sous-secteurs et types d'entité dans toutes les collectivités d'outre-mer.

Les dispositions des paragraphes IV à VI visent à coordonner les textes et à assurer la cohérence outre-mer pour les textes respectifs suivants :

- la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ;

- l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

- la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité.

III. La position de la commission - les entités des territoires ultra-marins doivent se voir appliquées les mêmes obligations en matière de cybersécurité que celles de l'hexagone, eu égard au niveau de menace cyber qui pèse également sur elles

Les territoires d'outre-mer disposent d'un tissu économique et de collectivités territoriales de plus en plus numérisés et connectés.

L'isolement de ces territoires, pour la plupart insulaires, et l'éloignement de l'hexagone se traduisent par l'existence d'entités « essentielles » et « importantes » dans tous les secteurs « hautement critiques » et « critiques » listés aux annexes I et II de la directive NIS 2 (énergie, transports, etc.).

Ces entités sont en moyenne de taille plus réduite que dans l'hexagone et sont souvent en situation de monopole, ce qui est source de vulnérabilité pour l'économie et les sociétés des territoires ultra-marins.

Il est donc essentiel que les dispositions législatives transposant NIS 2 leur soient pleinement appliqués afin d'élever leur niveau de cybersécurité au même niveau que celui applicable aux entités hexagonales.

La commission spéciale a toutefois adopté un amendement COM 123 du rapporteur Patrick Chaize visant à clarifier l'applicabilité en Nouvelle-Calédonie et en Polynésie française des modifications du code des postes et des communications électroniques (CPCE) en matière de noms de domaine prévues au présent article 39.

La rédaction initialement proposée rend de fait applicable l'ensemble du titre II à la Nouvelle-Calédonie et à la Polynésie française ce qui inclue les modifications du CPCE prévues à l'article 39. Or la gestion des noms de domaine locaux (.pf, .nc) relève des compétences propres de ces deux collectivités et les articles modifiés du CPCE ne trouvent pas à s'y appliquer.

L'amendement adopté par la commission spéciale précise donc que le titre II s'applique en Nouvelle Calédonie et en Polynésie française à l'exception des modifications des articles L45 et suivants du CPCE prévues par l'article 39 du projet de loi.

De cette écriture résulte donc l'applicabilité suivante :

- le présent projet de loi, et notamment la section III du chapitre II relative aux noms de domaine, s'applique dans l'ensemble des collectivités d'outre-mer ;

- les mesures de coordination avec le CPCE prévues à l'article 39 s'appliquent pour les îles Wallis et Futuna ainsi que pour les Terres australes et antarctiques françaises mais ne s'appliquent pas en Nouvelle-Calédonie et en Polynésie française.

Ces dernières ne sont donc soumises qu'aux obligations du présent projet de loi et de leurs codes respectifs pour ce qui concerne la gestion de noms de domaine locaux. 

La commission a adopté cet article ainsi modifié.

CHAPITRE V
« Dispositions relatives aux communications électroniques »

CHAPITRE V
DISPOSITIONS RELATIVES AUX COMMUNICATIONS ÉLECTRONIQUES

Article 41
Renforcement des sanctions pénales pour améliorer la lutte contre les brouillages

I. La situation actuelle - un niveau de sanction faible pour les activités prohibées susceptibles de brouiller les émissions hertziennes

1) Les principales activités susceptibles de brouiller les émissions hertziennes sont aujourd'hui punies de six mois d'emprisonnement et de 30 000 euros d'amende

La transmission hertzienne, c'est-à-dire sur des liaisons sans fil (réseaux de téléphonie mobile, réseaux professionnels privés, WIFI, etc.) de données ou de la voix joue aujourd'hui un rôle essentiel dans la vie institutionnelle, économique et sociale de notre pays, et des secteurs majeurs d'activité en sont dépendants pour assurer leur bon fonctionnement.

L'étude d'impact du projet de loi cite à titre d'exemples particulièrement éclairants la couverture mobile des territoires, la connectivité des zones reculées, les services de surveillance à domicile de personnes âgées, les terminaux de paiement par carte, les appels d'urgence sur téléphone mobile ou bien encore le fonctionnement des radars de prévisions météorologiques.

En raison de l'importance cruciale de ces transmissions hertzienne, l'utilisation dans des conditions non conforme d'un appareil électrique, radioélectrique ou électronique ou d'une fréquence radioélectrique ou l'utilisation délibérée d'un brouilleur d'ondes peut, en perturbant des émissions hertziennes, compromettre le fonctionnement de tous les services utilisant les bandes de fréquences concernées pour la transmission et la réception d'informations ou la communication vocale.

La lutte contre ces perturbations ou brouillages constitue dès lors un impératif pour assurer le bon fonctionnement des services de communication par radiofréquences, tels que la téléphonie et l'Internet mobiles, les services de communication utilisés par les services de défense nationale et les forces de sécurité et de secours, les communications des pilotes d'avion, les alertes de détresse pour l'aviation et le transport maritime, la réception de données de synchronisation et de temps via le GPS ou Galileo^77(*), ainsi que des activités recourant à des communications ou à des échanges de données par voie hertzienne, tels que les services de transport, la météorologie, les objets connectés, l'industrie 4.0, les infrastructures connectées et les territoires intelligents.

Afin de dissuader les auteurs de brouillage, intentionnels ou non intentionnels, l'article L. 39-1 du code des postes et des communications électroniques dispose que sont punis de six mois d'emprisonnement et de 30 000 euros d'amende les faits ci-dessous.

En premier lieu, le fait de maintenir un réseau indépendant en violation d'une décision de suspension ou de retrait du droit d'établir un tel réseau.

En deuxième lieu, le fait de perturber, en utilisant une fréquence, un équipement ou une installation radioélectrique les émissions hertziennes d'un service autorisé.

Ce type de perturbation est illégale lorsque l'utilisation d'une fréquence, d'un équipement ou d'une installation radioélectrique se fait :

- dans des conditions non conformes aux dispositions de l'article L. 34-9 du même code des postes et des communications électroniques, lequel prévoit que les équipement radioélectriques, y compris ceux destinés à être connectés à un réseau ouvert au public, doivent faire l'objet d'une évaluation de conformité aux exigences essentielles qui leur sont applicables et doivent être à tout moment conformes à celles-ci. C'est l'Agence nationale des fréquences (ANFR) qui constitue l'autorité de contrôle pour la surveillance du marché des équipements radioélectriques ;

- ou sans posséder l'autorisation (ou en dehors des conditions de ladite autorisation lorsque celle-ci est requise) prévue à l'article L. 41-1 du même code délivrée par l'ANFR, lequel prévoit que l'utilisation de fréquences radioélectriques en vue d'assurer soit l'émission, soit à la fois l'émission et la réception de signaux, peut être soumise à autorisation administrative de l'ANFR lorsque cela est nécessaire pour éviter les brouillages préjudiciables, assurer la qualité technique du service, préserver l'efficacité de l'utilisation des fréquences radioélectriques ou pour réaliser un objectif d'intérêt général. L'ANFR est en charge du contrôle de cette disposition ;

- ou en dehors des conditions réglementaires générales prévues à l'article L. 33-3 du même code, lequel prévoit que sous réserve de leur conformité aux dispositions du code des postes et des communications électroniques, les installations radioélectriques n'utilisant pas des fréquences spécifiquement assignées à leur utilisateur sont établies librement, donc ne nécessitent pas d'autorisation individuelle. Là encore, c'est l'ANFR qui assure le contrôle de cette disposition.

- ou sans posséder le certificat d'opérateur prévu à l'article L. 42-4 du même code, lequel dispose que le ministre chargé des communications électroniques détermine par arrêté les catégories d'installations radioélectriques d'émission pour la manoeuvre desquelles la possession d'un certificat d'opérateur est obligatoire et les conditions d'obtention de ce certificat.

Ces dispositions sont sans préjudice de l'application de l'article 78 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, qui prévoit des amendes de 75 000 euros pour le dirigeant de droit ou de fait d'un service de communication audiovisuelle ayant émis ou fait émettre sans disposer des autorisations requises.

En troisième lieu, l'article L. 39-1 du code des postes et des communications électroniques dispose que sont punis de six mois d'emprisonnement et de 30 000 euros d'amende le fait de perturber, en utilisant un appareil, un équipement ou une installation, dans des conditions non conformes aux dispositions applicables en matière de compatibilité électromagnétique des équipements électriques et électroniques fixées dans le code de la consommation, les émissions hertziennes d'un service autorisé.

Là encore, ces dispositions sont sans préjudice de l'application de l'article 78 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, qui prévoit des amendes de 75 000 euros pour le dirigeant de droit ou de fait d'un service de communication audiovisuelle ayant émis ou fait émettre sans disposer des autorisations requises.

En quatrième lieu, l'article L. 39-1 du code des postes et des communications électroniques dispose que sont punis de six mois d'emprisonnement et de 30 000 euros d'amende le fait d'utiliser une fréquence, un équipement ou une installation radioélectrique dans des conditions non conformes aux dispositions de l'article L. 34-9 ou sans posséder l'autorisation prévue à l'article L. 41-1 ou en dehors des conditions de ladite autorisation lorsque celle-ci est requise ou sans posséder le certificat d'opérateur prévu à l'article L. 42-4 ou en dehors des conditions réglementaires générales prévues à l'article L. 33-3 ou sans l'accord mentionné au I de l'article L. 43, c'est-à-dire l'accord que peut donner l'Agence nationale des fréquences (ANFR) pour l'exploitation d'une station radioélectrique.

Enfin, l'article L. 39-1 du code des postes et des communications électroniques dispose que sont punis de six mois d'emprisonnement et de 30 000 euros d'amende le fait d'avoir pratiqué l'une des activités prohibées par le I de l'article L. 33-3-1, à savoir l'importation, la publicité, la cession à titre gratuit ou onéreux, la mise en circulation, l'installation, la détention et l'utilisation de tout dispositif destiné à rendre inopérants des appareils de communications électroniques de tous types, tant pour l'émission que pour la réception, en dehors des cas et conditions prévus au II de cet article, c'est-à-dire pour les besoins de l'ordre public, de la défense et de la sécurité nationale, ou du service public de la justice.

2) Un nombre de cas de brouillages et une gravité en augmentation

Ces dernières années, le nombre de cas de brouillage (perturbations d'un service autorisé) sont en augmentation, puisqu'entre 1 400 et 1 800 cas par an sont signalés à l'ANFR.

En outre, l'ANFR signale que ces brouillages peuvent avoir des conséquences de plus en plus graves en raison de l'évolution des technologies hertziennes (introduction de la 5G en matière de téléphonie et d'internet), de la densification des usages dans des bandes de fréquences en partage avec d'autres services (WIFI 6), d'une dépendance croissante à la bonne réception du GPS, du développement des objets et capteurs connectés et de l'industrie 4.0 et de l'intensité de la présence d'équipements radioélectriques, électriques et électroniques.

Les brouillages accidentels sont ceux causés par la victime elle-même, du fait d'un défaut d'ingénierie de l'installation perturbée (30 à 40 cas par an). On peut aussi considérer comme accidentelles des saturations de bandes libres comme le WiFi, lorsque trop d'utilisateurs sont actifs en même temps. Ces brouillages fréquents sont rarement déclarés à l'ANFR (moins de 5 cas par an) car ce phénomène est la contrepartie de l'accès libre à ces bandes.

Tous les autres brouillages traités par l'ANFR correspondent aux cas énumérés dans l'article L. 39-1 du code des postes et des communications électroniques (CPCE). Ils sont considérés comme intentionnels et réprimés comme tels, car ils découlent soit de l'utilisation d'une fréquence, d'un équipement ou d'une installation radioélectrique en dehors des conditions légales ou réglementaires, soit de la mise en oeuvre d'un appareil non conforme.

3) L'utilisation croissante de brouilleurs et de systèmes de leurrage

Toutefois, le sujet le plus préoccupant est bien sûr l'utilisation délibérée de brouilleurs alors que la loi française prévoit leur interdiction générale : leur importation, la publicité en leur faveur, leur cession à titre gratuit ou onéreux, leur mise en circulation, leur installation, leur détention et leur utilisation est explicitement prohibée.

Malgré cette interdiction, de plus en plus de brouilleurs sont en circulation sur le territoire national.

Ces outils sont particulièrement dangereux car leurs effets sont souvent beaucoup plus puissants que ne l'imaginent leurs utilisateurs. Ainsi, par exemple, un brouilleur de GPS utilisé par un employé qui veut empêcher la géolocalisation de son véhicule par son employeur peut perturber des avions volant à 2 000 mètres d'altitude.

Or, dans le domaine de l'aviation, le brouillage du GPS ou de Galileo peut générer des situations à risques lors des phases d'approches à proximité des pistes d'un aéroport, qui nécessitent une grande précision de géolocalisation, surtout en cas de mauvaises conditions météorologiques ou de relief accidenté. Il s'agit là d'un risque majeur pour la sécurité de l'aviation civile ou militaire.

Mais les brouilleurs sont également de plus en plus utilisés par des délinquants pour commettre des infractions et pourraient, utilisés par des terroristes, constituer des outils de guerre électronique.

Outre le brouillage, les outils de leurrage des systèmes de navigation par satellites (GNSS) du GPS ou de Galileo constituent un autre sujet de préoccupation majeur et croissant.

Le leurrage consiste à envoyer de faux signaux sur les bandes GNSS pour tromper les récepteurs GNSS que ce soit en matière d'information de géolocalisation ou d'horaire. Plus insidieux qu'un brouillage, un leurrage est lui aussi susceptible d'avoir des conséquences très dommageables dans les domaines des transports et des réseaux de communication.

3) Un système de sanctions aujourd'hui inefficace

La sanction maximale prévue au L 39-1 actuel du CPCE est de 6 mois d'emprisonnement et 30 000 euros d'amende. Ce quantum est considéré comme faible dans l'échelle des sanctions pénales. De ce fait, les infractions constatées au titre de cet article donnent rarement lieu à des poursuites. 80 % des procès-verbaux d'infraction transmis aux parquets sont classés sans suite. Un sentiment d'impunité en découle et nuit tant à la prévention qu'à la prise de conscience par les auteurs de la nature délictuelle de leurs actes.

En outre, lorsque le tribunal judiciaire est saisi, les peines sont minimes. Par exemple, l'auteur d'un brouillage près de l'aéroport de Nantes qui avait en 2017 perturbé plusieurs avions n'a été condamné à l'issue de son procès qu'à une amende de 1 500 euros.

II. Le dispositif envisagé - un net durcissement du quantum des peines pour les différentes actions entraînant un brouillage des émissions hertziennes, et en particulier pour l'utilisation de brouilleurs ou le recours au leurrage

L'article 42 du présent projet de loi propose une nouvelle rédaction de l'article L. 39-1 du code des postes et des communications électroniques (CPCE).

Il conserve le libellé des infractions pénales telles qu'elles étaient mentionnées dans la version actuelle de l'article L. 39-1 du CPCE mais prévoit un durcissement des sanctions pénales associées à certaines infractions.

1) Une sanction inchangée pour la simple utilisation d'une fréquence, d'un équipement ou d'une installation radioélectrique dans des conditions non conforme

En premier lieu, le I du nouvel article L. 39-1 du code des postes et des communications électroniques (CPCE) prévoit que sera puni de six mois d'emprisonnement et de 30 000 euros d'amende le fait de maintenir un réseau indépendant en violation d'une décision de suspension ou de retrait du droit d'établir un tel réseau ou bien le fait d'utiliser une fréquence, un équipement ou une installation radioélectrique :

- dans des conditions non conformes aux dispositions de l'article L. 34-9 du même CPCE ;

- ou sans posséder l'autorisation (ou en dehors des conditions de ladite autorisation lorsque celle-ci est requise) prévue à l'article L. 41-1 du même code ;

- ou en dehors des conditions réglementaires générales prévues à l'article L. 33-3 du même code ;

- ou sans posséder le certificat d'opérateur prévu à l'article L. 42-4 du même code.

Reste donc soumise à six mois d'emprisonnement et à 30 000 euros d'amende la simple utilisation d'une fréquence, d'un équipement ou d'une installation radioélectrique dans des conditions non conforme, même si cette utilisation n'a pas engendré de perturbation des émissions hertziennes d'un service autorisé.

Une nouvelle infraction est également créée, elle aussi punie de six mois d'emprisonnement et de 30 000 euros d'amende lorsqu'une station radioélectrique ne respecte pas les caractéristiques déclarées lors de la demande d'accord ou d'avis, prévue au I de l'article L. 43 du CPCE, préalable à son implantation.

2) Une sanction durcie en cas de perturbation des émissions hertziennes d'un service autorisé

Le II de la nouvelle rédaction de l'article L. 39-1 prévoit qu'est puni de trois ans d'emprisonnement et de 75 000 euros d'amende le fait de perturber les émissions hertziennes d'un service autorisé en utilisant une fréquence, un équipement ou une installation radioélectrique :

- dans des conditions non conformes aux dispositions de l'article L. 34-9 du même CPCE ;

- ou sans posséder l'autorisation (ou en dehors des conditions de ladite autorisation lorsque celle-ci est requise) prévue à l'article L. 41-1 du même code ;

- ou en dehors des conditions réglementaires générales prévues à l'article L. 33-3 du même code ;

- ou sans posséder le certificat d'opérateur prévu à l'article L. 42-4 du même code.

Ces sanctions plus élevées ciblent les cas où une personne à perturbé les émissions hertziennes d'un service autorisé en utilisant une fréquence, un équipement ou une installation radioélectrique dans des conditions non conformes ou sans avoir les autorisations ou certificats requis.

À la différence de la simple utilisation sanctionnée de six mois d'emprisonnement et de 30 000 euros d'amende, il faut donc qu'une perturbation ait été engendrée par ladite utilisation pour que la sanction puisse s'élever à trois ans d'emprisonnement et 75 000 euros d'amende.

Cette sanction pourra notamment être envisagée pour des usages créant des risques pour la vie humaine.

En outre, le fait que cette sanction atteigne trois ans d'emprisonnement permettra à l'ANFR de solliciter le soutien d'un officier de police judiciaire (OPJ) pour certaines atteintes graves au fonctionnement des fréquences.

En effet, en vertu de l'article 76 du code de procédure pénale, un OPJ ne peut procéder à une perquisition dans le cadre d'une enquête préliminaire, hors flagrance, que si la sanction atteint au moins trois ans d'emprisonnement.

3) Une sanction nettement plus sévère pour les cas les plus graves

Le III de la nouvelle rédaction de l'article L. 39-1 prévoit qu'est puni de cinq ans d'emprisonnement et de 150 000 euros d'amende le fait d'avoir pratiqué l'une des activités prohibées suivantes : l'importation, la publicité, la cession à titre gratuit ou onéreux, la mise en circulation, l'installation, la détention et l'utilisation de tout dispositif destiné à rendre inopérants des appareils de communications électroniques de tous types, tant pour l'émission que pour la réception, c'est-à-dire des « brouilleurs ».

Ce quantum maximal permettra donc de sanctionner beaucoup plus sévèrement qu'auparavant les cas de brouillage volontaires voire offensifs, mais également toutes les actions susceptibles d'y contribuer en amont, et notamment toutes celles permettant de se procurer des brouilleurs.

Est également visé par la même sanction de cinq ans d'emprisonnement et de 150 000 euros d'amende le fait d'utiliser, sans l'autorisation prévue au premier alinéa de l'article L. 41-1 attribuée par l'ANFR, des fréquences attribuées par le Premier ministre pour les besoins de la défense nationale et de la sécurité publique ou d'utiliser une installation radioélectrique, en vue d'assurer la réception de signaux transmis sur ces mêmes fréquences, sans l'autorisation administrative prévue au deuxième alinéa de l'article L. 41-1 et également attribuée par l'ANFR.

III. La position de la commission - un durcissement du quantum de peine qui était indispensable, en particulier pour lutter contre l'utilisation des brouilleurs et des outils de leurrage

La commission spéciale a accueilli très favorablement les dispositions du présent article 41 visant à durcir fortement le quantum des peines pour réprimer plus sévèrement la perturbation des émissions hertziennes.

De fait, celles-ci sont aujourd'hui essentielles dans de multiples dimensions de la vie économique et sociale et leur perturbation peut avoir des conséquences très graves, et notamment mettre des vies en danger.

Le cas de l'aviation civile, qui peut voir les informations que reçoivent les pilotes altérées, remettant ainsi en cause la sécurité des vols, est à cet égard particulièrement emblématique du type de risques sévères que ces perturbations peuvent engendrées.

Si le maintien des sanctions actuelles pour l'utilisation non conforme d'une fréquence ou d'un matériel dès lors qu'aucune perturbation n'a été constatée est acceptable, il était indispensable de punir plus sévèrement les cas où une perturbation des émissions hertziennes d'un service autorisé a été constatée.

Il était surtout inacceptable que l'utilisation délibérée de brouilleurs ou d'outils de leurrage, et toutes les actions permettant de se procurer ces outils prohibés, soit aussi peu sanctionnée alors même qu'ils sont dangereux pour la sécurité des personnes et des biens et doivent être réservés aux forces armées ou aux forces de sécurité intérieure.

La commission spéciale a donc approuvé dans réserve la nécessaire mise au jour de ce quantum de peines, adoptant uniquement un amendement rédactionnel COM 124 du rapporteur Patrick Chaize.

La commission a adopté l'article sans modification.

Article 42
Renforcement des conditions d'accès à une assignation de fréquences déposée par la France auprès de l'Union internationale des télécommunications

I. La situation actuelle - les entreprises font appel à l'ANFR pour obtenir une autorisation d'assignation de fréquence relative à un système satellitaire

Pour transmettre des données (imagerie, télécommunication, etc.) et pouvoir être contrôlés à distance, les systèmes satellitaires orbitaux^78(*) communiquent avec des équipements placés sur Terre grâce à l'émission et à la réception d'ondes radioélectriques qui utilisent des bandes de fréquences spécifiques à chaque satellite.

Les positions orbitales des satellites ainsi que les fréquences associées (ensemble dénommé « filing ») permettant de communiquer entre les satellites géostationnaires et non géostationnaires et les stations terriennes constituent une ressource rare^79(*).

Afin d'en garantir la disponibilité et éviter ainsi les risques de brouillage entre satellites, l'Union Internationale des Télécommunications (UIT), agence de l'ONU spécialisées dans les technologies de l'information et de la communication met en oeuvre un processus - préalable à tout lancement de satellites - de déclaration des fréquences associées.

Le règlement des radiocommunications (RR), révisé par les États membres à chaque Conférence mondiale des radiocommunications, décrit précisément les procédures, y compris la coordination entre États membres, visant à assurer la disponibilité des fréquences et l'absence de brouillage.

En pratique, il revient aux États de déposer auprès de l'Union Internationale des Télécommunications (UIT) une demande d'enregistrement portant à la fois sur une ou plusieurs bandes de fréquences et sur une position orbitale donnée.

En cas de problématique de coexistence, l'utilisateur de la demande d'enregistrement la plus ancienne est prioritaire vis-à-vis des autres utilisateurs, ces derniers devant adapter leurs émissions radioélectriques pour ne pas perturber l'activité du premier

L'article L. 43 du code des postes et des communications électroniques (CPCE) prévoit que l'Agence nationale des fréquences (ANFR) prépare la position française et coordonne l'action de la représentation française dans les négociations internationales dans le domaine des fréquences radioélectriques.

À ce titre, elle est en charge de déposer, au nom de la France, des demandes d'enregistrement auprès de l'UIT.

1) Les règles relatives à une demande d'autorisation d'assignation de fréquence relative à un système satellitaire

L'article L. 97-2 du code des postes et des communications électroniques (CPCE) prévoit que toute demande d'assignation de fréquence relative à un système satellitaire est adressée à l'Agence nationale des fréquences (ANFR).

Sauf si l'assignation demandée n'est pas conforme au tableau national de répartition des bandes de fréquences (TNRBF) ou aux stipulations des instruments de l'Union internationale des télécommunications (UIT), l'ANFR déclare, au nom de la France, l'assignation de fréquence correspondante à l'UIT et engage la procédure d'enregistrement prévue par le règlement des radiocommunications (RR), en en informant l'opérateur.

Lors de son audition par votre rapporteur, l'ANFR lui a expliqué qu'un opérateur peut s'adresser à tout État membre de l'UIT pour une déclaration d'assignations spatiales.

Le choix de la France peut être lié au fait que les procédures de déclaration sont bien connues et suivies par l'ANFR ou que l'ANFR défend efficacement les assignations auprès de l'UIT. Les opérateurs peuvent aussi être sensibles au coût modique de la redevance pour une autorisation d'utilisation d'une assignation spatiale, 20 000 euros, comparé à d'autres pays.

Par ailleurs, la France peut être mieux placée que d'autres pays pour demander des assignations : par exemple, Hispasat, qui souhaitait couvrir l'Amérique Latine, avait sollicité l'ANFR puisque la Guyane donne à la France des droits dans cette région.

L'exploitation d'une assignation de fréquence à un système satellitaire, déclarée par la France à l'UIT, est ensuite soumise à l'autorisation du ministre chargé des communications électroniques, après avis des autorités affectataires des fréquences radioélectriques concernées.

L'octroi de l'autorisation est subordonné à la justification par le demandeur de sa capacité à contrôler l'émission de l'ensemble des stations radioélectriques, y compris les stations terriennes, utilisant l'assignation de fréquence, ainsi qu'au versement à l'ANFR d'une redevance correspondant aux coûts de traitement du dossier déclaré à l'UIT.

