Projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

N° 393

SÉNAT

SESSION ORDINAIRE DE 2024-2025

RAPPORT

FAIT

au nom de la commission spéciale (1) sur le projet de loi relatif
à la résilience des infrastructures critiques et au renforcement de la cybersécurité (procédure accélérée),

Par MM. Michel CANÉVET, Patrick CHAIZE et Hugues SAURY,

Sénateurs

Voir les numéros :

L'ESSENTIEL

LA FRANCE TRANSPOSE 3 DIRECTIVES EUROPÉENNES POUR RENFORCER LA RÉSILIENCE ET LA CYBERSÉCURITÉ

La montée de la cybermenace illustrée par les attaques de rançongiciels

Source : ANSSI - Panorama de la cybermenace 2023

I. TROIS DIRECTIVES EUROPÉENNES POUR RENFORCER LA RÉSILIENCE DES ENTITÉS CRITIQUES ET LA CYBERSÉCURITÉ

A. REC : LE PASSAGE D'UNE LOGIQUE DE PROTECTION À UNE APPROCHE DE RÉSILIENCE

Le titre I du projet de loi vise à transposer la directive (UE) 2022/2557 du parlement européen et du conseil du 14 décembre 2022 sur la résilience des entités critiques, dite « REC », en modifiant le code de la défense.

La directive REC, qui a été négociée sous présidence française de l'Union européenne, s'inspire en grande partie du dispositif français existant. Sa transposition en droit national consiste donc essentiellement en une actualisation du dispositif de sécurité des activités d'importance vitale (SAIV) en place depuis 2006.

Ce texte a pour ambition de fournir à l'ensemble des opérateurs du marché intérieur des standards de sécurité équivalents tout en offrant des règles de concurrence plus équitables.

Le Gouvernement a ainsi fait le choix de s'appuyer sur ce dispositif, en reprenant par exemple la terminologie existante, plutôt que de créer un dispositif ex nihilo. Cette décision semble opportune, le dispositif de SAIV étant désormais bien connu et maîtrisé par les opérateurs concernés. Par ailleurs, le nombre d'opérateurs d'importance vitale (OIV), qui est d'environ 300, ainsi que le nombre de points d'importance vitale, de l'ordre de 1 500, ne devraient pas évoluer de manière significative.

Toutefois, cette transposition marque un changement important de philosophie : elle acte le passage d'une logique de protection des infrastructures d'importance vitale à une approche axée sur la résilience.

B. NIS 2 : UN CHANGEMENT DE PARADIGME POUR LES ENTITÉS ASSUJETTIES ET POUR L'AUTORITÉ NATIONALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION

Le titre II du projet de loi transpose la directive (UE) 2022/2555 du Parlement Européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, dite « NIS2 ».

Ce texte conduit à un changement majeur de paradigme : il s'agit non plus seulement, comme avec la directive NIS 1, de sécuriser des infrastructures critiques (environ 500), mais aussi d'assurer la résilience quelque 15 000 entités « essentielles » ou « importantes », en tant qu'organisations, et de l'ensemble de leurs systèmes d'information dans la lutte contre les cyberattaques (cf. encadré ci-dessous).

En outre, sur le constat étayé de l'augmentation des menaces cyber sur les collectivités territoriales (cf. grapique ci-dessous), le Gouvernement propose d'inclure dans la transposition près de 1 500 collectivités territoriales, groupements de collectivités et organismes placés sous leur tutelle, dont l'ensemble des régions et des départements, près de 1 000 communautés de communes et de 300 communes de plus de 30 000 habitants.

Pour la commission spéciale, le choix d'inclure un grand nombre de collectivités territoriales et les établissements d'enseignement supérieur est ambitieux mais nécessaire.

Nombre d'incidents cyber par type de collectivité en 2024
En 2024, l'ANSSI a traité 218 incidents cyber affectant les collectivités territoriales, soit une moyenne de 18 incidents par mois, dont 44 incidents affectant des départements et 29 incidents affectant des régions. Ces chiffres se révèlent élevés en comparaison du nombre de départements (101) et de régions (18).
Source : ANSSI - synthèse de la menace sur les collectivités territoriales en 2024

Les cyberattaques ont un coût très élevé, estimé en 2022 par le cabinet d'études économiques Asterès à 2 milliards d'euros.

Dans le secteur privé, une enquête menée en juin 2024 par l'ANSSI auprès des membres du CLUSIF, une association de professionnels de la cybersécurité, révèle qu'une cyberattaque coûte en moyenne 466 000 euros pour les TPE/PME, 13 millions d'euros pour les ETI et 135 millions d'euros pour les grandes entreprises.

Ce coût représente en moyenne 5 à 10 % du chiffre d'affaires de l'organisation, quels que soient sa taille ou son secteur d'activité, réparti entre les pertes d'exploitation (50 %), le coût des prestations externes d'accompagnement (20 %), le coût de remise en état et d'investissement dans le système d'information (20 %) et le coût réputationnel (10 %).

Dans la sphère publique, les établissements hospitaliers évoqués supra ont supporté des dégâts particulièrement importants : les coûts directs ont ainsi été estimés à 2,36 millions d'euros pour le Centre hospitalier Dax-Côte d'Argent (février 2021) et à plus de 5,5 millions d'euros pour le Centre hospitalier Sud-Francilien déjà cité.

Les collectivités territoriales et les intercommunalités ont également été lourdement affectées, avec des coûts directs estimés à 900 000 euros pour la Métropole Aix-Marseille-Provence (mars 2020) et à plus de 1,5 million d'euros pour la ville de Bondy (novembre 2020).

A ces coûts directs s'ajoutent des coûts indirects, liés aux activités non réalisées ou à la perte de confiances des usagers, mais leur chiffrage est complexe, tout particulièrement dans le cas des missions de service public.

L'adoption de la directive NIS 2 constitue une réponse à l'augmentation de la cybercriminalité

La directive NIS 2 distingue deux catégories d'entités régulées : les entités « essentielles » et les entités « importantes » du point de vue de la sécurité des systèmes d'information. Cette catégorisation s'établit selon leur degré de criticité, leur taille et leur chiffre d'affaires (pour les entreprises).

Deux caractéristiques qui conduisent à qualifier une entité d'essentielle :

· son appartenance à un secteur d'activité « hautement critique » ;

· le dépassement de certains seuils d'effectifs ou d'activité, à savoir le fait d'employer 250 personnes ou d'avoir un chiffre d'affaires annuel excédant 50 millions d'euros et un bilan annuel de plus de 43 millions d'euros.

Au total, selon l'ANSSI, quelque 2 000 entreprises privées devraient ainsi être considérées comme des entités « essentielles »

S'agissant des entités importantes, le texte prévoit que sont désignées comme telles les entreprises appartenant à un des secteurs d'activité « hautement critiques » ou « critiques » qui ne sont pas des entités « essentielles » et qui emploient au moins 50 personnes ou dont le chiffre d'affaires et le total du bilan annuel excèdent chacun 10 millions d'euros.

Le tableau ci-dessous présente la classification des critères applicables aux entreprises selon qu'elles seront assujetties à l'une ou l'autre catégorie.

Seuils de classification des entités essentielles et importantes

La commission spéciale a néanmoins observé qu'une certaine incompréhension demeurait quant aux différences d'approche de la définition des seuils entre la directive (qui procède par exclusion) et le projet de loi qui définit positivement les critères d'assujettissement. Un effort de pédagogie et de communication important devra être consacré à ce volet de l'application de la loi car dans en pratiques, les entités devront elles-mêmes identifier la catégorie dont elles relèvent.

C. DORA : LES DISPOSITIONS SPÉCIFIQUES AUX SECTEURS FINANCIER, BANCAIRE ET ASSURANTIEL

Le titre III du projet de loi transpose dans le droit interne les dispositions de la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier, dite « DORA ».

Ces dispositions viennent elles-mêmes modifier plusieurs directives encadrant les secteurs bancaire, financier et assurantiel pour prévoir que leur politique de gestion des risques liés aux technologies de l'information et de la communication est conforme au règlement (UE) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier.

En effet, le secteur financier est une cible de choix pour les cyberattaques : il n'est que de rappeler la recapitalisation de la filiale américaine de la banque chinoise ICBC à hauteur de plusieurs milliards de dollars en 2024 du fait d'un rançongiciel. Par ailleurs, comme le souligne un rapport du comité européen du risque systémique (CERS) de 2020, le niveau élevé d'interconnexion dans le secteur financier, et notamment les interdépendances de leurs systèmes de technologies de l'information et de la communication (TIC), est susceptible de constituer une vulnérabilité systémique du fait d'une propagation possible d'un cyber incident de l'une des 22 000 entités financières à l'ensemble du système financier.

Ainsi que l'indique la direction générale du Trésor dans une étude sur le sujet, le risque cyber est en forte augmentation depuis plusieurs années . Dans son rapport sur la stabilité financière de décembre 2024, la Banque de France indique que le risque lié aux menaces cyber est très élevé, un niveau plus menaçant que le risque climatique, le risque de marché, le risqué lié à l'endettement des acteurs non financiers et le risque pour les intermédiaires financiers, qui n'est qu'élevé (cf. graphique ci-après).

Évaluation des risques du système financier français en décembre 2024

Source : Banque de France, rapport sur la stabilité financière, décembre 2024

Selon l'Autorité des marchés financiers (AMF), les entités financières sont exposées à une large gamme de risques « TIC » : le déni de service sur l'infrastructure de trading, et donc plus globalement l'atteinte à la disponibilité de l'infrastructure de trading, l'atteinte à la confidentialité et l'intégrité des ordres, la compromission de l'algorithme de négociation (porte dérobée, code malveillant ou simplement présentant des bogues importés depuis des sources externes comme l'open source ou ChatGPT), ou encore l'atteinte à l'intégrité du Système d'Information (SI) supportant les services algorithmiques en vue de compromettre et modifier l'algorithme.

Au total, donc, une réglementation plus rigoureuse que celle qui prévalait par le passé s'avère nécessaire.

II. UN PROJET DE LOI ENFIN BIENVENU MAIS DONT LES MODALITÉS DE TRANSPOSITION NÉCESSITENT DES PRÉCISIONS

A. UNE TRANSPOSITION TARDIVE MAIS SUR LAQUELLE LES PARTIES PRENANTES S'ESTIMENT PEU CONSULTÉES

La transposition de la directive NIS 2 devait intervenir avant le 17 octobre 2024 mais les circonstances politiques auront conduit à surmonter une dissolution de l'Assemblée nationale entre l'annonce du projet de loi initial pour juin 2024, le dépôt du texte le 15 octobre, puis une censure gouvernementale avant l'audition de Mme Clara Chappaz, ministre déléguée chargée de l'intelligence artificielle et du numérique, le 27 janvier 2025.

Au total, la commission spéciale aura organisé sept réunions publiques entre le 17 décembre 2024 et le 11 février 2025 : deux auditions de responsables publics - outre la ministre précitée, M. Vincent Strubel, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), et cinq tables rondes, avec les organisations professionnelles, des représentants des entreprises cyber, les associations d'élus, les autorités de régulation financière et des acteurs de la cyberdéfense. Cette séquence aura été la contribution de la commission spéciale à une meilleure sensibilisation et à une meilleure information du public sur l'effort de résilience et de lutte contre les attaques cyber à engager.

Paradoxalement, bien que l'ANSSI ait indiqué avoir conduit depuis septembre 2023 des consultations avec plus de soixante-dix fédérations professionnelles, ainsi que les onze principales associations d'élus et quatre fédérations de collectivités territoriales - et en dépit d'une étude d'impact faisant plus de 900 pages -, l'ensemble des personnes entendues ont déploré un manque d'information et de concertation notamment sur les dispositions réglementaires d'application du projet de loi.

B. LE RISQUE QUE LA SOUSTRANSPOSITION LÉGISLATIVE N'ENGENDRE UNE SURTRANSPOSITION RÉGLEMENTAIRE

Les points d'attention portés à la connaissance de la commission spéciale ont principalement porté sur l'absence de transposition de certaines dispositions figurant dans les directives telles que des définitions de périmètre d'activité, d'incidents et de délais. Ces omissions ont pu être qualifiées de « sous-transposition législative » avec le risque d'une « sur-transposition réglementaire » dont ni les acteurs concernés, ni la commission n'ont obtenu de précisions satisfaisantes de la part du Gouvernement. Ainsi le tableau synoptique des mesures d'application du projet de loi recense 40 renvois à la prise d'un décret en conseil d'État.

Signe que ce texte mobilise le Sénat dans son ensemble, la commission des affaires européennes, présidée par Jean-François Rapin, a effectué une communication sur les dispositions de transposition et d'adaptation prévues par ce projet de loi^1(*), dont les observations ont été communiquées à l'ensemble des membres de la commission spéciale. L'observation principale concerne l'assujettissement des sociétés de financement aux obligations de la directive DORA, alors même que cela n'est pas prévu par la directive, cette surtransposition n'étant pas jugée préoccupante dans la mesure où ces entités peuvent constituer une porte d'entrée pour les cybermenaces. D'agissant des directives REC et NIS 2, la commission des affaires européenne ne constate « aucune surtransposition notable », tout en précisant que « les latitudes laissées à chaque État membre pour la transposition ont néanmoins été utilisées de façon extensive par la France ».

III. LES APPORTS DE LA COMMISSION SPÉCIALE

La commission spéciale a adopté 61 amendements dont 53 de ses rapporteurs pour préciser les modalités de transposition des 3 directives. En outre, les rapporteurs ont décidé de réserver pour la discussion en séance publique le dépôt de plusieurs amendements nécessitant des éclaircissements et des engagements du Gouvernement.

A. DES MODALITÉS DE TRANSPOSITION À PRÉCISER

· Transposer la définition des notions d'incident et de résilience (article 1^er), d'incident et de vulnérabilité (article 6) conformément à la lettre de la directive ;

· Modifier la composition de la commission des sanctions pour en renforcer les garanties d'indépendance (article 1^er) ;

· Étendre le champ de l'analyse des dépendances devant être réalisée par les opérateurs d'importance vitale aux sous-traitants (article 1^er) ;

· Différer l'entrée en vigueur du titre I^er pour éviter que certains opérateurs ne soient soumis à des délais raccourcis pour satisfaire à leurs obligations (article 4).

· Inscrire dans la loi l'élaboration par le Gouvernement d'une stratégie nationale de cybersécurité et les modalités de contrôle parlementaire de son application (article 5 bis) ;

· Inscrire dans la loi la liste des secteurs hautement critiques et critiques (article 7) et les modalités de sa mise à jour (article 12) ;

· Élever la supervision de la cybersécurité au niveau des organes de direction des entités et veiller à l'exigence de proportionnalité des obligations qui leur sont imposées (article 14) ;

· Préciser les modalités de notification des incidents à l'ANSSI, notamment en supprimant la notion d'« incident critique », qui, dans le projet de loi, vient s'ajouter à celui d'« incident important », ce qui est source de complexité inutile (article 17) ;

· Encadrer le coût des contrôles restant à la charge des entités contrôlées en le limitant aux seuls cas où des manquements sont constatés (article 29) ;

· Préciser les règles de nomination des personnalités qualifiées au sein de la commission de sanction (article 36).

· Éviter des différences de traitement injustifiées entre les entreprises par l'application du règlement DORA aux succursales d'entreprises d'investissement de pays tiers (article 49) ;

· Simplifier la vie des entreprises, en créant un guichet unique de notification des cyber-incidents (article 43 A), en fusionnant des dispositifs de déclarations d'incidents (article 49) et en évitant le double assujettissement à la directive NIS 2 et au paquet DORA (article 62 A) ;

· Modérer les effets des surtranspositions en supprimant l'article 53, qui introduisait une précision superfétatoire et sans doute contreproductive concernant les pouvoirs du secrétaire général de l'Autorité de contrôle prudentiel et de résolution, et en reportant l'entrée en vigueur du titre III de la loi au 1^er janvier 2030 pour les sociétés de financement (article 62), auquel le règlement DORA ne fait pas référence.

En outre, 8 amendements déposés respectivement par Mmes Audrey Linkenheld (1), Catherine Morin-Desailly (2), Vanina Paoli-Gagin (1) et M. Mickaël Vallet (4) ont apporté des précisions sur les notions d'activité d'importance vitale, sur la nature des risques à évaluer (article 1^er), sur l'accompagnement par l'ANSSI des entités assujetties (article 5), sur la demande d'avis de la CNIL sur le décret définissant les informations à transmettre (article 12) et leur limitation au seul domaine cyber (article 23).

B. DES POINTS DE VIGILANCE QUI NÉCESSITENT DES ÉCLAIRCISSEMENTS ET DES ENGAGEMENTS DU GOUVERNEMENT

Dans la perspective de la séance publique, les rapporteurs envisagent de déposer des amendements qui nécessiteront des engagements de la part du Gouvernement :

· Faire passer les communautés d'agglomération qui ne comptent aucune ville de 30 000 habitants de la catégorie des entités essentielles vers la catégorie des entités importantes afin de ne pas leur faire supporter une charge disproportionnée ;

· Trouver une définition législative d'une « labellisation NIS 2 » pour permettre aux entreprises de valoriser, vis-à-vis de leurs banques, de leurs assurances ou bien encore de leurs clients, leurs efforts en matière de cybersécurité ;

· Différer les dispositions en matière de contrôle et de sanctions pendant au moins trois ans, voire davantage pour certaines entités ;

· Instaurer un mécanisme de reconnaissance mutuelle entre États membres pour que les entités puissent se prévaloir du respect de leurs obligations au sein d'un des pays de l'Union européenne.

C. RECOMMANDATIONS SUR L'APPLICATION DU NOUVEAU DISPOSITIF

· Veiller à la proportionnalité des obligations des entités assujetties ;

· Fournir un effort de simplification des mesures d'application réglementaires, en se gardant de toute surtransposition réglementaire ;

· Accompagner les collectivités territoriales dans cette démarche nouvelle pour elles en tenant compte des problématiques de compétences et de financement ;

· Communiquer et faire oeuvre de pédagogie, à l'échelle du pays, sur l'effort de résilience et de cybersécurité, en lien avec la stratégie nationale de cybersécurité.

EXAMEN DES ARTICLES

TITRE IER
RÉSILIENCE DES ACTIVITÉS D'IMPORTANCE VITALE

CHAPITRE IER
DISPOSITIONS GÉNÉRALES

Article 1er

Transposition de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (REC)

I. LE DROIT EXISTANT - DEPUIS 2006, LA FRANCE EST DOTÉE D'UN DISPOSITIF DESTINÉ À ASSURER LA SÉCURITÉ DES ACTIVITÉS D'IMPORTANCE VITALE

Mis en place en 2006, et inscrit dans le code de la défense aux articles L. 1332-1 à L. 1332-7 du code de la défense, le dispositif de sécurité des activités d'importance vitale (SAIV) a pour objectif de protéger certains opérateurs, qu'ils soient publics ou privés, considérés comme essentiels pour garantir la continuité des activités ayant trait, de manière difficilement substituable ou remplaçable, à la production et la distribution de biens ou de services indispensables, ou qui, dans certains cas, pourraient représenter un danger significatif pour la population.

Ces biens ou services doivent être indispensables :

- à la satisfaction des besoins essentiels pour la vie des populations ;

- ou à l'exercice de l'autorité de l'État ;

- ou au fonctionnement de l'économie ;

- ou au maintien du potentiel de défense ;

- ou à la sécurité de la Nation.

Un arrêté du Premier ministre du 2 juin 2006^2(*), modifié par un arrêté du 3 juillet 2008^3(*), fixe la liste des 12 secteurs d'activités d'importance vitale couverts par ce dispositif, qui concerne actuellement plus de 300 opérateurs d'importance vitale (OIV). Ces derniers sont définis à l'article L. 1332-1 du même code comme « les opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ». Les OIV exercent leurs activités sur environ 1 500 points d'importance vitale (PIV), dont la protection est garantie par le secret de la défense nationale. Ils sont tenus, à leurs frais, d'assurer la sécurité de leurs sites et de leurs systèmes d'information les plus sensibles contre toute menace ou risque, notamment ceux à caractère terroriste.

Les modalités de mise en oeuvre du dispositif de SAIV sont fixées par l'instruction générale interministérielle relative à la sécurité des activités d'importance vitale n°6600/SGDSN/PSE/PSN du 7 janvier 2014 (IGI 6600) de laquelle sont issus les développements qui suivent.

A. LES ACTEURS DE LA SÉCURITÉ DES ACTIVITÉS D'IMPORTANCE VITALE

1. Au niveau national

Le Premier ministre est chargé de la mise en place du cadre général du dispositif de SAIV en fixant la liste des secteurs, en désignant les ministres coordonnateurs desdits secteurs, en déterminant la méthode d'analyse et de gestion du risque ainsi que la méthode à suivre pour déterminer, par secteur d'activités d'importance vitale, les scénarios de menace et leur hiérarchisation selon le type ou le niveau de menace envisagé, et en élaborant les plans-type des plans de sécurité opérateur (PSO), des plans particuliers de protection (PPP) et des plans de protection externe (PPE) (cf. infra).

Il supervise la mise en place du dispositif et oriente la stratégie de sécurité des activités d'importance vitale.

Le SGDSN coordonne le dispositif de SAIV. Il assure la présidence et le secrétariat de la commission interministérielle de défense et de sécurité (CIDS). Il est l'entité de synthèse nationale en ce qui concerne la progression de la réalisation des PSO et des PPP.

La CIDS a un rôle consultatif. Son avis est notamment sollicité sur :

- la désignation des OIV, sur proposition des ministères coordonnateurs (cf. infra) ;

- les directives nationales de sécurité (DNS), à l'exception de celles relevant du ministre chargé la défense ;

- les PSO, à l'exception de ceux relevant du ministre chargé de la défense, dont le périmètre dépasse celui d'une zone de défense ;

- la liste des PIV annexée aux PSO, avec la possibilité de proposer des ajouts et des suppressions.

Chacun des 12 secteurs d'activité couverts par le dispositif de SAIV est en outre suivi par un ministère coordonnateur.

Les ministres coordonnateurs veillent à l'application du dispositif de SAIV dans les secteurs d'activités dont ils ont la charge et au sein desquels ils :

- élaborent la ou les DNS correspondantes ;

- sélectionnent et prennent les décisions de désignation des OIV après avis de la CIDS ;

- instruisent les PSO de ses OIV ;

- transmettent les PSO à la CIDS ou à la CZDS suivant le cas de figure (à l'exception du ministre chargé de la défense) ;

- prennent les décisions de désignation des PIV.

En raison de la nécessité de protection du secret de la défense, le ministre chargé de la défense, ministre coordonnateur du secteur des activités militaires de l'État (AME), bénéficie de dispositions dérogatoires au schéma général de mise en oeuvre du dispositif de SAIV.

Par ailleurs, outre son rôle de ministre coordonnateur du secteur d'activités « activités civiles de l'État », et sans préjudice des compétences nationales, générales et interministérielles dévolues au SGDSN et des compétences de coordination nationale des ministres dans le secteur d'activité dont ils sont coordonnateurs, l'animation de la mise en oeuvre territoriale est assurée par le ministère de l'intérieur, via les services du haut fonctionnaire de défense (SHFD).

2.  À l'échelle territoriale

Le préfet de zone de défense et de sécurité est chargé de la coordination du dispositif de SAIV. Il préside la commission zonale de défense et de sécurité (CZDS).

La CZDS est chargée d'une mission générale de coordination, d'assistance, et de contrôle de la mise en oeuvre des PPP (à l'exception de ceux dépendant d'OIV relevant du ministre chargé de la défense). La commission, qui dispose d'un rôle consultatif, est sollicitée sur :

- les PSO des OIV dont le périmètre d'activité ne dépasse pas le ressort de la zone défense. Les PSO sont transmis à la CZDS par l'autorité administrative ayant désigné l'opérateur ;

- la liste des PIV annexée au PSO des OIV de son périmètre avec la capacité de proposer des ajouts ou suppressions ;

- la désignation et le périmètre exact d'une zone d'importance vitale ainsi que sur le PPP de zone d'importance vitale qui lui est transmis par le préfet de département ayant créé ladite zone ;

- la désignation, par un préfet de département, d'un OIV qui gère exclusivement un établissement mentionné à l'article L. 511-1 du code de l'environnement^4(*) ou comprenant une installation nucléaire de base, quand la destruction ou l'avarie de certaines installations de cet établissement peut présenter un danger grave pour la population, et la désignation du PIV correspondant.

Sur demande de son président ou du préfet de département concerné, la commission peut également donner un avis sur les plans de protection externe.

Enfin, le préfet de département est chargé de la mise en oeuvre du dispositif de SAIV en application de la compétence générale qui lui est attribuée de conduite interministérielle des actions de l'État.

Cette responsabilité s'exerce notamment pour la protection externe des PIV, via le PPE. Il veille à la réalisation effective des mesures de sécurité prévues dans les PPP. Il peut saisir la CZDS de toute question qu'il juge utile. Sur convocation du préfet de zone, il participe à la CZDS.

Ses responsabilités particulières sont les suivantes :

- approbation du PPP des PIV des opérateurs ne relevant pas du ministre chargé de la défense, et du PPP des zones d'importance vitale ;

- décision d'équivalence entre un plan de protection réalisé au titre d'une autre réglementation, et le PPP ;

- élaboration du PPE de chaque PIV ou ZIV, en liaison avec le DDS de ce point ou de cette zone ;

- désignation des zones d'importance vitale (ZIV) après avis de l'officier général de la zone de défense et de sécurité lorsque celle-ci inclut un PIV relevant du ministère chargé de la défense ;

- désignation des OIV qui gèrent exclusivement un établissement mentionné à l'article L. 511-1 du code de l'environnement ou comprenant une installation nucléaire de base, quand la destruction ou l'avarie de certaines installations de cet établissement peut présenter un danger grave pour la population, et désignation du PIV correspondant ;

- mise en demeure de l'opérateur d'établir un PPP ;

- mise en demeure de l'opérateur d'exécuter une mesure de son PPP ;

- injonction à l'opérateur de modifier son PPP.

B. PROCESSUS DE DÉSIGNATION D'UN OIV ET D'UN PIV

Processus de désignation d'un opérateur d'importance vitale (OIV) initié par un ministre coordonnateur et par un préfet de département

ICPE : installations classées pour la protection de l'environnement

INB : installations nucléaires de base

Source : étude d'impact

Processus de désignation d'un point d'importance vitale

C. LE PROCESSUS DE PLANIFICATION

Le processus de planification, c'est-à-dire d'élaboration des documents présentant les mesures de protection et de continuité d'activité des opérateurs, auquel les OIV doivent se soumettre, découle d'une évaluation des risques et des menaces retracées au sein des directives nationales de sécurité (DNS).

La DNS s'applique à tout ou partie d'un secteur d'activités d'importance vitale. Elle décrit le périmètre du secteur ou du sous-secteur, elle en identifie les responsables, les processus et les enjeux et en définit le besoin de sécurité des fonctions essentielles. À la suite d'une analyse de risque dans laquelle sont énoncés et hiérarchisés les scénarios de menace, elle précise les objectifs et les politiques de sécurité du secteur ou du sous-secteur concerné. À cette fin, la DNS peut notamment définir la nature des opérateurs et des infrastructures susceptibles d'être désignés d'importance vitale au titre dudit secteur et préciser les critères de leur désignation.

Les DNS sont approuvées par arrêté du Premier ministre, après avis de la CIDS, puis transmises par le SGDSN aux ministres concernés, qui les relaient aux préfectures et aux services déconcentrés.

Sur la base des prescriptions de la ou des DNS qui leur ont été communiquées, les opérateurs sont tenus d'établir des documents de planification spécifiques (plan de sécurité opérateur ou PSO et plan particulier de protection ou PPP), qui comportent :

- l'identification des points d'importance vitale (PIV) ;

- l'analyse des risques et menaces susceptibles de les affecter (catastrophes naturelles, risques technologiques, pandémies, malveillance, cyberattaques, terrorisme, etc.) ;

- l'intégration des mesures Vigipirate propres à leur secteur d'activité ;

- l'établissement de plans de continuité ou de reprise d'activité (PCA/PRA) ;

- la désignation d'un délégué à la défense et à la sécurité (DDS), habilité au secret de la défense nationale et chargé de dialoguer avec le ministère coordonnateur. Un délégué local peut également être nommé pour chaque PIV ;

- la mise en oeuvre de mesures garantissant la protection des informations classifiées, comme le statut d'OIV ou la liste des PIV.

Schéma du processus d'élaboration du plan de sécurité opérateur pour les opérateurs ne relevant pas du ministère chargé de la défense

Source : étude d'impact

II. LE DISPOSITIF PROPOSÉ - LA MODIFICATION DU DISPOSITIF DE SAIV AU SEIN DU CODE DE LA DÉFENSE

A. UNE RÉVISION DU DISPOSITIF NATIONAL RENDUE NÉCESSAIRE PAR LA DIRECTIVE (UE) 2022/2557 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 14 DÉCEMBRE 2022 SUR LA RÉSILIENCE DES ENTITÉS CRITIQUES (REC)

Le 8 décembre 2008, l'Union européenne a adopté une directive^5(*) visant à identifier et désigner les infrastructures critiques européennes et à évaluer les besoins en matière de protection renforcée. Ce texte, qui se limitait aux secteurs des transports et de l'énergie, a introduit la notion d'« infrastructures critiques » et en a proposé une définition harmonisée à l'échelle européenne. Ces infrastructures sont ainsi constituées par « un point, système ou partie de celui-ci, situé dans les États membres, qui est indispensable au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens, et dont l'arrêt ou la destruction aurait un impact significatif dans un État membre du fait de la défaillance de ces fonctions. ».

La directive rappelle que la protection des infrastructures critiques relève principalement des États membres, ainsi que des propriétaires ou exploitants de ces infrastructures. Elle les incite à identifier celles ayant une dimension européenne, à les notifier aux autres États membres, et à mettre en place des points de contact et des plans de sécurité spécifiques pour leur protection. La Commission européenne peut, pour sa part, soutenir ces efforts en partageant des bonnes pratiques ou en proposant des formations.

Une évaluation menée par la Commission européenne en 2019 a mis en lumière la nécessité d'une mise à jour du dispositif. Celle-ci s'imposait face à l'émergence de nouvelles menaces, telles que l'aggravation du dérèglement climatique, l'usage accru des drones ou encore le développement de l'intelligence artificielle. L'évaluation a également souligné le besoin de passer d'une approche centrée sur des infrastructures isolées à une logique de protection des « entités », comprenant non seulement des infrastructures, mais aussi des réseaux (eau, énergie, communication) et des services essentiels.

Face à ces enjeux, l'Union européenne a adopté, le 14 décembre 2022, la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques (dite directive REC).

Négociée pour l'essentiel sous présidence française du Conseil de l'Union européenne (PFUE), cette directive établit un cadre minimal à l'échelle européenne afin d'assurer la « résilience » de tous les opérateurs d'entités critiques dans les États membres, élargissant ainsi le champ d'action au-delà des seules infrastructures critiques européennes.

Selon cette directive, les « entités critiques » incluent toute entité publique ou privée désignée par un État membre dans des secteurs stratégiques (articles 2 et 6). Elle s'inscrit dans un cadre législatif cohérent, en complément de la directive (UE) 2022/2555 sur la sécurité des réseaux face aux cyberattaques (SRI 2) et de la directive (UE) 2022/2556 relative à la résilience numérique dans le secteur financier (DORA).

La directive (UE) 2022/2557 impose 3 principales obligations aux États membres : i) développer une stratégie nationale, ii) évaluer les risques auxquels les entités critiques sont exposées, et iii) identifier ces entités. Les États membres doivent également désigner des autorités compétentes pour garantir l'application de ces dispositions et établir un point de contact unique pour les échanges transfrontaliers concernant la résilience des entités critiques.

De leur côté, les entités critiques doivent évaluer leurs propres risques et mettre en oeuvre des mesures techniques, de sécurité et organisationnelles adaptées pour garantir leur résilience. Ces mesures peuvent figurer dans un plan spécifique et doivent inclure des mécanismes de notification rapide des incidents aux autorités compétentes, ainsi que des vérifications des antécédents des employés occupant des fonctions sensibles ou ayant accès aux systèmes stratégiques.

Enfin, la directive reconnaît une « importance européenne particulière » à toute entité critique désignée par un État membre et opérant des services similaires dans au moins 6 États membres.

Si la directive constitue un socle commun minimal, elle laisse aux États membres la liberté d'adopter des mesures nationales plus strictes. Elle prévoit en outre des clauses de sauvegarde, permettant aux États de ne pas appliquer ses dispositions à certaines entités liées à la défense ou à la sécurité nationale.

Le règlement délégué (UE) 2023/2450 de la Commission du 25 juillet 2023 complétant la directive (UE) 2022/2557 du Parlement européen et du Conseil identifie 11 secteurs couverts par la directive REC : i) énergie, ii) transports, iii) bancaire, iv) infrastructures des marchés financiers, v) santé, vi) eau potable, vii) eaux résiduaires, viii) infrastructures numériques, ix) administration publique, x) espace, xi) production, transformation et distribution de denrées alimentaires, chaque secteur comprenant plusieurs sous-secteurs.

La transposition de la directive REC se traduira par conséquent par un élargissement du champ d'application du dispositif national actuel à plusieurs sous-secteurs dont les réseaux de chaleur et de froid, l'hydrogène ou encore l'assainissement.

B. ARTICLES L. 1332-1 ET L. 1332-2 MODIFIÉS - DÉFINITIONS

L'article 1^er du présent projet de loi introduit 3 définitions principales :

1) les activités d'importance vitale (alinéa 7) définies comme « les activités indispensables au fonctionnement de l'économie ou de la société ainsi qu'à la défense ou à la sécurité de la Nation » ;

2) les infrastructures critiques (alinéa 8) définies comme « tout ou partie d'un bien, d'une installation, d'un équipement, d'un réseau ou d'un système nécessaire à l'exercice d'une activité d'importance vitale ou dont une perturbation pourrait mettre gravement en cause la santé de la population ou l'environnement ». Deux catégories d'infrastructures critiques sont distinguées :

i) les points d'importance vitale (PIV) définis comme « les installations les plus sensibles, notamment celles qui sont difficilement substituables » (alinéa 10) ;

ii) les systèmes d'information d'importance vitale définis comme « les systèmes d'information nécessaires à l'exercice d'une activité d'importance vitale ou à la gestion, l'utilisation ou la protection d'une ou plusieurs infrastructures critiques » (alinéa 11) ;

3) les opérateurs d'importance vitale (OIV), définis aux alinéas 12 à 17 qui modifient l'article L. 1332-2 du code de la défense. Comme l'a indiqué le SGDSN en audition, le critère déterminant pour identifier un OIV restera celui de la non-substituabilité.

L'alinéa 14 précise que l'autorité administrative pourra mentionner, dans l'acte de désignation, l'activité ou la liste des activités d'importance vitale exercées par l'opérateur qui constituent des services essentiels au fonctionnement du marché intérieur, l'opérateur devant à ce titre être regardé comme une entité critique au sens de la directive REC.

Il convient de relever que le champ des OIV retenu dans la transposition est plus large que celui des « entités critiques » au sens de la directive REC. En effet, il inclut les opérateurs « régaliens » relevant de la défense ou de la sécurité nationale, lesquels sont pourtant explicitement exclus du champ de la directive REC.

Les dispositions du titre I^er du présent projet de loi ont en outre vocation à s'appliquer à certaines collectivités territoriales, comme cela est déjà le cas dans le cadre du dispositif existant de SAIV.

Au total, si le nombre d'entités concernées ne peut pas être connu dans le détail, leur liste étant couverte par le secret de la défense nationale, le SGDSN a indiqué en audition que l'entrée en vigueur du présent projet de loi devrait entraîner une augmentation limitée du nombre d'OIV et de PIV, estimée à quelques dizaines.

Le SGDSN a indiqué au rapporteur Hugues Saury que si les modalités de désignation des OIV et l'architecture de planification font l'objet de dispositions réglementaires en cours de rédaction, elles ont globalement vocation à être conservées par rapport au dispositif actuel.

Ainsi, le processus de désignation devrait comporter les phases suivantes :

- dialogue entre le ministère coordonnateur et l'opérateur, identifié selon les éléments (éventuellement des seuils) prévus par la ou les directives nationales de sécurité concernées (DNS) ;

- désignation par le ministre après avis de la commission interministérielle de défense et de sécurité des secteurs d'activités d'importance vitale (CIDS) ou par le préfet de département après avis de la commission zonale de défense et de sécurité des secteurs d'activités d'importance vitale pour les OIV à PIV unique classé ICPE ou INB ;

- arrêté de désignation de l'opérateur d'importance vitale ;

- notification, à l'opérateur de la ou des DNS applicables.

C. ARTICLES L. 1332-3 À L. 1332-5 MODIFIÉS - OBLIGATIONS DES OIV DESTINÉES À ACCROÎTRE LEUR RÉSILIENCE

1. Établissement d'un « plan de résilience opérateur »

Aux termes de l'article L. 1332-3 du code de la défense tel que modifié par le présent article premier, les OIV seront tenus d'évaluer les risques de toute nature, y compris ceux liés au terrorisme (alinéa 20). Cette analyse devra être réalisée dans un délai de 9 mois après leur désignation et actualisée au moins tous les 4 ans (alinéa 21).

Sur la base de cette analyse, les OIV devront élaborer des mesures de résilience adaptées pour assurer la continuité de leurs missions essentielles et protéger leurs infrastructures critiques (alinéa 22). Ces mesures devront être détaillées dans un « plan de résilience opérateur » (PRO), lequel devra être établi dans un délai de 10 mois suivant la désignation de l'opérateur (alinéa 23). Ce plan, qui fusionnera le plan de sécurité opérateur et l'essentiel du plan de continuité d'activité (cf. supra), sera soumis à l'approbation de l'autorité administrative compétente. La nature des mesures qui devront y être retranscrites sera précisée par décret en Conseil d'État (alinéa 29).

L'alinéa 24 du présent article prévoit que lorsque des documents existants répondent déjà partiellement ou totalement aux exigences, l'autorité administrative pourra les reconnaître comme équivalents au plan de résilience. Comme l'indique l'étude d'impact, cette disposition permettra notamment à l'OIV « de se servir d'un plan de continuité d'activité existant pour l'intégrer à son PRO dans la partie devant porter sur les obligations de résilience, sur validation du principe par l'autorité administrative qui aurait vérifié que le plan en question répond aux exigences du dispositif SAIV ». Il convient de préciser que les PRO faisant l'objet de nouveaux plans-types établis à la suite de la mise à jour de l'instruction générale interministérielle relative la sécurité des activités d'importance vitale (IGI 6600) et des directives nationales de sécurité et même si ces derniers reprendront en grande partie les éléments contenus dans les plans-type des PSO actuels, seuls certains éléments de fond, toujours à jour, des parties des PSO existants pourront être repris dans les futurs PRO. Les PSO en tant que tels, nécessairement lacunaires au regard des nouveaux plans-type, ne pourront donc pas être assimilés au PRO.

L'alinéa 28 prévoit que les opérateurs désignés au titre du danger grave pour la population pourront connaître des aménagements dans les mesures applicables, afin que soient privilégiés les impératifs de sécurité sur la continuité d'activité.

En cas de manquement d'un opérateur à ses obligations, l'autorité administrative pourra lui adresser une mise en demeure pour élaborer, modifier ou mettre en oeuvre le plan (alinéa 25). Cette mise en demeure sera assortie d'un délai minimum d'un mois et pourra s'accompagner d'une astreinte financière pouvant atteindre 5 000 euros par jour de retard (alinéa 26). L'astreinte pourra également être prononcée à l'expiration du délai imparti par la mise en demeure en cas de non-respect de celle-ci par l'OIV (alinéa 27).

Contrairement aux sanctions, le prononcé d'une astreinte pourra concerner l'État, ses établissements publics administratifs, les collectivités territoriales ainsi que leurs groupements et leurs établissements publics administratifs.

2. Réalisation d'une analyse des dépendances

L'alinéa 30 modifie l'article L. 1332-4 du code de la défense et impose aux OIV d'analyser leurs dépendances à l'égard de l'ensemble des acteurs essentiels à leurs activités vitales, qu'ils soient nationaux, européens ou internationaux, et ce, à chaque étape de leur chaîne de production ou d'activité. Cette évaluation inclut une analyse approfondie des vulnérabilités dans les chaînes d'approvisionnement et doit mener à des mesures concrètes (alinéa 31).

3. Établissement d'un « plan particulier de résilience » pour chaque point d'importance vitale

L'article L. 1332-5 du code de la défense tel que modifié par les alinéas 32 à 37 du présent article 1^er fixe l'obligation pour les OIV d'établir un « plan particulier de résilience » (PPR) pour chaque PIV, qui se substitue au « plan particulier de protection » (cf. supra). Comme le précise l'étude d'impact, celui-ci « a également pour vocation d'intégrer les éléments auparavant indiqués dans le PPE en annexe, ainsi qu'une partie des éléments qui pouvaient apparaitre auparavant dans le plan de continuité d'activité que l'opérateur devait effectuer au titre de l'article L. 2151-4 ». Ce nouveau plan, qui doit détailler les mesures de protection et de résilience prises pour chaque PIV, constitue une obligation supplémentaire par rapport aux prescriptions de la directive REC, cette dernière n'imposant l'établissement d'un plan qu'à l'échelle de l'opérateur.

Comme pour les plans de résilience opérateur, il est prévu qu'un document existant, élaboré dans le cadre d'accords internationaux régulièrement ratifiés ou approuvés, de lois ou de règlements, et décrivant des mesures de protection jugées suffisantes pour un point d'importance vitale, peut être reconnu comme équivalent au PPR (alinéa 34).

En cas de refus de l'opérateur d'élaborer, de modifier ou de mettre en oeuvre un PPR, l'autorité administrative peut le mettre en demeure de satisfaire à ses obligations dans un délai fixé, qui doit être d'au moins un mois (alinéa 35). Cette mise en demeure pourra s'accompagner d'une astreinte financière pouvant atteindre 5 000 euros par jour de retard (alinéa 35). L'astreinte pourra également être prononcée à l'expiration du délai imparti par la mise en demeure en cas de non-respect de celle-ci par l'OIV (alinéa 37). Contrairement aux sanctions, le prononcé d'une astreinte pourra concerner l'État, ses établissements publics administratifs, les collectivités territoriales ainsi que leurs groupements et leurs établissements publics administratifs

Comme dans le dispositif actuel de SAIV, la mise en oeuvre de l'ensemble des obligations rappelées supra restera à la charge des OIV (alinéa 16).

D. ARTICLE L. 1332-6 MODIFIÉ - ENQUÊTES ADMINISTRATIVES DE SÉCURITÉ

Le contrôle de l'accès aux sites d'importance vitale, permettant aux OIV de solliciter l'avis de l'autorité administrative compétente, a été institué par la loi n° 2011-267 du 14 mars 2011 dite « LOPPSI 2 » (loi d'orientation et de programmation pour la performance de la sécurité intérieure). Ce dispositif, inscrit à l'article L. 1332-2-1 du code de la défense, prévoit que cet avis est rendu à la suite d'une enquête administrative, laquelle peut donner lieu à la consultation du casier judiciaire de l'intéressé et à des traitements automatisés de données à caractère personnel (article L. 1332-1 du code de la défense).

En pratique, le service national des enquêtes administratives de sécurité réalise annuellement 700 000 enquêtes, dont 70 000 au titre des points d'importance vitale. Par ailleurs, la direction du renseignement et de la sécurité de la défense effectue environ 300 000 enquêtes par an pour les points d'importance vitale relevant du ministère de la défense.

Les alinéas 38 à 43 du présent article 1^er modifient l'article L. 1332-6 du code de la défense afin d'encadrer les conditions dans lesquelles un OIV peut solliciter l'avis de l'autorité administrative. Deux hypothèses sont ainsi distinguées :

- avant d'accorder une autorisation d'accès physique ou à distance à des points ou systèmes d'information d'importance vitale (alinéa 38). Les cas dans lesquels les accès physiques ou à distance peuvent justifier une demande d'avis sont précisés dans le PRO (alinéa 41) ;

- avant le recrutement ou l'affectation à des postes nécessitant de tels accès ou impliquant des fonctions sensibles (alinéa 39), lesquelles sont définies comme celles « indispensables à la réalisation d'une activité d'importance vitale ou dont l'occupation expose l'opérateur à des vulnérabilités ». Elles sont identifiées dans le plan de résilience de l'OIV (alinéa 40).

En cas d'avis défavorable, qui ne peut être rendu que si l'enquête révèle un risque pour l'activité vitale ou la sécurité d'une infrastructure critique, l'opérateur privé^6(*) doit refuser l'autorisation.

E. ARTICLE L. 1332-7 NOUVEAU - OBLIGATION DE NOTIFICATION DES INCIDENTS

Le dispositif actuel ne contraint pas les OIV à signaler à l'autorité administrative les incidents physiques rencontrés.

En application des articles 14 et 15 de la directive REC, l'alinéa 44 du présent article instaure une obligation pour les OIV de signaler à l'autorité administrative tout incident pouvant compromettre la continuité de leurs activités d'importance vitale, dans un délai défini par décret en Conseil d'État.

L'alinéa 45 prévoit la possibilité pour l'autorité administrative d'informer le public lorsqu'elle estime qu'il est dans l'intérêt général de le faire.

F. ARTICLES L. 1332-8 ET L. 1332-9 NOUVEAUX - DISPOSITIONS APPLICABLES AUX ENTITÉS CRITIQUES D'IMPORTANCE EUROPÉENNE PARTICULIÈRE

Les alinéas 48 à 50 introduisent un article L. 1332-8 nouveau au sein du code de la défense imposant aux OIV qui assurent des services essentiels ou similaires dans au moins 6 États membres d'en informer l'autorité administrative. Cette obligation s'applique au plus tard au moment de la présentation pour approbation de leur « plan de résilience opérateur ». Ces opérateurs sont alors désignés comme « entités critiques d'importance européenne particulière ».

Certains opérateurs relevant de secteurs régaliens, comme la sécurité nationale, la défense, le nucléaire ou d'autres activités sensibles, peuvent toutefois être exemptés de tout ou partie des obligations résultant des articles L. 1332-8 et L. 1332-9 dans des conditions déterminées par décret en Conseil d'État.

L'article L. 1332-9 du code de la défense, créé par les alinéas 51 et 52 du présent article 1^er, prévoit la possibilité pour les entités critiques d'importance européenne particulière de faire l'objet de missions de conseil menées par la Commission européenne. Ces missions, conditionnées à l'accord préalable de l'autorité administrative française, visent à évaluer la conformité de l'opérateur à ses obligations et à proposer des mesures pour renforcer sa résilience. À cette fin, l'opérateur concerné est tenu de garantir l'accès aux informations, systèmes et installations nécessaires, tout en respectant les secrets protégés par la loi.

G. ARTICLE L. 1332-10 NOUVEAU - DISPOSITIFS TECHNIQUES CONCOURANT À LA PROTECTION DES INSTALLATIONS D'IMPORTANCE VITALE

L'alinéa 54 du présent projet de loi reprend les dispositions figurant à l'heure actuelle à l'article L. 1332-6-1 A du code de la défense au sein d'un article L. 1332-10 nouveau.

Ces dispositions prévoient la possibilité pour les services de l'État concourant à la défense nationale, à la sûreté de l'État et à la sécurité intérieure de procéder, au moyen de caméras installées sur des aéronefs, à la captation, à l'enregistrement et à la transmission d'images à des fins de protection des établissements, installations et ouvrages d'importance vitale.

H. ARTICLE L. 1332-11 NOUVEAU - SYSTÈMES D'INFORMATION D'IMPORTANCE VITALE

Si les entités relevant du champ de la directive REC sont automatiquement assujetties aux dispositions de la directive NIS 2, le champ des OIV tel que retenu dans le dispositif français étant plus large que celui de la directive REC, il était nécessaire de prévoir une disposition spécifique en droit national pour soumettre les opérateurs concernés aux obligations prévues par le titre II du présent projet de loi.

L'alinéa 58 crée ainsi un article L. 1332-11 au sein du code de la défense qui prévoit que les opérateurs d'importance vitale mettent en oeuvre les obligations prévues aux articles 14 et 16 et au premier alinéa de l'article 17 du présent projet de loi.

I. ARTICLES L. 1332-12 ET L. 1332-13 NOUVEAUX - HABILITATIONS ET CONTRÔLES

Les articles L. 1332-12 à L. 1332-14 du code de la défense, introduits par les alinéas 64 à 73, définissent les prérogatives des agents chargés de contrôler le respect des obligations des OIV. Ils précisent également les conditions d'accès aux informations et lieux nécessaires à leurs missions, ainsi que les sanctions applicables en cas d'entrave à leur action.

L'article L. 1332-12 nouveau prévoit que les agents spécialement désignés et assermentés par l'État sont habilités à rechercher et constater les infractions et manquements aux obligations qui leur incombent, à l'exception de celles résultant de la transposition de la directive NIS 2 en matière de cybersécurité (alinéa 64).

Aux termes de l'article L. 1332-13, ces agents disposent de pouvoirs étendus pour l'exercice de leurs missions (alinéas 65 à 68). Ils peuvent notamment :

- accéder aux locaux des OIV, aux lieux à usage professionnel ou d'exécution d'une prestation de services ;

- obtenir tout document nécessaire à l'accomplissement de leur mission auprès des administrations publiques, des établissements et organismes placés sous le contrôle de l'État et des collectivités territoriales ainsi que dans les entreprises ou services concédés par l'État, les régions, les départements et les communes ;

- recueillir, sur place ou sur convocation, tout renseignement, toute justification ou tout document nécessaire aux contrôles et peuvent, à ce titre, exiger la communication de documents de toute nature propres à faciliter l'accomplissement de leur mission et les obtenir ou en prendre copie, par tout moyen et sur tout support, ou procéder à la saisie de ces documents quels qu'en soient les détenteurs ;

- procéder, sur convocation ou sur place, aux auditions de toute personne susceptible d'apporter des éléments utiles à leurs constatations. Ils en dressent procès-verbal.

Tenus au secret professionnel, celui-ci ne peut cependant pas leur être opposé, sauf dans les cas prévus par l'article 226-13 du code pénal (alinéa 69).

Aux termes de l'article L. 1332-14 nouveau, les opérateurs contrôlés sont tenus de coopérer avec l'autorité administrative. Toute obstruction à l'exercice des fonctions des agents habilités peut entraîner une sanction prononcée par la commission des sanctions (cf. infra) pouvant s'élever à 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial hors taxes de l'exercice précédent, le montant le plus élevé étant retenu (alinéas 71 et 72).

Ces dispositions ne s'appliquent toutefois pas à l'État et à ses établissements publics administratifs (alinéa 73).

J. ARTICLE L. 1332-14 À L. 1332-19 NOUVEAUX - SANCTIONS ET MISE EN PLACE D'UNE COMMISSION DES SANCTIONS

Les alinéas 76 à 94 remplacent le régime de sanctions pénales de l'article L. 1332-7 du code de la défense par un dispositif de sanctions administratives. Ces dernières seront prononcées par une commission des sanctions en cas de non-respect des obligations prévues par l'article 1^er (article L. 1332-15 nouveau).

Aux termes de l'article L. 1332-16 nouveau, cette commission est composée d'un membre du Conseil d'État désigné par le vice-président du Conseil d'État et qui assure la présidence de la commission, d'un membre de la Cour de cassation désigné par le premier président de la Cour de cassation, d'un membre de la Cour des comptes désigné par le premier président de la Cour des comptes, et de 3 personnalités qualifiées nommées par le Premier ministre en raison de leurs compétences dans le domaine de la sécurité des activités d'importance vitale

Elle statue de manière impartiale, sur la base des rapports de contrôle, après avoir entendu l'opérateur ou son représentant.

L'alinéa 88 du présent article introduit un article L. 1332-17 qui fixe le plafond des amendes pouvant être prononcées à 10 millions d'euros ou 2 % du chiffre d'affaires annuel. Ces niveaux de sanction sont identiques à ceux prévus par l'article 34 de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148 (NIS2).

