M. le président. La parole est à Mme Patricia Demas. (Applaudissements sur les travées du groupe Les Républicains.)
Mme Patricia Demas. Monsieur le président, madame la ministre, mes chers collègues, je salue à mon tour l’important travail mené par les rapporteurs dans le cadre de ce projet de loi sur la résilience des infrastructures critiques et le renforcement de la cybersécurité.
Ce texte, qui transpose trois directives européennes, représente indéniablement une avancée majeure pour la protection de notre pays face aux menaces actuelles.
Nous devons saisir cette occasion pour aller encore plus loin, en particulier en matière de sécurité de nos infrastructures numériques, devenues indispensables à notre vie quotidienne, à notre économie et à la continuité même des services essentiels de la Nation.
J’attire votre attention sur un point crucial : la reconnaissance et la protection renforcée des infrastructures des réseaux de communications électroniques et, plus spécifiquement, de la fibre optique et des antennes-relais de téléphonie mobile.
Il serait utile de clarifier leur statut au sein même du code de la défense. En effet, il nous faudrait reconnaître explicitement ces infrastructures comme des activités numériques d’importance vitale.
Cette classification serait loin d’être symbolique. Elle entraînerait de facto l’application d’obligations de sécurité renforcée pour les opérateurs, à la hauteur des enjeux stratégiques qu’elles représentent.
Il serait également utile de ne pas les considérer comme un bloc monolithique. Nous devrions ainsi distinguer les différents types d’infrastructures de fibre optique et de téléphonie mobile en fonction de leur criticité et de leur impact potentiel sur les citoyens en cas de défaillance ou d’attaque.
Une simple armoire de rue n’a évidemment pas le même niveau de criticité stratégique qu’un nœud de raccordement optique, un central téléphonique ou un pylône d’antenne-relais.
Aborder ces aspects dans la loi impliquerait également la définition d’exigences de sécurité qui soient véritablement spécifiques et adaptées à ces infrastructures numériques vitales, autour de trois dimensions de la sécurité : la sécurité physique, modulée en fonction de la criticité des équipements ; la sécurité logique, pour protéger les systèmes d’information associés à ces infrastructures et garantir la mise en œuvre de plans de continuité et de reprise d’activité robustes ; la sécurité environnementale, trop souvent négligée, pour assurer la protection de ces infrastructures face aux aléas extérieurs.
Enfin, il faudrait renforcer et surtout clarifier les obligations qui pèsent sur les opérateurs exploitant ces activités d’importance vitale numériques. Là encore, il me semble essentiel de les préciser dans la loi, pour que ces exigences de sécurité spécifiques ne restent pas lettre morte.
Mes chers collègues, la tempête Alex, qui a frappé si durement les Alpes-Maritimes en 2020, n’est pas un cas isolé. Je peux témoigner, pour l’avoir vécue, de la vulnérabilité de nos infrastructures numériques. Trop de personnes ont été littéralement coupées du monde, privées d’accès à internet et aux communications mobiles pendant des jours, voire des semaines. Cette situation a durablement paralysé l’activité économique de territoires ; elle les a surtout fragilisés, voire mis en danger du fait de leur isolement.
Elle a démontré de façon brutale l’importance cruciale de renforcer la résilience de ces infrastructures face aux aléas climatiques, mais aussi aux actes de malveillance, afin de garantir, en toutes circonstances, la continuité des services essentiels pour nos concitoyens.
Les exigences nouvelles en matière de cybersécurité transposées dans ce projet de loi font écho à la résilience et à la robustesse des réseaux de communication. Et si l’on convient qu’elles sont indispensables, elles représentent par ailleurs un défi significatif, en particulier pour nos collectivités territoriales.
La transposition de la directive NIS 2 étend ces obligations à un grand nombre d’établissements publics de coopération intercommunale, notamment aux plus petites intercommunalités à fiscalité propre, comme les communautés de communes. Or ces structures ne disposent pas toujours des moyens humains, financiers ou de l’ingénierie nécessaires pour se mettre en conformité avec ces nouvelles exigences.
