M. le président. L’amendement n° 158, présenté par M. P. Laurent, Mme Gréaume et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :
Alinéa 4
Remplacer les mots :
peut être interdit, limité ou encadré
par les mots :
est interdit
La parole est à M. Pierre Laurent.
M. Pierre Laurent. Monsieur le président, si vous le permettez, je présenterai en même temps les amendements nos 158, 159 et 160.
M. le président. J’appelle donc en discussion les amendements n° 159 et 160.
L’amendement n° 159, présenté par M. P. Laurent, Mme Gréaume et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :
Alinéa 9
Remplacer les mots :
peut être interdit, limité ou encadré
par les mots :
est interdit
L’amendement n° 160, présenté par M. P. Laurent, Mme Gréaume et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :
Alinéa 13
Remplacer les mots :
peut être interdit, limité ou encadré
par les mots :
est interdit
Veuillez poursuivre, mon cher collègue.
M. Pierre Laurent. Il s’agit de remplacer la formule « peut être interdit, limité ou encadré » par les mots « est interdit », afin de durcir les modalités de recours à des sous-traitants en matière de nucléaire militaire et de matières premières nucléaires.
On nous rétorque que c’est impossible dans la situation actuelle. Or la rédaction de l’article 29, qui dispose qu’un tel recours peut être interdit, limité ou encadré, montre bien qu’un problème peut exister en la matière. Il faut donc traiter cette question.
Je suis prêt à retirer ces amendements, mais je voudrais tout d’abord que l’on nous en dise davantage sur l’état du problème. Y a-t-il un problème, voire un danger potentiel, qui mériterait que ce recours soit mieux encadré et limité qu’aujourd’hui ?
Si l’on nous donne des explications, alors nous pourrons retirer ces trois amendements, qui ont le même objet. Mais dites-nous au moins si nous traitons un problème réel !
M. le président. Quel est l’avis de la commission ?
M. Christian Cambon, rapporteur. Les dispositions de ces amendements sont difficilement applicables. Il est impossible d’interdire toute prestation privée et toute sous-traitance dans le domaine du nucléaire de défense.
La raison en est simple : les compétences des entreprises privées de la BITD sont absolument incontournables pour entretenir et réaliser les chaudières nucléaires ou les vecteurs des têtes nucléaires.
Voilà pourquoi nous avons approuvé l’article 29 sans modifications.
J’émets donc un avis défavorable sur ces trois amendements.
M. le président. Quel est l’avis du Gouvernement ?
M. Sébastien Lecornu, ministre. Cette distinction existe – elle est même encadrée. En effet, si l’on interdisait purement et simplement à certaines entreprises de recourir à la BITD, Orano et Framatome, par exemple, que vous connaissez bien, ne pourraient plus intervenir.
De même, dans le cadre des contrats opérationnels liés à la dissuasion, certaines entreprises, qui sont d’anciens arsenaux militaires, accomplissent des tâches sur des segments précis – par exemple, Naval Group à l’île Longue ou à Toulon –, pour des raisons que nous comprenons bien, qui sont le fruit de notre histoire. Interdire le recours, c’est donc interdire Naval Group, Orano et Framatome.
Si, en accord avec vos collègues de l’Assemblée nationale, le Gouvernement a choisi d’encadrer ce recours, c’est parce que nous voulons garantir le statu quo. Il n’est pas question d’ouvrir les sujets nucléaires à d’autres entreprises que celles avec lesquelles nous avons déjà l’habitude de travailler.
Voilà les quelques explications synthétiques que je puis vous fournir sur la rédaction de cet article, monsieur Laurent.
La Gouvernement demande donc le retrait de ces trois amendements. À défaut, son avis serait défavorable.
M. le président. Monsieur Laurent, les amendements nos 158, 159 et 160 sont-ils maintenus ?
M. Pierre Laurent. Non, je les retire, monsieur le président.
M. le président. Les amendements nos 158, 159 et 160 sont retirés.
Je mets aux voix l’article 29.
