Mme la présidente. La parole est à Mme Isabelle Raimond-Pavero. (Applaudissements sur les travées du groupe Les Républicains.)
Mme Isabelle Raimond-Pavero. Madame la présidente, madame la ministre, mes chers collègues, la proposition de loi que nous examinons cet après-midi va bien au-delà de la seule dénomination de l’Office national des anciens combattants et victimes de guerre, qu’il conviendra d’appeler, en 2023, « Office national des combattants et des victimes de guerre ». Elle nous permet d’avoir une réflexion plus globale sur le monde combattant. Avant de poursuivre mon propos, je tiens à saluer la mémoire de toutes ces femmes et de tous ces hommes, anciens combattants, qui ont sacrifié leur vie pour la France.
Mes pensées vont également à tous nos soldats et à leurs familles, qu’ils soient en opérations extérieures ou sur le territoire national. Tous participent à notre sécurité, à la défense des valeurs de notre pays ainsi qu’à la paix en ces temps de graves troubles géopolitiques et de fortes tensions aux portes de l’Europe – et je tiens à m’associer à l’esprit de solidarité exprimé envers le peuple ukrainien – ; il importe de le mentionner.
De la même façon, je tiens à rendre hommage à l’œuvre des associations d’anciens combattants. Par leur action et leur mobilisation, ces associations ont construit, au fur et à mesure des décennies, un socle mémoriel pour notre pays et pour tous nos concitoyens, en particulier les jeunes. Honorer, préserver la mémoire, apaiser, unir, rappeler nos valeurs, transmettre les enseignements du passé, tels sont le rôle et les missions de ces associations. Qu’elles en soient sincèrement remerciées !
J’en viens maintenant à l’objet de la proposition de loi de notre collègue Jocelyne Guidez.
Substituer les mots « anciens combattants » au profit de celui de « combattants » témoigne de l’évolution de l’état du monde et de notre société. Cela nous rappelle également combien la paix est précieuse et qu’elle n’est pas acquise. N’oublions jamais que l’Union européenne, c’est l’Europe de la paix.
Comme cela a été précisé en commission des affaires sociales, ce texte doit permettre une meilleure reconnaissance des anciens combattants d’hier et de ceux d’aujourd’hui, et être l’occasion de rapprocher ces différentes générations qui ont en commun la fraternité d’armes et la défense du pays.
Madame la ministre, un travail de rapprochement doit être mené entre les différentes institutions et les associations. Dans cette perspective, le rôle de l’Office national des anciens combattants et victimes de guerre est essentiel à différents niveaux. Cet organisme a évolué au fil des époques et des différentes générations du feu.
En 1935, la fusion de l’Office national des mutilés et réformés, de l’Office national des pupilles de la Nation et de l’Office du combattant a donné naissance à l’Office national des mutilés, combattants, victimes de la guerre et pupilles de la Nation.
C’est au lendemain de la Seconde Guerre mondiale que cet organisme a pris son appellation actuelle. À ce jour, l’ONACVG intervient auprès des combattants et de tous ceux affectés par la guerre.
Une politique de modernisation de l’ONACVG a été engagée il y a plusieurs années, elle se poursuit actuellement. Elle doit se faire également au bénéfice des veuves de guerre, des blessés de guerre et des pupilles de la Nation. Pour ce faire, l’ONACVG aura besoin d’un budget à la hauteur de ses missions et auquel nous continuerons d’être attentifs.
Cette proposition de loi est une initiative bienvenue pour une meilleure reconnaissance de nos combattants d’hier et d’aujourd’hui. C’est la raison pour laquelle le groupe Les Républicains votera en faveur de son adoption. (Applaudissements sur les travées des groupes Les Républicains, UC et SER, ainsi qu’au banc des commissions.)
Mme la présidente. La discussion générale est close.
Nous passons à la discussion du texte de la commission.
proposition de loi relative au monde combattant
Article unique
(Non modifié)
I A. – Dans l’ensemble des dispositions législatives, les mots : « Office national des anciens combattants et victimes de guerre » sont remplacés par les mots : « Office national des combattants et des victimes de guerre ».