L’expérience du plan France Relance et de son parcours cybersécurité a démontré l’importance d’un accompagnement ciblé. Toutefois, force est de constater que ce dispositif n’a bénéficié qu’à une minorité de petites intercommunalités.
Aussi, pour éviter de placer une nouvelle fois ces dernières dans une situation où elles seraient dans l’incapacité d’assurer leurs obligations, un accompagnement spécifique de l’État sera la clé de voûte pour atteindre réellement – nous l’espérons – les objectifs de ce projet de loi. (Applaudissements sur les travées du groupe Les Républicains, ainsi qu’au banc des commissions.)
M. André Reichardt. Très bien !
M. le président. La parole est à Mme Nicole Duranton.
Mme Nicole Duranton. Monsieur le président, madame la ministre, mes chers collègues, je félicite le président et les rapporteurs de la commission spéciale pour leur travail.
La France, comme le reste du monde, est confrontée à une menace croissante dans le domaine du numérique.
Dans un contexte géopolitique et sécuritaire dégradé, les infrastructures les plus critiques, déjà soumises aux risques naturels et technologiques, peuvent être régulièrement ciblées par des actions malveillantes. Ces actions visent tant les installations physiques que leurs systèmes d’information.
Selon Statista, un tiers des Français a déjà été victime d’une cyberattaque et les trois quarts des entreprises françaises ont subi au moins une attaque de type cyber en 2024.
Ces attaques ne se limitent pas aux personnes et aux entreprises privées. Réseaux hospitaliers, collectivités territoriales, intranet de nos écoles ou encore sites internet institutionnels sont tout autant des cibles vulnérables pour des personnes malveillantes.
Les infrastructures critiques de notre pays, notamment dans les secteurs de l’énergie, des transports ou de la santé, subissent ainsi une menace constante.
Les enjeux sont très importants. Une perturbation de ces infrastructures pourrait, et peut déjà actuellement, avoir des conséquences désastreuses sur la sécurité nationale, l’économie de notre pays ou la santé de nos concitoyens.
Face à cette menace croissante, le projet de loi que nous examinons aujourd’hui vise à mieux nous prémunir contre ce danger nouveau. Il vise ainsi à renforcer la résilience de nos infrastructures critiques et à améliorer notre cybersécurité en transposant dans notre droit national trois directives européennes.
La directive sur la résilience des entités critiques tend à renforcer la capacité de ces acteurs à résister aux perturbations naturelles et humaines.
En transposant cette première directive, le projet de loi permettra de renforcer la résilience de nos infrastructures par l’élargissement du nombre de secteurs concernés, par une meilleure prise en compte des interdépendances entre ces secteurs, y compris entre États membres, ou encore par une obligation de notification des incidents majeurs.
Les opérateurs de ces infrastructures devront ainsi adopter des mesures spécifiques pour assurer la continuité de leurs services en cas de perturbation. Ce texte prévoit en effet le passage d’une logique de protection physique des infrastructures à une logique de résilience et de continuité d’activité.
La directive NIS 2 établit, quant à elle, des exigences de cybersécurité pour les entités de secteurs essentiels.
Conformément aux préconisations de ce texte européen, les entités concernées auront à respecter certaines obligations en matière de cybersécurité : elles devront notamment s’enregistrer auprès d’une autorité nationale, notifier les incidents importants à cette autorité et mettre en œuvre des mesures adaptées de gestion des risques en la matière.
Enfin, la directive Dora, également transcrite dans ce texte, a pour objet de garantir que le secteur financier puisse continuer à fonctionner même en cas de perturbation majeure, en renforçant, à la fois, la protection des données des clients et le rôle des autorités de surveillance, tout en établissant des règles équitables dans l’Union européenne.
Ces trois directives et l’ensemble des mesures qu’elles contiennent constituent une réponse coordonnée au niveau européen pour faire face aux menaces croissantes pesant sur nos infrastructures critiques et notre cybersécurité.