L'autorisation d'assignation de fréquence relative à un système satellitaire peut être refusée dans les cas suivants :

- pour la sauvegarde de l'ordre public, les besoins de la défense ou ceux de la sécurité publique ;

- lorsque la demande n'est pas compatible, soit avec les engagements souscrits par la France dans le domaine des radiocommunications, soit avec les utilisations existantes ou prévisibles de bandes de fréquences, soit avec d'autres demandes d'autorisation permettant une meilleure gestion du spectre des fréquences ;

- lorsque la demande a des incidences sur les droits attachés aux assignations de fréquence antérieurement déclarées par la France à l'Union internationale des télécommunications ;

- lorsque le demandeur a fait l'objet d'une des sanctions prévues au III de l'article L. 97-2 ou à l'article L. 97-3.

La France gère actuellement 603 dossiers fréquences satellites à l'UIT, pour les opérateurs gouvernementaux (CNES, Ministère des Armées), les organisations internationales (Agence Spatiale Européenne, Eutelsat OIG, le groupe de pays du système Galileo, et l'Union Européenne pour une partie de la constellation souveraine européenne Iris²), et les opérateurs privés français.

Un dossier fréquences satellite, appelé filing, permet de réserver des fréquences pour une durée maximale de 7 ans. Les filings notifiés et mis en service avant la fin des 7 ans obtiennent une reconnaissance et protection internationale. Un filing peut représenter un satellite unique (géostationnaire ou non-géostationnaire), ou un ensemble cohérent de satellites (constellation).

2) Les obligations auxquelles doit se conformer le titulaire d'une autorisation d'assignation de fréquence relative à un système satellitaire

Le titulaire d'une autorisation doit respecter les spécifications techniques notifiées par la France à l'UIT ainsi que, le cas échéant, les accords de coordination conclus avec d'autres États membres de l'UIT ou avec d'autres exploitants d'assignations de fréquence déclarées par la France à l'UIT, y compris les accords postérieurs à la délivrance de l'autorisation.

Le titulaire doit assurer, de façon permanente, le contrôle de l'émission de l'ensemble des stations radioélectriques, y compris les stations terriennes, utilisant l'assignation de fréquence.

Le titulaire de l'autorisation doit apporter son concours à l'administration pour la mise en oeuvre des dispositions du règlement des radiocommunications (RR).

À la demande du ministre chargé des communications électroniques, le titulaire de l'autorisation doit faire cesser tout brouillage préjudiciable occasionné par le système satellitaire ayant fait l'objet de l'autorisation, dans les cas prévus par le règlement des radiocommunications.

Les obligations que le présent article met à la charge du titulaire de l'autorisation s'appliquent également aux stations radioélectriques faisant l'objet de l'autorisation qui sont détenues, installées ou exploitées par des tiers ou qui sont situées hors de France.

L'autorisation est accordée à titre personnel et ne peut être cédée à un tiers. Elle ne peut faire l'objet d'un transfert qu'après accord de l'autorité administrative.

L'autorisation devient caduque si l'exploitation se révèle incompatible avec les accords de coordination postérieurs à la délivrance de l'autorisation.

3) L'existence d'un dispositif de sanctions

Le III de l'article L. 97-2 prévoit que lorsque le titulaire de l'autorisation prévue au I ne respecte pas les obligations qui lui sont imposées par les textes législatifs ou réglementaires, le ministre chargé des communications électroniques le met en demeure de s'y conformer dans un délai déterminé.

Si le titulaire ne donne pas suite à la mise en demeure qui lui a été adressée, le ministre chargé des communications électroniques peut prononcer à son encontre l'une des sanctions prévues au 2° de l'article L. 36-11. La procédure prévue aux 2° et 5° de l'article L. 36-11 est applicable. Il peut, en outre, décider d'interrompre la procédure engagée par la France auprès de l'UIT.

4) Autres autorisations susceptibles d'être nécessaires

Le IV de l'article 97-2 prévoit que l'obtention de l'autorisation prévue au I ne dispense pas, le cas échéant, des autres autorisations prévues par les lois et règlements en vigueur, notamment de celles concernant la fourniture de services de radio ou de télévision sur le territoire français prévues par la loi n° 86-1067 du 30 septembre 1986 précitée.

5) Cas dans lesquels les dispositions de l'article L. 97-2 ne sont pas applicables

Le V prévoit que les dispositions de l'article L. 97-2 ne sont pas applicables :

- lorsque l'assignation de fréquence est utilisée par une administration pour ses propres besoins dans une bande de fréquences dont elle est affectataire, en application de l'article 21 de la loi n° 86-1067 du 30 septembre 1986 précitée ;

- lorsque la France a agi auprès de l'UIT, en sa qualité d'administration notificatrice, au nom d'un groupe d'États membres de l'Union internationale des télécommunications.

6) Mesures réglementaires d'application

Le VI de l'article L. 97-2 dispose qu'un décret en Conseil d'État précise :

- la procédure selon laquelle les autorisations sont délivrées ou retirées et selon laquelle leur caducité est constatée ;

- la durée et les conditions de modification et de renouvellement de l'autorisation ;

- les conditions de mise en service du système satellitaire ;

- les modalités d'établissement et de recouvrement de la redevance prévue au deuxième alinéa du 2 du I.

II. Le dispositif envisagé - une volonté de conditionner le recours à l'ANFR à un véritable intérêt pour l'économie française et à une absence de compromission de la sécurité nationale

De plus en plus d'opérateurs veulent déployer des constellations en orbite basse et souhaitent obtenir, pour garantir la qualité de leur service, la possibilité d'exploiter des bandes de fréquences sans risques de brouillage.

Dans ce contexte, ces opérateurs cherchent à déterminer l'État qui sera le plus en mesure de leur obtenir auprès de l'UIT une autorisation d'exploitation d'assignation permettant d'éviter ces risques de brouillage, en défendant les droits dudit opérateurs vis à vis des autres utilisateurs du spectre au sein de l'UIT.

Or, l'Agence nationale des fréquences (ANFR) française, très impliquée dans les travaux de l'UIT, est particulièrement reconnue pour le sérieux des analyses techniques qu'elle produit, notamment en ce qui concerne les conditions de coexistence entre systèmes satellitaires.

En conséquence, de nombreux acteurs internationaux font le choix de s'adresser à la France afin de bénéficier d'une autorisation d'exploiter une assignation de fréquence déposée auprès de l'UIT.

Si cette situation témoigne de l'excellence de l'expertise française dans ce domaine, il parait néanmoins indispensable de s'assurer que les acteurs privés qui bénéficient de ce savoir-faire français en matière de gestion des fréquences ne nuisent pas aux intérêts de la sécurité et de la défense nationale et contribuent au développement de l'économie française.

Au-delà de cette nécessité de s'assurer que l'expertise de l'ANFR est toujours utilisée à bon escient, il est essentiel que la France puisse valoriser au mieux son patrimoine en matière de fréquence, qui est le troisième plus important au niveau mondial, en particulier dans les bandes de fréquences Ku, Ka et Qv.

Or cette valorisation demeure insuffisante car la marge de manoeuvre dont dispose l'ANFR en vertu des dispositions actuelles de l'article L.97-2 du code des postes et communications électroniques quant à la décision d'autoriser ou non un acteur à utiliser ces ressources est particulièrement réduite.

L'objet du présent article 42 consiste par conséquent à modifier l'article L. 97-2 dudit code est donc principalement d'étendre la marge de manoeuvre de l'État avant, durant et après le processus d'autorisation.

1) La protection des intérêts économiques et des intérêts de la sécurité nationale

La nouvelle rédaction du 1 du I de l'article L. 97-2 du CPCE prévoit toujours que toute demande d'assignation de fréquence relative à un système satellitaire est adressée à l'Agence nationale des fréquences (ANFR) et que celle-ci déclare, au nom de la France, l'assignation de fréquence correspondante à l'Union internationale des télécommunications (UIT) et engage la procédure prévue par le règlement des radiocommunications (RR).

Si la réserve de la conformité au tableau national de répartition des bandes de fréquences ou aux stipulations des instruments de l'UIT est maintenue, l'article 42 du présent projet de loi ajoute deux autres réserves possibles, susceptibles de ne pas entrainer de déclaration de l'assignation de fréquence par l'ANFR à l'UIT, à savoir :

- l'existence d'un intérêt économique ou d'un intérêt pour la défense nationale justifiant que la déclaration soit effectuée au nom de la France

De fait, l'utilisation des moyens administratifs français doit s'accompagner d'un alignement de l'opérateur sur les intérêts français. Certains opérateurs recherchent en effet la juridiction la plus favorable, sans établir de lien direct avec le pays choisi. Un exemple récent a été donné par l'opérateur ABS qui exploite actuellement des fréquences déclarées par la Fédération de Russie à l'UIT. ABS, pourtant concurrent direct d'Eutelsat, cherche à changer de pavillon et s'est renseigné sur les conditions pour devenir opérateur français.

- que les assignations soumises ne soient pas de nature à compromettre les intérêts de la sécurité nationale et le respect par la France de ses engagements internationaux.

Ce critère existe déjà en France au moment de la délivrance de l'autorisation au 2 du I de l'article 97-2.

Pourtant, chaque fois que cela est possible, il est préférable de vérifier ces critères en amont car il est trop tard au stade de l'autorisation pour modifier les fréquences ou les caractéristiques techniques en cas de problème. Des États, tels que les Etats-Unis ou la Fédération de Russie, procèdent d'ailleurs à cette analyse au début du processus (demande d'assignations de fréquences) plutôt qu'à la fin (demande d'autorisation d'exploitation).

2) La mise en place d'un critère de rattachement juridique à la France et un élargissement des motifs de refus d'autorisation

Au 2 du I de l'article 97-2 relatif aux critères à respecter pour obtenir l'autorisation d'exploiter une assignation de fréquence à un système satellitaire, il est ajouté une nouvelle condition, à savoir que l'autorisation est octroyée à une entité de droit français ou à un établissement immatriculé au registre du commerce et des sociétés en France.

Selon l'ANFR, entendue par votre rapporteur, il s'agit de s'assurer que certains droits sur des assignations françaises stratégiques ne puissent pas passer sous le contrôle de sociétés étrangères grâce aux procédures encadrant les investissements étrangers.

Le problème s'est posé pour les assignations spatiales de OneWeb dont une partie repose sur des droits français bénéficiant d'une priorité règlementaire et qui était détenues par une filiale maltaise de OneWeb. Aucun moyen juridique n'était disponible à l'époque pour éviter un rachat ultérieur de cette filiale par une société non européenne.

Par ailleurs, les sanctions administratives prises par le ministre ne sont pas exécutoires dans les autres États, en l'absence de dispositions européennes sur l'exécution de telles décisions.

Dans la liste des motifs pouvant conduire à un refus de l'autorisation, sont donc rajoutés :

- le respect par la France de ses engagements internationaux ;

- lorsque le demandeur ne peut démontrer qu'un intérêt économique s'attache, pour la France, à l'autorisation ;

- lorsque le demandeur est dans l'incapacité technique ou financière de faire face durablement aux obligations qui sont les siennes une fois l'autorisation obtenue.

Enfin un dernier alinéa est ajouté au I pour prévoir que l'autorisation d'exploiter une assignation de fréquence à un système satellitaire peut être assortie, le cas échéant, de conditions visant à assurer que les activités prévues dans le cadre de l'exploitation de l'assignation autorisée ne porteront pas atteinte aux intérêts de la sécurité et de la défense nationale ou au respect par la France de ses engagements internationaux.

3) Une refonte complète du système de sanctions

Le présent article 42 réécrit ensuite entièrement le second alinéa du III de l'article L. 97-2 pour prévoir un dispositif de sanctions plus efficace.

Il prévoit que lorsque le titulaire de l'autorisation ne se conforme pas, dans les délais fixés, à la mise en demeure qui lui a été adressée, le ministre chargé des communications électroniques peut lui notifier les griefs.

Après que l'intéressé a reçu la notification des giefs et a été mis à même de consulter le dossier et de présenter ses observations écrites, le ministre chargé des communications électroniques procède, avant de prononcer une sanction, à son audition selon une procédure contradictoire.

Le ministre chargé des communications électroniques peut, en outre, entendre toute personne dont l'audition lui paraît utile.

Il peut prononcer, à l'encontre du titulaire de l'autorisation d'exploiter une assignation de fréquence, une des sanctions suivantes :

- la suspension, totale ou partielle, pour un mois au plus, de l'autorisation, la réduction de sa durée, dans la limite d'une année, ou son retrait ;

- une sanction pécuniaire dont le montant est proportionné à la gravité du manquement et aux avantages qui en sont retirés, sans pouvoir excéder 3 % du chiffre d'affaires hors taxes du dernier exercice clos, ou 5 % de celui-ci en cas de nouvelle violation de la même obligation. À défaut d'activité permettant de déterminer ce plafond, le montant de la sanction ne peut excéder 150 000 euros, ou 375 000 euros en cas de nouvelle violation de la même obligation ;

- l'interruption de la procédure engagée par la France auprès de l'Union internationale des télécommunications (UIT).

Lorsque le manquement est constitutif d'une infraction pénale, le montant total des sanctions prononcées ne peut excéder le montant de la sanction encourue le plus élevé.

Lorsque le ministre chargé des communications électroniques a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué sur les mêmes faits ou des faits connexes, ce dernier peut ordonner que la sanction pécuniaire s'impute sur l'amende qu'il prononce.

Les sanctions pécuniaires sont recouvrées comme les créances de l'État étrangères à l'impôt et au domaine.

Les décisions du ministre chargé des communications électroniques sont motivées et notifiées à l'intéressé. Elles peuvent être rendues publiques dans les publications, journaux ou services de communication au public par voie électronique choisis par lui, dans un format et pour une durée proportionnée à la sanction infligée. Elles peuvent faire l'objet d'un recours de pleine juridiction.

4) Mesures d'application

Le présent article 42 réécrit entièrement le VI de l'article L. 97-2 relatif au décret en Conseil d'État fixant les modalités d'application de cet article.

À toutes les modalités que le décret en Conseil d'État prévu par la version actuelle de l'article L. 97-2 prévoyait, il en rajoute deux autres, à savoir :

- les conditions dans lesquelles l'ANFR déclare, au nom de la France, les assignations de fréquence à l'UIT ;

- les conditions dont les autorisations d'exploitation peuvent être assorties ;

- la durée et les conditions de modification et de renouvellement de l'autorisation ;

- les modalités des procédures de mise en demeure et de sanctions prévues dans la nouvelle rédaction du III.

Il est enfin prévu que les dispositions du présent article 42 s'appliquent à compter de l'entrée en vigueur du décret en Conseil d'État prévu au VI et au plus tard le 31 décembre 2025.

III. La position de la commission - les entreprises doivent être en mesure de faire valoir l'existence d'un intérêt économique ou d'un intérêt pour la défense nationale justifiant qu'une demande d'autorisation d'assignation de fréquence relative à un système satellitaire soit effectuée au nom de la France

Comme rappelé supra, de nombreux acteurs internationaux font le choix de s'adresser à la France afin de bénéficier d'une autorisation d'exploiter une assignation de fréquence déposée auprès de l'UIT, car l'ANFR est très reconnue pour sa capacité à les obtenir.

Si cette situation témoigne de l'excellence de l'expertise française dans ce domaine, il parait néanmoins indispensable de s'assurer que les acteurs privés qui bénéficient de ce savoir-faire français en matière de gestion des fréquences ne nuisent pas aux intérêts de la sécurité et de la défense nationale et contribuent au développement de l'économie française.

Au-delà de cette nécessité de s'assurer que l'expertise de l'ANFR est toujours utilisée à bon escient, il est essentiel que la France puisse valoriser au mieux son patrimoine en matière de fréquence, qui est le troisième plus important au niveau mondial, en particulier dans les bandes de fréquences Ku, Ka et Qv.

C'est pourquoi les évolutions portées par le présent article 42 et visant à accorder plus de marges de manoeuvres à l'ANFR et au ministre chargé des communications électroniques avant, durant et après le processus d'autorisation d'assignation de fréquence relative à un système satellitaire sont particulièrement bienvenues.

Le savoir-faire de l'ANFR doit en effet bénéficier non à des entreprises étrangères sans liens avec la France et uniquement à la recherche de la juridiction la plus favorable à leurs intérêts (pratique dite du « forum shipping »), mais à des entreprises qui sont en mesure de faire valoir l'existence d'un intérêt économique ou d'un intérêt pour la défense nationale justifiant que la déclaration soit effectuée au nom de la France.

Il est en outre primordial que les assignations de fréquence relative à un système satellitaire soumises à l'UIT ne soient pas de nature à compromettre les intérêts de la sécurité nationale et le respect par la France de ses engagements internationaux.

En 2023, l'ANFR a traité 55 demandes de dépôts d'assignations. Elle estime que de l'ordre de trois cas par an seraient susceptibles de faire l'objet d'un contrôle approfondi au titre de ces nouvelles dispositions. Il s'agira donc d'un changement limité en termes quantitatifs, mais qui, dans des cas d'espèce, pourrait revêtir une réelle importance.

La refonte du processus de sanctions ne posant par ailleurs pas de difficultés particulières, la commission spéciale a adopté l'article 42 uniquement avec un amendement rédactionnel COM 125 du rapporteur Patrick Chaize.

La commission a adopté l'article ainsi modifié.

TITRE II
CYBERSÉCURITÉ

CHAPITRE IER
DE L'AUTORITÉ NATIONALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION

Article 43 A

Désignation de la Banque de France et de l'Autorité de contrôle prudentiel et de résolution comme autorités compétentes dans le cas où une entité financière est assujettie à plusieurs autorités de supervision

I. LE DROIT EXISTANT : L'ARTICLE 19 DU RÈGLEMENT « DORA » PRÉVOIT QUE LES ÉTATS MEMBRES DÉSIGNENT, POUR LES ENTITÉS FINANCIÈRES SOUMISES À LA SURVEILLANCE DE PLUSIEURS AUTORITÉS NATIONALES, UNE SEULE AUTORITÉ POUR RECEVOIR CERTAINES DÉCLARATIONS ET NOTIFICATIONS

L'article 19 du règlement (UE) 2022/2554 du 14 décembre 2022, dit « DORA »^80(*), prévoit que les entités financières déclarent à l'autorité compétente pertinente les incidents majeurs liés aux technologies de l'information et de la communication (TIC). Il dispose également que, lorsqu'une entité financière est soumise à la surveillance de plusieurs autorités, les États membres désignent une seule autorité compétente en tant qu'autorité compétente concernée chargée d'exercer les fonctions et missions prévues à l'article 19.

Ces missions résident dans la réception de notification initiale et de rapports à la suite d'un incident majeur, la réception des notifications à titre volontaire des cybermenaces lorsque les entités estiment que la menace est pertinente pour le système financier, les utilisateurs de services ou les clients, et la communication de détails sur l'incident majeur aux superviseurs de niveau européen.

II. LE DISPOSITIF PROPOSÉ : ÉVITER LE RISQUE DE DOUBLE ASSUJETTISSEMENT ENTRE « DORA » ET « NIS 2 »

Le présent article, résultant d'un amendement déposé par le rapporteur Michel Canévet, a pour objet de répondre à cette exigence prévue par le règlement en désignant la Banque de France et l'Autorité de contrôle prudentiel et de régulation (ACPR) comme seules autorités compétentes pour exercer les fonctions et missions prévues par le règlement « DORA » en matière de déclaration des incidents majeurs liés aux technologies de l'information et de la communication (TIC) et de notification volontaire des cybermenaces importantes, respectivement pour les dépositaires centraux et pour les personnes relevant, dans le secteur de la banque, des services de paiement et des services d'investissement, de la compétence de l'ACPR, à l'exception des entreprises de marché. Il crée pour ce faire un article L. 142-10 au sein du code des marchés financiers, dans la partie relative aux missions de la Banque de France, et un article L. 612-24-1 dans la partie relative à celles de l'ACPR.

La désignation d'un « guichet unique » constitue une mesure de simplification qui, sans préjudice des échanges d'informations entre les services administratifs compétents, réduit la charge administrative des entreprises qui constituent par suite un unique dossier de déclaration ou de notification.

Décision de la commission : la commission a adopté l'article additionnel.

Article 43

Modification de la définition des prestataires de services techniques

I. LE DROIT EXISTANT : LA DÉFINITION DES SERVICES TECHNIQUES À L'APPUI DES SERVICES DE PAIEMENT EST ISSUE DE LA TRANSPOSITION DE LA 2^ÈME DIRECTIVE SUR LES SERVICES DE PAIEMENT (DSP2) DE 2015

L'article L. 314-1 du code monétaire et financier (CMF) définit les services fournis par les prestataires de services techniques pour appuyer la fourniture de services de paiement. Ces prestataires de services techniques sont des acteurs fournissant des services support à l'exécution d'opérations de paiement.

La définition de ces services techniques est issue de la transposition de l'article 3 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite « DSP2 »)^81(*). La DSP2 effectue une distinction entre les services de paiement, limitativement énumérées à son annexe I et dont la fourniture requiert un agrément, et les services techniques, qui ne requièrent pas d'agrément spécifique. La directive précise que les services fournis par les prestataires de services techniques n'entrent « à aucun moment, en possession des fonds à transférer »^82(*).

Le 7° de l'article L. 314-1 du CMF reprend la définition donnée par l'article 3 de la DSP2. Il précise ainsi que les services techniques à l'appui de la fourniture de services de paiement consistent « notamment dans le traitement et l'enregistrement des données, les services de protection de la confiance de la vie privée, l'authentification des données et des entités, les technologies de l'information et la fourniture de réseaux de communication, ainsi que la fourniture et la maintenance des terminaux et dispositifs utilisés aux fins des services de paiement, à l'exception des services d'initiation de paiement et des services d'information sur les comptes ».

II. LE DISPOSITIF PROPOSÉ : LE PROJET DE LOI ACTUALISE LA DÉFINITION DES SERVICES TECHNIQUES À L'APPUI DES SERVICES DE PAIEMENT POUR PERMETTRE LA TRANSPOSITION DE LA DIRECTIVE DORA

L'article 7 (1) de la directive DORA^83(*) modifie la définition des services fournis par les prestataires de services techniques qui figure à l'article 3 de la DSP2. Le paragraphe j) de l'article 3 de la DSP2 est amendé pour y inclure les services de fourniture des « technologies de l'information et de la communication » (TIC), dont les risques sont désormais uniformément couverts par le règlement DORA.

L'article 43 du projet de loi transpose dans le code monétaire et financier l'article 7 (1) de la directive DORA. Le 7° de l'article L. 314-1 du code monétaire et financier, qui dresse une liste non limitative des services fournis par les prestataires de services techniques à l'appui des services de paiement, est modifié en ajoutant « et de la communication » à la mention des technologies de l'information.

Cette modification a pour but d'aligner la terminologie contenue dans le droit français sur celle adoptée par la règlementation DORA. La mention des « technologies de l'information et de la communication » (TIC) est ainsi intégrée dans la liste des services fournis par les prestataires de services techniques à l'appui des services de paiement.

III. LA POSITION DE LA COMMISSION : UNE ACTUALISATION NÉCESSAIRE DE LA DÉFINITION DES SERVICES TECHNIQUES À L'APPUI DES SERVICES DE PAIEMENT

L'expression « technologies de l'information et de la communication » (TIC) est une terminologie aujourd'hui largement reprise par les acteurs fournissant des services support à l'exécution des opérations de paiement. La directive DORA actualise donc la définition des services fournis par les prestataires de services techniques à l'appui des services de paiement, qui figurait dans la DSP2.

Le présent article permet de transposer la définition de ces services techniques donnée par l'article 7 (1) de la directive DORA et d'harmoniser ainsi la définition française sur la terminologie retenue au niveau européen.

Décision de la commission : la commission a adopté l'article sans modification

Article 44
Maintien de la résilience opérationnelle des gestionnaires de plateformes de négociation

I. UN DÉCALAGE ENTRE LES DROITS INTERNE ET EUROPÉEN EN MATIÈRE D'OBLIGATION DE GESTION DES RISQUES CYBER PAR LES GESTIONNAIRES DE PLATES-FORMES DE NÉGOCIATION

A. LES GESTIONNAIRES DES PLATEFORMES DE NÉGOCIATION DOIVENT S'ASSURER DE LA RÉSILIENCE DES SYSTÈMES DE NÉGOCIATION QU'ILS EXPLOITENT

1. Les plates-formes de négociation regroupent les marchés réglementés, les systèmes multilatéraux de négociation et les systèmes organisés de négociation

L'article L. 420-1 du code monétaire et financier définit la plate-forme de négociation. Il constitue en ceci une transposition en droit français de la directive « MIF 2 »^84(*), et en particulier de son article 4.

Une plate-forme de négociation est donc un système multilatéral, défini par le code monétaire et financier comme « un système ou un dispositif au sein duquel de multiples intérêts acheteurs et vendeurs exprimés par des tiers pour des instruments financiers peuvent interagir », qui peut prendre trois formes^85(*) :

- un marché réglementé au sens de l'article L. 421-1, qui vise à aboutir à la conclusion de contrats portant sur les instruments financiers admis à la négociation. On compte en France trois marchés réglementés agréés : Euronext Paris SA, le Matif (marché à terme international de France) et le Monep (marché des options négociables de Paris) ;

- un système multilatéral de négociation au sens de l'article L. 424-1, qui vise à la conclusion de transactions sur des instruments financiers, qui compte au moins trois membres. On compte en France huit systèmes latéraux de négociation agréés (pour 14 codes d'identification de marché), dont Euronext Growth Paris et Euronext Access Paris ;

- un système organisé de négociation au sens de l'article L. 425-1, visant à conclure des transactions sur les titres de créance, les produits financiers structurés, les quotas carbones, des instruments dérivés (c'est-à-dire une valeur mobilière donnant le droit d'acquérir ou de vendre de telles valeurs mobilières ou donnant lieu à un règlement en espèce), ou des produits énergétiques de gros. On compte en France 10 systèmes organisés de négociation agréés.