(L’article 29 est adopté.)
Article 30
(Non modifié)
L’article 698-1 du code de procédure pénale est ainsi modifié :
1° Aux deux premières phrases du premier alinéa et au dernier alinéa, le mot : « chargé » est supprimé ;
2° Il est ajouté un alinéa ainsi rédigé :
« Le procureur de la République avise le ministre de la défense ou l’autorité militaire habilitée par lui des poursuites ou des mesures alternatives aux poursuites qui ont été décidées à la suite de la dénonciation ou de l’avis mentionné au même premier alinéa. Lorsqu’il décide de classer sans suite la procédure, il les avise également de sa décision, en indiquant les raisons juridiques ou d’opportunité qui la justifient. » – (Adopté.)
Article 31
(Non modifié)
Le titre III de l’ordonnance n° 2016-1687 du 8 décembre 2016 relative aux espaces maritimes relevant de la souveraineté ou de la juridiction de la République française est ainsi modifié :
1° À l’intitulé, après le mot : « recherche », sont insérés les mots : « et des études » ;
2° Il est ajouté un article 41-1 ainsi rédigé :
« Art. 41-1. – Les activités d’études préalables à la pose ou à l’enlèvement d’un câble ou d’un pipeline sous-marin en mer territoriale sont subordonnées à la délivrance d’une autorisation, dans des conditions fixées par décret en Conseil d’État.
« Cette autorisation prend en compte les incidences que peuvent avoir ces activités sur la sécurité de la navigation, sur la protection de l’environnement ou des biens culturels maritimes ou sur la sauvegarde des intérêts de la défense nationale. »
M. le président. L’amendement n° 284, présenté par le Gouvernement, est ainsi libellé :
Alinéa 4
Après le mot :
territoriale
insérer les mots :
et dans les eaux intérieures
La parole est à M. le ministre.
M. le président. Quel est l’avis de la commission ?
M. Christian Cambon, rapporteur. Je vais tout de même dire un mot de cet amendement du Gouvernement, que nous allons soutenir, mais que le ministre n’explique pas…
Les dispositions de cet amendement sont positives, car elles étendent aux eaux intérieures la procédure d’autorisation prévue pour les activités d’études préalables à la pose ou à l’enlèvement d’un câble ou d’un pipeline sous-marin en mer territoriale. Ce sont des espaces où s’exerce la souveraineté de la République française.
Ces dispositions vont évidemment dans le bon sens. J’émets donc un avis favorable.
M. le président. Je mets aux voix l’article 31, modifié.
(L’article 31 est adopté.)
Chapitre V
Sécurité des systèmes d’information
Article 32
Après l’article L. 2321-2-2 du code de la défense, il est inséré un article L. 2321-2-3 ainsi rédigé :
« Art. L. 2321-2-3. – I. – Lorsqu’il est constaté qu’une menace susceptible de porter atteinte à la défense et à la sécurité nationale résulte de l’exploitation d’un nom de domaine à l’insu de son titulaire qui l’a enregistré de bonne foi, l’autorité nationale de sécurité des systèmes d’information peut demander à ce titulaire de prendre les mesures adaptées pour neutraliser cette menace dans un délai qu’elle lui impartit et qui tient compte de la nature de ce titulaire ainsi que de ses contraintes opérationnelles.
« En l’absence de neutralisation de cette menace dans le délai imparti, l’autorité nationale de sécurité des systèmes d’information peut demander :
« 1° À un fournisseur de système de résolution de noms de domaine, au sens de l’article L. 2321-3-1, de bloquer le nom de domaine ;
« 2° À l’office d’enregistrement, mentionné à l’article L. 45 du code des postes et des communications électroniques, ou à un bureau d’enregistrement établi sur le territoire français, mentionné à l’article L. 45-4 du même code, de suspendre le nom de domaine.