Il est primordial de les transposer dans notre droit national le plus rapidement possible, afin de permettre à notre pays de se doter de l’arsenal juridique permettant de nous protéger et de nous prémunir contre ces menaces.
Cette protection s’effectuera par ailleurs en coopération avec les autres pays membres de l’Union européenne, qui auront eux aussi transposé les trois directives dans leur droit national.
Toutefois, les collectivités territoriales devront être accompagnées dans la mise en œuvre de ces nouvelles obligations. Certains EPCI sont en effet dépourvus de moyens suffisants pour se conformer aux exigences du texte.
Le groupe RDPI plaide ainsi pour l’instauration d’un accompagnement financier et technique de l’État et pour dispenser les collectivités des sanctions pécuniaires prévues en cas de manquement aux obligations de sécurité des systèmes d’information.
Mes chers collègues, il est inutile de vous rappeler les méthodes employées par certains États, notamment la Russie, afin de déstabiliser des pays européens et influer sur leurs décisions et processus démocratiques.
Face à des cybermenaces de plus en plus sophistiquées, globalisées et émanant des quatre coins du monde, il est primordial que nous ne fassions plus preuve de naïveté sur ces questions, et que nous puissions coordonner notre réponse avec nos alliés européens.
Dans la lutte contre la menace cyber, le rôle de l’État doit être central. Il y va de la confiance de nos entreprises et de nos concitoyens, qui doivent être protégés par un État fort et souverain, même dans le monde virtuel.
Le monde numérique continue, grâce à ses progrès technologiques, d’améliorer notre quotidien depuis de nombreuses années. Force est de constater que ces évolutions vont perdurer, notamment en raison du développement de l’intelligence artificielle.
Cependant, lorsque le progrès avance, de nouvelles menaces font leur apparition. Il faut ainsi choisir entre les subir ou s’en prémunir. Il est de notre devoir de nous adapter à ce défi, auquel ce projet de loi apporte une réponse ambitieuse et nécessaire grâce à l’adaptation de notre législation au droit européen.
Aussi, le groupe RDPI votera ce texte.
M. le président. La parole est à M. Bernard Fialaire.
M. Bernard Fialaire. Monsieur le président, madame la ministre, mes chers collègues, Corbeil-Essonnes, Villefranche-sur-Saône, Dax, Charleville-Mézières, Arles, Cannes : voilà une liste non exhaustive de communes dont les hôpitaux ont été la cible de cyberattaques ces dernières années.
Comme le souligne régulièrement l’Anssi, les cybercriminels ciblent de plus en plus régulièrement, sur le territoire français, des hôpitaux à l’aide de rançongiciels, paralysant ainsi l’activité de structures vitales de l’État.
Les conséquences de ces cyberattaques sont évidemment dramatiques. Elles déstabilisent profondément et parfois durablement le fonctionnement des établissements qui en sont victimes. Elles constituent une grave violation du droit à la vie privée, les données volées pouvant être vendues à des tiers, ou encore être utilisées à des fins d’usurpation d’identité.
Il est devenu aussi essentiel de se prémunir contre les risques technologiques que contre les risques naturels, sécuritaires ou sanitaires. Le contexte géopolitique actuel, caractérisé par une tension accrue, nous le rappelle à chaque instant.
La directive REC a pour objectif de renforcer la résilience des opérateurs d’importance vitale désignés comme « entités critiques ». Elle élargit le champ d’application du cadre juridique à onze secteurs et activités, contre deux actuellement en France. Elle impose une application uniforme des obligations de sécurité et de continuité des activités, afin de doter l’ensemble des opérateurs du marché intérieur de standards de sécurité communs, tout en préservant la concurrence.