I. – (Non modifié)
I bis. – Au troisième alinéa de l’article L. 1113-1 du code de la santé publique, les mots : « Office national des anciens combattants » sont remplacés par les mots : « Office national des combattants et des victimes de guerre ».
II. – (Non modifié)
Vote sur l’ensemble
Mme la présidente. Personne ne demande la parole ?…
Je mets aux voix, dans le texte de la commission, l’article unique constituant l’ensemble de la proposition de loi relative au monde combattant.
(La proposition de loi est adoptée définitivement.)
Mme la présidente. Mes chers collègues, nous allons interrompre nos travaux pour quelques instants.
La séance est suspendue.
(La séance, suspendue à seize heures trente-sept, est reprise à seize heures trente-neuf.)
Mme la présidente. La séance est reprise.
8
Certification de cybersécurité des plateformes numériques
Adoption définitive en deuxième lecture d’une proposition de loi dans le texte de la commission
Mme la présidente. L’ordre du jour appelle la discussion en deuxième lecture, à la demande du groupe Union Centriste, de la proposition de loi, modifiée par l’Assemblée nationale en première lecture, pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public (proposition n° 226, texte de la commission n° 504, rapport n° 503).
Dans la discussion générale, la parole est à M. le secrétaire d’État.
M. Cédric O, secrétaire d’État auprès du ministre de l’économie, des finances et de la relance et de la ministre de la cohésion des territoires et des relations avec les collectivités territoriales, chargé de la transition numérique et des communications électroniques. Madame la présidente, madame la rapporteure, mesdames les sénatrices, messieurs les sénateurs, je suis heureux d’être une nouvelle fois devant vous pour la deuxième lecture de cette proposition de loi portant sur la mise en place d’une certification de cybersécurité des plateformes destinée au grand public.
Cette proposition de loi, déposée par le sénateur Lafon, que je salue, le 15 juillet 2020, a fait l’objet d’une première lecture par les deux chambres, qui l’ont amendé et enrichi afin de répondre aux défis qui justifient son existence. La situation actuelle nous le rappelle plus que jamais : nous le savons, la menace cyber est devenue de plus en plus prégnante.
À l’instar des évolutions numériques, dont nous devons nous réjouir, la cybercriminalité connaît malheureusement un essor sans précédent, les attaquants redoublant d’originalité pour détecter et exploiter nos vulnérabilités à des fins malveillantes. La menace cyber s’accroît, s’accentue et nous concerne tous, qu’il s’agisse des entreprises, des collectivités locales, des organismes publics comme des établissements de santé ou tout simplement des citoyens. Nous en avons eu de nombreux exemples ces derniers mois et années.
La dangerosité des risques se mesure à la sophistication que les cyberattaques peuvent revêtir. Je peux ici citer l’hameçonnage, le ransomware, les logiciels espions, les virus, les faux supports techniques, etc. Les attaques cyber prennent des formes diverses et se démarquent par une capacité de renouvellement infinie. Nous avons par exemple vu exploser ces derniers mois le nombre des tentatives d’arnaque au compte formation.
Cela dit, force est de constater que les choses évoluent et que ces risques sont mieux connus et mieux appréhendés. Depuis quelques années, un véritable chantier de pédagogie et d’information a été lancé, permettant à tous de prendre mieux conscience des méthodes utilisées par les cyberattaquants. Nous avons acquis avec le temps des réflexes d’hygiène numérique multiples, comme ne plus cliquer sur un lien envoyé par un expéditeur inconnu, ou encore faire des archives régulières de nos documents les plus importants.
J’en profite pour saluer ici les équipes de l’Agence nationale de la sécurité des systèmes d’information (Anssi) qui luttent quotidiennement contre ces menaces et qui font un travail de grande qualité. Je remercie également les équipes du dispositif national cybermalveillance.gouv.fr, qui ont accompagné ces dernières années des milliers de victimes – particuliers ou entreprises, quelle que soit la taille de celles-ci – dans leur gestion de cyberattaques.
La lutte contre les risques cyber appelle deux réponses : d’abord, une réponse systémique qui, comme pour le règlement général sur la protection des données (RGPD), doit être portée au niveau européen ; ensuite, et en parallèle, une réponse d’incitation au changement des usages et des comportements.