2. Le droit interne relatif aux obligations des gestionnaires des plates-formes de négociation en matière de gestion du risque cyber est une transposition de la directive « MIF 2 » dans sa version de 2014

L'article 48 de la directive précitée dans sa version de 2014 prévoit en son paragraphe 1^er que les États membres exigent d'un marché réglementé qu'il dispose de systèmes, de procédures et de mécanismes efficaces pour garantir que ses systèmes de négociation sont résilients, possèdent une capacité suffisante pour gérer les volumes les plus élevés d'ordres et de messages, sont en mesure d'assurer un processus de négociation ordonné en période de graves tensions sur les marchés, sont soumis à des tests exhaustifs afin de confirmer que ces conditions sont réunies et sont régis par des mécanismes de continuité des activités assurant le maintien de ses services en cas de défaillance de ses systèmes de négociation.

L'article L. 420-3 du code monétaire et financier, en son I, transpose ces dispositions et détermine ainsi les obligations du gestionnaire de la plate-forme de négociation en matière de risque cyber.

C'est à lui qu'il revient de mettre en place les systèmes, des procédures et des mécanismes efficaces mentionnés par l'article 48 de la directive, à ceci près que l'article vise un processus de négociation ordonné en période de tension sur les marchés, et non de « graves tensions ».

Il est également précisé que ces systèmes de négociation sont soumis à des tests afin de confirmer que ces conditions sont réunies dans des situations d'extrême volatilité des marchés, et que le gestionnaire met en place des mécanismes assurant la continuité des activités en cas de défaillance imprévue de ses systèmes de négociation. Le législateur français a ici utilisé sa marge de manoeuvre en prévoyant que les systèmes financiers doivent surtout résister à des chocs importants et imprévus, là où le droit européen n'évoque pas « les situations d'extrême volatilité ».

L'article 48 régit également, en son paragraphe 6, le cadre de gestion du risque cyber des marchés réglementés en matière de trading algorithmique.

Il prévoit ainsi que les États membres exigent d'un marché réglementé qu'il dispose de systèmes, de procédures et de mécanismes efficaces, y compris qu'il exige de ses membres ou de ses participants qu'ils procèdent à des essais appropriés d'algorithmes et mettent à disposition les environnements facilitant ces essais. Le but est de garantir que les systèmes de trading algorithmique ne donnent pas naissance ou ne contribuent pas à des conditions de négociation de nature à perturber le bon ordre du marché, mais aussi de gérer ces conditions de négociation lorsqu'elles découlent de ces systèmes de trading algorithmique, y compris de systèmes permettant de limiter la proportion d'ordres non exécutés par rapport aux transactions susceptibles d'être introduites dans le système par un membre ou un participant, de ralentir le flux d'ordres si le système risque d'atteindre sa capacité maximale ainsi que de limiter le pas minimal de cotation sur le marché et de veiller à son respect.

Transposant ces dispositions en droit interne, le III de l'article L. 420-3 du code monétaire et financier prévoit que le gestionnaire de la plate-forme de négociation exige des personnes qui les utilisent qu'elles « procèdent à des tests appropriés d'algorithme et disposent d'environnements de tests », afin de s'assurer que ces systèmes « ne créent pas ou ne contribuent pas à des conditions de négociation de nature à perturber le bon ordre du marché ». Les systèmes, procédure et mécanismes mis en place dans ce cadre doivent également permettre de « gérer les conditions de négociation de nature à perturber le bon ordre du marché qui découlent de ces systèmes de négociation algorithmique ».

Par ailleurs, selon le II, de l'article L. 420-3 du code monétaire et financier, le gestionnaire est également chargé de mettre en place des systèmes permettant de rejeter les ordres dépassant des seuils de volume ou les ordres erronés ainsi que de suspendre ou limiter temporairement la négociation en cas de fluctuation importante des prix. En ce cas, il notifie à l'Autorité des marchés financiers les paramètres de suspension de la négociation ainsi que tout changement de ceux-ci. Les IV et V de l'article déterminent enfin les obligations qui s'imposent au gestionnaire en matière d'accès électronique direct et de sécurité et d'authentification des moyens de transfert d'informations.

B. LA DIRECTIVE « DORA » A MODIFIÉ LA DIRECTIVE « MIF 2 » SANS QUE LE DROIT INTERNE N'Y AIT ENCORE ÉTÉ ADAPTÉ

L'article 6 de la directive (UE) 2022/2556 du 14 décembre 2022, dite « DORA »^86(*), en son quatrième paragraphe, modifie notamment les paragraphes 1 et 6 de l'article 48 de la directive « MIF 2 ».

Le paragraphe 1 de la directive « MIF 2 » prévoit désormais un renvoi spécifique à diverses dispositions du paquet « DORA » : les États membres exigent d'un marché réglementé qu'il mette en place et maintienne sa résilience opérationnelle conformément aux exigences fixées au chapitre II du règlement (UE) 2022/2554 du 14 décembre 2022, dit « DORA »^87(*) qui traite de la gestion du risque lié aux technologies de l'information et de la communication (TIC).

Par ailleurs, les mécanismes de continuité des activités qui régissent les systèmes de négociation incluent désormais une politique et des plans en matière de continuité des activités des TIC et des plans de réponse et de rétablissement des TIC mis en place conformément à l'article 11 du règlement « DORA », qui précise le contenu de cette politique et de ces plans.

Selon cet article, les entités financières doivent se doter d'une politique de continuité des activités de TIC complète, qui vise à garantir la continuité des fonctions critiques ou importantes (y compris lorsqu'elles sont externalisées), répondre aux incidents et les résoudre, activer des plans comportant des mesures d'endiguement et prévenir tout dommage supplémentaire, estimer les incidences, dommages et pertes préliminaires et enfin définir des mesures de communication et de gestion des crises. Cette politique de continuité suppose une analyse de l'incidence de graves perturbations sur leurs activités. Les entités financières doivent également mettre en oeuvre des plans de réponse et de rétablissement des TIC. Ces plans (continuité, réponse et rétablissement, communication) font l'objet de tests, notamment en incluant des scénarios de cyberattaques et de basculement entre l'infrastructure de TIC principale et la capacité redondante, et de réexamens périodiques.

Le paragraphe 6 de la directive « MIF 2 » prévoit désormais que la mise à disposition, par les membres ou participant d'un marché réglementé, d'« environnements » facilitant les essais d'algorithmes, doit se faire « conformément aux exigences fixées aux chapitres II et IV du règlement (UE) 2022/2554 », qui encadrent respectivement la gestion du risque lié aux TIC et les tests de résilience opérationnelle numérique.

Subsiste donc un décalage entre le droit interne qui résulte, au sein de l'article L. 420-3 du code monétaire et financier, des dispositions de la directive « MIF 2 » dans sa rédaction de 2014, et le droit européen, qui a permis à travers le paquet « DORA » adopté en 2022 de préciser et compléter le cadre de gestion du risque cyber sur les marchés réglementés.

II. LE DISPOSITIF PROPOSÉ : SOUMETTRE LES GESTIONNAIRES DES PLATES-FORMES DE NÉGOCIATION AU RESPECT DES EXIGENCES DE CYBERSÉCURITÉ INTRODUITES PAR LE PAQUET « DORA »

Le présent article modifie l'article L. 420-3 du code monétaire et financier en reprenant les dispositions introduites à l'article 48 de la directive « MIF 2 » par le quatrième paragraphe de l'article 6 de la directive « DORA ».

Ainsi, son 1° modifie le I de l'article L. 420-3 de façon à prévoir que le gestionnaire de plate-forme de négociation met en place non pas « des systèmes, des procédures et des mécanismes efficaces » pour garantir la résilience des systèmes de négociation - ce qui se ferait sans référence aux exigences du règlement DORA -, mais met en place « et maintient sa résilience opérationnelle conformément aux exigences fixées au chapitre II » du règlement « DORA ». Le gestionnaire doit aussi être en mesure d'assurer un processus de négociation ordonné en période de « graves tensions » - et non de simples tensions - sur les marchés. Enfin, les tests auxquels sont soumis les systèmes de négociation doivent désormais être « exhaustifs », afin de confirmer que ces conditions (résilience, gestion de volumes élevés d'ordre et messages et processus de négociation ordonné en période de grave tension) soient réunies, et ce à tout moment, et plus uniquement « dans des situations d'extrême volatilité des marchés ».

Par ailleurs, les mécanismes assurant la continuité des activités en cas de défaillance imprévue de ses systèmes de négociations, et qui doivent être mises en place par le gestionnaire, incluent une politique et des plans en matière de continuité des activités liées aux TIC et des plans de réponse et de rétablissement des TIC mis en place conformément à l'article 11 du règlement « DORA ».

Le 2° du présent article modifie le III de l'article L. 420-3 du code monétaire et financier et prévoit que les tests d'algorithmes auxquels doivent procéder, sur injonction des gestionnaires de plates-formes de négociation, les personnes utilisant des systèmes de négociation algorithmique, et les environnements de tests dont elles doivent disposer, s'inscrivent dans le cadre fixé par les chapitres II et IV du règlement « DORA ». Il procède également à des modifications d'ordre rédactionnel.

III. LA POSITION DE LA COMMISSION : UNE MODIFICATION NÉCESSAIRE POUR TRANSPOSER LE DROIT EUROPÉEN ET ASSURER UNE MEILLEURE RÉSILIENCE DES PLATES-FORMES DE NÉGOCIATION

Le présent article consistant en une reprise à l'identique de la rédaction adoptée à l'article 6 de la directive « DORA », elle constitue une transposition limitée à l'essentielle du droit européen. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^88(*). Elle doit permettre d'assurer une meilleure résilience du secteur financier, à travers une meilleure gestion du risque lié au TIC, la notification des incidents majeurs aux autorités compétentes, et la mise en place de tests de résilience opérationnelle numérique.

Si le simple ajout de références aux chapitres du règlement « DORA » est d'une faible portée juridique dans la mesure où ce règlement est d'application directe, il permet une meilleure lisibilité du droit et reflète de façon fidèle la rédaction de la directive.

Décision de la commission : la commission a adopté l'article sans modification.

Article 45

Gestion du risque lié aux technologies de l'information et de la communication par les entreprises de marché

I. LE DROIT INTERNE PRÉVOIT DÉJÀ QUE LES ENTREPRISES DE MARCHÉ DOIVENT POUVOIR IDENTIFIER LES RISQUES COMPROMETTANT LE FONCTIONNEMENT DU MARCHÉ RÉGLEMENTÉ QU'ELLES GÈRENT ET GARANTIR LA VIABILITÉ DES SYSTÈMES DESTINÉS À FAIRE FACE AUX ÉVENTUELS DYSFONCTIONNEMENTS, SANS POUR AUTANT SATISFAIRE LES CRITÈRES PRÉVUS PAR LE PAQUET « DORA »

Aux termes de l'article L. 421-2 du code monétaire et financier, l'entreprise de marché est une société de droit privé, empruntant la forme d'une société commerciale, dont l'activité principale consiste en la gestion, c'est-à-dire principalement l'organisation et l'exploitation, d'un marché réglementé.

En France, la principale entreprise de marché opérant sur le secteur est la société NYSE Euronext, vaste entité gérant les marchés Euronext de Paris, Amsterdam, Bruxelles, Lisbonne, et allié avec New York. D'autres entreprises de ce type peuvent être identifiées : Nasdaq, qui gère le marché américain éponyme ou le marché de Boston et de Philadelphie, Deutsche Börse AG (Francfort) ou encore London Stock Exchange (qui gère, outre le principal marché de Londres, celui de Milan).

En plus de ses missions de contrôle des membres du marché réglementé et de surveillance des transactions destinée à détecter tout manquement, l'entreprise de marché, aux termes de l'article L. 421-11 du code monétaire et financier, prend notamment les dispositions nécessaires en vue de :

- disposer en permanence des moyens, d'une organisation et de procédures de suivi adéquats permettant d'identifier les risques significatifs de nature à compromettre le bon fonctionnement du marché règlementé qu'elle gère et prendre les mesures appropriées pour atténuer ces risques (2. du I) ;

- garantir le bon fonctionnement des systèmes techniques de négociation et disposer notamment de procédures d'urgence destinées à faire face aux éventuels dysfonctionnements (4. du I).

Selon l'article L. 421-4 du code monétaire et financier, l'Autorité des marchés financiers (AMF), qui propose au ministre de l'économie la reconnaissance de la qualité de marché réglementé, consulte l'Autorité de contrôle prudentiel et de résolution (ACPR) sur les mesures prévues par l'entreprise de marché pour se conformer à ces obligations.

L'article L. 421-11, en confiant à l'entreprise de marché le rôle de gestion des risques pesant sur les marchés réglementés, assure ainsi la transposition de l'article 47 de la directive « MIF 2 » dans sa rédaction du 15 mai 2014. Celui-ci prévoit que les États membres exigent notamment des marchés réglementés qu'ils soient adéquatement équipés pour gérer les risques auxquels ils sont exposés, qu'ils mettent en oeuvre des dispositifs et des systèmes appropriés leur permettant d'identifier tous les risques significatifs pouvant compromettre leur bon fonctionnement et qu'ils instaurent des mesures effectives pour atténuer ces risques (b du I), ainsi que des dispositifs propres à garantir la bonne gestion des opérations techniques des systèmes et notamment des procédures d'urgence efficaces pour faire face aux dysfonctionnements éventuels des systèmes de négociation (c du I).

Or l'article 6 de la directive (UE) 2022/2556 du 14 décembre 2022, dite « DORA »^89(*), en son troisième paragraphe, modifie ces dispositions pour raccrocher au règlement « DORA » les mesures qui doivent s'imposer aux marchés réglementés pour gérer le risque cyber. Il procède à une suppression du c du I de l'article 47 de la directive MIF 2, et réécrit le b du I de sorte que les marchés réglementés doivent prévoir de gérer le risque TIC conformément au chapitre II du règlement (UE) 2022/2554 du 14 décembre 2022, dit « DORA »^90(*), lequel satisfait les conditions prévues par l'ancien c du I.

II. LE DISPOSITIF PROPOSÉ : LA SOUMISSION DES ENTREPRISES DE MARCHÉS AUX EXIGENCES DE MOYENS ET D'ORGANISATION PRÉVUS PAR LE PAQUET « DORA » POUR ASSURER LEUR RÉSILIENCE FACE AU RISQUE CYBER

Le présent article prévoit de modifier l'article L. 421-11 du code monétaire et financier de façon à intégrer dans le droit français les exigences prévues par l'article 47 de la directive « MIF 2 » dans sa rédaction issue de la directive « DORA ».

Il modifie ainsi le 2 du I de l'article L. 421-11 pour prévoir que les entreprises de marché doivent disposer en permanence des moyens, d'une organisation et de procédures de suivi adéquats permettant de gérer les risques auxquels elle est exposée, y compris les risques liés aux technologies de l'information et de la communication conformément au chapitre II du règlement « DORA ». Il procède également, par parallélisme avec la nouvelle rédaction de l'article 47 de la directive « MIF 2 », à la suppression du 4 du I.

Il contient également des mesures de coordination avec ces dispositions, au sein de l'article L. 421-11 lui-même ainsi qu'à l'article L. 421-4.

III. LA POSITION DE LA COMMISSION : UNE ÉVOLUTION NÉCESSAIRE POUR RACCROCHER LA GESTION DU RISQUE CYBER PAR LES ENTREPRISES DE MARCHÉ AUX CRITÈRES PRÉVUS PAR LE RÈGLEMENT « DORA »

Le présent article constitue une transposition nécessaire du droit européen en matière de gestion du risque cyber par les entreprises de marché, dont la résilience face aux cyberattaques et, plus généralement, au risque « TIC » doit être assurée, leur rôle dans le fonctionnement d'une économie de marché étant incontournable. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^91(*).

La commission spéciale a adopté un amendement rédactionnel COM-127 du rapporteur Michel Canévet.

Décision de la commission : la commission a adopté l'article ainsi modifié.

Article 46

Références aux risques liés aux technologies de l'information et de la communication au sein des dispositifs de gestion des risques des établissements de crédit et des sociétés de financement

I. LE DROIT EXISTANT : LES ÉTABLISSEMENTS DE CRÉDITS ET LES SOCIÉTÉS DE FINANCEMENT SONT SOUMIS À UN DISPOSITIF DE SURVEILLANCE PRUDENTIELLE EN APPLICATION DU DROIT DE L'UNION

A. LA DIRECTIVE SECTORIELLE « CRD » DU 26 JUIN 2013 FIXE, NOTAMMENT EN MATIÈRE DE RISQUE OPÉRATIONNEL, UN CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT

La directive 2013/36/UE du 26 juin 2013 concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement^92(*), ou directive « CRD »^93(*), est une directive sectorielle ayant pour objet de fixer au sein de l'Union européenne un régime homogène en matière d'accès à l'activité des banques et à l'exercice de cette activité.

Adoptée dans le cadre d'un paquet législatif élaboré en réaction à la crise économique et financière de 2008, la directive CRD renforce le cadre de surveillance prudentielle applicable au secteur bancaire. À ce titre, elle fixe les principales règles applicables en matière de surveillance prudentielle des établissements de crédit par les autorités nationales compétentes et détermine les pouvoirs et outils de surveillance dont ces autorités disposent.

En particulier, en premier lieu, le 2 de l'article 85 de la directive CRD prévoit que les autorités compétentes^94(*) veillent à ce que les établissements de crédit disposent de « plans d'urgence et de poursuite de l'activité » dont l'objet est d'assurer la capacité des établissements à limiter leur perte et à poursuivre leur activité en cas de matérialisation d'un risque opérationnel.

En second lieu, le 1 de l'article 97 de la directive CRD prévoit que les autorités compétentes évaluent l'exposition des établissements de crédit à plusieurs catégories de risque en vue d'apprécier la couverture de ces risques par les établissements de crédit.

B. LE CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT, NOTAMMENT EN MATIÈRE DE RISQUE OPÉRATIONNEL, A ÉTÉ TRANSPOSÉ EN DROIT NATIONAL DANS LE CODE MONÉTAIRE ET FINANCIER

Le cadre européen de surveillance prudentielle applicable au secteur bancaire a notamment été transposé en droit national par l'ordonnance du 20 février 2014 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière financière^95(*).

En particulier, en matière de risque opérationnel, l'article L. 511-41-1 B du code monétaire et financier prévoit en premier lieu que les établissements de crédit et les sociétés de financement mettent en place des dispositifs, stratégies et procédure pour détecter et gérer le risque opérationnel (alinéa 2).

En second lieu, l'alinéa 5 du même article prévoit que les établissements de crédit et les sociétés de financement doivent établir des plans d'urgence et de poursuite de leur activité.

C. LA DIRECTIVE « DORA » DU 14 DÉCEMBRE 2022 A MIS À JOUR LE CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT EN MATIÈRE DE RISQUE OPÉRATIONNEL POUR TENIR COMPTE DES RISQUES SPÉCIFIQUES LIÉS AUX TECHNOLOGIES DE L'INFORMATION ET DE LA COMMUNICATION (TIC)

La directive (UE) 2022/2556 du 14 décembre 2022^96(*), ou « directive DORA »^97(*), prévoit plusieurs dispositions de mise à jour de la directive sectorielle CRD.

En particulier, l'article 4 de la directive DORA prévoit d'actualiser le cadre de surveillance prudentielle fixé par la directive CRD.

En premier lieu, le 2 de l'article 85 de la directive CRD est modifié pour prévoit expressément que les autorités compétentes veillent à ce que les établissements de crédit disposent, dans le cadre de leur politiques et plans d'urgence et de poursuite de l'activité, de politiques et plans en matière de continuité des activités de technologies de l'information et de la communication (TIC) et des plans de réponse et de rétablissement des TIC.

En second lieu, un d est ajouté au 1 de l'article 97 de la directive CRD pour prévoir l'évaluation par les autorités compétentes des risques opérationnels mis en évidence par des tests de résilience opérationnelle numérique prévus par le règlement (UE) 2022/2554 du 14 décembre 2022, ou « règlement DORA »^98(*).

II. LE DISPOSITIF PROPOSÉ : LE PROJET DE LOI TRANSPOSE DANS LE DROIT NATIONAL LA MISE À JOUR, EN MATIÈRE DE RISQUE OPÉRATIONNEL, DU CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT ET ÉTEND SON APPLICATION AUX SOCIÉTÉS DE FINANCEMENT

L'article 46 du projet de loi transpose la mise à jour du cadre prudentielle applicable aux établissements de crédit en matière de risque opérationnel et étend cette mise à jour aux sociétés de financement.

En premier lieu, l'article 46 prévoit la modification des deuxième et cinquième alinéas de l'article L. 511-41-1 B du code monétaire et financier pour prévoir, d'une part, que les stratégies de gestion des risques tiennent spécifiquement compte des risques liés aux technologies de l'information et de la communication au sens du règlement DORA et des risques mis en évidence par les tests de résilience opérationnelle numérique prévus par le règlement DORA et, d'autre part, que les plans d'urgence et de poursuite de l'activité comprennent des plans de réponse et de rétablissement des technologies de l'information et de la communication.

En second lieu, en procédant à cette modification du cadre prudentiel applicable aux établissements de crédit, le projet de loi impose les mêmes obligations actualisées en matière de risque opérationnel aux sociétés de financement qui sont assujetties aux obligations fixées par l'article L. 511-41-1 B du code monétaire et financier.

III. LA POSITION DE LA COMMISSION : L'APPLICATION DU CADRE ACTUALISÉ DE SURVEILLANCE PRUDENTIELLE EN MATIÈRE DE RISQUE OPÉRATIONNEL AUX ÉTABLISSEMENTS DE CRÉDIT ET AUX SOCIÉTÉS DE FINANCEMENT RÉPOND À LA NÉCESSITÉ DE TRANSPOSER LE DROIT DE L'UNION ET DE MAINTENIR UN TRAITEMENT HOMOGÈNE ENTRE LES ÉTABLISSEMENTS DE CRÉDIT ET LES SOCIÉTÉS DE FINANCEMENT

A. L'ACTUALISATION DU CADRE PRUDENTIEL APPLICABLE EN MATIÈRE DE RISQUE OPÉRATIONNEL AUX ÉTABLISSEMENTS DE CRÉDIT RÉSULTE DE L'OBLIGATION CONSTITUTIONNELLE DE TRANSPOSITION DU DROIT DE L'UNION

La mise à jour des obligations applicables aux établissements de crédit en matière de risque opérationnel correspond à la transposition de la directive DORA en droit national par la modification du code monétaire et financier. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^99(*).

B. L'EXTENSION DE LA MISE À JOUR DU CADRE PRUDENTIEL APPLICABLE EN MATIÈRE DE RISQUE OPÉRATIONNEL AUX SOCIÉTÉS DE FINANCEMENT EST LÉGITIME AU REGARD DE L'OBJECTIF DE MAINTIEN D'UN TRAITEMENT HOMOGÈNE ENTRE CES DEUX ACTIVITÉS

Les sociétés de financement, qui sont des sociétés qui exercent une activité professionnelle de crédit sans collecter des dépôts, sont soumis en France à un cadre prudentiel équivalent au cadre applicable au secteur bancaire^100(*). Si le droit de l'Union ne prévoit pas d'obligation d'inclure ces sociétés dans le champ d'application du cadre prudentiel applicable aux établissements de crédit défini par la directive CRD, les autorités françaises ont choisi depuis 2013 d'appliquer à ces sociétés, sauf pour certaines obligations spécifiques notamment en matière de liquidité et de levier, les mêmes obligations prudentielles que celles applicables au secteur bancaire.

Ce choix est fondé sur la volonté de permettre aux établissements de crédits de bénéficier d'un régime favorable pour leurs expositions sur les sociétés de financement dans le cadre du calcul déterminant leur respect des exigences de fonds propres applicables aux établissements de crédit.

En effet, l'article 119 du « règlement CRR »^101(*) du 26 juin 2013^102(*) prévoit que, dans le cadre du calcul des ratios de fonds propres soumis aux exigences prudentielles applicables aux établissements de crédit, les expositions sur les établissements financiers qui, sans entrer dans le champ du règlement, sont soumis à l'agrément et à la surveillance des autorités compétentes et respectent « des exigences prudentielles comparables » à celles applicables au secteur bancaire sont traitées comme des expositions sur les établissements de crédit.

Par suite, l'extension de la mise à jour du cadre prudentiel en matière de risque opérationnel est justifiée par le fait qu'elle permet de maintenir des exigences prudentielles homogènes entre les établissements de crédit et les sociétés de financement, ce qui permet de garantir le maintien d'un régime favorable pour les expositions sur les sociétés de financement dans le cadre du respect des exigences fixées par le règlement CRR.

Décision de la commission : la commission spéciale a adopté cet article sans modification.

Article 47

Références aux réseaux et systèmes d'information au sein des exigences de contrôle interne des établissements de crédit et des sociétés de financement

I. LE DROIT EXISTANT : LES ÉTABLISSEMENTS DE CRÉDIT ET LES SOCIÉTÉS DE FINANCEMENT ONT L'OBLIGATION DE DISPOSER D'UN CADRE DE GOUVERNANCE SOLIDE EN APPLICATION DU DROIT DE L'UNION

A. LA DIRECTIVE SECTORIELLE « CRD » DU 26 JUIN 2013 FIXE, UN CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT

La directive 2013/36/UE du 26 juin 2013 concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement^103(*), ou directive « CRD »^104(*), est une directive sectorielle ayant pour objet de fixer au sein de l'Union européenne un régime homogène en matière d'accès à l'activité des banques et à l'exercice de cette activité.