L'article L. 1332-18 nouveau prévoit en outre que la commission peut ordonner la publication de la sanction, les frais étant à la charge de la personne sanctionnée.

Les administrations de l'État et ses établissements publics administratifs de même que les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont exclus du champ des OIV pouvant être sanctionnés par des amendes administratives en cas de manquement aux obligations qui leur incombent.

K. ARTICLES L. 1332-20 À L. 1332-22 NOUVEAUX - MARCHÉS PUBLICS ET CONTRATS DE CONCESSIONS RELATIVES À LA SÉCURITÉ DES ACTIVITÉS D'IMPORTANCE VITALE

Les alinéas 97 à 103 visent à permettre aux opérateurs d'importance vitale de recourir aux régimes dérogatoires inscrits dans le code de la commande publique, qui exonèrent notamment de l'obligation de publicité et de mise en concurrence, pour certains de leurs marchés (dispositif prévu par le titre II du livre V de la deuxième partie du code de la commande publique) et contrats de concessions (dispositif prévu par le I du livre II de la troisième partie du code de la commande publique).

Le recours à ces dérogations n'est possible que sous deux conditions cumulatives :

- d'une part, ces marchés ou concessions doivent concerner « la conception, la qualification, la fabrication, la modification, la maintenance ou le retrait des structures, équipements, systèmes, matériels, composants ou logiciels nécessaires à la protection des infrastructures critiques de l'opérateur ou dont le détournement de l'usage porterait atteinte aux intérêts essentiels de l'État » ;

- d'autre part, « cette protection ou la prévention de ce détournement d'usage ne peuvent être garanties par d'autres moyens ».

III. LA POSITION DE LA COMMISSION - UNE TRANSPOSITION NÉCESSAIRE QUI PERMETTRA DE REHAUSSER LE NIVEAU DE PROTECTION ET DE RÉSILIENCE DES INFRASTRUCTURES CRITIQUES

Plutôt que de créer un dispositif ad hoc, source de complexité pour les opérateurs déjà soumis au système actuel de SAIV, le présent projet de loi procède à une actualisation de ce dernier. Il conserve sa terminologie, sans adopter celle issue de la directive du 14 décembre 2022. Cette approche ne pose pas de difficulté, dès lors que le champ couvert par le projet de loi inclut celui de la directive et reprend toutes les obligations qu'elle prévoit, comme l'a souligné le Conseil d'État dans son avis du 6 juin 2024^7(*). Le choix du Gouvernement de s'appuyer sur le dispositif existant est opportun dès lors que celui-ci est connu et maîtrisé par les opérateurs concernés, dont le champ ne devrait de surcroît pas évoluer significativement.

D'une manière générale, les services de l'État entendus en audition ont par ailleurs relevé que les obligations nouvelles incombant aux OIV se traduiront par une augmentation de leur charge de travail. En dépit d'un contexte budgétaire contraint, la question de l'adaptation de leurs moyens, notamment humains, devra être prise en compte.

Le rapporteur a par ailleurs veillé à ce que toute surtransposition soit évitée. À cet égard, il considère que les dispositions qui ne figuraient pas dans la directive REC se justifient au regard de l'objectif de protection et de résilience des activités essentielles à la Nation. 

Ainsi, s'agissant du champ d'application, l'extension de l'essentiel des dispositions du présent article 1^er aux opérateurs « régaliens » se justifie pour deux raisons. D'une part car ces opérateurs sont déjà soumis au dispositif actuel de SAIV, que le présent projet de loi ne fait qu'actualiser et compléter, et d'autre part, car leur exclusion aurait conduit à les soumettre à des exigences moindres alors que leurs activités revêtent, par essence, un caractère stratégique.

S'agissant des définitions figurant à l'article 1^er, dans son avis précité, le Conseil d'État a regretté l'absence de définition de la notion de « résilience », alors que son acception dans la directive diffère de l'usage courant en raison de la prise en compte, dans la définition donnée par la directive REC, des notions de prévention et de protection. Il peut en outre être relevé que le présent article 1^er impose aux opérateurs d'importance vitale l'adoption de mesures de résilience (alinéa 22), intégrées dans le plan de résilience opérateur, ou encore de mesures de protection et de résilience inscrites dans les plans particuliers de résilience (alinéa 32). À l'initiative des rapporteurs, la commission spéciale a ainsi adopté un amendement COM-83 visant à en introduire la définition au sein de l'article 1^er afin d'en renforcer la clarté.

De même, constatant que la notion d'« incident » est au coeur du titre I^er du projet de loi - dont l'objectif est de renforcer la protection et la résilience des infrastructures critiques face aux incidents -, la commission spéciale, sur proposition des rapporteurs, a adopté un amendement COM-82 visant à en préciser la définition.

S'agissant des obligations qui incomberont aux OIV, d'une manière générale, les évolutions inscrites dans le présent article, qui consacrent le passage d'une logique de protection à une logique de résilience, vont dans le bon sens.

Contrairement à la directive, qui s'en tient aux plans élaborés à l'échelle des opérateurs eux-mêmes (plans de résilience), il est prévu que le dispositif national conserve les plans détaillés pour chaque point d'importance vitale. Ce modèle à deux niveaux, garantit un niveau d'exigence élevé pour les opérateurs les plus sensibles.

Par deux amendements COM-87 et COM-89 portés par les rapporteurs, le mécanisme d'astreinte journalière prévu aux alinéas 26 et 36 a été précisé. Il est désormais explicitement indiqué que cette astreinte pourra s'appliquer dès l'expiration du délai fixé dans la mise en demeure adressée par l'autorité administrative.

Le rapporteur Hugues Saury constate que l'article 12 de la directive REC ne prévoit pas la réalisation d'une analyse des dépendances par les entités critiques. Il considère cependant que cette mesure participe pleinement de l'objectif poursuivi tant par la directive que par le présent projet de loi.

Le contenu de cette analyse pourrait cependant être complété. La rédaction actuelle, limitée aux « chaînes d'approvisionnement » pourrait laisser entendre qu'elle ne concerne que les matières premières. Or les OIV peuvent également être très fortement dépendants de leurs sous-traitants. C'est pourquoi, à l'initiative des rapporteurs, la commission spéciale a adopté un amendement COM-88 visant à étendre à l'analyse des dépendances devant être réalisée par les OIV à la chaîne de sous-traitance.

S'agissant de l'obligation de notification des incidents prévue à l'article L. 1332-7 du code de la défense (nouveau), la commission a adopté un amendement COM-90 rectifié des rapporteurs prévoyant, d'une part, que la notification d'incident doit intervenir au plus tard 24 heures après que l'opérateur en a pris connaissance, et d'autre part que le décret en Conseil d'État mentionné à l'alinéa 44 déterminera l'ensemble des conditions de mise en oeuvre de cette obligation de notification. Ce décret pourra notamment établir des exceptions liées à la protection du secret de la défense nationale et préciser la nature des incidents devant être signalés à l'autorité administrative.

Par ailleurs, sur proposition des rapporteurs, la commission a adopté un amendement COM- 92 visant à étendre l'applicabilité du moyen de démontrer la conformité aux règles de sécurité, prévue à l'article 15 du présent projet de loi, aux opérateurs d'importance vitale qui ne sont ni soumis à la directive « NIS 2 » en tant qu'entité essentielle ou importante, ni soumis à la directive « REC ».

Enfin, le régime de sanctions prévu par l'article 1^er reposant sur des sanctions administratives, apparaît plus opérant que les sanctions pénales actuelles qui n'ont jamais été appliquées.

Il offre en outre de meilleures garanties aux opérateurs justiciables, avec la création d'une commission des sanctions. Afin d'en renforcer les garanties d'indépendance, la commission spéciale a adopté un amendement COM-94 des rapporteurs prévoyant que les 3 personnalités qualifiées siégeant au sein de cette commission ne seront pas exclusivement nommées par le Premier ministre mais respectivement par le Premier ministre, le président de l'Assemblée nationale et le président du Sénat.

Par ailleurs, si les plafonds de sanctions fixés par le présent article apparaissent élevés au regard de ceux qui ont pu être retenus dans d'autres États membres ayant déjà transposé la directive REC, ceux-ci se justifient pour deux raisons. D'une part, il est nécessaire que ces plafonds de sanctions aient un effet dissuasif. D'autre part, ces niveaux de sanctions sont alignés sur ceux prévus par la directive NIS 2, avec laquelle la directive REC doit former un ensemble cohérent. Il semble en outre pertinent que les sanctions liées aux mesures de protection et de résilience des infrastructures physiques ne soient pas moins élevées que celles appliquées au domaine cyber. En effet, la cybersécurité n'est qu'une sous-composante des risques globaux ; un déséquilibre en faveur de cette dernière pourrait entraîner un effet d'éviction de la résilience globale au profit exclusif de la cybersécurité.

Aussi, considérant que l'application de sanctions constitue en toute hypothèse un ultima ratio, le dispositif de SAIV reposant sur la coopération, il n'apparaît pas nécessaire de modifier les plafonds de sanction prévu par le présent article 1^er.

La commission spéciale a par ailleurs adopté 6 amendements rédactionnels, de clarification, de précision ou visant à corriger une erreur matérielle des rapporteurs^8(*) et 4 amendements tendant à préciser :

- la notion d'activité d'importance vitale (amendement COM-31 de notre collègue Mickaël Vallet et les membres du groupe Socialiste, Écologiste et Républicain) ;

- la nature des risques devant être évalués par les opérateurs d'importance vitale (amendement COM-35 de notre collègue Mickaël Vallet et les membres du groupe Socialiste, Écologiste et Républicain) ;

- les critères de définition des entités critiques d'importance européenne particulière (amendement COM-42 de notre collègue Mickaël Vallet et les membres du groupe Socialiste, Écologiste et Républicain) ;

- les conditions de mise en oeuvre d'une mission de conseil par la Commission européenne (amendement COM-43 de notre collègue Mickaël Vallet et les membres du groupe Socialiste, Écologiste et Républicain).

Décision de la commission : la commission spéciale a adopté l'article ainsi modifié.

CHAPITRE II
DISPOSITIONS DIVERSES

Article 2

Actualisation de références législatives

I. LE DISPOSITIF PROPOSÉ - UNE ACTUALISATION DE RÉFÉRENCES LÉGISLATIVES TIRANT LES CONSÉQUENCES DES MODIFICATIONS APPORTÉES PAR L'ARTICLE 1^ER DU PRÉSENT PROJET DE LOI

Le présent article vise à actualiser au sein du code de la défense, du code pénal, du code des postes et des communications électroniques, du code de la santé publique, du code de la sécurité intérieure et de la loi n° 2006-961 du 1^er août 2006 relative au droit d'auteur et aux droits voisins dans la société de l'information afin de prendre en compte les modifications introduites au sein du code de la défense par l'article 1^er du présent projet de loi.

Ainsi, les références :

- aux seuls opérateurs visés actuellement à l'article L. 1332-1 du code de la défense^9(*) sont modifiées pour renvoyer aux opérateurs d'importance vitale mentionnés au 1° du I de l'article L. 1332-2 tel que modifié par l'article 1^er du présent projet de loi ^10(*) (modification des articles L. 1333-1 du code de la défense, 226-3 du code pénal, L. 33-14 et L. 34-11 du code des postes et des communications électroniques, et L. 1333-9 du code de la santé publique) ;

- aux opérateurs visés aux articles L. 1332-1 et L. 1332-2^11(*) sont modifiées pour renvoyer à l'ensemble des opérateurs d'importance vitale mentionnés au I de l'article L. 1332-2 tel que modifié par le présent projet de loi (modification des articles L. 2113-2, L. 2151-1, L. 2171-6, L. 2321-2-1, L. 2321-3, L. 4231-6 du code de la défense, L. 33-1 du code des postes et communications électroniques, L. 223-2 et L. 223-8 du code de la sécurité intérieure et à l'article 15 de la loi n° 2006-961 du 1^er août 2006 relative au droit d'auteur et aux droits voisins dans la société de l'information).

Par ailleurs, l'obligation d'élaborer des plans de continuité ou de rétablissement d'activité figurant à l'article L. 2151-4 du code de la défense est supprimée, ces documents devant être remplacés par le plan de résilience opérateur mentionné à l'article L. 1332-3 tel que modifié par l'article 1^er du présent projet de loi.

II. LA POSITION DE LA COMMISSION 

Le présent article, qui se borne à procéder à des actualisations de références législatives, n'appelle pas d'observations particulières de la commission spéciale.

Décision de la commission : la commission spéciale a adopté l'article sans modification.

Article 3

Dispositions relatives à l'outre-mer

I. LE DISPOSITIF PROPOSÉ - FIXATION DES MODALITÉS D'APPLICATION DES DISPOSITIONS DE L'ARTICLE 1^ER EN OUTRE-MER

Conformément à l'article L. 1 du code de la défense^12(*), les dispositions inscrites à l'article 1^er du présent projet de loi au sein de ce même code sont applicables de plein droit sur l'ensemble du territoire de la République. Les modifications introduites par le présent projet de loi dans le code de la défense s'appliqueront par conséquent automatiquement aux collectivités relevant du principe de l'identité législative, à savoir la Guadeloupe, la Guyane, la Martinique, La Réunion, Mayotte, Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon, ainsi qu'à celles soumises au principe de la spécialité législative, incluant les îles Wallis et Futuna, la Polynésie française, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises (TAAF).

Néanmoins, en tant que pays et territoires d'outre-mer (PTOM), Saint-Barthélemy, Saint-Pierre-et-Miquelon, Wallis-et-Futuna, la Polynésie française, la Nouvelle-Calédonie et les TAAF ne relèvent pas du droit de l'Union européenne. C'est pourquoi les règles concernant les opérateurs d'importance vitale (OIV) fournissant des services essentiels au fonctionnement du marché intérieur de l'Union européenne ne seront pas applicables dans ces territoires, sauf adaptation spécifique.

Les alinéas 2 et 3 créent un article L. 6221-2 au sein du code de la défense établissant un principe de substitution automatique des références à des dispositions inapplicables à Saint-Barthélemy par des références à des dispositions équivalentes applicables localement. Une telle disposition existe déjà à l'article L. 6311-1 pour Wallis-et-Futuna, la Polynésie française, la Nouvelle-Calédonie et les TAAF.

Par ailleurs, il est prévu que les dispositions concernant les entités critiques d'importance européenne particulière ne sont pas applicables à Saint-Barthélemy (article L. 6222-1 créé par les alinéas 4 et 5), à Saint-Pierre-et-Miquelon (article L. 6242-2 créé par les alinéas 6 et 7), à Wallis-et-Futuna, en Polynésie française, en Nouvelle-Calédonie ni dans les TAAF (article L. 6312-3 créé par les alinéas 8 et 9).

Le présent article modifie en outre plusieurs dispositions relatives à l'outre-mer au sein du code pénal, du code des postes et des communications électroniques et du code de la sécurité intérieure afin de faire référence à la présente loi :

- 711-1 du code pénal (alinéa 10) ;

- L. 33-1, L ; 33-15 et L. 34-14 du code des postes et des communications électroniques (alinéas 11 à 14) ;

- L. 285-1, L ; 286-1, L. 287-1 et L 288-1 du code de la sécurité intérieure (alinéa 15).

II. LA POSITION DE LA COMMISSION 

Les dispositions proposées n'appellent pas de commentaire de la part de la commission, qui se déclare favorable à son adoption.

Décision de la commission : la commission spéciale a adopté l'article sans modification.

CHAPITRE III
DISPOSITIONS TRANSITOIRES

Article 4

Dispositions transitoires

I. LE DISPOSITIF PROPOSÉ - UNE ADAPTATION DES DÉLAIS DE MISE EN oeUVRE POUR LES OPÉRATEURS D'IMPORTANCE VITALE DÉSIGNÉS AVANT L'ENTRÉE EN VIGUEUR DU TITRE I^ER

Le présent article vise à adapter les délais de mise en oeuvre des obligations inscrites à l'article 1^er du présent projet de loi pour les opérateurs d'importance vitale (OIV) désignés avant l'entrée en vigueur du titre I^er.

En premier lieu, l'alinéa 1^er du présent article prévoit que les OIV actuels seront considérés comme désignés à partir de l'entrée en vigueur du présent titre I^er, c'est-à-dire, en l'absence de disposition spécifique inscrite dans le présent projet de loi, au lendemain de la publication de la présente loi au Journal officiel. À ce titre, ils seront soumis aux obligations suivantes :

- réalisation d'une analyse des risques de toute nature et d'un plan de résilience opérateur (article L. 1332-3 modifié du code de la défense) ;

- analyse de leurs dépendances à l'égard des tiers (article L. 1332-4 modifié du code de la défense) ;

- réalisation d'un plan particulier de résilience (article L. 1332-5 modifié du code de la défense) ;

- respect des obligations résultant du titre II du présent projet de loi relatif à la cybersécurité.

Or trois délais courent à partir de la désignation en tant qu'OIV :

- 9 mois pour la réalisation d'une analyse des risques de toute nature ;

- 9 mois pour la réalisation d'une analyse des dépendances à l'égard des tiers ;

- 10 mois pour la réalisation du plan de résilience opérateur.

L'alinéa 2 du présent article dispose quant à lui que ces opérateurs demeureront soumis à leurs obligations antérieures jusqu'à l'accomplissement des obligations inscrites à l'article 1^er du présent projet de loi, afin d'éviter tout « vide » juridique les concernant.

II. LA POSITION DE LA COMMISSION - DES DISPOSITIONS TRANSITOIRES NÉCESSAIRES MAIS QUI DOIVENT ÊTRE PRÉCISÉES

Si la mise en place de dispositions transitoires pour les OIV désignés avant l'entrée en vigueur du présent projet de loi est nécessaire, la rédaction actuelle de l'article 4 pourrait leur être défavorable, ainsi qu'aux OIV désignés après cette entrée en vigueur mais avant la publication de l'ensemble des actes d'application (décrets, directives nationales de sécurité, plans-types, etc.).

En effet, si le deuxième alinéa de cet article prévoie que les OIV désignés avant l'entrée en vigueur du présent titre I^er puissent continuer à se conformer à leurs obligations actuelles, aux termes de l'alinéa 1^er, les délais fixés aux deuxième^13(*) et quatrième alinéas de l'article L. 1332-3^14(*) ainsi qu'à l'article L. 1332-4^15(*) du code de la défense, dans leur version modifiée par le présent projet de loi, commenceront néanmoins à courir dès cette entrée en vigueur.

Or, la publication des actes d'application pourrait prendre plusieurs mois, réduisant d'autant le temps laissé aux opérateurs pour se conformer à leurs nouvelles obligations. Il n'est d'ailleurs pas exclu que ces actes soient adoptés après l'expiration des délais prévus, rendant impossible le respect des délais légaux. Cette situation concernerait également les OIV désignés après l'entrée en vigueur de la loi mais avant la publication de l'ensemble des actes d'application.

C'est pourquoi, sur proposition des rapporteurs, la commission spéciale a adopté un amendement COM-95 prévoyant de différer l'entrée en vigueur du titre I^er à une date fixée par décret en Conseil d'État, et au plus tard un an après la promulgation de la présente loi.

Les OIV désignés avant cette date demeureront soumis aux obligations du dispositif de sécurité des activités d'importance vitale en vigueur jusqu'à l'expiration des délais fixés aux deuxième et quatrième alinéas de l'article L. 1332-3 ainsi qu'à l'article L. 1332-4 du code de la défense.

Décision de la commission : la commission spéciale a adopté l'article ainsi modifié.

TITRE II
CYBERSÉCURITÉ

CHAPITRE IER
DE L'AUTORITÉ NATIONALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION

Article 5

Missions et compétences de l'autorité nationale

I. LE DROIT EXISTANT - À L'HEURE ACTUELLE, SEULE LA COMPÉTENCE EN MATIÈRE DE CYBERDÉFENSE EST EXPLICITEMENT RECONNUE À L'AUTORITÉ NATIONALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION

L'article L. 2321-1 du code de la défense dispose que « le Premier ministre définit la politique et coordonne l'action gouvernementale en matière de sécurité et de défense des systèmes d'information. Il dispose à cette fin de l'autorité nationale de sécurité des systèmes d'information qui assure la fonction d'autorité nationale de défense des systèmes d'information ».

L'article R. 2321-1 du code de la défense précise que « l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 est l'Agence nationale de sécurité des systèmes d'information » (ANSSI).

Il convient de préciser que le ministre chargé de la défense dispose de compétences spécifiques en matière de sécurité des systèmes d'information d'importance vitale relevant du contrôle gouvernemental de la dissuasion nucléaire (articles R. 1411-11-36 à R. 1411-11-44 du code de la défense).

L'article 8 de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148 (NIS 2) prévoit que « chaque État membre désigne ou établit une ou plusieurs autorités compétentes chargées de la cybersécurité et des tâches de supervision [...] ».

Or, en l'état actuel du droit, l'article L. 2321-1 du code de la défense précité attribue clairement à l'autorité nationale de sécurité des systèmes d'information la fonction de défense des systèmes d'information, mais pas celle de leur sécurité, seul l'article 3 du décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » disposant que « l'Agence nationale de la sécurité des systèmes d'information est l'autorité nationale en matière de sécurité des systèmes d'information ».

Comme le relève l'étude d'impact du présent article, les missions de l'autorité nationale en la matière ne font l'objet, au niveau législatif, que de mentions isolées au sein des codes des postes et des communications électroniques et du code monétaire et financier (articles L. 33-1, L. 33-14 et L. 102 du code des postes et des communications électroniques, L. 631-1 du code monétaire et financier).

II. LE DISPOSITIF PROPOSÉ - UNE CLARIFICATION DES COMPÉTENCES DE L'AUTORITÉ NATIONALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION EN MATIÈRE DE CYBERSÉCURITÉ

La transposition de la directive NIS 2 et notamment de son article 8 précité nécessite que soit clairement désignée au moins une autorité chargée de la sécurité des systèmes d'information ainsi que du contrôle et de la supervision qui en découlent.

Le présent article 5 dispose ainsi que « l'autorité nationale de sécurité des systèmes d'information est chargée de la mise en oeuvre de la politique du Gouvernement en matière de sécurité des systèmes d'information régie par le présent titre et de son contrôle ».

Comme rappelé supra, l'article R. 2321-1 du code de la défense précisant que « l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 est l'Agence nationale de la sécurité des systèmes d'information », le présent article 5 confie par conséquent cette mission à l'ANSSI.

Il consacre ainsi l'Agence comme cheffe de file, à l'échelon national, de l'action gouvernementale et des différents services en matière de cybersécurité.

Conformément aux recommandations du Conseil d'État dans son avis du 6 juin 2024, le présent article prévoit en outre la possibilité pour le Premier ministre de désigner un autre organisme que l'ANSSI pour exercer certaines de ses responsabilités à l'égard de certaines entités, à raison de leur activité dans le domaine de la défense.

L'alinéa 3 du présent article 5 renvoie à un décret en Conseil d'État le soin de préciser les missions de l'autorité nationale et des organismes désignés par le Premier ministre ainsi que leurs conditions d'exercice.

Selon l'ANSSI, seront ainsi fixées au niveau réglementaire les missions de :

- centre national et gouvernemental de réponse aux incidents de sécurité numérique (prévue par les articles 10 et 11 de la directive NIS 2) ;

- certification, qualification, agrément, autorisation et labellisation, prévues par le cadre législatif national autant que par des règlementations européennes ;

- sécurisation des systèmes d'information de l'État et de certains opérateurs publics et privés, notamment au titre des dispositions du code de la défense applicables aux activités d'importance vitale, et de celles issues de la directive NIS 2 ;

- sensibilisation et formation pour favoriser la prise en compte de la sécurité des systèmes d'information ;

- autorité de gestion de crise d'origine cyber (prévue à l'article 9 de la directive NIS 2).

Selon l'étude d'impact, le renvoi à un décret permettra en outre « de préciser en quelles matières spécifiques certains ministères exerceront, dans le domaine de la défense, les compétences de l'autorité nationale de sécurité des systèmes d'information au sens de l'article 8 de la directive, préservant ce faisant la répartition des compétences existant actuellement ».

III. LA POSITION DE LA COMMISSION - L'ANSSI, NÉCESSAIRE « CHEF D'ORCHESTRE » DE LA CYBERSÉCURITÉ AU NIVEAU NATIONAL

L'article 8 de la directive NIS 2 précité n'impose pas la désignation d'une autorité unique chargée de la cybersécurité et des tâches de supervision, à l'exception du domaine de la défense.

Le Gouvernement a cependant fait le choix de confier à une autorité unique, l'ANSSI, ces missions. Le rapporteur Hugues Saury considère que l'ANSSI est un acteur qui a fait ses preuves depuis sa création en 2009 et qui est désormais clairement identifié par les différents acteurs.

Dès lors, identifier un « chef d'orchestre » responsable de la coordination, à l'échelon national, de l'action gouvernementale et des différents services en matière de cybersécurité apparaît de bon sens et il ne semble pas opportun de remettre en cause ce choix.

Plusieurs personnes entendues en audition ont par ailleurs regretté le fait que les missions de l'autorité nationale de sécurité des systèmes d'information ne soient pas mentionnées dès le présent projet de loi. Il convient néanmoins de relever qu'à l'heure actuelle les missions de l'ANSSI ne figurent pas dans la partie législative du code de la défense mais sont notamment inscrites à l'article 3 du décret du 7 juillet 2009 précité.

En effet, s'agissant d'un service à compétence nationale, l'existence comme les missions de l'ANSSI ont vocation à être déterminées par un décret, conformément à l'article 2 du décret n°97-464 du 9 mai 1997 relatif à la création et à l'organisation des services à compétence nationale. En outre, de telles dispositions, qui ont trait à l'organisation de l'administration ressortent naturellement du domaine réglementaire.

À titre d'exemple, plusieurs services à compétence nationale voient leurs missions définies par voie réglementaire. Dans le périmètre du Secrétariat général de la défense et de la sécurité nationale (SGDSN), on peut citer Viginum (créé par le décret n° 2021-922 du 13 juillet 2021), chargé de la vigilance et de la protection contre les ingérences numériques étrangères, ainsi que l'OSIIC (décret n° 2020-455 du 21 avril 2020), opérateur des systèmes d'information interministériels classifiés. En dehors du périmètre du SGDSN, l'Office national anti-fraude (ONAF, décret n° 2024-235 du 18 mars 2024) et la Trésorerie générale des douanes (décret n° 2024-223 du 14 mars 2024) constituent également des services à compétence nationale dont l'existence et les missions sont fixées par décret.

La commission spéciale a adopté un amendement COM-96 de précision des rapporteurs.

Elle a par ailleurs adopté un amendement COM-58 de notre collègue Catherine Morin-Desailly visant à étendre les missions de l'autorité nationale de sécurité des systèmes d'information à l'accompagnement et au soutien au développement de la filière cybersécurité.

Décision de la commission : la commission spéciale a adopté l'article ainsi modifié.

Article 5 bis (nouveau)

Stratégie nationale de cybersécurité

I. LE DROIT EXISTANT

Aux termes de l'article 7 de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n^o 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148, « chaque État membre adopte une stratégie nationale en matière de cybersécurité qui détermine les objectifs stratégiques, les ressources nécessaires pour atteindre ces objectifs ainsi que les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir ».

Si cet exercice est actuellement mené sous l'autorité du secrétaire général de la défense et de la sécurité nationale (SGDSN)^16(*), à l'occasion notamment de la rédaction des revues nationales stratégiques (RNS), aucune disposition législative n'en fixe le cadre.

II. LE DISPOSITIF PROPOSÉ

Cet article additionnel résulte de l'adoption par la commission de l'amendement COM-97 des rapporteurs.

Il transpose l'article premier de la directive (UE) 2022/25/55, lequel stipule « la présente directive fixe des obligations qui imposent aux États membres d'adopter des stratégies nationales en matière de cybersécurité » en prévoyant que le Premier ministre élabore une stratégie nationale de cybersécurité et en définisse le contenu.

Actualisée au moins tous les cinq ans, cette stratégie devra comprendre des indicateurs clés de performance aux fins de l'évaluation de sa mise en oeuvre.

En outre, à partir de 2026, et tous les deux ans, le Gouvernement soumettra au Parlement, avant le 30 septembre, un rapport sur l'application de la stratégie nationale de cybersécurité.

Décision de la commission : la commission spéciale a adopté l'article additionnel.

CHAPITRE II
DE LA CYBER RÉSILIENCE

Section 1
Définitions

Article 6

Définitions

I. LE DISPOSITIF PROPOSÉ - UNE CLARIFICATION DU GLOSSAIRE NATIONAL EN MATIÈRE DE CYBERSÉCURITÉ

Le présent article définit 7 notions liées à la sécurité et à la résilience numériques, dont la définition est nécessaire pour l'application du dispositif national prévu par le titre II (bureau d'enregistrement, office d'enregistrement, prestataire de services de confiance, prestataire de services de confiance qualifié, représentant, service de centre de données et système d'information).

Plutôt que de reprendre l'ensemble des 41 définitions figurant à l'article 6 de la directive NIS 2^17(*), le présent article 6 se limite à celles :

- qui nécessitent une adaptation dans le droit national (bureau d'enregistrement^18(*) et office d'enregistrement^19(*)) ;

- qui permettent de préciser le cadre national (services de centre de données, prestataires de services de confiance qualifiés^20(*) et systèmes d'information).

II. LA POSITION DE LA COMMISSION - UN EFFORT DE DÉFINITION BIENVENU MAIS INCOMPLET

L'effort de définition porté par le présent article vise à lever toute ambiguïté s'agissant de notions nécessaires pour la mise en oeuvre du dispositif normatif. Il s'inscrit ainsi dans l'objectif à valeur constitutionnelle d'intelligibilité et d'accessibilité de la loi qui impose d'adopter des dispositions suffisamment précises et des formules non équivoques, comme l'a rappelé le Conseil constitutionnel dans sa décision n° 2005-514 DC du 28 avril 2005.

De nombreuses personnes entendues en audition ont cependant indiqué regretter l'absence de définition de la notion d'incident

Devant la commission spéciale^21(*), Vincent Strubel, directeur général de l'Agence nationale de sécurité des systèmes d'information (ANSSI), a précisé : « il était évident que la notion d'incident, qui figurait dans la directive NIS 2, serait précisée par un acte d'exécution - il a été pris cet été. Nous avons donc fait le choix de ne pas l'inscrire dans la loi, et de garder plutôt le levier réglementaire. Nous procéderons éventuellement à quelques ajustements mineurs pour l'intégrer dans le cadre plus général des dispositions préexistantes, notamment en ce qui concerne les prestataires de services qualifiés, qui seront soumis à la même définition d'incident. Nous apporterons peut-être aussi des précisions pour en affiner l'interprétation. Reste que nous avons bien l'intention de reprendre cette définition et de l'intégrer ».

De fait, si le règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024 identifie 2 catégories principales d'incidents (incidents importants et incidents récurrent), il distingue 10 types d'incidents importants : i) incidents importants concernant les fournisseurs de services DNS, ii) incidents importants concernant les registres de noms de domaine de premier niveau, iii) incidents importants concernant les fournisseurs de services d'informatique en nuage, iv) incidents importants concernant les fournisseurs de services de centres de données, v) incidents importants concernant les fournisseurs de réseaux de diffusion de contenu, vi) incidents importants concernant les fournisseurs de services gérés et les fournisseurs de services de sécurité gérés, vii) incidents importants concernant les fournisseurs de places de marché en ligne, viii) incidents importants concernant les fournisseurs de moteurs de recherche en ligne, ix) incidents importants concernant les fournisseurs de plateformes de services de réseaux sociaux, et x) incidents importants concernant les fournisseurs de services de confiance.

Si reprendre l'ensemble de ces définitions au niveau législatif ne serait pas opportun, une définition générale de la notion d'incident aurait pu être apportée dès le stade de la loi, alors que celle-ci est centrale pour la mise en oeuvre de plusieurs dispositions du présent projet de loi notamment les articles 14 concernant la mise en oeuvre des mesures de résilience cyber, 17 sur l'obligation de notification des incidents significatifs, et 29 portant sur les contrôles de l'ANSSI.

Ainsi, sur proposition des rapporteurs, la commission spéciale a adopté un amendement COM-98 visant à intégrer la définition de l'incident telle que figurant dans la directive NIS 2 : « un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement, ou des services que les réseaux et systèmes d'information offrent ou rendent accessibles ».

Cette définition pourra être précisée par voie réglementaire, notamment pour tenir compte des compléments apportés par le règlement d'exécution 2024/2690 du 17 octobre 2024.

Par ailleurs, la notion de « vulnérabilité », qui figure à l'article 17 du présent projet de loi (obligation de notification), n'est pas plus définie.

De même, le présent projet de loi ne mentionne à aucun moment l'importance du facteur humain, alors que celui-ci est à l'origine de nombreuses attaques.

C'est pourquoi, sur proposition des rapporteurs, la commission spéciale a adopté un amendement COM-99 visant à reprendre la définition de la notion de vulnérabilité figurant à l'article 6 de la directive NIS 2 précité en faisant figurer une mention relative aux vulnérabilités d'origine humaine.

Décision de la commission : la commission spéciale a adopté l'article ainsi modifié.

Article 7
Liste des secteurs d'activité « hautement critiques » et « critiques » du point de vue de la cybersécurité

I. La situation actuelle - la directive NIS 1 avait identifié six secteurs essentiels en matière de cybersécurité, auxquels la France avait rajouté de sa propre initiative huit secteurs supplémentaires, la directive NIS 2 prévoyant pour sa part dix-huit secteurs « hautement critiques » ou « critiques »

1) La situation résultant de la directive NIS 1 : l'identification de six secteurs essentiels, auxquels la loi française de transposition avait ajouté huit secteurs supplémentaires

La directive NIS 1 avait identifié six secteurs « essentiels » auxquels s'appliquaient les dispositions qu'elle prévoyait en matière de cybersécurité.

Ces secteurs, jugés prioritaires en raison de leurs effets potentiellement systémiques, étaient les suivants :

- l'énergie ;

- les transports ;

- les banques ;

- les infrastructures de marchés financiers ;

- la santé ;

- la fourniture et la distribution d'eau potable ;

- les infrastructures numériques.

La loi n° 2018-133 du 26 février 2018^22(*) transposant la directive NIS 1 avait rajouté, au niveau français, huit secteurs à la liste établie par la directive.

Il s'agissait des secteurs suivants :

- les assurances ;

- la restauration collective ;

- le traitement des eaux ;

- les organismes sociaux ;

- l'emploi et la formation professionnelle ;

- l'éducation.

Sur la base de ces dispositions et du choix de ces secteurs, 263 opérateurs de services essentiels (OSE) ont été désignés en France depuis 2016.

Les OSE sont des opérateurs tributaires des réseaux ou systèmes d'information, qui fournissent un service essentiel dont l'interruption aurait un impact significatif sur le fonctionnement de l'économie ou de la société.

Avec ce premier dispositif, ces grands acteurs ont été soumis à l'obligation de déclarer leurs incidents de sécurité à l'Anssi, et de mettre en oeuvre les mesures de sécurité nécessaires pour réduire fortement l'exposition de leurs systèmes les plus critiques aux risques cyber.

Les OSE étaient désignés selon un processus, relativement lourd administrativement, impliquant la consultation des ministères sur l'identité des opérateurs à désigner, la transmission d'un courrier d'intention de désignation à chaque opérateur, une réponse officielle à la prise en compte des remarques faites par l'Anssi puis la désignation individuelle par arrêté du Premier ministre.

Le décret n° 2018-384 du 23 mai 2018 fixait notamment les règles de sécurité que les entités régulées devaient respecter, dont l'élaboration et la mise en oeuvre d'une politique de sécurité des réseaux et systèmes d'information ou la détection et le traitement des incidents de sécurité affectant les réseaux et systèmes d'information.

2) La situation nouvelle créée par NIS 2, qui prévoit une liste de dix-huit secteurs « hautement critiques » ou « critiques »

Le texte de la directive NIS 1 prévoyait que la Commission européenne réexamine périodiquement le fonctionnement global du dispositif et évalue la liste des secteurs et sous-secteurs dans lesquels sont identifiés des opérateurs de services essentiels (OSE) et les types de services numériques couverts par la directive.

Comme rappelé supra, dès 2018 la France avait prévu d'intégrer des secteurs d'activité qui n'étaient pas couverts par la directive NIS 1. La directive NIS 2 est allée plus loin en intégrant de nouveaux secteurs d'activité.

Cette liste des dix-huit secteurs « hautement critiques » et « critiques » est établie respectivement par les annexes I et II de la directive NIS 2.

Celle-ci prévoit ainsi, à son annexe I, que constituent des secteurs « hautement critiques » les secteurs suivants, les secteurs en gras constituant des secteurs nouveaux :

- l'énergie, dont électricité, réseaux de chaleur et de froid, pétrole, gaz et hydrogène ;

- les transports, dont transport aériens, transports ferroviaires, transports par eau et transports routiers ;

- les banques ;

- les infrastructures des marchés financiers ;

- la santé ;

- l'eau potable ;

- les eaux usées ;

- l'infrastructure numérique ;

la gestion des services TIC (interentreprises) ;

- l'administration publique (dont les activités ne portent pas sur la sécurité nationale, sécurité publique, la défense ou l'application de la loi) ;

- l'espace.

Constituent pour leur part des secteurs « critiques » au sens de l'annexe II de la directive NIS 2 les secteurs suivants :

- les services postaux et d'expédition ;

- la gestion des déchets ;

- la fabrication, la production et la distribution de produits chimiques ;

- la production, transformation et distribution des denrées alimentaires ;

- la fabrication, dont la fabrication de dispositifs médicaux et de dispositifs médicaux de diagnostic in vitro ; la fabrication de produits informatiques, électroniques et optiques, la fabrication d'équipements électriques ; la fabrication de machines et équipements n.c.a ; la construction de véhicules automobiles, remorques et semi-remorques ; la fabrication d'autres matériels de transport ;

- les fournisseurs numériques ;

- la recherche.

II. Le dispositif envisagé - une transposition qui renvoie à un décret en Conseil d'État l'établissement de la liste des secteurs « hautement critiques » et « critiques » en droit interne

Dans le but de transposer les deux annexes de la directive NIS 2, l'article 7 du présent projet de loi dispose que la liste des secteurs d'activité « hautement critiques » et « critiques » pour le fonctionnement de l'économie et de la société mentionnés dans la section 2 « Des exigences de sécurité des systèmes d'information » du projet de loi est fixée par décret en Conseil d'État.

Il est donc proposé de renvoyer au niveau réglementaire la transposition précise des deux annexes de la directive établissant la liste des secteurs « hautement critiques » et « critiques » d'un point de vue de la cybersécurité auxquels s'appliquent les exigences de sécurité des systèmes d'information prévues par la présente loi. Or il s'agit d'un point essentiel pour définir le champ d'application de ces dispositions.

III. La position de la commission - l'inscription dans la loi de la liste des secteurs « hautement critiques » et « critiques » du point de vue de la sécurité des systèmes d'information

La commission spéciale considère qu'il n'est pas acceptable que des dispositions aussi importantes que la liste des secteurs « hautement critiques » et « critiques » d'un point de vue de la cybersécurité auxquels s'appliquent les exigences de sécurité des systèmes d'information prévues par la présente loi soient renvoyées à un décret en Conseil d'État.

Il s'agit là d'un élément clef, incontournable pour déterminer si une entité est ou non régulée par les dispositions de transposition de la directive NIS 2.

C'est la raison pour laquelle la commission spéciale a adopté un amendement COM 100 du rapporteur Patrick Chaize reprenant exactement les dispositions des annexes I et II de la directive NIS 2 pour prévoir que sont considérés au titre de la section 2 « Des exigences sécurité des systèmes d'information » comme des secteurs « hautement critiques » pour le fonctionnement de l'économie et de la société les secteurs :

- de l'énergie ;

- des transports ;

- des banques ;

- des infrastructures des marchés financiers ;

- de la santé ;

- de l'eau potable ;

- des eaux usées ;

- de l'infrastructure numérique ;

- de la gestion des services des technologies de l'information et de la communication ;

- de l'espace.

Cet amendement prévoit également que sont considérés au titre de la section 2 « Des exigences sécurité des systèmes d'information » comme des secteurs « critiques » pour le fonctionnement de l'économie et de la société les secteurs :

- des services postaux et d'expédition ;

- de la gestion des déchets ;

- de la fabrication, de la production et de la distribution de produits chimiques ;

- de la production, de la transformation et de la distribution des denrées alimentaires ;

- de la fabrication de certains biens, équipements et produits ;

- des fournisseurs numériques ;

- de la recherche.

Afin de laisser au Gouvernement les marges de manoeuvre nécessaires, l'amendement prévoit qu'un décret en Conseil d'État précise les modalités d'application de l'article 7 et détermine les sous-secteurs et les types d'entités relevant des secteurs « hautement critiques » et « critiques ».

Cela devrait notamment permettre de tenir compte de l'évolution parfois fluctuante des périmètres ministériels, sujet sur lequel l'Anssi avait indiqué à vos rapporteurs qu'il fallait conserver une certaine souplesse pour permettre une bonne exécution du titre II du présent projet de loi.

La commission a adopté cet article ainsi modifié.

Article 8
Définition des entités « essentielles » du point de vue de la sécurité des systèmes d'information

I. La situation actuelle - face à une menace cyber croissante, la directive NIS 2 fait le choix d'imposer un rehaussement du niveau de cybersécurité des systèmes d'information de nombreuses entités

1) Un risque cyber devenu systémique et qui ne se limite plus aux grandes entreprises ou aux infrastructures critiques

Comme la ministre chargée du numérique et le directeur de l'Anssi l'ont rappelé lors de leurs auditions devant la commission spéciale, la menace cyber a largement changé de nature au cours des dix dernières années.

Alors qu'elle ciblait avant tout les grandes entreprises ou les infrastructures critiques, souvent à des fins d'espionnage stratégique et industriel ou de déstabilisation, et était souvent d'origine étatique, elle est devenue systémique et émane de plus en plus de groupes cybercriminels organisés, qui opèrent avant tout dans un but lucratif, et utilisent des outils d'attaque parfois accessibles à des acteurs aux compétences techniques limitées.

L'exploitation de vulnérabilités « jour-zéro »^23(*) et « jour-un »^24(*), liée à des retards dans l'application des correctifs par les entités visées, est par exemple particulièrement utilisée par ces groupes criminels.

Ainsi, les attaques par rançongiciel ou hameçonnage tendent désormais à cibler l'ensemble du tissu économique et social.

Selon le panorama de la cybermenace 2023 de l'Anssi, ces attaques ont augmenté de 30 % entre 2022 et 2023 avec 143 signalements d'attaque par rançongiciel en 2023^25(*) en exploitant les faiblesses techniques ou les mauvaises pratiques des entités ciblées.

Comme le montre le schéma ci-dessous, 34 % de ces attaques visaient des TPE/PME, 24 % des collectivités territoriales (entre janvier 2022 et juin 2023, l'Anssi a traité en moyenne dix attaques par mois contre une collectivité), 10 % des établissements de santé et 9 % des établissements d'enseignement supérieur.

Les conséquences de ces attaques peuvent être particulièrement pénalisantes pour les entités attaquées, ainsi que pour leurs usagers ou leurs clients, voire provoquer des faillites ou mettre des vies en danger.

Citons à cet égard l'exemple de l'attaque subie en août 2022 par le Centre hospitalier sud francilien, victime d'une attaque par rançongiciel revendiquée par le groupe cybercriminel Lockbit, qui a entraîné l'exfiltration de près de 11 gigaoctets de données médicales et personnelles et a fortement perturbé le fonctionnement des services hospitaliers pendant de longs mois.

Toujours dans le domaine de la santé, peuvent également être citées les attaques subies en avril 2023 par le centre hospitalier de Bourg-en-Bresse et en octobre 2024 par le groupe Hospi Grand Ouest, qui a entraîné la déprogrammation de plusieurs opérations.

Répartition des victimes d'attaques par rançongiciel

Source : Panorama de la cybermenace 2023 de l'ANSSI

Ces attaques ont un coût très élevé, estimé en 2022 par le cabinet d'études économiques Asterès à 2 milliards d'euros.

Dans le secteur privé, une enquête menée en juin 2024 par l'Anssi auprès des membres du CLUSIF, une association de professionnels de la cybersécurité, révèle qu'une cyberattaque coûte en moyenne 466 000 euros pour les TPE/PME, 13 millions d'euros pour les ETI et 135 millions d'euros pour les grandes entreprises.

Ce coût représente en moyenne 5 à 10 % du chiffre d'affaires de l'organisation, quels que soient sa taille ou son secteur d'activité, réparti entre les pertes d'exploitation (50 %), le coût des prestations externes d'accompagnement (20%), le coût de remise en état et d'investissement dans le système d'information (20%) et le coût réputationnel (10%).

Dans la sphère publique, les établissements hospitaliers évoqués supra ont supporté des dégâts particulièrement importants : les coûts directs ont ainsi été estimés à 2,36 millions d'euros pour le Centre hospitalier Dax-Côte d'Argent (février 2021) et à plus de 5,5 millions d'euros pour le Centre hospitalier Sud-Francilien déjà cité.

Les collectivités territoriales et les intercommunalités ont également été lourdement affectées, avec des coûts directs estimés à 900 000 euros pour la Métropole Aix-Marseille-Provence (mars 2020) et à plus de 1,5 million d'euros pour la ville de Bondy (novembre 2020).

A ces coûts directs s'ajoutent des coûts indirects, liés aux activités non réalisées ou à la perte de confiances des usagers, mais leur chiffrage est complexe, tout particulièrement dans le cas des missions de service public.

Notons enfin que cette hausse des attaques criminelles n'empêche nullement le maintien à un niveau toujours très élevés des menaces de nature étatique, alors que le contexte géopolitique est aujourd'hui particulièrement perturbé.

2) L'adoption de la directive NIS 2 constitue une réponse à cette augmentation de la cybercriminalité

Face à l'évolution de la menace et à l'ampleur de ses conséquences, les États membres de l'Union européenne, dont la France, ont jugé qu'il était impératif de moderniser le cadre juridique et se sont mobilisés en ce sens dès 2020, ce qui a conduit à l'adoption de la directive NIS 2 à la fin de l'année 2022, pendant la présidence française de l'Union européenne (PFUE).

Si la cybermenace est susceptible de toucher tous les acteurs de la vie économique et sociale, il importe de garantir une proportionnalité de traitement dans les obligations en matière de cybersécurité mises à la charge des différentes entités qui ont vocation à être régulées.

À cette fin, la directive NIS 2 distingue deux catégories d'entités régulées : les entités « essentielles » et les entités « importantes » du point de vue de la sécurité des systèmes d'information.

Cette catégorisation s'établit selon leur degré de criticité, leur taille et leur chiffre d'affaires (pour les entreprises).

L'article 3 de la directive NIS 2 prévoit qu'aux fins de cette directive, les entités suivantes sont considérées comme étant des entités « essentielles ».

Il s'agit en premier lieu des entités appartenant à un secteur « hautement critique » (visé par l'annexe I de la directive) qui dépassent les plafonds applicables aux moyennes entreprises prévus aux paragraphe 1 de l'article 2 de l'annexe de la recommandation 2003/361/CE, lequel dispose que « La catégorie des micro, petites et moyennes entreprises (PME) est constituée des entreprises qui occupent moins de 250 personnes et dont le chiffre d'affaires annuel n'excède pas 50 millions d'euros ou dont le total du bilan annuel n'excède pas 43 millions d'euros ».

Il s'agit en deuxième lieu des prestataires de services de confiance qualifiés et des registres de noms de domaine de premier niveau ainsi que les fournisseurs de service DNS, quelle que soit leur taille.

Sont également concernés les fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public qui constituent des moyennes entreprises en vertu de l'article 2 de l'annexe de la recommandation 2003/361/CE, lequel dispose que sont des moyennes entreprises celles qui emploient au moins 50 personnes et dont le chiffre d'affaires annuel ou le total du bilan annuel excèdent chacun 10 millions d'euros.

Sont enfin concernées les entités de l'administration publique, c'est-à-dire, conformément aux dispositions du f du 2 de l'article 2 de la directive :

- des pouvoirs publics centraux tels qu'ils sont définis par un État membre conformément au droit national ;

- ou au niveau régional, tel qu'il est défini par un État membre conformément au droit national, qui, à la suite d'une évaluation basée sur les risques, fournit des services dont la perturbation pourrait avoir un impact important sur des activités sociétales ou économiques critiques.

Le 5 de l'article 2 de la directive précise que les États membres peuvent prévoir que la directive s'applique :

- aux entités de l'administration publique au niveau local ;

- aux établissements d'enseignement, en particulier lorsqu'ils mènent des activités de recherche critique.

Le 7 de l'article 2 de la directive indique que cette dernière ne s'applique pas aux entités de l'administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière.

Le 8 de l'article 2 de la directive prévoit que les États membres peuvent exempter des entités spécifiques qui exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l'application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière, ou qui fournissent des services exclusivement aux entités de l'administration publique des obligations prévues aux articles 21 et 23 de la directive en ce qui concerne ces activités ou services.

II. Le dispositif envisagé - Seront considérées notamment comme des entités essentielles les entreprises d'une taille significative appartenant à un secteur hautement critique mais également de nombreuses administrations de l'État et collectivités territoriales

Transposant les dispositions des articles 2 et 3 de la directive NIS 2, le présent article 8 établit la liste des entités considérées comme « essentielles » du point de vue de la sécurité des systèmes d'information, ces entités ayant vocation à se voir imposer un certain nombre d'obligations sous le contrôle de l'Anssi.

Selon cette dernière, ces entités « essentielles », qui devront respecter un niveau d'exigence plus élevées que les entités « importantes » définies à l'article 9, sont des structures déjà sensibilisées ou confrontées à la menace cyber.

D'autres, au regard de leur taille et de leur secteur d'activité, présentent une forte dépendance aux infrastructures numériques.

1) Les entreprises considérées comme des entités « essentielles » devront appartenir à un secteur hautement critique et obéir à un critère de taille significative

Le 1° prévoit que sont considérées comme des entités « essentielles » les entreprises appartenant à un des secteurs d'activité « hautement critiques » qui emploient 250 personnes ou dont le chiffre d'affaires annuel excède 50 millions d'euros et dont le total du bilan annuel excède 43 millions d'euros.

Le 2° y inclut les établissements publics à caractère industriel et commercial (EPCI) et les régies dotées de la seule autonomie financière chargées d'un service public industriel et commercial appartenant à un des secteurs d'activité « hautement critiques », qui emploient au moins 250 personnes ou dont les produits d'exploitation excèdent 50 millions d'euros et le total du bilan annuel excède 43 millions d'euros.

Dans le cas du 1° et du 2°, c'est donc deux caractéristiques qui conduisent à qualifier une entité d'essentielle :

- son appartenance à un secteur d'activité « hautement critique » ;

- le dépassement de certains seuils d'effectifs ou d'activité, à savoir le fait d'employer 250 personnes ou d'avoir un chiffre d'affaires annuel excédant 50 millions d'euros et un bilan annuel de plus de 43 millions d'euros.

Comme rappelé supra, l'article 3 de la directive dispose que sont des entités « essentielles » les entités appartenant à un secteur « hautement critique » qui dépassent les plafonds applicables aux moyennes entreprises prévus aux paragraphe 1 de l'article 2 de l'annexe de la recommandation 2003/361/CE, lequel dispose que « La catégorie des micro, petites et moyennes entreprises (PME) est constituée des entreprises qui occupent moins de 250 personnes et dont le chiffre d'affaires annuel n'excède pas 50 millions d'euros ou dont le total du bilan annuel n'excède pas 43 millions d'euros ».