Je le disais, apporter une réponse systémique, c’est le sens des travaux qui sont en cours au niveau européen. Ces travaux visent à faire émerger des lignes fortes, solides et transnationales de nature à assurer au mieux notre souveraineté numérique.
Comme pour le RGPD, l’Europe, en tout cas sa partie démocratique, doit se montrer à la hauteur des enjeux et définir ses propres standards.
C’est pourquoi, face à ce panorama d’une menace cyber en pleine expansion, une adaptation de l’encadrement européen est apparue plus que nécessaire. Les institutions européennes sont donc en train de parachever la révision de la directive NIS (Network and Information System Security), qui définit le niveau de sécurité des réseaux et des systèmes d’information au niveau européen. Nous soutenons l’approche ambitieuse de cette révision, puisque nous sommes convaincus que ces nouveaux standards de sécurité ne seront efficaces que s’ils s’appliquent à une échelle européenne.
La deuxième réponse que nous devons apporter aux risques de sécurité – peut-être la plus importante, parce qu’elle est la plus « granulaire » et la plus systémique – est l’acculturation des utilisateurs, car l’information et la transparence sont des leviers décisifs du changement.
Nous avons des exemples, désormais bien connus, de l’impact que la transparence et l’information peuvent avoir sur les comportements et sur les acteurs économiques. Le plus emblématique d’entre eux est peut-être celui de l’alimentation, auquel cette proposition de loi fait ouvertement référence. Nous devons apprendre de cet exemple, nous en inspirer, car, si aujourd’hui la plupart des informations sont accessibles sur internet, elles restent encore trop souvent noyées dans une masse d’informations. À l’inverse, le Nutri-score a permis d’apporter une information d’une très grande lisibilité.
J’en veux pour preuve le fait que, alors que, pour un consommateur avisé, les conditions générales d’utilisation (CGU) contiennent déjà une grande partie des informations recherchées, ces dernières restent pourtant inexploitables en pratique, car elles sont noyées et expliquées dans des termes techniques, voire ésotériques, qui les rendent inutilisables. Nous devons remédier à cela pour que les industriels progressent vers les pratiques les mieux-disantes, comme cela a été le cas pour l’alimentation.
La cybersécurité continue de pâtir d’une réputation de science froide, réservée à des utilisateurs avertis. Nous devons absolument lui retirer cette réputation et rendre accessible ce sujet crucial.
C’est dans cette optique que vous proposez aujourd’hui l’établissement d’une symbolique visant à rendre clairement compréhensibles, pour les consommateurs, les enjeux découlant de la cybersécurité.
Pour toutes ces raisons, je réitère évidemment le soutien du Gouvernement à la proposition de loi examinée aujourd’hui.
Depuis son dépôt, le texte a quelque peu évolué. Des aménagements ont été apportés dans un esprit constructif sur ce sujet à la fois important et transpartisan. La direction prise aujourd’hui est bonne. Les différentes lectures ont notamment permis de préciser les services numériques concernés et certaines des conditions dans lesquelles l’audit doit être réalisé et rendu public. Ces évolutions sont salutaires.
Le législateur renvoie à l’exécutif le soin de préciser certains éléments plus subsidiaires. Nous nous y emploierons dans la continuité de l’état d’esprit constructif ayant présidé aux différentes lectures de cette proposition de loi – j’en remercie d’ailleurs les deux assemblées.
La direction prise promeut une plus grande information du consommateur et une plus grande transparence de cette information. Sont ainsi posées les bases d’un cercle vertueux ayant fait ses preuves, ce qui sera très utile pour avancer vers une plus grande cybersécurisation des opérateurs. (Applaudissements sur les travées du groupe RDPI. – MM. Laurent Lafon et Pierre Louault applaudissent également.)
Mme la présidente. La parole est à Mme la rapporteure. (Applaudissements sur les travées du groupe UC.)
Mme Anne-Catherine Loisier, rapporteure de la commission des affaires économiques. Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, nous examinons en deuxième lecture la proposition de loi de notre collègue Laurent Lafon pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public.