Adoptée dans le cadre d'un paquet législatif élaboré en réaction à la crise économique et financière de 2008, la directive CRD renforce le cadre de surveillance prudentielle applicable au secteur bancaire. À ce titre, la directive CRD fixe les principales règles applicables en matière de surveillance prudentielle des établissements de crédit par les autorités nationales compétentes et de pouvoirs et outils de surveillance dont ces autorités disposent.

En particulier, le 1 de l'article 74 de la directive CRD prévoit l'obligation pour les établissements de crédit de disposer « d'un dispositif solide de gouvernance d'entreprise » qui doit comprendre notamment une structure organisationnelle claire, des processus efficaces de gestion des risques et des mécanismes adéquats de contrôle interne.

B. LE CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT, NOTAMMENT EN MATIÈRE DE GOUVERNANCE, A ÉTÉ TRANSPOSÉ EN DROIT NATIONAL DANS LE CODE MONÉTAIRE ET FINANCIER

Le cadre européen de surveillance prudentielle applicable au secteur bancaire a notamment été transposé en droit national par l'ordonnance du 20 février 2014 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière financière^105(*).

En particulier, en matière de gouvernance des établissements de crédit, l'article L. 511-55 du code monétaire et financier prévoit que ces établissements ont l'obligation de disposer d'un dispositif de gouvernance solide comprenant notamment une organisation claire, des procédures efficaces de gestion des risques et d'un dispositif adéquat de contrôle interne.

C. LA DIRECTIVE « DORA » DU 14 DÉCEMBRE 2022 A MIS À JOUR LE CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT EN MATIÈRE D'OBLIGATIONS RELATIVES À LA GOUVERNANCE POUR TENIR COMPTE DES RISQUES SPÉCIFIQUES LIÉS AUX TECHNOLOGIES DE L'INFORMATION ET DE LA COMMUNICATION (TIC)

La directive (UE) 2022/2556 du 14 décembre 2022^106(*), ou « directive DORA »^107(*), prévoit plusieurs dispositions de mise à jour de la directive sectorielle CRD.

À ce titre, l'article 4 de la directive DORA prévoit d'actualiser le cadre de surveillance prudentielle fixé par la directive CRD.

En particulier, le 1 de l'article 74 de la directive CRD, qui fixe les obligations des établissements de crédit en matière de gouvernance, a été modifié pour inclure dans les obligations à la charge des établissements concernés celle d'inclure dans le dispositif de gouvernance des établissements « des réseaux et des systèmes d'information qui sont mis en place et gérés conformément au règlement (UE) 2022/2554 ».

II. LE DISPOSITIF PROPOSÉ : LE PROJET DE LOI TRANSPOSE DANS LE DROIT NATIONAL LA MISE À JOUR, EN MATIÈRE DE GOUVERNANCE, DU CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT ET ÉTEND SON APPLICATION AUX SOCIÉTÉS DE FINANCEMENT

L'article 47 du projet de loi transpose la mise à jour du cadre prudentiel applicable aux établissements de crédit en matière de risque opérationnel et étend cette mise à jour aux sociétés de financement.

En premier lieu, l'article 47 prévoit la modification du premier alinéa de l'article L. 511-55 du code monétaire et financier pour prévoir que les établissements de crédit ont l'obligation de se doter d'un dispositif de gouvernance solide comprenant notamment des réseaux et des systèmes d'information mis en place et gérés conformément au règlement DORA^108(*).

En second lieu, en procédant à cette modification du cadre prudentiel applicable aux établissements de crédit, le projet de loi impose les mêmes obligations actualisées en matière de gouvernance aux sociétés de financement qui sont assujetties aux obligations fixées par l'article L. 511-55 du code monétaire et financier.

III. LA POSITION DE LA COMMISSION SPÉCIALE : L'APPLICATION DU CADRE ACTUALISÉ DE SURVEILLANCE PRUDENTIELLE EN MATIÈRE DE GOUVERNANCE AUX ÉTABLISSEMENTS DE CRÉDIT ET AUX SOCIÉTÉS DE FINANCEMENT RÉPOND À LA NÉCESSITÉ DE TRANSPOSER LE DROIT DE L'UNION ET DE MAINTENIR UN TRAITEMENT HOMOGÈNE ENTRE LES ÉTABLISSEMENTS DE CRÉDIT ET LES SOCIÉTÉS DE FINANCEMENT

C. L'ACTUALISATION DU CADRE PRUDENTIEL APPLICABLE EN MATIÈRE DE GOUVERNANCE AUX ÉTABLISSEMENTS DE CRÉDIT RÉSULTE DE L'OBLIGATION CONSTITUTIONNELLE DE TRANSPOSITION DU DROIT DE L'UNION

La mise à jour des obligations applicables aux établissements de crédit en matière de risque opérationnel correspond à la transposition de la directive DORA en droit national par la modification du code monétaire et financier. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^109(*).

D. L'EXTENSION DE LA MISE À JOUR DU CADRE PRUDENTIELLE APPLICABLE EN MATIÈRE DE GOUVERNANCE AUX SOCIÉTÉS DE FINANCEMENT EST LÉGITIME AU REGARD DE L'OBJECTIF DE MAINTIEN D'UN TRAITEMENT PRUDENTIEL HOMOGÈNE ENTRE CES DEUX ACTIVITÉS ET DU PRINCIPE DE PROPORTIONNALITÉ APPLICABLE À CE DISPOSITIF DE GOUVERNANCE

Les sociétés de financement, qui sont des sociétés qui exercent une activité professionnelle de crédit sans collecter des dépôts, sont soumis en France à un cadre prudentiel équivalent au cadre applicable au secteur bancaire^110(*). Si le droit de l'Union ne prévoit pas d'obligation d'inclure ces sociétés dans le champ d'application du cadre prudentiel applicable aux établissements de crédit défini par la directive CRD, les autorités françaises ont choisi depuis 2013 d'appliquer à ces sociétés, sauf pour certaines obligations spécifiques notamment en matière de liquidité et de levier, les mêmes obligations prudentielles que celles applicables au secteur bancaire.

Ce choix est fondé sur la volonté de permettre aux établissements de crédits de bénéficier d'un régime favorable pour leurs expositions sur les sociétés de financement dans le cadre du calcul déterminant leur respect des exigences de fonds propres applicables aux établissements de crédit.

En effet, l'article 119 du « règlement CRR »^111(*) du 26 juin 2013^112(*) prévoit que, dans le cadre du calcul des ratios de fonds propres soumis aux exigences prudentielles applicables aux établissements de crédit, les expositions sur les établissements financiers qui, sans entrer dans le champ du règlement, sont soumis à l'agrément et à la surveillance des autorités compétentes et respectent « des exigences prudentielles comparables » à celles applicables au secteur bancaire sont traitées comme des expositions sur les établissements de crédit.

Par surcroît, l'obligation de disposer d'un dispositif de gouvernance solide consacrée par l'article L. 511-55 du code monétaire et financier est appliquée en tenant compte d'un principe de proportionnalité. En effet, le dernier alinéa de cet article dispose que le dispositif de gouvernance « est adapté à la nature, à l'échelle et à la complexité des risques inhérents » au modèle d'entreprise et à ses activités. Ce principe de proportionnalité limite le risque que des sociétés de financement soit soumises, au titre de cet article, à des obligations disproportionnées au regard de leur taille et des risques qu'elles représentent.

Par suite, l'extension de la mise à jour du cadre prudentiel en matière de gouvernance est justifiée par le fait que les obligations pesant sur les sociétés de financement seront proportionnées à leurs risques et qu'elle permet de maintenir des exigences prudentielles homogènes entre les établissements de crédit et les sociétés de financement, ce qui permet de garantir le maintien d'un régime favorable pour les expositions sur les sociétés de financement dans le cadre du respect des exigences fixées par le règlement CRR.

Décision de la commission : la commission spéciale a adopté cet article sans modification.

Article 48

Obligations des prestataires de services de paiement en matière de gestion du risque lié aux technologies de l'information et de la communication

I. LE DROIT EXISTANT : UNE OBLIGATION GÉNÉRALE POUR LES PRESTATAIRES DE SERVICES DE PAIEMENT DE METTRE EN PLACE UN CADRE POUR LA GESTION DES RISQUES INFORMATIQUES

L'article L. 521-9 du code monétaire et financier (CMF) prévoit l'obligation pour les prestataires de services de paiement de mettre en place des mesures d'atténuation et des mécanismes de contrôle appropriés en vue de gérer les risques opérationnels et de sécurité liés aux services de paiement qu'ils fournissent. Cette obligation a été insérée dans le code monétaire et financier à l'occasion de la transposition de l'article 95 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite « DSP2 »)^113(*).

Les dispositions de l'article L. 521-9 du CMF sont précisées par le titre VI bis de l'arrêté du 3 novembre 2014 sur le contrôle interne^114(*). Les prestataires de service de paiement doivent établir et maintenir des procédures efficaces de gestion des incidents, y compris pour la détection et la classification des incidents opérationnels et de sécurité majeurs.

Ces procédures de gestion des incidents, intégrées aux procédures globales de gestion des risques des prestataires de services de paiement, doivent permettre à l'établissement concerné d'identifier, de mesurer, de suivre et de gérer l'ensemble des risques résultant des activités liées au paiement du prestataire de services de paiement et auxquels est exposé ce prestataire, notamment en matière de continuité des activités. Elles comprennent notamment le document relatif à la politique de sécurité, et doivent définir et attribuer les principaux rôles et responsabilités, ainsi que le système de déclaration pertinents nécessaires pour faire appliquer les mesures de sécurité et pour gérer les risques opérationnels et de sécurité.

II. LE DISPOSITIF PROPOSÉ : LE PROJET DE LOI PRÉVOIT QUE LES PRESTATAIRES DE SERVICES DE PAIEMENT SE CONFORMENT AUX EXIGENCES DU CHAPITRE II DU RÈGLEMENT DORA SUR LA GESTION DU RISQUE LIÉ AUX TIC

Le présent article prévoit de modifier l'article L. 521-9 du code monétaire et financier afin de transposer l'article 7 (4) de la directive DORA.

L'article 7 (4) de la directive DORA prévoit de compléter l'article 95 de la DSP2, qui fixe une obligation générale de mise en place d'un cadre pour la gestion des risques informatiques. Il vise à préciser qu'outre ces dispositions générales, les prestataires de services de paiement doivent se conformer aux exigences - plus précises - contenues dans le chapitre II du règlement DORA^115(*), consacré à la gestion du risque lié aux TIC.

Comme déjà rappelé, le chapitre II du règlement DORA prévoit un cadre harmonisé de gestion du risque lié aux TIC que les entités financières doivent intégrer pour parer au risque lié aux TIC de manière rapide, efficiente et exhaustive, et garantir un niveau élevé de résilience opérationnelle numérique.

Ces mesures à mettre en place par les entités concernées comprennent notamment :

· la mise en place d'un cadre de gouvernance et de contrôle interne, ainsi qu'une stratégie de résilience opérationnelle numérique. Ce cadre de gestion des risques doit par exemple comprendre des systèmes, protocoles et outils de TIC qui doivent être tenus à jour ;

· l'identification de toutes les sources de risques liés aux TIC et l'évaluation de ces risques selon une classification devant être revue à minima une fois par an ;

· l'élaboration d'une politique de sécurité de l'information qui définit des règles visant ;

· l'instauration d'une politique complète de continuité des activités de TIC, ainsi que des procédures de sauvegarde, de restauration et de rétablissement. Cette politique comprend par exemple des tests à effectuer au moins une fois par an. 

L'article L. 521-9 du code monétaire et financier est ainsi complété pour préciser que les prestataires de services de paiement se conforment également aux exigences du chapitre II du règlement DORA, qui porte sur la gestion du risque lié aux TIC.

III. LA POSITION DE LA COMMISSION : UN AJOUT NÉCESSAIRE POUR TENIR COMPTE EN DROIT INTERNE DE L'ADOPTION DU RÈGLEMENT DORA

Le présent article permet de tirer les conséquences en droit interne de l'adoption des dispositions du chapitre II du règlement DORA, qui sont d'application directe. Il permet de compléter l'article L. 521-9 du code monétaire et financier pour préciser que les prestataires de services de paiement doivent de se conformer aux exigences en matière de gestion des risques TIC prévues par le chapitre II du règlement DORA.

Décision de la commission : la commission a adopté l'article sans modification.

Article 49 A
Extension de l'application du règlement DORA aux succursales d'entreprises d'investissement de pays tiers

I. LE DROIT EXISTANT : LE RÈGLEMENT DORA S'IMPOSE AUX ENTREPRISES D'INVESTISSEMENT DONT LE SIÈGE EST DANS L'UNION EUROPÉENNE MAIS PAS AUX SUCCURSALES D'ENTREPRISES DE PAYS TIERS

Suivant la définition donnée par l'article L. 531-4 du code monétaire et financier, les entreprises d'investissement sont des personnes morales autres que les établissements de crédit, qui ont pour profession habituelle et principale de fournir des services d'investissement.

Les succursales des entreprises d'investissement de pays tiers sont régies par l'article L. 532-48 du code monétaire et financier. Cet article précise notamment les conditions à remplir pour que l'ACPR délivre l'agrément d'une succursale d'entreprise d'investissement de pays tiers en France.

L'article L. 532-50 du code monétaire et financier précise que les succursales agréées d'entreprises d'investissement de pays tiers doivent respecter plusieurs dispositions prudentielles, notamment celles définies par le règlement du 27 novembre 2019 sur les exigences prudentielles applicables aux entreprises d'investissement^116(*) ou encore certaines obligations du règlement du 15 mai 2024 sur les marchés d'instruments financier^117(*).

L'article 2 du règlement DORA^118(*) inclue les entreprises d'investissement dans le champ d'application des entités financières couvertes par le règlement^119(*). En revanche, le règlement ne donne pas d'indication concernant l'application ou non de la règlementation DORA aux succursales d'entreprises d'investissement de pays tiers.

II. LE DISPOSITIF PROPOSÉ : ÉTENDRE L'APPLICATION DE DORA AUX SUCCURSALES D'ENTREPRISES D'INVESTISSEMENT DE PAYS TIERS

En l'état actuel, les succursales d'entreprises d'investissement de pays tiers ne sont pas tenues d'appliquer les exigences du règlement DORA. Or, pour des raisons d'égalité de traitement, ces succursales devraient être soumises aux mêmes standards que tout autre acteur financier délivrant des services d'investissement en France.

Cet article additionnel, introduit par un amendement COM-129 du rapporteur Michel Canévet, permet d'assurer une égalité de traitement entre toutes les entreprises d'investissement établies en France, et de garantir ainsi un renforcement de la résilience cyber et informatique des entités financières présentes en France.

De plus cette mesure est cohérente avec l'approche historique portée à travers cet article L. 532-50 du code monétaire et financier, pour intégrer les dispositions prudentielles qui s'appliquaient aux entreprises d'investissement.

Décision de la commission : la commission a adopté l'article additionnel.

Article 49
Modifications de la liste des prestataires de services de paiement soumis à une obligation de notification des incidents opérationnels

I. LE DROIT EXISTANT : UNE OBLIGATION DE NOTIFICATION DES INCIDENTS OPÉRATIONNELS ET DE SÉCURITÉ LIÉS AU PAIEMENT EXISTE DÉJÀ EN DROIT INTERNE, DU FAIT DE LA TRANSPOSITION DE LA DSP2

L'article L. 521-10 du code monétaire et financier (CMF) prévoit que les prestataires de services de paiement doivent informer sans retard injustifié l'Autorité de contrôle prudentiel et de résolution (ACPR) de tout incident opérationnel majeur et la Banque de France en cas d'incident de sécurité majeur.

Ces obligations de notification ont été inscrites dans le CMF à la suite de la transposition de l'article 96 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite « DSP2 »)^120(*).

Lorsque l'incident a ou est susceptible d'avoir des répercussions sur les intérêts financiers de ses utilisateurs de services de paiement, le prestataire de services de paiement informe sans retard injustifié ses utilisateurs de services de paiement de l'incident et de toutes les mesures disponibles qu'ils peuvent prendre pour atténuer les effets dommageables de l'incident. Dès réception de ces notifications, l'ACPR ou la Banque de France communique sans retard injustifié les détails importants de l'incident à l'Autorité bancaire européenne et à la Banque centrale européenne, et, après avoir évalué la pertinence de l'incident pour d'autres autorités nationales concernées, informe celles-ci en conséquence.

Pour rappel, l'article L. 521-1 du CMF distingue deux catégories de prestataires de services de paiement. La première regroupe les établissements de paiement, les établissements de monnaie électronique, les établissements de crédit et les prestataires de services d'information sur les comptes. La seconde rassemble des institutions publiques qui peuvent fournir des services de paiement : la Banque de France, l'Institut d'émission des départements d'outre-mer et l'Institut d'émission d'outre-mer, le Trésor public et la Caisse des dépôts et consignations^121(*). Ces deux catégories de prestataires de services de paiement sont soumises aux obligations de notification des incidents opérationnels prévues par la DSP2.

II. LE DISPOSITIF PROPOSÉ : LE PROJET DE LOI PRÉVOIT DE RESTREINDRE LES OBLIGATIONS DE NOTIFICATION PRÉVUES PAR LA DSP2 AUX PRESTATAIRES DE SERVICES DE PAIEMENT QUI NE SONT PAS DES ENTITÉS FINANCIÈRES AU SENS DE DORA

Le présent article prévoit de modifier l'article L. 521-10 du code monétaire et financier afin de permettre la transposition de l'article 7 (5) de la directive DORA.

L'article 7 (5) de la directive DORA exclut du champ de l'obligation de notification des incidents au titre du DSP2 les prestataires de services de paiement qui constituent des entités financières au sens du règlement DORA^122(*). Les notifications au titre de DORA sont réputées satisfaire les obligations de notifications au titre de la DSP2, ce qui évite ainsi un doublon en matière de déclaration.

Dès lors, le présent article prévoit de limiter aux prestataires de services de paiement qui ne sont pas des entités financières au sens de DORA, à savoir les institutions publiques listées au II de l'article L521-1 du CMF, les obligations de notification des incidents au titre de la DSP2. Les entités financières au sens de DORA quant à elles n'ont pas à se conformer à ces exigences puisqu'elles sont soumises à des exigences équivalentes avec la règlementation DORA.

III. LA POSITION DE LA COMMISSION : UNE NÉCESSAIRE RÉÉCRITURE COMPLÈTE DE L'ARTICLE POUR CLARIFIER LES EXIGENCES DE NOTIFICATION ET DÉSIGNER L'ACPR COMME POINT D'ENTRÉE UNIQUE

A. UN BESOIN DE SIMPLIFICATION, QUI DOIT PASSER PAR UNE FUSION DES DÉCLARATIONS D'INCIDENTS PRÉVUES PAR LA DSP2 ET PAR DORA

Le présent article du projet de loi est source de complexité et de confusion. Il maintient de fait une distinction entre les obligations de notification au titre de la DSP2 et celles au titre de DORA. Or, l'article 23 du règlement DORA permet de fusionner ces obligations de reporting^123(*) pour les entités qui sont soumises à ces doubles obligations, à savoir les entités financières au sens de Dora. Il est donc proposé une récriture complète de l'article L. 521-10 du code monétaire et financier afin d'y intégrer la référence au règlement DORA du 14 décembre 2022 (ce qui n'est pas le cas dans le présent article) et de permettre la fusion pour ces entités des exigences de notification DORA et celles prévues par la DSP2.

En complément, l'amendement COM-128 du rapporteur Michel Canévet permet de préciser que les déclarations d'incidents se font conformément aux conditions prévues par l'article 19 du règlement DORA, sauf pour les institutions publiques, qui n'entrent pas dans le champ de DORA, et qui sont listées au II de l'article L. 521-1 du CMF. Comme rappelé, ces institutions comprennent la Banque de France, l'Institut d'émission des départements d'outre-mer et l'Institut d'émission d'outre-mer, le Trésor public et la Caisse des dépôts et consignations.

L'amendement du rapporteur exclut néanmoins la Caisse des dépôts et consignations (CDC) des entités publiques qui ne sont pas soumises à DORA. Autrement dit, à la différence des autres institutions du II de l'article L. 521-1 du CMF, la Caisse des dépôts et consignations serait assujettie aux exigences de notification prévues dans DORA. La direction générale du Trésor et l'ACPR ont indiqué au rapporteur qu'il était en effet prévu de soumettre la CDC à ces exigences de DORA, par une future modification du décret régissant son cadre prudentiel. Une refonte du décret n°2020-94 du 5 février 2020 relatif au contrôle interne et externe de la CDC est actuellement en cours (son adoption prévue au printemps) et devrait prévoir l'application de DORA à la CDC ainsi que les adaptations nécessaires.

B. LA NÉCESSITÉ D'UN POINT D'ENTRÉE UNIQUE POUR LA NOTIFICATION PAR LES ENTITÉS FINANCIÈRES DES INCIDENTS LIÉS AU PAIEMENT

Dans sa rédaction actuelle et dans la rédaction proposée par l'article 49 du projet de loi, l'article L. 521-10 du code monétaire et financier maintient la distinction entre les incidents de sécurité majeurs - qui doivent être notifiés à la Banque de France - et les incidents opérationnels majeurs - qui doivent être déclarés à l'ACPR.

L'amendement du rapporteur permet de supprimer cette distinction, afin d'établir l'ACPR comme l'autorité unique recevant les notifications d'incident. Cette disposition permet de simplifier la procédure de notification pour les prestataires de services de paiement, qui n'ont plus à s'interroger sur l'autorité compétente à laquelle transmettre la déclaration d'incident. L'établissement d'un point d'entrée unique est une des demandes exprimées par les prestataires de services de paiement dans le cadre de l'application de la règlementation DORA.

L'amendement du rapporteur précise cependant que l'ACPR communique ces incidents et, le cas échéant, les mesures prises, à la Banque de France aux fins de l'accomplissement par celle-ci de ses missions. La Banque de France reste en effet compétente pour prendre les mesures appropriées s'agissant de la sécurité des systèmes de paiement^124(*).

Décision de la commission : la commission a adopté cet article ainsi modifié.

Article 50

Référence aux réseaux et systèmes d'information au sein des exigences de contrôle et de sauvegarde des prestataires de service d'investissement

I. LE DROIT EXISTANT : LE DROIT INTERNE PRÉVOIT DÉJÀ QUE LES PRESTATAIRES DE SERVICES D'INVESTISSEMENT AUTRES QUE LES SOCIÉTÉS DE GESTION DE PORTEFEUILLE DISPOSENT DE DISPOSITIFS EFFICACES DE CONTRÔLE ET DE SAUVEGARDE DE LEURS SYSTÈMES INFORMATIQUES, SANS POUR AUTANT SE RÉFÉRER AUX EXIGENCES FIXÉES PAR LE PAQUET « DORA »

Aux termes de l'article L. 531-1 du code monétaire et financier, les prestataires de services d'investissement sont des établissements de crédit, des entreprises d'investissement ou des sociétés de gestion de portefeuille ayant reçu un agrément pour fournir des services d'investissement, listés à l'article L. 321-1 du code monétaire et financier^125(*).

L'article L. 533-2 du même code prévoit que les prestataires de services d'investissement (PSI) autres que les sociétés de gestion de portefeuille (SGP) disposent notamment de dispositifs efficaces de contrôle et de sauvegarde de leurs systèmes informatiques, sans qu'il ne soit fait référence à une quelconque réglementation européenne en la matière.

Or l'article 4 de la directive (UE) 2022/2556 du 14 décembre 2022^126(*), dite « DORA », en son deuxième paragraphe, modifie l'article 74 de la directive « CRD »^127(*) relatif à la gouvernance interne des établissements de crédit et des entreprises d'investissement, de façon à prévoir que les réseaux et systèmes d'information soutenant leur dispositif de gouvernance sont mis en place et gérés conformément au règlement (UE) 2022/2554 du 14 décembre 2022, dit règlement « DORA » ^128(*).

II. LE DISPOSITIF PROPOSÉ : LES RÉSEAUX ET SYSTÈMES D'INFORMATION SOUTENANT LA GOUVERNANCE DES PRESTATAIRES DE SERVICES D'INVESTISSEMENT AUTRES QUE LES SOCIÉTÉS DE GESTION DE PORTEFEUILLE DOIVENT ÊTRE MIS EN PLACE ET GÉRÉS CONFORMÉMENT AUX RÈGLEMENT « DORA »

Le présent article modifie l'article L. 533-2 du code monétaire et financier afin de prévoir, comme l'article 47 le prévoit pour les établissements de crédit, que les dispositifs de contrôle et de sauvegarde des systèmes informatiques dont disposent les PSI autre que les SGP incluent les réseaux et systèmes d'information mis en place et gérés conformément au règlement « DORA ». Il s'agit donc d'une transposition, dans le droit interne, de la directive « CRD » dans sa rédaction issue de la directive « DORA ».

III. LA POSITION DE LA COMMISSION : UNE ÉVOLUTION NÉCESSAIRE POUR APPLIQUER LES CRITÈRES PRÉVUS PAR LE RÈGLEMENT « DORA » À LA GESTION DU RISQUE CYBER DES PRESTATAIRES DE SERVICES D'INVESTISSEMENT AUTRES QUE LES SOCIÉTÉS DE GESTION DE PORTEFEUILLE

Le présent article constitue une transposition indispensable du droit européen pour la mise en place d'un cadre de gestion du risque cyber par les établissements de crédit et les entreprises d'investissement, dont la résilience face aux cyberattaques et, plus généralement, au risque « TIC » doit être assurée, leur rôle dans le fonctionnement d'une économie de marché étant incontournable. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^129(*).