Ainsi, le projet de loi formule une proposition contraposée de la définition de l'article 2 de l'annexe de la recommandation 2003/361/CE afin de viser toutes les entreprises qui excèdent les critères des PME donc qui dépassent les seuils fixés :

- « moins de 250 personnes » devient « au moins 250 personnes » ;

- pour le chiffre d'affaires annuel, « n'excède pas » devient « excède 50 millions d'euros » ;

- pour le bilan annuel, « n'excède pas » devient « excède 43 millions d'euros » ;

- le « et » du nombre d'employés devient un « ou » et le « ou » du chiffre d'affaires et du bilan annuel devient un « et » afin d'intégrer, comme prévues par la directive et la recommandation de 2003, des entreprises pouvant avoir un nombre d'employés inférieur à 250 personnes mais dont le chiffre d'affaires et le bilan annuel justifient leur régulation par la directive NIS 2.

Si les rapporteurs comprennent le choix de proposer une définition positive des critères de taille permettant d'établir si une entreprise est ou non une entité « essentielle », ils ne peuvent que constater que le choix initial de faire référence dans l'article 3 de la directive à la définition de l'article 2 de l'annexe de la recommandation 2003/361/CE créée énormément de confusion, car celui-ci ne permet pas de savoir quelles sont les entreprises entités « essentielles » mais seulement quelles sont les entreprises en deçà des seuils permettant de les qualifier d' « essentielles ».

Il aurait été nettement préférable de proposer directement une définition positive comme le fait le projet de loi de transposition.

Le 3° rajoute les opérateurs de communications électroniques qui emploient au moins 50 personnes ou dont le chiffre d'affaires annuel et le total du bilan annuel excèdent chacun 10 millions d'euros.

Le 4° dispose que les prestataires de service de confiance qualifiés sont considérés comme des entités « essentielles ».

C'est aussi le cas au 5° des offices d'enregistrement, c'est-à-dire des entités auxquelles un domaine de premier niveau spécifique a été délégué et qui est responsable de l'administration de ce domaine, y compris de l'enregistrement des noms de domaine en relevant et de son fonctionnement technique, notamment l'exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution de ses fichiers de zone sur les serveurs de noms, que ces opérations soient effectuées par l'entité elle-même ou qu'elles soient sous-traitées, mais à l'exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage.

C'est enfin le cas des au 6° des fournisseurs de services de systèmes de noms de domaine.

Les entités visées aux 3° à 6° de l'article 8 sont effectivement toutes visées également par les dispositions de l'article 3 de la directive, ce qui témoigne d'une transposition fidèle.

Au total, selon l'Anssi, quelque 2 000 entreprises privées devraient ainsi être considérées comme des entités « essentielles » au titre du présent projet de loi.

2) Les administrations considérées comme des entités « essentielles » incluront, sur choix de la France, de très nombreuses collectivités territoriales et leurs établissements publics

La définition du périmètre des administrations considérées comme des entités « essentielles », prévue au 7° de l'article 8, constitue un véritable choix opéré au niveau national dans le projet de loi, puisque la directive NIS 2, au paragraphe 5 de son article 2, laisse à chacun des États membres la possibilité de définir lui-même quelles « entités de l'administration publique au niveau local » seront ou non concernées par le périmètre des obligations prévues par elle, et, par conséquent, par le titre II du projet de loi.

Le point a) prévoit que sont considérées comme des entités « essentielles » les administrations de l'État et leurs établissements publics administratifs, à l'exception :

- des administrations de l'État qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale, de la répression pénale et des missions diplomatiques et consulaires françaises pour leurs réseaux et systèmes d'information ;

- de leurs établissements publics administratifs qui exercent leurs activités dans les mêmes domaines.

Cette exclusion des administrations régaliennes est effectivement prévue par les dispositions du 7 de l'article 2 de la directive NIS 2.

Toutefois, l'article 14 du projet de loi prévoit que ces administrations se verront appliquer des mesures équivalentes, à l'exception du principe de remontée d'information au niveau européen prévu par la directive afin d'assurer la protection des informations confidentielles.

Ce choix de transposition permet d'une part d'assurer un niveau de protection au moins équivalent à ces administrations sensibles, même si elles sont exclues par définition du champ de la régulation européenne, et d'autre part garantit l'unicité des règles applicables à l'ensemble des administrations de l'État.

Ne seront pas non plus considérées comme des entités essentielles :

- les administrations de l'État et leurs établissements publics administratifs qui sont désignés entités « importantes » (et non pas « essentielles ») par arrêté du Premier ministre, c'est-à-dire qui relèvent des dispositions de l'article 9 du projet de loi ;

- les établissements publics administratifs de l'État qui, compte tenu du faible impact économique et social de leur activité, ne sont pas soumis à la présente loi ; ces établissements publics sont désignés par arrêté du Premier ministre, dans des conditions précisées par décret en Conseil d'État.

Les points b), e), f) et g) prévoient, et c'est là un choix particulièrement important et structurant, que sont considérées comme des entités « essentielles » qui se verront appliquer les obligations au titre de la cybersécurité prévues par le titre II du présent projet de loi :

- les régions, conformément aux dispositions de la directive qui visent expressément les administrations au niveau régional comme relevant d'un secteur hautement critique ;

- les départements ;

- les communautés urbaines, les communautés d'agglomération et les métropoles ;

- les communes d'une population supérieure à 30 000 habitants (ce qui représente moins de 1 % des communes) ;

- leurs établissements publics administratifs dont les activités s'inscrivent dans un des secteurs d'activité « hautement critiques » ou « critiques » ;

- les syndicats de communes^26(*), les syndicats mixtes constitués exclusivement de communes et d'établissements publics de coopération intercommunale et ceux composés uniquement d'établissements publics de coopération intercommunale et les syndicats mixtes de l'article L. 5721-2 du code général des collectivités territoriales dont les activités s'inscrivent dans un des secteurs d'activité « hautement critiques » ou « critiques » et dont la population est supérieure à 30 000 habitants, ce qui représente environ 38 % des EPCI ;

- les institutions et organismes interdépartementaux dont les activités s'inscrivent dans un des secteurs d'activité « hautement critiques » ou « critiques ».

Selon l'Anssi, 1 489 collectivités territoriales, groupements de collectivités territoriales ou organismes sous leur tutelle devraient ainsi être considérés comme des entités « essentielles » au titre du présent projet de loi.

Ce choix d'intégrer les collectivités territoriales dans le champ d'application du texte s'explique par les nombreuses attaques informatiques qui ont affecté celles-ci au cours des dernières années.

Comme rappelé supra, en 2023, les collectivités territoriales ont représenté 24% des victimes d'attaques par rançongiciel constatées par l'Anssi, avec des conséquences parfois très significatives à l'échelle de ces collectivités et de leurs administrés.

Ces dispositions visent à intégrer dans le champ de la réglementation les collectivités territoriales et leurs activités les plus sensibles, tout en conservant en dehors du champ d'application directe de la loi la majorité des collectivités, puisque les communes de moins de 30 000 habitants ne seront concernées, le cas échéant, que par le biais de leur rattachement à une intercommunalité.

Outre les collectivités elles-mêmes et leurs groupements, les centres de gestion de la fonction publique territoriale, mentionnés à l'article L. 452-1 du code général de la fonction publique, sont eux aussi désignés comme des entités « essentielles » en vertu du c) de l'article 8.

Le d) inclut également les services départementaux d'incendie et de secours, mentionnés à l'article L. 1424-1 du code général des collectivités territoriales.

Le h), enfin, inclut les autres organismes et personnes de droit public ou de droit privé chargés d'une mission de service public administratif à compétence nationale, à l'exception de ceux qui sont désignés entité « importante » par arrêté du Premier ministre.

À noter que, dans un souci de proportionnalité, le Premier ministre désigne par arrêté les organismes et personnes morales qui, compte tenu du faible impact économique et social de leur activité, ne sont pas soumis à la présente loi, dans des conditions précisées par décret en Conseil d'État.

3) Les opérateurs qui étaient déjà couverts par la directive NIS 1, à savoir les OIV et les OSE, resteront logiquement couverts par les dispositions du présent projet de loi transposant NIS 2

En toute logique, l'article 8 dispose que les entités qui étaient déjà assujetties à des obligations en matière de cybersécurité sur le fondement de la directive NIS 1 seront considérées comme des entités « essentielles » au titre du présent projet de loi.

Le 8° prévoit ainsi que sont des entités « essentielles » les opérateurs d'importance vitale (OIV) en tant qu'ils exercent une activité qualifiée de service essentiel en application du deuxième alinéa du 1° du I de l'article L. 1332-2 du code de la défense.

C'est également le cas en vertu du 9° des opérateurs de services essentiels (OSE) désignés en application des dispositions de l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation du droit de l'Union européenne dans le domaine de la sécurité.

Pour mémoire, cet article 5 prévoyait qu'étaient considérés comme OSE « les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services ».

Ces OSE étaient désignés par un arrêté du Premier ministre.

La directive NIS 2 prévoit en effet à son article 3 la possibilité pour les États membres de désigner en tant qu'entités « essentielles » les entreprises ayant reçu le statut d'OSE au titre de NIS 1.

4) Les établissements d'enseignement supérieur menant des activités de recherche se verront, sous réserve qu'ils correspondent à certains critères, appliquer les dispositions de transposition de la directive NIS 2

La directive NIS 2, au point b du paragraphe 5 de son article 2, prévoit que les établissements d'enseignement, en particulier lorsqu'ils mènent des activités de recherche critique, peuvent être inclus sur décision des États membres dans le périmètre des entités auxquelles s'applique la directive.

Le projet de loi fait effectivement le choix de prévoit au 10° de l'article 8 que les établissements d'enseignement menant des activités de recherche, désignés par arrêté du Premier ministre dans des conditions précisées par décret en Conseil d'État, comme des entités « essentielles ».

Pour être désigné comme entité « essentielle », un établissement devra toutefois être concerné par l'un des quatre critères suivants prévus à l'article 10 du projet de loi, critères qui reprennent par ailleurs quasiment au mot près les critères définis par les points b à e du paragraphe 2 de l'article 2 de la directive NIS 2 :

- être le seul prestataire sur le territoire national d'un service qui est essentiel au maintien du fonctionnement de la société et d'activités économiques critiques ;

- une perturbation du service fourni par cet établissement pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique ;

- une perturbation du service fourni par l'établissement pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière ;

- l'établissement est critique en raison de son importance spécifique au niveau national ou local pour le secteur ou le type de service concerné, ou pour d'autres secteurs interdépendants sur le territoire national.

De fait, comme le permet la directive NIS 2 et comme retenu par une majorité d'États membres, les établissements d'enseignement menant des activités de recherche ont été inclus dans le champ d'application du projet de loi.

L'objectif est de protéger leurs activités particulièrement sensibles et de limiter les risques caractérisés que la menace cyber fait notamment peser sur leurs capacités d'innovation et leur sécurité.

Ce choix s'explique aussi par le fait que, malgré leur sensibilité, ces entités ne sont aujourd'hui couvertes par aucun cadre réglementaire contraignant et qu'elles ont besoin d'élever leur niveau de maturité en matière de cybersécurité.

L'attaque contre l'université de Paris-Saclay en août 2024, qui a perturbé la rentrée académique de l'établissement en rendant indisponibles plusieurs services numériques^27(*), ou bien celle subie par l'université Panthéon-Sorbonne avec le vol des données personnelles de milliers d'étudiants, illustre ce niveau élevé d'exposition à la menace cybercriminelle et la vulnérabilité de ces établissements.

III. La position de la commission - le choix d'inclure un grand nombre de collectivités territoriales et les établissements d'enseignement supérieur est ambitieux mais nécessaire

L'aggravation de la menace cyber constitue une réalité à laquelle chacun est confronté et pèse désormais sur l'ensemble des acteurs économiques et sociaux.

Il est donc indispensable d'élever le niveau général en matière de cybersécurité des systèmes d'information afin de lutter contre les faiblesses techniques ou les mauvaises pratiques qu'exploitent les acteurs hostiles à des fins d'espionnage stratégique ou industriel, ou, de plus en plus, des acteurs criminels qui cherchent à s'enrichir en utilisant des rançongiciels ou de l'hameçonnage.

1) Les critères de taille font que le statut d'entité « essentielle » devrait être réservé à des entreprises suffisamment solides pour faire face au niveau d'exigence élevé auquel elles seront soumises

En ce qui concerne les entreprises, l'article 8 transpose fidèlement le texte de la directive en prévoyant que le statut d'entité « essentielle » sera réservé à des entreprises de taille significative appartenant à des secteurs « hautement critiques », ce qui constitue une nécessité pour assurer la proportionnalité des mesures de cybersécurité qui leur seront imposées.

Il s'agit effectivement d'adapter les exigences aux menaces qui pèsent sur les entités mais également à leur caractère plus ou moins critique ainsi qu'à leurs capacités effectives. Cet enjeu de proportionnalité constitue vraisemblablement le facteur clef de succès de la mise en oeuvre du titre II de ce projet de loi transposant la directive NIS 2, tant pour avoir un niveau de protection adéquat qu'en terme d'acceptabilité des exigences.

Quoi qu'il en soit, selon les estimations du cabinet de conseil Idate, le coût de l'application de la directive NIS 2 devrait représenter environ 2 milliards d'euros pour les entreprises française en comptant à la fois le coût de la mise en conformité et celui du recrutement d'experts. Les 12 000 entreprises de taille moyenne, qui seront pour l'essentiel classées comme entités « importantes » (voir le commentaire de l'article 9), devraient y consacrer près de 1,3 milliards d'euros, ce qui implique donc une charge de 700 millions d'euros pour les 2 000 entreprises classées entités « essentielles », lesquelles disposent pourtant souvent déjà d'une réelle maturité cyber.

Ces coûts devront être mis en relation avec les indéniables avantages à long terme qu'en retireront les entreprises : réduction de la probabilité de pertes financières liées aux attaques cyber, grâce notamment à la limitation des dommages qui permettra de réduire les coûts de reprise, amélioration de la réputation de l'entreprise vis-à-vis de ses partenaires et clients, etc.

2) Le choix d'inclure dans le périmètre des entités régulées les collectivités territoriales est un choix fort mais nécessaire

Si elle est naturellement très attentive à ce que les obligations mises à la charge des collectivités territoriales et de leurs établissements publics soient également proportionnées et pleinement justifiées, la commission spéciale approuve et soutient le choix politique consistant à inclure dans le texte en tant qu'entités « essentielles » de très nombreuses collectivités territoriales infrarégionales.

Eu égard à l'importance des services publics rendus à nos concitoyens par les collectivités territoriales et leurs établissements publics et à l'ampleur des perturbations que peuvent engendrer les cyberattaques (services perturbés, perte de données sensibles, dommages financiers, etc.), il est indispensable que l'ensemble des collectivités visées par le présent article 8 en tant qu'entités « essentielles » ou par l'article 9 en tant qu'entités « importantes » fassent l'effort, lorsque ce n'est pas déjà le cas, d'élever leur niveau de cybersécurité pour se conformer aux obligations qui seront prévues par le référentiel dédié de l'Anssi.

Car les montant investis sont aujourd'hui insuffisants. Les dépenses en solutions de cybersécurité représentent en moyenne entre 4% et 8% des budgets informatique des collectivités, alors qu'il faudrait que ces dépenses représentent environ 10 % de ces budgets pour atteindre une protection de base et 12 % pour se mettre au niveau requis par la directive NIS 2.

Cet effort représentera toutefois un coût très important puisqu'un rapport du cabinet Idate rendu public au mois de novembre 2024 estime que le coût pour l'ensemble des collectivités territoriales des solutions de sécurité nécessaires à leur mise en conformité avec la directive NIS 2 s'élèverait à 690 millions d'euros par an. S'y ajouteraient 105 millions d'euros par an au titre de l'embauche et de la formation de ressources humaines qualifiées. Soit un total estimé à environ 795 millions d'euros par an.

Ces lourdes dépenses d'investissement et de fonctionnement n'iront pas de soi, alors que, pour prendre l'exemple des départements, le représentant de l'Association des départements de France (ADF) indiquait devant la commission spéciale que les crédits dédiés à l'informatique pourraient être, en 2025, amputés de l'ordre de 30 % à 50 % en moyenne dans la plupart de ces collectivités.

Sur le plan humain, il sera nécessaire de recruter et de former les agents disposant des compétences adéquates. Or les collectivités territoriales sont confrontées sur le marché de l'emploi à la concurrence des acteurs privés.

En outre, même si l'ensemble des associations représentant les collectivités territoriales ont salué la concertation menée par l'Anssi depuis l'automne 2023, un effort de communication très important vis-à-vis des collectivités territoriales demeure indispensable puisque 23 % des 500 décideurs informatiques interrogés dans la dernière édition du baromètre sur la maturité cyber des collectivités reconnaissaient n'avoir jamais entendu parler de la directive NIS 2 et seuls 24 % d'entre eux se déclaraient prêts à appliquer ses mesures de transposition. La marge de progression est donc importante, le manque de connaissances et de préparation patent.

3) Les établissements d'enseignement supérieur doivent également être mieux protégés contre les menaces cyber

Le second choix de transposition important proposé à l'article 8, et que la commission spéciale approuve également, est celui d'inclure les établissements d'enseignement qui mènent des activités de recherche parmi les entités régulées par le titre II du présent projet de loi de transposition de la directive NIS 2.

Comme rappelé supra, les attaques cyber subies par l'université de Paris-Saclay et par l'université Panthéon-Sorbonne en 2024 ont montré combien ces établissements stratégiques pour l'enseignement et la recherche publique constituent des cibles de choix pour les pirates cyber, qu'ils agissent à des fins d'espionnage ou pour des motifs purement criminels.

La commission a adopté cet article sans modification.

Article 9
Définition des entités « importantes » du point de vue de la sécurité des systèmes d'information

I. La situation actuelle - la directive NIS 2 propose une définition en creux des entités « importantes », en faisant référence aux critères applicables aux entités « essentielles »

Comme rappelé dans le commentaire de l'article 8, la multiplication des cyberattaques contre de très nombreux acteurs de la vie économique et sociale a conduit l'Union européenne, avec un rôle moteur de la France, à adopter la directive NIS 2 visant à renforcer les obligations en matière de cybersécurité de très nombreux acteurs.

À cet égard, l'article 3 de la directive NIS 2 définit les entités « essentielles » qui se verront assigner des obligations renforcées et les entités « importantes » pour lesquelles ces obligations seront moins exigeantes, dans un souci de proportionnalité.

Le paragraphe 1 de l'article 3 de la directive précise les entités qui sont considérés comme « essentielles » et son paragraphe 2 définit, en creux, les entités considérées comme « importantes » : il s'agit des entités appartenant à un secteur « hautement critique » (annexe I de la directive) ou à un secteur « critique » (annexe II de la directive) qui ne constituent pas des entités « essentielles » en vertu du paragraphe 1.

Sont aussi considérées comme « importantes » les entités identifiées en tant que telles par un État membre en vertu de l'article 2, paragraphe 2, points b) à e), une disposition dont la transposition est assurée par l'article 10 du présent projet de loi.

II. Le dispositif envisagé - une transposition fidèle des dispositions de la directive, qui, là aussi, définit principalement en creux la notion d'entité « importante », et fait le choix d'inclure les communautés de commune et les établissements d'enseignement supérieur

Le présent article 9, qui assure la transposition du paragraphe 3 de l'article 2 de la directive NIS 2, établit la liste des entités considérées comme « importantes » du point de vue de la sécurité des systèmes d'information, ces entités ayant vocation à se voir imposer des obligations sous le contrôle de l'Anssi, ces obligations étant toutefois moins exigeantes que celles pesant sur les entités considérées comme « essentielles » énumérées à l'article 8.

1) Des seuils d'application aux entreprises plus bas que ceux prévus à l'article 8 pour les entités « essentielles »

En premier lieu, le 1° de l'article 9 prévoit que sont des entités « importantes » les entreprises appartenant à un des secteurs d'activité « hautement critiques » ou « critiques » qui ne sont pas des entités « essentielles » et qui emploient au moins 50 personnes ou dont le chiffre d'affaires et le total du bilan annuel excèdent chacun 10 millions d'euros.

À titre de comparaison, et pour mémoire, le 1° de l'article 8 prévoit pour sa part que sont considérées comme des entités « essentielles » les entreprises appartenant à un des secteurs d'activité « hautement critiques » qui emploient 250 personnes ou dont le chiffre d'affaires annuel excède 50 millions d'euros et dont le total du bilan annuel excède 43 millions d'euros.

Les différences entre les deux catégories portent donc sur les critères suivants :

- alors qu'une entreprise ne sera une entité « essentielle » que si elle appartient à un secteur « hautement critique », elle peut être considérée comme une entité « importante » qu'elle appartienne à un secteur « hautement critique » ou seulement « critique » ;

- les seuils sont plus bas pour être considéré comme une entité « importante ». Il faut employer au moins 50 personnes contre 250 personnes pour une entité « essentielle ». Alternativement, il faut disposer d'un chiffre d'affaires et d'un bilan annuel excédant chacun 10 millions d'euros, contre respectivement 50 millions d'euros et 43 millions d'euros pour être reconnus comme une entité « essentielle ».

Cette classification est résumée dans le tableau ci-dessous qui précise les critères applicables aux entreprises en vertu des articles 8 et 9.

Là encore, le projet de loi formule une proposition contraposée de la définition de l'article 2 de l'annexe de la recommandation 2003/361/CE afin de viser toutes les entreprises qui excèdent les critères des PME donc qui dépassent les seuils fixés :

- « moins de 50 personnes » devient « au moins 50 personnes » ;

- pour le chiffre d'affaires annuel, « n'excède pas » devient « excède 10 millions d'euros » ;

- pour le bilan annuel, « n'excède pas » devient « excède 10 millions d'euros » ;

- le « et » du nombre d'employés devient un « ou » et le « ou » du chiffre d'affaires et du bilan annuel devient un « et » afin d'intégrer, comme prévues par la directive et la recommandation de 2003, des entreprises pouvant avoir un nombre d'employés inférieur à 50 personnes mais dont le chiffre d'affaires et le bilan annuel justifient leur régulation par la directive NIS 2.

Si les rapporteurs comprennent le choix de proposer une définition positive des critères de taille permettant d'établir si une entreprise est ou non une entité « importante », ils ne peuvent que constater que le choix initial de faire référence dans l'article 3 de la directive à la définition de l'article 2 de l'annexe de la recommandation 2003/361/CE créée énormément de confusion, car celui-ci définit négativement ce que sont les micro, petites et moyennes entreprises^28(*) d'une part, et les petites entreprises d'autre part^29(*).

Il aurait été nettement préférable de proposer directement une définition positive comme le fait le projet de loi de transposition.

Le 8° prévoit également que, s'ils ne sont pas considérés comme des entités « essentielles », sont alors considérés comme des entités « importantes » les établissements publics à caractère industriel et commercial (EPIC) et les régies dotées de la seule autonomie financière chargées d'un service public industriel et commercial appartenant à des secteurs d'activité « hautement critiques » ou « critiques », qui emploient au moins 50 personnes ou dont le produit d'exploitation et le total du bilan annuel excèdent chacun 10 millions d'euros. Comme pour les entreprises, les seuils sont plus bas et les secteurs d'activité ne se limitent pas aux secteurs « hautement critiques », mais également aux secteurs « critiques ». 

2) Les autres entités « importantes » s'inscrivent largement en complément des entités qualifiées d'« essentielles » à l'article 8

L'article 8 définit d'autres entités comme « importantes » au titre des obligations prévues par le titre II du présent projet de loi, principalement par des critères qui s'appliquent en creux de ceux prévus à l'article 9 pour les entités dites « essentielles ».

Le 2° prévoit ainsi que les opérateurs de communications électroniques qui ne sont pas des entités « essentielles » sont par défaut des entités « importantes ». L'article 9 prévoyant que les opérateurs de communications électroniques qui emploient au moins 50 personnes ou dont le chiffre d'affaires annuel et le total du bilan annuel excèdent chacun 10 millions d'euros sont des entités « essentielles », cela signifie que sont des entités « importantes » les opérateurs de communications électroniques qui emploient moins de 50 personnes ou dont le chiffre d'affaires annuel et le total du bilan annuel sont inférieurs, au moins pour l'un des deux, à 10 millions d'euros.

Le 3° prévoit que les prestataires de services de confiances qui ne sont pas des entités « essentielles » sont des entités « importantes ». L'article 8 prévoyant que sont des entités « essentielles » les prestataires de service de confiance « qualifiés », cela signifie que les prestataires de service de confiance qui ne sont pas « qualifiés » rentrent dans la catégorie des entités « importantes », dont les obligations au titre de la cybersécurité sont plus légères que celles qui s'appliquent aux entités « essentielles ».

Le 4° dispose que les communautés de communes et leurs établissements publics administratifs dont les activités s'inscrivent dans un des secteurs d'activité « hautement critiques » ou « critiques » sont des entités « importantes ».

Alors que sont considérés comme des entités « essentielles » les communautés urbaines, les communautés d'agglomération, les métropoles et les communes de plus de 30 000 habitants, toutes les communautés de communes entrent ainsi dans le champ des entités « importantes ».

Quant aux communes de moins de 30 000 habitants, c'est-à-dire l'immense majorité des communes françaises, elles ne seront concernées pas concernées en elles-mêmes par les mesures de transposition de la directive NIS 2 mais le seront malgré tout à travers leur intercommunalité de rattachement.

En vertu du 5°, sont des entités « importantes » les établissements d'enseignement menant des activités de recherche qui ne sont pas des entités « essentielles ». Pour mémoire, l'article 8 prévoit que pour être classé comme « essentiel », un établissement menant des activités de recherche doit être concerné par l'un des quatre critères prévus à l'article 10.

S'il n'est concerné par aucun des quatre critères, il est considéré comme une entité « importante », sauf à faire partie des établissements désignés par arrêté du Premier ministre comme n'étant pas soumis à la présente loi compte tenu du faible impact économique et social de leur activité. Les conditions dans lesquelles le Premier ministre procède à cette désignation par arrêté sont précisées par décret en Conseil d'État.

Le 6° de l'article 9 prévoit que des établissements publics administratifs de l'État peuvent être expressément désignés en tant qu'entités « importantes » par arrêté du Premier ministre, dans des conditions fixées en Conseil d'État.

Le Premier ministre, toujours dans des conditions fixées par décret en Conseil d'État, peut expressément désigner par arrêté en tant qu'entités « importantes » les autres organismes et personnes de droit public ou de droit privé chargés d'une mission de service public administratif à compétence nationale.

III. La position de la commission - la nécessité d'imposer des obligations bien proportionnées aux entités « importantes » et clairement plus légères que celles qui seront exigées des entités « essentielles »

Lors de son audition, la ministre chargée du numérique a indiqué que 80 % des entités visées par la transposition de la directive NIS 2 assurée par le titre II du présent projet de loi seront des entités « importantes » au sens du présent article 8, ce qui devrait représenter environ 12 000 entités.

Dans un souci de proportionnalité qui doit conduire à tenir compte de leur taille, de leurs moyens financiers et humains, mais également de leur caractère moins critique que les entités « essentielles », ces entités « importantes » se verront imposer, selon le directeur général de l'Anssi entendu par la commission spéciale, des mesures de sécurité d'« hygiène numérique » afin de les aider à prendre pleinement conscience des enjeux de cybersécurité et de l'impact particulièrement dommageable que les cyberattaques pourraient avoir sur leurs activités.

De fait, si elles n'ont pas vocation à être protégées contre la menace stratégique ciblée d'un service de renseignements étranger, ces entités sont les victimes récurrentes, pour ne pas dire quotidiennes, d'une menace systémique.

Selon l'Anssi, le niveau d'exigence requis vis-à-vis de ces entités, et qui sera détaillé dans le référentiel mentionné à l'article 14, sera conçu pour diminuer la probabilité qu'elles soient atteintes par un rançongiciel courant, sans nécessiter des investissements disproportionnés.

Le directeur général de l'Anssi a ainsi expliqué à la commission spéciale que son objectif serait d'accompagner au mieux ces entités en leur recommandant des mesures de sécurité adaptées aux obligations prévues par la directive ainsi qu'à leur niveau de maturité cyber.

Cette approche devra permettre de munir les plus fragiles de ces entités d'un filet de sécurité cyber minimal. De fait, la question n'est plus tant aujourd'hui de savoir si une entité sera attaquée un jour, mais plutôt quand elle le sera si elle n'a pas fait le nécessaire pour se protéger. Or, en matière de cybersécurité, il est souvent estimé que le coût de la sécurité est cent fois inférieur au coût d'une attaque réussie.

Selon le directeur général de l'Anssi, pour de petites structures partant de zéro - ce n'est pas le cas de toutes -, l'investissement initial demandé serait de l'ordre de 100 000 à 200 000 euros, les frais récurrents représentant 10 % de la somme mobilisée au départ.

Sur la question des contrôles, les entités « importantes » se verront appliquer un régime de supervision uniquement ex post, qui pourra être déclenché par tout élément de preuve ou toute information portée à l'attention de l'Anssi, alors que le régime de supervision des entités essentielles sera à la fois ex ante et ex post.

En ce qui concerne les sanctions, l'amende applicable aux entreprises entités « importantes » ne pourra excéder 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total, hors taxes, de l'exercice précédent de l'entreprise, le montant le plus élevé étant retenu, contre respectivement 10 millions d'euros et 2% du chiffres d'affaires annuel mondial pour les entités « essentielles ».

Il faudra toutefois que ce dispositif de sanction ne soit pas mis en oeuvre pendant les trois ans qui suivront la promulgation de la présente loi, afin que les entités régulées aient le temps de mettre en place les mesures requises.

Ainsi, la différence de traitement entre entités « essentielles », souvent déjà très matures en termes de cybersécurité, et entités « importantes », qui le sont parfois beaucoup moins, devrait être nette et bien respecter le principe de proportionnalité qui doit guider l'action du législateur, du pouvoir réglementaire puis de l'Anssi dans sa pratique opérationnelle.

Dans le cas des quelque 992 communautés de communes que compte notre pays et de leurs établissements publics administratifs, qualifiés d'entités « importantes » par le présent article 8, la cybersécurité constitue une préoccupation majeure, entretenue par la récurrence des cyberattaques.

Pour autant, leurs responsables craignent de se voir imposer des obligations trop exigeantes alors qu'elles manquent souvent de moyens et auront besoin d'un accompagnement très soutenu de la part de l'État, sachant par ailleurs qu'elles rencontrent déjà et continueront à rencontrer des difficultés en termes de ressources humaines ou de recours aux prestataires privés en matière cyber. Il sera par exemple nécessaire de clarifier si les communautés de communes devront disposer d'un responsable de la sécurité des systèmes d'information (RSSI) ou si un simple référent en cybersécurité pourra suffire.

Il sera donc essentiel que l'Anssi prenne toute la mesure des réalités de terrain, parfois très diverses, des communautés de commune.

La commission a adopté cet article sans modification.

Article 10
Autres entités susceptibles d'être désignées comme entités « essentielles » ou « importantes » du point de vue de la sécurité des systèmes d'information par arrêté du Premier ministre

I. La situation actuelle - la directive NIS 2 définit les cas dans lesquels des entités peuvent être qualifiées d'« essentielles » ou « importantes » quelle que soit leur taille

L'article 2 de la directive NIS 2 relatif à son « Champ d'application » prévoit aux points b à e de son paragraphe 2 que la directive s'applique aux entités d'un type visé à l'annexe I (secteur d'activité « hautement critique ») ou à l'annexe II (secteur d'activité « critique »), quelle que soit leur taille, lorsque :

- l'entité est, dans un État membre, le seul prestataire d'un service qui est essentiel au maintien d'activités sociétales ou économiques critiques ;

- une perturbation du service fourni par l'entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique ;

- une perturbation du service fourni par l'entité pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière ;

- l'entité est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service en question, ou pour d'autres secteurs interdépendants dans l'État membre.

II. Le dispositif envisagé - le Premier ministre pourra désigner par arrêté une entité comme « essentielle » ou « importante », dès lors qu'elle remplir certains critères, même si elle n'est pas couverte par les dispositions des articles 8 et 9 du présent projet de loi

En complément des dispositions de l'article 8, qui prévoit la liste des entités « essentielles » du point de vue de la cybersécurité, et de celles de l'article 9, qui prévoit la liste des entités « importantes », l'article 10 introduit la possibilité pour le Premier ministre de désigner par arrêté comme entité « essentielle » ou comme entité « importante » une entité exerçant une activité relevant d'un secteur d'activité « hautement critique » ou « critique », quelle que soit sa taille, sous réserve de justifier cette désignation au regard de l'un des quatre critères suivants.

Le 1° prévoit que le Premier ministre peut ainsi désigner comme entité « essentielle » ou « importante » une entité qui serait le seul prestataire sur le territoire national d'un service qui est essentiel au fonctionnement de la société et d'activités économiques.

Le 2° dispose qu'une telle désignation peut intervenir si une perturbation du service fourni par l'entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique.

Le 3° introduit le critère selon lequel une perturbation du service fourni par l'entité pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontalier.

Le 4°, enfin, prévoit que le Premier ministre peut désigner comme une entité « essentielle » ou « importante » une entité critique en raison de son importance spécifique au niveau national ou local pour le secteur ou le type de service concerné, ou pour d'autres secteurs interdépendants du territoire national.

Ces 1° à 4° reprennent très précisément les points b à e du paragraphe 2 de l'article 2 de la directive NIS 2, assurant ainsi la transposition de ces dispositions.

III. La position de la commission - une transposition fidèle de dispositions de l'article 2 de la directive NIS 2

L'article 10 constitue une transposition fidèle d'une partie des dispositions de l'article 2 de la directive NIS 2, qui prévoit d'assujettir sans condition de taille des entités appartenant aux secteurs « hautement critiques » ou « critiques », dès lors que la perturbation de leur service par une attaque cyber pourrait avoir un impact important pour le fonctionnement de la société, de secteurs économiques critiques, pour la sécurité publique, la sûreté publique, la santé publique ou bien encore pourrait représenter un risque systémique.

Le pouvoir de désignation de ces entités par arrêté est attribué au Premier ministre, tutelle de l'Anssi, ce qui permettra à celle-ci de recenser puis de lui proposer la liste de tous les opérateurs concernés.

Lors des auditions menées par la commission spéciale, plusieurs intervenants ont demandé la mise en place d'une voie de recours spécifique en cas de contestation par une entité de son classement comme « essentielle » ou « critique » par arrêté du Premier ministre.

La mise en place d'une telle voie de recours n'est nullement nécessaire, les entités en question ayant la possibilité, en cas de contestation, de former un recours gracieux puis, le cas échéant, un recours contentieux devant la justice administrative.

En outre, il convient de rappeler que la désignation d'une entité comme « essentielle » ou « importante » du point de vue de la cybersécurité sur le fondement du présent article 10 par le Premier ministre ne constitue nullement une sanction, et qu'il ne s'agit pas non plus de mettre à sa charge des obligations pour la pénaliser, mais bien de tenir compte de son importance particulière pour le fonctionnement de secteurs prioritaires de la vie de la Nation, ce qui rend nécessaire la mise en place d'un niveau de cybersécurité suffisant.

La commission a adopté cet article sans modification.

Article 11
Compétence et territorialité des dispositions du titre II sur la sécurité des systèmes d'information

I. La situation actuelle - la directive NIS 2 définit les compétences des États membres pour son application avant tout par des critères territoriaux

L'article 26 de la directive NIS 2 définit les règles de compétences des États membres pour l'application des dispositions de la directive, avant tout par des critères territoriaux.

Son paragraphe 1 prévoit ainsi que les entités relevant du champ d'application de la directive sont considérées comme relevant de la compétence de l'État membre dans lequel elles sont établies.

Font toutefois exception les cas suivants :

- au point a du paragraphe 1, il est prévu que les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques accessibles au public sont considérés comme relevant de la compétence de l'État membre dans lequel ils fournissent leurs services ;

- au point b du paragraphe 1, il est prévu que les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les entités fournissant des services d'enregistrement de noms de domaine, les fournisseurs de services d'informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux sont considérés comme relevant de la compétence de l'État membre dans lequel ils ont leur établissement principal dans l'Union ;

- au point c du paragraphe 1, il est prévu que les entités de l'administration publique sont considérées comme relevant de la compétence de l'État membre qui les a établies.

Le paragraphe 2 de l'article 2 de la directive prévoit qu'une entité visée au point b du paragraphe 1 (les fournisseurs de service DNS, etc.) est considérée avoir son établissement principal dans l'Union et dans l'État membre où sont principalement prises les décisions relatives aux mesures de gestion des risques de cybersécurité.

Si un tel État membre ne peut être déterminé ou si ces décisions ne sont pas prises dans l'Union, l'établissement principal est considéré comme se trouvant dans l'État membre où les opérations de cybersécurité sont effectuées.

Si un tel État membre ne peut être déterminé, l'établissement principal est considéré comme se trouvant dans l'État membre où l'entité concernée possède l'établissement comptant le plus grand nombre de salariés dans l'Union.

Le paragraphe 3 de l'article 26 de la directive prévoit que si une entité visée au point b) du paragraphe 1 n'est pas établie dans l'Union mais offre des services dans l'Union, elle désigne un représentant dans l'Union.

Le représentant est établi dans l'un des États membres dans lesquels les services sont fournis. Une telle entité est considérée comme relevant de la compétence de l'État membre dans lequel le représentant est établi.

En l'absence de désignation d'un représentant dans l'Union, tout État membre dans lequel l'entité fournit des services peut intenter une action en justice contre l'entité pour violation de la directive.

II. Le dispositif envisagé - une transposition fidèle des dispositions relatives aux modalités d'application territoriale des obligations prévues par la directive NIS 2

L'article 11 porte sur les modalités d'application territoriale des dispositions du titre II sur la sécurité des systèmes d'information et assure une transposition fidèle des dispositions de l'article 26 de la directive NIS 2.

Son I pose les règles relatives aux entités « essentielles » et aux entités « importantes » définies sur le fondement des articles 8, 9 et 10 du projet de loi.

Pour que le titre II s'applique à ces entités, le 1° du I prévoit qu'il faut que celles-ci soient établies sur le territoire national, reprenant en cela la règle de principe posée par le paragraphe 1 de l'article 26 de la directive.

En vertu du 2°, il faut, s'agissant des opérateurs de communications électroniques, qu'ils fournissent leurs services sur le territoire national, ce qui est conforme au point a) du paragraphe 1 de l'article 26 de la directive.

Celui-ci prévoit effectivement que pour les fournisseurs de réseaux de communications électroniques et les fournisseurs de services de communications électroniques accessibles au public, c'est le critère de la fourniture des services qui est déterminant. Ainsi, pour ce type d'opérateur, peut relever de la compétence distincte et concurrente de plusieurs États membres une entité « essentielle » ou « importante » qui fournit des services dans différents États membres.

En vertu du 3°, il faut, s'agissant des fournisseurs de services de système de noms de domaine, des offices d'enregistrement, des fournisseurs de services d'informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux :

- qu'ils aient leur établissement principal sur le territoire national.

S'agissant de ces acteurs numériques, le b) du paragraphes 2 de l'article 26 de la directive NIS 2 prévoit effectivement que ces entités relèvent de la compétence d'un seul État membre, à savoir celui de l'établissement principal ;

- ou, s'ils sont établis hors de l'Union européenne mais offrent leurs services sur le territoire national, qu'ils aient désigné un représentant établi sur le territoire national.

Le paragraphe 3 de l'article 26 de la directive prévoit effectivement que si une entité visée au point b) du paragraphe 1 n'est pas établie dans l'Union mais offre des services dans l'Union, elle désigne un représentant dans l'Union. Le représentant est établi dans l'un des États membres dans lesquels les services sont fournis. Une telle entité est considérée comme relevant de la compétence de l'État membre dans lequel le représentant est établi.

Les conditions d'établissement sur le territoire national ne s'appliquent pas aux administrations et établissements publics. Ceux-ci sont effectivement considérés comme relevant de la compétence de l'État membre qui les a établies, conformément au c) de l'article 26 de la directive.

Le II de l'article 11 dispose que s'agissant des bureaux d'enregistrement et des agents agissant pour le compte de ces derniers, les obligations du titre II concernent :

- ceux qui ont leur établissement principal sur le territoire national ;

- ou ceux qui ont désigné un représentant établi sur le territoire national, s'ils sont établis hors de l'Union européenne mais offrent leurs services sur le territoire national.

Là encore, il s'agit d'un dispositif conforme aux dispositions des paragraphes 1 et 2 de l'article 26 de la directive.

Le III de l'article 11 précise enfin que pour l'application des I et II, l'établissement principal s'entend du lieu :

- où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité ;

- ou, à défaut, le lieu où les opérations de cybersécurité sont effectuées ;

- ou, à défaut, l'établissement comptant le plus grand nombre de salariés dans l'Union européenne.

Les dispositions de ce III sont conformes aux critères énoncés au paragraphe 2 de l'article 26 de la directive NIS 2 qui prévoit effectivement que les entités visées au b du paragraphe 1 (les fournisseurs de services DNS, etc.) relèvent de la compétence d'un seul État membre, à savoir celui de l'établissement principal.

Toutefois, ces critères semblent ici s'appliquer à l'ensemble des entités visées par l'article 26 de la directive et l'article 11 du présent projet de loi, alors que le texte de l'article 26 de la directive porte bien uniquement sur les entités visées au b du paragraphe 1.

III. La position de la commission - une transposition très fidèle des dispositions de l'article 26 de la directive NIS 2

L'article 11 du projet de loi constitue une transposition très fidèle et souvent littérale des dispositions de l'article 26 de la directive NIS 2, qui établit les compétences des différents États membres sur les entités auxquelles s'appliquent les dispositions de la directive. Il n'appelle donc pas de commentaires particuliers de la commission spéciale.

La commission a adopté sans modification cet article ainsi modifié.

Article 12
Enregistrement des entités « essentielles » et « importantes » auprès de l'autorité nationale de sécurité des systèmes d'information

I. La situation actuelle - la directive NIS 2 prévoit que les entités qui seront régulées par ses dispositions devront fournir aux autorités désignées par les États membres un certain nombre d'informations

La directive NIS 1 et le dispositif SAIV prévoyaient qu'il revenait à l'administration, et en l'occurrence en France à l'Agence nationale de sécurité des systèmes d'information (Anssi), de désigner les entités auxquelles s'appliquaient les obligations en matière de cybersécurité prévues par NIS 1.

Ces obligations concernaient en l'occurrence pour la France environ 500 entités régulées.

Avec la directive NIS 2 et le présent projet de loi de transposition, ce sont quelque 15 000 entités qui seront désormais régulées en France en tant qu'entités « essentielles » ou « importantes », telles que définies aux articles 8 à 10 du projet de loi.

Le paragraphe 3 de l'article 3 de la directive NIS 2 prévoit qu'au plus tard le 17 avril 2025, les États membres établissent une liste des entités « essentielles » et « importantes » ainsi que des entités fournissant des services d'enregistrement de noms de domaine.

Les États membres réexaminent cette liste et, le cas échéant, la mettent à jour régulièrement et au moins tous les deux ans par la suite.

Le paragraphe 4 de l'article 3 prévoit également que les États membres exigent des entités visées qu'elles communiquent aux autorités compétentes au moins les informations suivantes :

- le nom de l'entité;

- l'adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d'IP et les numéros de téléphone ;

- le cas échéant, le secteur et le sous-secteur concernés visés à l'annexe I ou II ;

- le cas échéant, une liste des États membres dans lesquels elles fournissent des services relevant du champ d'application de la directive.

Les entités doivent notifier sans tarder toute modification des informations qu'elles ont communiquées et, en tout état de cause, dans un délai de deux semaines à compter de la date de la modification.

Le nombre d'entités visées étant désormais très important, le dernier alinéa du paragraphe 4 de l'article 3 de la directive NIS 2 dispose que les États membres peuvent mettre en place des mécanismes nationaux permettant aux entités de s'enregistrer elles-mêmes.

II. Le dispositif envisagé - la création d'un mécanisme d'auto-enregistrement obligatoire des entités régulées auprès de l'autorité nationale de sécurité des systèmes d'information

L'article 12 du présent projet de loi dispose que l'autorité nationale de sécurité des systèmes d'information établit et met à jour la liste des entités « essentielles », des entités « importantes » et des bureaux d'enregistrement sur la base des informations que ces entités et bureaux d'enregistrement lui communiquent.

En d'autres termes, il revient désormais à ces entités d'évaluer elles-mêmes si elles entrent ou pas dans les critères définis par le projet de loi, ce qui constitue un transfert de responsabilité significatif.

Ce renversement de la charge de l'identification s'appuie sur le dernier alinéa du paragraphe 4 de l'article 3 de la directive NIS 2 qui dispose que les États membres peuvent mettre en place des mécanismes nationaux permettant aux entités de s'enregistrer elles-mêmes.

Si elles estiment entrer dans ces critères, alors elles devront s'enregistrer auprès de l'autorité nationale de sécurité des systèmes d'information, c'est-à-dire en l'occurrence de l'Autorité nationale de sécurité des systèmes d'information (Anssi) et lui communiquer leur identité et toutes les informations qui permettent d'expliquer en quoi elles peuvent être considérées comme des entités relevant du projet de loi.

Le deuxième alinéa de l'article 12 renvoie à un décret en Conseil d'État la définition des informations à transmettre, leurs modalités de communication et les délais dans lesquels les modifications doivent être transmises par les entités concernées à l'ANSSI.

Ce décret d'application devra transposer le paragraphe 4 de l'article 3 qui prévoit que les États membres exigent des entités visées qu'elles communiquent aux autorités compétentes au moins les informations suivantes :

- le nom de l'entité ;

- l'adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d'IP et les numéros de téléphone ;

- le cas échéant, le secteur et le sous-secteur concernés visés à l'annexe I ou II, ces secteurs et sous-secteurs étant visés à l'article 7 du présent projet de loi ;

- le cas échéant, une liste des États membres dans lesquels elles fournissent des services relevant du champ d'application de la directive.

Les entités devront notifier sans tarder toute modification des informations qu'elles ont communiquées et, en tout état de cause, dans un délai de deux semaines à compter de la date de la modification.

L'Anssi a d'ores-et-déjà créé une plateforme en ligne baptisée MonEspaceNIS2 qui permet de tester si une entité entre dans le champ d'application du projet de loi.

Une fois ce dernier définitivement adopté et promulgué, cette plateforme MonEspaceNIS2 devrait être utilisée pour procéder à l'enregistrement effectif des entités.

III. La position de la commission - l'enregistrement par les entités elles-mêmes apparaît inévitable, eu égard à l'augmentation considérable d'entités régulées au titre de la cybersécurité

Le présent article 12 constitue une transposition des paragraphes 3 et 4 de l'article 3 de la directive NIS 2 qui fait le choix d'activer la possibilité de mettre en place un mécanisme national permettant aux entités de s'enregistrer elle-même.

Eu égard au nombre d'entités concernées par le titre II du projet de loi, évalué à 15 000, la mise en place d'un tel mécanisme au niveau français paraît effectivement incontournable.

Votre rapporteur a pu tester la plateforme en ligne baptisée MonEspaceNIS2, laquelle propose déjà aux entités une indication assez précise de la probabilité qu'elles entrent dans le champ des entités régulées ou non par le présent projet de loi transposant la directive NIS 2.

Si la commission spéciale considère que le projet de loi renvoie trop souvent aux décret d'application, dans le cas de cet article, le renvoi à un décret d'application paraît fondé pour établir dans le détail les informations à transmettre, leurs modalités de communication et les délais dans lesquels les modifications doivent être transmises, même si ces points sont déjà partiellement prescrits dans la directive, notamment le délai des modifications qui doivent être notifiées sans tarder et, en tout état de cause, dans un délai de deux semaines à compter de la date de la modification.

La commission n'a donc pas substantiellement modifié cet article, adoptant uniquement un amendement COM 101 du rapporteur Patrick Chaize visant à insister sur la nécessité de mettre à jour au minimum tous les deux ans la liste des entités visées par le titre II du présent projet de loi.

Elle a également adopté un amendement COM 20 du groupe Socialiste, Écologiste et Républicain prévoyant que la CNIL est saisie pour avis sur le projet de décret en Conseil d'État définissant les informations à transmettre au titre du présent article 12, dans la mesure où certaines d'entre elles peuvent avoir un caractère personnel.

La commission a adopté l'article ainsi modifié.

Article 13
Absence d'application des dispositions du projet de loi aux entités soumises à des exigences équivalentes en application d'un acte juridique de l'Union européenne

I. La situation actuelle - la directive NIS 2 prévoit que ses dispositions peuvent ne pas s'appliquer aux entités soumises à des exigences équivalentes en application d'un acte juridique de l'Union européenne

L'article 4 de la directive NIS 2 porte sur la combinaison entre les dispositions de la directive et d'autres actes juridiques sectoriels de l'Union européenne.

Son paragraphe 1 prévoit ainsi que lorsque des actes juridiques sectoriels de l'Union imposent à des entités « essentielles » ou « importantes » d'adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents importants, et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par la directive, les dispositions pertinentes de la directive NIS 2, y compris celles relatives à la supervision et à l'exécution prévues au chapitre VII, ne sont pas applicables auxdites entités.

Ce principe de lex specialis est notamment prévue pour permettre la conciliation entre les dispositions de la directive NIS 2 d'une part, et celles du règlement DORA et de la directive accompagnant ce règlement, textes destinés à améliorer la résilience du système bancaire et financier.

Elle devrait s'appliquer également à certains types d'entité relevant des secteurs « Infrastructures numériques », « Gestion des services TIC » et « Fournisseurs numériques » tels que définis par les annexes de la directive NIS 2 car ces entités devraient faire l'objet d'un règlement d'exécution spécifique de la Commission européenne. Elles seront donc, dans ce cas particulier, soumises à des mesures de gestion des risques cyber et à des obligations en matière de réponse à incident spécifiques. Elles ne seront par conséquent pas soumises aux mesures de sécurité ni aux règles de notification d'incidents s'appliquant aux entités régulées par NIS 2.

En revanche, lorsque des actes juridiques sectoriels de l'Union ne couvrent pas toutes les entités d'un secteur spécifique relevant du champ d'application de la directive, les dispositions pertinentes de la directive continuent de s'appliquer aux entités non couvertes par ces actes juridiques sectoriels de l'Union.

Le paragraphe 2 de l'article 4 prévoit que les exigences visées au paragraphe 1 sont considérées comme ayant un effet équivalent aux obligations prévues par la directive lorsque :

- comme prévu en son point a), les mesures de gestion des risques en matière de cybersécurité ont un effet au moins équivalent à celui des mesures prévues à l'article 21 relatif aux mesures de gestion des risques en matière de cybersécurité ;

- comme prévu en son point b), l'acte juridique sectoriel de l'Union prévoit un accès immédiat, s'il y a lieu, automatique et direct, aux notifications d'incidents par les computer security incident response team (CSIRT), les autorités compétentes ou les points de contact uniques en vertu de la directive.

II. Le dispositif envisagé - une transposition fidèle quoique incomplète de dispositions de la directive NIS 2 portant sur sa conciliation avec des actes juridiques de l'Union portant sur des exigences sectorielles en matière de cybersécurité

La première phrase de l'article 13 prévoit que les dispositions pertinentes du présent projet de loi, y compris celles relatives à la supervision, ne sont pas applicables aux entités « essentielles » et « importantes » qui sont soumises, en application d'un acte juridique de l'Union européenne, à des exigences sectorielles de sécurité et de notification d'incidents ayant un effet au moins équivalent aux obligations résultant des articles 14 et 17.

Cette transposition est fidèle au paragraphe 1 de l'article 4 de la directive, mais ne reprend pas la précision qui prévoit que lorsque des actes juridiques sectoriels de l'Union ne couvrent pas toutes les entités d'un secteur spécifique relevant du champ d'application de la directive, les dispositions pertinentes de la directive continuent de s'appliquer aux entités non couvertes par ces actes juridiques sectoriels de l'Union.