La commission a adopté à l’unanimité cette proposition de loi qui, comme M. le secrétaire d’État l’a rappelé, vise à créer un Cyber-score permettant au consommateur d’être mieux informé sur la protection de ses données en ligne.
Cette initiative complète utilement les récents travaux du Sénat, en créant un dispositif qui se veut simple, lisible, et facilement compréhensible, pour informer les consommateurs du niveau de cybersécurité des principales solutions numériques qu’ils utilisent.
Le sujet est d’actualité : nous sommes de plus en plus confrontés aux enjeux de cybersécurité et mobilisés face à eux. Récemment, un rapport de nos collègues Sébastien Meurant et Rémi Cardon rédigé pour la délégation sénatoriale aux entreprises a souligné que, en 2020, près de 43 % des PME françaises ont constaté un incident de cybersécurité, que 16 % des attaques ont menacé la viabilité d’une entreprise, et que les attaques par rançongiciel ont été multipliées par quatre en l’espace d’une seule année.
En ce début de 2022, Serge Babary et Françoise Gatel ont également remis un rapport sur la cybersécurité au nom de la délégation aux collectivités territoriales et à la décentralisation et de la délégation aux entreprises, dans lequel il apparaît que 30 % des collectivités territoriales françaises ont été victimes en 2020 d’une attaque par rançongiciel, et que seulement 30 % d’entre elles ont par la suite mis en place un programme de prévention en cybersécurité.
Si des efforts sont faits pour mieux informer les entreprises et les collectivités territoriales, nous constatons qu’aucune disposition législative n’oblige à informer les consommateurs sur les risques et le niveau de sécurisation des services numériques utilisés.
Plusieurs législations nationales et européennes concernent la protection des données, mais les textes en vigueur sont finalement peu orientés vers l’information du consommateur. C’est donc ce manque que cette proposition de loi de notre collègue se propose de combler.
Dans un quotidien de plus en plus virtuel, nous communiquons tous à l’aide de systèmes de messagerie instantanée, nous travaillons par l’intermédiaire de logiciels de visioconférence, nous nous informons en ligne en consultant les résultats de moteurs de recherche. Nous sollicitons aussi ces services pour nos usages privés : nous écoutons de la musique en ligne, nous nous divertissons sur les réseaux sociaux.
Ces usages accrus du numérique ne vont malheureusement pas toujours de pair avec les pratiques et les précautions nécessaires. Les fuites de données, les piratages de comptes, les escroqueries en ligne, les attaques malveillantes et les failles dans la cybersécurité des entreprises, des hôpitaux, des collectivités ou des administrations sont de plus en plus fréquents.
Si tous ces incidents nous sensibilisent chaque jour davantage aux enjeux liés à la protection de nos données, nos habitudes n’évoluent pas de pair.
Je vous présenterai quelques éléments du dispositif que nous examinons aujourd’hui.
L’article 1er concerne le périmètre d’application de ce dispositif. L’objectif initial était d’y inclure les plateformes numériques les plus utilisées, ainsi que les logiciels de visioconférence, compte tenu de la généralisation de leur usage au cours de ces derniers mois.
Après plusieurs modifications et de nombreuses hésitations du Gouvernement, la notion d’« opérateurs de plateformes en ligne » a finalement été retenue par l’Assemblée nationale. Le périmètre a été complété pour intégrer les systèmes de messagerie instantanée et de visioconférence, conformément aux souhaits de notre assemblée.
Un deuxième enjeu concerne la nature et la dénomination du dispositif. Au Sénat, nous avions souhaité que ce dernier ne soit ni trop contraignant ni trop coûteux, pour éviter que les TPE, les PME et les start-up innovantes en matière de services en ligne ne soient pénalisées.
Un équilibre a été trouvé pour que le dispositif du Cyber-score prenne la forme d’un audit de cybersécurité réalisé par des prestataires agréés par l’Anssi. La notion d’« audit » reste proche de ce que nous entendions par « diagnostic ». La rédaction proposée par l’Assemblée nationale nous semble donc satisfaisante.