Décision de la commission : la commission a adopté cet article sans modification

Article 51

Systèmes de technologies de l'information et de la communication (TIC) et dispositifs de contrôle des prestataires de services d'investissement

I. LE DROIT INTERNE IMPOSE AUX PRESTATAIRES DE SERVICES D'INVESTISSEMENT DES MESURES DESTINÉES À GARANTIR LA CONTINUITÉ ET LA RÉGULARITÉ DE LA FOURNITURE DE CES SERVICES MAIS N'INTÈGRE PAS LES COMPLÉMENTS APPORTÉS PAR LA DIRECTIVE « DORA »

A. SI LES OBLIGATIONS PESANT SUR LES SOCIÉTÉS DE GESTION DE PORTEFEUILLE SONT PLUS LÉGÈRES, L'ENSEMBLE DES PRESTATAIRES DE SERVICES D'INVESTISSEMENT DOIVENT DÉJÀ METTRE EN oeUVRE DES MESURES DESTINÉES À GARANTIR LA CONTINUITÉ ET LA RÉGULARITÉ DE LA FOURNITURE DES SERVICES D'INVESTISSEMENTS

L'article L. 533-10 du code monétaire et financier détermine les règles d'organisation applicables aux prestataires de services d'investissement (PSI)^130(*), et prévoit notamment la mise en place de mesures destinées à empêcher les conflits d'intérêt et à garantir la continuité et la régularité de la fourniture des services d'investissement, notamment lorsqu'elles confient à des tiers des fonctions opérationnelles importantes. Son I vise les sociétés de gestion de portefeuille (SGP) tandis que son II vise les PSI autres que les SGP.

Pour mémoire, les sociétés de gestion de portefeuille sont les personnes morales qui gèrent un ou plusieurs organismes de placement collectif en valeurs mobilières (OPCVM)^131(*) ou bien des fonds d'investissement alternatif (FIA)^132(*), de droit européen ou de droit étranger, ou d'autres placements collectifs^133(*). Les fonds d'investissements alternatifs (en anglais, « hedge funds ») sont encadrés par les articles L. 214-24 à L. 214-190-3-1 du code monétaire et financier : distincts des OPCVM, ils lèvent des capitaux auprès d'un certain nombre d'investisseurs en vue de les investir, dans l'intérêt de ces investisseurs, conformément à une politique d'investissement que ces FIA ou leurs sociétés de gestion définissent^134(*). Très divers, ils regroupent des fonds ouverts à des investisseurs non professionnels (comme les fonds de capital investissement, les organismes de placement collectif immobilier, les sociétés civiles de placement immobilier ou les sociétés d'épargne forestière), des fonds ouverts à des investisseurs professionnels, des fonds d'épargne salariale, et des organismes de financement (organismes de titrisation, mentionnés au I de l'article L. 214-167, et organismes de financement spécialisé).

S'agissant spécifiquement des SGP, les seules obligations, très générales, qui s'imposent à elles en matière de gestion du risque consistent à prendre des mesures raisonnables pour garantir la continuité et la régularité de la fourniture des services d'investissement, notamment lorsqu'elles confient à des tiers des fonctions opérationnelles importantes^135(*).

Ces obligations s'imposent également aux PSI autres que les SGP, mais s'y ajoute la garantie du « caractère satisfaisant » de la fourniture de ces services. La formule usitée pour le recours aux tiers est légèrement plus large : il s'agit des cas où ils leurs confient « des fonctions ou d'autres tâches opérationnelles essentielles ou importantes ». Il est précisé que « dans ce cas, ils prennent des mesures raisonnables pour éviter une aggravation indue du risque opérationnel »^136(*). Les PSI autres que les SGP doivent également disposer de mécanismes de sécurité solides pour garantir la sécurité et l'authentification des moyens de transfert de l'information, réduire au minimum le risque d'altération de données et d'accès non autorisé et empêcher les fuites d'information afin de maintenir en permanence la confidentialité des données^137(*).

B. LA DIRECTIVE « DORA » COMPLÈTE LES OBLIGATIONS DE CONTRÔLE DE L'ENSEMBLE DES PRESTATAIRES D'INVESTISSEMENT POUR GARANTIR LA CONTINUITÉ ET LA RÉGULARITÉ DE LEURS ACTIVITÉS

Or, d'une part, en son paragraphe premier, l'article 1^er de la directive (UE) 2022/2556 du 14 décembre 2022^138(*), dite « DORA », en modifiant l'article 12 de la directive « OPCVM »^139(*), prévoit des dispositions plus précises, que doivent respecter les sociétés de gestion dont l'activité habituelle est la gestion d'organismes de placement collectif de valeurs mobilières (OPCVM) et excluant donc celles qui gèrent des fonds d'investissement alternatifs (FIA). Elles doivent notamment avoir des procédures administratives et comptables saines ainsi que des dispositifs de contrôle et de sauvegarde dans le domaine du traitement électronique des données, y compris en ce qui concerne les réseaux et les systèmes d'information qui sont mis en place et gérés conformément au règlement « DORA ». Ces dispositions ne sont actuellement pas transposées dans le droit français s'agissant des sociétés de gestion de portefeuille concernées.

D'autre part, au a) de son premier paragraphe, l'article 6 de la directive « DORA », en modifiant l'article 16 de la directive « MIF 2 »^140(*), prévoit que les systèmes que doivent utiliser les entreprises d'investissement - c'est-à-dire les PSI autres que les SGP - pour garantir la continuité et la régularité de la fourniture de ses services d'investissement et de l'exercice de ses activités d'investissement incluent les systèmes de technologies de l'information et de la communication mis en place et gérés conformément à l'article 7 du règlement (UE) 2022/2554 du 14 décembre 2022, ou « règlement DORA »^141(*), dit « DORA ». Ce dernier impose aux entités financières d'utiliser et de tenir à jour des systèmes, protocoles et outils de TIC adaptés, fiables, dotés d'une capacité de traitement suffisante et suffisamment résilients sur le plan technologique. Ces dispositions ne sont actuellement pas transposées dans le droit français s'agissant des PSI autres que les SGP.

Au b) du même paragraphe, l'article 6 de la directive « DORA » prévoit que les mécanismes de sécurité dont doivent disposer les entreprises d'investissement assurent la sécurité et l'authentification des moyens de transfert de l'information se conforment aux exigences fixées par le règlement « DORA ».

II. LE DISPOSITIF PROPOSÉ : RENFORCER CONFORMÉMENT AU PAQUET « DORA » LES OBLIGATIONS DES PRESTATAIRES DE SERVICES D'INVESTISSEMENT RELATIVES AU TRAITEMENT ÉLECTRONIQUE DES DONNÉES, À LA CONTINUITÉ DES ACTIVITÉS, À LA SÉCURITÉ ET À L'AUTHENTIFICATION DES TRANSFERTS D'INFORMATIONS

Le présent article vise à transposer dans le droit français les dispositions de la directive « DORA » relatives à l'organisation interne des PSI pour traiter le risque cyber.

Transposant le paragraphe 1^er de l'article 1^er de la directive, le 1° modifie le I de l'article L. 533-10 du code monétaire et financier (CMF) pour prévoir que les SGP, à l'exception de celles qui gèrent certaines catégories de fonds d'investissements alternatifs (FIA dont le volume d'actifs est limité et qui doivent obtenir l'agrément de l'Autorité des marchés financiers, relevant du IV de l'article L. 532-9 du CMF, et organismes de titrisation relevant du I de l'article L. 214-167 du CMF), mettent en place des procédures administratives et comptables saines, des dispositifs de contrôle et de sauvegarde dans le domaine du traitement électronique des données, y compris les réseaux et systèmes d'information mis en place et gérés conformément au règlement « DORA ».

Transposant le a) du paragraphe 1^er de l'article 6 de la directive, le a) du 2° du présent article modifie le II de l'article L. 533-10 du CMF pour prévoir que les systèmes mis en place par les PSI autres que SGP pour garantir la continuité, la régularité et le caractère satisfaisant de la fourniture des services d'investissement sont appropriés et proportionnés et incluent des systèmes de technologies de l'information et de la communication mis en place et gérés conformément à l'article 7 du règlement « DORA ».

Transposant le b) du même paragraphe du même article, le b) du 2° en reprend les termes et prévoit que les mécanismes de sécurité dont doivent disposer les PSI autres que SGP assurent la sécurité et l'authentification des moyens de transfert de l'information se conforment aux exigences fixées par le règlement « DORA ».

III. LA POSITION DE LA COMMISSION : UNE ÉVOLUTION NÉCESSAIRE POUR RACCROCHER LE TRAITEMENT DU RISQUE CYBER PAR LES PRESTATAIRES DE SERVICES D'INVESTISSEMENT AUX CRITÈRES PRÉVUS PAR LE RÈGLEMENT « DORA »

Le présent article constitue une transposition nécessaire du droit européen en matière de traitement technique du risque cyber par les prestataires de service d'investissement, dont la résilience face aux cyberattaques et, plus généralement, au risque « TIC » doit être assurée. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^142(*).

Décision de la commission : la commission a adopté cet article sans modification

Article 52

Systèmes de contrôle des risques mis en oeuvre par les prestataires de services d'investissement autres que les sociétés de gestion de portefeuille qui ont recours à la négociation algorithmique

I. LES OBLIGATIONS DES PRESTATAIRES DE SERVICES D'INVESTISSEMENT AUTRES QUE LES SOCIÉTÉS DE GESTION DE PORTEFEUILLE QUI ONT RECOURS À LA NÉGOCIATION ALGORITHMIQUE EN MATIÈRE DE SUIVI DU RISQUE CYBER ET DE CONTINUITÉ DES ACTIVITÉS NE SONT PAS CONFORMES À LA DIRECTIVE « DORA »

Le trading algorithmique consiste à utiliser des plateformes qui automatisent la saisie des ordres de bourse en laissant un algorithme décider des différents paramètres de l'ordre (prix de saisie, volume des positions, instants d'ouverture et de clôture) en autonomie.

L'article L. 533-10-4 du code monétaire et financier (CMF) prévoit que les prestataires de services d'investissement (PSI) autres que les sociétés de gestion de portefeuille (SGP)^143(*), qui ont recours à la négociation algorithmique, disposent de système et contrôles des risques destinés à garantir, notamment, que leurs systèmes de négociation sont résilients et ont une capacité suffisante (a du 1° de l'article). Il est également prévu qu'ils disposent de plans de continuité des activités efficaces pour faire face à toute défaillance de leurs systèmes de négociation et veillent à ce que ces derniers soient entièrement testés et convenablement suivis de manière à garantir leur conformité aux exigences du présent article (2° de l'article).

Ces dispositions constituent une transposition du premier paragraphe de l'article 17 de la directive « MIF 2 »^144(*) dans sa rédaction en date du 15 mai 2014. Celui-ci a été modifié par le paragraphe 2 de l'article 6 de la directive (UE) 2022/2556 du 14 décembre 2022^145(*), dite « DORA », prévoit la conformité aux exigences fixées au chapitre II du règlement (UE) 2022/2554 du 14 décembre 2022^146(*), dit règlement « DORA » ^147(*), des systèmes et contrôles des risques destinés à garantir la résilience et la capacité des systèmes de négociation. Il prévoit également que les mécanismes de continuité des activités destinés à faire face à toute défaillance des systèmes de négociation inclut une politique et des plans en matière de continuité des activités de TIC et de plans de réponses et de rétablissement des TIC mis en place conformément à l'article 11 du règlement « DORA »^148(*). Il dispose enfin que les systèmes sont testés et suivis pour garantir qu'ils satisfont aux exigences spécifiques fixées aux chapitres II et IV du règlement « DORA »^149(*).

II. LE DISPOSITIF PROPOSÉ : UNE MISE EN CONFORMITÉ AVEC LA PAQUET « DORA » DES OBLIGATIONS EN MATIÈRE DE GESTION DU RISQUE CYBER QUI S'IMPOSENT AUX PRESTATAIRES DE SERVICES D'INVESTISSEMENT AUTRES QUE LES SOCIÉTÉS DE GESTION DE PORTEFEUILLE QUI ONT RECOURS À LA NÉGOCIATION ALGORITHMIQUE

Le présent article vise à transposer dans le droit interne le deuxième paragraphe de l'article 6 de la directive « DORA ».

En son 1°, il modifie ainsi le a) du 1° de l'article L. 533-10-4 du CMF de façon à prévoir la conformité aux exigences fixées au chapitre II du règlement « DORA »^150(*) des systèmes et contrôles des risques destinés à garantir la résilience et la capacité des systèmes de négociation algorithmiques gérés par des PSI autres que des SGP.

En son 2°, il modifie ensuite le 2° du même article de façon à prévoir que les mécanismes de continuité des activités destinés à faire face à toute défaillance des systèmes de négociation incluent une politique et des plans en matière de continuité des activités de TIC et de plans de réponses et de rétablissement des TIC mis en place conformément à l'article 11 du règlement « DORA », et que les systèmes sont testés et suivis pour garantir qu'ils satisfont aux exigences spécifiques fixées aux chapitres II et IV de ce règlement.

III. LA POSITION DE LA COMMISSION : UNE ÉVOLUTION NÉCESSAIRE POUR APPLIQUER LES CRITÈRES PRÉVUS PAR LE RÈGLEMENT « DORA » À LA GESTION DU RISQUE CYBER PAR LES PRESTATAIRES DE SERVICES D'INVESTISSEMENT AUTRES QUE LES SOCIÉTÉS DE GESTION DE PORTEFEUILLE QUI ONT RECOURS À LA NÉGOCIATION ALGORITHMIQUE

Le présent article constitue une transposition nécessaire du droit européen en matière de gestion du risque cyber par les PSI autres que les SGP ayant recours à la négociation algorithmique, lesquels peuvent être particulièrement sensibles aux cyberattaques. Leur résilience face au risque « TIC » doit être assurée. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^151(*).

Décision de la commission : la commission a adopté cet article sans modification

Article 53

Références aux prestataires informatiques critiques au sein des tiers auxquels l'Autorité de contrôle prudentiel et de résolution peut demander toute information

I. LE DROIT EXISTANT : L'AUTORITÉ DE CONTRÔLE PRUDENTIELLE ET DE RÉSOLUTION DISPOSE D'UN LARGE DROIT DE COMMUNICATION DES INFORMATIONS UTILES À L'ACCOMPLISSEMENT DE SES MISSIONS

A. LA DIRECTIVE SECTORIELLE « CRD » DU 26 JUIN 2013 PRÉVOIT QUE LES AUTORITÉS DE SURVEILLANCE PRUDENTIELLE DISPOSENT DE POUVOIRS ÉLARGIS DE CONTRÔLE POUR EXERCER LEURS MISSIONS

La directive 2013/36/UE du 26 juin 2013 concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement^152(*), ou directive « CRD »^153(*), est une directive sectorielle ayant pour objet de fixer au sein de l'Union européenne un régime homogène en matière d'accès à l'activité des banques et à l'exercice de cette activité.

Adoptée dans le cadre d'un paquet législatif élaboré en réaction à la crise économique et financière de 2008, la directive CRD renforce le cadre de surveillance prudentielle applicable au secteur bancaire. À ce titre, la directive CRD fixe les principales règles applicables en matière de surveillance prudentielle des établissements de crédit par les autorités nationales compétentes et de pouvoirs et outils de surveillance dont ces autorités disposent.

En particulier, le 3 de l'article 65 de la directive CRD prévoit que les autorités compétentes sont investies d'un pouvoir de collecte d'informations en application duquel elles peuvent exiger la fourniture de toute information nécessaire à l'accomplissement de leurs missions à plusieurs catégories de personnes physiques et morales dont notamment les tiers auprès desquels les établissements assujettis au contrôle prudentiel ont externalisé des fonctions ou des activités opérationnelles.

B. LE CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT, NOTAMMENT EN MATIÈRE DE DROIT DE COMMUNICATION DE L'AUTORITÉ DE CONTRÔLE PRUDENTIEL ET DE RÉSOLUTION, A ÉTÉ TRANSPOSÉ EN DROIT NATIONAL DANS LE CODE MONÉTAIRE ET FINANCIER

Le cadre européen de surveillance prudentielle applicable au secteur bancaire a notamment été transposé en droit national par l'ordonnance du 20 février 2014 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière financière^154(*).

L'autorité nationale chargée, conjointement avec la Banque centrale européenne, de la surveillance prudentielle du secteur bancaire est l'Autorité de contrôle prudentiel et de résolution (ACPR) qui contrôle le respect par les personnes assujetties au contrôle prudentiel des dispositions européennes qui leur sont directement applicable ainsi que des dispositions du code monétaire et financier^155(*).

Dans ce cadre, en matière de pouvoir de collecte d'information de l'Autorité de contrôle prudentiel et de résolution (ACPR), le troisième alinéa de l'article L. 612-24 du code monétaire et financier consacre un droit de communication élargi du secrétaire général de l'Autorité de contrôle prudentiel et de résolution (SGACPR) qui peut, dans le cadre de l'accomplissement de ses missions, demander « tous renseignements, documents, quel qu'en soit le support, et en obtenir la copie » a plusieurs catégories de personnes dont les tiers auprès desquels des assujettis ont externalisé des fonctions ou activités opérationnelles.

C. LA DIRECTIVE « DORA » DU 14 DÉCEMBRE 2022 A MIS À JOUR LE CADRE DE SURVEILLANCE PRUDENTIELLE EN MATIÈRE DE POUVOIR DE COLLECTE D'INFORMATIONS DES AUTORITÉS DE SURVEILLANCE POUR TENIR COMPTE DES RISQUES SPÉCIFIQUES LIÉS AUX TECHNOLOGIES DE L'INFORMATION ET DE LA COMMUNICATION (TIC)

La directive (UE) 2022/2556 du 14 décembre 2022^156(*), ou « directive DORA »^157(*), prévoit plusieurs dispositions de mise à jour de la directive sectorielle CRD.

À ce titre, l'article 4 de la directive DORA prévoit d'actualiser le cadre de surveillance prudentielle fixé par la directive CRD.

En particulier, le 3 de l'article 65 de la directive CRD, qui fixe la liste des catégories de personnes auprès desquelles les autorités compétentes peuvent exercer leur pouvoir de collecte d'information, est modifié pour mentionner expressément « les prestataires tiers de services TIC » visés au chapitre V du règlement DORA^158(*).

II. LE DISPOSITIF PROPOSÉ : LE PROJET DE LOI PRÉVOIT D'INSCRIRE EXPRESSÉMENT DANS LE DROIT NATIONAL L'INCLUSION DES PRESTATAIRES TIERS DE SERVICES FONDÉS SUR LES TECHNOLOGIES DE L'INFORMATION ET DE LA COMMUNICATION (TIC) DANS LE CHAMP DU POUVOIR DE COLLECTE D'INFORMATIONS DE L'ACPR

L'article 53 du projet de loi transpose la mise à jour du cadre prudentiel en matière de pouvoir de collecte d'informations du secrétaire général de l'Autorité de contrôle prudentiel et de résolution.

À ce titre, l'article 53 prévoit d'insérer au troisième alinéa de l'article L. 612-24 du code monétaire et financier, qui dispose que le SGACPR dispose d'un pouvoir de collecte d'informations auprès des tiers auxquels les assujettis ont externalisé des fonctions ou activités opérationnelles, la mention expresse que ce pouvoir s'applique « y compris [sur] les prestataires tiers, en particulier critiques, des services fondés sur les technologies de l'information et de la communication » visés au chapitre V du règlement DORA^159(*).

III. LA POSITION DE LA COMMISSION SPÉCIALE : LA RÉDACTION ACTUELLE DU CODE MONÉTAIRE ET FINANCIER PERMET DÉJÀ D'INCLURE LES PRESTATAIRES TIERS DE SERVICES FONDÉS SUR LES TECHNOLOGIES DE L'INFORMATION ET DE LA COMMUNICATION (TIC) DANS LE PÉRIMÈTRE DU POUVOIR DE COLLECTE D'INFORMATIONS DE L'ACPR

A. LES PRESTATAIRES TIERS DE SERVICES FONDÉS SUR LES TECHNOLOGIES DE L'INFORMATION ET DE LA COMMUNICATION SONT INCLUS DANS LE PÉRIMÈTRE ACTUEL DU POUVOIR DE COLLECTE D'INFORMATIONS DE L'ACPR

La rédaction actuelle de l'article L. 612-24 du code monétaire et financier consacre la compétence du SGACPR pour demander toute information nécessaire à l'accomplissement de ses missions aux tiers auprès desquels un assujetti au contrôle prudentiel de l'ACPR a externalisé « des fonctions ou des activités opérationnelles ». Ce périmètre à caractère général inclut dans le champ du pouvoir de collecte d'informations de l'ACPR l'ensemble des prestataires tiers répondant au critère d'externalisation. Par suite, les prestataires de services TIC sont déjà couverts par la rédaction actuelle de l'article L. 612-24. Le fait de mentionner une catégorie spécifique de prestataires tiers risquerait, par un effet d'a contrario, de fragiliser cette rédaction large qui permet d'inclure l'ensemble des prestataires dans le cadre d'une externalisation.

B. LA MODIFICATION PROPOSÉE DU CODE MONÉTAIRE ET FINANCIER SE TRADUIRAIT PAR UNE COMPLEXIFICATION DU DROIT SANS MODIFICATION SUBSTANTIELLE DES DISPOSITIONS APPLICABLES

La modification proposée par l'article 53 du projet de loi n'est pas opportune dans la mesure où elle aurait pour effet de complexifier la rédaction de l'article L. 612-24 du code monétaire et financier sans modifier substantiellement le droit applicable.

En premier lieu, l'ajout d'une référence spécifique au règlement DORA dans des dispositions codifiées du droit national a pour effet, en dehors du risque d'effet d'a contrario mentionné ci-dessus, de réduire l'accessibilité du droit en complexifiant la rédaction de l'article L. 612-24 du code monétaire et financier. Il a également pour effet de rendre nécessaire une actualisation de cette référence en cas d'évolution du droit de l'Union.

En second lieu, les prestataires de services TIC sont déjà inclus dans la rédaction actuelle de l'article L. 612-24 du code monétaire et financier qui inclus l'ensemble des prestataires dans le cadre d'une externalisation. L'absence de portée effective de cet article est, du reste, évoquée par le Gouvernement dans l'étude d'impact du projet de loi qui souligne que la modification proposée « ne devrait pas avoir d'impact majeur par rapport à la situation existante »^160(*).

La commission spéciale a donc adopté l'amendement COM-130 du rapporteur Michel Canévet visant à supprimer cet article.

Décision de la commission : la commission spéciale a supprimé cet article.

Article 54

Référence à la résilience opérationnelle numérique au sein des plans préventifs de résolution des établissements de crédit et des sociétés de financement

I. LE DROIT EXISTANT : LES ÉTABLISSEMENTS DE CRÉDITS ET LES ENTREPRISES D'INVESTISSEMENT SONT SOUMIS À UN RÉGIME SPÉCIFIQUE EN MATIÈRE DE PROCÉDURES DE REDRESSEMENT ET DE RÉSOLUTION FIXÉ PAR LE DROIT DE L'UNION

A. LA DIRECTIVE « BRRD » DU 15 MAI 2014 FIXE UN CADRE EUROPÉEN EN MATIÈRE DE PROCÉDURE DE REDRESSEMENT ET DE RÉSOLUTION DES ÉTABLISSEMENTS DE CRÉDIT ET DES ENTREPRISES D'INVESTISSEMENT

La directive 2014/59/UE du 15 mai 2024 concernant les règles pour le redressement et la résolution des établissements de crédit et des entreprises d'investissement^161(*), ou directive « BRRD »^162(*), fixe un régime harmonisé au sein de l'Union en matière de redressement et de résolution dans le secteur bancaire.

Adoptée postérieurement à la crise économique et financière de 2008 dans le cadre de laquelle plusieurs États membres de l'Union sont intervenus financièrement pour soutenir des banques en difficulté, la directive BRRD a pour but d'éviter l'occurrence de renflouement externe, financé par les contribuables, en prévoyant des mécanismes de renflouement interne, dont le coût est supporté en priorité par les actionnaires et les créanciers des établissements bancaires concernés.

À ce titre, la directive prévoit notamment un volet préventif dans le cadre duquel chaque établissement doit établir un plan de redressement et un plan de résolution qui définissent les mesures qui pourront être prise en cas de difficultés financières.

En particulier, l'article 10 prévoit que l'autorité de résolution établisse, pour chaque établissement, un plan de résolution qui définit les mesures pouvant être prises en cas de déclenchement d'une procédure de résolution. Le 7 de l'article 10 dresse une liste d'éléments qui doivent figurer dans le plan de résolution dont une démonstration de la façon dont les fonctions critiques et les activités fondamentales pourraient être séparées des autres fonctions (c) et une description des principaux systèmes et opérations nécessaires à la continuité des processus opérationnels de l'établissement (q).

B. LE RÉGIME DE REDRESSEMENT ET DE RÉSOLUTION DES ÉTABLISSEMENTS DE CRÉDIT ET DES ENTREPRISES D'INVESTISSEMENT, NOTAMMENT EN MATIÈRE DE PLANIFICATION DES MESURES DE RÉSOLUTION, A ÉTÉ TRANSPOSÉ EN DROIT NATIONAL DANS LE CODE MONÉTAIRE ET FINANCIER

Le cadre européen de redressement et de résolution des établissements financiers a notamment été transposé en droit national par l'ordonnance du 20 août 2015 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière financière^163(*).

En particulier, en matière d'établissement des plans préventifs de résolution, l'article L. 613-38 du code monétaire et financier prévoit l'établissement par le collège de résolution d'un plan préventif qui prévoit les mesures de résolution applicables et comprend plusieurs éléments dont une liste est fixée au III de l'article.