Le renvoi à l'article 14, qui assure la transposition de l'article 21 relatif aux mesures de gestion des risques en matière de cybersécurité, permet de respecter la référence faite au même article 21 de la directive au point a) du paragraphe 2 de l'article 4 de la même directive.

La deuxième phrase de l'article 13 prévoit que pour être équivalentes, les exigences de notification des incidents doivent également prévoir un accès immédiat aux notifications d'incidents par l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire l'Anssi).

Cette disposition est conforme au point b) du paragraphe 2 de l'article 4 de la directive qui dispose que l'acte juridique sectoriel de l'Union doit prévoir un accès immédiat, s'il y a lieu, automatique et direct, aux notifications d'incidents par les computer security incident response team (CSIRT), les autorités compétentes ou les points de contact uniques en vertu de la directive, cette responsabilité étant confiée à l'Anssi par l'article 17 du présent projet de loi.

III. La position de la commission - une transposition permettant une bonne conciliation entre dispositif général en matière de cybersécurité et réglementation sectorielle, mais la nécessité de prévoir un amendement pour éviter que des entités échappent à toute régulation

L'article 13 apparaît comme une transposition fidèle de l'article 4 de la directive NIS 2 et assure en particulier l'articulation entre les dispositions transposant NIS 2 d'une part et celles du règlement sur la résilience opérationnelle numérique du secteur financier (dit DORA) et celles transposant la directive accompagnant ce règlement d'autre part.

Ces dispositions sont nécessaires pour éviter que des entités se voient appliquer sur les mêmes sujets deux réglementations différentes.

La commission spéciale approuve ces dispositions de transposition et n'a par conséquent pas apporté de modification au présent article 13.

La commission a adopté cet article sans modification.

Article 14
Mise en place de mesures de cybersécurité par les entités « essentielles » et « importantes »

I. La situation actuelle - l'article 21 de la directive NIS 2 prévoit que les entités « essentielles » et « importantes » doivent prendre des mesures techniques, opérationnelles et organisationnelles pour gérer les risques cyber

Le paragraphe 1 de l'article 21 de la directive NIS 2 prévoit que les États membres veillent à ce que les entités « essentielles » et « importantes » prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d'autres services.

Les mesures visées doivent garantir, pour les réseaux et les systèmes d'information, un niveau de sécurité adapté au risque existant, en tenant compte de l'état des connaissances et, s'il y a lieu, des normes européennes et internationales applicables, ainsi que du coût de mise en oeuvre.

Lors de l'évaluation de la proportionnalité de ces mesures, il convient de tenir dûment compte du degré d'exposition de l'entité aux risques, de la taille de l'entité et de la probabilité de survenance d'incidents et de leur gravité, y compris leurs conséquences sociétales et économiques.

Le paragraphe 2 de l'article 21 prévoit que ces mesures sont fondées sur une approche « tous risques » qui vise à protéger les réseaux et les systèmes d'information ainsi que leur environnement physique contre les incidents, et qu'elles comprennent au moins :

- les politiques relatives à l'analyse des risques et à la sécurité des systèmes d'information ;

- la gestion des incidents ;

- la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises ;

- la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ;

- la sécurité de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information, y compris le traitement et la divulgation des vulnérabilités ;

- des politiques et des procédures pour évaluer l'efficacité des mesures de gestion des risques en matière de cybersécurité ;

- les pratiques de base en matière de « cyberhygiène » et la formation à la cybersécurité ;

- des politiques et des procédures relatives à l'utilisation de la cryptographie et, le cas échéant, du chiffrement ;

- la sécurité des ressources humaines, des politiques de contrôle d'accès et la gestion des actifs ;

- l'utilisation de solutions d'authentification à plusieurs facteurs ou d'authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d'urgence au sein de l'entité, selon les besoins.

II. Le dispositif envisagé - des obligations conformes aux dispositions de l'article 21 de la directive NIS 2 et qui feront l'objet d'un référentiel auquel devront se conformer les entités régulées

L'article 14 précise les obligations qui incombent aux différents acteurs assujettis aux dispositions du titre II du présent projet de loi transposant les dispositions de l'article 21 de la directive NIS 2.

Ces obligations s'appliquent :

- aux entités « essentielles » définies à l'article 8 ou susceptibles d'être désignées au titre de l'article 10 ;

- aux entités « importantes » définies à l'article 9 ou susceptibles d'être désignées au titre de l'article 10 ;

- aux administrations de l'État et à leurs établissements publics administratifs qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale ainsi que de la répression pénale, les missions diplomatiques et consulaires française pour leurs réseaux et systèmes d'information ;

- au Commissariat à l'énergie atomique et aux énergies alternatives pour ses activités dans le domaine de la défense ;

- aux juridictions administratives et judiciaires.

L'ensemble de ces acteurs sont tenus de prendre les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour :

- gérer les risques qui menacent la sécurité des réseaux et des systèmes d'informations qu'ils utilisent dans le cadre de leurs activités ou de la fourniture de leurs services ;

- éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d'autres services.

Il s'agit là précisément, retranscrites mot pour mot, des obligations prévues par le premier paragraphe du 1 de l'article 21 de la directive NIS 2.

Ces mesures techniques, opérationnelles et organisationnelles doivent garantir, pour leurs réseaux et leurs systèmes d'information, un niveau de sécurité adapté et proportionné au risque existant.

Si cette phrase figure au deuxième paragraphe du 1 de l'article 21 de NIS 2, la rédaction proposée ne précise pas, contrairement à la directive, qu'il s'agit de viser un niveau de sécurité adapté et proportionné au risque existant « en tenant compte de l'état des connaissances et, s'il y a lieu, des normes européennes et internationales applicables, ainsi que du coût de mise en oeuvre ».

Il est également indiqué par la directive que « lors de l'évaluation de la proportionnalité de ces mesures, il convient de tenir dûment compte du degré d'exposition de l'entité aux risques, de la taille de l'entité et de la probabilité de survenance d'incidents et de leur gravité, y compris leurs conséquences sociétales et économiques ».

Il est bien précisé au dernier alinéa de l'article 14 que ces mesures sont mises en oeuvre aux frais des acteurs concernés, ce qui représentera pour ceux d'entre eux qui sont les moins matures des coûts importants.

En vertu de l'article 14, ces mesures techniques, opérationnelles et organisationnelles visent à :

- Mettre en place un pilotage de la sécurité des réseaux et systèmes d'information adapté, comprenant notamment la formation à la cybersécurité des membres des organes de direction et des personnes exposées aux risques, problématique abordée, quoique de manière plus complète, par l'article 20 de la directive NIS 2 ;

- Assurer la protection des réseaux et systèmes d'information, y compris en cas de recours à la sous-traitance (il s'agit là d'une référence à la nécessité de prendre en compte « la sécurité de la chaîne d'approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs » évoquée à l'article 21 de la directive) ;

- Mettre en place des outils et des procédures pour assurer la défense des réseaux et systèmes d'information et gérer les incidents, sujet lui aussi évoqué par l'article 21 de la directive ;

- Garantir la résilience des activités, point là aussi évoqué par l'article 21 de la directive.

L'article 14 prévoit qu'un décret en Conseil d'État :

- Fixe les objectifs auxquels doivent se conformer les acteurs auxquels s'applique le présent article, afin que les mesures adoptées pour la gestion des risques satisfassent aux quatre obligations énoncées ci-dessus ;

- Détermine les conditions d'élaboration, de modification et de publication d'un référentiel d'exigences techniques et organisationnelles qui sont adaptées à ces différents acteurs.

Il est précisé que ce référentiel peut prescrire le recours à des produits, des services ou des processus certifiés au titre du règlement (UE) n° 2019/881^30(*).

L'Anssi a indiqué à votre rapporteur que les exigences de ce référentiel en matière de cybersécurité, sur lequel elle travaille actuellement, s'inscriront dans la suite logique de l'actuelle réglementation NIS 1 et porteront principalement sur des aspects d'hygiène informatique fondamentale afin que les entités puissent se protéger contre les menaces les plus courantes.

Selon le directeur de l'Anssi, il est envisagé que ce référentiel, dont votre rapporteur a pu consulter une version de travail, s'articule autour d'une vingtaine d'objectifs de sécurité obligatoires qui seront la traduction technique, opérationnelle et organisationnelle des mesures des articles 20 et 21 de la directive NIS 2.

Chaque objectif serait assorti de mesures proposées qui constitueraient des « moyens acceptables de mise en oeuvre », dont le respect permettrait d'atteindre les objectifs. Mais ces mesures ne seraient pas elles-mêmes obligatoires, l'entité restant libre de mettre en oeuvre les moyens qu'elle souhaite tant qu'ils permettent l'atteinte des objectifs susmentionnés qui, eux, seront obligatoires.

Selon l'Anssi, ces objectifs et mesures respecteront un principe de proportionnalité entre les entités « essentielles » et les entités « importantes » afin qu'il y ait une différence claire entre les entités « essentielles » qui devront respecter un niveau d'exigence élevé, et les entités « importantes », qui constitueront la majorité des nouveaux acteurs régulés.

L'élaboration de ce référentiel est apparue comme une nécessité, un renvoi à la norme ISO27001 n'étant pas suffisant (cf.'encadré ci-après).

Il convient en outre de noter que, par défaut, l'ensemble des systèmes d'information d'une entité seront concernées par le rehaussement des mesures de cybersécurité, car ces systèmes sont tous interdépendants et susceptibles d'attaques cybercriminelles.

Celles-ci peuvent effectivement viser des systèmes d'information annexes ou supports et s'en servir pour se latéraliser vers le reste de l'infrastructure numérique.

Les entités « essentielles » et « importantes » conserveront néanmoins la possibilité d'exclure du champ d'application certains de leurs systèmes dont la défaillance n'aurait pas d'impact sur leur activité, selon des modalités qui seront précisées au niveau réglementaire.

Sont exclus du champ du décret en Conseil d'État mentionné supra et autorisés à mettre en oeuvre les exigences techniques et méthodologiques qui leur sont propres les acteurs suivants :

- Les fournisseurs de services de systèmes de noms de domaine ;

- Les offices d'enregistrement ;

- Les fournisseurs de services d'informatique en nuage ;

- Les fournisseurs de services de centres de données ;

- Les fournisseurs de réseaux de diffusion de contenu ;

- Les fournisseurs de services gérés ;

- Les fournisseurs de sécurité gérés

- Les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux ;

- Les prestataires de services de confiance.

III. La position de la commission - des obligations en matière de sécurité indispensables, qui devront être décidées par les organes de direction des entités mais qui devront rester proportionnées et faire l'objet d'un accompagnement très soutenu

1) Élever le niveau de cybersécurité des entreprises et des administrations est une nécessité

Le présent article 14 permet d'assurer la transposition de l'article 21 de la directive NIS 2 en prévoyant que les entités « essentielles » et « importantes » devront prendre les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour :

- gérer les risques qui menacent la sécurité des réseaux et des systèmes d'informations qu'elles utilisent dans le cadre de leurs activités ou de la fourniture de leurs services ;

- éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d'autres services.

Il s'agit là d'une des dispositions clefs du projet de loi, à laquelle la commission spéciale souscrit pleinement : l'ensemble des entités visées par la transposition de la directive NIS 2 peuvent être la cible de cyberattaques potentiellement dévastatrices et doivent par conséquent rehausser parfois fortement leur niveau de cybersécurité pour y faire face.

2) Un impératif de proportionnalité pour éviter des obligations excessives et trop coûteuses

Cet impératif étant posé, il convient de veiller à ce que les obligations qui seront imposées à ces entités, et notamment aux nombreuses entités « importantes », parfois de petite taille, demeurent raisonnables et proportionnées.

C'est la raison pour laquelle la commission spéciale a adopté un amendement COM 103 du rapporteur Patrick Chaize, directement inspiré par les dispositions de l'article 21 de la directive, qui prévoit que les mesures adoptées par les entités doivent permettre de viser un niveau de sécurité adapté et proportionné au risque existant « en tenant compte de l'état des connaissances et, s'il y a lieu, des normes européennes et internationales applicables, ainsi que du coût de mise en oeuvre ».

Cet amendement vise également à inscrire dans la loi que « lors de l'évaluation de la proportionnalité de ces mesures, il convient de tenir dûment compte du degré d'exposition de l'entité aux risques, de la taille de l'entité et de la probabilité de survenance d'incidents et de leur gravité, y compris leurs conséquences sociétales et économiques ».

De fait, les coûts de mise en oeuvre de ces mesures seront très importants, puisque l'Anssi les évalue à :

- de 450 000 à 880 000 euros de coûts d'investissements par entité, avec un coût annuel de maintien en condition de sécurité s'élevant à environ 10 % du coût d'investissement, pour les entités « essentielles » ;

- de 100 000 et 200 000 euros de coûts d'investissements par entité, avec un coût annuel de maintien en condition de sécurité s'élevant à environ 10 % du coût d'investissement pour les entités « importantes ».

Il s'agit là de montant très significatifs, d'où l'importance que les mesures qui seront prescrites, après concertation, par le référentiel de l'Anssi soient véritablement conçues au plus près des réalités de terrain, afin d'éviter au maximum des exigences disproportionnées qui ne seraient pas adaptées aux entités concernées, et notamment les plus petites d'entre elles.

En clair, il ne faudra pas imposer des mesures draconiennes et coûteuses à une petite entreprise peu exposée à la menace cyber ou pour laquelle une attaque cyber aurait peu d'impact.

3) Insister davantage sur l'implication des organes de direction des entreprises

Dans la rédaction initiale du projet de loi, il était prévu que les mesures que doivent prendre les entités régulées visent notamment à « mettre en place un pilotage de la sécurité des réseaux et systèmes d'information adaptée, comprenant notamment la formation à la cybersécurité des membres des organes de direction et des personnes exposées aux risques ».

Cette rédaction est apparue à la commission spéciale comme une forme de sous-transposition de l'article 20 de la directive NIS 2 qui prévoit que les décisions stratégiques en matière de cybersécurité doivent être prises par les organes de direction des entreprises ou des administrations publiques et que leurs dirigeants comme leurs personnels exposés aux risques cyber doivent être formés aux grands enjeux en matière de cybersécurité.

C'est pourquoi la commission spéciale à adopté un amendement COM 102 du rapporteur Patrick Chaize réécrivant le deuxième alinéa de l'article 14 pour prévoir que les mesures que prennent les entités régulées visent notamment à « prévoir que les organes de direction approuvent et supervisent les mesures de pilotage de la sécurité des réseaux et systèmes d'information, leurs membres ainsi que les personnes exposées aux risques devant être formés à la cybersécurité ».

Il paraît en effet indispensable, et conforme à l'esprit de la directive, d'insister sur le fait que les organes de direction doivent approuver et superviser directement les mesures relatives à la cybersécurité, ces questions essentielles relevant directement de leur compétence et de leur responsabilité.

4) Le rôle d'accompagnement de l'Anssi sera crucial pour réussir le rehaussement effectif de la cybersécurité des 15 000 entités qui devront appliquer les dispositions de ce projet de loi transposant la directive NIS 2

Le présent article 14 imposera à 15 000 entités de s'engager dans une démarche de rehaussement du niveau de sécurité de leurs systèmes d'information, ce qui suscite beaucoup d'inquiétudes et de demandes d'accompagnement, ce qu'ont clairement montré les auditions réalisées par la commission spéciale.

Il sera donc crucial que l'Anssi se mobilise très fortement pour faire connaître et comprendre les nouvelles obligations prévues par la réglementation et assurer leur mise en oeuvre effective.

Lors de son audition, le directeur général de l'Anssi a expliqué à la commission spéciale que la plateforme en ligne MonEspaceNIS2 permettra d'automatiser l'accompagnement des entités régulées en devenant le vecteur de nombreuses informations, la plateforme MonAideCyber ayant pour sa part vocation à réaliser des diagnostics de maturité de cybersécurité et d'identifier les mesures prioritaires que l'entité devra appliquer en termes de sécurité des systèmes d'information.

Mais l'Anssi prévoit également de s'appuyer fortement sur différents relais tels que les ministères coordonnateurs (chargés de l'animation des communautés sectorielles), les organisations professionnelles, les associations de collectivités territoriales, l'écosystème de prestataires de services de cybersécurité ou bien encore le réseau de Campus Cyber national et régionaux en cours de déploiement.

De fait, la commission spéciale, si elle n'a pas vocation à légiférer sur ce point, ne saurait trop insister sur la nécessité de prévoir un accompagnement très soutenu de l'ensemble des acteurs régulés afin que ceux-ci puissent progressivement se conformer à leurs obligations issues de la directive NIS 2, sachant que le délai communément admis pour cette mise aux normes sera de trois ans après la promulgation de la loi.

La commission a adopté cet article ainsi modifié.

Article 15
Opposabilité à l'ANSSI en cas de contrôle de la mise en oeuvre du référentiel qu'elle prescrit en matière de gestion des risques cyber

I. La situation actuelle - une modalité directement introduite par la France pour simplifier la mise en oeuvre des contrôles en matière de cybersécurité

Le présent article 15 prend sens dans le contexte de la transposition de la directive NIS 2 mais ne trouve pas son origine directement dans l'une de ses dispositions.

Il constitue une modalité d'application faisant partie de la marge de choix de l'État membre.

II. Le dispositif envisagé - la création d'un dispositif d'opposabilité à l'Anssi en cas de contrôle de la mise en oeuvre du référentiel qu'elle prescrit en matière de gestion des risques cyber

L'article 14 prévoit qu'un décret en Conseil d'État détermine les conditions d'élaboration, de modification et de publication d'un référentiel d'exigences techniques et organisationnelles adapté aux différents acteurs tenus d'atteindre les objectifs fixés par le même décret pour que les mesures techniques, opérationnelles et organisationnelles adoptées pour la gestion des risques permettent effectivement de :

- mettre en place un pilotage de la sécurité des réseaux et systèmes d'information adapté, comprenant notamment la formation à la cybersécurité des membres des organes de direction et des personnes exposées aux risques ;

- assurer la protection des réseaux et systèmes d'information, y compris en cas de recours à la sous-traitance ;

- mettre en place des outils et des procédures pour assurer la défense des réseaux et systèmes d'information et gérer les incidents ;

- Garantir la résilience des activités.

Il est précisé que ce référentiel peut prescrire le recours à des produits, des services ou des processus certifiés au titre du règlement (UE) n° 2019/881^31(*).

Le présent article 15 dispose que les acteurs qui mettent en oeuvre les exigences de ce référentiel peuvent s'en prévaloir auprès de l'Anssi lors d'un contrôle pour démontrer le respect des objectifs qui leur sont fixés par le décret en Conseil d'État en matière de gestion des risques cyber.

Si ces acteurs ne mettent pas en oeuvre les exigences de ce référentiel, ils seront tenus de démontrer que les mesures qu'ils mettent en oeuvre permettent de se conformer à ces objectifs en matière de gestion des risques cyber.

Ainsi, l'utilisation du référentiel n'est pas obligatoire mais très fortement incitée dans la mesure où son application permet, lors d'un contrôle de l'Anssi, de prouver efficacement et rapidement que l'acteur contrôlé s'est conformé à ses obligations pour atteindre ses objectifs en matière de gestion des risques cyber.

Dans un souci d'adaptation et de proportionnalité, le non recours au référentiel reste possible, mais fait peser sur l'acteur la charge de prouver qu'il a mis en oeuvre des mesures techniques, opérationnelles et organisationnelles qui lui permettent de se conformer à ses objectifs même si celles-ci ne correspondent pas, en tout ou partie, à celles qui sont prescrites par le référentiel.

III. La position de la commission - une mesure de simplification bienvenue, auquel il convient d'adjoindre un mécanisme de reconnaissance mutuelle des référentiels de niveau équivalent entre les États membres de l'Union européenne

Le présent article 15 ne vise pas à transposer une disposition de la directive, mais à mettre en place un système d'opposabilité pour simplifier les contrôles de l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire de l'Anssi), ce qui a pour objet de faciliter la tâche de cette dernière mais également de protéger les entités qui se seront conformées aux exigences du référentiel prévu à l'article 14.

Les obligations mises à la charge des entités auxquelles s'appliquera le titre II du présent projet de loi étant très lourdes, la commission s'est montrée très favorable aux dispositions de cet article 15 qui introduisent une mesure de simplification et d'efficacité bienvenue, mais également une mesure de flexibilité en ne rendant pas le référentiel de l'Anssi obligatoire, même si les entités régulées auront tout intérêt à s'y conformer.

Afin de prévoir le cas des entreprises exerçant leurs activités dans plusieurs États membres et appliquant partout un même référentiel qui ne serait pas celui de la France mais qui serait reconnu par l'Anssi elle-même comme de même niveau que son propre référentiel, la commission spéciale a adopté un amendement COM 104 du rapporteur Patrick Chaize visant à créer un mécanisme de reconnaissance mutuelle entre les États membres de l'Union européenne, de sorte qu'une entité qui aurait vue certifiée sa conformité à la directive NIS 2 dans un autre État membre puisse s'en prévaloir lors d'un contrôle de l'Anssi, dès lors que celle-ci a validé le niveau équivalent de sécurité garanti par le référentiel dudit État membre.

La commission a adopté cet article ainsi modifié.

Article 16
Exigences de protection cyber supplémentaires pour les OIV et pour les administrations

I. La situation actuelle - l'article 21 de la directive NIS 2 impose des obligations en matière de cybersécurité aux entités que celle-ci régule

Comme mentionné dans le commentaire de l'article 14, le paragraphe 1 de l'article 21 de la directive NIS 2 prévoit que les États membres veillent à ce que les entités « essentielles » et « importantes » prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d'autres services.

Le présent article 16 prévoit qu'à ces obligations en matière de cybersécurité s'en ajoutent d'autres pour rehausser encore le niveau de sécurité des opérateurs d'importance vitale (OIV) et de plusieurs catégories d'administrations.

II. Le dispositif envisagé - un dispositif de protection cyber renforcé par rapport aux autres entités régulées pour les OIV et pour les administrations de l'État auxquelles s'applique NIS 2.

L'article 1^er du présent projet de loi prévoit, dans une disposition codifiée à l'article L. 1332-2 du code de la défense, que sont désignés opérateurs d'importance vitale (OIV) par l'autorité administrative :

- Les opérateurs publics ou privés exerçant, au moyen d'infrastructures critiques situées sur le territoire national, une activité d'importance vitale^32(*) ;

- Les opérateurs publics ou privés, gestionnaires, propriétaires ou exploitants d'établissements mentionnés à l'article L. 511-1 du code de l'environnement ou comprenant une installation nucléaire de base mentionnée à l'article L. 593-2 du même code, lorsque la destruction ou l'avarie d'une ou plusieurs installations de ces établissements peut présenter un danger d'une particulière gravité pour la population ou l'environnement.

Le premier alinéa de l'article 16 prévoit que ces opérateurs d'importance vitale (OIV) tiennent à jour et communiquent à l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire l'Anssi) la liste de leurs systèmes d'information d'importance vitale selon les modalités fixées par le Premier ministre.

En vertu des dispositions du 2° de l'article L. 1332-1 du code de la défense tel qu'il résulte des dispositions de l'article 1^er du présent projet de loi, les systèmes d'information d'importance vitale des OIV sont les systèmes d'information nécessaires à l'exercice d'une activité d'importance vitale ou à la gestion, l'utilisation ou la protection d'une ou plusieurs infrastructures critiques.

Les OIV devront donc impérativement tenir à jour et communiquer à l'Anssi une liste de ces systèmes d'information d'importance vitale.

Le deuxième alinéa de l'article 16 prévoit en outre que les OIV devront non seulement mettre en oeuvre sur leurs systèmes d'information d'importance vitale les exigences du référentiel mentionné à l'article 14 ainsi que les exigences spécifiques à ces systèmes d'information fixées par le Premier ministre. Pour ces OIV, se conformer au référentiel de l'Anssi ne suffira donc pas, il faudra également que leurs systèmes d'information se conforment à des exigences spécifiques supplémentaires.

Le troisième alinéa du présent article 16 prévoit que mettent en oeuvre les exigences du référentiel mentionné à l'article 14 ainsi que les exigences spécifiques fixées par le Premier ministre à l'égard des systèmes d'information permettant des échanges d'informations par voie électronique avec le public et d'autres administrations, les entités suivantes :

- les administrations qui sont entités « essentielles » ou « importantes » ;

- les administrations de l'État et leurs établissements publics administratifs qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale, de la répression pénale, ou des missions diplomatiques et consulaires françaises et de leurs réseaux et systèmes d'information ;

- le Commissariat à l'énergie atomique et aux énergies alternatives pour ses activités dans le domaine de la défense ;

- les juridictions administratives et judiciaires.

Cela signifie que pour chacune de ces administrations particulièrement sensibles il sera nécessaire de se conformer non seulement aux exigences du référentiel de l'Anssi prévu par l'article 14 du présent projet de loi, mais également aux « exigences spécifiques fixées par le Premier ministre à l'égard des systèmes d'information permettant des échanges d'informations par voie électronique avec le public et d'autres administrations ».

Ces exigences devraient pour l'essentiel correspondre à celles du référentiel général de sécurité (RGS)^33(*) qui impose aux autorités administratives la mise en oeuvre de mesures de sécurité visant à limiter la fraude liée à l'usage des services numériques de ces administrations pour échanger avec leurs usagers ou d'autres administrations.

Le quatrième alinéa de l'article 16 prévoit que les exigences spécifiques fixées par le Premier ministre prévues aux deuxièmes et troisième alinéas peuvent prescrire le recours à des dispositifs matériels ou logiciels ou à des prestataires de services certifiés, qualifiés ou agréés ou prévoir que le recours à des dispositifs matériels ou logiciels ou à des prestataires de services certifiés, qualifiés ou agréés emporte présomption de conformité à l'exigence de sécurité concernée.

Ces exigences peuvent également prescrire des audits de sécurité réguliers réalisés par des organismes indépendants.

Il est précisé que les personnes mentionnées au présent article 16 appliquent ces exigences à leurs frais.

Ce pouvoir de prescription de matériels, logiciels ou prestataires de service ou de prescription d'audits de sécurité se justifie par le caractère particulièrement sensible des OIV et des administrations visées au troisième alinéa de l'article 16, ce qui justifie que le Premier ministre, sur la base des travaux de l'Anssi, puissent faire preuve d'exigences renforcées vis-à-vis de ces entités.

III. La position de la commission - l'ajout d'exigences de cyber protections spécifiques pour les OIV et les administrations de l'État est justifiée, eu égard à la sensibilité de leurs systèmes d'information

Alors que l'article 14 du projet de loi prévoit que les entités régulées par le titre II transposant la directive NIS 2 devront mettre en oeuvre les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité de leurs réseaux et de leurs systèmes d'information, l'article 16 confère au Premier ministre le pouvoir de rajouter des obligations supplémentaires pour les opérateurs d'importance vitale (OIV) ainsi que pour les administrations, et en particulier les administrations régaliennes les plus sensibles.

Si le principe de proportionnalité invite à ne pas imposer des protections trop lourdes et coûteuses à des entités qui feraient l'objet de peu de menaces cyber ou dont une éventuelle défaillance aurait des conséquences limitées, il conduit également à prévoir que des mesures renforcées puissent être prévues pour les entités les plus critiques ou les plus essentielles au bon fonctionnement de l'économie et de la société.

La commission spéciale a donc considéré que les dispositions du présent article 16 étaient proportionnées à leur objectif et a seulement adopté un amendement rédactionnel COM 105 du rapporteur Patrick Chaize.

La commission a adopté cet article ainsi modifié.

Article 17
Obligation de notification à l'Anssi par les entités régulées des incidents importants en matière de cybersécurité, notification aux destinataires des services et information du public

I. La situation actuelle - alors que l'Anssi est déjà destinataire de nombreuses notifications d'incidents de cybersécurité, la directive NIS 2 renforce ce rôle de CERT national auprès des entités dont elle prévoit la régulation

1) L'Anssi joue déjà un rôle clef en matière de réponses aux incidents en matière de cybersécurité

Comme rappelé dans le commentaire de l'article 5, l'Agence nationale de la sécurité des systèmes d'information (Anssi), rattachée au secrétaire général de la défense et de la sécurité nationale (SGDSN), est l'autorité de sécurité des systèmes d'information en France, même s'il convient également de noter que le ministre de la défense dispose lui aussi de compétences spécifiques en matière de cybersécurité^34(*).

L'Anssi s'est dotée en son sein d'un CERT-France qui assure les fonctions de Computer Emergency Response Team (CERT) ou Computer Security Incident Response Team (CSIRT) gouvernemental et national pour la France^35(*).

À ce titre, le CERT-France de l'Anssi est notamment destinataire de déclarations d'incidents des opérateurs de services essentiels (OSE) conformément à la loi n° 2018-133 de transposition de la directive NIS 1, des opérateurs d'importance vitale (OIV) concernant leurs systèmes d'information d'importance vitale en vertu de l'article L. 1332-6-2 du code de la défense, des incidents d'origine informatique des opérateurs de communications électroniques en vertu de l'article D. 98-5 du code des postes et des communications électroniques (CPCE) ou encore des éditeurs de logiciels en vertu de l'article L. 2321-4-1 du code de la défense.

Le CERT-France apporte ainsi son appui 24h/24 et 7 jours/7 aux opérateurs d'importance vitale (OIV), aux opérateurs de services essentiels (OSE) mais également aux ministères, aux autorités, et à d'autres organismes publics administratifs dans leurs réponses aux incidents de cybersécurité.

A ce titre, le CERT-France est notamment chargé de :

- détecter les vulnérabilités critiques des systèmes d'information des entités supervisées, notamment via des services d'audits techniques et d'audits automatisés;

- aider à la mise en place de moyens de protection contre d'éventuels incidents cyber futurs ;

- après leur notification, assurer les réponses aux incidents, l'assistance, le soutien, la remédiation et la rédaction et diffusion des bulletins et alertes relatifs à des vulnérabilités permettant de les corriger ;

- favoriser et animer un réseau de confiance, avec différentes entités pour permettre la bonne circulation de l'information, et notamment les connaissances sur les incidents et sur les menaces.

Afin de démultiplier son action, l'Anssi a en outre soutenu la création de CSIRT régionaux, sectoriels et ministériels qui contribuent eux aussi à la notification d'incidents, à l'aide à la remédiation ainsi qu'à la connaissance de la menace.

2) Les dispositions prévues par la directive NIS 2 en matière de notification aux CERT nationaux par les entités régulées des incidents importants en matière de cybersécurité, de notification aux destinataires des services et d'information du public

Le point a) du paragraphe 3 de l'article 11 de la directive NIS 2 donne au CSIRT national la tâche de surveiller et d'analyser les cybermenaces, les vulnérabilités et les incidents au niveau national et, sur demande, d'apporter une assistance aux entités « essentielles » et « importantes » concernées pour surveiller en temps réel ou quasi réel leurs réseaux et systèmes d'information.

En matière de notification, le paragraphe 1 de l'article 23 de la directive prévoit que chaque État membre doit veiller à ce que les entités « essentielles » et « importantes » notifient, sans retard injustifié, à son CSIRT, tout incident ayant un impact important sur leur fourniture de service.

En outre, le paragraphe 2 de l'article 23 prévoit que le cas échéant, les États membres veillent à ce que les entités « essentielles » et « importantes » communiquent, sans retard injustifié, aux destinataires de leurs services qui sont potentiellement affectés par une cybermenace importante toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace. Le cas échéant, les entités informent également ces destinataires de la cybermenace importante elle-même.

Le paragraphe 3 de l'article 23 définit la notion d'« incident important ». Un incident est considéré comme important :

- s'il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l'entité concernée;

- s'il a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables. 

Pour mémoire, le paragraphe 6 de l'article 6 de la directive définit un incident de la façon suivante : « un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou faisant l'objet d'un traitement, ou des services que les réseaux et systèmes d'information offrent ou rendent accessibles ».

La notion d'incident important a par ailleurs été précisée par le règlement d'exécution (UE) 2024/2690 du 17 octobre 2024.

Le paragraphe 4 de l'article 23 élabore un mécanisme échelonné pour la notification des incidents importants au CSIRT pour les entités « essentielles » et « importantes », lequel comprend :

- une « alerte précoce », sans retard injustifié et en tout état de cause dans les 24 heures après avoir eu connaissance de l'incident important, qui le cas échéant indique si l'on suspecte que l'incident important a été causé par des actes illicites ou malveillants ou s'il pourrait y avoir un impact transfrontière ;

- une « notification d'incident », sans retard injustifié et en tout état de cause dans un délai de 72 heures après avoir eu connaissance de l'incident important, qui le cas échéant met à jour les informations fournies au titre de l'alerte précoce, et fournit une évaluation initiale de l'incident important, y compris de sa gravité et de son impact, et les indicateurs de compromission lorsqu'ils sont disponibles ;

- à la demande du CSIRT, un « rapport intermédiaire » sur les mises à jour pertinentes de la situation ;

- un « rapport final », dans un délai d'un mois, sous réserve que l'incident soit traité ;

- dans le cas contraire, un « rapport d'avancement », dans un délai d'un mois, devant être complété par un rapport final dans un délai d'un mois après le traitement de l'incident.

La directive NIS 2 prévoit également, aux paragraphes 1 et 2 de son article 23 que les entités notifient le cas échéant, et sans retard injustifié, aux destinataires de leurs services les incidents importants susceptibles de nuire à la fourniture de ces services et qu'elles communiquent avec ceux affectés par une cybermenace importante toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace.

Une cybermenace importante est « une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d'avoir un impact grave sur les réseaux et les systèmes d'information d'une entité ou les utilisateurs des services de l'entité, en causant un dommage matériel, corporel ou moral considérable ».

Enfin, le paragraphe 7 de l'article 23 la directive NIS 2, prévoit, lorsque la sensibilisation du public est nécessaire pour prévenir un incident important ou pour faire face à un incident important en cours, ou lorsque la divulgation de l'incident important est par ailleurs dans l'intérêt public, que le CSIRT d'un État membre peut, après avoir consulté l'entité concernée, informer le public de l'incident important ou exiger de l'entité qu'elle le fasse.

II. Le dispositif envisagé - une transposition qui renvoie trop de paramètres clefs de la notification d'incidents au niveau réglementaire

1) Une obligation de notification des incidents « importants » sans retard injustifié 

Chargé à titre principal de transposer les dispositions de l'article 23 de la directive NIS 2, l'article 17 du présent projet de loi prévoit que les personnes mentionnées à l'article 14 ont l'obligation de notifier à l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire l'Anssi, et en son sein le CERT-France) « sans retard injustifié » tout incident ayant un impact « important » sur la fourniture de leurs services.

En vertu de l'article 14, ces obligations s'appliquent :

- Aux entités « essentielles » définies à l'article 8 ou susceptibles d'être désignées au titre de l'article 10 ;

- Aux entités « importantes » définies à l'article 9 ou susceptibles d'être désignées au titre de l'article 10 ;

- Aux administrations de l'État et à leurs établissements publics administratifs qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale ainsi que de la répression pénale, les missions diplomatiques et consulaires française pour leurs réseaux et systèmes d'information ;

- Au Commissariat à l'énergie atomique et aux énergies alternatives pour ses activités dans le domaine de la défense ;

- Aux juridictions administratives et judiciaires.

Alors que le paragraphe 3 de l'article 23 de la directive NIS 2, définit la notion d'« incident important », le premier alinéa de l'article 17 du présent projet de loi ne le définit pas.

Il convient également de noter qu'alors que le paragraphe 4 de l'article 23 de la directive définit quatre étapes de notification au CSIRT national en cas d'incident important - dans les 24 heures, dans les 72 heures, puis rapport intermédiaire et enfin rapport final - le premier alinéa de l'article 17 du présent projet de loi évoque uniquement une notification « sans retard injustifié », les modalités de cette notification et notamment ses délais étant renvoyés au niveau réglementaire.

2) Notification des incidents « importants » aux destinataires des services et au public

Pour prévenir un incident concernant une entité « essentielle » ou une entité « importante », ou pour faire face à un incident en cours, ou lorsque la divulgation de l'incident est dans l'intérêt public, le deuxième alinéa de l'article 17 autorise l'Anssi, après avoir consulté l'entité « essentielle » ou « importante » concernée, à exiger d'elle qu'elle informe le public de l'incident, ou le faire elle-même.

Il s'agit là d'une transposition fidèle du paragraphe 7 de l'article 23 de la directive NIS 2.

3) Obligation de notification des incidents « critiques » et des vulnérabilités « critiques » aux destinataires des services et au public

Le troisième alinéa de l'article 17 et les suivants prévoient que les entités « essentielles » et « importantes » doivent notifier « sans délai » aux destinataires de leurs services :

- les « incidents critiques » susceptibles de nuire à la fourniture de ces services ;

- les « vulnérabilités critiques » affectant leurs services ou les affectant potentiellement, ainsi que les mesures ou corrections, dès qu'elles en ont connaissance, que ces destinataires peuvent appliquer en réponse à cette vulnérabilité ou à cette menace.

La disposition relative aux « incidents critiques » paraît correspondre à la deuxième phrase du paragraphe 1 de l'article 23 de la directive qui dispose que « le cas échéant, les entités concernées notifient, sans retard injustifié, aux destinataires de leurs services les incidents importants susceptibles de nuire à la fourniture de ces services ».

Le fait d'introduire la notion d'« incidents critiques » en lieu et place de la notion d' « incidents importants » prévue par la directive, et du reste reprise au premier alinéa du présent article 17, est toutefois source de complexité et de confusion.

La disposition relative aux « vulnérabilités critiques » paraît quant à elle correspondre au paragraphe 2 de l'article 23 de la directive qui dispose que « les États membres veillent à ce que les entités essentielles et importantes communiquent, sans retard injustifié, aux destinataires de leurs services qui sont potentiellement affectés par une cybermenace importante toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace. Le cas échéant, les entités informent également ces destinataires de la cybermenace importante elle-même ».

Là encore, l'introduction de la notion de « vulnérabilité critique » alors que la directive porte celle de « cybermenace importante » n'est pas pleinement satisfaisante, même si la notion de « cybermenace » ne paraît guère adaptée d'un point de vue légistique.

Enfin, le troisième alinéa de l'article 17 évoque une notification « sans délai » là où la directive prévoit une notification « sans retard injustifié ». Cette différence ne peut être, une nouvelle fois, que source de difficultés.

4) Protection des secrets et des données personnelles

Les dispositions de l'article 17 prévoient que cette obligation de notification des incidents critiques et des vulnérabilités critiques ne s'étend toutefois pas aux informations dont la divulgation porterait atteinte aux intérêts de la défense et de la sécurité nationale.

En cas d'incident critique ou de vulnérabilité critique, les personnes auxquelles s'appliquent les dispositions du présent article 17 peuvent communiquer à l'Anssi la liste des destinataires de leurs services.

L'Anssi tient compte, dans l'usage qu'elle fait de ces informations, des intérêts économiques de ces personnes et veille à ne pas révéler d'informations susceptibles de porter atteinte à leur sécurité et au secret en matière commerciale et industrielle.

En outre, l'ANSSI doit informer la Commission nationale de l'informatique et des libertés (Cnil) de tout incident susceptible d'entraîner une violation de données à caractère personnel.

Il est enfin prévu qu'un décret en Conseil d'État fixe les modalités d'application du présent article 17.

Ce décret précise notamment la procédure applicable et les critères d'appréciation des caractères « important » et « critiques » des incidents et vulnérabilités ainsi que les délais de notification des incidents et des vulnérabilités.

III. La position de la commission - de nombreuses modifications destinées à adopter une rédaction plus complète, plus claire et plus conforme aux dispositions de la directive NIS 2

Si la rédaction proposée pour l'article 17 assure globalement une transposition correcte de l'article 23 de la directive NIS 2, la commission spéciale a toutefois considéré que de nombreuses dispositions clefs de cet article étaient renvoyées au niveau réglementaire alors qu'il paraissait plus judicieux de les faire figurer directement dans la loi dans un souci de clarté juridique.

En outre, plusieurs notions ou définitions lui ont paru devoir être précisées ou corrigées pour éviter toute confusion et permettre une meilleure sécurité juridique.

1) Préciser la notion d'« incident important » pour éviter toute ambiguïté.

La notion d'incident important est essentielle pour la bonne application de l'article 17 car c'est lorsqu'un incident est qualifié d'« important » que l'entité régulée doit le notifier à l'Anssi.

Il est donc souhaitable d'inscrire dans la loi la définition précise d'ores-et-déjà prévue par le paragraphe 3 de l'article 23 qui dispose qu'un incident est considéré comme important :

- s'il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l'entité concernée;

- s'il a affecté ou est susceptible d'affecter d'autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables.

La commission spéciale a adopté en ce sens l'amendement COM 106 du rapporteur Patrick Chaize.

2) Introduire les délais prévus par la directive : 24 heures, 72 heures, rapport intermédiaire et rapport final

Comme rappelé supra, alors que le paragraphe 4 de l'article 23 de la directive définit quatre étapes de notification au CSIRT national en cas d'incident important - dans les 24 heures, dans les 72 heures, puis rapport intermédiaire et enfin rapport final - le premier alinéa de l'article 17 du présent projet de loi évoque uniquement une notification « sans retard injustifié » à l'Anssi.

Or ces délais inscrits dans la directive sont le fruit d'un compromis longuement débattu entre les colégislateurs européens lors de l'adoption de la directive.

S'il semble légitime de recourir à la voie réglementaire pour prévoir les modalités pratiques de cette obligation, il est indispensable que le projet de loi respecte la lettre de la directive NIS 2 concernant ces délais.

De fait, d'éventuelles législations hétérogènes entre États membres sur la procédure de notification complexifieraient considérablement l'application du texte pour les entreprises qui sont présentes dans plusieurs États.

La commission spéciale a par conséquent adopté l'amendement COM 106 du rapporteur Patrick Chaize qui prévoit que les personnes mentionnées à l'article 14 soumettent à l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire l'Anssi) :

- sans retard injustifié et en tout état de cause dans les vingt-quatre heures après avoir eu connaissance de l'incident important, une alerte précoce qui, le cas échéant indique s'il est suspecté que l'incident important a été causé par des actes illicites ou malveillants ou s'il pourrait avoir un impact hors du territoire national ;

- sans retard injustifié et en tout état de cause dans un délai de soixante-douze heures après avoir eu connaissance de l'incident important, une notification d'incident qui, le cas échéant, met à jour les informations fournies au titre de l'alerte précoce, et fournit une évaluation initiale de l'incident important, y compris de sa gravité et de son impact, et les indicateurs de compromission lorsqu'ils sont disponibles ;

- à la demande de l'autorité nationale de sécurité des systèmes d'information, un rapport intermédiaire sur l'évolution de la situation ;

- un rapport final au plus tard un mois après la notification d'incident, sous réserve que l'incident soit traité ;

- dans le cas contraire, un rapport d'avancement, dans un délai d'un mois, devant être complété par un rapport final dans un délai d'un mois après le traitement de l'incident.

3) Prévoir une obligation de réponse de l'Anssi sans retard injustifié

Le paragraphe 5 de l'article 23 prévoit que le CSIRT ou l'autorité compétente fournissent, sans retard injustifié et si possible dans les 24 heures suivant la réception de l'alerte précoce visée au point a) du paragraphe 4, une réponse à l'entité émettrice de la notification, y compris un retour d'information initial sur l'incident important et, à la demande de l'entité, des orientations ou des conseils opérationnels sur la mise en oeuvre d'éventuelles mesures d'atténuation.

Or cette obligation n'a pas été reprise à l'article 17 assurant la transposition de l'article 23 de la directive.

Beaucoup d'obligations sont mises à la charge des entités régulées par le titre II du présent projet de loi, et en particulier les entreprises et les collectivités territoriales.

C'est pourquoi il est important, par parallélisme, d'inscrire également dans la loi les obligations qui incombent à l'Anssi vis-à-vis des entités régulées.

C'est pourquoi il est apparu souhaitable à la commission spéciale d'introduire à l'article 17 un alinéa indiquant que « l'autorité nationale de sécurité des systèmes d'information fournit, sans retard injustifié et si possible dans les 24 heures suivant la réception de la première notification reçue, une réponse à l'entité émettrice de la notification, y compris un retour d'information initial sur l'incident important et, à la demande de l'entité, des orientations ou des conseils opérationnels sur la mise en oeuvre d'éventuelles mesures d'atténuation », ce qui a été fait par l'amendement COM 106 du rapporteur Patrick Chaize

4) Supprimer la notion d'incident « critiques », source de confusion

Toujours à l'article 17, la commission spéciale a supprimé grâce à l'amendement COM 106 du rapporteur Patrick Chaize la notion d'incidents « critiques », pour se limiter à la seule notion d'incidents « importants » prévue par la directive.

Rajouter cette catégorie supplémentaire était source de confusion et donc d'insécurité juridique.

Enfin, au troisième alinéa, la commission spéciale a prévu que la notification aux destinataires des services touchés par un incident important ou une vulnérabilité critique devrait être faite « sans retard injustifié » comme le prévoit la directive, et non « sans délai » tel que l'envisageait la rédaction initiale de l'article 17, cette différence pouvant, là encore, être potentiellement source de difficultés.

La commission a adopté cet article ainsi modifié.

Article 18
Détermination des critères territoriaux pour l'application aux offices et aux bureaux d'enregistrement des noms de domaine

I. La situation actuelle - la directive NIS 2 impose des obligations aux offices et aux bureaux d'enregistrement en matière et collecte et de mise à jour des données d'enregistrement des noms de domaine

La directive NIS 1 ne prévoyait pas, dans son champ d'application, d'obligations pour les bureaux d'enregistrement, ni de dispositions relatives à la sécurisation des noms de domaines génériques.

Au niveau national, le seul cadre juridique existant relatif aux noms de domaine est aujourd'hui celui prévu par aux articles L. 45 à L. 45-8 du code des postes et des communications électroniques (CPCE). Il porte uniquement sur l'enregistrement et l'attribution des noms de domaine de premier niveau (ex : « .fr », cf. explications dans l'encadré infra).

La directive NIS 2 opère un changement important en intégrant à son article 28 les offices d'enregistrement pour ce qui concerne les obligations de sécurisation, et les bureaux d'enregistrement pour ce qui relève de la collecte et de la mise à jour des données d'enregistrement des noms de domaine.

L'objectif de cet article 28 est de permettre aux autorités chargées de la sécurité des systèmes d'information ou aux autorités judiciaires de pouvoir accéder, à leur demande et dans un délai maximal de 72 heures, à des données exactes permettant d'identifier le propriétaire d'un nom de domaine en cas d'incident de cybersécurité et, dans le même temps, d'harmoniser les règles au niveau européen.

Dans cette perspective, l'article 28 prévoit que les États membres doivent imposer aux offices d'enregistrement de collecter et de conserver certaines données d'enregistrement des noms de domaine (nom du titulaire, point de contact, nom du domaine...) et organiser l'accès à ces données aux autorités légitimes, ainsi que la publicité des procédures prévues à cet effet.

L'article 28 de la directive prévoit également que les États membres doivent prendre des mesures pour s'assurer de la fiabilité des serveurs et des bases de données des offices d'enregistrement des noms de domaine.

Le système de nom de domaine, les offices d'enregistrement et les bureaux d'enregistrement Le « Domain Name System » (système de nom de domaine) ou DNS est un service permettant de faire correspondre un nom de domaine à une adresse IP (Internet Protocol) - le numéro attribué à titre permanent ou provisoire à chaque périphérique relié à Internet, adresse qui prend la forme d'une suite de numéros (par exemple, « 45.60.12.53 ») et est compréhensible par une machine. Le nom de domaine (URL ou Uniform Resource Locators, « localisateur uniforme de ressource », sous la forme « exemple.fr »), plus facile à retenir et à retranscrire pour l'internaute, constitue l'alias alphanumérique de l'adresse IP. Les machines appelées serveurs de nom de domaine (ou serveurs DNS) permettent d'établir la correspondance entre le nom d domaine et l'adresse IP des machines d'un réseau. Le système DNS s'appuie sur une structure arborescente. L'ensemble des noms de domaine constituent ainsi un arbre inversé où chaque noeud est séparé du suivant par un point. On appelle « nom de domaine » chaque noeud de l'arbre. Le nom absolu, correspondant à l'ensemble des étiquettes des noeuds d'une arborescence, séparées par des points, et terminé par un point final, est appelé adresse FQDN (Fully Qualified Domain Name). À titre d'exemple, « legifrance.gouv.fr. » constitue une adresse FQDN. Lorsqu'une requête relative à un nom de domaine est effectuée, des serveurs sont successivement interrogés pour retrouver l'adresse IP correspondante. Si l'on cherche par exemple le nom de domaine « exemple.fr », dans un premier temps, un serveur racine est interrogé, qui renvoie vers le serveur faisant autorité pour le domaine de premier niveau, appelé le Top Level Domain ou extension (« .fr » dans l'exemple). Dans un second temps, le serveur autorité de premier niveau renvoie l'adresse du serveur faisant autorité sur le second niveau (ici, « exemple.fr »), et cela jusqu'à ce que la requête soit résolue. Le domaine de premier niveau est, dans le système de noms de domaine internet, un sous-domaine de la racine. Il est possible de les distinguer en trois principales catégories : - domaine de premier niveau spécial (à des fins techniques, tel le « .arpa » relatif aux paramètres d'adressage et de routage) ; - domaines de premier niveau nationaux (correspond à un pays ou un territoire de celui-ci. Ex : « .fr », « .nc ») ; - domaines de premier niveau génériques (correspond en général à un secteur d'activité). Ces domaines se divisent en domaines génériques non parrainés (« .net », « .org » pour les organisations à but non lucratif, « .com » pour les organisations à but lucratif, « .pro » etc...) et en domaines génériques parrainés (« .gov » pour les organismes gouvernementaux américains). Chaque domaine de premier niveau est géré par une organisation qui est chargée d'allouer (éventuellement de manière commerciale) ses sous-domaines, aussi appelée office d'enregistrement. Cet office d'enregistrement est une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l'administration du domaine de premier niveau, y compris de l'enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l'exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l'entité elle-même ou qu'elles soient sous-traitées, mais à l'exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage. À titre d'exemple, en application de l'article L. 45 du code des postes et des communications électronique, l'office d'enregistrement en charge du domaine de premier niveau du « .fr » est l'Association française pour le nommage Internet en coopération (AFNIC), qui agit sur délégation du ministre chargé des communications électroniques. Dans cet environnement, les bureaux d'enregistrement, qui sont des entités fournissant des services d'enregistrement de noms de domaine, exercent leur activité d'intermédiaire auprès de l'office d'enregistrement d'une part et des professionnels et particuliers d'autre part. Ils sont accrédités par les offices d'enregistrement à cette fin. À titre d'illustration, l'AFNIC répertorie comme bureaux d'enregistrement Orange, SFR (pour les fournisseurs d'accès à internet), Gandi, OVH ou bien encore Nameshield. Source : Étude d'impact du projet de loi

II. Le dispositif envisagé - critères territoriaux pour définir l'application de la présente section aux offices d'enregistrement et aux bureaux d'enregistrement des noms de domaine

La section 3 « Enregistrement des noms de domaine » du titre II du projet de loi, qui correspond aux articles 18 à 22 du projet de loi, est entièrement consacrée à la transposition de l'article 28 de la directive NIS 2 concernant l'enregistrement des noms de domaine.

A noter que cette section 3 ne modifie pas les articles L. 45 à L. 45-8 du code des postes et des communications électroniques (CPCE), dont l'objet et le champ d'application sont différents de ceux visés par l'article 28 de la directive NIS 2.

L'article 18 prévoit que les offices d'enregistrement de noms de domaine et les bureaux d'enregistrement de noms de domaine ainsi que les agents agissant pour le compte de ces derniers qui satisfont à l'une des conditions prévues à l'article 11 sont soumis aux dispositions de la présente section 3 « Enregistrement des noms de domaine ».