Un troisième point concerne le contenu de cet audit de cybersécurité, qui doit être défini par un arrêté ministériel. Sous l’impulsion du rapporteur de l’Assemblée nationale, et contre l’avis du Gouvernement, un amendement a été adopté afin de préciser que cet audit doit porter tant sur la sécurisation que sur la localisation des données.
Une telle précision est importante, puisque la localisation permet notamment de déterminer le régime juridique applicable à la protection des données. Une localisation au sein de l’Union européenne implique la garantie de pouvoir bénéficier des protections permises par le droit de l’Union européenne et par le règlement général sur la protection des données (RGPD). Il ne s’agit donc pas seulement d’un enjeu de sécurité, mais aussi d’un enjeu de souveraineté numérique européenne.
Toutefois, la localisation ne peut pas être le seul critère utilisé. Il convient, comme vous l’avez indiqué, monsieur le secrétaire d’État, d’apprécier aussi les standards de sécurité de l’hébergement des données. Certaines données sont en effet hébergées de façon sécurisée en dehors de l’Union européenne, alors que l’on peut s’interroger en matière de confidentialité et de protection des données dans le cas de certains pays membres.
Il nous semble donc essentiel que la Commission européenne prenne des décisions d’adéquation ou accepte des clauses contractuelles pour encadrer les transferts de données et attester que le niveau de protection est bien conforme ou équivalent à celui permis par le droit de l’Union, que l’hébergeur soit d’ailleurs européen ou non. Ces derniers mois, le Privacy Shield, décision d’adéquation vis-à-vis des États-Unis, a par exemple été invalidé par l’arrêt Schrems II rendu par la Cour de justice de l’Union européenne.
Ce point est crucial. Je rappelle que des données peuvent être stockées sur des serveurs et dans des centres de données localisées dans l’Union européenne, mais hébergées par des logiciels de cloud américains. C’est toute la limite de la stratégie actuelle du label « cloud de confiance » accordé à des entreprises qui utilisent également des licences de logiciels américains.
Nous devons donc être vigilants et suivre avec attention l’élaboration de l’arrêté ministériel qui définira le contenu du futur audit de cybersécurité, afin de nous assurer que la localisation ne sera pas le seul gage de confidentialité – monsieur le secrétaire d’État, peut-être pourrez-vous nous préciser la position du Gouvernement sur ce point.
Un autre élément concerne les modalités d’information et de présentation du dispositif aux consommateurs. Au Sénat, nous avions souhaité une présentation lisible, claire et compréhensible à l’aide d’un système d’information coloriel. Ces dispositions ont été maintenues sans modification à l’Assemblée nationale.
Nous avions également supprimé l’article 2, qui modifiait les règles applicables à la commande publique pour que les impératifs de cybersécurité soient pris en compte. Cette suppression a été maintenue à l’Assemblée nationale, ce qui permet en définitive de vraiment recentrer le texte sur l’information des consommateurs.
Un troisième article a été ajouté à l’Assemblée nationale, afin de fixer l’entrée en vigueur de la loi au 1er octobre 2023. Si cette date peut sembler lointaine, il est vrai que la mise en place des audits de cybersécurité est inédite et très technique. L’introduction de ce délai nous semble donc justifiée.
Les mesures réglementaires d’application sont effectivement nombreuses. Le Gouvernement a indiqué que des consultations seront menées pour préparer cette élaboration. Monsieur le secrétaire d’État, nous réitérons notre demande que les parlementaires, et notamment les sénateurs qui ont travaillé sur cette proposition de loi, soient associés à l’ensemble de ces consultations.
Dernier point, à l’issue de la première lecture, la proposition de loi avait été notifiée à la Commission européenne conformément aux exigences de la directive de 2015 relative aux services de la société de l’information.
Dans l’éventualité où des observations seraient formulées, le Gouvernement devant les transmettre au Parlement, les consultations liées à l’élaboration des mesures réglementaires d’application pourront donc permettre de prendre en compte les remarques de la Commission européenne et des autres États membres – nous y veillerons.