« Lorsque le titulaire du nom de domaine apporte des éléments permettant d’établir que la menace est neutralisée, l’autorité nationale mentionnée au premier alinéa du présent I demande qu’il soit mis fin sans délai aux mesures prises en application des 1° ou 2°.
« II. – Lorsqu’il est constaté qu’une menace susceptible de porter atteinte à la défense et à la sécurité nationale résulte de l’exploitation d’un nom de domaine enregistré à cette fin, l’autorité nationale de sécurité des systèmes d’information peut demander :
« 1° À une personne mentionnée au 1° du I de procéder au blocage ou à la redirection du nom de domaine vers un serveur sécurisé de l’autorité nationale ou vers un serveur neutre ;
« 2° À l’office d’enregistrement ou à un bureau d’enregistrement, mentionnés au 2° du même I, d’enregistrer, de renouveler, de suspendre ou de transférer le nom de domaine. À la demande de l’autorité, les données d’enregistrement ne sont pas rendues publiques.
« III. – Les mesures prévues aux I et II sont prises par les personnes mentionnées aux 1° et 2° des mêmes I et II dans un délai, fixé par l’autorité nationale de sécurité des systèmes d’information, qui ne peut être inférieur à deux jours ouvrés.
« Elles sont mises en œuvre pour une durée et dans une mesure strictement nécessaires et proportionnées dans leurs effets à la préservation de l’intégrité du réseau, à la caractérisation et la neutralisation de la menace et à l’information des utilisateurs ou détenteurs des systèmes affectés, menacés ou attaqués.
« Les mesures de redirection d’un nom de domaine vers un serveur sécurisé de l’autorité nationale de sécurité des systèmes d’information prises aux fins de caractérisation de la menace ne peuvent excéder une durée de deux mois. Elles peuvent être renouvelées une fois en cas de persistance de la menace, sur avis conforme de l’Autorité des régulations des communications électroniques, des postes et de la distribution de la presse. Elles prennent fin, sans délai, lorsque la menace est neutralisée.
« Les mesures prévues auxdits I et II, exception faite de celles prévues au troisième alinéa du présent III sont soumises au contrôle de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse dans les conditions prévues au I de l’article L. 36-14 du code des postes et des communications électroniques.
« IV. – Les données directement utiles à la caractérisation des menaces, recueillies par l’autorité nationale de sécurité des systèmes d’information en application du II du présent article, ne peuvent être conservées plus de cinq ans. Les autres données recueillies sont détruites dans un délai bref, précisé par voie réglementaire, quand elles ne sont pas utiles à la caractérisation de la menace, à l’exception des données permettant d’identifier les utilisateurs ou les détenteurs des systèmes d’information menacés, lesquels peuvent être informés par l’autorité mentionnée à la première phrase du présent IV, le cas échéant après mise en œuvre du premier alinéa de l’article L. 2321-3.
« V. – Un décret en Conseil d’État, pris après avis de la Commission nationale de contrôle des techniques de renseignement, de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse et de la Commission nationale de l’informatique et des libertés, précise les modalités d’application du présent article ainsi que les modalités de compensation des surcoûts identifiables et spécifiques des prestations assurées à ce titre, à la demande de l’État, par les personnes mentionnées aux 1° et 2° des I et II du présent article. »
M. le président. L’amendement n° 207 rectifié, présenté par MM. Gontard, Benarroche, Breuiller, Dantec, Dossus, Fernique et Labbé, Mme de Marco, M. Parigi, Mme Poncet Monge, M. Salmon et Mme M. Vogel, est ainsi libellé :
Alinéas 2 et 7
Remplacer les mots :
à la sécurité nationale
par les mots :
aux intérêts fondamentaux de la Nation au sens de l’article 410-1 du code pénal
La parole est à M. Guillaume Gontard.
M. Guillaume Gontard. Cet amendement a pour objet d’encadrer les prérogatives confiées à l’Agence nationale de la sécurité des systèmes d’information (Anssi) en matière de cybersécurité.