1) Les offices d'enregistrement des noms de domaine et les critères d'application de la présente section 3

Pour mémoire, le 2° de l'article 6 du présent projet de loi définit un office d'enregistrement comme « une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l'administration de ce domaine, y compris de l'enregistrement des noms de domaine en relevant et de son fonctionnement technique, notamment l'exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution de ses fichiers de zone sur les serveurs de noms, que ces opérations soient effectuées par l'entité elle-même ou qu'elles soient sous-traitées, mais à l'exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage ».

Le 3° du I de l'article 11 dispose qu'il faut, pour que les dispositions de la présente loi s'appliquent aux offices d'enregistrement :

- qu'ils aient leur établissement principal sur le territoire national ;

- ou, s'ils sont établis hors de l'Union européenne mais offrent leurs services sur le territoire national, qu'ils aient désigné un représentant établi sur le territoire national.

2) Les bureaux d'enregistrement des noms de domaine et les critères d'application de la présente section 3

Pour mémoire, le deuxième alinéa de l'article 6 définit un bureau d'enregistrement comme « une entité fournissant des services d'enregistrement de noms de domaine ».

S'agissant des bureaux d'enregistrement et des agents agissant pour le compte de ces derniers, les obligations du titre II concernent :

- ceux qui ont leur établissement principal sur le territoire national ;

- ou ceux qui ont désigné un représentant établi sur le territoire national, s'ils sont établis hors de l'Union européenne mais offrent leurs services sur le territoire national.

Le III de l'article 11 précise que l'établissement principal s'entend du lieu :

- où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité ;

- ou, à défaut, le lieu où les opérations de cybersécurité sont effectuées ;

- ou, à défaut, l'établissement comptant le plus grand nombre de salariés dans l'Union européenne.

S'agissant de la notion de représentant, celle-ci est définie au 5° de l'article 6 comme « une personne physique ou morale établie dans l'Union qui est expressément désignée pour agir pour le compte d'un fournisseur de services de système de nom de domaine, d'un registre de noms de domaine de premier niveau, d'une entité fournissant des services d'enregistrement de noms de domaine [...] qui peut être contacté par une autorité compétente ou un centre de veille, d'alerte et de réponse aux attaques informatiques (CERT) à la place de l'entité elle-même concernant les obligations incombant à ladite entité en vertu de la présente loi ».

III. La position de la commission - un article destiné à établir les critères territoriaux pour l'application des dispositions de la section 3 aux offices et aux bureaux d'enregistrement

Le présent article 18 établit, en faisant référence aux dispositions de l'article 11, les critères territoriaux d'application aux offices d'enregistrement et aux bureaux d'enregistrement des dispositions de la section 3 « Enregistrement des noms de domaine » qui vient transposer les dispositions de l'article 28 de la directive NIS 2.

Il constitue donc une mesure de transposition nécessaire et n'appelle pas de commentaires de la part de la commission spéciale.

La commission a adopté cet article sans modification.

Article 19
Obligation pour les offices et les bureaux d'enregistrement des noms de domaine de mettre en place une base de données

I. La situation actuelle - la directive NIS 2 prévoit que les Etats membres imposent aux offices et aux bureaux d'enregistrement la collecte et la conservation dans une base de données de certaines données d'enregistrement des noms de domaine

Afin d'harmoniser les règles à l'échelle européenne et de pouvoir accéder aux données permettant d'identifier le propriétaire d'un nom de domaine en cas d'incident, l'article 28 de la directive NIS 2 prévoit de nouvelles règles en matière d'enregistrement des noms de domaine.

En vertu de son paragraphe 1, les États membres doivent imposer aux offices d'enregistrement de collecter certaines données d'enregistrement des noms de domaine (nom du titulaire, point de contact, nom du domaine...) et de les maintenir exactes et complètes au sein d'une base de données spécialisée avec la diligence requise par le droit de l'Union en matière de protection des données pour ce qui concerne les données à caractère personnel.

À cette fin, le paragraphe 2 de l'article 28 prévoit que les États membres exigent que la base des données d'enregistrement des noms de domaine contienne les informations nécessaires pour identifier et contacter les titulaires des noms de domaine et les points de contact qui gèrent les noms de domaine relevant des domaines de premier niveau.

Ces informations comprennent notamment les éléments suivants :

- le nom de domaine ;

- la date d'enregistrement ;

- le nom du titulaire, l'adresse de courrier électronique et le numéro de téléphone permettant de le contacter ;

- l'adresse de courrier électronique et le numéro de téléphone permettant de contacter le point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire.

Le paragraphe 3 prévoit que les États membres exigent que les registres des noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine aient mis en place des politiques et des procédures, notamment des procédures de vérification, visant à garantir que les bases de données contiennent des informations exactes et complètes.

Les États membres imposent que ces politiques et procédures soient mises à la disposition du public.

En vertu du paragraphe 4, les États membres exigent que les registres des noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine rendent publiques, sans retard injustifié après l'enregistrement d'un nom de domaine, les données d'enregistrement du nom de domaine qui ne sont pas des données à caractère personnel.

Le paragraphe 6 précise que le respect de ces obligations ne saurait entraîner de répétition inutile de la collecte des données d'enregistrement de noms de domaine.

À cet effet, les États membres imposent aux registres des noms de domaine de premier niveau et aux entités fournissant des services d'enregistrement de noms de domaine de coopérer entre eux.

II. Le dispositif envisagé - une obligation de collecte de données puis de tenue d'une base de données par les offices et bureaux d'enregistrement

Le premier alinéa de l'article 19 prévoit que les offices d'enregistrement collectent, par l'intermédiaire des bureaux d'enregistrement ainsi que des agents agissant pour le compte de ces derniers, les données nécessaires à l'enregistrement des noms de domaine, transposant ainsi l'obligation prévue au paragraphe 1 de l'article 28.

Les offices et les bureaux d'enregistrement sont responsables du traitement de ces données au regard de la réglementation en matière de protection des données personnelles, ainsi que le prévoit le paragraphe 1 de la directive qui évoque la nécessité de faire preuve de « la diligence requise par le droit de l'Union en matière de protection des données pour ce qui concerne les données à caractère personnel ».

Les offices et les bureaux d'enregistrement ont l'obligation de tenir ces bases de données à jour, en maintenant les données exactes et complètes, sans redondance de collecte.

Le paragraphe 1 de l'article 28 évoque cette obligation de collecte et celui de maintenir ces données exactes et complètes au sein d'une base de données spécialisée. La référence à l'absence de redondance traduit l'obligation prévue au paragraphe 6 de l'article 28 de la directive d'éviter toute répétition inutile de la collecte des données d'enregistrement de noms de domaine.

À cette fin, les offices et les bureaux d'enregistrement mettent en place des procédures, accessibles au public, permettant de vérifier ces données lors de leur collecte et d'assurer la sécurité de leur base de données, comme le prévoit le paragraphe 3 de l'article 28 qui dispose que les États membres exigent que les registres des noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine aient mis en place des politiques et des procédures mises à la disposition du public, notamment des procédures de vérification, visant à garantir que les bases de données contiennent des informations exactes et complètes.

Un décret en Conseil d'État, pris après avis de la Commission nationale informatique et libertés (Cnil), fixe la liste des données relatives aux noms de domaine devant être collectées.

Cette liste contiendra au moins les éléments prévus par le paragraphe 2 de l'article 28 de la directive NIS 2, à savoir les informations nécessaires pour identifier et contacter les titulaires des noms de domaine et les points de contact qui gèrent les noms de domaine relevant des domaines de premier niveau.

Il s'agit notamment des éléments suivants :

- le nom de domaine ;

- la date d'enregistrement ;

- le nom du titulaire, l'adresse de courrier électronique et le numéro de téléphone permettant de le contacter ;

- l'adresse de courrier électronique et le numéro de téléphone permettant de contacter le point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire.

III. La position de la commission - la transposition de la mesure clef de l'article 28 de la directive NIS 2 et un renvoi à un décret en Conseil d'État légitime

L'article 19 assure la transposition de la principale disposition de l'article 28 de la directive NIS 2, à savoir l'obligation pour les offices et les bureaux d'enregistrement des noms de domaine de mettre en place une base de données afin de pouvoir accéder aux données permettant d'identifier le propriétaire d'un nom de domaine en cas d'incident.

Le renvoi à un décret en Conseil d'État de la liste des données collectées, au demeurant largement prescrites par les dispositions de l'article 28 de la directive NIS 2, ne pose pas de difficultés, dès lors que ce décret fera l'objet d'un avis de la Commission nationale informatique et libertés (Cnil), indispensable pour encadrer précisément la protection des données personnelles.

La commission a adopté cet article sans modification.

Article 20
Durée de conservation des données collectées par les offices et les bureaux d'enregistrement des noms de domaines

I. La situation actuelle - une absence de précision dans la directive NIS 2 sur la durée de conservation des données collectées par les offices et les bureaux d'enregistrement des noms de domaines

L'article 28 de la directive NIS 2 ne prévoit pas explicitement de durée de conservation des données collectées par les offices et les bureaux d'enregistrement des noms de domaines mais dans la mesure où ils sont obligés de collecter ces données et de les maintenir exactes et complètes au sein d'une base de données spécialisée, il paraît logique et cohérent de considérer que cette obligation demeure valable uniquement tant que le nom de domaine est utilisé.

II. Le dispositif envisagé - une conservation des données relatives à chaque nom de domaine tant que le nom de domaine est utilisé

L'article 20 prévoit que les offices d'enregistrement des noms de domaines et les bureaux d'enregistrement des noms de domaines conservent les données relatives à chaque nom de domaine dans leur base de données tant que le nom de domaine est utilisé.

III. La position de la commission - un dispositif cohérent avec les dispositions de l'article 28 de la directive NIS 2

Le dispositif proposé par le présent article paraît cohérent avec les dispositions de l'article 28 de la directive NIS 2 et propose une durée de conservation conforme à ses objectifs.

Il n'appelle donc pas de modification de son texte par la commission spéciale.

La commission a adopté cet article sans modification.

Article 21
Obligation de publication des données d'enregistrement d'un nom de domaine

I. La situation actuelle - l'article 28 de la directive NIS 2 prévoit une publication des données d'enregistrement relatives à un nom de domaine qui ne sont pas des données à caractère personnel

Le paragraphe 4 de l'article 28 de la directive NIS 2 prévoit que les États membres exigent que les registres des noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine rendent publiques, sans retard injustifié après l'enregistrement d'un nom de domaine, les données d'enregistrement du nom de domaine qui ne sont pas des données à caractère personnel.

II. Le dispositif envisagé - une transposition littérale des dispositions de l'article 28 de la directive NIS 2

Le présent article 21 du projet de loi prévoit que les offices d'enregistrement des noms de domaine et les bureaux d'enregistrement des noms de domaine rendent publiques sans retard injustifié après l'enregistrement d'un nom de domaine, les données d'enregistrement relatives à ce nom de domaine, dès lors qu'elles n'ont pas de caractère personnel.

L'article 21 propose donc une transposition quasiment mot pour mot du paragraphe 4 de l'article 28 de la directive.

III. La position de la commission - un dispositif qui ne pose pas de difficultés dès lors que la protection des données personnelles est bien assurée

Cette transposition très littérale de la directive ne présente pas de difficultés, dès lors qu'elle a bien conservé la restriction en faveur de la protection des données à caractère personnel, raison pour laquelle la commission l'a adopté sans modification.

La commission a adopté cet article sans modification.

Article 22
Obligation de communiquer les données collectées par les offices et bureaux d'enregistrement à l'autorité judiciaire et à l'Anssi pour les besoins des procédures pénales ou de la sécurité des systèmes d'information

I. La situation actuelle - l'article 28 de la directive NIS 2 prévoit un droit d'accès des autorités légitimes aux données collectées par les offices et bureaux d'enregistrement

Le paragraphe 5 de l'article 28 de la directive NIS 2 prévoit que les États membres imposent aux registres des noms de domaine de premier niveau et aux entités fournissant des services d'enregistrement de noms de domaine de donner accès aux données spécifiques d'enregistrement de noms de domaine sur demande légitime et dûment motivée des demandeurs d'accès légitimes, dans le respect du droit de l'Union en matière de protection des données.

En outre, le paragraphe 5 prévoit que les États membres exigent que les registres des noms de domaine de premier niveau et les entités fournissant des services d'enregistrement de noms de domaine répondent sans retard injustifié et en tout état de cause dans un délai de 72 heures après réception de toute demande d'accès.

Enfin, il précise que les États membres imposent que les politiques et procédures de divulgation de ces données soient rendues publiques.

II. Le dispositif envisagé - les offices et les bureaux d'enregistrement devront mettre en place des procédures permettant à l'autorité judiciaire et à l'Anssi d'accéder aux données collectées relatives aux noms de domaine

Le premier alinéa de l'article 22 du projet de loi prévoit que pour les besoins des procédures pénales et de la sécurité des systèmes d'information, les agents habilités à cet effet par l'autorité judiciaire ou par l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire l'Anssi) peuvent obtenir des offices et bureaux d'enregistrement les données relatives à chaque nom de domaine, données que ces derniers conservent dans leur base de données tant que le nom de domaine est utilisé, conformément aux dispositions de l'article 20.

Alors que le paragraphe 5 de l'article 28 de la directive prévoit que les données spécifiques d'enregistrement de noms de domaines doivent être fournis « sur demande légitime et dûment motivée des demandeurs d'accès légitimes », la transposition vient donc préciser qu'une demande légitime et dûment motivée devra correspondre aux « besoins des procédures pénales et de la sécurité des systèmes d'information » et que les « demandeurs d'accès légitimes » seront uniquement « les agents habilités à cet effet par l'autorité judiciaire ou par l'Anssi ».

Le deuxième alinéa de l'article 22 prévoit que les offices et les bureaux d'enregistrement fixent les règles de procédure pour la communication de ces données aux agents habilités à cet effet par l'autorité judiciaire ou par l'Anssi. Cette communication intervient dans un délai n'excédant pas 72 heures. Ces règles sont accessibles au public.

Le paragraphe 5 de l'article 28 prévoit effectivement que les offices et les bureaux d'enregistrement « répondent sans retard injustifié et en tout état de cause dans un délai de 72 heures après réception de toute demande d'accès ». Mais il ne précisait pas que les règles de procédure pour la communication des données aux agents habilités à cet effet serait fixée par les offices et les bureaux d'enregistrement.

La référence à la publicité des règles qui doivent être accessibles au public transpose l'alinéa de l'article 5 qui prévoit que « les États membres imposent que les politiques et procédures de divulgation de ces données soient rendues publiques ».

Un décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés (Cnil) fixe les modalités d'application de cet article 22.

III. La position de la commission - une mesure de transposition qui établit clairement et de façon limitative les autorités susceptibles d'avoir accès aux données relatives aux noms de domaine

Comme les articles précédents de la section 3 « Enregistrement des noms de domaine », cet article 22 assure une transposition fidèle d'une disposition de l'article 28 de la directive NIS 2, en précisant les autorités légitimes à demander les données relatives aux noms de domaine, qui sont logiquement l'autorité judiciaire pour le besoin des procédures pénales et l'Anssi pour la sécurité des systèmes d'information, ce qui permet de limiter strictement leur nombre.

Le renvoi à un décret en Conseil d'État de ses modalités d'application ne pose pas de difficultés, l'avis de la Cnil permettant de garantir le respect de la réglementation sur les données personnelles.

La commission a adopté cet article sans modification.

Article 23
Dérogation aux secrets protégés par la loi pour la communication d'informations en matière de cybersécurité entre l'Anssi et plusieurs de ses interlocuteurs

I. La situation actuelle - la directive NIS 2 prévoit la possibilité d'échanger des informations confidentielles pour assurer son application

Le paragraphe 13 de l'article 2 de la directive NIS 2 prévoit que, sans préjudice de l'article 346 du traité sur le fonctionnement de l'Union européenne (TFUE), les informations considérées comme confidentielles en application de la réglementation de l'Union ou nationale des États membres, telle que les règles applicables au secret des affaires, ne peuvent faire l'objet d'un échange avec la Commission européenne et d'autres autorités concernées conformément à la directive que si cet échange est nécessaire à l'application de la directive.

Mais cela signifie bien que ces informations confidentielles peuvent effectivement faire l'objet d'échanges pour permettre l'application de la directive.

Étant confidentielles, ces informations échangées se limitent au minimum nécessaire et sont proportionnées à l'objectif de cet échange.

Cet échange d'informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités concernées.

Le paragraphe 14 de l'article 2 précise que les entités, les autorités compétentes, les points de contact uniques et les CSIRT traitent les données à caractère personnel dans la mesure nécessaire aux fins de la directive et conformément au règlement (UE) 2016/679, plus connu sous le nom de règlement général sur la protection des données (RGPD).

Le traitement des données à caractère personnel en vertu de la directive par les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques accessibles au public est également effectué conformément au droit de l'Union en matière de protection des données et au droit de l'Union en matière de protection de la vie privée.

À noter enfin que le paragraphe 11 de l'article 2 prévoit que les obligations énoncées dans la directive n'impliquent pas la fourniture d'informations dont la divulgation serait contraire aux intérêts essentiels des États membres en matière de sécurité nationale, de sécurité publique ou de défense.

II. Le dispositif envisagé - la définition d'un cadre en matière de coopération et d'échange d'informations en matière de cybersécurité

Afin d'assurer la transposition du paragraphe 13 de l'article 2 de la directive, l'article 23 vise :

- à définir un cadre en matière de coopération et d'échange d'informations en matière de cybersécurité ;

- dans cette perspective, à déroger aux secrets protégés par la loi et au secret de l'instruction ;

- mais, dans le même temps, à apporter des garanties suffisantes à la sécurité nationale, la sécurité publique ou la défense nationale.

En conséquence, l'article 23 prévoit que les dispositions de l'article 11 du code de procédure pénale, qui portent sur le secret de l'instruction, ou celles relatives aux secrets protégés par la loi ne font pas obstacle à la communication d'informations dont ils disposent aux fins de l'accomplissement de leurs missions respectives entre d'une part l'autorité nationale de la sécurité des systèmes d'information (c'est-à-dire l'Anssi) et, d'autre part :

- La Commission nationale de l'informatique et des libertés (Cnil) ;

- Les autorités compétentes chargées de la gestion des risques en matière de cybersécurité en vertu d'un acte sectoriel de l'Union européenne ;

- Les autorités chargées de la politique pénale, de l'action publique et de l'instruction. Cette coopération est justifiée par la lutte contre la cybercriminalité ;

- La Commission européenne ;

- Les autorités compétentes des autres États membres de l'Union européenne ;

- Des centres de réponse aux incidents de sécurité informatique (les CSIRT) ;

- Des organismes internationaux concourant aux missions de sécurité ou de défense des systèmes d'information.

Ces entités peuvent se communiquer librement les informations dont elles disposent et se consulter mutuellement aux fins de l'accomplissement de leurs missions respectives, à l'exception des informations dont la communication porterait atteinte à la sécurité publique, à la défense et la sécurité nationale ou à la conduite des relations internationales.

Cela exclut donc explicitement la communication d'informations couvertes par le secret de la défense nationale, conformément à ce que prévoit le paragraphe 11 de l'article 2 de la directive NIS 2.

En revanche, comme le prévoit tout aussi explicitement le paragraphe 13 de l'article 2 de la directive NIS 2, ces dispositions peuvent impliquer la communication d'informations relevant du secret des affaires, dont la protection est fondée sur les articles L. 151-1 et suivants du code de commerce.

L'article L. 151-1 du code de commerce définit la notion d'information protégée au titre du secret des affaires selon trois critères :

- cette information n'est pas généralement connue ou aisément accessible pour les personnes familières de ce type d'informations ;

- elle revêt une valeur commerciale, effective ou potentielle, du fait de son caractère secret ;

- elle fait l'objet de la part de son détenteur légitime de mesures de protection raisonnables, pour en conserver le caractère secret.

En outre, les informations échangées peuvent contenir des données à caractère personnel comme le prévoit le paragraphe 14 de l'article 2.

L'article 23 ne liste pas l'intégralité des secrets protégés par la loi auxquels sont apportés une dérogation mais mentionne les « autres secrets protégés par la loi »^36(*).

Cette formulation est liée au risque d'enchevêtrement des secrets protégés par la loi applicables à une même information partagée entre les différentes entités listées par l'article en question.

Or, le paragraphe 13 de la directive NIS 2 prévoit une dérogation aux secrets protégés par la législation nationale dès lors que l'échange de ces informations est nécessaire à l'application de la directive.

Tous les secrets protégés par la loi sont donc concernés. Il sera par exemple possible de déroger au secret professionnel auquel sont astreints les agents publics, en application de l'article L. 121-6 du code général de la fonction publique.

Le deuxième alinéa de l'article 23 prévoit que ses modalités d'application, notamment les modalités du partage d'informations, sont déterminées par décret en Conseil d'État.

III. La position de la commission - des modalités de partage d'information confidentielles proportionnées à leur objectif et respectueuses des impératifs de la défense nationale

Afin de prévenir les menaces cyber, de résoudre les incidents en cas d'attaque ou bien encore de lutter contre la cybercriminalité, le partage d'informations confidentielles entre les autorités légitimes et habilitées à cette fin constitue une nécessité. En conséquence, ce partage d'informations confidentielles est prévu par la directive NIS 2.

Un certain nombre de ces informations confidentielles étant explicitement couvertes par des secrets protégés par la loi, le présent projet de loi de transposition doit prévoir quelles autorités pourront légitimement contribuer à ce partage d'informations confidentielles dans le but d'appliquer la directive NIS 2 et dans quelles conditions.

Dans la mesure où la liste des autorités appelées à partager des informations confidentielles en matière de cybersécurité mentionnées au présent article 23 du projet de loi paraît cohérente et où les informations dont la communication porterait atteinte à la sécurité publique, à la défense et la sécurité nationale ou à la conduite des relations internationales ne pourront pas faire l'objet d'échanges, le dispositif prévu par le présent article 23 apparaît à la fois pleinement compatible avec les objectifs de la directive et respectueux des impératifs de la défense nationale.

La commission spéciale a toutefois adopté deux amendements identiques COM 54 et COM 70 présentés respectivement par Catherine Morin-Dessailly et Vanina Paoli-Gagin pour prévoir que la communication d'informations effectuée en vertu du présent article 23 ne peut intervenir que si elle est nécessaire à l'accomplissement des missions des personnes émettrices ou destinataires de ces informations. Les informations échangées se limitent au minimum nécessaire et sont proportionnées à l'objectif du partage. Le partage d'informations préserve la confidentialité des informations concernées et protège la sécurité et les intérêts commerciaux des entités concernées.

La commission a adopté cet article ainsi modifié.

Article 24
Agrément par l'Anssi d'organismes publics ou privés en tant que relais dans la prévention et la gestion des incidents cyber

I. La situation actuelle - un réseau de CSIRT relais en cours de structuration pour démultiplier les capacités d'action de l'Anssi

Cet article 24 s'inscrit en complément de l'article 17 qui prévoit, en transposition de l'article 23 de la directive NIS 2, les obligations de notifications d'incidents importants auxquels sont soumises les entités « essentielles » et « importantes ».

Il ne transpose donc pas directement lui-même une disposition précise de la directive NIS 2 mais participe à la structuration du réseau de computer security incident response team (CSIRT) placés sous l'autorité de l'Agence nationale de sécurité des systèmes d'information (Anssi) pour prévenir et gérer les incidents de cybersécurité.

L'Anssi a en effet soutenu ces dernières années la création de CSIRT relais au niveau ministériel, sectoriel et territorial, afin de démultiplier ses capacités en matière de réponse aux incidents de sécurité informatique.

II. Le dispositif envisagé - la mise en place d'un dispositif d'agrément destiné à renforcer la légitimité des CSIRT relais et à autoriser les échanges d'informations couvertes par des secrets protégés par la loi avec l'Anssi

Le premier alinéa de l'article 24 prévoit que l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire l'Anssi) agrée des organismes publics ou privés en tant que relais dans la prévention et la gestion des incidents de cybersécurité.

Il dispose également que l'Anssi et les organismes qu'elle a ainsi agréés sont autorisés à échanger entre eux des informations couvertes par des secrets protégés par la loi.

Le deuxième alinéa prévoit que les modalités d'application de cet article 24, notamment les modalités de dépôt et d'examen des demandes d'agrément des organismes publics ou privés agréés par l'Anssi, sont déterminés par décret en Conseil d'État.

Cet article vise à disposer d'une base législative solide pour consolider et structurer encore davantage le réseau de CSIRT relais de l'action de l'Anssi que celle-ci a commencé à mettre en place ces dernières années pour accroître l'impact de son action.

Le dispositif d'agrément prévu au présent article 24 vise en effet à donner aux CSIRT relais une légitimité et un cadre pour l'accompagnement des entités régulées, tout en préservant le rôle de coordination globale de l'Anssi.

Le directeur général de l'Anssi a indiqué à la commission spéciale que le rôle de ces CSIRT relais vis-à-vis des entités régulées au titre de la directive NIS 2 serait le suivant :

- contribuer au partage de l'information opérationnelle émise par l'Agence en relayant les éléments pertinents à leurs bénéficiaires ;

- relayer les alertes et les campagnes de signalement des vulnérabilités de l'Agence et contribuer à la recherche de compromissions auprès de leurs bénéficiaires ;

- orienter les actions de réponse à incident d'une entité accompagnée par un ou plusieurs prestataires, en coordination avec l'Anssi, afin d'assurer une synchronisation opérationnelle ;

- accompagner les entités régulées à la déclaration de l'incident auprès de l'Agence, ainsi que pour toutes les déclarations obligatoires (ex : Cnil) ou pour le dépôt de plainte ;

- établir les statistiques des incidents cyber sur leur périmètre et les partager au profit de la communauté des CSIRT, afin d'affiner la connaissance de la menace cyber à l'échelle nationale.

Il est en revanche clairement établi que c'est l'Anssi, et non les CSIRT relais sectoriels, qui sera destinataire des notifications d'incidents importants prévues à l'article 17 du présent projet de loi, les CSIRT relais ayant uniquement un rôle d'accompagnement et de facilitation auprès des entités régulées.

III. La position de la commission - compte tenu du changement d'échelle induit par NIS 2, la consolidation d'un réseau de relais de l'action de l'Anssi constitue une nécessité

L'entrée en vigueur du titre II du présent projet de loi transposant la directive NIS 2 constituera un changement d'échelle considérable pour les missions de l'Anssi avec le passage d'environ 500 entités régulées au titre de NIS 1 à 15 000 entités régulées au titre de NIS 2.

Si l'Anssi affectera une cinquantaine d'équivalents temps plein (ETP) à son rôle de supervision, la nécessité pour elle de disposer, dans tous les secteurs « hautement critiques » et « critiques », et partout sur le territoire, de relais, est indispensable.

Ce travail a déjà largement été entamé ces dernières années avec la structuration progressive d'un réseau de CERT relais qui doit maintenant prendre une nouvelle dimension avec la mise en application de la transposition de la directive NIS 2.

Le fait de les agréer renforcera leur légitimité vis-à-vis de leur écosystème sectoriel et les aidera à devenir des acteurs clefs de l'accompagnement dans la montée en gamme en matière de cybersécurité des entreprises, des administrations et des collectivités territoriales.

En ce qui concerne les CSIRT relais régionaux, ils pourront en outre contribuer, au niveau local, à développer une filière cyber, via la valorisation de prestataires de confiance auprès de clients potentiels, et à renforcer l'attractivité des territoires où la présence de prestataires cyber de proximité deviendra une garantie de sécurité pour les acteurs économiques.

Le renvoi à un décret en Conseil d'État des modalités de dépôt et d'examen des demandes d'agrément des CSIRT relais ne soulevant pas de difficultés, la commission spéciale n'a pas souhaité amender le présent article 24.

La commission a adopté cet article sans modification.

CHAPITRE III
DE LA SUPERVISION

Article 25
Prescription par l'Anssi de mesures nécessaires en cas de menace pour la sécurité des systèmes d'information de plusieurs types d'entités

I. La situation actuelle - des obligations de notification des incidents cyber pèsent déjà sur diverses entités, certaines d'entre elles pouvant se voir imposer la mise en oeuvre de mesures en cas de crise

1. L'Anssi doit être informée des incidents significatifs affectant les systèmes d'information des opérateurs de services essentiels (OSE)

Depuis la transposition par le législateur de la directive européenne NIS 1^37(*) en 2018, le Premier ministre fixe les règles de sécurité nécessaires à la protection des réseaux et systèmes d'information nécessaires à la fourniture de services essentiels par les opérateurs de services essentiels (OSE), de façon à garantir un niveau de sécurité adapté au risque existant, compte tenu de l'état des connaissances^38(*).

Ces règles définissent les mesures appropriées pour prévenir les incidents qui compromettent la sécurité des réseaux et systèmes d'information utilisés pour la fourniture des services essentiels ou pour en limiter l'incidence afin d'assurer la continuité de ces services. Les opérateurs concernés par ces règles les appliquent à leurs frais.

En outre, les OSE doivent déclarer à l'Anssi, sans délai après en avoir pris connaissance, les incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture de services essentiels, lorsque ces incidents ont ou sont susceptibles d'avoir, compte tenu du nombre d'utilisateurs et de la zone géographique touchés ainsi que de la durée de l'incident, une incidence significative sur la continuité de ces services^39(*).

En cas de manquement à cette obligation, les dirigeants d'un OSE sont passibles d'une amende de 75 000 euros^40(*).

Les fournisseurs de service numérique sont soumis à des obligations et à un régime de sanctions similaires^41(*).

2. Les opérateurs d'importance vitale (OIV) sont astreints au respect d'une obligation similaire et peuvent se voir imposer des mesures jugées nécessaires en cas de crise majeure

Depuis l'entrée en vigueur de la loi de programmation militaire pour les années 2014 à 2019^42(*), le Premier ministre fixe les règles de sécurité nécessaires à la protection des systèmes d'information des opérateurs d'importance vitale (OIV) et des opérateurs publics ou privés qui participent à ces systèmes dont une atteinte à la sécurité ou au fonctionnement risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation ou pourrait présenter un danger grave pour la population^43(*). Les entités concernées sont tenues d'appliquer ces règles à leurs frais.

Dans ce cadre, le législateur a institué une obligation pour les OIV d'informer sans délai le Premier ministre des incidents affectant le fonctionnement ou la sécurité des systèmes d'information concernés^44(*).

Au surplus, le Premier ministre est autorisé, pour répondre aux crises majeures menaçant ou affectant la sécurité des systèmes d'information, à décider des mesures que les OIV doivent mettre en oeuvre^45(*).

3. La directive NIS 2 impose aux États membres de veiller à la mise en oeuvre par les entités essentielles et importantes des mesures nécessaires à la gestion des risques cyber

L'article 21 de la directive dite NIS 2 prévoit que les États membres veillent à ce que les entités « essentielles » et « importantes » prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d'autres services.

Si la traduction de cette obligation est avant tout portée par l'article 14 du présent projet de loi, l'article 25 confère également des pouvoir à l'autorité nationale de sécurité des systèmes d'information (c'est-à-dire l'Anssi) lorsqu'elle a connaissance d'une menace susceptible de porter atteinte aux entités régulées au titre de la directive NIS 2.

II.  Le dispositif proposé - la possibilité pour l'Anssi d'imposer à plusieurs catégories d'entités la mise en oeuvre de mesures en cas de menace pour la sécurité de leurs systèmes d'information

Le présent article 25 prévoit d'habiliter l'Anssi, lorsqu'elle aura connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information de diverses entités, à prescrire à l'entité concernée les mesures nécessaires, notamment pour éviter un incident ou y remédier, ainsi que le délai qui leur sera accordé pour mettre en oeuvre ces mesures et en rendre compte.

Les entités concernées seront les personnes mentionnées à l'article 14 du présent projet de loi, à savoir :

- les entités « essentielles » ;

- les entités « importantes » ;

- les administrations de l'État et leurs établissements publics administratifs qui exercent leurs activités dans les domaines de la sécurité publique, de la défense et de la sécurité nationale ainsi que de la répression pénale ;

- les missions diplomatiques et consulaires françaises pour leurs réseaux et systèmes d'information ;

- le Commissariat à l'énergie atomique et aux énergies alternatives pour ses activités dans le domaine de la défense ;

- les juridictions administratives et judiciaires.

Les bureaux d'enregistrement pourraient également se voir prescrire la mise en oeuvre de mesures par l'Anssi.

Un décret en Conseil d'État devrait déterminer les modalités d'application de ces dispositions.

Pour rappel, conformément à l'article 23 de la directive NIS 2 , l'article 17 du présent projet de loi tend par ailleurs à obliger les mêmes entités - à l'exception des bureaux d'enregistrement - à notifier sans retard injustifié à l'Anssi tout incident ayant une incidence importante sur la fourniture de leurs services.

III. La position de la commission - des modifications rédactionnelles

Constatant qu'il se bornait à transposer les dispositions de la directive NIS 2, la commission spéciale a adopté le présent article modifié par un amendement rédactionnel n° COM-107 des rapporteurs.

En tout état de cause, le renvoi à un décret en Conseil d'État pour la détermination des modalités de son application paraît justifié par le caractère manifestement réglementaire des précisions à apporter, en ce qui concerne tant la procédure à suivre que les délais de mise en oeuvre des mesures prescrites.

La commission a adopté cet article ainsi modifié.

SECTION 1
RECHERCHE ET CONSTATATION DES MANQUEMENTS

SOUS-SECTION 1
HABILITATION

Article 26
Habilitation des agents de plusieurs organismes à rechercher et constater les manquements et infractions en matière de cybersécurité

I. La situation actuelle - l'extension des compétences de l'Anssi et d'autres entités dans le champ du contrôle

Dans le cadre des nouvelles obligations imposées ces dernières années aux entités concernées par la réglementation européenne en matière de cybersécurité, l'Agence nationale de la sécurité des systèmes d'information (Anssi) s'est vue attribuer des missions supplémentaires.

En premier lieu, pour l'application du règlement dit « eIDAS » de 2014^46(*), l'Anssi assure désormais un triple rôle en matière de contrôle de la sécurité des moyens d'identification électronique :

- un rôle de certification, qui s'exerce au travers, d'une part, de la certification de la conformité des moyens d'identification électronique aux exigences du cahier des charges établi par l'Anssi - correspondant an niveau de garantie « élevé » au sens de la réglementation européenne^47(*) -, qui induit la présomption de fiabilité, et, d'autre part, de la délivrance aux prestataires fournissant un moyen d'identification électronique autre que présumé fiable et qui en font la demande d'une certification attestant du niveau de garantie présenté par ce moyen d'identification électronique, sur la base de référentiels définissant les exigences de sécurité associées^48(*) ;

- un rôle de publication sur son site internet des décisions de certification en cours de validité sous la forme d'une « liste nationale de confiance »^49(*) ;

- et un rôle de contrôle, soit par ses propres moyens, soit par le biais d'un centre d'évaluation, du respect par le prestataire de confiance des exigences induites par la certification pendant la période de validité de la décision de certification^50(*).

Par ailleurs, le règlement dit « Cyber Security Act » (CSA) fait obligation à chaque État membre de l'Union européenne de désigner une ou plusieurs autorités nationales de certification de cybersécurité (ANCC), rôle qui incombe, en France, à l'Anssi^51(*).

Cette dernière doit ainsi, entre autres, superviser et faire respecter les règles prévues dans les schémas européens de certification de cybersécurité et contrôler le respect des obligations qui incombent aux fabricants ou fournisseurs de produits, services ou processus technologiques de l'information et de la communication.

II. Le dispositif proposé - une habilitation des agents de l'Anssi et d'autres entités à rechercher et à constater les manquements et infractions en matière de cybersécurité

Le présent article habilite les agents et personnes, spécialement désignés et assermentés à cet effet, de l'Anssi et des organismes indépendants ou services de l'État qu'elle désigne, à rechercher et à constater les manquements et infractions aux obligations prévues par :

- le règlement dit « eIDAS » de 2014 ;

- le règlement dit « CSA » de 2019 ;

- les chapitres II et III du titre II du présent projet de loi, respectivement consacrés à la cyber résilience et à la supervision ;

- les articles L. 100, L. 102 et L. 103 du code des postes et des communications électroniques, lesquels portent respectivement sur les obligations incombant aux prestataires d'envois recommandés électroniques, les caractéristiques des moyens d'identification électronique ainsi que les modalités de leur certification (voir supra) et les caractéristiques des services de coffre-fort numérique et la possibilité de leur certification.

- et les exigences de cybersécurité résultant des autorisations, certifications, qualifications et agréments que l'Anssi délivre.

III. La position de la commission - des clarifications nécessaires

Jugeant cet article justifié par la nécessité de permettre aux agents et personnels de l'Anssi de conduire les opérations de contrôle dont ils sont chargés, la commission spéciale a adopté un amendement n° COM-109 des rapporteurs.

Celui-ci supprime la référence aux infractions pouvant avoir été commises par les personnes contrôlées par l'Anssi, compte tenu du remplacement du régime de sanctions pénales actuellement en vigueur par un régime d'amendes administratives, et clarifie le rôle des agents et personnels des organismes indépendants en matière de recherche des manquements.

Leur intervention serait ainsi limitée à la recherche des manquements aux obligations qui s'imposent aux personnes contrôlées, sous le contrôle des agents et personnels assermentés de l'Anssi ou des services de l'État désignés par elle. Ils ne seraient eux-mêmes ni assermentés ni habilités à constater lesdits manquements, c'est-à-dire à en dresser procès-verbal.

La commission spéciale a également adopté un amendement de coordination n° COM-108 créant un article additionnel avant le présent article.

La commission a adopté cet article ainsi modifié.

SOUS-SECTION 2
DES POUVOIRS

Article 27
Droits et obligations des agents chargés d'un contrôle de l'Anssi
et de la personne contrôlée

I. Les modifications proposées par le Gouvernement : la détermination des droits et obligations des agents chargés d'un contrôle de l'Anssi et des personnes contrôlées

A. La réglementation permet le contrôle de la sécurité des systèmes d'information des opérateurs de services essentiels et des opérateurs d'importance vitale, sans en fixer le cadre avec précision

Les opérateurs de services essentiels (OSE) peuvent être soumis par le Premier ministre à des contrôles destinés à vérifier le respect de leurs obligations en matière de sécurité des réseaux et systèmes d'information ainsi que le niveau de sécurité des réseaux et systèmes d'information nécessaires à la fourniture de services essentiels^52(*).

Le contrôle est effectué, sur pièces et sur place, par l'Agence nationale de la sécurité des systèmes d'information (Anssi) ou par des prestataires de service qualifiés par le Premier ministre, son coût étant à la charge des OSE.

Dans ce cadre, les OSE sont tenus de communiquer à l'Anssi ou au prestataire de service chargé du contrôle les informations et éléments nécessaires à la réalisation du contrôle, y compris les documents relatifs à leur politique de sécurité et, le cas échéant, les résultats d'audit de sécurité, et de leur permettre d'accéder aux réseaux et systèmes d'information faisant l'objet du contrôle afin d'effectuer des analyses et des relevés d'informations techniques.

En cas de manquement constaté à l'occasion d'un contrôle, l'Anssi peut mettre en demeure les dirigeants de l'OSE concerné de se conformer, dans un délai qu'elle détermine en tenant compte des conditions de fonctionnement de l'OSE et des mesures à mettre en oeuvre, aux obligations qui lui incombent.

Le fait, pour les dirigeants d'un OSE, de ne pas se conformer aux règles de sécurité qui s'imposent à eux à l'issue du délai fixé par la mise en demeure est puni de 100 000 € d'amende^53(*). Ils encourent par ailleurs une amende de 125 000 € s'ils font obstacle aux opérations de contrôle.

De même, dans le cadre de la loi de programmation militaire pour les années 2014 à 2019^57(*), le législateur a autorisé le Premier ministre à demander à l'Anssi, à des services de l'État désignés par lui ou à des prestataires de service qualifiés par lui de soumettre les opérateurs d'importance vitale (OIV) à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles de sécurité nécessaires à la protection des systèmes d'information^58(*).

Le cas échéant, le coût du contrôle est supporté par l'opérateur concerné.

Le fait, pour les dirigeants d'un OIV, de ne pas satisfaire à leurs obligations en la matière est puni d'une amende de 150 000 €, cette sanction étant précédée d'une mise en demeure^59(*).

Qu'il s'agisse des OSE ou des OIV, néanmoins, aucune disposition législative ou réglementaire ne détermine avec précision ni les prérogatives reconnues aux agents chargés du contrôle de la sécurité des systèmes d'information dans le cadre de celui-ci, ni les obligations qui s'imposent à eux.

B. Le Gouvernement souhaite déterminer les droits et obligations des agents chargés du contrôle et des personnes contrôlées

Le présent article vise à obliger les personnes faisant l'objet d'un contrôle de l'Anssi à mettre à disposition des agents ou personnels chargés du contrôle les moyens nécessaires pour effectuer les vérifications sur pièces et sur place et évaluer leur conformité aux exigences et le respect des obligations qui leur incombent.

Le droit d'accès de ces agents et personnels aux locaux des entités contrôlées serait consacré, étant précisé qu'ils peuvent pénétrer dans les lieux à usage professionnel.

Au surplus, ceux-ci seraient habilités à :

- exiger la communication de tout document nécessaire à l'accomplissement de leur mission, quel qu'en soit le support, et à obtenir ou prendre copie de ces documents par tout moyen et sur tout support, y compris les éléments de nature à établir la mise en oeuvre effective par l'entité contrôlée des mesures de nature à répondre à ses obligations, dont les rapports d'audit menés par des organismes indépendants ;

- recueillir, sur place ou sur demande, tout renseignement ou toute justification utile ;

- accéder aux systèmes d'information, aux logiciels, aux programmes informatiques et aux données stockées et en demander la transcription par tout traitement approprié dans des documents directement utilisables pour les besoins de la supervision ;

- procéder, sur convocation ou sur place, aux auditions de toute personne susceptible d'apporter des éléments utiles à leurs constatations - le cas échéant, ils en dresseraient procès-verbal, que les personnes entendues liraient et signeraient tout en pouvant y faire consigner leurs observations ; en cas de refus de signer, mention en serait faite sur le procès-verbal.

Il est prévu que le secret professionnel ne puisse être opposé par les personnes contrôlées aux agents ou personnels chargés du contrôle agissant dans le cadre de leurs pouvoirs de contrôle.

Dans le même temps, ces agents et personnels ainsi que les experts qui concourront à l'accomplissement de leur mission de recherche et de constatation des manquements à la réglementation et des infractions en matière de cybersécurité seraient astreints au secret professionnel pour les faits, actes ou renseignements dont ils auraient connaissance en raison de leurs fonctions, sous réserve des éléments utiles à l'établissement des documents nécessaires à l'instruction.

Les rapports, avis ou autres documents justifiant d'adopter les mesures mentionnées aux articles 28, 29 et 32 du présent projet de loi - c'est-à-dire, respectivement, l'application d'une amende administrative en cas d'obstacle au contrôle, la mise à la charge de la personne contrôlée du coût du contrôle et la mise en oeuvre d'une mesure d'exécution -, y compris ceux établis ou recueillis dans le cadre de la recherche de manquement, pourraient être communiquées à la personne contrôlée.

Enfin, il serait dressé procès-verbal des vérifications et visites menées dans le cadre du contrôle, qui ferait foi jusqu'à preuve du contraire.

II. La position de la commission : des modifications rédactionnelles et une sécurisation juridique

La commission se félicite que soient enfin déterminées avec précision les prérogatives et obligations des agents et personnels chargés des contrôles menés par l'Anssi, qui n'étaient jusqu'alors fixées par aucun texte de nature législative ou réglementaire.

Elle a par conséquent adopté le présent article assorti d'un amendement n° COM-110 des rapporteurs y apportant des modifications de nature rédactionnelle et tendant à en renforcer la sécurité juridique, notamment en ce qui concerne les modalités d'établissement des procès-verbaux d'auditions.

La commission a adopté cet article ainsi modifié.

Article 28
Devoir de coopération de la personne contrôlée et amende administrative
en cas d'obstacle à un contrôle

I. Les modifications proposées par le Gouvernement : l'instauration d'un devoir de coopération de la personne contrôlée par l'Anssi et l'application d'une amende administrative en cas d'obstacle au contrôle

A. Le régime de sanctions pénales applicable en cas de manquement d'un opérateur à ses obligations, inadapté aux enjeux, n'est pas mis en oeuvre

1. Des sanctions pénales sont prévues en cas d'obstacle à un contrôle de l'Anssi

S'il n'existe pas de régime de sanction unique pour les faits d'obstacle à un contrôle de l'Agence nationale de la sécurité des systèmes d'information (Anssi), une amende de 125 000 € est d'ores et déjà prévue en cas d'obstacle de la part des dirigeants d'un opérateur de services essentiels (OSE) aux opérations de contrôle du niveau de sécurité des systèmes d'information et du respect de leurs obligations en la matière^64(*).

En outre, le fait, pour les dirigeants d'un opérateur d'importance vitale (OIV), de ne pas satisfaire à un certain nombre de leurs obligations, et notamment à celle de soumettre les systèmes d'information de l'OIV à des contrôles destinés à vérifier leur niveau de sécurité et le respect des règles de sécurité nécessaires à leur protection, est puni d'une amende de 150 000 €^65(*).

2. Un régime d'amendes administratives doit être instauré en application de la directive NIS 2

L'article 34 de la directive dite « NIS 2 »^66(*) instaure un régime d'amendes administratives en cas de non-respect des obligations qu'elle instaure, ce qui facilitera la mise en oeuvre effective des pénalités financières dans un contexte de fort accroissement du nombre d'entités contrôlées par l'Anssi.

L'étude d'impact du présent projet de loi précise d'ailleurs que le régime de sanctions pénales actuellement en vigueur en France n'a jamais été mis en oeuvre, dans la mesure où il n'offre pas à l'Anssi la possibilité d'une approche graduée.

Aussi est-il prévu que les États membres veillent à ce que, lorsqu'elles violent leurs obligations en matière de gestion des risques cyber et d'information, les entités importantes soient soumises à des amendes administratives d'un montant maximal s'élevant au moins à 7 millions d'euros ou à 1,4 % du chiffre d'affaires annuel mondial total de l'exercice précédent de l'entreprise à laquelle appartient l'entité concernée, le montant le plus élevé étant retenu.

S'agissant des entités essentielles, ces seuils planchers sont portés à 10 millions d'euros et à 2 % du chiffre d'affaires.

La directive permet en outre à chaque État membre d'établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des entités de l'administration publique.

B. Le Gouvernement propose d'instaurer un devoir de coopération de la personne contrôlée par l'Anssi et de punir d'une amende administrative le fait de faire obstacle au contrôle

Le présent article tend à obliger la personne contrôlée à coopérer avec l'Anssi. Il habilite dans le même temps les agents et personnels chargés du contrôle à constater toute action de la part de la personne contrôlée de nature à faire obstacle au contrôle.

Le fait, pour la personne contrôlée, de faire obstacle aux demandes de l'Anssi nécessaires à la recherche des manquements et à la mise en oeuvre de ses pouvoirs de contrôle, notamment en fournissant des renseignements incomplets ou inexacts ou en communiquant des pièces incomplètes ou dénaturées, serait constitutif d'un manquement et puni d'une amende administrative prononcée par la commission des sanctions instituée par l'article 1^er du présent projet de loi.

Le montant de cette amende, proportionné à la gravité du manquement, ne pourrait excéder 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, hors taxes, de l'exercice précédent, le montant le plus élevé étant retenu - soit le plafond minimal fixé par la directive dite « NIS 2 » pour les amendes administratives prononcées à l'encontre des entités essentielles.

Les griefs constitutifs d'obstacle au contrôle retenus à l'encontre de la personne contrôlée lui seraient notifiés par l'Anssi, laquelle saisirait la commission des sanctions afin qu'elle se prononce.

Il est enfin précisé que ces dispositions ne s'appliqueraient ni aux administrations de l'État, ni à ses établissements publics administratifs. Le Conseil d'État justifie cette exclusion au motif que « le Gouvernement dispose à leur égard d'autres moyens que ces amendes pour garantir le respect de leurs obligations »^67(*). Les collectivités territoriales et leurs groupements et établissement seraient, pour leur part, soumises à ces dispositions du fait de « l'absence de dispositif équivalent » qui leur soit applicable.

II. La position de la commission : des modifications rédactionnelles et de sécurisation juridique

Dans la mesure où le champ des entités soumises aux contrôles de l'Anssi fait l'objet d'une extension dans le cadre de la transposition de la directive dite « NIS 2 », il est logique que soit instauré un régime de sanction unique pour ce qui concerne les faits d'obstacle à un contrôle.

Considérant qu'il se borne à transposer les dispositions de ladite directive en fixant le montant plafond des amendes administratives pouvant être prononcées dans ce cas au niveau minimal prévu par celle-ci, la commission a adopté le présent article assorti d'un amendement n° COM-111 des rapporteurs y apportant des modifications de nature rédactionnelle et précisant que le chiffre d'affaires retenu pour la détermination du plafond de l'amende est celui de l'entreprise à laquelle appartient la personne contrôlée, conformément aux prescriptions de la directive.

La commission a adopté cet article ainsi modifié.

Article 29
Forme et prise en charge financière des contrôles

I. Les modifications proposées par le Gouvernement : la fixation des formes possibles des contrôles de l'Anssi et leur financement par la personne contrôlée

A. La réglementation prévoit d'ores et déjà la prise en charge du coût des contrôles par les opérateurs, mais pas la forme qu'ils peuvent revêtir

1. La forme des contrôles de l'Anssi, dont le coût est pris en charge par les opérateurs contrôlés, n'est pas suffisamment encadrée

Aucune disposition législative ou réglementaire ne détermine pour l'heure la forme que peut revêtir un contrôle de l'Agence nationale de la sécurité des systèmes d'information (Anssi).

En tout état de cause, la loi met le coût du contrôle à la charge de la personne contrôlée dans le cas des contrôles destinés à vérifier le niveau de sécurité des systèmes d'information des opérateurs de services essentiels (OSE) et des opérateurs d'importance vitale (OIV) et le respect des règles de sécurité en la matière^68(*).

S'agissant des OIV, la réglementation en vigueur précise que, lorsqu'un contrôle est effectué par un service de l'État, son coût est calculé en fonction du temps nécessaire à la réalisation du contrôle et du nombre d'agents publics qui y participent, un arrêté du Premier ministre fixant le coût d'un contrôle mobilisant un agent public pendant une journée^69(*). Dans le cas d'un contrôle effectué par un prestataire de service, le coût du contrôle est déterminé librement par les parties.

2. La directive NIS 2 liste différents types de contrôles auxquels les entités essentielles et importantes doivent pouvoir être soumises et prévoit la prise en charge par l'entité du coût des audits ciblés réalisés par un organisme indépendant

Aux termes des articles 32 et 33 de la directive dite « NIS 2 »^70(*), les États membres doivent veiller à ce que les autorités compétentes, lorsqu'elles accomplissent leurs tâches de supervision à l'égard d'entités essentielles ou importantes, aient le pouvoir de soumettre ces entités, a minima, à :

- des inspections sur place et des contrôles à distance, y compris des contrôles aléatoires effectués par des professionnels formés ;

- des audits de sécurité réguliers et ciblés réalisés par un organisme indépendant ou une autorité compétente ;

- des scans de sécurité fondés sur des critères d'évaluation des risques objectifs, non discriminatoires, équitables et transparents, si nécessaire avec la coopération de l'entité concernée ;

- des demandes d'informations nécessaires à l'évaluation - ex post dans le cas des entités importantes - des mesures de gestion des risques en matière de cybersécurité adoptées par l'entité concernée, notamment les politiques de cybersécurité consignées par écrit, ainsi que du respect de l'obligation de soumettre des informations aux autorités compétentes conformément à l'article 27 de la directive ;

- des demandes d'accès à des données, à des documents et à toutes informations nécessaires à l'accomplissement de leurs tâches de supervision ;

- des demandes de preuves de la mise en oeuvre des politiques de cybersécurité, telles que les résultats des audits de sécurité effectués par un auditeur qualifié et les éléments de preuve sous-jacents correspondants.