Au-delà de ces points de vigilance et de ces précautions nécessaires, nous pensons à la bonne application de cette proposition de loi. Les modifications votées par l’Assemblée nationale nous semblent aller dans le bon sens et permettre d’atteindre les objectifs initiaux de notre collègue Laurent Lafon. La commission des affaires économiques a donc émis un avis favorable sur cette proposition de loi, et propose un vote conforme. (Applaudissements sur les travées des groupes UC et INDEP, ainsi qu’au banc des commissions. – M. Daniel Gremillet applaudit également.)
Mme la présidente. La parole est à M. Ludovic Haye.
M. Ludovic Haye. Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, ce début d’année 2022 constitue une nouvelle étape dans l’utilisation d’internet.
Depuis sa création, internet s’est révélé être un outil inouï tant pour l’innovation et la créativité que pour la saisie possibilités de progrès économiques. Indispensable, il participe à l’amélioration de notre qualité de vie, si bien que l’ONU veut garantir le droit à son accès.
Toutefois, aussi indispensable que puisse être internet, il représente également une menace. Souvenons-nous de la panne généralisée ayant affecté le 4 octobre dernier les géants du numérique Facebook, Instagram et WhatsApp. Près de 3,5 milliards d’utilisateurs n’avaient pu accéder à ces réseaux, ce qui avait engendré la perte d’un demi-million de dollars par heure.
De plus, les risques cyber se multiplient nettement. L’Anssi a vu le nombre de cyberattaques traitées passer de 54 en 2019 à 192 en 2020. L’utilisation de rançongiciels augmente. Ces derniers menacent de plus en plus nos entreprises et nos services publics, et il demeure difficile d’identifier les auteurs de ces attaques. En 2021, la liste des établissements de santé visés par les cybercriminels n’a cessé de s’allonger.
Face à cette nouvelle forme d’insécurité, il est important que les pouvoirs publics agissent davantage. Le Gouvernement s’est fixé des objectifs ambitieux afin de protéger la sécurité informatique des Français, et nous devons soutenir cet élan.
Afin de faire face à cette menace, un milliard d’euros seront mobilisés d’ici 2025, dont 720 millions d’euros de financements publics. Ces moyens permettront notamment de faire émerger trois « licornes » françaises en matière de cybersécurité, de diffuser une véritable culture de la cybersécurité dans les entreprises, de stimuler la recherche française et l’innovation industrielle dans ce domaine avec une hausse de 20 % du nombre de demandes de brevets déposées.
Dans ce cadre tracé par le Président de la République, le campus Cyber inauguré le 15 février dernier rassemble des représentants d’entreprises de cybersécurité de toutes tailles et des acteurs publics, afin de créer un environnement favorable à l’innovation technologique et au rayonnement de la filière cyber française.
À terme, entre 1 600 et 1 700 personnes travailleront sur ce campus, dont 30 % représenteront les grandes entreprises et 25 % les services de l’État, l’Anssi, la gendarmerie, la police ou les services de renseignements militaires du Comcyber (commandement de la cyberdéfense).
Par ailleurs, la cybersécurité constitue un temps fort de la présidence française du Conseil de l’Union européenne. Le premier enjeu concerne la révision de la directive NIS, afin d’aboutir à une Europe forte qui s’appuie sur les capacités nationales des États membres en matière de cybersécurité.
Madame la rapporteure, vous l’avez rappelé : le périmètre d’application de cette proposition de loi concerne les opérateurs de plateforme ainsi que les logiciels de messagerie instantanée et de visioconférence.
De plus, le dispositif intitulé « audit de cybersécurité » réalisé par les prestataires agréés par l’Anssi portera sur la sécurisation et la localisation des données.
Enfin, cette proposition de loi est plus que jamais une réponse défensive face aux menaces cyber, car, au même titre que le Nutri-score, le Cyber-score permettra au grand public de savoir, en toute transparence, comment sont protégées les données personnelles.
Cette proposition de loi créant le Cyber-score vise à compléter le code de la consommation, et diffère ainsi totalement du règlement général sur la protection des données (RGPD), en vigueur en Europe.
Afin de ne pas retarder l’application de la loi, comme Mme la rapporteure, nous sommes favorables à son vote. Nous soutiendrons pleinement cette proposition de loi modifiée par nos collègues députés. (Applaudissements sur les travées du groupe RDPI et sur des travées du groupe UC, ainsi qu’au banc des commissions.)