L’ambition de ce projet de loi est également, en plus de sécuriser les 500 infrastructures critiques, d’assurer la résilience de 15 000 entités dites « essentielles » ou « importantes » et de l’ensemble de leurs systèmes d’information, afin de faire face au risque de cyberattaques, qu’il s’agisse d’hameçonnage, de rançongiciel ou d’exploitation de diverses vulnérabilités des systèmes.
Enfin, le texte renforce la résilience opérationnelle du secteur financier européen en matière de cybersécurité et de gestion des risques informatiques. Les entités financières auront l’obligation de mettre en place des cadres complets de gouvernance des risques liés aux technologies de l’information et de la communication, et de respecter des normes strictes de protection des données des clients.
Il est prévu que l’Anssi, dans sa fonction de contrôle, puisse prononcer des sanctions administratives et financières, d’un montant allant jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires, et imposer une procédure de mise en conformité.
Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont visés par ce texte. Leur infliger des sanctions financières, parfois lourdes, en cas de manquement ne paraît pas adapté à leur situation, alors qu’elles font déjà face à des contraintes financières croissantes. La réalité est que 73 % des petites et moyennes collectivités ne peuvent se permettre de consacrer plus de 5 000 euros par an à l’informatique et à la sécurité des systèmes.
C’est pourquoi le groupe du Rassemblement Démocratique et Social Européen a déposé plusieurs amendements visant à prendre en compte l’impératif donné aux collectivités de maîtriser leurs dépenses dans un contexte de baisse de leurs ressources financières.
Nous proposons de les exonérer de sanctions financières en cas de manquement aux obligations de sécurisation des systèmes d’information. Nous appelons à privilégier des approches alternatives, telles que l’accompagnement, la formation et le soutien technique.
Le groupe du RDSE a également déposé un amendement réduisant l’astreinte pouvant être appliquée à une collectivité de 5 000 euros à 100 euros par jour.
Nous proposons aussi d’exonérer du financement des audits les administrations de l’État, ses établissements publics administratifs, les collectivités territoriales, leurs groupements et leurs établissements publics administratifs. L’imposition d’un contrôle à leur charge représenterait une contrainte financière supplémentaire, qui risquerait d’entraver leur fonctionnement et de compromettre leur équilibre budgétaire.
Enfin, il nous semble raisonnable de laisser un délai de cinq ans pour appliquer les nouvelles règles, ce qui permettrait à l’État d’accompagner les collectivités territoriales dans leur mise en œuvre, par une évaluation des moyens et par la mise en place d’une offre de formation.
Ce texte est nécessaire, mais les obstacles sont multiples. De nombreuses PME sont limitées par des questions de trésorerie : les solutions de détection ne sont pas toujours à leur portée ; elles manquent parfois de ressources humaines ou d’une connaissance des réglementations.
Nous devons veiller à ce que les obligations adoptées soient proportionnées à la situation de l’entité concernée, et à ce que les collectivités, qui sont en première ligne dans la lutte contre les menaces cyber, bénéficient d’un accompagnement de l’État tout au long du processus.
Le groupe RDSE sera vigilant sur ces points.
M. le président. La parole est à M. Olivier Cadic. (Applaudissements sur des travées du groupe UC.)
M. Olivier Cadic. Monsieur le président, madame la ministre, mes chers collègues, j’interviens au titre du groupe Union Centriste, mais, comme vous vous en doutez, ce temps de parole sera également l’occasion pour moi de faire passer quelques messages qui me tiennent à cœur en qualité de président de la commission spéciale.
Je tiens à remercier les membres de cette commission pour leur confiance et leur participation. J’aurai une attention spéciale à l’égard de Catherine Morin-Desailly, qui a présidé, il y a deux ans, la commission spéciale sur le projet de loi visant à sécuriser et réguler l’espace numérique, et qui m’a apporté son soutien et son expérience.
Je souscris en tout point aux constats et aux observations des rapporteurs Michel Canévet, Patrick Chaize et Hugues Saury, qui ont fait évoluer le texte dans le bon sens – je vous remercie d’ailleurs, madame la ministre, de l’avoir souligné –, celui du respect de la lettre des directives à transposer et celui de la simplification pour les entreprises, les collectivités et les administrations publiques qui y seront assujetties.