Au surplus, les entités essentielles doivent pouvoir être soumises à des audits ad hoc, notamment lorsqu'ils sont justifiés en raison d'un incident important ou d'une violation de la directive par l'entité.

Il est précisé que le coût d'un audit de sécurité ciblé effectué par un organisme indépendant doit être supporté par l'entité contrôlée, sauf lorsque l'autorité compétente en décide autrement dans des cas dûment motivés.

B. Le Gouvernement propose de déterminer les formes possibles d'un contrôle de l'Anssi et d'en mettre le coût à la charge de la personne contrôlée

Le présent article tend à lister les différentes formes que pourrait prendre un contrôle de l'Anssi, à savoir :

- des inspections sur place et des contrôles à distance ;

- des audits de sécurité réguliers et ciblés réalisés par l'Anssi ou par un organisme indépendant choisi par elle ;

- des scans de sécurité ;

- et des audits en cas d'incident important ou d'une violation des dispositions de l'article 26 du présent projet de loi, qui habilite les agents de l'Anssi ainsi que des organismes indépendants et des services de l'État spécialement désignés à cet effet à rechercher et constater les manquements à la réglementation et les infractions en matière de cybersécurité.

Il est par ailleurs prévu que le coût du contrôle soit supporté par la personne contrôlée, sauf si, à titre exceptionnel, l'Anssi en décidait autrement. D'après l'étude du présent projet de loi, ce choix découlerait de la volonté d'appliquer « un principe de redevance pour service rendu, conformément à la jurisprudence du Conseil d'État », et ce « dans un souci d'harmonisation » avec les dispositifs actuellement applicables aux OIV et aux OSE.

Du reste, et pour mémoire, l'article 27 du présent projet de loi habilite notamment les agents ou personnes chargés des contrôles à exiger la communication de tout document nécessaire à l'accomplissement de leur mission, quel qu'en soit le support, et à obtenir ou prendre copie de ces documents par tout moyen et sur tout support, y compris les éléments de nature à établir la mise en oeuvre effective par l'entité contrôlée des mesures de nature à répondre à ses obligations, dont les rapports d'audit menés par des organismes indépendants.

II. La position de la commission : une clarification juridique relative à la prise en charge du coût des contrôles de l'Anssi

La commission constate que le présent article se borne à transposer en droit national les dispositions de la directive déterminant la forme que peuvent revêtir les contrôles de l'Anssi.

En revanche, le choix de faire reposer le coût de ces contrôles sur la personne contrôlée va bien au-delà des prescriptions de la directive - laquelle ne met à la charge des entités contrôlées que le coût des audits de sécurité ciblés effectués par un organisme indépendant, sauf décision contraire de l'autorité compétente.

D'après les informations recueillies au cours des auditions menées par les rapporteurs, il pourrait être envisagé de ne faire supporter le coût d'un contrôle par la personne faisant l'objet de ce contrôle que dans le cas où celui-ci révèlerait une infraction ou un manquement aux obligations qui s'imposent à la personne contrôlée.

En tout état de cause, l'ensemble des parties prenantes entendues par la commission spéciale - entreprises comme collectivités territoriales - se sont élevées contre le principe même de faire reposer le coût des contrôles, sans distinction ni précision particulière, sur la personnes contrôlée, l'exonération exceptionnelle que pourrait accorder l'Anssi apparaissant purement discrétionnaire.

Par conséquent, sur la proposition des rapporteurs, la commission a adopté un amendement de clarification juridique n° COM-112 visant à préciser explicitement que la personne contrôlée n'est pas tenue de prendre en charge le coût du contrôle lorsque celui-ci ne révèle aucune infraction ou manquement auxdites obligations.

La commission a adopté cet article ainsi modifié.

Article 30
Modalités d'application des dispositions relatives aux prérogatives de l'Anssi en matière de recherche et de constatation des manquements

I. Les modifications proposées par le Gouvernement : la fixation des modalités d'application par décret en Conseil d'État

Le présent article tend à prévoir la fixation des modalités d'application de la sous-section 2 de la section 1 du chapitre III du présent projet de loi, qui détermine les prérogatives de l'Anssi en matière de recherche et de constatation des manquements, par un décret en Conseil d'État.

II. La position de la commission : une adoption sans modification

Les dispositions proposées n'appellent pas de commentaire de la part de la commission, qui se déclare favorable à son adoption.

La commission a adopté cet article sans modification.

SECTION 2
MESURES CONSÉCUTIVES AUX CONTRÔLES

Article 31
Ouverture d'une procédure à l'encontre de la personne contrôlée

I. Les modifications proposées par le Gouvernement : l'ouverture par l'Anssi d'une procédure à l'issue d'un contrôle

A. Les dirigeants des opérateurs ne se conformant pas à leurs obligations en matière de sécurité des systèmes d'information après avoir été mis en demeure de le faire sont passibles d'une amende

Lorsqu'un manquement est constaté dans le cadre d'un contrôle du niveau de sécurité des réseaux et systèmes d'information d'un opérateur de services essentiels (OSE) et du respect des règles de sécurité en la matière, l'Anssi peut mettre en demeure les dirigeants de l'OSE concerné de se conformer, dans un délai qu'elle détermine en tenant compte des conditions de fonctionnement de l'OSE et des mesures à mettre en oeuvre, aux obligations qui leur incombent^71(*).

Le fait, pour les dirigeants d'un OSE, de ne pas se conformer aux règles de sécurité qui s'imposent à eux à l'issue du délai fixé par la mise en demeure est puni de 100 000 € d'amende^72(*).

De même, le fait, pour les dirigeants d'un opérateur d'importance vitale (OIV), de ne pas satisfaire à leurs obligations en matière de sécurité des réseaux et systèmes d'information est puni d'une amende de 150 000 €, cette sanction étant précédée d'une mise en demeure^73(*).

B. Le Gouvernement entend permettre l'ouverture par l'Anssi d'une procédure au terme d'un contrôle

Le présent article tend à permettre à l'Anssi d'engager une procédure à l'encontre de la personne contrôlée au vu des résultats d'un contrôle.

L'Anssi devrait dès lors notifier sa décision à la personne contrôlée et désigner parmi les agents et personnes habilités un ou plusieurs rapporteurs chargés de l'instruction de cette procédure.

II. La position de la commission : des modifications de sécurisation et de clarification juridiques

La commission juge nécessaire de permettre le déclenchement d'une procédure à l'encontre de la personne contrôlée lorsque le contrôle révèle un manquement aux obligations qui s'imposent à la personne contrôlée. Elle a par conséquent adopté un amendement n° COM-113 des rapporteurs prévoyant explicitement l'ouverture d'une procédure de cette nature dans un tel cas.

Par ailleurs, dans un souci de clarification de l'objectif poursuivi lors de l'ouverture par l'Anssi d'une telle procédure, cet amendement tend également à intégrer au présent article les dispositions de l'article 32 du présent projet de loi, qui permettent à l'Anssi soit de clore la procédure lorsque les faits constatés ne justifient pas l'adoption d'une mesure d'exécution, soit d'adopter une telle mesure si celle-ci s'avère nécessaire pour mettre un terme à l'infraction ou au manquement.

Enfin, il supprime la faculté accordée à l'Anssi de rendre publique la mesure d'exécution adoptée et d'enjoindre à la personne contrôlée de rendre public son manquement. Seule la commission des sanctions serait donc habilitée à décider d'une mesure de publicisation, dans la mesure où celle-ci constitue davantage une sanction qu'une mesure de police administrative.

La commission a adopté cet article ainsi modifié.

Article 32
Mesures d'exécution

I. Les modifications proposées par le Gouvernement : la possibilité pour l'Anssi de mettre en oeuvre des mesures d'exécution au terme de la procédure initiée à l'issue d'un contrôle

A. La directive NIS 2 impose aux États membres de permettre l'adoption de mesures d'exécution à l'encontre des entités contrôlées

Les articles 32 et 33 de la directive dite « NIS 2 »^74(*) prévoient que les États membres veillent à ce que leurs autorités compétentes, lorsqu'elles exercent leurs pouvoirs d'exécution à l'égard d'entités essentielles ou importantes, aient a minima le pouvoir :

- d'émettre des avertissements concernant les violations de la directive par les entités concernées ;

- d'adopter des instructions contraignantes, y compris en ce qui concerne les mesures nécessaires pour éviter un incident ou y remédier, ainsi que les délais pour mettre en oeuvre ces mesures et rendre compte de cette mise en oeuvre, ou une injonction exigeant des entités concernées qu'elles remédient aux insuffisances constatées ou aux violations de la directive ;

- d'ordonner aux entités concernées de mettre un terme à un comportement qui viole la directive et de ne pas le réitérer ;

- d'ordonner aux entités concernées de garantir la conformité de leurs mesures de gestion des risques en matière de cybersécurité avec l'article 21 de la directive ou de respecter les obligations d'information prévues par son article 23, de manière spécifique et dans un délai déterminé ;

- d'ordonner aux entités concernées d'informer les personnes physiques ou morales à l'égard desquelles elles fournissent des services ou exercent des activités susceptibles d'être affectées par une cybermenace importante de la nature de la menace, ainsi que de toutes mesures préventives ou réparatrices que ces personnes physiques ou morales pourraient prendre en réponse à cette menace ;

- d'ordonner aux entités concernées de mettre en oeuvre les recommandations formulées à la suite d'un audit de sécurité dans un délai raisonnable ;

- d'ordonner aux entités concernées de rendre publics les aspects de violations de la directive de manière spécifique ;

- et d'imposer ou de demander aux organes compétents ou aux juridictions d'imposer, conformément au droit national, une amende administrative en plus d'une mesure d'exécution.

S'agissant spécifiquement des entités essentielles, les autorités compétentes doivent également pouvoir désigner, pour une période déterminée, un responsable du contrôle ayant des tâches bien définies pour superviser le respect, par les entités concernées, des articles 21 et 23 de la directive.

En outre, lorsque les mesures d'exécution adoptées sont inefficaces, les États membres doivent veiller à ce que leurs autorités compétentes aient le pouvoir de fixer un délai dans lequel l'entité essentielle soit invitée à prendre les mesures nécessaires pour pallier les insuffisances ou satisfaire aux exigences de ces autorités.

Si la mesure demandée n'est pas prise dans le délai imparti, les États membres doivent veiller à ce que les autorités compétentes aient le pouvoir de suspendre temporairement ou de demander à un organisme de certification ou d'autorisation ou à une juridiction, conformément au droit national, de suspendre temporairement une certification ou une autorisation concernant tout ou partie des services pertinents fournis ou des activités pertinentes menées par l'entité essentielle.

Au surplus, aux termes de l'article 34 de la directive, les États membres peuvent prévoir le pouvoir d'imposer des astreintes pour contraindre une entité essentielle ou importante à mettre un terme à une violation de la directive conformément à une décision préalable de l'autorité compétente.

B. Le Gouvernement entend permettre à l'Anssi soit de clore la procédure ouverte à l'issue d'un contrôle, soit d'adopter une mesure d'exécution

Le présent article tend à déterminer la manière dont pourrait se poursuivre la procédure ouverte par l'Anssi à l'encontre de la personne contrôlée au vu des résultats d'un contrôle.

Dans le cas où l'instruction ne ferait pas état de faits justifiant une mesure d'exécution, l'Anssi clôturerait la procédure et en informerait la personne concernée.

En revanche, dans le cas contraire, l'Anssi serait habilitée à adopter une mesure d'exécution après avoir mis la personne concernée en mesure de présenter ses observations. Elle pourrait ainsi :

- prononcer une mise en garde à l'encontre de la personne contrôlée ;

- lui enjoindre de prendre les mesures nécessaires pour éviter un incident ou y remédier et définir les délais accordés pour les mettre en oeuvre et en rendre compte ;

- lui enjoindre de se mettre en conformité avec les obligations qui lui sont applicables dans un délai qu'elle détermine et qui ne peut être inférieur à un mois, sauf en cas de manquement gravé ou répété ;

- lui ordonner d'informer les personnes physiques ou morales au profit desquelles elle fournit des services ou exerce des activités susceptibles d'être affectées par une cybermenace importante de la nature de cette menace et de toute mesure préventive ou réparatrice qu'elles pourraient prendre pour répondre à cette menace ;

- lui enjoindre de mettre en oeuvre dans le délai qu'elle fixe les recommandations formulées à la suite d'un audit de sécurité ;

- et exiger qu'elle informe le public du manquement constaté par tout moyen adapté.

Le cas échéant, la mesure d'exécution devrait être notifiée aux intéressés et pourrait être assortie d'une astreinte dont le montant serait plafonné à 5 000 euros par jour de retard. L'Anssi serait autorisée à rendre cette mesure publique.

Il est enfin précisé que l'astreinte journalière courrait à compter du jour suivant l'expiration du délai imparti aux personnes concernées pour déférer à l'injonction. En cas d'inexécution totale ou partielle ou d'exécution tardive, la commission des sanctions instituée par l'article 1^er du présent projet de loi pourrait procéder à la liquidation de cette astreinte.

II. La position de la commission : la suppression de cet article

Les dispositions du présent article, qui n'appellent pas de modification de fond - dans la mesure où elles se bornent à transposer les dispositions de la directive dite « NIS 2 » -, mais uniquement des modifications de nature rédactionnelle, ont été intégrées à l'article 31 du présent projet de loi par un amendement n° COM-113 des rapporteurs, dans un souci de clarification de l'objectif poursuivi lors de l'ouverture par l'Anssi d'une procédure à l'encontre de la personne contrôlée.

Par conséquent, la commission a adopté un amendement n° COM-114 des rapporteurs visant à supprimer le présent article.

La commission a supprimé cet article.

Article 33
Saisine de la commission des sanctions

I. Les modifications proposées par le Gouvernement : la saisine de la commission des sanctions en cas d'inexécution d'une mesure d'exécution

Le présent article tend à déterminer la manière dont pourrait se conclure la procédure ouverte par l'Anssi à l'encontre de la personne contrôlée dans le cas où il aurait été décidé d'une mesure d'exécution.

Il prévoit que l'Anssi constate qu'il n'y a pas lieu de poursuivre la procédure et notifie sa décision à la personne concernée lorsque celle-ci fournit des éléments montrant qu'elle s'est conformée à la mesure d'exécution dans le délai imparti.

En revanche, dans le cas où la personne concernée ne se serait pas conformée à l'une des mesures d'exécution prononcées par l'Anssi, cette dernière lui notifierait les griefs retenus et saisirait la commission des sanctions instituée par l'article 1^er du présent projet de loi.

Du reste, dans l'hypothèse où la personne concernée serait une entité essentielle et où elle n'apporterait pas la preuve qu'elle s'est conformée, dans le délai imparti, à quatre types de mesures d'exécution - mise en garde, injonction de prendre les mesures nécessaires pour éviter un incident ou y remédier, injonction de se mettre en conformité avec les obligations applicables et injonction de mettre en oeuvre les recommandations formulées à la suite d'un audit de sécurité -, l'Anssi serait autorisée à suspendre une certification ou une autorisation concernant tout ou partie des services fournis ou des activités exercées par cette entité jusqu'à ce que celle-ci ait remédié au manquement.

Si cette certification ou cette autorisation a été délivrée par un organisme de certification ou d'autorisation, il est prévu que l'Anssi enjoigne à cet organisme de la suspendre jusqu'à ce que l'entité ait remédié au manquement.

II. La position de la commission : des modifications rédactionnelles et de coordination

Le présent article se bornant, comme les précédents, à transposer les dispositions de la directive dite « NIS 2 » visant à mettre un terme aux infractions et aux manquements aux obligations incombant aux personnes contrôlées et s'inscrivant dans le cadre du régime de sanctions administratives institué par ladite directive, la commission n'a identifié aucun obstacle à son adoption.

Elle a néanmoins adopté un amendement n° COM-115 des rapporteurs visant à améliorer la qualité rédactionnelle du dispositif, à procéder aux coordinations découlant de l'intégration des dispositions de l'article 32 du présent projet de loi à l'article 31 et à exclure les avertissements du champ des mesures d'exécution dont la non-application peut entraîner la suspension d'une certification ou d'une autorisation par l'Anssi, compte tenu du fait qu'il n'est pas possible, à proprement parler, de se conformer à un avertissement, dont le prononcé n'appelle pas la mise en oeuvre d'une action, mais plutôt la non-réitération d'un fait.

La commission a adopté cet article ainsi modifié.

Article 34
Modalités d'application des dispositions relatives à la procédure pouvant être engagée par l'Anssi à l'encontre de la personne contrôlée

I. Les modifications proposées par le Gouvernement : la fixation des modalités de la procédure pouvant être ouverte à l'encontre de la personne contrôlée par décret en Conseil d'État

Le présent article tend à prévoir la fixation par un décret en Conseil d'État des modalités d'application de la section 2 du chapitre III du présent projet de loi, qui détermine le cadre juridique applicable à la procédure pouvant être engagée par l'Anssi à l'encontre de la personne contrôlée au terme d'un contrôle.

II. La position de la commission : une adoption sans modification

Les dispositions proposées n'appellent pas de commentaire de la part de la commission, qui se déclare favorable à son adoption.

La commission a adopté cet article sans modification.

Article 35
Compétence de la commission des sanctions

I. La situation actuelle - la création d'une commission des sanctions en matière de cybersécurité constitue une nouveauté

Il n'existe pour l'heure pas de commission des sanctions en matière de cybersécurité, celle-ci constituant une innovation du présent projet de loi qui vise à garantir la bonne application des mesures qu'il prévoit pour que l'ensemble des entités concernés élèvent leur niveau de cybersécurité.

Cette innovation résulte directement des dispositions de l'article 36 de la directive NIS 2 qui prévoit que les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la directive et prennent toutes les mesures nécessaires pour assurer la mise en oeuvre de ces sanctions.

L'article 36 précise que les sanctions prévues doivent être effectives, proportionnées et dissuasives.

II. Le dispositif envisagé - une même commission des sanctions pour les manquements prévus aux obligations prévues par les directives REC et NIS 2

L'article 1^er du présent projet de loi introduit un article L. 1332-15 au code de la défense qui prévoit la création d'une commission des sanctions instituée auprès du Premier ministre.

L'article 35 prévoit que cette commission des sanctions statue sur les manquements constatés aux obligations découlant de l'application du chapitre II « De la cyber résilience », c'est-à-dire les articles 6 à 24, et du chapitre III « De la supervision », c'est-à-dire les articles 25 à 37, dans les conditions prévues par la présente section « Des sanctions » qui comprend les articles 35 à 37.

Cette commission est saisie par l'autorité administrative des manquements constatés. L'autorité, en l'occurrence l'Anssi, notifie à l'opérateur concerné les griefs susceptibles d'être retenus à son encontre.

La commission des sanctions reçoit les rapports et procès-verbaux des contrôles réalisés par l'autorité.

III. La position de la commission - une commission commune des sanctions mais avec une composition adaptée

Le présent article, qui prévoit que la commission des sanctions créé au titre I du projet de loi est compétente pour statuer sur les manquements constatés aux obligations découlant de l'application des chapitres II et III du titre II, ne présente pas de difficultés, dans la mesure où l'article 36 prévoit une composition adaptée avec la nomination de personnalités qualifiées compétentes dans le domaine de la sécurité des systèmes d'information.

La commission a adopté cet article sans modification.

Article 36
Composition de la commission des sanctions

I. La situation actuelle - la mise en place d'une commission des sanctions qui découle de la transposition de la directive NIS 2

Il n'existe pour l'heure pas de commission des sanctions en matière de cybersécurité, celle-ci constituant une innovation qui vise à garantir la bonne application des mesures prévues par le projet de loi pour que l'ensemble des entités concernées élèvent leur niveau de cybersécurité. Cette commission des sanctions est introduite aux articles L. 1332-15 et suivants du code de la défense par l'article 1^er du présent projet de loi.

Comme indiqué dans le commentaire de l'article 35, cette innovation résulte directement des dispositions de l'article 36 de la directive NIS 2 qui prévoit que les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la directive et prennent toutes les mesures nécessaires pour assurer la mise en oeuvre de ces sanctions.

L'article 36 de la directive NIS 2 précise que les sanctions prévues doivent être effectives, proportionnées et dissuasives.

II. Le dispositif envisagé - les trois personnalités qualifiées membres de la commission des sanctions lorsqu'elle est compétente en matière de cybersécurité seraient toutes nommées par le Premier ministre

L'article 36 du projet de loi prévoit que lorsqu'elle est saisie de manquements aux obligations découlant de l'application du chapitre II « De la cyber résilience » et du chapitre III « De la supervision » du présent projet de loi, la commission des sanctions en matière de cybersécurité prévue aux articles L. 1332-15 et suivants du code de la défense et placée auprès du Premier ministre est composée :

- des personnes mentionnées au 1° de l'article L. 1332-16 du code de la défense, c'est-à-dire d'un membre du Conseil d'État, président, désigné par le vice-président du Conseil d'État, d'un membre de la Cour de cassation désigné par le premier président de la Cour de cassation et d'un membre de la Cour des comptes désigné par le premier président de la Cour des comptes ;

- de trois personnalités qualifiées, nommés par le Premier ministre en raison de leurs compétences dans le domaine de la sécurité des systèmes d'information.

L'article L. 1332-16 du code de la défense, tel que prévu par l'article 1^er du présent projet de loi, prévoit que les membres de la commission des sanctions exercent leurs fonctions en toute impartialité. Dans l'exercice de leurs attributions, ils ne reçoivent ni ne sollicitent d'instruction d'aucune autorité.

Le président de la commission, qui est un membre du Conseil d'État, désigne un rapporteur parmi ses membres. Celui-ci ne peut recevoir aucune instruction.

La commission des sanctions statue par décision motivée. Aucune sanction ne peut être prononcée sans que l'opérateur concerné ou son représentant ait été entendu ou, à défaut, dûment convoqué. La commission peut auditionner toute personne qu'elle juge utile.

La commission statue à la majorité des membres présents. En cas de partage égal des voix, celle du président est prépondérante.

Le président et les membres de la commission ainsi que leurs suppléants respectifs sont nommés par décret pour un mandat de cinq ans, renouvelable une fois. Ils sont tenus au secret professionnel.

III. La position de la commission - un ajustement des autorités de nomination des personnalités qualifiées pour renforcer l'indépendance de la commission des sanctions

Si elle n'a pas remis en cause la composition de la commission des sanctions proposée à l'article 36, la commission spéciale a adopté, outre un amendement COM 117 du rapporteur Patrick Chaize précisant que c'est l'autorité nationale de sécurité des systèmes d'information qui saisit la commission des sanctions :

- un amendement COM 118 du rapporteur Patrick Chaize qui prévoit, pour renforcer les garanties d'indépendance de la commission des sanctions, que les trois personnalités qualifiées en raison de leurs compétences dans le domaine de la sécurité des systèmes d'information qui y siègeront ne seront pas uniquement désignées par le Premier ministre mais nommées respectivement par le Premier ministre, le président de l'Assemblée nationale et le président du Sénat ;

- un amendement COM 119 du rapporteur Patrick Chaize qui prévoit, toujours afin de garantir au maximum l'indépendance de la commission des sanctions, que les personnalités qualifiées nommées dans son collège n'exercent pas de responsabilités, ou n'ont pas exercé de responsabilités depuis moins de cinq ans, au sein de l'autorité nationale de sécurité des systèmes d'information.

La commission a adopté l'article ainsi modifié.

Article 37
Sanctions en cas de manquements aux obligations en matière de cybersécurité

I. La situation actuelle - un dispositif de sanctions administratives prévu par la directive NIS 2 afin de garantir sa bonne application par les entités régulées

L'article 36 de la directive NIS 2 prévoit que les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la directive et prennent toutes les mesures nécessaires pour assurer la mise en oeuvre de ces sanctions.

L'article 36 précise que les sanctions prévues doivent être effectives, proportionnées et dissuasives.

Dans le même temps, l'article 34 de la directive intitulé « Conditions générales pour imposer des amendes administratives à des entités essentielles et importantes » prévoit lui aussi que les États membres veillent à ce que les amendes administratives imposées aux entités « essentielles » et « importantes » sur son fondement pour des violations de la directive soient effectives, proportionnées et dissuasives, compte tenu des circonstances de chaque cas.

Le paragraphe 4 de l'article 34 prévoit que les États membres veillent à ce que, lorsqu'elles violent l'article 21 (article sur les mesures de gestion des risques en matière de cybersécurité transposé par l'article 14 du présent projet de loi) ou 23 (article sur les obligations de notification et d'information transposé par l'article 17 du présent projet de loi), les entités « essentielles » soient soumises à des amendes administratives d'un montant maximal s'élevant à au moins 10 millions d'euros ou à au moins 2 % du chiffre d'affaires annuel mondial total de l'exercice précédent de l'entreprise à laquelle l'entité « essentielle » appartient, le montant le plus élevé étant retenu.

Le paragraphe 5 de l'article 34 prévoit que les États membres veillent à ce que, lorsqu'elles violent l'article 21 (article sur les mesures de gestion des risques en matière de sécurité transposé par l'article 14 du présent projet de loi) ou 23 (article sur les obligations d'information transposé par l'article 17 du présent projet de loi), les entités « importantes » soient soumises à des amendes administratives d'un montant maximal s'élevant à au moins 7 millions d'euros ou à au moins 1,4 % du chiffre d'affaires annuel mondial total de l'exercice précédent de l'entreprise à laquelle l'entité importante appartient, le montant le plus élevé étant retenu.

Le paragraphe 7 de l'article 34 dispose que chaque État membre peut établir les règles déterminant si et dans quelle mesure des amendes administratives peuvent être imposées à des entités de l'administration publique.

Le point b) du paragraphe 5 de l'article 32 de la directive prévoit enfin que lorsque les mesures d'exécution ordonnées à une entité essentielle en matière de cybersécurité ne sont pas prises dans le délai imparti, les États membres veillent à ce que leurs autorités compétentes aient le pouvoir de demander aux organes compétents ou aux juridictions compétentes, conformément au droit national, d'interdire temporairement à tout personne physique exerçant des responsabilités dirigeantes à un niveau de directeur général ou de représentant légal dans l'entité « essentielle » d'exercer des responsabilités dirigeantes dans cette entité.

Cette interdiction temporaire est uniquement appliquée jusqu'à ce que l'entité concernée prenne les mesures nécessaires pour remédier aux insuffisances ou se conformer aux exigences de l'autorité compétente à l'origine de l'application de ces mesures d'exécution.

L'imposition de ces suspensions ou interdictions temporaires est soumise à des garanties procédurales appropriées conformément aux principes généraux du droit de l'Union et à la Charte, y compris le droit à un recours effectif et à accéder à un tribunal impartial, la présomption d'innocence et les droits de la défense.

II. Le dispositif envisagé - des sanctions qui assurent une transposition fidèle de la directive

Le I de l'article 37 établit les sanctions que peut prononcer la commission des sanctions mentionnée aux articles 35 et 36 en cas de manquement constaté aux obligations prévues par les dispositions prévues au présent titre II « Cybersécurité » visant à transposer la directive NIS 2.

A l'encontre des entités « essentielles » définies à l'article 8 et des opérateurs mentionnés à l'article L. 1332-2 du code de la défense, il prévoit une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, hors taxes, de l'exercice précédent de l'entreprise à laquelle l'entité « essentielle » appartient, le montant le plus élevé étant retenu. Les administrations de l'État et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs ne peuvent se voir appliquer cette sanction.

Cette sanction constitue une transposition fidèle du paragraphe 4 de l'article 34 de la directive NIS 2, avec l'utilisation de l'exemption pour les administrations publiques rendue possible par le paragraphe 7 dudit article 34.

A l'encontre des entités « importantes » définies à l'article 9, il prévoit une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total, hors taxes, de l'exercice précédent de l'entreprise à laquelle l'entité importante appartient, le montant le plus élevé étant retenu. Là encore, les administrations de l'État et de ses établissements publics administratifs, des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs ne peuvent se voir appliquer cette sanction.

Cette sanction constitue une transposition fidèle du paragraphe 5 de l'article 34 de la directive NIS 2, avec l'utilisation de l'exemption pour les administrations publiques rendue possible par le paragraphe 7 dudit article 34.

À l'encontre des offices d'enregistrement et des bureaux d'enregistrement mentionnés à l'article 18 du présent projet de loi, à l'exception de ceux relevant des articles L. 45 à L. 45-8 du code des postes et des communications électroniques lorsqu'il s'agit d'un manquement aux obligations prévues à la section 3 du chapitre II du présent projet de loi, il prévoit une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel mondial total, hors taxes, de l'exercice précédent. Cette amende peut se cumuler avec l'amende prévue pour les entités « essentielles » à l'encontre d'un office d'enregistrement en cas de manquement aux obligations applicables aux entités « essentielles ».

Le quatrième alinéa de l'article 37 prévoit que si les manquements relevés constituent également une violation du règlement (UE) n° 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, donnant lieu à un amende administrative prononcée par la Commission nationale de l'informatique et des libertés (Cnil) en vertu des articles 20 à 22-1 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, la commission des sanctions ne peut prononcer de sanction sous forme d'amende administrative.

Le II de l'article 37 prévoit que la commission peut prononcer une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, hors taxes, de l'exercice précédent, le montant le plus élevé étant retenu, à l'encontre :

- des fournisseurs de moyens d'identification électronique relevant des schémas d'identification électronique notifiés par l'État, des prestataires de services de confiance établis sur le territoire français, des fournisseurs de dispositifs de création de signature et de cachet électronique qualifié qu'elle certifie et des organismes d'évaluation de la conformité, à l'exception des administrations de l'État et de leurs établissements publics à caractère administratif, en cas de manquement constaté aux dispositions du règlement (UE) n° 910/2014 du 23 juillet 2014

- des organismes d'évaluation de la conformité sauf si l'organisme d'évaluation de la conformité est l'autorité nationale de certification de cybersécurité, des titulaires d'une déclaration de conformité aux exigences d'un schéma de certification européen, des titulaires d'un agrément, d'une qualification ou d'un certificat dans le domaine de la cybersécurité, en cas de manquement constaté aux dispositions du règlement (UE) n° 2019/881 du 17 avril 2019 ou aux exigences applicables mentionnés au 4° et au 5° de l'article 26 du présent projet de loi.

Le III de l'article 37 prévoit que lorsque la commission des sanctions envisage de prononcer l'amende prévue à l'article 28 à l'encontre de la même personne, le montant cumulé des sanctions ne peut excéder le montant de l'amende prévue au I ou au II du présent article 37, c'est-à-dire 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial total, hors taxes, de l'exercice précédent, le montant le plus élevé étant retenu.

Pour mémoire, l'article 28 prévoit que le fait, pour une personne contrôlée de faire obstacle aux demandes de l'autorité nationale de sécurité des systèmes d'information nécessaires à la recherche des manquements et à la mise en oeuvre des pouvoirs de cette dernière, notamment en fournissant des renseignements incomplets ou inexacts ou en communiquant des pièces incomplètes ou dénaturées, est constitutif d'un manquement et puni d'une amende administrative prononcée par la commission des sanctions mentionnée à l'article 35 dont le montant, proportionné à la gravité du manquement, ne peut excéder dix millions d'euros ou 2 % du chiffre d'affaires annuel mondial, hors taxes, de l'exercice précédent, le montant le plus élevé étant retenu.

Le IV de l'article 37 prévoit que la commission des sanctions peut également prononcer les mesures suivantes à l'encontre des organismes d'évaluation de la conformité et des titulaires d'agréments, de qualifications ou de certificats en matière de cybersécurité, au titre des dispositions du règlement (UE) n° 910/2014 du 23 juillet 2014, des dispositions du règlement (UE) 2019/881 du 17 avril 2019 ou des exigences de cybersécurité mentionnés au 5° de l'article 26 du présent projet de loi, à savoir :

- l'abrogation d'un agrément, d'une qualification ou d'un certificat ;

- l'abrogation de l'autorisation, de l'agrément ou de l'habilitation délivré à l'organisme d'évaluation de la conformité, lorsque le manquement n'est pas corrigé dans le délai imparti par l'autorité nationale de sécurité des systèmes d'information.

Le V de l'article 37 prévoit enfin que la commission des sanctions peut interdire à toute personne physique exerçant les fonctions de dirigeant dans l'entité « essentielle » d'exercer des responsabilités dirigeantes dans cette entité, jusqu'à ce que l'entité « essentielle » ait remédié au manquement.

Cette sanction est prévue pour assurer la transposition du point b) du paragraphe 5 de l'article 32 de la directive.

Il est précisé que ces dispositions ne s'appliquent pas aux administrations.

III. La position de la commission - un encadrement de la sanction interdisant l'exercice par une personne physique de fonctions de direction au sein d'une entité « essentielle »

Lors de son audition, le directeur général de l'Anssi a indiqué que, sur la question des sanctions, le texte s'inscrit avant tout dans une logique d'accompagnement des entités vers une mise en conformité, la définition des sanctions permettant de matérialiser les conséquences attachées, à terme, à une non-conformité.

Dans cet esprit, le projet de loi se contente en la matière de transposer à l'identique les mesures de la directive NIS 2 en matière d'amendes administratives, les taux d'amendes visés, 2 % du chiffre d'affaires pour les entités « essentielles » et 1,4 % pour les entités « importantes » étant des seuils maximaux.

Si la commission spéciale a considéré que la transposition de ces sanctions pécuniaires était en effet fidèle, elle a en revanche estimé que prévoir, sans aucune forme d'encadrement que la commission des sanctions peut interdire à toute personne physique exerçant les fonctions de dirigeant dans l'entité « essentielle » d'exercer des responsabilités dirigeantes dans cette entité, jusqu'à ce que l'entité « essentielle » ait remédié au manquement, paraissait problématique.

En conséquence, elle a adopté un amendement COM 120 du rapporteur Patrick Chaize qui prévoit que la faculté pour la commission des sanctions d'interdire à une personne physique exerçant les fonctions de dirigeant dans une entité « essentielle » qui n'aurait pas accompli toutes ses obligations en matière de cybersécurité d'exercer des responsabilités dirigeantes dans cette entité est possible uniquement en dernier recours, si et seulement si le manquement persiste alors que l'entité « essentielle » s'est déjà vue imposer une amende administrative.

Il s'agit de réserver cette sanction à des cas graves et exceptionnels qui verraient un dirigeant persister à refuser de résoudre un manquement alors même que son entreprise aurait déjà été sanctionnée.

La commission a également adopté un amendement COM 121 du rapporteur Patrick Chaize qui prévoit que lorsque la commission des sanctions prononce l'une des sanctions prévues aux I, II, III et IV de l'article 37, elle peut exiger que l'entité concernée communique au public, par tout moyen adapté et à ses frais, le manquement constaté. La commission des sanctions peut également décider, dans l'intérêt du public, de rendre publique sa décision ou un extrait de celle-ci, selon des modalités qu'elle précise.

Il s'agit là d'un amendement de cohérence avec celui porté à l'article 32 qui tend à renforcer les garanties attachées à la publicisation de mesures d'exécution qui pourrait être reconnue comme une sanction.

La commission a adopté l'article ainsi modifié.

CHAPITRE IV
DISPOSITIONS DIVERSES D'APPLICATION

Article 38
Alléger le contrôle des biens de cryptologie

I. La situation actuelle - l'importation de bien de cryptologie est soumis à un dispositif d'information préalable et leur exportation à un dispositif de déclaration préalable auprès du Premier ministre

Le titre III de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique (articles 29 à 46 de cette loi) est consacré à la sécurité dans l'économie numérique et le chapitre I^er de ce titre aux moyens et prestations de cryptologie.

1) Définition des moyens de cryptologie

Le premier article de ce chapitre I^er, l'article 29, précise qu'on entend par moyen de cryptologie tout matériel ou logiciel conçu ou modifié pour transformer des données, qu'il s'agisse d'informations ou de signaux, à l'aide de conventions secrètes ou pour réaliser l'opération inverse avec ou sans convention secrète.

Ces moyens de cryptologie ont principalement pour objet de garantir la sécurité du stockage ou de la transmission de données, en permettant d'assurer leur confidentialité, leur authentification ou le contrôle de leur intégrité.

On entend par prestation de cryptologie toute opération visant à la mise en oeuvre, pour le compte d'autrui, de moyens de cryptologie.

2) Utilisation, fourniture, transfert, importation et exportation de moyens de cryptologie

L'article 30 la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est consacré à l'utilisation, à la fourniture, au transfert, à l'importation et à l'exportation de moyens de cryptologie.

Il prévoit que l'utilisation des moyens de cryptologie est libre, quelle que soit leur fonction.

La fourniture, le transfert depuis ou vers un État membre de la Communauté européenne, l'importation et l'exportation des moyens de cryptologie assurant exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont également libres.

Toutefois, la fourniture, le transfert depuis un État membre de la Communauté européenne ou l'importation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont soumis à une déclaration préalable auprès du Premier ministre.

Le fournisseur ou la personne procédant au transfert ou à l'importation tiennent à la disposition du Premier ministre une description des caractéristiques techniques de ce moyen de cryptologie, ainsi que le code source des logiciels utilisés.

Un décret en Conseil d'État fixe :

- les conditions dans lesquelles sont souscrites ces déclarations, les conditions et les délais dans lesquels le Premier ministre peut demander communication des caractéristiques du moyen, ainsi que la nature de ces caractéristiques ;

- les catégories de moyens dont les caractéristiques techniques ou les conditions d'utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'État, leur fourniture, leur transfert depuis un État membre de la Communauté européenne ou leur importation peuvent être dispensés de toute formalité préalable.

Le transfert vers un État membre de la Communauté européenne et l'exportation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont pour leur part soumis à autorisation du Premier ministre, et non à simple déclaration préalable.

Un décret en Conseil d'État fixe :

- Les conditions dans lesquelles sont souscrites les demandes d'autorisation ainsi que les délais dans lesquels le Premier ministre statue sur ces demandes ;

- Les catégories de moyens dont les caractéristiques techniques ou les conditions d'utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'État, leur transfert vers un État membre de la Communauté européenne ou leur exportation peuvent être soit soumis au régime déclaratif et aux obligations d'information prévus ci-dessus, soit dispensés de toute formalité préalable.

Ce décret n° 2007-663 du 2 mai 2007 modifié, qui précise les modalités d'application de l'article 30, dispose notamment que c'est à l'Agence nationale de sécurité des systèmes d'information (Anssi) que les déclarations et demandes d'autorisation d'exportation sont adressées.

Il prévoit également que les autorisations d'exportation sont délivrées pour une durée qui ne peut excéder cinq ans et doivent être renouvelées passé ce délai.

Cette réglementation coexiste avec celle relative aux biens à double usage (BDU), à savoir les biens, produits ou technologies essentiellement civils, sujets au risque de détournement d'usage à des fins militaires prohibées ou de prolifération nucléaire, biologique ou chimique, dont l'exportation est contrôlée. Certains moyens de cryptologie sont également soumis à cette réglementation des BDU.

Aussi, lorsqu'un BDU intègre un dispositif de cryptologie, il faut une autorisation préalable d'exportation de bien de cryptologie délivrée par l'Anssi, puis une autorisation de licence d'exportation de BDU relevant du régime général.

La réglementation européenne est notamment précisée par le décret n° 2001-1192 du 13 décembre 2001 relatif au contrôle à l'exportation, à l'importation et au transfert des biens et technologies à double usage (modifié pour tenir compte du règlement européen de 2009) et par l'arrêté du 13 décembre 2001 relatif au contrôle à l'exportation vers les pays tiers et au transfert vers les États membres de la Communauté européenne de biens et technologies à double usage.

Ce dernier texte précise que l'autorisation d'exportation est un préalable à une demande de licence pour les moyens de cryptologie. Ce contrôle en deux étapes ayant chacune leurs délais propres est donc perçu par les entreprises concernées comme un double contrôle pénalisant pour l'export depuis la France.

3) Responsabilité civile des prestataires de services de certification électronique pour les préjudices qu'ils causent

L'article 33 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique prévoit que sauf à démontrer qu'ils n'ont commis aucune faute intentionnelle ou négligence, les prestataires de services de certification électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés dans chacun des cas suivants :

- les informations contenues dans le certificat, à la date de sa délivrance, étaient inexactes ;

- les données prescrites pour que le certificat puisse être regardé comme qualifié étaient incomplètes ;

- la délivrance du certificat n'a pas donné lieu à la vérification que le signataire détient la convention privée correspondant à la convention publique de ce certificat ;

- les prestataires n'ont pas, le cas échéant, fait procéder à l'enregistrement de la révocation du certificat et tenu cette information à la disposition des tiers.

Les prestataires ne sont pas responsables du préjudice causé par un usage du certificat dépassant les limites fixées à son utilisation ou à la valeur des transactions pour lesquelles il peut être utilisé, à condition que ces limites figurent dans le certificat et soient accessibles aux utilisateurs.

Ils doivent justifier d'une garantie financière suffisante, spécialement affectée au paiement des sommes qu'ils pourraient devoir aux personnes s'étant fiées raisonnablement aux certificats qualifiés qu'ils délivrent, ou d'une assurance garantissant les conséquences pécuniaires de leur responsabilité civile professionnelle.

4) Sanctions pénales en cas de non-respect des dispositions de l'article 30 relatives à l'utilisation, à la fourniture, au transfert, à l'importation et à l'exportation de moyens de cryptologie

L'article 34 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique prévoit les sanctions administratives associées au non-respect de l'article 30 relatives à l'utilisation, à la fourniture, au transfert, à l'importation et à l'exportation de moyens de cryptologie.

Le I de l'article 35 prévoit lui les sanctions pénales qui s'appliquent en cas de non-respect des dispositions de l'article 30.

En premier lieu, le fait de ne pas satisfaire à l'obligation de déclaration prévue à l'article 30 en cas de fourniture, de transfert, d'importation ou d'exportation d'un moyen de cryptologie ou à l'obligation de communication au Premier ministre prévue par ce même article est puni d'un an d'emprisonnement et de 15 000 euros d'amende.

En second lieu, le fait d'exporter un moyen de cryptologie ou de procéder à son transfert vers un État membre de la Communauté européenne sans avoir préalablement obtenu l'autorisation mentionnée à l'article 30 ou en dehors des conditions de cette autorisation, lorsqu'une telle autorisation est exigée, est puni de deux ans d'emprisonnement et de 30 000 euros d'amende.

II. Le dispositif envisagé - le passage d'un régime d'autorisation à un simple régime de déclaration préalable pour l'exportation de moyens de cryptologie

L'article 38 du présent projet de loi procède à une réécriture complète de l'article 30 de la loi n° 2004-575 du 21 juin 2004^75(*) consacré à l'utilisation, à la fourniture, au transfert, à l'importation et à l'exportation de moyens de cryptologie.

Il procède également à une abrogation de l'article 33 et modifie le I de l'article 35.

L'objectif de ces évolutions législatives est d'alléger la charge qui pèse sur les entreprises et l'administration en matière de contrôle des moyens de cryptologie.

1) Évolution des dispositions relatives à l'utilisation, la fourniture, le transfert, l'importation et l'exportation de moyens de cryptologie

Le I de l'article 30 réécrit demeure inchangé et prévoit toujours que l'utilisation des moyens de cryptologie est libre.

Le II, qui prévoit que la fourniture, le transfert depuis ou vers un État membre de l'Union européenne, l'importation et l'exportation des moyens de cryptologie assurant exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont libres, demeure lui aussi inchangé à l'exception de l'actualisation consistant à remplacer les mots « Communauté européenne » par les mots « Union européenne ».

Le III prévoit que la fourniture, le transfert depuis ou vers un État membre de l'Union européenne, l'importation et l'exportation d'un moyen de cryptologie n'assurant pas exclusivement des fonctions d'authentification ou de contrôle d'intégrité sont soumis à une déclaration préalable auprès du Premier ministre, sans préjudice des exigences applicables aux biens à double usage intégrant un moyen de cryptologie.

Un décret en Conseil d'État fixe :

- Les conditions dans lesquelles sont souscrites ces déclarations, les conditions et les délais dans lesquels le Premier ministre peut demander communication des caractéristiques du moyen, ainsi que la nature de ces caractéristiques ;

- Les catégories de moyens dont les caractéristiques techniques ou les conditions d'utilisation sont telles que, au regard des intérêts de la défense nationale et de la sécurité intérieure ou extérieure de l'État, leur fourniture, leur transfert depuis ou vers un État membre de l'Union européenne ou leur importation ou exportation peuvent être dispensés de toute formalité préalable.

Ce nouveau III rassemble les dispositions relatives à l'importation de moyens de cryptologie de l'ancien III et celles relatives à l'exportation de moyens de cryptologie de l'ancien IV.

Trois évolutions notables méritent d'être notées.

La première, et de loin la plus importante, est le passage d'un régime d'autorisation à un simple régime de déclaration préalable pour l'exportation de moyens de cryptologie.

Il s'agit là d'une mesure de simplification car le régime d'autorisation préalable à l'exportation de moyens de cryptologie poursuit pour l'essentiel le même objectif que le régime d'autorisation préalable à l'exportation des biens à double usages prévu par le règlement 2021/821.

En outre, même si elle ne simplifie pas les démarches imposées pour l'importation et la fourniture en France de moyens de cryptologie, cette évolution permet néanmoins, grâce au régime unique de déclaration applicable à toutes les opérations, d'alléger la charge pour l'administration tout en maintenant un dispositif de contrôle et de recueil d'informations techniques sur les moyens de cryptologie circulant en France.

En deuxième lieu, l'obligation qui était faite au fournisseur ou à la personne procédant au transfert ou à l'importation de tenir à la disposition du Premier ministre une description des caractéristiques techniques du moyen de cryptologie, ainsi que le code sources des logiciels utilisés, disparaît.

En troisième lieu, il est précisé que les règles du nouveau III s'appliquent sans préjudice des exigences applicables aux biens à double usage intégrant un moyen de cryptologie, afin de prendre en compte le régime d'autorisation préalable à l'exportation des biens à double usages (BDU) prévu par le règlement 2021/821, pour lequel un dispositif d'autorisation d'exportation sera bien maintenu.

2) Responsabilité des prestataires de services de certification électronique pour les préjudices qu'ils causent

L'article 33 qui prévoyait que, sauf à démontrer qu'ils n'ont commis aucune faute intentionnelle ou négligence, les prestataires de services de certification électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés est abrogé.

Comme rappelé supra, cet article 33 prévoyait un régime de responsabilité civile des prestataires de services de certification électronique.

Les principes énoncés dans cet article étaient devenus obsolètes et en partie incohérents avec les dispositions prévues à l'article 13 du règlement européen 910/2014 dit « eIDAS ».

En effet, l'article 33 de la loi n° 2004-575 prévoyait que « Sauf à démontrer qu'ils n'ont commis aucune faute intentionnelle ou négligence, les prestataires de services de certification électronique sont responsables du préjudice causé aux personnes qui se sont fiées raisonnablement aux certificats présentés par eux comme qualifiés [...] ».

Le règlement eIDAS, quant à lui, prévoit à son article 13 un régime général de responsabilité du prestataire de service de confiance, que ce dernier soit qualifié ou non : « Sans préjudice du paragraphe 2, les prestataires de services de confiance sont responsables des dommages causés intentionnellement ou par négligence à toute personne physique ou morale en raison d'un manquement aux obligations prévues par le [règlement eIDAS] ».

L'abrogation de l'article 33 constitue donc une mesure de simplification et de clarification juridique.

3) Sanctions pénales en cas de non-respect des dispositions de l'article 30 relatives à l'utilisation, à la fourniture, au transfert, à l'importation et à l'exportation de moyens de cryptologie

Le I de l'article 35 de la loi n°2004-575 est réécrit par le présent article 38 pour prévoir que sans préjudice de l'application du code des douanes, le fait de ne pas satisfaire à l'obligation prévue à l'article 30 de la même loi en cas de fourniture, de transfert depuis ou vers un État membre de l'Union européenne, d'importation ou d'exportation d'un moyen de cryptologie est puni d'un an d'emprisonnement et de 15 000 euros d'amende.

L'absence de respect de l'obligation de communication au Premier ministre prévue à l'article 30 n'est donc plus sanctionnée.

De même, la sanction qui était prévue en cas d'exportation d'un moyen de cryptologie ou son transfert vers un État membre de l'Union européenne sans avoir préalablement obtenu l'autorisation mentionnée à l'article 30 ou en dehors des conditions de cette autorisation, lorsqu'une telle autorisation est exigée, disparaît. Cette sanction était de deux ans d'emprisonnement et de 30 000 euros d'amende.

III. La position de la commission - une mesure de simplification bienvenue pour éviter un dispositif de double autorisation à l'export inutile

Le régime d'autorisation préalable à l'exportation de moyens de cryptologie prévu par la loi n° 2004-575 pour la confiance dans l'économie numérique actuellement en vigueur poursuit le même objectif que le régime d'autorisation préalable à l'exportation des biens à double usages (BDU) prévu par le règlement 2021/821.

Il en résulte, pour les entreprises qui exportent des biens à double usage (BDU) contenant des moyens de cryptologie, une double procédure d'autorisation alors qu'il s'agit d'une même opération d'exportation.

Cette situation génère beaucoup d'incompréhension de la part des entreprises concernées, car elles sont pénalisées par ce surcroît de formalités administratives qui rallonge les délais en amont de la commercialisation de leur produits et nuit à leur compétitivité vis-à-vis de leurs concurrents étrangers.

En ce qui concerne l'Anssi, le traitement des demandes d'autorisation d'exportation prévues par la loi n° 2004-575 pour la confiance dans l'économie numérique, qui vient s'ajouter aux demandes d'autorisation d'exportation de biens à double usage (BDU), constitue une charge aussi chronophage que peu utile.

De fait, ce sont aujourd'hui trois équivalents temps plein (ETP) qui doivent traiter cinq cent demandes d'autorisation d'exportation de moyens de cryptographie par an, les fonctions de cryptographie étant aujourd'hui présentes dans de nombreux produits.

Or, ainsi que cela a été précisé par l'Anssi à votre rapporteur, au cours des cinq dernières années, aucun refus n'a été délivré en réponse à une demande d'autorisation d'exportation déposée en application de la loi n° 2004-575 précitée, ce qui tend à montrer que, dans les faits, ce dispositif n'a pas lieu d'être.

La transformation de ce régime d'autorisation en régime déclaratif constitue donc une mesure de simplification bienvenue, à même de contribuer à l'amélioration de la compétitivité des entreprises qui exportent des moyens de cryptographie ou des produits qui en contiennent, grâce à un allègement des procédures administratives et à un raccourcissement des délais, et de libérer l'Anssi de ce travail, pour redéployer ses ressources vers ses nombreuses autres missions.

La suppression des sanctions prévues en cas de défaut d'obtention d'autorisation apparaît pleinement cohérente avec la suppression du régime d'autorisation lui-même.

La commission a adopté cet article sans modification.

Article 39
Abrogation de la transposition de la directive NIS 1 et simplification du cadre réglementaire

I. La situation actuelle - plusieurs textes portant sur la cybersécurité, et en particulier les dispositions législatives de transposition de la directive NIS 1, doivent être supprimés ou modifiés pour tenir compte de la transposition de la directive NIS 2

Dans le contexte de la transposition de la directive NIS 2 assuré par le présent projet de loi, de nombreuses dispositions législatives deviennent caduques et doivent par conséquent être abrogées.

I) Le titre I^er de la loi n° 2018-133 du 26 février 2018 assure la transposition en droit français de la directive NIS 1

Le titre I^er, soit les articles 1 à 15, de la loi n° 2018-133 du 26 février 2018 transpose en droit national les dispositions de la directive n° 2016/1148 du 6 juillet 2016 dite NIS 1, dont l'objectif majeur était d'assurer un niveau de sécurité élevé et commun pour les réseaux et les systèmes d'information de l'Union européenne.

Prenant pour modèle le volet cyber du dispositif national de sécurité des activités d'importance vitale (SAIV) prévu par le code de la défense, cette loi prévoit la désignation d'opérateurs de services essentiels (OSE).