Mme la présidente. La parole est à M. Joël Guerriau. (Applaudissements sur les travées du groupe INDEP.)
M. Joël Guerriau. Madame la présidente, monsieur le secrétaire d’État, mes chers collègues, une part de plus en plus importante de notre vie se déroule en ligne. Cette tendance s’est amorcée bien avant la pandémie, mais cette dernière n’a fait que la renforcer.
De plus en plus de services sont dématérialisés : la banque, mais aussi la culture, ou même des consultations médicales. Nous pouvons prendre l’initiative de faire nos courses, d’acheter un billet de train ou de changer de fournisseur d’énergie en ligne, mais nous sommes malheureusement contraints d’évoluer dans un monde de plus en en plus dématérialisé, où finalement le contact humain disparaît.
Au-delà de la consommation, nos espaces sociaux ont eux aussi migré vers le cyberespace. Nous utilisons internet pour nos communications tant orales qu’écrites. Internet est devenu incontournable dans un cadre professionnel. Les entreprises qui peuvent aujourd’hui se passer de lui sont très rares, et les métiers qui n’ont pas besoin de cet outil se comptent sur les doigts de la main.
Cette évolution présente donc de nombreux avantages, comme la rapidité, la facilité ou l’accessibilité, mais elle n’est cependant pas sans risques. Nous avons vu ces dernières années les attaques par rançongiciel se multiplier et paralyser tant des entreprises ou des hôpitaux que de nombreux particuliers.
Ces attaques récurrentes contre nos entreprises de défense ou nos sociétés commerciales se sont multipliées. Le dernier exemple remonte à quelques jours : des milliers d’informations personnelles des employés de Transavia, la filiale d’Air France, ont été piratées.
Ces attaques nous rappellent à quel point nous avons besoin de protéger nos données. Le RGPD assure un haut niveau de protection des données personnelles des Européens à travers le monde. Cette protection juridique constitue un avantage majeur pour nous tous. Cependant, elle ne garantit pas une protection technique.
Le texte examiné aujourd’hui en deuxième lecture propose une solution. Les sites internet les plus visités devront rendre publics les résultats d’un audit de sécurité, qui portera tant sur la sécurité de données confiées à la plateforme que sur la sécurité de la plateforme elle-même.
Il s’agit donc d’évaluer le niveau technique de cybersécurité de ces sites. Ce dispositif nous semble particulièrement pertinent pour deux raisons.
D’abord, l’approche technique nous semble indispensable aux côtés de la protection juridique.
Ensuite, la publication des audits permet aux utilisateurs de bénéficier d’une meilleure information, afin qu’ils fassent des choix beaucoup plus éclairés, et qu’ils deviennent ainsi des acteurs de leur sécurité en ligne.
Nous voulons dire à cet égard que l’Anssi ne remplit pas seulement un rôle d’expertise. Cette agence tient à développer les connaissances de nos concitoyens en matière de sécurité en ligne, car il s’agit d’une étape cruciale. Comme le remarquent de nombreux informaticiens, la faille de sécurité se situe souvent entre la chaise et le clavier. En devenant plus conscients des enjeux et des mécanismes du cyberespace, nous espérons que nos concitoyens deviendront plus exigeants.
Ce texte constitue donc un réel progrès. Il nous rappelle également que nous devons bâtir la souveraineté de notre pays, y compris dans le domaine numérique. Nos données seront d’autant mieux protégées qu’elles seront hébergées sur notre sol, selon nos règles et sous la compétence de nos tribunaux.
Le développement d’internet a affirmé la suprématie américaine dans ce domaine. Les dernières années nous ont démontré l’importance ultime de préserver notre indépendance et notre souveraineté numérique. Nous devons favoriser le développement de compétiteurs français. C’est à travers la concurrence que nous perfectionnerons les services et qu’une meilleure offre sera proposée aux utilisateurs.
Ce texte donnera davantage de choix à nos compatriotes et renforcera finalement leur sécurité. C’est pourquoi notre groupe votera en faveur de son adoption. (Applaudissements sur les travées du groupe INDEP et sur des travées du groupe UC, ainsi qu’au banc des commissions.)