Selon la rédaction actuelle de l’article 32, l’Anssi peut utiliser certaines des prérogatives qui lui sont confiées, comme le blocage de noms de domaine, en cas de menaces susceptibles de porter atteinte à la sécurité nationale.
Malgré les explications des rapporteurs en commission, nous continuons à penser qu’il faut préférer à la notion de sécurité nationale, encore trop floue, celle d’intérêts fondamentaux de la Nation, comme le souligne l’éminent juriste M. Bertrand Warusfel, vice-président de l’association française de droit de la sécurité de la défense.
Il n’est donc pas excessif de considérer que la protection des intérêts de la Nation constitue la traduction pénale de la mise en œuvre de la stratégie de sécurité nationale. En effet, les principaux actes d’hostilité, de sabotage ou simplement d’espionnage intervenant dans un domaine susceptible de menacer la sécurité nationale peuvent être réprimés sur le fondement des articles 410-1 à 411-11 du code pénal.
En d’autres termes, les poursuites pénales prévues par le livre IV du code pénal sont en quelque sorte des instruments juridiques de la politique de sécurité nationale dont l’État a la charge exclusive.
Sur cette base, autant préciser immédiatement dans cet article et les suivants la notion d’intérêts fondamentaux de la Nation, afin de renforcer la robustesse juridique du dispositif.
Compte tenu de l’ensemble des prérogatives accordées à l’Anssi, notamment à propos de la liberté d’accéder au service de communication au public, qui est une composante de la liberté d’expression et de communication, consacrée à l’article XI de la Déclaration des droits de l’homme et du citoyen, nous estimons que cette sécurité juridique supplémentaire n’est pas un luxe.
M. le président. Quel est l’avis de la commission ?
M. Christian Cambon, rapporteur. Cet amendement a été rejeté en commission, car le remplacement de la notion de sécurité nationale par celle d’atteinte pénale aux intérêts fondamentaux de la Nation n’est absolument pas adapté à la lutte contre les cybermenaces.
De plus, le dispositif proposé est beaucoup plus protecteur des libertés que la notion d’intérêts fondamentaux de la Nation.
J’émets donc un avis défavorable sur cet amendement.
M. le président. Quel est l’avis du Gouvernement ?
M. Jean-Noël Barrot, ministre délégué auprès du ministre de l’économie, des finances et de la souveraineté industrielle et numérique, chargé de la transition numérique et des télécommunications. J’émets le même avis défavorable que la commission.
M. le président. Je mets aux voix l’article 32.
(L’article 32 est adopté.)
Article 33
Après l’article L. 2321-3 du code de la défense, il est inséré un article L. 2321-3-1 ainsi rédigé :
« Art. L. 2321-3-1. – Aux seules fins de détecter et de caractériser des menaces et attaques informatiques susceptibles de porter atteinte à la défense, la sécurité nationale et à la sécurité des systèmes d’information, les fournisseurs de système de résolution de noms de domaine transmettent aux agents de l’autorité nationale de sécurité des systèmes d’information individuellement désignés et spécialement habilités les données techniques ni directement ni indirectement identifiantes enregistrées de manière temporaire par leurs serveurs gérant le système d’adressage par domaines.
« À cette fin, les fournisseurs de système de résolution de noms de domaine transmettent à l’autorité nationale de sécurité des systèmes d’information les données mentionnées au premier alinéa qu’ils rendent préalablement anonymes. En tout état de cause, ils ne transmettent aucune donnée technique permettant d’identifier la source de la connexion ou relative aux équipements terminaux utilisés. Les données transmises ne peuvent être exploitées qu’aux seules fins mentionnées au même premier alinéa, à l’exclusion de toute autre exploitation, et ne peuvent être conservées plus de cinq ans.
« Pour l’application du même premier alinéa, on entend par fournisseur de système de résolution de noms de domaine la personne mettant à disposition un service permettant la traduction d’un nom de domaine en un numéro unique identifiant un appareil connecté à internet.