Ces OSE sont désignés par le Premier ministre au regard de leurs activités, qui s'inscrivent dans un secteur défini dans la transposition nationale et reprenant au minimum ceux listés dans la directive NIS 1.

Ces OSE sont tenus de déclarer à l'Agence nationale de sécurité des systèmes d'information (Anssi) leurs systèmes d'information essentiels (SIE) répondant à des critères définis au niveau réglementaire et sur lesquels ces opérateurs doivent appliquer des mesures de sécurité.

Les mesures de sécurité définies dans le cadre de NIS 1 reprennent celles définies dans le cadre du volet cyber du dispositif SAIV et dont les exigences ont été allégées pour tenir compte des enjeux visés par la directive et de la maturité des OSE.

Cette loi vise également les fournisseurs de services numériques qui couvrent les services d'informatique en nuage (opérateurs de cloud), les places de marché en ligne et les moteurs de recherche.

II) L'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives

L'ordonnance n° 2005-1516 du 8 décembre 2005 introduit le référentiel général de sécurité (RGS) qui impose aux autorités administratives la mise en oeuvre de mesures de sécurité visant à limiter la fraude liée à l'usage des services numériques de ces administrations pour échanger avec leurs usagers ou d'autres administrations (par exemple : l'identification électronique, la signature ou le cachet électronique, l'horodatage électronique)^76(*).

Trois types d'acteurs sont concernés par le RGS :

- L'autorité administrative qui se voit imposer des obligations dans ces échanges par voie électronique avec ses usagers ou d'autres autorités administratives ;

- Les prestataires de services de confiance ou des fournisseurs qui peuvent, sur la base du volontariat, qualifier leurs produits de sécurité ou leurs services de confiance en vue de les proposer aux autorités administratives pour faciliter leur mise en conformité aux obligations ;

- Les organismes délivrant des décisions de qualification des prestataires de services de confiance.

Le RGS s'applique aux seuls systèmes d'information mis en oeuvre par les autorités administratives et qui supportent des échanges par voie électronique entre ces autorités administratives et leurs usagers ou entre autorités administratives elles-mêmes (par exemple : impots.gouv.fr ou le site internet d'une collectivité territoriale permettant à un administré de payer les frais de cantine).

Lorsqu'une autorité administrative recourt à des produits de sécurité ou à des prestataires de services de confiance ayant fait l'objet d'une qualification, cette administration peut se prévaloir d'une présomption de conformité aux exigences du RGS.

III) Les dispositions du code des postes et des communications électroniques portant sur les opérateurs de communication électronique et sur les offices d'enregistrement

Plusieurs dispositifs du code des postes et des communications électroniques (CPCE) sont directement concernés par les articles du titre II du présent projet de loi, raison pour laquelle l'article 39 leur apporte les modifications qui seront exposées infra.

En premier lieu, l'article L. 33-1 du code des postes et des communications électroniques prévoit que l'établissement et l'exploitation des réseaux ouverts au public et la fourniture au public de services de communications électroniques sont libres sous réserve du respect de règles portant notamment sur les conditions de permanence, de qualité, de disponibilité, de sécurité et d'intégrité du réseau et du service qui incluent des obligations de notification à l'autorité compétente des incidents de sécurité ayant eu un impact significatif sur leur fonctionnement.

En deuxième lieu, les articles L. 45 et suivants portent sur l'attribution et la gestion des noms de domaine et sur les offices d'enregistrement, sujets traités par les articles 18 à 22 du projet de loi.

II. Le dispositif envisagé - l'abrogation ou la modification de plusieurs textes portant sur la cybersécurité

1) Suppression des références à la loi n° 2018-133 transposant la directive NIS 1 dans le code de la défense

Le titre I^er de la loi n° 2018-133 transposant la directive NIS 1 étant abrogé par le III du présent article 39 du projet de loi, le I dudit article 39 procède au remplacement de la référence « loi n° 2028-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité » par les mots « loi n°.... du .... relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité ».

Cette évolution est directement liée au fait que les OIV et les OSE mentionné aux L. 2321-2-1 et L. 2321-3 du code de la défense sont remplacés par la notion d'entité « essentielle » prévue par la transposition de la directive NIS 2.

2) La modification des dispositions du code des postes et des communications électroniques portant sur les opérateurs de communication électronique et sur les offices d'enregistrement

Le II de l'article 39 apporte des modifications à plusieurs articles du code des postes et des communications électroniques (CPCE) relatifs aux modalités d'enregistrement des noms de domaine de premier niveau.

Le 1° remplace la mention de la déclaration des incidents prévue à l'article L. 33-1 par un r) faisant référence au présent projet de loi. L'objectif est ainsi de supprimer, au sein du CPCE, les dispositions spéciales concernant la cybersécurité en matière de communications électroniques afin de les intégrer dans le droit général prévu par le présent projet de loi.

La modification de l'article L. 33-1 du CPCE rend ainsi applicable, en droit interne, aux opérateurs de télécommunication, l'ensemble des dispositions prévues par le projet de loi. Il est précisé que ces dispositions sont applicables en Polynésie française, dans les îles Wallis et Futuna et en Nouvelle-Calédonie.

Le 2° du II de l'article 39 précise à l'article L. 45 du CPCE que chaque office d'enregistrement est responsable du fonctionnement technique du domaine de premier niveau qui lui est attribué, incluant notamment l'exploitation de ses serveurs de noms de domaine, la maintenance de ses bases de données d'enregistrement et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms de domaine, qu'il effectue ces opérations lui-même ou qu'elles soient sous traitées.

Le 3° apporte une précision rédactionnelle à l'article L.45-3 du CPCE.

Le 4° ajoute des références aux agents agissant pour le compte des bureaux d'enregistrement à l'article L. 45-4 du CPCE et prévoit qu'un décret en Conseil d'État vient préciser les catégories auxquelles appartiennent lesdits agents.

Le 5° modifie l'article L. 45-5 du CPCE pour prévoir que les offices d'enregistrement, par l'intermédiaire des bureaux d'enregistrement ainsi que des agents agissant pour le compte de ces derniers, collectent les données nécessaires à l'enregistrement des noms de domaine, notamment celles relatives à l'identification des personnes physiques ou morales titulaires de ces noms de domaine et des personnes chargées de leur gestion. Après leur enregistrement, et sans retard injustifié, les offices et les bureaux d'enregistrement rendent publiques, au moins quotidiennement, ces données dès lors qu'elles n'ont pas de caractère personnel. Ils tiennent ces bases de données à jour, en maintenant les données exactes et complètes, sans redondance de collecte, et sont responsables du traitement de ces données dans le respect de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Le 5° prévoit également que les offices et les bureaux d'enregistrement répondent aux demandes d'accès aux données d'enregistrement dans un délai n'excédant pas soixante-douze heures après réception de la demande. Il précise que la liste des données d'enregistrement devant être collectée est fixée par décret en Conseil d'État.

3) L'abrogation du titre I^er de la loi n° 2018-133 transposant la directive NIS 1

L'article 44 de la directive 2022/2555 dite NIS 2 vient abroger les dispositions de la directive (UE) 2016/1148 dite NIS 1.

En conséquence, le III de l'article 39 du projet de loi prévoit l'abrogation du titre I^er de la loi n° 2018-133 transposant la directive NIS 1.

L'abrogation de ce titre constitue donc la traduction logique de la disparition de la directive qu'il avait transposé en droit français.

4) Abrogation de plusieurs articles de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives

Le IV de l'article 39 procède à l'abrogation de plusieurs articles de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, qui, comme rappelé supra, avait introduit le référentiel général de sécurité (RGS) qui impose aux autorités administratives la mise en oeuvre de mesures de sécurité visant à limiter la fraude liée à l'usage des services numériques de ces administrations pour échanger avec leurs usagers ou d'autres administrations.

Dans un souci de simplification et d'harmonisation des exigences applicables, seules les administrations qui seront assujetties à la transposition nationale de la directive NIS 2 seront par ailleurs assujetties au RGS.

Le RGS conservera son périmètre technique actuel, à savoir les systèmes d'information que les administrations mettent en oeuvre et qui supportent des échanges par voie électronique entre ces administrations et leurs usagers ou entre administrations elles-mêmes.

Les dispositions de l'article 9 de l'ordonnance n° 2005-1516 définissant les obligations pour les autorités administratives sont abrogées car désormais portées par les dispositions de l'article 14 du projet de loi.

En supprimant le raccrochement du RGS à l'article 9 de l'ordonnance n° 2005-1516 et en le couvrant via les dispositions du troisième alinéa de l'article 16 du projet de loi, les dispositions du IV de l'article 39 du projet de loi permettent de :

- Modifier le champ d'application du RGS pour ne couvrir que les administrations visées par la transposition de la directive NIS 2.

- Définir des mesures de sécurité spécifiques, pour les systèmes d'information supportant des échanges par voie électronique entre l'administration mettant en oeuvre un tel système et les usagers de ce système d'information ou d'autres administrations, visant à limiter la fraude liée à l'usage de ces systèmes d'information.

Les dispositions de l'article 12 de l'ordonnance n° 2005-1516 relatives au référencement des produits de sécurité et prestataires de services de confiance qualifiés sont abrogées car abandonnées.

Un impact économique positif bénéficiera aux prestataires de services de confiance dont la qualification au titre du règlement eIDAS leur permettra d'être conforme aux exigences du RGS, les dispensant ainsi de s'engager dans un second processus de qualification au titre du RGS long et onéreux.

Les dispositions du I de l'article 14 de l'ordonnance n° 2005-1516 relatives au délai de mise en conformité au RGS sont abrogées.

Les définitions des notions utilisées dans les articles abrogés mentionnés précédemment, à savoir celles au 2° et 3° du II de l'article 1er de l'ordonnance n° 2005-1516 sont également abrogées.

III. La position de la commission - des abrogations et de modifications de textes qui permettent de simplifier le droit et de prendre en compte les modifications apportées par le titre II du présent projet de loi

Le présent article 39 porte des mesures destinées à adapter plusieurs textes pour tenir compte des dispositions adoptées au titre II du projet de loi pour transposer la directive NIS 2.

C'est bien sûr le cas de l'abrogation du titre I^er de la loi n° 2018-133 transposant la directive NIS 1 qui n'avait plus lieu d'être une fois la directive NIS 2 transposée.

Mais c'est également le cas des articles L. 45 et suivants du code des postes et des communications électroniques (CPCE) qui devaient être modifiés pour tenir compte des dispositions des articles 18 à 22 du projet de loi sur les offices et bureaux d'enregistrement ou de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, qu'il fallait revoir en particulier pour concilier le champ d'application du Règlement général de sécurité (RGS) et celui de NIS 2, de sorte que les administrations ne soient pas visées par un double dispositif d'obligations.

Au total, cet article technique n'a donc pas appelé de modifications de fond de la part de la commission spéciale, à l'exception d'un amendement rédactionnel COM 122 du rapporteur Patrick Chaize.

La commission a adopté cet article ainsi modifié.

Article 40
Mesures applicables à l'outre-mer pour les territoires sous spécialité législative

I. La situation actuelle - la loi de transposition de la directive NIS 1 était directement applicable dans les collectivités d'outre-mer régies par le régime de l'identité législative et prévoyait des mesures spécifiques pour les collectivités régies par le régime de spécialité législative

Comme indiqué précédemment, la directive européenne NIS 1 avait été transposée en droit français au moyen de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité.

Les mesures prévues par cette loi étaient directement applicables aux collectivités régies par le régime de l'identité législative, c'est-à-dire le département de Guadeloupe, le département de La Réunion, les régions de la Guadeloupe et de La Réunion, les collectivités de la Guyane, de la Martinique et de Mayotte, mais également Saint-Barthélemy, Saint-Pierre-et-Miquelon et Saint-Martin.

Il avait fallu en revanche adopter des mesures spécifiques pour les collectivités régies par le régime de spécialité législative, pour lesquelles seules les dispositions législatives qui comportent une mention expresse à cette fin sont applicables dans ces territoires, à savoir les îles Wallis-et-Futuna, la Polynésie française, la Nouvelle-Calédonie et les Terres australes et antarctiques françaises.

II. Le dispositif envisagé - des dispositions destinées à prévoir l'application du titre II du présent projet de loi aux collectivités d'outre-mer régies par le régime de spécialité législative

Alors que les territoires d'outre-mer sont de plus en plus connectés et confrontés à des cyber menaces, les articles du titre II du présent projet de loi assurant la transposition de la directive NIS 2 sont applicables de plein droit, sans aucune adaptation, aux collectivités régies par le régime de l'identité législative, c'est-à-dire le département de Guadeloupe, le département de La Réunion, les régions de la Guadeloupe et de La Réunion, les collectivités de la Guyane, de la Martinique et de Mayotte, mais également Saint-Martin car ces collectivités font toutes parties du territoire de l'Union européenne.

En vertu du régime de spécialité législative, le I du présent article 40 dispose expressément que le titre II du présent projet de loi, à l'exception de son article 13, est applicable dans les îles Wallis-et-Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, sous réserve des adaptations suivantes :

- en l'absence d'adaptation, les références faites, par des dispositions du titre II applicables en Polynésie française et en Nouvelle-Calédonie, à des dispositions qui n'y sont pas applicables sont remplacées par les références aux dispositions ayant le même objet applicable localement ;

- dans les îles Wallis-et-Futuna, en Polynésie française et en Nouvelle-Calédonie, les sanctions pécuniaires encourues en vertu du titre II du présent projet de loi sont prononcées en monnaie locale, compte tenu de la contre-valeur de l'euro dans cette monnaie.

Le II de l'article 40 prévoit également que l'article 13 du présent projet de loi n'est pas applicable à Saint-Barthélemy et à Saint-Pierre-et-Miquelon. De fait, l'article 13 du projet de loi, en ce qu'il renvoie à des textes sectoriels non visés explicitement (existants ou à venir) ne peut être applicable aux pays et territoires d'outre-mer (PTOM) conformément aux principes d'identité et spécialité législative selon les collectivités et territoires.

C'est également afin de respecter l'inapplicabilité du droit de l'UE dans ces territoires qu'il a été fait le choix de rendre applicables dans ces territoires les dispositions du titre II du projet de loi « en tant que droit national faisant référence au droit dérivé ». Le III de l'article 40 prévoit ainsi que pour l'application du titre II à Saint-Barthélemy, Saint-Pierre-et-Miquelon, dans les îles Wallis-et-Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, les références à la directive NIS 2 et à d'autres textes européens sont remplacées par la référence aux règles en vigueur en métropole en vertu de la même directive et des mêmes règlements.

Au total, en matière de périmètre d'application, l'article 40 du projet de loi prévoit donc une application sans restriction des éléments prescriptifs de la directive NIS 2 relatifs à la définition des entités concernées, aux critères et seuils, aux secteurs, sous-secteurs et types d'entité dans toutes les collectivités d'outre-mer.

Les dispositions des paragraphes IV à VI visent à coordonner les textes et à assurer la cohérence outre-mer pour les textes respectifs suivants :

- la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ;

- l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives ;

- la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité.

III. La position de la commission - les entités des territoires ultra-marins doivent se voir appliquées les mêmes obligations en matière de cybersécurité que celles de l'hexagone, eu égard au niveau de menace cyber qui pèse également sur elles

Les territoires d'outre-mer disposent d'un tissu économique et de collectivités territoriales de plus en plus numérisés et connectés.

L'isolement de ces territoires, pour la plupart insulaires, et l'éloignement de l'hexagone se traduisent par l'existence d'entités « essentielles » et « importantes » dans tous les secteurs « hautement critiques » et « critiques » listés aux annexes I et II de la directive NIS 2 (énergie, transports, etc.).

Ces entités sont en moyenne de taille plus réduite que dans l'hexagone et sont souvent en situation de monopole, ce qui est source de vulnérabilité pour l'économie et les sociétés des territoires ultra-marins.

Il est donc essentiel que les dispositions législatives transposant NIS 2 leur soient pleinement appliqués afin d'élever leur niveau de cybersécurité au même niveau que celui applicable aux entités hexagonales.

La commission spéciale a toutefois adopté un amendement COM 123 du rapporteur Patrick Chaize visant à clarifier l'applicabilité en Nouvelle-Calédonie et en Polynésie française des modifications du code des postes et des communications électroniques (CPCE) en matière de noms de domaine prévues au présent article 39.

La rédaction initialement proposée rend de fait applicable l'ensemble du titre II à la Nouvelle-Calédonie et à la Polynésie française ce qui inclue les modifications du CPCE prévues à l'article 39. Or la gestion des noms de domaine locaux (.pf, .nc) relève des compétences propres de ces deux collectivités et les articles modifiés du CPCE ne trouvent pas à s'y appliquer.

L'amendement adopté par la commission spéciale précise donc que le titre II s'applique en Nouvelle Calédonie et en Polynésie française à l'exception des modifications des articles L45 et suivants du CPCE prévues par l'article 39 du projet de loi.

De cette écriture résulte donc l'applicabilité suivante :

- le présent projet de loi, et notamment la section III du chapitre II relative aux noms de domaine, s'applique dans l'ensemble des collectivités d'outre-mer ;

- les mesures de coordination avec le CPCE prévues à l'article 39 s'appliquent pour les îles Wallis et Futuna ainsi que pour les Terres australes et antarctiques françaises mais ne s'appliquent pas en Nouvelle-Calédonie et en Polynésie française.

Ces dernières ne sont donc soumises qu'aux obligations du présent projet de loi et de leurs codes respectifs pour ce qui concerne la gestion de noms de domaine locaux. 

La commission a adopté cet article ainsi modifié.

CHAPITRE V
« Dispositions relatives aux communications électroniques »

CHAPITRE V
DISPOSITIONS RELATIVES AUX COMMUNICATIONS ÉLECTRONIQUES

Article 41
Renforcement des sanctions pénales pour améliorer la lutte contre les brouillages

I. La situation actuelle - un niveau de sanction faible pour les activités prohibées susceptibles de brouiller les émissions hertziennes

1) Les principales activités susceptibles de brouiller les émissions hertziennes sont aujourd'hui punies de six mois d'emprisonnement et de 30 000 euros d'amende

La transmission hertzienne, c'est-à-dire sur des liaisons sans fil (réseaux de téléphonie mobile, réseaux professionnels privés, WIFI, etc.) de données ou de la voix joue aujourd'hui un rôle essentiel dans la vie institutionnelle, économique et sociale de notre pays, et des secteurs majeurs d'activité en sont dépendants pour assurer leur bon fonctionnement.

L'étude d'impact du projet de loi cite à titre d'exemples particulièrement éclairants la couverture mobile des territoires, la connectivité des zones reculées, les services de surveillance à domicile de personnes âgées, les terminaux de paiement par carte, les appels d'urgence sur téléphone mobile ou bien encore le fonctionnement des radars de prévisions météorologiques.

En raison de l'importance cruciale de ces transmissions hertzienne, l'utilisation dans des conditions non conforme d'un appareil électrique, radioélectrique ou électronique ou d'une fréquence radioélectrique ou l'utilisation délibérée d'un brouilleur d'ondes peut, en perturbant des émissions hertziennes, compromettre le fonctionnement de tous les services utilisant les bandes de fréquences concernées pour la transmission et la réception d'informations ou la communication vocale.

La lutte contre ces perturbations ou brouillages constitue dès lors un impératif pour assurer le bon fonctionnement des services de communication par radiofréquences, tels que la téléphonie et l'Internet mobiles, les services de communication utilisés par les services de défense nationale et les forces de sécurité et de secours, les communications des pilotes d'avion, les alertes de détresse pour l'aviation et le transport maritime, la réception de données de synchronisation et de temps via le GPS ou Galileo^77(*), ainsi que des activités recourant à des communications ou à des échanges de données par voie hertzienne, tels que les services de transport, la météorologie, les objets connectés, l'industrie 4.0, les infrastructures connectées et les territoires intelligents.

Afin de dissuader les auteurs de brouillage, intentionnels ou non intentionnels, l'article L. 39-1 du code des postes et des communications électroniques dispose que sont punis de six mois d'emprisonnement et de 30 000 euros d'amende les faits ci-dessous.

En premier lieu, le fait de maintenir un réseau indépendant en violation d'une décision de suspension ou de retrait du droit d'établir un tel réseau.

En deuxième lieu, le fait de perturber, en utilisant une fréquence, un équipement ou une installation radioélectrique les émissions hertziennes d'un service autorisé.

Ce type de perturbation est illégale lorsque l'utilisation d'une fréquence, d'un équipement ou d'une installation radioélectrique se fait :

- dans des conditions non conformes aux dispositions de l'article L. 34-9 du même code des postes et des communications électroniques, lequel prévoit que les équipement radioélectriques, y compris ceux destinés à être connectés à un réseau ouvert au public, doivent faire l'objet d'une évaluation de conformité aux exigences essentielles qui leur sont applicables et doivent être à tout moment conformes à celles-ci. C'est l'Agence nationale des fréquences (ANFR) qui constitue l'autorité de contrôle pour la surveillance du marché des équipements radioélectriques ;

- ou sans posséder l'autorisation (ou en dehors des conditions de ladite autorisation lorsque celle-ci est requise) prévue à l'article L. 41-1 du même code délivrée par l'ANFR, lequel prévoit que l'utilisation de fréquences radioélectriques en vue d'assurer soit l'émission, soit à la fois l'émission et la réception de signaux, peut être soumise à autorisation administrative de l'ANFR lorsque cela est nécessaire pour éviter les brouillages préjudiciables, assurer la qualité technique du service, préserver l'efficacité de l'utilisation des fréquences radioélectriques ou pour réaliser un objectif d'intérêt général. L'ANFR est en charge du contrôle de cette disposition ;

- ou en dehors des conditions réglementaires générales prévues à l'article L. 33-3 du même code, lequel prévoit que sous réserve de leur conformité aux dispositions du code des postes et des communications électroniques, les installations radioélectriques n'utilisant pas des fréquences spécifiquement assignées à leur utilisateur sont établies librement, donc ne nécessitent pas d'autorisation individuelle. Là encore, c'est l'ANFR qui assure le contrôle de cette disposition.

- ou sans posséder le certificat d'opérateur prévu à l'article L. 42-4 du même code, lequel dispose que le ministre chargé des communications électroniques détermine par arrêté les catégories d'installations radioélectriques d'émission pour la manoeuvre desquelles la possession d'un certificat d'opérateur est obligatoire et les conditions d'obtention de ce certificat.

Ces dispositions sont sans préjudice de l'application de l'article 78 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, qui prévoit des amendes de 75 000 euros pour le dirigeant de droit ou de fait d'un service de communication audiovisuelle ayant émis ou fait émettre sans disposer des autorisations requises.

En troisième lieu, l'article L. 39-1 du code des postes et des communications électroniques dispose que sont punis de six mois d'emprisonnement et de 30 000 euros d'amende le fait de perturber, en utilisant un appareil, un équipement ou une installation, dans des conditions non conformes aux dispositions applicables en matière de compatibilité électromagnétique des équipements électriques et électroniques fixées dans le code de la consommation, les émissions hertziennes d'un service autorisé.

Là encore, ces dispositions sont sans préjudice de l'application de l'article 78 de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication, qui prévoit des amendes de 75 000 euros pour le dirigeant de droit ou de fait d'un service de communication audiovisuelle ayant émis ou fait émettre sans disposer des autorisations requises.

En quatrième lieu, l'article L. 39-1 du code des postes et des communications électroniques dispose que sont punis de six mois d'emprisonnement et de 30 000 euros d'amende le fait d'utiliser une fréquence, un équipement ou une installation radioélectrique dans des conditions non conformes aux dispositions de l'article L. 34-9 ou sans posséder l'autorisation prévue à l'article L. 41-1 ou en dehors des conditions de ladite autorisation lorsque celle-ci est requise ou sans posséder le certificat d'opérateur prévu à l'article L. 42-4 ou en dehors des conditions réglementaires générales prévues à l'article L. 33-3 ou sans l'accord mentionné au I de l'article L. 43, c'est-à-dire l'accord que peut donner l'Agence nationale des fréquences (ANFR) pour l'exploitation d'une station radioélectrique.

Enfin, l'article L. 39-1 du code des postes et des communications électroniques dispose que sont punis de six mois d'emprisonnement et de 30 000 euros d'amende le fait d'avoir pratiqué l'une des activités prohibées par le I de l'article L. 33-3-1, à savoir l'importation, la publicité, la cession à titre gratuit ou onéreux, la mise en circulation, l'installation, la détention et l'utilisation de tout dispositif destiné à rendre inopérants des appareils de communications électroniques de tous types, tant pour l'émission que pour la réception, en dehors des cas et conditions prévus au II de cet article, c'est-à-dire pour les besoins de l'ordre public, de la défense et de la sécurité nationale, ou du service public de la justice.

2) Un nombre de cas de brouillages et une gravité en augmentation

Ces dernières années, le nombre de cas de brouillage (perturbations d'un service autorisé) sont en augmentation, puisqu'entre 1 400 et 1 800 cas par an sont signalés à l'ANFR.

En outre, l'ANFR signale que ces brouillages peuvent avoir des conséquences de plus en plus graves en raison de l'évolution des technologies hertziennes (introduction de la 5G en matière de téléphonie et d'internet), de la densification des usages dans des bandes de fréquences en partage avec d'autres services (WIFI 6), d'une dépendance croissante à la bonne réception du GPS, du développement des objets et capteurs connectés et de l'industrie 4.0 et de l'intensité de la présence d'équipements radioélectriques, électriques et électroniques.

Les brouillages accidentels sont ceux causés par la victime elle-même, du fait d'un défaut d'ingénierie de l'installation perturbée (30 à 40 cas par an). On peut aussi considérer comme accidentelles des saturations de bandes libres comme le WiFi, lorsque trop d'utilisateurs sont actifs en même temps. Ces brouillages fréquents sont rarement déclarés à l'ANFR (moins de 5 cas par an) car ce phénomène est la contrepartie de l'accès libre à ces bandes.

Tous les autres brouillages traités par l'ANFR correspondent aux cas énumérés dans l'article L. 39-1 du code des postes et des communications électroniques (CPCE). Ils sont considérés comme intentionnels et réprimés comme tels, car ils découlent soit de l'utilisation d'une fréquence, d'un équipement ou d'une installation radioélectrique en dehors des conditions légales ou réglementaires, soit de la mise en oeuvre d'un appareil non conforme.

3) L'utilisation croissante de brouilleurs et de systèmes de leurrage

Toutefois, le sujet le plus préoccupant est bien sûr l'utilisation délibérée de brouilleurs alors que la loi française prévoit leur interdiction générale : leur importation, la publicité en leur faveur, leur cession à titre gratuit ou onéreux, leur mise en circulation, leur installation, leur détention et leur utilisation est explicitement prohibée.

Malgré cette interdiction, de plus en plus de brouilleurs sont en circulation sur le territoire national.

Ces outils sont particulièrement dangereux car leurs effets sont souvent beaucoup plus puissants que ne l'imaginent leurs utilisateurs. Ainsi, par exemple, un brouilleur de GPS utilisé par un employé qui veut empêcher la géolocalisation de son véhicule par son employeur peut perturber des avions volant à 2 000 mètres d'altitude.

Or, dans le domaine de l'aviation, le brouillage du GPS ou de Galileo peut générer des situations à risques lors des phases d'approches à proximité des pistes d'un aéroport, qui nécessitent une grande précision de géolocalisation, surtout en cas de mauvaises conditions météorologiques ou de relief accidenté. Il s'agit là d'un risque majeur pour la sécurité de l'aviation civile ou militaire.

Mais les brouilleurs sont également de plus en plus utilisés par des délinquants pour commettre des infractions et pourraient, utilisés par des terroristes, constituer des outils de guerre électronique.

Outre le brouillage, les outils de leurrage des systèmes de navigation par satellites (GNSS) du GPS ou de Galileo constituent un autre sujet de préoccupation majeur et croissant.

Le leurrage consiste à envoyer de faux signaux sur les bandes GNSS pour tromper les récepteurs GNSS que ce soit en matière d'information de géolocalisation ou d'horaire. Plus insidieux qu'un brouillage, un leurrage est lui aussi susceptible d'avoir des conséquences très dommageables dans les domaines des transports et des réseaux de communication.

3) Un système de sanctions aujourd'hui inefficace

La sanction maximale prévue au L 39-1 actuel du CPCE est de 6 mois d'emprisonnement et 30 000 euros d'amende. Ce quantum est considéré comme faible dans l'échelle des sanctions pénales. De ce fait, les infractions constatées au titre de cet article donnent rarement lieu à des poursuites. 80 % des procès-verbaux d'infraction transmis aux parquets sont classés sans suite. Un sentiment d'impunité en découle et nuit tant à la prévention qu'à la prise de conscience par les auteurs de la nature délictuelle de leurs actes.

En outre, lorsque le tribunal judiciaire est saisi, les peines sont minimes. Par exemple, l'auteur d'un brouillage près de l'aéroport de Nantes qui avait en 2017 perturbé plusieurs avions n'a été condamné à l'issue de son procès qu'à une amende de 1 500 euros.

II. Le dispositif envisagé - un net durcissement du quantum des peines pour les différentes actions entraînant un brouillage des émissions hertziennes, et en particulier pour l'utilisation de brouilleurs ou le recours au leurrage

L'article 42 du présent projet de loi propose une nouvelle rédaction de l'article L. 39-1 du code des postes et des communications électroniques (CPCE).

Il conserve le libellé des infractions pénales telles qu'elles étaient mentionnées dans la version actuelle de l'article L. 39-1 du CPCE mais prévoit un durcissement des sanctions pénales associées à certaines infractions.

1) Une sanction inchangée pour la simple utilisation d'une fréquence, d'un équipement ou d'une installation radioélectrique dans des conditions non conforme

En premier lieu, le I du nouvel article L. 39-1 du code des postes et des communications électroniques (CPCE) prévoit que sera puni de six mois d'emprisonnement et de 30 000 euros d'amende le fait de maintenir un réseau indépendant en violation d'une décision de suspension ou de retrait du droit d'établir un tel réseau ou bien le fait d'utiliser une fréquence, un équipement ou une installation radioélectrique :

- dans des conditions non conformes aux dispositions de l'article L. 34-9 du même CPCE ;

- ou sans posséder l'autorisation (ou en dehors des conditions de ladite autorisation lorsque celle-ci est requise) prévue à l'article L. 41-1 du même code ;

- ou en dehors des conditions réglementaires générales prévues à l'article L. 33-3 du même code ;

- ou sans posséder le certificat d'opérateur prévu à l'article L. 42-4 du même code.

Reste donc soumise à six mois d'emprisonnement et à 30 000 euros d'amende la simple utilisation d'une fréquence, d'un équipement ou d'une installation radioélectrique dans des conditions non conforme, même si cette utilisation n'a pas engendré de perturbation des émissions hertziennes d'un service autorisé.

Une nouvelle infraction est également créée, elle aussi punie de six mois d'emprisonnement et de 30 000 euros d'amende lorsqu'une station radioélectrique ne respecte pas les caractéristiques déclarées lors de la demande d'accord ou d'avis, prévue au I de l'article L. 43 du CPCE, préalable à son implantation.

2) Une sanction durcie en cas de perturbation des émissions hertziennes d'un service autorisé

Le II de la nouvelle rédaction de l'article L. 39-1 prévoit qu'est puni de trois ans d'emprisonnement et de 75 000 euros d'amende le fait de perturber les émissions hertziennes d'un service autorisé en utilisant une fréquence, un équipement ou une installation radioélectrique :

- dans des conditions non conformes aux dispositions de l'article L. 34-9 du même CPCE ;

- ou sans posséder l'autorisation (ou en dehors des conditions de ladite autorisation lorsque celle-ci est requise) prévue à l'article L. 41-1 du même code ;

- ou en dehors des conditions réglementaires générales prévues à l'article L. 33-3 du même code ;

- ou sans posséder le certificat d'opérateur prévu à l'article L. 42-4 du même code.

Ces sanctions plus élevées ciblent les cas où une personne à perturbé les émissions hertziennes d'un service autorisé en utilisant une fréquence, un équipement ou une installation radioélectrique dans des conditions non conformes ou sans avoir les autorisations ou certificats requis.

À la différence de la simple utilisation sanctionnée de six mois d'emprisonnement et de 30 000 euros d'amende, il faut donc qu'une perturbation ait été engendrée par ladite utilisation pour que la sanction puisse s'élever à trois ans d'emprisonnement et 75 000 euros d'amende.

Cette sanction pourra notamment être envisagée pour des usages créant des risques pour la vie humaine.

En outre, le fait que cette sanction atteigne trois ans d'emprisonnement permettra à l'ANFR de solliciter le soutien d'un officier de police judiciaire (OPJ) pour certaines atteintes graves au fonctionnement des fréquences.

En effet, en vertu de l'article 76 du code de procédure pénale, un OPJ ne peut procéder à une perquisition dans le cadre d'une enquête préliminaire, hors flagrance, que si la sanction atteint au moins trois ans d'emprisonnement.

3) Une sanction nettement plus sévère pour les cas les plus graves

Le III de la nouvelle rédaction de l'article L. 39-1 prévoit qu'est puni de cinq ans d'emprisonnement et de 150 000 euros d'amende le fait d'avoir pratiqué l'une des activités prohibées suivantes : l'importation, la publicité, la cession à titre gratuit ou onéreux, la mise en circulation, l'installation, la détention et l'utilisation de tout dispositif destiné à rendre inopérants des appareils de communications électroniques de tous types, tant pour l'émission que pour la réception, c'est-à-dire des « brouilleurs ».

Ce quantum maximal permettra donc de sanctionner beaucoup plus sévèrement qu'auparavant les cas de brouillage volontaires voire offensifs, mais également toutes les actions susceptibles d'y contribuer en amont, et notamment toutes celles permettant de se procurer des brouilleurs.

Est également visé par la même sanction de cinq ans d'emprisonnement et de 150 000 euros d'amende le fait d'utiliser, sans l'autorisation prévue au premier alinéa de l'article L. 41-1 attribuée par l'ANFR, des fréquences attribuées par le Premier ministre pour les besoins de la défense nationale et de la sécurité publique ou d'utiliser une installation radioélectrique, en vue d'assurer la réception de signaux transmis sur ces mêmes fréquences, sans l'autorisation administrative prévue au deuxième alinéa de l'article L. 41-1 et également attribuée par l'ANFR.

III. La position de la commission - un durcissement du quantum de peine qui était indispensable, en particulier pour lutter contre l'utilisation des brouilleurs et des outils de leurrage

La commission spéciale a accueilli très favorablement les dispositions du présent article 41 visant à durcir fortement le quantum des peines pour réprimer plus sévèrement la perturbation des émissions hertziennes.

De fait, celles-ci sont aujourd'hui essentielles dans de multiples dimensions de la vie économique et sociale et leur perturbation peut avoir des conséquences très graves, et notamment mettre des vies en danger.

Le cas de l'aviation civile, qui peut voir les informations que reçoivent les pilotes altérées, remettant ainsi en cause la sécurité des vols, est à cet égard particulièrement emblématique du type de risques sévères que ces perturbations peuvent engendrées.

Si le maintien des sanctions actuelles pour l'utilisation non conforme d'une fréquence ou d'un matériel dès lors qu'aucune perturbation n'a été constatée est acceptable, il était indispensable de punir plus sévèrement les cas où une perturbation des émissions hertziennes d'un service autorisé a été constatée.

Il était surtout inacceptable que l'utilisation délibérée de brouilleurs ou d'outils de leurrage, et toutes les actions permettant de se procurer ces outils prohibés, soit aussi peu sanctionnée alors même qu'ils sont dangereux pour la sécurité des personnes et des biens et doivent être réservés aux forces armées ou aux forces de sécurité intérieure.

La commission spéciale a donc approuvé dans réserve la nécessaire mise au jour de ce quantum de peines, adoptant uniquement un amendement rédactionnel COM 124 du rapporteur Patrick Chaize.

La commission a adopté l'article sans modification.

Article 42
Renforcement des conditions d'accès à une assignation de fréquences déposée par la France auprès de l'Union internationale des télécommunications

I. La situation actuelle - les entreprises font appel à l'ANFR pour obtenir une autorisation d'assignation de fréquence relative à un système satellitaire

Pour transmettre des données (imagerie, télécommunication, etc.) et pouvoir être contrôlés à distance, les systèmes satellitaires orbitaux^78(*) communiquent avec des équipements placés sur Terre grâce à l'émission et à la réception d'ondes radioélectriques qui utilisent des bandes de fréquences spécifiques à chaque satellite.

Les positions orbitales des satellites ainsi que les fréquences associées (ensemble dénommé « filing ») permettant de communiquer entre les satellites géostationnaires et non géostationnaires et les stations terriennes constituent une ressource rare^79(*).

Afin d'en garantir la disponibilité et éviter ainsi les risques de brouillage entre satellites, l'Union Internationale des Télécommunications (UIT), agence de l'ONU spécialisées dans les technologies de l'information et de la communication met en oeuvre un processus - préalable à tout lancement de satellites - de déclaration des fréquences associées.

Le règlement des radiocommunications (RR), révisé par les États membres à chaque Conférence mondiale des radiocommunications, décrit précisément les procédures, y compris la coordination entre États membres, visant à assurer la disponibilité des fréquences et l'absence de brouillage.

En pratique, il revient aux États de déposer auprès de l'Union Internationale des Télécommunications (UIT) une demande d'enregistrement portant à la fois sur une ou plusieurs bandes de fréquences et sur une position orbitale donnée.

En cas de problématique de coexistence, l'utilisateur de la demande d'enregistrement la plus ancienne est prioritaire vis-à-vis des autres utilisateurs, ces derniers devant adapter leurs émissions radioélectriques pour ne pas perturber l'activité du premier

L'article L. 43 du code des postes et des communications électroniques (CPCE) prévoit que l'Agence nationale des fréquences (ANFR) prépare la position française et coordonne l'action de la représentation française dans les négociations internationales dans le domaine des fréquences radioélectriques.

À ce titre, elle est en charge de déposer, au nom de la France, des demandes d'enregistrement auprès de l'UIT.

1) Les règles relatives à une demande d'autorisation d'assignation de fréquence relative à un système satellitaire

L'article L. 97-2 du code des postes et des communications électroniques (CPCE) prévoit que toute demande d'assignation de fréquence relative à un système satellitaire est adressée à l'Agence nationale des fréquences (ANFR).

Sauf si l'assignation demandée n'est pas conforme au tableau national de répartition des bandes de fréquences (TNRBF) ou aux stipulations des instruments de l'Union internationale des télécommunications (UIT), l'ANFR déclare, au nom de la France, l'assignation de fréquence correspondante à l'UIT et engage la procédure d'enregistrement prévue par le règlement des radiocommunications (RR), en en informant l'opérateur.

Lors de son audition par votre rapporteur, l'ANFR lui a expliqué qu'un opérateur peut s'adresser à tout État membre de l'UIT pour une déclaration d'assignations spatiales.

Le choix de la France peut être lié au fait que les procédures de déclaration sont bien connues et suivies par l'ANFR ou que l'ANFR défend efficacement les assignations auprès de l'UIT. Les opérateurs peuvent aussi être sensibles au coût modique de la redevance pour une autorisation d'utilisation d'une assignation spatiale, 20 000 euros, comparé à d'autres pays.

Par ailleurs, la France peut être mieux placée que d'autres pays pour demander des assignations : par exemple, Hispasat, qui souhaitait couvrir l'Amérique Latine, avait sollicité l'ANFR puisque la Guyane donne à la France des droits dans cette région.

L'exploitation d'une assignation de fréquence à un système satellitaire, déclarée par la France à l'UIT, est ensuite soumise à l'autorisation du ministre chargé des communications électroniques, après avis des autorités affectataires des fréquences radioélectriques concernées.

L'octroi de l'autorisation est subordonné à la justification par le demandeur de sa capacité à contrôler l'émission de l'ensemble des stations radioélectriques, y compris les stations terriennes, utilisant l'assignation de fréquence, ainsi qu'au versement à l'ANFR d'une redevance correspondant aux coûts de traitement du dossier déclaré à l'UIT.

L'autorisation d'assignation de fréquence relative à un système satellitaire peut être refusée dans les cas suivants :

- pour la sauvegarde de l'ordre public, les besoins de la défense ou ceux de la sécurité publique ;

- lorsque la demande n'est pas compatible, soit avec les engagements souscrits par la France dans le domaine des radiocommunications, soit avec les utilisations existantes ou prévisibles de bandes de fréquences, soit avec d'autres demandes d'autorisation permettant une meilleure gestion du spectre des fréquences ;

- lorsque la demande a des incidences sur les droits attachés aux assignations de fréquence antérieurement déclarées par la France à l'Union internationale des télécommunications ;

- lorsque le demandeur a fait l'objet d'une des sanctions prévues au III de l'article L. 97-2 ou à l'article L. 97-3.

La France gère actuellement 603 dossiers fréquences satellites à l'UIT, pour les opérateurs gouvernementaux (CNES, Ministère des Armées), les organisations internationales (Agence Spatiale Européenne, Eutelsat OIG, le groupe de pays du système Galileo, et l'Union Européenne pour une partie de la constellation souveraine européenne Iris²), et les opérateurs privés français.

Un dossier fréquences satellite, appelé filing, permet de réserver des fréquences pour une durée maximale de 7 ans. Les filings notifiés et mis en service avant la fin des 7 ans obtiennent une reconnaissance et protection internationale. Un filing peut représenter un satellite unique (géostationnaire ou non-géostationnaire), ou un ensemble cohérent de satellites (constellation).

2) Les obligations auxquelles doit se conformer le titulaire d'une autorisation d'assignation de fréquence relative à un système satellitaire

Le titulaire d'une autorisation doit respecter les spécifications techniques notifiées par la France à l'UIT ainsi que, le cas échéant, les accords de coordination conclus avec d'autres États membres de l'UIT ou avec d'autres exploitants d'assignations de fréquence déclarées par la France à l'UIT, y compris les accords postérieurs à la délivrance de l'autorisation.

Le titulaire doit assurer, de façon permanente, le contrôle de l'émission de l'ensemble des stations radioélectriques, y compris les stations terriennes, utilisant l'assignation de fréquence.

Le titulaire de l'autorisation doit apporter son concours à l'administration pour la mise en oeuvre des dispositions du règlement des radiocommunications (RR).

À la demande du ministre chargé des communications électroniques, le titulaire de l'autorisation doit faire cesser tout brouillage préjudiciable occasionné par le système satellitaire ayant fait l'objet de l'autorisation, dans les cas prévus par le règlement des radiocommunications.

Les obligations que le présent article met à la charge du titulaire de l'autorisation s'appliquent également aux stations radioélectriques faisant l'objet de l'autorisation qui sont détenues, installées ou exploitées par des tiers ou qui sont situées hors de France.

L'autorisation est accordée à titre personnel et ne peut être cédée à un tiers. Elle ne peut faire l'objet d'un transfert qu'après accord de l'autorité administrative.

L'autorisation devient caduque si l'exploitation se révèle incompatible avec les accords de coordination postérieurs à la délivrance de l'autorisation.

3) L'existence d'un dispositif de sanctions

Le III de l'article L. 97-2 prévoit que lorsque le titulaire de l'autorisation prévue au I ne respecte pas les obligations qui lui sont imposées par les textes législatifs ou réglementaires, le ministre chargé des communications électroniques le met en demeure de s'y conformer dans un délai déterminé.

Si le titulaire ne donne pas suite à la mise en demeure qui lui a été adressée, le ministre chargé des communications électroniques peut prononcer à son encontre l'une des sanctions prévues au 2° de l'article L. 36-11. La procédure prévue aux 2° et 5° de l'article L. 36-11 est applicable. Il peut, en outre, décider d'interrompre la procédure engagée par la France auprès de l'UIT.

4) Autres autorisations susceptibles d'être nécessaires

Le IV de l'article 97-2 prévoit que l'obtention de l'autorisation prévue au I ne dispense pas, le cas échéant, des autres autorisations prévues par les lois et règlements en vigueur, notamment de celles concernant la fourniture de services de radio ou de télévision sur le territoire français prévues par la loi n° 86-1067 du 30 septembre 1986 précitée.

5) Cas dans lesquels les dispositions de l'article L. 97-2 ne sont pas applicables

Le V prévoit que les dispositions de l'article L. 97-2 ne sont pas applicables :

- lorsque l'assignation de fréquence est utilisée par une administration pour ses propres besoins dans une bande de fréquences dont elle est affectataire, en application de l'article 21 de la loi n° 86-1067 du 30 septembre 1986 précitée ;

- lorsque la France a agi auprès de l'UIT, en sa qualité d'administration notificatrice, au nom d'un groupe d'États membres de l'Union internationale des télécommunications.

6) Mesures réglementaires d'application

Le VI de l'article L. 97-2 dispose qu'un décret en Conseil d'État précise :

- la procédure selon laquelle les autorisations sont délivrées ou retirées et selon laquelle leur caducité est constatée ;

- la durée et les conditions de modification et de renouvellement de l'autorisation ;

- les conditions de mise en service du système satellitaire ;

- les modalités d'établissement et de recouvrement de la redevance prévue au deuxième alinéa du 2 du I.

II. Le dispositif envisagé - une volonté de conditionner le recours à l'ANFR à un véritable intérêt pour l'économie française et à une absence de compromission de la sécurité nationale

De plus en plus d'opérateurs veulent déployer des constellations en orbite basse et souhaitent obtenir, pour garantir la qualité de leur service, la possibilité d'exploiter des bandes de fréquences sans risques de brouillage.

Dans ce contexte, ces opérateurs cherchent à déterminer l'État qui sera le plus en mesure de leur obtenir auprès de l'UIT une autorisation d'exploitation d'assignation permettant d'éviter ces risques de brouillage, en défendant les droits dudit opérateurs vis à vis des autres utilisateurs du spectre au sein de l'UIT.

Or, l'Agence nationale des fréquences (ANFR) française, très impliquée dans les travaux de l'UIT, est particulièrement reconnue pour le sérieux des analyses techniques qu'elle produit, notamment en ce qui concerne les conditions de coexistence entre systèmes satellitaires.

En conséquence, de nombreux acteurs internationaux font le choix de s'adresser à la France afin de bénéficier d'une autorisation d'exploiter une assignation de fréquence déposée auprès de l'UIT.

Si cette situation témoigne de l'excellence de l'expertise française dans ce domaine, il parait néanmoins indispensable de s'assurer que les acteurs privés qui bénéficient de ce savoir-faire français en matière de gestion des fréquences ne nuisent pas aux intérêts de la sécurité et de la défense nationale et contribuent au développement de l'économie française.

Au-delà de cette nécessité de s'assurer que l'expertise de l'ANFR est toujours utilisée à bon escient, il est essentiel que la France puisse valoriser au mieux son patrimoine en matière de fréquence, qui est le troisième plus important au niveau mondial, en particulier dans les bandes de fréquences Ku, Ka et Qv.

Or cette valorisation demeure insuffisante car la marge de manoeuvre dont dispose l'ANFR en vertu des dispositions actuelles de l'article L.97-2 du code des postes et communications électroniques quant à la décision d'autoriser ou non un acteur à utiliser ces ressources est particulièrement réduite.

L'objet du présent article 42 consiste par conséquent à modifier l'article L. 97-2 dudit code est donc principalement d'étendre la marge de manoeuvre de l'État avant, durant et après le processus d'autorisation.

1) La protection des intérêts économiques et des intérêts de la sécurité nationale

La nouvelle rédaction du 1 du I de l'article L. 97-2 du CPCE prévoit toujours que toute demande d'assignation de fréquence relative à un système satellitaire est adressée à l'Agence nationale des fréquences (ANFR) et que celle-ci déclare, au nom de la France, l'assignation de fréquence correspondante à l'Union internationale des télécommunications (UIT) et engage la procédure prévue par le règlement des radiocommunications (RR).

Si la réserve de la conformité au tableau national de répartition des bandes de fréquences ou aux stipulations des instruments de l'UIT est maintenue, l'article 42 du présent projet de loi ajoute deux autres réserves possibles, susceptibles de ne pas entrainer de déclaration de l'assignation de fréquence par l'ANFR à l'UIT, à savoir :

- l'existence d'un intérêt économique ou d'un intérêt pour la défense nationale justifiant que la déclaration soit effectuée au nom de la France

De fait, l'utilisation des moyens administratifs français doit s'accompagner d'un alignement de l'opérateur sur les intérêts français. Certains opérateurs recherchent en effet la juridiction la plus favorable, sans établir de lien direct avec le pays choisi. Un exemple récent a été donné par l'opérateur ABS qui exploite actuellement des fréquences déclarées par la Fédération de Russie à l'UIT. ABS, pourtant concurrent direct d'Eutelsat, cherche à changer de pavillon et s'est renseigné sur les conditions pour devenir opérateur français.

- que les assignations soumises ne soient pas de nature à compromettre les intérêts de la sécurité nationale et le respect par la France de ses engagements internationaux.

Ce critère existe déjà en France au moment de la délivrance de l'autorisation au 2 du I de l'article 97-2.

Pourtant, chaque fois que cela est possible, il est préférable de vérifier ces critères en amont car il est trop tard au stade de l'autorisation pour modifier les fréquences ou les caractéristiques techniques en cas de problème. Des États, tels que les Etats-Unis ou la Fédération de Russie, procèdent d'ailleurs à cette analyse au début du processus (demande d'assignations de fréquences) plutôt qu'à la fin (demande d'autorisation d'exploitation).

2) La mise en place d'un critère de rattachement juridique à la France et un élargissement des motifs de refus d'autorisation

Au 2 du I de l'article 97-2 relatif aux critères à respecter pour obtenir l'autorisation d'exploiter une assignation de fréquence à un système satellitaire, il est ajouté une nouvelle condition, à savoir que l'autorisation est octroyée à une entité de droit français ou à un établissement immatriculé au registre du commerce et des sociétés en France.

Selon l'ANFR, entendue par votre rapporteur, il s'agit de s'assurer que certains droits sur des assignations françaises stratégiques ne puissent pas passer sous le contrôle de sociétés étrangères grâce aux procédures encadrant les investissements étrangers.

Le problème s'est posé pour les assignations spatiales de OneWeb dont une partie repose sur des droits français bénéficiant d'une priorité règlementaire et qui était détenues par une filiale maltaise de OneWeb. Aucun moyen juridique n'était disponible à l'époque pour éviter un rachat ultérieur de cette filiale par une société non européenne.

Par ailleurs, les sanctions administratives prises par le ministre ne sont pas exécutoires dans les autres États, en l'absence de dispositions européennes sur l'exécution de telles décisions.

Dans la liste des motifs pouvant conduire à un refus de l'autorisation, sont donc rajoutés :

- le respect par la France de ses engagements internationaux ;

- lorsque le demandeur ne peut démontrer qu'un intérêt économique s'attache, pour la France, à l'autorisation ;

- lorsque le demandeur est dans l'incapacité technique ou financière de faire face durablement aux obligations qui sont les siennes une fois l'autorisation obtenue.

Enfin un dernier alinéa est ajouté au I pour prévoir que l'autorisation d'exploiter une assignation de fréquence à un système satellitaire peut être assortie, le cas échéant, de conditions visant à assurer que les activités prévues dans le cadre de l'exploitation de l'assignation autorisée ne porteront pas atteinte aux intérêts de la sécurité et de la défense nationale ou au respect par la France de ses engagements internationaux.

3) Une refonte complète du système de sanctions

Le présent article 42 réécrit ensuite entièrement le second alinéa du III de l'article L. 97-2 pour prévoir un dispositif de sanctions plus efficace.

Il prévoit que lorsque le titulaire de l'autorisation ne se conforme pas, dans les délais fixés, à la mise en demeure qui lui a été adressée, le ministre chargé des communications électroniques peut lui notifier les griefs.

Après que l'intéressé a reçu la notification des giefs et a été mis à même de consulter le dossier et de présenter ses observations écrites, le ministre chargé des communications électroniques procède, avant de prononcer une sanction, à son audition selon une procédure contradictoire.

Le ministre chargé des communications électroniques peut, en outre, entendre toute personne dont l'audition lui paraît utile.