L'article L. 613-38 prévoit à ce titre que les plans de résolution comprennent notamment d'une part « un descriptif des modalités selon lesquelles les fonction critiques et activités fondamentales pourraient être juridiquement et économiquement dissociées des autres fonction » en assurant la continuité de l'activité en cas de défaillance (3°) et d'autre part une description des principaux systèmes et opérations permettant d'assurer la continuité des processus opérationnels de l'établissement (17°).

C. LA DIRECTIVE « DORA » DU 14 DÉCEMBRE 2022 A MIS À JOUR LE CADRE DE REDRESSEMENT ET DE RÉSOLUTION DES ÉTABLISSEMENTS BANCAIRES EN MATIÈRE DE PLANIFICATION DES MESURES DE RÉSOLUTION POUR TENIR COMPTE DE LA RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE DES ÉTABLISSEMENTS

La directive (UE) 2022/2556 du 14 décembre 2022^164(*), ou « directive DORA »^165(*), prévoit plusieurs dispositions de mise à jour de la directive BRRD.

À ce titre, l'article 5 de la directive DORA a actualisé le cadre fixé par la directive BRRD.

En particulier, le 7 de l'article 10 de la directive BRRD, qui dresse la liste des éléments que doivent comprendre les plans de résolution, a été mis à jour par la directive DORA.

En premier lieu, le c du 7 est mis à jour pour prévoir que le plan de résolution comprend une démonstration de la façon dont les fonctions critiques et les activités fondamentales peuvent être séparées des autres fonctions en assurant non seulement la continuité des activités fondamentales mais également « la résilience opérationnelle numérique » en cas de défaillance de l'établissement.

En second lieu, le q du 7 est mis à jour pour prévoir que le plan de résolution comprend une description des principaux systèmes et opérations garantissant la continuité des processus opérationnels de l'établissement, y compris des réseaux et systèmes d'information visés dans le règlement DORA^166(*).

II. LE DISPOSITIF PROPOSÉ : LE PROJET DE LOI TRANSPOSE DANS LE DROIT NATIONAL LA MISE À JOUR, EN MATIÈRE DE PLANIFICATION DES MESURES DE RÉSOLUTION, DU CADRE DE REDRESSEMENT ET DE RÉSOLUTION DES ÉTABLISSEMENTS BANCAIRES

L'article 54 du projet de loi transpose la mise à jour du régime de redressement et de résolution des établissements bancaires en matière de planification des mesures de résolution.

En premier lieu, le 1° de l'article 54 modifie le 3° du III de l'article L. 613-38 du code monétaire et financier pour prévoir que les plans de résolution comprennent un descriptif des modalités de séparation des activités fondamentales et des autres activités en assurant non seulement la continuité des activités fondamentales mais également « la résilience opérationnelle numérique ».

En second lieu, le 2° de l'article 54 modifie le 17° du III de l'article L. 613-38 du code monétaire et financier pour prévoir que les plans de résolution comprennent une description des principaux systèmes et opérations nécessaires à la continuité des processus opérationnels de l'établissement, « y compris des réseaux et systèmes d'information » visés dans le règlement DORA^167(*).

III. LA POSITION DE LA COMMISSION SPÉCIALE : L'APPLICATION DU CADRE ACTUALISÉ DE REDRESSEMENT ET DE RÉSOLUTION EN MATIÈRE DE PLANIFICATION DES MESURES DE RÉSOLUTION AUX ÉTABLISSEMENTS DE CRÉDIT ET AUX ENTREPRISES D'INVESTISSEMENT RÉPOND À LA NÉCESSITÉ DE TRANSPOSER LE DROIT DE L'UNION

La mise à jour des obligations applicables aux établissements de crédit et aux entreprises d'investissement en matière de planification des meures de résolution correspond à la transposition de la directive DORA en droit national par la modification du code monétaire et financier. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^168(*). Par suite, la mise à jour du code monétaire et financier prévue par cet article est opportune.

Décision de la commission : la commission spéciale a adopté cet article sans modification.

Article 55

Extension de la liste des autorités habilitées à s'échanger des informations

I. LE DROIT EXISTANT : SEULES L'AMF ET L'ANSSI SONT HABILITÉES À ÉCHANGER LEURS INFORMATIONS EN MATIÈRE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION

Le 4^ème alinéa du II de l'article L. 631-1 du code monétaire et financier (CMF) prévoit que l'Autorité des marchés financiers (AMF) et l'autorité nationale en charge de la sécurité des systèmes d'information (ANSSI) sont habilitées à se communiquer les informations utiles à l'exercice de leurs missions dans le domaine de la sécurité des systèmes d'information.

Ces communications d'informations peuvent prendre la forme de rapports d'incidents ou de menaces cyber, de réunions de crise ou de réunions périodiques de portée plus générale sur l'état de la menace cyber. L'AMF et l'ANSSI sont en contact continu et participent à plusieurs comités et cadres d'échanges d'information (réseau des CSIRT^169(*), EU-SCICF^170(*), Groupe de place Robustesse^171(*)...)

II. LE DISPOSITIF PROPOSÉ : LE PRÉSENT ARTICLE COMPLÈTE LA LISTE DES AUTORITÉS HABILITÉES À S'ÉCHANGER DES INFORMATIONS EN Y AJOUTANT L'ACPR ET LA BANQUE DE FRANCE

L'article 49 du règlement DORA prévoit que les autorités nationales de supervision financière^172(*) doivent coopérer étroitement entre elles et échanger des informations afin de s'acquitter de leurs missions, notamment leurs pouvoirs de surveillance, d'enquête et de sanction prévus à l'article 50 du règlement DORA. Aux termes de l'article 19 du règlement DORA, les entités financières doivent notifier les incidents majeurs liés aux TIC auprès des autorités compétentes nationales. S'agissant des prestataires de services de paiement, les notifications d'incidents doivent ainsi en France être transmises à la Banque de France et à l'ACPR.

Dès lors, le présent article prévoit de compléter le II de l'article L. 631-1 du code monétaire et financier afin d'ajouter la Banque de France et l'Autorité de contrôle prudentiel et de résolution (ACPR) dans la liste des autorités habilitées à s'échanger des informations.

III. LA POSITION DE LA COMMISSION : UN COMPLÉMENT NÉCESSAIRE POUR GARANTIR LE PARTAGE D'INFORMATIONS ENTRE TOUTES LES AUTORITÉS COMPÉTENTES

L'ajout envisagé par le présent article est indispensable du point de vue juridique, afin de lever le secret professionnel, sanctionné pénalement, qui pèse sur l'ACPR et la Banque de France. Le présent article permet d'autoriser l'ACPR et la Banque de France à communiquer leurs informations confidentielles à l'ANSSI dans le cadre de leurs missions liée à DORA.

Ces échanges sont nécessaires, par exemple pour coordonner les réponses à incidents, partager des informations sur les menaces cyber ou organiser des tests d'intrusion fondées sur la menace.

Décision de la commission : la commission a adopté cet article sans modification

Article 56

Adaptations pour rendre applicables en outre-mer les modifications du code monétaire et financier prévues par le présent projet de loi

I. LE DROIT EXISTANT : EN NOUVELLE-CALÉDONIE, EN POLYNÉSIE FRANÇAISE ET À WALLIS-ET-FUTUNA, TOUTE CRÉATION OU MODIFICATION DU CODE MONÉTAIRE ET FINANCIER DOIT ÊTRE RENDUE APPLICABLE PAR MENTION EXPRESSE

Les collectivités du Pacifique relevant de l'article 74 de la Constitution (Polynésie française, îles Wallis-et-Futuna) et la Nouvelle-Calédonie, qui relève de l'article 77 de la Constitution, sont soumises au principe de spécialité législative. Suivant ce principe, les lois et règlements n'y sont applicables que dans les matières relevant statutairement de la compétence de l'État et sur mention expresse d'applicabilité.

Dans ces trois collectivités, l'État est compétent en matière bancaire et financière. Les modifications du code monétaire et financier ne sont donc applicables que sur mention expresse.

Il est alors nécessaire de prévoir une rédaction dite « compteur Lifou »^173(*). Les « compteurs Lifou » constituent une technique de rédaction des dispositions d'application outre-mer des textes législatifs et réglementaires visant à assurer la traçabilité de l'extension des dispositions normatives et de leurs modifications pour les collectivités soumises au principe de spécialité législative.

Suivant cette technique, la disposition du texte applicable dans une collectivité soumise au principe de spécialité est signalée par la mention que ce texte est désormais applicable « dans sa rédaction résultant de la loi (ou du décret) n° ...du ... ». Chaque modification ultérieure est opérée par une modification de la référence du texte. Dans les codes figurent un tableau indiquant, en deux colonnes, pour chaque collectivité concernée, les dispositions du code qui sont étendues et la rédaction dans laquelle elles sont applicables.

Récemment, la loi du 13 juillet 2023 ratifiant les ordonnances relatives à la partie législative du livre VII du code monétaire et financier et portant diverses dispositions relatives à l'outre-mer^174(*) a ainsi rendu applicables dans ces trois territoires, via des mentions expresses, des modifications intervenues dans le code monétaire et financier.

II. LE DISPOSITIF PROPOSÉ : LE PRÉSENT ARTICLE PRÉVOIT DE RENDRE APPLICABLES EN NOUVELLE-CALÉDONIE, EN POLYNÉSIE FRANÇAISE ET A WALLIS-ET-FUTUNA LES MODIFICATIONS INTRODUITES PAR LES ARTICLES 43 À 55 DU PROJET DE LOI

Suivant la technique dite du « compteur Lifou », le présent article prévoit de modifier de nombreuses dispositions du Livre VII du code monétaire et financier consacré aux dispositions relatives à l'outre-mer, afin de rendre applicables les modifications apportées par le projet de loi au code monétaire et financier.

Le présent article permet de rendre applicables en Nouvelle-Calédonie, en Polynésie française et à Wallis-et-Futuna les modifications du code monétaire et financier prévues aux articles 43 à 55 du projet de loi.

Dans le détail, sont concernées les articles L. 712-7, L. 752-10, L.754-8, L. 761-1, L. 762-3, L. 763-3, L. 764-3, L. 762-4, L. 763-4, L. 764-4, L. 771-1, L. 781-1, L. 773-5, L. 774-5, L. 775-5, L. 773-6, L. 774-6, L. 775-6, L. 773-21, L. 774-21, L. 775-15, L. 773-30, L. 774-30 et L. 775-24 du code monétaire et financier. Pour les articles concernés, les modifications sont opérées en actualisant avec la référence du présent projet de loi les tableaux établis au titre du « compteur Lifou ».

III. LA POSITION DE LA COMMISSION : DES MENTIONS EXPRESSES NÉCESSAIRES POUR ASSURER L'APPLICATION DES ARTICLES 43 À 55 DANS CES 3 COLLECTIVITÉS ULTRAMARINES MAIS DES RÉFÉRENCES ERRONÉES À SUPPRIMER

Le présent article permet d'assurer l'application en Nouvelle-Calédonie, en Polynésie française et à Wallis-et-Futuna des modifications du CMF introduites par les articles 43 à 55 du projet de loi.

Si ces modifications sont nécessaires, certaines d'entre elles ne sont pas utiles ou reposent sur des références erronées.

Ainsi, le présent article prévoit de modifier l'article L. 761.1 du code monétaire et financier afin d'y ajouter la référence au règlement DORA du 14 décembre 2022^175(*). Or cette mention figure déjà dans cet article, à la suite de la publication de l'ordonnance n° 2024-936 du 15 octobre 2024 relative aux marchés des crypto-actifs.

De même, le présent article prévoit de modifier les articles L. 771-1 et L. 781-1 du code monétaire et financier afin d'y ajouter la référence au règlement DORA du 14 décembre 2022. Or, cette mention figure déjà dans cet article, à la suite de la publication de l'ordonnance n° 2024-936 du 15 octobre 2024 relative aux marchés des crypto-actifs.

Par ailleurs, le présent article prévoit de modifier l'article L. 785-4 du code monétaire et financier afin de préciser que l'article L. 613-38 est applicable dans les 3 collectivités dans sa rédaction résultant du présent projet de loi, et non plus dans celle issue de l'ordonnance n° 2020-1636 du 21 décembre 2020. Or il s'agit d'une erreur de référence, l'article L. 785-4 ne renvoyant pas à cet article. L'article à modifier est l'article L. 785-3 du code monétaire et financier.

Dès lors, l'amendement n° COM-131 du rapporteur Michel Canévet, adopté par la commission spéciale, propose des modifications afin de corriger ces erreurs de rédaction.

Décision de la commission : la commission a adopté cet article ainsi modifié.

CHAPITRE II
DISPOSITIONS MODIFIANT LE CODE DES ASSURANCES

Article 57

Nouvelles obligations pour les entreprises d'assurance et de réassurance en matière de gouvernance des risques liés à l'utilisation des systèmes d'information

I. LE DROIT EXISTANT : UN ENCADREMENT EUROPÉEN DES ORGANISMES D'ASSURANCE ET DE RÉASSURANCE

A. LES ENTREPRISES D'ASSURANCE ET DE RÉASSURANCE SONT SOUMISES PAR LE DROIT EUROPÉEN À DES OBLIGATIONS PRUDENTIELLES

Les entreprises d'assurance et de réassurance font l'objet d'un encadrement par le droit de l'Union européenne. En l'état du droit, cet encadrement est fixé par la directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009, dite « Solvabilité II »^176(*). La directive, entrée en vigueur en 2016, a permis une clarification et une modernisation du droit européen des assurances. Elle constitue à ce titre un « quasi-code européen des assurances »^177(*) et a été amendée à la marge par la directive dite « Omnibus II »^178(*), principalement au titre des exigences quantitatives de fonds propres qu'elle prévoit.

La directive « Solvabilité II » a permis de réviser le cadre prudentiel des activités d'assurance et de réassurance au sein de l'Union européenne, afin de garantir la solvabilité des organismes d'assurance, définie comme leur capacité financière à faire face à leurs engagements compte tenu des risques auxquels ils sont exposés. Ce cadre prudentiel, inspiré de la réglementation prudentielle applicable aux banques, dite « Bâle III », repose sur trois piliers principaux.

Un premier pilier a instauré des exigences quantitatives concernant le capital des organismes. Chaque organisme d'assurance se voit fixer des niveaux de fonds propres à respecter, selon une approche économique fondée sur le risque. Ces fonds propres permettent de couvrir deux niveaux d'exigence de capital :

- d'une part, le capital minimal requis (Minimum Capital Requirement - MCR), définis comme le niveau minimal de fonds propres en-dessous duquel l'intervention de l'autorité de contrôle est automatique ;

- d'autre part, le capital de solvabilité requis (Solvency Capital Requirement - SCR), défini comme le capital cible nécessaire pour absorber un choc provoqué par un risque majeur. Calculé annuellement et notifié aux autorités de contrôle, il doit permettre à l'entreprise d'assurer pendant un an ses engagements à 95,5 %. Le SCR est calculé selon une formule standard prévue par la directive « Solvabilité II » et le règlement délégué de la Commission européenne du 10 octobre 2014^179(*) ou selon un modèle interne complet ou partiel.

Un deuxième pilier a mis en place, pour les organismes d'assurance et de réassurance, des exigences qualitatives en matière de gouvernance (cf. encadré infra).

Un troisième pilier a imposé aux entreprises d'assurance et de réassurance des exigences de transparence à destination du public et du superviseur. Elles se matérialisent par la publication d'un rapport annuel sur la solvabilité et la situation financière et la remise à l'autorité nationale de contrôle et de supervision d'un rapport régulier.

En droit interne, les obligations introduites par la directive « Solvabilité II » ont été transposées par l'ordonnance n° 2015-378 du 2 avril 2015^182(*) au titre V du livre III du code des assurances, qui regroupe ainsi les principales dispositions prudentielles s'appliquant aux entreprises d'assurance. Plus précisément, les exigences qualitatives en matière de gouvernance applicables aux organismes d'assurance et de réassurance ont été introduites dans ce même code au sein du chapitre IV du titre V du livre III. En particulier :

- l'article L. 354-1 du code des assurances dispose que les entreprises d'assurance et de réassurance mettent en place un « système de gouvernance garantissant une gestion saine et prudente de leur activité et faisant l'objet d'un réexamen interne régulier », comprenant les quatre fonctions de gestion des risques, de vérification de la conformité, d'audit et actuarielle introduites par la directive « Solvabilité II ». Cet article précise que les entreprises élaborent des politiques écrites relatives à la gestion des risques, au contrôle interne, à l'audit interne et, si besoin, à l'externalisation ;

- l'article L. 354-2 du même code précise les obligations attenantes à la mise en place d'un système de gestion des risques ;

- l'article L. 354-3 du même code précise les éléments relatifs à l'externalisation, les entreprises d'assurance et de réassurance conservant l'entière responsabilité du respect des obligations qui leur incombent lorsqu'elles y ont recours.

B. LE RÈGLEMENT DIT « DORA » ET LA DIRECTIVE DU MÊME NOM INTRODUISENT DE NOUVELLES OBLIGATIONS POUR LES ENTREPRISES D'ASSURANCE ET DE RÉASSURANCE EN MATIÈRE DE GOUVERNANCE

La directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022, dite « DORA »^183(*), intègre dans la directive « Solvabilité II » les nouvelles exigences introduites par le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022, dit règlement « DORA »^184(*), et applicables aux organismes d'assurance et de réassurance.

L'article 2 de la directive « DORA » vient ainsi modifier l'article 41 paragraphe 4 de la directive « Solvabilité II », relatif aux obligations de gouvernance et de gestion des risques, pour indiquer que les organismes d'assurance et de réassurance « utilisent des systèmes, des ressources et des procédures appropriés et proportionnés et, en particulier, mettent en place et gèrent des réseaux et des systèmes d'information conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil »^185(*). Le second pilier de la directive « Solvabilité II » se voit donc complété d'un volet relatif à la gestion des risques relatifs aux technologies de l'information et de la communication.

Dans le même sens, l'article 8 de la directive « DORA » modifie le paragraphe 5 de l'article 21 de la directive (UE) 2016/2341 du Parlement européen et du Conseil du 14 décembre 2016^186(*) pour prévoir l'application de cette obligation aux institutions de retraite professionnelle.

Cette obligation de mise en place et de gestion des réseaux et des systèmes d'information conformément au règlement « DORA » recouvre quatre volets.

Premièrement, les entités financières concernées sont tenues de mettre en place un cadre de gouvernance et de contrôle interne garantissant « une gestion efficace et prudente du risque lié aux TIC (...) en vue d'atteindre un niveau élevé de résilience opérationnelle numérique »^187(*).

Deuxièmement, le règlement « DORA » impose aux entités financières une standardisation des mécanismes de détection, classification et notification des incidents liés aux TIC. Ces entités doivent notamment notifier à leur autorité compétente, en l'espèce l'ACPR, les incidents majeurs liés aux TIC.

Troisièmement, les entités financières entrant dans le champ d'application du règlement « DORA » doivent réaliser des tests de résilience opérationnelle numérique^188(*). Ce programme de tests vise à évaluer l'état de préparation de l'entreprise pour faire face aux risques liés aux technologies de l'information et de la communication, à recenser les faiblesses, défaillances et lacunes en matière de résilience numérique et à mettre en oeuvre rapidement des mesures correctives.

Quatrièmement, ces entités doivent mettre en place des mesures pour anticiper les risques liés au recours à des prestataires de tiers de services TIC.

En droit interne, la prise en compte de ces évolutions du cadre européen implique une mise à jour des dispositions du code des assurances et, plus spécifiquement, de son article L. 354-1 qui rassemble les dispositions relatives au système de gouvernance des entreprises d'assurance et de réassurance.

II. LE DISPOSITIF PROPOSÉ : UNE MODIFICATION DU CODE DES ASSURANCES VISANT À PRENDRE EN COMPTE LES NOUVELLES OBLIGATIONS ISSUES DE LA DIRECTIVE DITE « DORA »

Le présent article modifie l'article L. 354-1 du code des assurances à deux occurrences.

En premier lieu, il opère une précision matérielle à la première phrase du troisième alinéa en indiquant que l'externalisation opérées par les entreprises d'assurance renvoie à une définition figurant au 13° de l'article L. 310-3 du code des assurances. Ce dernier dispose que l'externalisation désigne « un accord, quelle que soit sa forme, conclu entre une entreprise et un prestataire de services, soumis ou non à un contrôle, en vertu duquel ce prestataire de services exécute, soit directement, soit en recourant lui-même à l'externalisation, une procédure, un service ou une activité, qui serait autrement exécuté par l'entreprise elle-même ». Cette précision reprend la rédaction des articles L. 211-12 du code de la mutualité et L. 931-7 du code de la sécurité sociale, miroirs de l'article L. 354-1 du code des assurances.

En second lieu, le présent article complète la seconde phrase du quatrième alinéa de l'article L. 354-1 du code des assurances pour indiquer que les entreprises d'assurance et de réassurance mettent en place et gèrent des réseaux et des systèmes d'information conformément aux exigences du règlement « DORA ». Cette rédaction reprend celle retenue par le premier paragraphe de l'article 2 de la directive « DORA » pour modifier le paragraphe 4 de l'article 41 de la directive « Solvabilité II », dont l'article L. 354-1 du code des assurances assure la transposition en droit interne.

Dès lors que l'article L. 385-5 du code des assurances dispose que le chapitre IV du titre V du livre III du même code, dans lequel s'inscrit l'article L. 354-1, s'applique aux fonds de retraite professionnelle supplémentaire, la présente modification s'appliquera également à ces organismes.

III. LA POSITION DE LA COMMISSION SPÉCIALE : UNE TRANSPOSITION NÉCESSAIRE DES EXIGENCES DU RÉGIME « DORA » DANS LE CODE DES ASSURANCES

Dès lors que la directive dite « DORA » prévoyait une modification du régime « Solvabilité II », une adaptation de l'article L. 354-1 du code des assurances, qui transpose les exigences de ce régime en matière de gouvernance, apparaissait incontournable. Le choix du Gouvernement de reproduire la rédaction retenue par la directive permet d'assurer une transposition a minima. Comme a pu le noter le Conseil d'État dans son avis sur le présent projet de loi, ce choix de transposition « conduit à ce que certaines dispositions nationales prévoient des obligations identiques à celles instituées par le règlement « DORA », en les définissant par référence à ce dernier »^189(*). Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^190(*).

S'agissant de la perception du règlement et de la directive « DORA » par les entreprises du secteur assurantiel, ces dernières ont accueilli positivement les obligations introduites par ces textes. Sans disposer de données compilées, les entités du secteur sont affectées par les cyber-attaques soit directement, soit par leurs partenaires. Si elles ont adopté des mesures techniques pour se prémunir de ces agressions, les exigences du paquet « DORA » devraient permettre de consolider et de formaliser les pratiques dans un cadre proportionné à chaque entreprise.

La fédération France Assureurs, sollicitée par le rapporteur, a indiqué la mise en conformité des organismes d'assurance avait fortement mobilisé ces derniers^191(*). Selon les données présentées dans l'étude d'impact du présent article, les coûts induits par la mise en oeuvre de DORA seraient évalués, en coûts de projet, à 6 millions d'euros sur 2024-2025 et à 40 millions d'euros sur 2024-2027 et, en coûts opérationnels, entre 700 000 euros et 3 millions d'euros. Les entreprises du secteur, outre ces coûts d'adaptation techniques, ont également eu recours à des cabinets de conseil pour un accompagnement dans les procédures DORA.

La mise en oeuvre des exigences du cadre « DORA » dépendra en grande partie des compléments apportés par les normes techniques règlementaires (RTS) et les normes de mise en oeuvre (ITS) et par les orientations fixées par les trois autorités européennes de supervision, en cours de discussion. À ce titre, le rapporteur Michel Canévet sera attentif à l'organisation adoptée par l'Autorité de contrôle prudentiel et de résolution dans l'application du contrôle des exigences du cadre « DORA ».

Décision de la commission spéciale : la commission spéciale a adopté cet article sans modification.

Article 58

Extension aux groupes d'assurance des nouvelles obligations de gouvernance des risques liés à l'utilisation des systèmes d'information

I. LE DROIT EXISTANT : UN ENCADREMENT EUROPÉEN DES ORGANISMES D'ASSURANCE ET DE RÉASSURANCE S'APPLIQUANT MUTATIS MUTANDIS AU NIVEAU DU GROUPE

A. LES ENTREPRISES D'ASSURANCE ET DE RÉASSURANCE SONT SOUMISES PAR LE DROIT EUROPÉEN À DES OBLIGATIONS PRUDENTIELLES DONT L'APPLICATION EST ÉTENDUE AU NIVEAU DU GROUPE

Comme indiqué dans le commentaire de l'article 57 du présent projet de loi, les entreprises d'assurance et de réassurance font l'objet d'un encadrement par le droit de l'Union européenne, fixé par la directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009, dite « Solvabilité II »^192(*). Entrée en vigueur en 2016, cette directive a permis une clarification et une modernisation du droit européen des assurances. Elle a fixé un cadre prudentiel organisé autour de trois piliers : des exigences quantitatives de fonds propres, des exigences qualitatives en matière de gouvernance et des exigences de transparence à destination du public et du superviseur^193(*).

S'agissant des exigences qualitatives en matière de gouvernance^194(*), l'article 246 de la directive « Solvabilité II » prévoit qu'elles s'appliquent de manière équivalente aux groupes d'assurance. Comme le souligne l'étude d'impact du présent projet de loi « les règles de gouvernance des groupes sont pour l'essentiel mises en oeuvre par l'entreprise tête de groupe ». Ces entreprises têtes de groupes peuvent être soit des entreprises d'assurance ou de réassurance participantes dans une entreprises d'assurance ou de réassurance, soit des entreprises mères^195(*).