« Un décret en Conseil d’État, pris après avis de la Commission nationale de contrôle des techniques de renseignement, de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse et de la Commission nationale de l’informatique et des libertés, détermine les modalités d’application du présent article. Il détermine notamment les données techniques collectées par les agents de l’autorité nationale de sécurité des systèmes d’information ainsi que la fréquence et les conditions de leur transmission par les fournisseurs de système de résolution de noms de domaine. »
M. le président. L’amendement n° 209 rectifié, présenté par MM. Gontard, Benarroche, Breuiller, Dantec, Dossus, Fernique et Labbé, Mme de Marco, M. Parigi, Mme Poncet Monge, M. Salmon et Mme M. Vogel, est ainsi libellé :
Alinéa 2
Remplacer les mots :
à la défense, la sécurité nationale
par les mots :
aux intérêts fondamentaux de la Nation au sens de l’article 410-1 du code pénal
La parole est à M. Guillaume Gontard.
M. le président. Quel est l’avis de la commission ?
M. Christian Cambon, rapporteur. Pour les raisons qui ont été exposées précédemment, la commission est également défavorable à cet amendement.
M. le président. Quel est l’avis du Gouvernement ?
M. le président. Je mets aux voix l’article 33.
(L’article 33 est adopté.)
Article 34
Après l’article L. 2321-4 du code de la défense, il est inséré un article L. 2321-4-1 ainsi rédigé :
« Art. L. 2321-4-1. – En cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits, les éditeurs de logiciels notifient à l’autorité nationale de sécurité des systèmes d’information cette vulnérabilité ou cet incident ainsi que l’analyse de ses causes et conséquences. Cette obligation s’applique aux éditeurs qui fournissent ce produit :
« 1° Sur le territoire français ;
« 2° À des sociétés ayant leur siège social sur le territoire français ;
« 3° Ou à des sociétés contrôlées, au sens de l’article L. 233-3 du code de commerce, par des sociétés ayant leur siège social sur le territoire français.
« Les éditeurs de logiciels informent les utilisateurs recourant à ce produit dans un délai fixé par l’autorité nationale de sécurité des systèmes d’information. Ce délai est déterminé en fonction de l’urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives. À défaut, l’autorité nationale de sécurité des systèmes d’information peut enjoindre aux éditeurs de logiciels de procéder à cette information. Elle peut également informer les utilisateurs ou rendre publics cette vulnérabilité ou cet incident ainsi que son injonction aux éditeurs si celle-ci n’a pas été mise en œuvre.
« Pour l’application du présent article, on entend par éditeur de logiciel toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d’utilisateurs, à titre onéreux ou gratuit.
« Pour l’application du premier alinéa, on entend par incident informatique tout événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement ou des services que les réseaux et les systèmes d’information offrent ou rendent accessibles.
« Un décret en Conseil d’État, pris après avis de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, fixe les modalités d’application du présent article. Il précise notamment les critères d’appréciation du caractère significatif de la vulnérabilité ou de l’incident mentionnés au premier alinéa. Le caractère significatif de la vulnérabilité est défini en fonction des pratiques et des standards internationaux communément admis. »
M. le président. Je suis saisi de deux amendements faisant l’objet d’une discussion commune.
L’amendement n° 34 rectifié, présenté par Mmes Assassi et Cukierman, M. P. Laurent, Mme Gréaume et les membres du groupe communiste républicain citoyen et écologiste, est ainsi libellé :
Alinéa 2, après la première phrase
Insérer une phrase ainsi rédigée :
À défaut, les éditeurs de logiciels sont passibles d’une amende administrative pouvant aller jusqu’à 4 % de leur chiffre d’affaires.
La parole est à M. Pierre Laurent.