Il peut prononcer, à l'encontre du titulaire de l'autorisation d'exploiter une assignation de fréquence, une des sanctions suivantes :

- la suspension, totale ou partielle, pour un mois au plus, de l'autorisation, la réduction de sa durée, dans la limite d'une année, ou son retrait ;

- une sanction pécuniaire dont le montant est proportionné à la gravité du manquement et aux avantages qui en sont retirés, sans pouvoir excéder 3 % du chiffre d'affaires hors taxes du dernier exercice clos, ou 5 % de celui-ci en cas de nouvelle violation de la même obligation. À défaut d'activité permettant de déterminer ce plafond, le montant de la sanction ne peut excéder 150 000 euros, ou 375 000 euros en cas de nouvelle violation de la même obligation ;

- l'interruption de la procédure engagée par la France auprès de l'Union internationale des télécommunications (UIT).

Lorsque le manquement est constitutif d'une infraction pénale, le montant total des sanctions prononcées ne peut excéder le montant de la sanction encourue le plus élevé.

Lorsque le ministre chargé des communications électroniques a prononcé une sanction pécuniaire devenue définitive avant que le juge pénal ait statué sur les mêmes faits ou des faits connexes, ce dernier peut ordonner que la sanction pécuniaire s'impute sur l'amende qu'il prononce.

Les sanctions pécuniaires sont recouvrées comme les créances de l'État étrangères à l'impôt et au domaine.

Les décisions du ministre chargé des communications électroniques sont motivées et notifiées à l'intéressé. Elles peuvent être rendues publiques dans les publications, journaux ou services de communication au public par voie électronique choisis par lui, dans un format et pour une durée proportionnée à la sanction infligée. Elles peuvent faire l'objet d'un recours de pleine juridiction.

4) Mesures d'application

Le présent article 42 réécrit entièrement le VI de l'article L. 97-2 relatif au décret en Conseil d'État fixant les modalités d'application de cet article.

À toutes les modalités que le décret en Conseil d'État prévu par la version actuelle de l'article L. 97-2 prévoyait, il en rajoute deux autres, à savoir :

- les conditions dans lesquelles l'ANFR déclare, au nom de la France, les assignations de fréquence à l'UIT ;

- les conditions dont les autorisations d'exploitation peuvent être assorties ;

- la durée et les conditions de modification et de renouvellement de l'autorisation ;

- les modalités des procédures de mise en demeure et de sanctions prévues dans la nouvelle rédaction du III.

Il est enfin prévu que les dispositions du présent article 42 s'appliquent à compter de l'entrée en vigueur du décret en Conseil d'État prévu au VI et au plus tard le 31 décembre 2025.

III. La position de la commission - les entreprises doivent être en mesure de faire valoir l'existence d'un intérêt économique ou d'un intérêt pour la défense nationale justifiant qu'une demande d'autorisation d'assignation de fréquence relative à un système satellitaire soit effectuée au nom de la France

Comme rappelé supra, de nombreux acteurs internationaux font le choix de s'adresser à la France afin de bénéficier d'une autorisation d'exploiter une assignation de fréquence déposée auprès de l'UIT, car l'ANFR est très reconnue pour sa capacité à les obtenir.

Si cette situation témoigne de l'excellence de l'expertise française dans ce domaine, il parait néanmoins indispensable de s'assurer que les acteurs privés qui bénéficient de ce savoir-faire français en matière de gestion des fréquences ne nuisent pas aux intérêts de la sécurité et de la défense nationale et contribuent au développement de l'économie française.

Au-delà de cette nécessité de s'assurer que l'expertise de l'ANFR est toujours utilisée à bon escient, il est essentiel que la France puisse valoriser au mieux son patrimoine en matière de fréquence, qui est le troisième plus important au niveau mondial, en particulier dans les bandes de fréquences Ku, Ka et Qv.

C'est pourquoi les évolutions portées par le présent article 42 et visant à accorder plus de marges de manoeuvres à l'ANFR et au ministre chargé des communications électroniques avant, durant et après le processus d'autorisation d'assignation de fréquence relative à un système satellitaire sont particulièrement bienvenues.

Le savoir-faire de l'ANFR doit en effet bénéficier non à des entreprises étrangères sans liens avec la France et uniquement à la recherche de la juridiction la plus favorable à leurs intérêts (pratique dite du « forum shipping »), mais à des entreprises qui sont en mesure de faire valoir l'existence d'un intérêt économique ou d'un intérêt pour la défense nationale justifiant que la déclaration soit effectuée au nom de la France.

Il est en outre primordial que les assignations de fréquence relative à un système satellitaire soumises à l'UIT ne soient pas de nature à compromettre les intérêts de la sécurité nationale et le respect par la France de ses engagements internationaux.

En 2023, l'ANFR a traité 55 demandes de dépôts d'assignations. Elle estime que de l'ordre de trois cas par an seraient susceptibles de faire l'objet d'un contrôle approfondi au titre de ces nouvelles dispositions. Il s'agira donc d'un changement limité en termes quantitatifs, mais qui, dans des cas d'espèce, pourrait revêtir une réelle importance.

La refonte du processus de sanctions ne posant par ailleurs pas de difficultés particulières, la commission spéciale a adopté l'article 42 uniquement avec un amendement rédactionnel COM 125 du rapporteur Patrick Chaize.

La commission a adopté l'article ainsi modifié.

TITRE II
CYBERSÉCURITÉ

CHAPITRE IER
DE L'AUTORITÉ NATIONALE DE SÉCURITÉ DES SYSTÈMES D'INFORMATION

Article 43 A

Désignation de la Banque de France et de l'Autorité de contrôle prudentiel et de résolution comme autorités compétentes dans le cas où une entité financière est assujettie à plusieurs autorités de supervision

I. LE DROIT EXISTANT : L'ARTICLE 19 DU RÈGLEMENT « DORA » PRÉVOIT QUE LES ÉTATS MEMBRES DÉSIGNENT, POUR LES ENTITÉS FINANCIÈRES SOUMISES À LA SURVEILLANCE DE PLUSIEURS AUTORITÉS NATIONALES, UNE SEULE AUTORITÉ POUR RECEVOIR CERTAINES DÉCLARATIONS ET NOTIFICATIONS

L'article 19 du règlement (UE) 2022/2554 du 14 décembre 2022, dit « DORA »^80(*), prévoit que les entités financières déclarent à l'autorité compétente pertinente les incidents majeurs liés aux technologies de l'information et de la communication (TIC). Il dispose également que, lorsqu'une entité financière est soumise à la surveillance de plusieurs autorités, les États membres désignent une seule autorité compétente en tant qu'autorité compétente concernée chargée d'exercer les fonctions et missions prévues à l'article 19.

Ces missions résident dans la réception de notification initiale et de rapports à la suite d'un incident majeur, la réception des notifications à titre volontaire des cybermenaces lorsque les entités estiment que la menace est pertinente pour le système financier, les utilisateurs de services ou les clients, et la communication de détails sur l'incident majeur aux superviseurs de niveau européen.

II. LE DISPOSITIF PROPOSÉ : ÉVITER LE RISQUE DE DOUBLE ASSUJETTISSEMENT ENTRE « DORA » ET « NIS 2 »

Le présent article, résultant d'un amendement déposé par le rapporteur Michel Canévet, a pour objet de répondre à cette exigence prévue par le règlement en désignant la Banque de France et l'Autorité de contrôle prudentiel et de régulation (ACPR) comme seules autorités compétentes pour exercer les fonctions et missions prévues par le règlement « DORA » en matière de déclaration des incidents majeurs liés aux technologies de l'information et de la communication (TIC) et de notification volontaire des cybermenaces importantes, respectivement pour les dépositaires centraux et pour les personnes relevant, dans le secteur de la banque, des services de paiement et des services d'investissement, de la compétence de l'ACPR, à l'exception des entreprises de marché. Il crée pour ce faire un article L. 142-10 au sein du code des marchés financiers, dans la partie relative aux missions de la Banque de France, et un article L. 612-24-1 dans la partie relative à celles de l'ACPR.

La désignation d'un « guichet unique » constitue une mesure de simplification qui, sans préjudice des échanges d'informations entre les services administratifs compétents, réduit la charge administrative des entreprises qui constituent par suite un unique dossier de déclaration ou de notification.

Décision de la commission : la commission a adopté l'article additionnel.

Article 43

Modification de la définition des prestataires de services techniques

I. LE DROIT EXISTANT : LA DÉFINITION DES SERVICES TECHNIQUES À L'APPUI DES SERVICES DE PAIEMENT EST ISSUE DE LA TRANSPOSITION DE LA 2^ÈME DIRECTIVE SUR LES SERVICES DE PAIEMENT (DSP2) DE 2015

L'article L. 314-1 du code monétaire et financier (CMF) définit les services fournis par les prestataires de services techniques pour appuyer la fourniture de services de paiement. Ces prestataires de services techniques sont des acteurs fournissant des services support à l'exécution d'opérations de paiement.

La définition de ces services techniques est issue de la transposition de l'article 3 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite « DSP2 »)^81(*). La DSP2 effectue une distinction entre les services de paiement, limitativement énumérées à son annexe I et dont la fourniture requiert un agrément, et les services techniques, qui ne requièrent pas d'agrément spécifique. La directive précise que les services fournis par les prestataires de services techniques n'entrent « à aucun moment, en possession des fonds à transférer »^82(*).

Le 7° de l'article L. 314-1 du CMF reprend la définition donnée par l'article 3 de la DSP2. Il précise ainsi que les services techniques à l'appui de la fourniture de services de paiement consistent « notamment dans le traitement et l'enregistrement des données, les services de protection de la confiance de la vie privée, l'authentification des données et des entités, les technologies de l'information et la fourniture de réseaux de communication, ainsi que la fourniture et la maintenance des terminaux et dispositifs utilisés aux fins des services de paiement, à l'exception des services d'initiation de paiement et des services d'information sur les comptes ».

II. LE DISPOSITIF PROPOSÉ : LE PROJET DE LOI ACTUALISE LA DÉFINITION DES SERVICES TECHNIQUES À L'APPUI DES SERVICES DE PAIEMENT POUR PERMETTRE LA TRANSPOSITION DE LA DIRECTIVE DORA

L'article 7 (1) de la directive DORA^83(*) modifie la définition des services fournis par les prestataires de services techniques qui figure à l'article 3 de la DSP2. Le paragraphe j) de l'article 3 de la DSP2 est amendé pour y inclure les services de fourniture des « technologies de l'information et de la communication » (TIC), dont les risques sont désormais uniformément couverts par le règlement DORA.

L'article 43 du projet de loi transpose dans le code monétaire et financier l'article 7 (1) de la directive DORA. Le 7° de l'article L. 314-1 du code monétaire et financier, qui dresse une liste non limitative des services fournis par les prestataires de services techniques à l'appui des services de paiement, est modifié en ajoutant « et de la communication » à la mention des technologies de l'information.

Cette modification a pour but d'aligner la terminologie contenue dans le droit français sur celle adoptée par la règlementation DORA. La mention des « technologies de l'information et de la communication » (TIC) est ainsi intégrée dans la liste des services fournis par les prestataires de services techniques à l'appui des services de paiement.

III. LA POSITION DE LA COMMISSION : UNE ACTUALISATION NÉCESSAIRE DE LA DÉFINITION DES SERVICES TECHNIQUES À L'APPUI DES SERVICES DE PAIEMENT

L'expression « technologies de l'information et de la communication » (TIC) est une terminologie aujourd'hui largement reprise par les acteurs fournissant des services support à l'exécution des opérations de paiement. La directive DORA actualise donc la définition des services fournis par les prestataires de services techniques à l'appui des services de paiement, qui figurait dans la DSP2.

Le présent article permet de transposer la définition de ces services techniques donnée par l'article 7 (1) de la directive DORA et d'harmoniser ainsi la définition française sur la terminologie retenue au niveau européen.

Décision de la commission : la commission a adopté l'article sans modification

Article 44
Maintien de la résilience opérationnelle des gestionnaires de plateformes de négociation

I. UN DÉCALAGE ENTRE LES DROITS INTERNE ET EUROPÉEN EN MATIÈRE D'OBLIGATION DE GESTION DES RISQUES CYBER PAR LES GESTIONNAIRES DE PLATES-FORMES DE NÉGOCIATION

A. LES GESTIONNAIRES DES PLATEFORMES DE NÉGOCIATION DOIVENT S'ASSURER DE LA RÉSILIENCE DES SYSTÈMES DE NÉGOCIATION QU'ILS EXPLOITENT

1. Les plates-formes de négociation regroupent les marchés réglementés, les systèmes multilatéraux de négociation et les systèmes organisés de négociation

L'article L. 420-1 du code monétaire et financier définit la plate-forme de négociation. Il constitue en ceci une transposition en droit français de la directive « MIF 2 »^84(*), et en particulier de son article 4.

Une plate-forme de négociation est donc un système multilatéral, défini par le code monétaire et financier comme « un système ou un dispositif au sein duquel de multiples intérêts acheteurs et vendeurs exprimés par des tiers pour des instruments financiers peuvent interagir », qui peut prendre trois formes^85(*) :

- un marché réglementé au sens de l'article L. 421-1, qui vise à aboutir à la conclusion de contrats portant sur les instruments financiers admis à la négociation. On compte en France trois marchés réglementés agréés : Euronext Paris SA, le Matif (marché à terme international de France) et le Monep (marché des options négociables de Paris) ;

- un système multilatéral de négociation au sens de l'article L. 424-1, qui vise à la conclusion de transactions sur des instruments financiers, qui compte au moins trois membres. On compte en France huit systèmes latéraux de négociation agréés (pour 14 codes d'identification de marché), dont Euronext Growth Paris et Euronext Access Paris ;

- un système organisé de négociation au sens de l'article L. 425-1, visant à conclure des transactions sur les titres de créance, les produits financiers structurés, les quotas carbones, des instruments dérivés (c'est-à-dire une valeur mobilière donnant le droit d'acquérir ou de vendre de telles valeurs mobilières ou donnant lieu à un règlement en espèce), ou des produits énergétiques de gros. On compte en France 10 systèmes organisés de négociation agréés.

2. Le droit interne relatif aux obligations des gestionnaires des plates-formes de négociation en matière de gestion du risque cyber est une transposition de la directive « MIF 2 » dans sa version de 2014

L'article 48 de la directive précitée dans sa version de 2014 prévoit en son paragraphe 1^er que les États membres exigent d'un marché réglementé qu'il dispose de systèmes, de procédures et de mécanismes efficaces pour garantir que ses systèmes de négociation sont résilients, possèdent une capacité suffisante pour gérer les volumes les plus élevés d'ordres et de messages, sont en mesure d'assurer un processus de négociation ordonné en période de graves tensions sur les marchés, sont soumis à des tests exhaustifs afin de confirmer que ces conditions sont réunies et sont régis par des mécanismes de continuité des activités assurant le maintien de ses services en cas de défaillance de ses systèmes de négociation.

L'article L. 420-3 du code monétaire et financier, en son I, transpose ces dispositions et détermine ainsi les obligations du gestionnaire de la plate-forme de négociation en matière de risque cyber.

C'est à lui qu'il revient de mettre en place les systèmes, des procédures et des mécanismes efficaces mentionnés par l'article 48 de la directive, à ceci près que l'article vise un processus de négociation ordonné en période de tension sur les marchés, et non de « graves tensions ».

Il est également précisé que ces systèmes de négociation sont soumis à des tests afin de confirmer que ces conditions sont réunies dans des situations d'extrême volatilité des marchés, et que le gestionnaire met en place des mécanismes assurant la continuité des activités en cas de défaillance imprévue de ses systèmes de négociation. Le législateur français a ici utilisé sa marge de manoeuvre en prévoyant que les systèmes financiers doivent surtout résister à des chocs importants et imprévus, là où le droit européen n'évoque pas « les situations d'extrême volatilité ».

L'article 48 régit également, en son paragraphe 6, le cadre de gestion du risque cyber des marchés réglementés en matière de trading algorithmique.

Il prévoit ainsi que les États membres exigent d'un marché réglementé qu'il dispose de systèmes, de procédures et de mécanismes efficaces, y compris qu'il exige de ses membres ou de ses participants qu'ils procèdent à des essais appropriés d'algorithmes et mettent à disposition les environnements facilitant ces essais. Le but est de garantir que les systèmes de trading algorithmique ne donnent pas naissance ou ne contribuent pas à des conditions de négociation de nature à perturber le bon ordre du marché, mais aussi de gérer ces conditions de négociation lorsqu'elles découlent de ces systèmes de trading algorithmique, y compris de systèmes permettant de limiter la proportion d'ordres non exécutés par rapport aux transactions susceptibles d'être introduites dans le système par un membre ou un participant, de ralentir le flux d'ordres si le système risque d'atteindre sa capacité maximale ainsi que de limiter le pas minimal de cotation sur le marché et de veiller à son respect.

Transposant ces dispositions en droit interne, le III de l'article L. 420-3 du code monétaire et financier prévoit que le gestionnaire de la plate-forme de négociation exige des personnes qui les utilisent qu'elles « procèdent à des tests appropriés d'algorithme et disposent d'environnements de tests », afin de s'assurer que ces systèmes « ne créent pas ou ne contribuent pas à des conditions de négociation de nature à perturber le bon ordre du marché ». Les systèmes, procédure et mécanismes mis en place dans ce cadre doivent également permettre de « gérer les conditions de négociation de nature à perturber le bon ordre du marché qui découlent de ces systèmes de négociation algorithmique ».

Par ailleurs, selon le II, de l'article L. 420-3 du code monétaire et financier, le gestionnaire est également chargé de mettre en place des systèmes permettant de rejeter les ordres dépassant des seuils de volume ou les ordres erronés ainsi que de suspendre ou limiter temporairement la négociation en cas de fluctuation importante des prix. En ce cas, il notifie à l'Autorité des marchés financiers les paramètres de suspension de la négociation ainsi que tout changement de ceux-ci. Les IV et V de l'article déterminent enfin les obligations qui s'imposent au gestionnaire en matière d'accès électronique direct et de sécurité et d'authentification des moyens de transfert d'informations.

B. LA DIRECTIVE « DORA » A MODIFIÉ LA DIRECTIVE « MIF 2 » SANS QUE LE DROIT INTERNE N'Y AIT ENCORE ÉTÉ ADAPTÉ

L'article 6 de la directive (UE) 2022/2556 du 14 décembre 2022, dite « DORA »^86(*), en son quatrième paragraphe, modifie notamment les paragraphes 1 et 6 de l'article 48 de la directive « MIF 2 ».

Le paragraphe 1 de la directive « MIF 2 » prévoit désormais un renvoi spécifique à diverses dispositions du paquet « DORA » : les États membres exigent d'un marché réglementé qu'il mette en place et maintienne sa résilience opérationnelle conformément aux exigences fixées au chapitre II du règlement (UE) 2022/2554 du 14 décembre 2022, dit « DORA »^87(*) qui traite de la gestion du risque lié aux technologies de l'information et de la communication (TIC).

Par ailleurs, les mécanismes de continuité des activités qui régissent les systèmes de négociation incluent désormais une politique et des plans en matière de continuité des activités des TIC et des plans de réponse et de rétablissement des TIC mis en place conformément à l'article 11 du règlement « DORA », qui précise le contenu de cette politique et de ces plans.

Selon cet article, les entités financières doivent se doter d'une politique de continuité des activités de TIC complète, qui vise à garantir la continuité des fonctions critiques ou importantes (y compris lorsqu'elles sont externalisées), répondre aux incidents et les résoudre, activer des plans comportant des mesures d'endiguement et prévenir tout dommage supplémentaire, estimer les incidences, dommages et pertes préliminaires et enfin définir des mesures de communication et de gestion des crises. Cette politique de continuité suppose une analyse de l'incidence de graves perturbations sur leurs activités. Les entités financières doivent également mettre en oeuvre des plans de réponse et de rétablissement des TIC. Ces plans (continuité, réponse et rétablissement, communication) font l'objet de tests, notamment en incluant des scénarios de cyberattaques et de basculement entre l'infrastructure de TIC principale et la capacité redondante, et de réexamens périodiques.

Le paragraphe 6 de la directive « MIF 2 » prévoit désormais que la mise à disposition, par les membres ou participant d'un marché réglementé, d'« environnements » facilitant les essais d'algorithmes, doit se faire « conformément aux exigences fixées aux chapitres II et IV du règlement (UE) 2022/2554 », qui encadrent respectivement la gestion du risque lié aux TIC et les tests de résilience opérationnelle numérique.

Subsiste donc un décalage entre le droit interne qui résulte, au sein de l'article L. 420-3 du code monétaire et financier, des dispositions de la directive « MIF 2 » dans sa rédaction de 2014, et le droit européen, qui a permis à travers le paquet « DORA » adopté en 2022 de préciser et compléter le cadre de gestion du risque cyber sur les marchés réglementés.

II. LE DISPOSITIF PROPOSÉ : SOUMETTRE LES GESTIONNAIRES DES PLATES-FORMES DE NÉGOCIATION AU RESPECT DES EXIGENCES DE CYBERSÉCURITÉ INTRODUITES PAR LE PAQUET « DORA »

Le présent article modifie l'article L. 420-3 du code monétaire et financier en reprenant les dispositions introduites à l'article 48 de la directive « MIF 2 » par le quatrième paragraphe de l'article 6 de la directive « DORA ».

Ainsi, son 1° modifie le I de l'article L. 420-3 de façon à prévoir que le gestionnaire de plate-forme de négociation met en place non pas « des systèmes, des procédures et des mécanismes efficaces » pour garantir la résilience des systèmes de négociation - ce qui se ferait sans référence aux exigences du règlement DORA -, mais met en place « et maintient sa résilience opérationnelle conformément aux exigences fixées au chapitre II » du règlement « DORA ». Le gestionnaire doit aussi être en mesure d'assurer un processus de négociation ordonné en période de « graves tensions » - et non de simples tensions - sur les marchés. Enfin, les tests auxquels sont soumis les systèmes de négociation doivent désormais être « exhaustifs », afin de confirmer que ces conditions (résilience, gestion de volumes élevés d'ordre et messages et processus de négociation ordonné en période de grave tension) soient réunies, et ce à tout moment, et plus uniquement « dans des situations d'extrême volatilité des marchés ».

Par ailleurs, les mécanismes assurant la continuité des activités en cas de défaillance imprévue de ses systèmes de négociations, et qui doivent être mises en place par le gestionnaire, incluent une politique et des plans en matière de continuité des activités liées aux TIC et des plans de réponse et de rétablissement des TIC mis en place conformément à l'article 11 du règlement « DORA ».

Le 2° du présent article modifie le III de l'article L. 420-3 du code monétaire et financier et prévoit que les tests d'algorithmes auxquels doivent procéder, sur injonction des gestionnaires de plates-formes de négociation, les personnes utilisant des systèmes de négociation algorithmique, et les environnements de tests dont elles doivent disposer, s'inscrivent dans le cadre fixé par les chapitres II et IV du règlement « DORA ». Il procède également à des modifications d'ordre rédactionnel.

III. LA POSITION DE LA COMMISSION : UNE MODIFICATION NÉCESSAIRE POUR TRANSPOSER LE DROIT EUROPÉEN ET ASSURER UNE MEILLEURE RÉSILIENCE DES PLATES-FORMES DE NÉGOCIATION

Le présent article consistant en une reprise à l'identique de la rédaction adoptée à l'article 6 de la directive « DORA », elle constitue une transposition limitée à l'essentielle du droit européen. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^88(*). Elle doit permettre d'assurer une meilleure résilience du secteur financier, à travers une meilleure gestion du risque lié au TIC, la notification des incidents majeurs aux autorités compétentes, et la mise en place de tests de résilience opérationnelle numérique.

Si le simple ajout de références aux chapitres du règlement « DORA » est d'une faible portée juridique dans la mesure où ce règlement est d'application directe, il permet une meilleure lisibilité du droit et reflète de façon fidèle la rédaction de la directive.

Décision de la commission : la commission a adopté l'article sans modification.

Article 45

Gestion du risque lié aux technologies de l'information et de la communication par les entreprises de marché

I. LE DROIT INTERNE PRÉVOIT DÉJÀ QUE LES ENTREPRISES DE MARCHÉ DOIVENT POUVOIR IDENTIFIER LES RISQUES COMPROMETTANT LE FONCTIONNEMENT DU MARCHÉ RÉGLEMENTÉ QU'ELLES GÈRENT ET GARANTIR LA VIABILITÉ DES SYSTÈMES DESTINÉS À FAIRE FACE AUX ÉVENTUELS DYSFONCTIONNEMENTS, SANS POUR AUTANT SATISFAIRE LES CRITÈRES PRÉVUS PAR LE PAQUET « DORA »

Aux termes de l'article L. 421-2 du code monétaire et financier, l'entreprise de marché est une société de droit privé, empruntant la forme d'une société commerciale, dont l'activité principale consiste en la gestion, c'est-à-dire principalement l'organisation et l'exploitation, d'un marché réglementé.

En France, la principale entreprise de marché opérant sur le secteur est la société NYSE Euronext, vaste entité gérant les marchés Euronext de Paris, Amsterdam, Bruxelles, Lisbonne, et allié avec New York. D'autres entreprises de ce type peuvent être identifiées : Nasdaq, qui gère le marché américain éponyme ou le marché de Boston et de Philadelphie, Deutsche Börse AG (Francfort) ou encore London Stock Exchange (qui gère, outre le principal marché de Londres, celui de Milan).

En plus de ses missions de contrôle des membres du marché réglementé et de surveillance des transactions destinée à détecter tout manquement, l'entreprise de marché, aux termes de l'article L. 421-11 du code monétaire et financier, prend notamment les dispositions nécessaires en vue de :

- disposer en permanence des moyens, d'une organisation et de procédures de suivi adéquats permettant d'identifier les risques significatifs de nature à compromettre le bon fonctionnement du marché règlementé qu'elle gère et prendre les mesures appropriées pour atténuer ces risques (2. du I) ;

- garantir le bon fonctionnement des systèmes techniques de négociation et disposer notamment de procédures d'urgence destinées à faire face aux éventuels dysfonctionnements (4. du I).

Selon l'article L. 421-4 du code monétaire et financier, l'Autorité des marchés financiers (AMF), qui propose au ministre de l'économie la reconnaissance de la qualité de marché réglementé, consulte l'Autorité de contrôle prudentiel et de résolution (ACPR) sur les mesures prévues par l'entreprise de marché pour se conformer à ces obligations.

L'article L. 421-11, en confiant à l'entreprise de marché le rôle de gestion des risques pesant sur les marchés réglementés, assure ainsi la transposition de l'article 47 de la directive « MIF 2 » dans sa rédaction du 15 mai 2014. Celui-ci prévoit que les États membres exigent notamment des marchés réglementés qu'ils soient adéquatement équipés pour gérer les risques auxquels ils sont exposés, qu'ils mettent en oeuvre des dispositifs et des systèmes appropriés leur permettant d'identifier tous les risques significatifs pouvant compromettre leur bon fonctionnement et qu'ils instaurent des mesures effectives pour atténuer ces risques (b du I), ainsi que des dispositifs propres à garantir la bonne gestion des opérations techniques des systèmes et notamment des procédures d'urgence efficaces pour faire face aux dysfonctionnements éventuels des systèmes de négociation (c du I).

Or l'article 6 de la directive (UE) 2022/2556 du 14 décembre 2022, dite « DORA »^89(*), en son troisième paragraphe, modifie ces dispositions pour raccrocher au règlement « DORA » les mesures qui doivent s'imposer aux marchés réglementés pour gérer le risque cyber. Il procède à une suppression du c du I de l'article 47 de la directive MIF 2, et réécrit le b du I de sorte que les marchés réglementés doivent prévoir de gérer le risque TIC conformément au chapitre II du règlement (UE) 2022/2554 du 14 décembre 2022, dit « DORA »^90(*), lequel satisfait les conditions prévues par l'ancien c du I.

II. LE DISPOSITIF PROPOSÉ : LA SOUMISSION DES ENTREPRISES DE MARCHÉS AUX EXIGENCES DE MOYENS ET D'ORGANISATION PRÉVUS PAR LE PAQUET « DORA » POUR ASSURER LEUR RÉSILIENCE FACE AU RISQUE CYBER

Le présent article prévoit de modifier l'article L. 421-11 du code monétaire et financier de façon à intégrer dans le droit français les exigences prévues par l'article 47 de la directive « MIF 2 » dans sa rédaction issue de la directive « DORA ».

Il modifie ainsi le 2 du I de l'article L. 421-11 pour prévoir que les entreprises de marché doivent disposer en permanence des moyens, d'une organisation et de procédures de suivi adéquats permettant de gérer les risques auxquels elle est exposée, y compris les risques liés aux technologies de l'information et de la communication conformément au chapitre II du règlement « DORA ». Il procède également, par parallélisme avec la nouvelle rédaction de l'article 47 de la directive « MIF 2 », à la suppression du 4 du I.

Il contient également des mesures de coordination avec ces dispositions, au sein de l'article L. 421-11 lui-même ainsi qu'à l'article L. 421-4.

III. LA POSITION DE LA COMMISSION : UNE ÉVOLUTION NÉCESSAIRE POUR RACCROCHER LA GESTION DU RISQUE CYBER PAR LES ENTREPRISES DE MARCHÉ AUX CRITÈRES PRÉVUS PAR LE RÈGLEMENT « DORA »

Le présent article constitue une transposition nécessaire du droit européen en matière de gestion du risque cyber par les entreprises de marché, dont la résilience face aux cyberattaques et, plus généralement, au risque « TIC » doit être assurée, leur rôle dans le fonctionnement d'une économie de marché étant incontournable. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^91(*).

La commission spéciale a adopté un amendement rédactionnel COM-127 du rapporteur Michel Canévet.

Décision de la commission : la commission a adopté l'article ainsi modifié.

Article 46

Références aux risques liés aux technologies de l'information et de la communication au sein des dispositifs de gestion des risques des établissements de crédit et des sociétés de financement

I. LE DROIT EXISTANT : LES ÉTABLISSEMENTS DE CRÉDITS ET LES SOCIÉTÉS DE FINANCEMENT SONT SOUMIS À UN DISPOSITIF DE SURVEILLANCE PRUDENTIELLE EN APPLICATION DU DROIT DE L'UNION

A. LA DIRECTIVE SECTORIELLE « CRD » DU 26 JUIN 2013 FIXE, NOTAMMENT EN MATIÈRE DE RISQUE OPÉRATIONNEL, UN CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT

La directive 2013/36/UE du 26 juin 2013 concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement^92(*), ou directive « CRD »^93(*), est une directive sectorielle ayant pour objet de fixer au sein de l'Union européenne un régime homogène en matière d'accès à l'activité des banques et à l'exercice de cette activité.

Adoptée dans le cadre d'un paquet législatif élaboré en réaction à la crise économique et financière de 2008, la directive CRD renforce le cadre de surveillance prudentielle applicable au secteur bancaire. À ce titre, elle fixe les principales règles applicables en matière de surveillance prudentielle des établissements de crédit par les autorités nationales compétentes et détermine les pouvoirs et outils de surveillance dont ces autorités disposent.

En particulier, en premier lieu, le 2 de l'article 85 de la directive CRD prévoit que les autorités compétentes^94(*) veillent à ce que les établissements de crédit disposent de « plans d'urgence et de poursuite de l'activité » dont l'objet est d'assurer la capacité des établissements à limiter leur perte et à poursuivre leur activité en cas de matérialisation d'un risque opérationnel.

En second lieu, le 1 de l'article 97 de la directive CRD prévoit que les autorités compétentes évaluent l'exposition des établissements de crédit à plusieurs catégories de risque en vue d'apprécier la couverture de ces risques par les établissements de crédit.

B. LE CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT, NOTAMMENT EN MATIÈRE DE RISQUE OPÉRATIONNEL, A ÉTÉ TRANSPOSÉ EN DROIT NATIONAL DANS LE CODE MONÉTAIRE ET FINANCIER

Le cadre européen de surveillance prudentielle applicable au secteur bancaire a notamment été transposé en droit national par l'ordonnance du 20 février 2014 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière financière^95(*).

En particulier, en matière de risque opérationnel, l'article L. 511-41-1 B du code monétaire et financier prévoit en premier lieu que les établissements de crédit et les sociétés de financement mettent en place des dispositifs, stratégies et procédure pour détecter et gérer le risque opérationnel (alinéa 2).

En second lieu, l'alinéa 5 du même article prévoit que les établissements de crédit et les sociétés de financement doivent établir des plans d'urgence et de poursuite de leur activité.

C. LA DIRECTIVE « DORA » DU 14 DÉCEMBRE 2022 A MIS À JOUR LE CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT EN MATIÈRE DE RISQUE OPÉRATIONNEL POUR TENIR COMPTE DES RISQUES SPÉCIFIQUES LIÉS AUX TECHNOLOGIES DE L'INFORMATION ET DE LA COMMUNICATION (TIC)

La directive (UE) 2022/2556 du 14 décembre 2022^96(*), ou « directive DORA »^97(*), prévoit plusieurs dispositions de mise à jour de la directive sectorielle CRD.

En particulier, l'article 4 de la directive DORA prévoit d'actualiser le cadre de surveillance prudentielle fixé par la directive CRD.

En premier lieu, le 2 de l'article 85 de la directive CRD est modifié pour prévoit expressément que les autorités compétentes veillent à ce que les établissements de crédit disposent, dans le cadre de leur politiques et plans d'urgence et de poursuite de l'activité, de politiques et plans en matière de continuité des activités de technologies de l'information et de la communication (TIC) et des plans de réponse et de rétablissement des TIC.

En second lieu, un d est ajouté au 1 de l'article 97 de la directive CRD pour prévoir l'évaluation par les autorités compétentes des risques opérationnels mis en évidence par des tests de résilience opérationnelle numérique prévus par le règlement (UE) 2022/2554 du 14 décembre 2022, ou « règlement DORA »^98(*).

II. LE DISPOSITIF PROPOSÉ : LE PROJET DE LOI TRANSPOSE DANS LE DROIT NATIONAL LA MISE À JOUR, EN MATIÈRE DE RISQUE OPÉRATIONNEL, DU CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT ET ÉTEND SON APPLICATION AUX SOCIÉTÉS DE FINANCEMENT

L'article 46 du projet de loi transpose la mise à jour du cadre prudentielle applicable aux établissements de crédit en matière de risque opérationnel et étend cette mise à jour aux sociétés de financement.

En premier lieu, l'article 46 prévoit la modification des deuxième et cinquième alinéas de l'article L. 511-41-1 B du code monétaire et financier pour prévoir, d'une part, que les stratégies de gestion des risques tiennent spécifiquement compte des risques liés aux technologies de l'information et de la communication au sens du règlement DORA et des risques mis en évidence par les tests de résilience opérationnelle numérique prévus par le règlement DORA et, d'autre part, que les plans d'urgence et de poursuite de l'activité comprennent des plans de réponse et de rétablissement des technologies de l'information et de la communication.

En second lieu, en procédant à cette modification du cadre prudentiel applicable aux établissements de crédit, le projet de loi impose les mêmes obligations actualisées en matière de risque opérationnel aux sociétés de financement qui sont assujetties aux obligations fixées par l'article L. 511-41-1 B du code monétaire et financier.

III. LA POSITION DE LA COMMISSION : L'APPLICATION DU CADRE ACTUALISÉ DE SURVEILLANCE PRUDENTIELLE EN MATIÈRE DE RISQUE OPÉRATIONNEL AUX ÉTABLISSEMENTS DE CRÉDIT ET AUX SOCIÉTÉS DE FINANCEMENT RÉPOND À LA NÉCESSITÉ DE TRANSPOSER LE DROIT DE L'UNION ET DE MAINTENIR UN TRAITEMENT HOMOGÈNE ENTRE LES ÉTABLISSEMENTS DE CRÉDIT ET LES SOCIÉTÉS DE FINANCEMENT

A. L'ACTUALISATION DU CADRE PRUDENTIEL APPLICABLE EN MATIÈRE DE RISQUE OPÉRATIONNEL AUX ÉTABLISSEMENTS DE CRÉDIT RÉSULTE DE L'OBLIGATION CONSTITUTIONNELLE DE TRANSPOSITION DU DROIT DE L'UNION

La mise à jour des obligations applicables aux établissements de crédit en matière de risque opérationnel correspond à la transposition de la directive DORA en droit national par la modification du code monétaire et financier. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^99(*).

B. L'EXTENSION DE LA MISE À JOUR DU CADRE PRUDENTIEL APPLICABLE EN MATIÈRE DE RISQUE OPÉRATIONNEL AUX SOCIÉTÉS DE FINANCEMENT EST LÉGITIME AU REGARD DE L'OBJECTIF DE MAINTIEN D'UN TRAITEMENT HOMOGÈNE ENTRE CES DEUX ACTIVITÉS

Les sociétés de financement, qui sont des sociétés qui exercent une activité professionnelle de crédit sans collecter des dépôts, sont soumis en France à un cadre prudentiel équivalent au cadre applicable au secteur bancaire^100(*). Si le droit de l'Union ne prévoit pas d'obligation d'inclure ces sociétés dans le champ d'application du cadre prudentiel applicable aux établissements de crédit défini par la directive CRD, les autorités françaises ont choisi depuis 2013 d'appliquer à ces sociétés, sauf pour certaines obligations spécifiques notamment en matière de liquidité et de levier, les mêmes obligations prudentielles que celles applicables au secteur bancaire.

Ce choix est fondé sur la volonté de permettre aux établissements de crédits de bénéficier d'un régime favorable pour leurs expositions sur les sociétés de financement dans le cadre du calcul déterminant leur respect des exigences de fonds propres applicables aux établissements de crédit.

En effet, l'article 119 du « règlement CRR »^101(*) du 26 juin 2013^102(*) prévoit que, dans le cadre du calcul des ratios de fonds propres soumis aux exigences prudentielles applicables aux établissements de crédit, les expositions sur les établissements financiers qui, sans entrer dans le champ du règlement, sont soumis à l'agrément et à la surveillance des autorités compétentes et respectent « des exigences prudentielles comparables » à celles applicables au secteur bancaire sont traitées comme des expositions sur les établissements de crédit.

Par suite, l'extension de la mise à jour du cadre prudentiel en matière de risque opérationnel est justifiée par le fait qu'elle permet de maintenir des exigences prudentielles homogènes entre les établissements de crédit et les sociétés de financement, ce qui permet de garantir le maintien d'un régime favorable pour les expositions sur les sociétés de financement dans le cadre du respect des exigences fixées par le règlement CRR.

Décision de la commission : la commission spéciale a adopté cet article sans modification.

Article 47

Références aux réseaux et systèmes d'information au sein des exigences de contrôle interne des établissements de crédit et des sociétés de financement

I. LE DROIT EXISTANT : LES ÉTABLISSEMENTS DE CRÉDIT ET LES SOCIÉTÉS DE FINANCEMENT ONT L'OBLIGATION DE DISPOSER D'UN CADRE DE GOUVERNANCE SOLIDE EN APPLICATION DU DROIT DE L'UNION

A. LA DIRECTIVE SECTORIELLE « CRD » DU 26 JUIN 2013 FIXE, UN CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT

La directive 2013/36/UE du 26 juin 2013 concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement^103(*), ou directive « CRD »^104(*), est une directive sectorielle ayant pour objet de fixer au sein de l'Union européenne un régime homogène en matière d'accès à l'activité des banques et à l'exercice de cette activité.

Adoptée dans le cadre d'un paquet législatif élaboré en réaction à la crise économique et financière de 2008, la directive CRD renforce le cadre de surveillance prudentielle applicable au secteur bancaire. À ce titre, la directive CRD fixe les principales règles applicables en matière de surveillance prudentielle des établissements de crédit par les autorités nationales compétentes et de pouvoirs et outils de surveillance dont ces autorités disposent.

En particulier, le 1 de l'article 74 de la directive CRD prévoit l'obligation pour les établissements de crédit de disposer « d'un dispositif solide de gouvernance d'entreprise » qui doit comprendre notamment une structure organisationnelle claire, des processus efficaces de gestion des risques et des mécanismes adéquats de contrôle interne.

B. LE CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT, NOTAMMENT EN MATIÈRE DE GOUVERNANCE, A ÉTÉ TRANSPOSÉ EN DROIT NATIONAL DANS LE CODE MONÉTAIRE ET FINANCIER

Le cadre européen de surveillance prudentielle applicable au secteur bancaire a notamment été transposé en droit national par l'ordonnance du 20 février 2014 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière financière^105(*).

En particulier, en matière de gouvernance des établissements de crédit, l'article L. 511-55 du code monétaire et financier prévoit que ces établissements ont l'obligation de disposer d'un dispositif de gouvernance solide comprenant notamment une organisation claire, des procédures efficaces de gestion des risques et d'un dispositif adéquat de contrôle interne.

C. LA DIRECTIVE « DORA » DU 14 DÉCEMBRE 2022 A MIS À JOUR LE CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT EN MATIÈRE D'OBLIGATIONS RELATIVES À LA GOUVERNANCE POUR TENIR COMPTE DES RISQUES SPÉCIFIQUES LIÉS AUX TECHNOLOGIES DE L'INFORMATION ET DE LA COMMUNICATION (TIC)

La directive (UE) 2022/2556 du 14 décembre 2022^106(*), ou « directive DORA »^107(*), prévoit plusieurs dispositions de mise à jour de la directive sectorielle CRD.

À ce titre, l'article 4 de la directive DORA prévoit d'actualiser le cadre de surveillance prudentielle fixé par la directive CRD.

En particulier, le 1 de l'article 74 de la directive CRD, qui fixe les obligations des établissements de crédit en matière de gouvernance, a été modifié pour inclure dans les obligations à la charge des établissements concernés celle d'inclure dans le dispositif de gouvernance des établissements « des réseaux et des systèmes d'information qui sont mis en place et gérés conformément au règlement (UE) 2022/2554 ».

II. LE DISPOSITIF PROPOSÉ : LE PROJET DE LOI TRANSPOSE DANS LE DROIT NATIONAL LA MISE À JOUR, EN MATIÈRE DE GOUVERNANCE, DU CADRE DE SURVEILLANCE PRUDENTIELLE APPLICABLE À L'ACTIVITÉ DES ÉTABLISSEMENTS DE CRÉDIT ET ÉTEND SON APPLICATION AUX SOCIÉTÉS DE FINANCEMENT

L'article 47 du projet de loi transpose la mise à jour du cadre prudentiel applicable aux établissements de crédit en matière de risque opérationnel et étend cette mise à jour aux sociétés de financement.

En premier lieu, l'article 47 prévoit la modification du premier alinéa de l'article L. 511-55 du code monétaire et financier pour prévoir que les établissements de crédit ont l'obligation de se doter d'un dispositif de gouvernance solide comprenant notamment des réseaux et des systèmes d'information mis en place et gérés conformément au règlement DORA^108(*).

En second lieu, en procédant à cette modification du cadre prudentiel applicable aux établissements de crédit, le projet de loi impose les mêmes obligations actualisées en matière de gouvernance aux sociétés de financement qui sont assujetties aux obligations fixées par l'article L. 511-55 du code monétaire et financier.

III. LA POSITION DE LA COMMISSION SPÉCIALE : L'APPLICATION DU CADRE ACTUALISÉ DE SURVEILLANCE PRUDENTIELLE EN MATIÈRE DE GOUVERNANCE AUX ÉTABLISSEMENTS DE CRÉDIT ET AUX SOCIÉTÉS DE FINANCEMENT RÉPOND À LA NÉCESSITÉ DE TRANSPOSER LE DROIT DE L'UNION ET DE MAINTENIR UN TRAITEMENT HOMOGÈNE ENTRE LES ÉTABLISSEMENTS DE CRÉDIT ET LES SOCIÉTÉS DE FINANCEMENT

C. L'ACTUALISATION DU CADRE PRUDENTIEL APPLICABLE EN MATIÈRE DE GOUVERNANCE AUX ÉTABLISSEMENTS DE CRÉDIT RÉSULTE DE L'OBLIGATION CONSTITUTIONNELLE DE TRANSPOSITION DU DROIT DE L'UNION

La mise à jour des obligations applicables aux établissements de crédit en matière de risque opérationnel correspond à la transposition de la directive DORA en droit national par la modification du code monétaire et financier. Cette transposition, qui est nécessaire pour garantir l'application d'un cadre commun au sein du marché intérieur, correspond par surcroît à une exigence constitutionnelle^109(*).

D. L'EXTENSION DE LA MISE À JOUR DU CADRE PRUDENTIELLE APPLICABLE EN MATIÈRE DE GOUVERNANCE AUX SOCIÉTÉS DE FINANCEMENT EST LÉGITIME AU REGARD DE L'OBJECTIF DE MAINTIEN D'UN TRAITEMENT PRUDENTIEL HOMOGÈNE ENTRE CES DEUX ACTIVITÉS ET DU PRINCIPE DE PROPORTIONNALITÉ APPLICABLE À CE DISPOSITIF DE GOUVERNANCE

Les sociétés de financement, qui sont des sociétés qui exercent une activité professionnelle de crédit sans collecter des dépôts, sont soumis en France à un cadre prudentiel équivalent au cadre applicable au secteur bancaire^110(*). Si le droit de l'Union ne prévoit pas d'obligation d'inclure ces sociétés dans le champ d'application du cadre prudentiel applicable aux établissements de crédit défini par la directive CRD, les autorités françaises ont choisi depuis 2013 d'appliquer à ces sociétés, sauf pour certaines obligations spécifiques notamment en matière de liquidité et de levier, les mêmes obligations prudentielles que celles applicables au secteur bancaire.

Ce choix est fondé sur la volonté de permettre aux établissements de crédits de bénéficier d'un régime favorable pour leurs expositions sur les sociétés de financement dans le cadre du calcul déterminant leur respect des exigences de fonds propres applicables aux établissements de crédit.

En effet, l'article 119 du « règlement CRR »^111(*) du 26 juin 2013^112(*) prévoit que, dans le cadre du calcul des ratios de fonds propres soumis aux exigences prudentielles applicables aux établissements de crédit, les expositions sur les établissements financiers qui, sans entrer dans le champ du règlement, sont soumis à l'agrément et à la surveillance des autorités compétentes et respectent « des exigences prudentielles comparables » à celles applicables au secteur bancaire sont traitées comme des expositions sur les établissements de crédit.

Par surcroît, l'obligation de disposer d'un dispositif de gouvernance solide consacrée par l'article L. 511-55 du code monétaire et financier est appliquée en tenant compte d'un principe de proportionnalité. En effet, le dernier alinéa de cet article dispose que le dispositif de gouvernance « est adapté à la nature, à l'échelle et à la complexité des risques inhérents » au modèle d'entreprise et à ses activités. Ce principe de proportionnalité limite le risque que des sociétés de financement soit soumises, au titre de cet article, à des obligations disproportionnées au regard de leur taille et des risques qu'elles représentent.

Par suite, l'extension de la mise à jour du cadre prudentiel en matière de gouvernance est justifiée par le fait que les obligations pesant sur les sociétés de financement seront proportionnées à leurs risques et qu'elle permet de maintenir des exigences prudentielles homogènes entre les établissements de crédit et les sociétés de financement, ce qui permet de garantir le maintien d'un régime favorable pour les expositions sur les sociétés de financement dans le cadre du respect des exigences fixées par le règlement CRR.

Décision de la commission : la commission spéciale a adopté cet article sans modification.

Article 48

Obligations des prestataires de services de paiement en matière de gestion du risque lié aux technologies de l'information et de la communication

I. LE DROIT EXISTANT : UNE OBLIGATION GÉNÉRALE POUR LES PRESTATAIRES DE SERVICES DE PAIEMENT DE METTRE EN PLACE UN CADRE POUR LA GESTION DES RISQUES INFORMATIQUES

L'article L. 521-9 du code monétaire et financier (CMF) prévoit l'obligation pour les prestataires de services de paiement de mettre en place des mesures d'atténuation et des mécanismes de contrôle appropriés en vue de gérer les risques opérationnels et de sécurité liés aux services de paiement qu'ils fournissent. Cette obligation a été insérée dans le code monétaire et financier à l'occasion de la transposition de l'article 95 de la directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur (dite « DSP2 »)^113(*).

Les dispositions de l'article L. 521-9 du CMF sont précisées par le titre VI bis de l'arrêté du 3 novembre 2014 sur le contrôle interne^114(*). Les prestataires de service de paiement doivent établir et maintenir des procédures efficaces de gestion des incidents, y compris pour la détection et la classification des incidents opérationnels et de sécurité majeurs.

Ces procédures de gestion des incidents, intégrées aux procédures globales de gestion des risques des prestataires de services de paiement, doivent permettre à l'établissement concerné d'identifier, de mesurer, de suivre et de gérer l'ensemble des risques résultant des activités liées au paiement du prestataire de services de paiement et auxquels est exposé ce prestataire, notamment en matière de continuité des activités. Elles comprennent notamment le document relatif à la politique de sécurité, et doivent définir et attribuer les principaux rôles et responsabilités, ainsi que le système de déclaration pertinents nécessaires pour faire appliquer les mesures de sécurité et pour gérer les risques opérationnels et de sécurité.

II. LE DISPOSITIF PROPOSÉ : LE PROJET DE LOI PRÉVOIT QUE LES PRESTATAIRES DE SERVICES DE PAIEMENT SE CONFORMENT AUX EXIGENCES DU CHAPITRE II DU RÈGLEMENT DORA SUR LA GESTION DU RISQUE LIÉ AUX TIC

Le présent article prévoit de modifier l'article L. 521-9 du code monétaire et financier afin de transposer l'article 7 (4) de la directive DORA.

L'article 7 (4) de la directive DORA prévoit de compléter l'article 95 de la DSP2, qui fixe une obligation générale de mise en place d'un cadre pour la gestion des risques informatiques. Il vise à préciser qu'outre ces dispositions générales, les prestataires de services de paiement doivent se conformer aux exigences - plus précises - contenues dans le chapitre II du règlement DORA^115(*), consacré à la gestion du risque lié aux TIC.

Comme déjà rappelé, le chapitre II du règlement DORA prévoit un cadre harmonisé de gestion du risque lié aux TIC que les entités financières doivent intégrer pour parer au risque lié aux TIC de manière rapide, efficiente et exhaustive, et garantir un niveau élevé de résilience opérationnelle numérique.

Ces mesures à mettre en place par les entités concernées comprennent notamment :

· la mise en place d'un cadre de gouvernance et de contrôle interne, ainsi qu'une stratégie de résilience opérationnelle numérique. Ce cadre de gestion des risques doit par exemple comprendre des systèmes, protocoles et outils de TIC qui doivent être tenus à jour ;

· l'identification de toutes les sources de risques liés aux TIC et l'évaluation de ces risques selon une classification devant être revue à minima une fois par an ;

· l'élaboration d'une politique de sécurité de l'information qui définit des règles visant ;

· l'instauration d'une politique complète de continuité des activités de TIC, ainsi que des procédures de sauvegarde, de restauration et de rétablissement. Cette politique comprend par exemple des tests à effectuer au moins une fois par an. 

L'article L. 521-9 du code monétaire et financier est ainsi complété pour préciser que les prestataires de services de paiement se conforment également aux exigences du chapitre II du règlement DORA, qui porte sur la gestion du risque lié aux TIC.

III. LA POSITION DE LA COMMISSION : UN AJOUT NÉCESSAIRE POUR TENIR COMPTE EN DROIT INTERNE DE L'ADOPTION DU RÈGLEMENT DORA

Le présent article permet de tirer les conséquences en droit interne de l'adoption des dispositions du chapitre II du règlement DORA, qui sont d'application directe. Il permet de compléter l'article L. 521-9 du code monétaire et financier pour préciser que les prestataires de services de paiement doivent de se conformer aux exigences en matière de gestion des risques TIC prévues par le chapitre II du règlement DORA.

Décision de la commission : la commission a adopté l'article sans modification.

Article 49 A
Extension de l'application du règlement DORA aux succursales d'entreprises d'investissement de pays tiers