Je salue leur travail, ainsi que celui de nos collègues qui ont largement participé aux travaux de la commission spéciale et contribué à l’élaboration du texte par leurs amendements, souvent inspirés par les auditions des représentants de l’écosystème.
Je tiens d’ailleurs à exprimer toute ma gratitude à ces derniers, en particulier à l’Alliance pour la confiance numérique (ACN), au CyberCercle ou à la CyberTaskForce. Leur expertise a nourri nos réflexions.
Certains amendements ont été adoptés en commission spéciale. D’autres ont été déposés pour être examinés lors de la séance publique, afin que le Gouvernement puisse éclaircir plusieurs points d’attention que nous avons relevés et s’engager sur ces derniers. Mais j’y reviendrai plus en détail.
Ce texte était très attendu par l’ensemble des professionnels et des parties prenantes des secteurs privé et public, car la transposition de la directive NIS 2 devait intervenir avant le 17 octobre 2024.
Les circonstances politiques que l’on connaît nous auront conduits à surmonter une dissolution de l’Assemblée nationale : alors que le projet de loi devait initialement être présenté en juin 2024, il a finalement été déposé le 15 octobre. Nous avons ensuite dû composer avec la censure du Gouvernement, avant de pouvoir auditionner Mme la ministre déléguée chargée de l’intelligence artificielle et du numérique, en janvier dernier.
En tout état de cause, vous aurez été, madame la ministre, un heureux élément de continuité dans ce processus, ce qui est à souligner.
Nous devons réaliser, dans le domaine de la cybersécurité, un effort tout particulier en matière de sensibilisation et de prise en compte de la gravité des risques encourus. Je participe à cet effort en tant que rapporteur sur les crédits de l’Anssi depuis 2017.
En 2023, les cyberattaques ont coûté près de 90 milliards d’euros à l’économie française. Le Panorama de la cybermenace 2024, que l’Anssi a publié ce matin, démontre que ces attaques ont encore progressé l’année dernière.
Ce projet de loi nous permet de diffuser un message de mobilisation. La commission spéciale y a contribué : j’ai ainsi souhaité que nos auditions fassent l’objet d’une large diffusion publique. Notre devoir est de faire prendre conscience à nos concitoyens des menaces cyber qui pèsent sur eux.
Notre objectif premier n’est pas d’empêcher les cyberattaques. Elles ne pourront que s’accentuer dans les années qui viennent – c’est un fait. Vous avez indiqué, madame la ministre, que la question n’est pas de savoir si un organisme sera attaqué, mais quand il le sera. Pour ma part, j’ai l’habitude de dire qu’il y a ceux qui ont été attaqués et ceux qui le sont déjà, mais qui ne le savent pas encore. L’objectif des acteurs concernés est d’être plus résilients et de redémarrer très vite après une cyberattaque.
Je voudrais ici relayer quelques-unes des nombreuses observations qui nous ont été faites.
J’ai relevé un premier paradoxe. Bien que l’Anssi ait indiqué avoir conduit, depuis septembre 2023, des consultations avec plus de soixante-dix fédérations professionnelles, ainsi qu’avec les onze principales associations d’élus et quatre fédérations de collectivités territoriales, et en dépit du fait que l’étude d’impact du projet de loi comporte plus de 900 pages, l’ensemble des personnes que nous avons entendues ont déploré un manque d’information et de concertation, notamment sur les dispositions réglementaires d’application du projet de loi.
Cela soulève un second paradoxe. De nombreux intervenants ont souligné l’absence de transposition de certaines dispositions figurant dans les directives, telles que les définitions des notions de périmètre d’activité, d’incidents et de délais. Cette omission a pu être qualifiée de « sous-transposition législative », laquelle est susceptible d’engendrer le risque d’une « surtransposition réglementaire ».