M. Pierre Laurent. Par cet amendement, le groupe CRCE propose de renforcer les pouvoirs de l’Anssi en matière de sanctions lorsque les éditeurs de logiciels font preuve d’une négligence intentionnelle envers leurs obligations d’informer leurs utilisateurs en cas de vulnérabilité ou d’incident affectant leurs produits.
Actuellement, l’article 34 de ce projet de loi ne prévoit pas de sanctions financières spécifiques à l’encontre des éditeurs de logiciels.
Nous estimons qu’il est crucial de remédier à cette lacune, afin de garantir une responsabilité adéquate des éditeurs et de prévenir les situations où des informations critiques en matière de défense et de sécurité nationale sont sciemment dissimulées à l’Anssi.
Dans cette perspective, nous proposons de nous inspirer du règlement général sur la protection des données (RGPD), qui établit des sanctions pécuniaires significatives en cas de violation des règles de protection des données personnelles.
Nous souhaitons que des sanctions analogues à celles qui sont prévues par le RGPD puissent être imposées dans le cadre de l’article 34 du projet de loi lorsque les éditeurs de logiciels manquent délibérément à leurs obligations d’information envers l’Anssi.
Nous renforcerons ainsi l’incitation des éditeurs à prendre leurs responsabilités en matière de sécurité. Cela contribuera à assurer un niveau adéquat de transparence et de coopération entre les éditeurs et les autorités compétentes. Cela jouera un rôle crucial dans la protection de nos intérêts nationaux en matière de défense et de sécurité.
M. le président. L’amendement n° 95, présenté par MM. M. Vallet, Bourgi, Temal et Kanner, Mmes Carlotti, Conway-Mouret et G. Jourda et MM. Roger, Todeschini, Vallini et Vaugrenard, est ainsi libellé :
I. – Après l’alinéa 8
Insérer neuf alinéas ainsi rédigés :
« L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, à la demande de l’autorité nationale de sécurité des systèmes d’information, sanctionner l’absence de notification des cas visés au premier alinéa ou l’absence d’information des utilisateurs prévue au cinquième alinéa qu’elle constate de la part de l’éditeur de logiciels.
« Ce pouvoir de sanction est exercé dans les conditions suivantes :
« 1° L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse peut, après instruction conduite par ses services, notifier les griefs à l’éditeur de logiciel en cause. Elle transmet alors le dossier d’instruction et la notification des griefs à la formation restreinte.
« 2° Après que l’éditeur de logiciel en cause a reçu la notification des griefs, a été mis à même de consulter le dossier et de présenter ses observations écrites, et avant de prononcer une sanction, la formation restreinte procède, selon une procédure contradictoire, à l’audition du représentant de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse chargé de l’instruction, du représentant de l’autorité nationale de sécurité des systèmes d’information à l’origine du signalement et de l’éditeur de logiciels en cause.
« La formation restreinte peut, en outre, entendre toute personne dont l’audition lui paraît utile.
« La formation restreinte peut prononcer à l’encontre de l’éditeur de logiciels, une sanction pécuniaire dans la limite de 1 % du chiffre d’affaires annuel mondial hors taxes au titre de l’année précédant celle durant laquelle le manquement de notification des cas visés au premier alinéa ou l’absence d’information des utilisateurs prévue au cinquième alinéa a été constaté.
« Ce taux est porté à 5 % en cas d’un nouveau manquement constaté.
« Les sanctions pécuniaires sont recouvrées comme les créances de l’État étrangères à l’impôt et au domaine.
« La décision de la formation restreinte est motivée et notifiée à l’éditeur de logiciels intéressé. Elle peut être rendue publique dans les publications, journaux ou services de communication au public par voie électronique choisis par la formation restreinte, dans un format et pour une durée proportionnée à la sanction infligée. Elle peut faire l’objet d’un recours de pleine juridiction. »
II. – Compléter cet article par une phrase ainsi rédigée :
« Il fixe également les modalités du pouvoir de sanction de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse en cas de manquement aux obligations prévues par le présent article. »
La parole est à M. Mickaël Vallet.