En droit interne, les obligations introduites par la directive « Solvabilité II » ont été transposées par l'ordonnance n° 2015-378 du 2 avril 2015^196(*) au sein du code des assurances. Les articles L. 356-18 et L. 356-19 du code des assurances transposent l'article 246 de la directive. Les exigences applicables aux groupes d'assurance en matière de gouvernance sont spécifiées à l'article L. 356-18 du code des assurances. Les dispositions de cet article dupliquent, pour les groupes d'assurance, la rédaction retenue par l'article L. 354-1 du même code pour les entreprises d'assurance et de réassurance.

Aux termes de l'article L. 356-18, les entreprises participantes et mères doivent donc mettre en place un « système de gouvernance garantissant une gestion saine et prudente de leur activité et faisant l'objet d'un réexamen interne régulier », comprenant les quatre fonctions de gestion des risques, de vérification de la conformité, d'audit et actuarielle introduites par la directive « Solvabilité II ». Cet article précise que les entreprises participantes et mères élaborent des politiques écrites relatives à la gestion des risques, au contrôle interne, à l'audit interne et, si besoin, à l'externalisation.

B. LE RÈGLEMENT DIT « DORA » ET LA DIRECTIVE DU MÊME NOM INTRODUISENT DE NOUVELLES OBLIGATIONS POUR LES ENTREPRISES D'ASSURANCE ET DE RÉASSURANCE EN MATIÈRE DE GOUVERNANCE, ÉGALEMENT APPLICABLES AU NIVEAU DU GROUPE

La directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022, dite « DORA »^197(*), intègre dans la directive « Solvabilité II » les nouvelles exigences introduites par le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022, dit règlement « DORA »^198(*), et applicables aux organismes d'assurance et de réassurance.

L'article 2 de la directive « DORA » vient ainsi modifier le paragraphe 4 de l'article 41 de la directive « Solvabilité II », relatif aux obligations de gouvernance et de gestion des risques, pour indiquer que les organismes d'assurance et de réassurance « utilisent des systèmes, des ressources et des procédures appropriés et proportionnés et, en particulier, mettent en place et gèrent des réseaux et des systèmes d'information conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil »^199(*). Le second pilier de la directive « Solvabilité II » se voit donc complété d'un volet relatif à la gestion des risques relatifs aux technologies de l'information et de la communication^200(*).

En droit interne, la prise en compte de ces évolutions du cadre européen implique une mise à jour des dispositions du code des assurances et, plus spécifiquement, de son article L. 356-18 qui rassemble les dispositions relatives au système de gouvernance des entreprises têtes de groupes d'assurance.

II. LE DISPOSITIF PROPOSÉ : UNE MODIFICATION DU CODE DES ASSURANCES VISANT À PRENDRE EN COMPTE LES NOUVELLES OBLIGATIONS ISSUES DE LA DIRECTIVE DITE « DORA » APPLICABLES AUX GROUPES D'ASSURANCE

Le présent article modifie l'article L. 356-18 du code des assurances à deux occurrences.

En premier lieu, il opère une précision matérielle à la première phrase du troisième alinéa en indiquant que l'externalisation opérée par les entreprises d'assurance renvoie à une définition figurant au 13° de l'article L. 310-3 du code des assurances. Cette précision reprend la rédaction des articles L. 211-12 du code de la mutualité et L. 931-7 du code de la sécurité sociale^201(*).

En second lieu, le présent article complète la seconde phrase du quatrième alinéa de l'article L. 356-18 du code des assurances pour indiquer que les entreprises têtes de groupes d'assurance mettent en place et gèrent des réseaux et des systèmes d'information conformément aux exigences du règlement « DORA ». Cette rédaction reprend celle retenue par le premier paragraphe de l'article 2 de la directive « DORA » pour modifier le paragraphe 4 de l'article 41 de la directive « Solvabilité II », dont l'article L. 356-18 du code des assurances assure la transposition en droit interne pour les groupes d'assurance.

III. LA POSITION DE LA COMMISSION SPÉCIALE : UNE TRANSPOSITION NÉCESSAIRE DES EXIGENCES DU RÉGIME « DORA » DANS LE CODE DES ASSURANCES POUR LES GROUPES D'ASSURANCE ET DE RÉASSURANCE

De manière similaire au dispositif porté par l'article 57 du présent projet de loi, l'article 58 prévoit une adaptation du code des assurances pour tirer les conséquences de la modification du régime « Solvabilité II » par la directive « DORA ». Le choix du Gouvernement de reproduire la rédaction retenue par la directive permet d'assurer une transposition a minima. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^202(*).

Comme indiqué dans le commentaire de l'article 57, les exigences en matière de gouvernance des risques TIC portées par le paquet « DORA » ont été positivement perçues par le secteur en ce qu'elles permettront de formaliser et de consolider les mesures prises par les organismes d'assurance pour prévenir les cyber-attaques.

Décision de la commission spéciale : la commission a adopté cet article sans modification.

CHAPITRE III
DISPOSITIONS MODIFIANT LE CODE DE LA MUTUALITÉ

Article 59

Nouvelles obligations pour les unions et mutuelles du code de la mutualité en matière de gouvernance des risques liés à l'utilisation des systèmes d'information

I. LE DROIT EXISTANT : UN ENCADREMENT EUROPÉEN DES ORGANISMES D'ASSURANCE ET DE RÉASSURANCE S'APPLIQUANT AUX UNIONS ET MUTUELLES DU CODE DE LA MUTUALITÉ

A. LES UNIONS ET MUTUELLES DU CODE DE LA MUTUALITÉ SONT SOUMISES PAR LE DROIT EUROPÉEN À DES OBLIGATIONS PRUDENTIELLES

Comme indiqué dans le commentaire de l'article 57 du présent projet de loi, les entreprises d'assurance et de réassurance font l'objet d'un encadrement par le droit de l'Union européenne, fixé par la directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009, dite « Solvabilité II »^203(*). Entrée en vigueur en 2016, cette directive a permis une clarification et une modernisation du droit européen des assurances. Elle a fixé un cadre prudentiel organisé autour de trois piliers : des exigences quantitatives de fonds propres, des exigences qualitatives en matière de gouvernance et des exigences de transparence à destination du public et du superviseur^204(*).

En droit interne, les obligations introduites par la directive « Solvabilité II » ont été transposées par l'ordonnance n° 2015-378 du 2 avril 2015^205(*) au sein du code des assurances, du code de la mutualité et du code de la sécurité sociale. En effet, en France, les opérations d'assurance peuvent être pratiquées par trois types d'organismes : les entreprises d'assurance (dont les sociétés anonymes d'assurance et les sociétés d'assurance mutuelle), les mutuelles et unions régies par le code de la mutualité, et les institutions de prévoyance. Si la transposition de la directive « Solvabilité II » a été l'occasion de regrouper au sein du code des assurances les règles prudentielles applicables aux organismes pratiquant des opérations d'assurance, les dispositions relatives à leur gouvernance ont été maintenues dans les trois codes précités^206(*).

Au sein du code de la mutualité, l'article 14 de l'ordonnance n° 2015-378 a créé une nouvelle sous-section au chapitre I^er du livre II consacrée au système de gouvernance applicable aux mutuelles et unions relevant du régime dit « Solvabilité II ». L'article L. 211-12 du code de la mutualité, dont la rédaction est identique aux articles L. 354-1 du code des assurances et L. 931-7 du code de la sécurité sociale, dispose que les entreprises d'assurance et de réassurance mettent en place un « système de gouvernance garantissant une gestion saine et prudente de leur activité et faisant l'objet d'un réexamen interne régulier », comprenant quatre fonctions de gestion des risques, de vérification de la conformité, d'audit et actuarielle introduites par la directive « Solvabilité II ». Cet article précise que les entreprises élaborent des politiques écrites relatives à la gestion des risques, au contrôle interne, à l'audit interne et, si besoin, à l'externalisation.

B. LE RÈGLEMENT DIT « DORA » ET LA DIRECTIVE DU MÊME NOM INTRODUISENT DE NOUVELLES OBLIGATIONS POUR LES UNIONS ET MUTUELLES DU CODE DE LA MUTUALITÉ EN MATIÈRE DE GOUVERNANCE

La directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022, dite « DORA »^207(*), intègre dans la directive « Solvabilité II » les nouvelles exigences introduites par le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022, dit règlement « DORA »^208(*), et applicables aux unions et mutuelles du code de la mutualité.

L'article 2 de la directive « DORA » vient ainsi modifier le paragraphe 4 de l'article 41 de la directive « Solvabilité II », relatif aux obligations de gouvernance et de gestion des risques, pour indiquer que les organismes d'assurance et de réassurance « utilisent des systèmes, des ressources et des procédures appropriés et proportionnés et, en particulier, mettent en place et gèrent des réseaux et des systèmes d'information conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil »^209(*). Le second pilier de la directive « Solvabilité II » se voit donc complété d'un volet relatif à la gestion des risques relatifs aux technologies de l'information et de la communication^210(*).

En droit interne, la prise en compte de ces évolutions du cadre européen implique une mise à jour des dispositions du code de la mutualité et, plus spécifiquement, de son article L. 211-12 qui rassemble les dispositions relatives au système de gouvernance des unions et mutuelles régies par ce même code.

II. LE DISPOSITIF PROPOSÉ : UNE MODIFICATION DU CODE DE LA MUTUALITÉ VISANT À PRENDRE EN COMPTE LES NOUVELLES OBLIGATIONS ISSUES DE LA DIRECTIVE DITE « DORA » APPLICABLES AUX UNIONS ET MUTUELLES DE CE CODE

Le présent article complète la seconde phrase du quatrième alinéa de l'article L. 211-12 du code de la mutualité pour indiquer que les unions et mutuelles du même code mettent en place et gèrent des réseaux et des systèmes d'information conformément aux exigences du règlement « DORA ». Cette rédaction reprend celle retenue par le premier paragraphe de l'article 2 de la directive « DORA » pour modifier le paragraphe 4 de l'article 41 de la directive « Solvabilité II », dont l'article L. 211-12 du code de la mutualité assure la transposition en droit interne pour ces organismes.

III. LA POSITION DE LA COMMISSION SPÉCIALE : UNE ADAPTATION NÉCESSAIRE DU CODE DE LA MUTUALITÉ

De manière similaire aux dispositifs portés par les articles 57 et 58 du présent projet de loi, s'agissant du code des assurances, et l'article 61 pour le code de la sécurité sociale, le présent article prévoit une adaptation du code de la mutualité pour tirer les conséquences de la modification du régime « Solvabilité II » par la directive « DORA ». Le choix du Gouvernement de reproduire la rédaction retenue par la directive permet d'assurer une transposition a minima. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^211(*).

Décision de la commission spéciale : la commission a adopté cet article sans modification.

Article 60

Suppression des dispositions redondantes dans le code de la mutualité

I. LE DROIT EXISTANT : DEUX DISPOSITIONS REDONDANTES DANS LE CODE DE LA MUTUALITÉ S'AGISSANT DES EXIGENCES DE GOUVERNANCE INTRODUITES PAR LA DIRECTIVE « SOLVABILITÉ II »

L'article L. 212-12 du code de la mutualité rend applicables aux mutuelles et unions de ce code les exigences en matière de gouvernance prévues par la directive du 25 novembre 2009, dite « Solvabilité II »^212(*). Comme rappelé dans le commentaire de l'article 59, cet article dispose que le système de gouvernance adopté par ces entreprises doit « garantir une gestion saine et prudente de leur activité et faire l'objet d'un réexamen interne régulier. Ce système de gouvernance comprend quatre fonctions de gestion des risques, de vérification de la conformité, d'audit et actuarielle introduites par la directive « Solvabilité II ». Ces dispositions ont été introduites par l'ordonnance du 2 avril 2015 qui transpose la directive Solvabilité II^213(*).

Par ailleurs, l'article L. 212-1 du code de la mutualité prévoit que « [l]es dispositions du titre V du livre III [...] du code des assurances sont applicables aux mutuelles et unions [...] ». Cela implique que l'article L. 354-1 du code des assurances est applicable aux mutuelles et unions du code de la mutualité. Or cet article L. 354-1 du code des assurances porte sur les exigences de gouvernance issues de la transposition de la directive Solvabilité II, dans des termes identiques aux dispositions contenues dans l'article L. 212-12 du code de la mutualité.

Autrement dit, actuellement, les mutuelles et unions du code de la mutualité sont soumises à la fois aux dispositions de l'article L. 211-12 du code de la mutualité et de l'article L. 354-1 du code des assurances - qui sont exactement les mêmes.

II. LE DISPOSITIF PROPOSÉ : UNE RÉDACTION SIMPLIFIÉE POUR EVITER LA REDONDANCE PRÉSENTE DANS LE CODE DE LA MUTUALITÉ

La redondance des dispositions de l'article L. 212-12 et L. 212-1 du code de la mutualité ne pose pas de problème sur le fond mais peut soulever des difficultés en termes de cohérence et de lisibilité du droit. A l'occasion de la transposition de la directive DORA, prévue par le présent projet de loi, cette redondance serait - sans modification du code de la mutualité - reconduite.

Le présent article prévoit dès lors d'exclure expressément dans l'article L. 212-1 du code de la mutualité l'application de l'article L. 354-1 du code des assurances. Ce choix s'inspire de la rédaction retenue dans le code de la sécurité sociale, son article L. 931-9 précisant que « Les dispositions du titre V du livre III et de l'article L. 310-12-4 du code des assurances sont applicables aux institutions de prévoyance et unions mentionnées à l'article L. 931-6, à l'exception de l'article L. 354-1 du code des assurances ».

Plus généralement, cette modification permet d'éviter de procéder par renvoi vers le code des assurances pour définir les exigences de gouvernance applicables aux mutuelles et unions du code de la mutualité, ceci dans un but de meilleure lisibilité du droit.

III. LA POSITION DE LA COMMISSION : UNE DISPOSITION BIENVENUE POUR PERMETRE UNE MEILLEURE INTELLIGIBILTÉ DE LA LOI

En supprimant une redondance, le présent article permet de clarifier une disposition du code de la mutualité et de rendre plus lisible le droit applicable. Puisque la transposition de la directive DORA prévue par le présent projet de loi modifie certains des articles concernés, cette redondance serait reconduite en l'absence de modification du code de la mutualité.

En ce sens, cette disposition permet de satisfaire l'objectif à valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi^214(*).

Décision de la commission : la commission a adopté cet article sans modification

CHAPITRE IV
DISPOSITIONS MODIFIANT LE CODE DE LA SÉCURITÉ SOCIALE

Article 61

Nouvelles obligations pour les institutions de prévoyance et unions du code de la sécurité sociale en matière de gouvernance des risques liés à l'utilisation des systèmes d'information

I. LE DROIT EXISTANT : UN ENCADREMENT EUROPÉEN DES ORGANISMES D'ASSURANCE ET DE RÉASSURANCE S'APPLIQUANT AUX INSTITUTIONS DE PRÉVOYANCE ET UNIONS DU CODE DE LA SÉCURITÉ SOCIALE

A. LES INSTITUTIONS DE PRÉVOYANCE ET UNIONS DU CODE DE LA SÉCURITÉ SOCIALE SONT SOUMISES PAR LE DROIT EUROPÉEN À DES OBLIGATIONS PRUDENTIELLES

Comme indiqué dans le commentaire de l'article 57 du présent projet de loi, les entreprises d'assurance et de réassurance font l'objet d'un encadrement par le droit de l'Union européenne, fixé par la directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009, dite « Solvabilité II »^215(*). Entrée en vigueur en 2016, cette directive a permis une clarification et une modernisation du droit européen des assurances. Elle a fixé un cadre prudentiel organisé autour de trois piliers : des exigences quantitatives de fonds propres, des exigences qualitatives en matière de gouvernance et des exigences de transparence à destination du public et du superviseur^216(*).

En droit interne, les obligations introduites par la directive « Solvabilité II » ont été transposées par l'ordonnance n° 2015-378 du 2 avril 2015^217(*) au sein du code des assurances, du code de la mutualité et du code de la sécurité sociale. En effet, en France, les opérations d'assurance peuvent être pratiquées par trois types d'organismes : les entreprises d'assurance (dont les sociétés anonymes d'assurance et les sociétés d'assurance mutuelle), les mutuelles et unions régies par le code de la mutualité, et les institutions de prévoyance. Si la transposition de la directive « Solvabilité II » a été l'occasion de regrouper au sein du code des assurances les règles prudentielles applicables aux organismes pratiquant des opérations d'assurance, les dispositions relatives à leur gouvernance ont été maintenues dans les trois codes précités^218(*).

Au sein du code de la sécurité sociale, l'article 17 de l'ordonnance n° 2015-378 a créé une nouvelle sous-section au chapitre I^er du titre III du livre IX consacrée au système de gouvernance applicable aux institutions de prévoyance et unions relevant du régime dit « Solvabilité II ». L'article L. 931-6 du code de la sécurité sociale prévoie une liste des institutions de prévoyance ou unions relevant de ce régime.

L'article L. 931-7 du code de la sécurité sociale, dont la rédaction est identique aux articles L. 354-1 du code des assurances et L. 211-12 du code de la mutualité, dispose que les entreprises d'assurance et de réassurance mettent en place un « système de gouvernance garantissant une gestion saine et prudente de leur activité et faisant l'objet d'un réexamen interne régulier », comprenant quatre fonctions de gestion des risques, de vérification de la conformité, d'audit et actuarielle introduites par la directive « Solvabilité II ». Cet article précise que les entreprises élaborent des politiques écrites relatives à la gestion des risques, au contrôle interne, à l'audit interne et, si besoin, à l'externalisation.

B. LE RÈGLEMENT DIT « DORA » ET LA DIRECTIVE EPONYME INTRODUISENT DE NOUVELLES OBLIGATIONS POUR LES UNIONS ET MUTUELLES DU CODE DE LA MUTUALITÉ EN MATIÈRE DE GOUVERNANCE

La directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022, dite « DORA »^219(*), intègre dans la directive « Solvabilité II » les nouvelles exigences introduites par le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022, dit règlement « DORA »^220(*), et applicables aux unions et mutuelles du code de la mutualité.

L'article 2 de la directive « DORA » vient ainsi modifier l'article 41 paragraphe 4 de la directive « Solvabilité II », relatif aux obligations de gouvernance et de gestion des risques, pour indiquer que les organismes d'assurance et de réassurance « utilisent des systèmes, des ressources et des procédures appropriés et proportionnés et, en particulier, mettent en place et gèrent des réseaux et des systèmes d'information conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil »^221(*). Le second pilier de la directive « Solvabilité II » se voit donc complété d'un volet relatif à la gestion des risques relatifs aux technologies de l'information et de la communication^222(*).

En droit interne, la prise en compte de ces évolutions du cadre européen implique une mise à jour des dispositions du code de la sécurité sociale et, plus spécifiquement, de son article L. 931-7 qui rassemble les dispositions relatives au système de gouvernance des institutions de prévoyance et unions régies par ce même code.

II. LE DISPOSITIF PROPOSÉ : UNE MODIFICATION DU CODE DE LA SÉCURITÉ SOCIALE VISANT À PRENDRE EN COMPTE LES NOUVELLES OBLIGATIONS ISSUES DE LA DIRECTIVE DITE « DORA » APPLICABLES AUX INSTITUTIONS DE PRÉVOYANCE ET UNIONS DE CE CODE

Le présent article complète la seconde phrase du quatrième alinéa de l'article L. 931-7 du code de la sécurité sociale pour indiquer que les institutions de prévoyance et unions du même code mettent en place et gèrent des réseaux et des systèmes d'information conformément aux exigences du règlement « DORA ». Cette rédaction reprend celle retenue par le premier paragraphe de l'article 2 de la directive « DORA » pour modifier le paragraphe 4 de l'article 41 de la directive « Solvabilité II », dont l'article L. 931-7 du code de la sécurité sociale assure la transposition en droit interne pour ces organismes.

III. LA POSITION DE LA COMMISSION SPÉCIALE : UNE ADAPTATION NÉCESSAIRE DU CODE DE LA SÉCURITÉ SOCIALE

De manière similaire aux dispositifs portés par les articles 57 et 58 du présent projet de loi, s'agissant du code des assurances, et l'article 59 pour le code de la mutualité, le présent article prévoit une adaptation du code de la sécurité sociale pour tirer les conséquences de la modification du régime « Solvabilité II » par la directive « DORA ». Le choix du Gouvernement de reproduire la rédaction retenue par la directive permet d'assurer une transposition a minima.

Décision de la commission : la commission a adopté cet article sans modification.

CHAPITRE V
DISPOSITIONS FINALES

Article 62 A

Absence de double assujettissement à « DORA » et « NIS 2 »

I. LE DROIT EXISTANT : L'ARTICLE 4 DE LA DIRECTIVE « NIS 2 » PRÉVOIT UNE ABSENCE DE DOUBLE ASSUJETTISSEMENT ENTRE ELLE ET LES ACTES JURIDIQUES SECTORIELS SUSCEPTIBLES D'IMPOSER DES MESURES ET DES NOTIFICATIONS ÉQUIVALENTES

L'article 4 de la directive (UE) 2022/2555, dite « NIS 2 », prévoit que, lorsque des actes juridiques sectoriels de l'Union imposent à des entités essentielles ou importantes d'adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents importants, et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris celles relatives à la supervision et à l'exécution, ne sont pas applicables auxdites entités. Lorsque des actes juridiques sectoriels de l'Union ne couvrent pas toutes les entités d'un secteur spécifique relevant du champ d'application de la présente directive, les dispositions pertinentes de la présente directive continuent de s'appliquer aux entités non couvertes par ces actes juridiques sectoriels de l'Union.

Certaines professions encadrées par le règlement (UE) 2022/2554 du 14 décembre 2022, dit « DORA », ont toutefois fait part au rapporteur de leur inquiétude d'être également soumis aux exigences prévues par la directive NIS 2. Ainsi, France Assureurs a fait observer que la rédaction actuelle du projet de loi n'exclut pas explicitement les assureurs du statut d'entité essentielle dans le cadre de la transposition de la directive NIS 2^223(*). De même, la commission supérieure du numérique et des postes, dans l'avis qu'elle a rendu sur le sujet^224(*), a estimé nécessaire de préciser le régime applicable au secteur des assurances en application de la lex specialis pour lever les risques de double régulation entre la directive NIS 2 et le règlement DORA.

Si l'article 13 prévoit déjà que les dispositions pertinentes de la présente loi, y compris celles relatives à la supervision, ne sont pas applicables aux entités essentielles et importantes qui sont soumises, en application d'un acte juridique de l'Union européenne, à des exigences sectorielles de sécurité et de notification d'incidents ayant un effet au moins équivalent aux obligations résultant des articles 14 et 17, le rapporteur Michel Canévet estime qu'une précision plus complète peut être utile, s'agissant de l'assujettissement au règlement DORA et à la directive NIS 2.

II. LE DISPOSITIF PROPOSÉ : ÉVITER LE RISQUE DE DOUBLE ASSUJETTISSEMENT ENTRE « DORA » ET « NIS 2 »

Le présent article, résultant d'un amendement COM-132 déposé par le rapporteur Michel Canévet et adopté par la commission spéciale, prévoit que les entités financières essentielles et importantes auxquelles s'applique le titre III de la présente loi et auxquelles s'impose, en application du règlement et de la directive « DORA », l'adoption de mesures de gestion des risques en matière de cybersécurité ou la notification d'incidents importants, ne sont pas tenues de se conformer aux exigences prévues par la directive « NIS 2 », y compris celles relatives à la supervision, dès lors que l'adoption de ces mesures et la notification de ces incidents ont un effet au moins équivalent à ces exigences.

Il s'agit d'une précision utile pour éviter des mesures et notifications redondantes.

Décision de la commission : la commission a adopté cet article additionnel.

Article 62

Dates d'application des dispositions du titre III sur la résilience opérationnelle numérique du secteur financier

I. LE DROIT EXISTANT : LE RÈGLEMENT « DORA » EST ENTRÉ EN VIGUEUR LE 17 JANVIER 2025, ÉCHÉANCE ÉGALEMENT PRÉVUE POUR LA TRANSPOSITION DE LA DIRECTIVE « DORA »

L'article 64 du règlement « DORA » prévoit que ce dernier s'applique à partir du 17 janvier 2025.

En conséquence, l'article 9 de la directive « DORA », en son premier paragraphe, prévoit que les États membres adoptent et publient les dispositions nécessaires pour s'y conformer au plus tard le 17 janvier 2025.

On rappelle ici que la directive « DORA » vient pour l'essentiel modifier les directives encadrant les secteurs bancaire et financier, dont la directive « CRD », liée au règlement « CRR », et portant sur les exigences prudentielles applicables aux établissements de crédit.

Il est précisé que le règlement « CRR » du 26 juin 2013, dans sa rédaction issue du règlement « CRR 2 » du 20 mai 2019, a introduit la notion d'« établissement de petite taille et non complexe », défini par plusieurs critères au point 145 du paragraphe 1 de l'article 4^225(*). Pour cette catégorie d'établissement, le règlement prévoit, en vertu du principe de proportionnalité, un régime simplifié de déclaration et de publication, mais aussi de calcul des ratios prudentiels (en particulier le « ratio de financement stable net », ou NSFR).

Ce régime simplifié s'applique également aux sociétés de financement qui respecte les critères prévus pour la détermination de ce qu'est un établissement de petite taille et non complexe. En France, ces sociétés sont en effet soumises aux dispositions du règlement « CRR » en vertu de l'article 2 de l'arrêté du 23 décembre 2013 relatif au régime prudentiel des sociétés de financement. Les articles L. 511-41 et suivants du code monétaire et financier prévoient également l'application du même régime prudentiel à ces sociétés et aux établissements de crédit.