Le projet de loi renvoie à quarante décrets en Conseil d’État. De fait, ni les acteurs concernés ni la commission spéciale n’ont été rassurés sur la méthode de concertation et d’élaboration de ces derniers.
J’ai eu plusieurs fois le sentiment que le projet de loi donnait carte blanche à l’administration, sans que le législateur ait son mot à dire.
C’est pourquoi la commission spéciale a formulé plusieurs recommandations à l’attention du Gouvernement : premièrement, veiller à la proportionnalité des obligations des entités assujetties ; deuxièmement, fournir un effort de simplification des mesures d’application ; troisièmement, se garder de toute surtransposition réglementaire ; quatrièmement, enfin, accompagner les collectivités territoriales dans cette démarche nouvelle, en tenant compte des problématiques de compétences et de financement.
À titre plus personnel, j’estime, avec mon groupe, qu’il est important que le projet de loi ne soit pas perçu comme un catalogue inintelligible d’obligations et de sanctions. Il doit au contraire faire valoir une vision positive de l’élévation du niveau de résilience et de cybersécurité de tout le pays.
Plus largement, et pour conclure en ce qui concerne la dimension européenne de cette transposition, je voudrais poser la question de l’harmonisation européenne, ou plutôt, devrais-je dire, du risque de non-harmonisation, source de distorsions de concurrence avec nos voisins européens.
Un exemple précis vaut mieux qu’un long discours : comme l’a rappelé opportunément notre collègue Vanina Paoli-Gagin, nos voisins belges ont déjà transposé la directive NIS 2. Ils nous ont indiqué qu’ils prenaient pour référence le respect de la norme ISO 27001 sur les systèmes de management de la sécurité de l’information. En d’autres termes, en Belgique, on considère qu’une entreprise qui respecte cette norme remplit les obligations de la directive.
Est-ce qu’une entreprise française qui respecterait la norme ISO 27001 et les obligations complémentaires prévues en Belgique serait considérée comme remplissant ses obligations dans notre cadre national ? Non, répond l’Anssi ! C’est révélateur d’une démarche qui ne va pas dans le sens de la simplification, de l’harmonisation et de la concurrence au sein de l’Union européenne.
Vous nous annoncez, madame la ministre, la création d’un label national : cela promet… Il convient clairement de trouver le point d’équilibre entre le besoin légitime de sécurité nationale et l’acceptation des normes par les acteurs concernés.
Ce processus ne peut être laissé à la seule discrétion d’une agence qui ne rend aucun compte devant les entreprises et les collectivités. J’en appelle à vous, madame la ministre, pour élever au niveau politique le pilotage de la mise en œuvre de ce projet de loi.
En conclusion, je voudrais évoquer mon amendement n° 1 rectifié quinquies. Je souhaiterais qu’il ne soit pas possible d’imposer aux fournisseurs de services de chiffrement d’intégrer des dispositifs techniques visant à affaiblir volontairement la sécurité de leurs systèmes.
Garantir la sécurité numérique constitue un véritable enjeu du texte. Laisser des brèches dans le cryptage des données, via des « portes dérobées », appelées backdoors, peut poser de véritables problèmes. Fragiliser la sécurité des solutions de chiffrement françaises et européennes nuirait à notre compétitivité face aux acteurs internationaux.
Cet amendement a reçu de nombreux soutiens de la part des acteurs du numérique. Votre avis, madame la ministre, fera l’objet d’une large attention. Je vous inviterai, mes chers collègues, à voter mon amendement.
Notre travail ne sera pas terminé avec le vote du texte. Pour être efficace, le projet de loi doit être largement accepté par tous. Cela dépendra de la qualité du dispositif qui sera retenu pour le mettre en œuvre.
Le groupe Union Centriste votera évidemment ce texte. (Applaudissements sur les travées du groupe UC.)
Mme Catherine Morin-Desailly. Bravo !
M. le président. La parole est à Mme Michelle Gréaume. (Applaudissements sur les travées du groupe CRCE-K, ainsi que sur des travées du groupe SER.)
Mme Michelle Gréaume. Monsieur le président, madame la ministre, mes chers collègues, il y a des décennies où rien ne se passe, et des semaines où le temps s’accélère.
Le monde s’embrase ; nous assistons à une militarisation croissante d’internet et à une explosion de la cybercriminalité. En ce sens, la cybersécurité s’impose aujourd’hui comme un enjeu stratégique, qui irrigue l’ensemble des sphères de notre société, de nos institutions et de notre économie.
Si le texte dont nous débattons aujourd’hui répond à certaines urgences, il demeure en deçà des véritables enjeux. Il est, en réalité, le produit d’une doctrine politique qui s’est résignée à la dépendance, préférant la résilience à la souveraineté, l’adaptation à la maîtrise, et la soumission aux rapports de force du capitalisme numérique mondialisé plutôt que la reconquête de nos capacités industrielles et technologiques.
Alors que la France était le pays de référence en matière de savoir-faire et de conception de produits numériques à grande échelle, notre dépendance technologique n’a jamais été aussi grande vis-à-vis du cloud et des logiciels américains.
Pourtant, comme le soulignent de nombreux chercheurs, nous avons été capables de déployer intégralement des réseaux filaires, satellitaires ou mobiles, ainsi que des câbles sous-marins, en nous appuyant quasi exclusivement sur des acteurs industriels nationaux. L’invention du Minitel, la mise au point de la technologie Numéris, le déploiement d’un réseau mobile GSM, de l’ADSL ou encore de la carte Vitale, tout cela était le fruit d’un tissu industriel et de recherche national.
Mais les gouvernements successifs ont fait le choix de la désindustrialisation dans les secteurs des télécoms et de l’électronique grand public. Ils ont laissé disparaître des sociétés comme Thomson, Alcatel ou Gemplus, alors qu’elles disposaient de brevets essentiels pour la distribution de contenus numériques.
Mme Catherine Morin-Desailly. Eh oui !
Mme Michelle Gréaume. Ommic, fleuron français de semi-conducteurs pour l’industrie des télécommunications et le domaine spatial, a lui aussi été vendu. De nos jours, le Gouvernement continue de délaisser Atos.
La privatisation et l’ouverture à la concurrence des réseaux téléphoniques ont balayé les laboratoires de recherche de France Télécom.
Les résultats de ces renoncements sont criants : nous avons manqué le tournant du cloud computing et des plateformes logicielles stratégiques. Nous avons abandonné notre destin numérique aux Gafam (Google, Apple, Facebook, Amazon, Microsoft) et aux grandes entreprises transnationales, qui dictent désormais les normes, fixent les prix et captent la valeur de notre propre développement numérique.
À l’heure actuelle, la France importe près de 20 milliards d’euros de technologies chaque année. Loin d’être un acteur de la révolution numérique en cours, nous en sommes devenus les consommateurs passifs, tributaires des infrastructures étrangères, prisonniers de systèmes d’exploitation, de solutions logicielles et de services cloud extraterritoriaux. Nous n’embrassons pas le futur, nous l’achetons ou nous le louons !
Le texte dont nous débattons aujourd’hui est le résultat de cet abandon d’une volonté de souveraineté numérique. Cette dernière laisse la place à la notion de résilience.
En effet, cette notion, centrale dans ce nouveau train de directives, traduit une stratégie orientée vers l’aval de la chaîne de valeur, fondée sur la sécurisation des solutions logicielles, des architectures réseau et des systèmes d’information, de nouvelles obligations de reporting et la surveillance des prestataires de technologies critiques. Tout cela doit se mettre en place sans que les coûts pour les entreprises et les collectivités territoriales soient finement évalués.
Néanmoins, lors des auditions de la commission spéciale, la question du financement et de l’accompagnement des nouvelles entités soumises à régulation a été soulevée par l’ensemble des acteurs, comme par des sénateurs de tous bords.