II. LE DISPOSITIF PROPOSÉ : UNE ENTRÉE EN APPLICATION DU TITRE III AU 17 JANVIER 2025, À L'EXCEPTION DES ARTICLES 46, 47 ET 54 POUR LES SOCIÉTÉS DE FINANCEMENT DE PETITE TAILLE ET NON COMPLEXES

Le présent article prévoit une entrée en application de l'ensemble des articles du titre III à compter du 17 janvier 2025, date limite de transposition de la directive « DORA » et date d'entrée en application du règlement du même nom.

Il repousse toutefois au 17 janvier 2026 l'entrée en application des articles 46, 47 et 54 pour les sociétés de financement remplissant les conditions prévues au point 145 du paragraphe 1 de l'article 4 du règlement « CRR », c'est-à-dire considérées comme de petite taille et non complexes.

III. LA POSITION DE LA COMMISSION : UN NÉCESSAIRE REPORT DE L'ENTRÉE EN VIGUEUR, Y COMPRIS POUR LES SOCIÉTÉS DE FINANCEMENT

L'examen de ce texte par le Sénat, présenté en conseil des ministres le 15 octobre 2024, était initialement prévu pour le mois de juillet 2024 mais il a été singulière retardé par la dissolution décidée par le Président de la République le 9 juin 2024 et ses suites politiques (formation du gouvernement de Michel Barnier le 21 septembre après sa nomination en tant que Premier ministre le 5 septembre, censure de celui-ci le 4 décembre, formation du gouvernement de François Bayrou le 23 décembre après sa nomination en tant que Premier ministre le 13 décembre, retard de l'examen du budget...).

Ainsi, l'avis du Conseil d'Etat sur le projet de loi, rendu public le 16 octobre, date du 6 juin 2024. Le Conseil d'Etat, dans cet avis, indique avoir été saisi du projet de loi le 7 mai 2024.

À l'époque, la perspective d'une entrée en application au 17 janvier 2025, parallèle à celle du règlement « DORA », était réaliste. Son examen retardé la rend impossible. Il est donc nécessaire d'envisager une entrée en application au lendemain de la promulgation de la loi.

Par ailleurs, l'application du paquet « DORA » aux sociétés de financement, prévue par les articles 46, 47 et 54 du titre III, constitue une surtransposition dans la mesure où elle n'est pas exigée par le droit européen.

Il pouvait donc être envisagé d'exclure ces sociétés de l'application du paquet « DORA ».

L'application de « DORA » aux sociétés de financement se justifie toutefois par le fait que les exigences prudentielles applicables aux établissements de crédit, et prévues par le règlement « CRR » et la directive « CRD », s'appliquent également aux sociétés de financement. Elles bénéficient ainsi d'un traitement prudentiel plus favorable : comme le rappelle l'étude d'impact, les expositions sur les sociétés de financement peuvent être traitées comme des expositions sur les établissements de crédit, ce qui signifie que le risque associé aux engagements auprès de sociétés de financement est réputé de même niveau qu'un établissement, évitant ainsi de décourager ces engagements.

Si, donc, l'application du paquet « DORA » aux sociétés de financement, y compris celles qui sont considérées comme de petite taille et non complexe, fait sens, une entrée en vigueur au 17 janvier 2026 pour l'ensemble de ces sociétés est de nature à instituer une différence de traitement entre les acteurs du financement spécialisé en Europe. L'Association française des sociétés financières a ainsi attiré l'attention du rapporteur sur le fait qu'en Allemagne, un arrêté du 27 décembre 2024 prévoit que les entités exerçant une activité de leasing seront soumises au cadre simplifié prévu à l'article 16 du règlement « DORA »^226(*) à partir du 1^er janvier 2027. De même en Italie, l'assujettissement des entités similaires aux sociétés de financement exerçant des activités de leasing et de factoring ne devrait pas non plus intervenir avant 2027^227(*).

En conséquence, la commission a adopté un amendement COM-133 du rapporteur Michel Canévet visant, d'une part, à reporter l'entrée en application des dispositions du titre III au lendemain de la promulgation du présent projet de loi et, d'autre part, à reporter l'application à l'ensemble des sociétés de financement des articles 46, 47 et 57 au 1^er janvier 2030.

Décision de la commission : la commission a adopté cet article ainsi modifié.

* ³⁶ La formulation mentionnant les « autres secrets protégés par la loi » existe déjà au niveau législatif, à l'article L. 311-5 du code des relations entre le public et l'administration : « 2° Les autres documents administratifs dont la consultation ou la communication porterait atteinte : [...] h) Ou sous réserve de l'article L. 124-4 du code de l'environnement, aux autres secrets protégés par la loi »

* ³⁷ Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.

* ³⁸ Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, article 6 ; décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique, article 10 ; arrêté du 14 septembre 2018 fixant les règles de sécurité et les délais mentionnés à l'article 10 du décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique, annexe.

* ³⁹ Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, article 7 ; décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique, article 11.

* ⁴⁰ Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, article 9.

* ⁴¹ Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, articles 10 à 15.

* ⁴² Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale, article 22.

* ⁴³ Article L. 1332-6-1 du code de la défense.

* ⁴⁴ Article L. 1332-6-2 du code de la défense.

* ⁴⁵ Article L. 1332-6-4 du code de la défense.

* ⁴⁶ Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n° 1999/93/CE.

* ⁴⁷ Article R. 54-16 du code des postes et des communications électroniques.

* ⁴⁸ Article L. 102 du code des postes et des communications électroniques ; décret n° 2022-1004 du 15 juillet 2022 fixant les modalités de certification de moyens d'identification électronique ainsi que le cahier des charges permettant d'établir la présomption de fiabilité de ces moyens.

* ⁴⁹ Article R. 54-13 du code des postes et des communications électroniques.

* ⁵⁰ Article R. 54-13 du code des postes et des communications électroniques.

* ⁵¹ Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'Enisa (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013, article 58.

* ⁵² Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, article 8.

* ⁵³ Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, article 9.

* ⁵⁴ Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique, article 13.

* ⁵⁵ Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique, article 14.

* ⁵⁶ Décret n° 2018-384 du 23 mai 2018 relatif à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique, article 15.

* ⁵⁷ Loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale, article 22.

* ⁵⁸ Article L. 1332-6-3 du code de la défense.

* ⁵⁹ Article L. 1332-7 du code de la défense.

* ⁶⁰ Article R. 1332-41-12 du code de la défense.

* ⁶¹ Article R. 1332-41-13 du code de la défense.

* ⁶² Article R. 1332-41-14 du code de la défense.

* ⁶³ Article R. 1332-41-15 du code de la défense.

* ⁶⁴ Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, article 9.

* ⁶⁵ Article L. 1332-7 du code de la défense.

* ⁶⁶ Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2).

* ⁶⁷ Conseil d'État, avis sur un projet de loi relatif à la résilience des activités d'importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier, séance du 6 juin 2024.

* ⁶⁸ Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, article 8 ; article L. 1332-6-3 du code de la défense.

* ⁶⁹ Article R. 1332-41-17 du code de la défense.

* ⁷⁰ Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2).

* ⁷¹ Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, article 8.

* ⁷² Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, article 9.

* ⁷³ Article L. 1332-7 du code de la défense.

* ⁷⁴ Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2).

* ⁷⁵ Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (LCEN)

* ⁷⁶ L'ordonnance n° 2005-1516 du 8 décembre 2005 s'accompagne du décret 2010-112 du 2 février 2010 et de l'arrêté du 13 juin 2014 portant approbation de la dernière version RGS.

* ⁷⁷ Galileo est le GPS européen.

* ⁷⁸ Ensemble de satellites artificiels mis en orbite dans l'espace extra-atmosphérique.

* ⁷⁹ On estime généralement entre quatre et six le nombre maximal de constellations de grande ampleur, soit comptant plusieurs milliers de satellites, qui pourraient in fine cohabiter en orbite.

* ⁸⁰ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.

* ⁸¹ Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE. L'article 3 de la DSP2 a été transposée dans le droit national par l'article 17 de l'ordonnance n°2017-1433 du 4 octobre 2017.

* ⁸² Paragraphe j) de l'article 3 de la DSP2.

* ⁸³ Directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier

* ⁸⁴ Directive (UE) n° 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d'instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE.

* ⁸⁵ Voir la liste des gestionnaires de plates-formes de négociation agréées sur le site de l'Autorité des marchés financiers sur sa page « Obtenir un agrément pour une plate-forme de négociation ».

* ⁸⁶ Directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

* ⁸⁷ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.

* ⁸⁸ Conseil constitutionnel, 10 juin 2004, n° 2004-496 DC, Loi pour la confiance dans l'économie numérique, §7.

* ⁸⁹ Directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

* ⁹⁰ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011. Pour plus de détails sur le chapitre II du règlement « DORA », voir le commentaire de l'article 44.

* ⁹¹ Conseil constitutionnel, 10 juin 2004, n° 2004-496 DC, Loi pour la confiance dans l'économie numérique, §7.

* ⁹² Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE.

* ⁹³ Capital Requirements Directive (CRD).

* ⁹⁴ La répartition des compétences entre les autorités compétentes nationales (ACN) et la Banque centrale européenne (BCE) est fixée par le règlement (UE) n° 468/2014 de la banque centrale européenne du 16 avril 2014 (règlement-cadre MSU).

* ⁹⁵ Ordonnance n° 2014-158 du 20 février 2014 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière financière.

* ⁹⁶ Directive (UE) 2022/2556 du parlement européen et du conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

* ⁹⁷ Digital Operational Resilience Act.

* ⁹⁸ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011.

* ⁹⁹ Conseil constitutionnel, 10 juin 2004, n° 2004-496 DC, Loi pour la confiance dans l'économie numérique, §7.

* ¹⁰⁰ En 2024, le nombre de sociétés de financement agréées en France était de 144.

* ¹⁰¹ Capital Requirement Regulation.

* ¹⁰² Règlement (UE) n ° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d'investissement et modifiant le règlement (UE) n ° 648/2012.

* ¹⁰³ Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE.

* ¹⁰⁴ Capital Requirements Directive (CRD).

* ¹⁰⁵ Ordonnance n° 2014-158 du 20 février 2014 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière financière.

* ¹⁰⁶ Directive (UE) 2022/2556 du parlement européen et du conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

* ¹⁰⁷ Digital Operational Resilience Act.

* ¹⁰⁸ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011.

* ¹⁰⁹ Conseil constitutionnel, 10 juin 2004, n° 2004-496 DC, Loi pour la confiance dans l'économie numérique, §7.

* ¹¹⁰ En 2024, le nombre de sociétés de financement agréées en France était de 144.

* ¹¹¹ Capital Requirement Regulation.

* ¹¹² Règlement (UE) n ° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d'investissement et modifiant le règlement (UE) n ° 648/2012.

* ¹¹³ Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE. L'article 3 de la DSP2 a été transposée dans le droit national par l'article 17 de l'ordonnance n°2017-1433 du 4 octobre 2017.

* ¹¹⁴ Arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution.

* ¹¹⁵ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011.

* ¹¹⁶ Règlement (UE) 2019/2033 du Parlement européen et du Conseil du 27 novembre 2019 concernant les exigences prudentielles applicables aux entreprises d'investissement et modifiant les règlements (UE) n° 1093/2010, (UE) n° 575/2013, (UE) n° 600/2014 et (UE) n° 806/2014.

* ¹¹⁷ Règlement (UE) n° 600/2014 du Parlement européen et du Conseil du 15 mai 2014 concernant les s et modifiant le règlement (UE) n° 648/2012.

* ¹¹⁸ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011.

* ¹¹⁹ Point e) de l'article 2 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011.

* ¹²⁰ Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n° 1093/2010, et abrogeant la directive 2007/64/CE. L'article 96 de la DSP2 a été transposé via l'article 12 de l'ordonnance n° 2017-1252 du 9 août 2017.

* ¹²¹ II de l'article L521-1 du code monétaire et financier.

* ¹²² Les entités financières au sens de DORA sont les établissements de crédit, les établissements de monnaie électronique et les établissements de paiement, respectivement mentionnés aux points a) b) et d) de l'article 1^er de la DSP2.

* ¹²³ Article 23 du règlement DORA : Les exigences énoncées au présent chapitre s'appliquent également aux incidents opérationnels ou de sécurité liés au paiement et aux incidents opérationnels ou de sécurité majeurs liés au paiement lorsqu'ils concernent des établissements de crédit, des établissements de paiement, des prestataires de services d'information sur les comptes et des établissements de monnaie électronique.

* ¹²⁴ Le I de l''article L. 141-4 du code monétaire et financier précise ainsi que « La Banque de France veille au bon fonctionnement et à la sécurité des systèmes de paiement dans le cadre de la mission du Système européen de banques centrales relative à la promotion du bon fonctionnement des systèmes de paiement prévue par l'article 105, paragraphe 2 du traité instituant la Communauté européenne ».

* ¹²⁵ Il s'agit de la réception, la transmission et l'exécution d'ordres pour le compte de tiers, la négociation pour compte propre, la gestion de portefeuille pour le compte de tiers, le conseil en investissement, la prise ferme, le placement garanti, le placement non garanti, et l'exploitation d'un système multilatéral ou organisé de négociation.

* ¹²⁶ Directive (UE) 2022/2556 du parlement européen et du conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

* ¹²⁷ Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE.

* ¹²⁸ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011.

* ¹²⁹ Conseil constitutionnel, 10 juin 2004, n° 2004-496 DC, Loi pour la confiance dans l'économie numérique, §7.

* ¹³⁰ Pour une définition, se reporter à l'article L. 531-1 du code monétaire et financier ou bien au commentaire de l'article précédent.

* ¹³¹ Il s'agit d'un portefeuille dont les fonds investis sont placés en valeurs mobilières ou autres instruments financiers. Les OPCVM regroupent les Sicav (sociétés d'investissement à capital variable) et les FCP (fonds communs de placement).

* ¹³² Régis par la directive 2011/61/UE du Parlement européen et du Conseil du 8 juin 2011 dite « AIFM », ils répondent à des contraintes réglementaires plus souples que les OPCVM.

* ¹³³ Article L. 532-9 du code monétaire et financier.

* ¹³⁴ Article L. 214-24 du code monétaire et financier.

* ¹³⁵ 4° du I de l'article L. 533-10 du code monétaire et financier.

* ¹³⁶ 4° du II de l'article L. 533-10 du code monétaire et financier.

* ¹³⁷ 5° du II de l'article L. 533-10 du code monétaire et financier.

* ¹³⁸ Directive (UE) 2022/2556 du parlement européen et du conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

* ¹³⁹ Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM).

* ¹⁴⁰ Directive 2014/65/UE du Parlement européen et du Conseil u 15 mai 2014 concernant les marchés d'instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE.

* ¹⁴¹ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011.

* ¹⁴² Conseil constitutionnel, 10 juin 2004, n° 2004-496 DC, Loi pour la confiance dans l'économie numérique, §7.

* ¹⁴³ Pour une définition, voir les commentaires d'articles précédents ou l'article L. 531-1 du code monétaire et financier.

* ¹⁴⁴ Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d'instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE.

* ¹⁴⁵ Directive (UE) 2022/2556 du parlement européen et du conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

* ¹⁴⁶ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011.

* ¹⁴⁷ Voir les commentaires des articles précédents pour plus de précisions.

* ¹⁴⁸ Idem.

* ¹⁴⁹ Idem.

* ¹⁵⁰ Voir les commentaires d'articles précédents pour des précisions sur le contenu de ce chapitre.

* ¹⁵¹ Conseil constitutionnel, 10 juin 2004, n° 2004-496 DC, Loi pour la confiance dans l'économie numérique, §7.

* ¹⁵² Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE.

* ¹⁵³ Capital Requirements Directive (CRD).

* ¹⁵⁴ Ordonnance n° 2014-158 du 20 février 2014 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière financière.

* ¹⁵⁵ Article L. 612-1 du code monétaire et financier.

* ¹⁵⁶ Directive (UE) 2022/2556 du parlement européen et du conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

* ¹⁵⁷ Digital Operational Resilience Act.

* ¹⁵⁸ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011.

* ¹⁵⁹ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011.

* ¹⁶⁰ Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, étude d'impact, p. 524.

* ¹⁶¹ Directive 2014/59/UE du Parlement européen et du Conseil du 15 mai 2014 établissant un cadre pour le redressement et la résolution des établissements de crédit et des entreprises d'investissement et modifiant la directive 82/891/CEE du Conseil ainsi que les directives du Parlement européen et du Conseil 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE et 2013/36/UE et les règlements du Parlement européen et du Conseil (UE) n ° 1093/2010 et (UE) n ° 648/2012.

* ¹⁶² Bank Recovery and Resolution Directive (BRRD).

* ¹⁶³ Ordonnance n° 2015-1024 du 20 août 2015 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière financière.

* ¹⁶⁴ Directive (UE) 2022/2556 du parlement européen et du conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

* ¹⁶⁵ Digital Operational Resilience Act.

* ¹⁶⁶ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011.

* ¹⁶⁷ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011.

* ¹⁶⁸ Conseil constitutionnel, 10 juin 2004, n° 2004-496 DC, Loi pour la confiance dans l'économie numérique, §7.

* ¹⁶⁹ Computer Secruity Incident Response Team. On compte aujourd'hui en France près d'une centaine de ces équipes qui sont nommées CSIRT ou CERT (Computer Emergency Response Team).

* ¹⁷⁰ Cyber Incident Coordination Framework. Il s'agit du cadre paneuropéen de coordination des incidents cybernétiques systémiques (EU-SCICF)

* ¹⁷¹ Créé en 2005 à l'initiative de la Banque de France, le groupe de place Robustesse (GPR) a pour mission de renforcer la résilience opérationnelle de la Place financière de Paris, en s'assurant de la capacité du système financier à faire face à des chocs opérationnels affectant ses fonctions critiques.

* ¹⁷² Ces autorités sont les « autorités compétentes » prévues à l'article 46 du règlement DORA.

* ¹⁷³ Dans sa décision d'assemblée du 9 février 1990, dite « Élections municipales de Lifou », le Conseil d'État a jugé qu'une loi ou qu'un décret modifiant le droit en vigueur dans une collectivité d'outre-mer doit comporter la mention expresse d'application outre-mer. À défaut, le texte antérieur demeure en vigueur dans le territoire concerné.

* ¹⁷⁴ Loi n° 2023-594 du 13 juillet 2023 ratifiant les ordonnances relatives à la partie législative du livre VII du code monétaire et financier et portant diverses dispositions relatives à l'outre-mer

* ¹⁷⁵ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011.

* ¹⁷⁶ Directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l'accès aux activités de l'assurance et de la réassurance et leur exercice.

* ¹⁷⁷ Certains domaines, comme la distribution des produits d'assurance ou l'assurance responsabilité civile demeurent exclus de cette compilation.

* ¹⁷⁸ Directive 2014/51/UE du Parlement européen et du Conseil du 16 avril 2014 modifiant les directives 2003/71/CE et 2009/138/CE et les règlements (CE) n° 1060/2009, (UE) n° 1094/2010 et (UE) n° 1095/2010 en ce qui concerne les compétences de l'Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles) et de l'Autorité européenne de surveillance (Autorité européenne des marchés financiers)

* ¹⁷⁹ Règlement délégué (UE) 2015/35 de la Commission du 10 octobre 2014 complétant la directive 2009/138/CE du Parlement européen et du Conseil sur l'accès aux activités de l'assurance et de la réassurance et leur exercice (solvabilité II).

* ¹⁸⁰ Article 41 de la directive « Solvabilité II ».

* ¹⁸¹ Article 45 de la directive « Solvabilité II ».

* ¹⁸² Ordonnance n° 2015-378 du 2 avril 2015 transposant la directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l'accès aux activités de l'assurance et de la réassurance et leur exercice.

* ¹⁸³ Directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

* ¹⁸⁴ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.

* ¹⁸⁵ Article 2 de la directive « DORA ».

* ¹⁸⁶ Directive (UE) 2016/2341 du Parlement européen et du Conseil du 14 décembre 2016 concernant les activités et la surveillance des institutions de retraite professionnelle (IRP).

* ¹⁸⁷ Article 5 du règlement « DORA ».

* ¹⁸⁸ Article 24 du règlement « DORA ».

* ¹⁸⁹ Conseil d'État, Section de l'administration, Section des finances, Avis sur un projet de loi relatif à la résilience des activités d'importance vitale, à la protection des infrastructures critiques, à la cybersécurité et à la résilience opérationnelle numérique du secteur financier, n° 408329, 6 juin 2024.

* ¹⁹⁰ Conseil constitutionnel, 10 juin 2004, n° 2004-496 DC, Loi pour la confiance dans l'économie numérique, §7.

* ¹⁹¹ Réponses de France Assureurs au questionnaire du rapporteur.

* ¹⁹² Directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l'accès aux activités de l'assurance et de la réassurance et leur exercice.

* ¹⁹³ Pour des développements plus approfondis sur la directive « Solvabilité II », le lecteur pourra se reporter au commentaire de l'article 57.

* ¹⁹⁴ Prévues au sein de la section 2 du chapitre IV du titre 2 de la directive.

* ¹⁹⁵ En droit interne, l'article L. 356-2 du code des assurances définit ces entreprises têtes de groupes comme, d'une part, les « entreprises participantes dans au moins une entreprise d'assurance, une entreprise de réassurance, une entreprise d'assurance d'un pays tiers ou une entreprise de réassurance d'un pays tiers » et, d'autre part, comme les entreprises mères de type holding, i.e. une société de groupe d'assurance (SGA), une société de groupe d'assurance mutuelle (SGAM), une union mutualiste de groupe (UMG) ou une société de groupe assurantiel de protection sociale (SGAPS).

* ¹⁹⁶ Ordonnance n° 2015-378 du 2 avril 2015 transposant la directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l'accès aux activités de l'assurance et de la réassurance et leur exercice.

* ¹⁹⁷ Directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

* ¹⁹⁸ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.

* ¹⁹⁹ Article 2 de la directive « DORA ».

* ²⁰⁰ Pour des développements sur le contenu des exigences introduites par le règlement « DORA », se référer au commentaire de l'article 57 du présent projet de loi.

* ²⁰¹ Un alignement similaire est opéré, pour les entreprises d'assurance et de réassurance, à l'article L. 354-1 du code des assurances par le 1° de l'article 57 du présent projet de loi.

* ²⁰² Conseil constitutionnel, 10 juin 2004, n° 2004-496 DC, Loi pour la confiance dans l'économie numérique, §7.

* ²⁰³ Directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l'accès aux activités de l'assurance et de la réassurance et leur exercice.

* ²⁰⁴ Pour des développements plus approfondis sur la directive « Solvabilité II », le lecteur pourra se reporter au commentaire de l'article 57.

* ²⁰⁵ Ordonnance n° 2015-378 du 2 avril 2015 transposant la directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l'accès aux activités de l'assurance et de la réassurance et leur exercice.

* ²⁰⁶ Rapport au Président de la République relatif à l'ordonnance n° 2015-378 du 2 avril 2015 transposant la directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l'accès aux activités de l'assurance et de la réassurance et leur exercice (Solvabilité II).

* ²⁰⁷ Directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

* ²⁰⁸ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.

* ²⁰⁹ Article 2 de la directive « DORA ».

* ²¹⁰ Pour des développements sur le contenu des exigences introduites par le règlement « DORA », se référer au commentaire de l'article 57 du présent projet de loi.

* ²¹¹ Conseil constitutionnel, 10 juin 2004, n° 2004-496 DC, Loi pour la confiance dans l'économie numérique, §7.

* ²¹² Directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009, dite « Solvabilité II ».

* ²¹³ Ordonnance n° 2015-378 du 2 avril 2015 transposant la directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l'accès aux activités de l'assurance et de la réassurance et leur exercice

* ²¹⁴  Conseil constitutionnel, déc. n° 99-421 DC du 16 décembre 1999, Loi portant habilitation du Gouvernement à procéder, par ordonnances, à l'adoption de la partie législative de certains codes, cons. 13.

* ²¹⁵ Directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l'accès aux activités de l'assurance et de la réassurance et leur exercice.

* ²¹⁶ Pour des développements plus approfondis sur la directive « Solvabilité II », le lecteur pourra se reporter au commentaire de l'article 57.

* ²¹⁷ Ordonnance n° 2015-378 du 2 avril 2015 transposant la directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l'accès aux activités de l'assurance et de la réassurance et leur exercice.

* ²¹⁸ Rapport au Président de la République relatif à l'ordonnance n° 2015-378 du 2 avril 2015 transposant la directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l'accès aux activités de l'assurance et de la réassurance et leur exercice (Solvabilité II).

* ²¹⁹ Directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

* ²²⁰ Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011.

* ²²¹ Article 2 de la directive « DORA ».

* ²²² Pour des développements sur le contenu des exigences introduites par le règlement « DORA », se référer au commentaire de l'article 57 du présent projet de loi.

* ²²³ Réponses de France Assureurs au questionnaire du rapporteur.

* ²²⁴ Rapport n° 2024-07 du 3 octobre 2024. Les enjeux de la transposition de la directive NIS 2 en France.

* ²²⁵ Il est de faible taille, la valeur de ses actifs limitée, ses obligations en matière de redressement et de résolution sont inexistantes ou simplifiées, son portefeuille de négociation est de faible taille, la valeur de ses positions sur instruments dérivés est limitée, ses actifs ou passifs consolidés liées à des activités situées en Europe sont majoritaires, il n'utilise pas de modèle interne pour satisfaire à ses exigences prudentielles, il n'a pas manifesté son opposition à être ainsi classé, de même que son autorité de supervision.

* ²²⁶ Les sociétés de financement françaises, soumises aux mêmes exigences prudentielles que les établissements de crédit, ne paraissent pas pouvoir relever de cet article.

* ²²⁷ Réponses de l'Association française des sociétés financières au questionnaire du rapporteur.