Le 24 février 2022, le Sénat a voté de façon définitive (sans modification) en deuxième lecture la proposition de loi. Le texte avait été déposé par le sénateur Laurent Lafon et plusieurs de ses collègues le 15 juillet 2020. Il avait été adopté en première lecture, avec modifications, par le Sénat le 22 octobre 2020, puis par l'Assemblée nationale le 26 novembre 2021. L’intégralité du compte-rendu de l’adoption définitive
Mme la présidente. - L'ordre du jour appelle la discussion en deuxième lecture de la proposition de loi, modifiée par l'Assemblée nationale en première lecture, pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public, à la demande du groupe UC.
Discussion générale
M. Cédric O, secrétaire d'État, chargé de la transition numérique et des communications électroniques . - Les deux chambres ont enrichi et adopté en première lecture cette proposition de loi du sénateur Lafon, déposée le 15 juillet 2020.
La menace cyber va croissant, les attaquants redoublant d'imagination contre les citoyens, les entreprises, les administrations, les établissements de santé, sous diverses formes. Ces derniers mois, les tentatives d'arnaques au compte formation ont ainsi explosé.
Les risques sont cependant mieux connus, grâce à de vastes campagnes d'information. Nous avons adopté des réflexes d'hygiène numérique en matière de lutte contre le risque cyber.
Je salue le travail de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et des équipes de cybermalveillance.gouv.fr, qui luttent quotidiennement contre ces menaces.
La lutte contre ce phénomène appelle une réponse systémique européenne et un changement des usages.
C'est le sens des travaux engagés au niveau européen pour l'adaptation de notre cadre réglementaire, dans la droite ligne du Règlement général sur la protection des données (RGPD). Nous soutenons notamment une révision ambitieuse de la directive Network and Information Security (NIS).
Il faut également poursuivre l'information des consommateurs pour modifier les comportements. Cela a fonctionné en matière d'alimentation avec le Nutriscore et nous pouvons nous en inspirer. Les conditions générales d'utilisation contiennent de nombreuses informations pour un consommateur avisé, mais elles semblent peu exploitables pour le plus grand nombre. Nous devons aller vers plus de transparence. La cybersécurité souffre d'une image de science froide, seulement accessible aux initiés : il faut rendre le sujet plus accessible.
Je réitère le soutien du Gouvernement à cette proposition de loi, qui a quelque peu évolué depuis son dépôt, au gré d'aménagements constructifs. Il reviendra à l'exécutif de préciser plusieurs éléments ; nous nous y emploierons.
La direction prise est la bonne : plus grande information du consommateur, plus grande transparence de cette information. Les bases d'un cercle vertueux sont ainsi posées. (Applaudissements sur les travées du RDPI ; MM. Laurent Lafon et Pierre Louault applaudissent également.)
Mme Anne-Catherine Loisier, rapporteure de la commission des affaires économiques . - (Applaudissements sur les travées du groupe UC) La commission a adopté à l'unanimité ce texte de création d'un cyberscore visant à informer les consommateurs sur la sécurité des solutions numériques qu'ils utilisent. L'enjeu est de taille.
Le rapport Meurant-Cardon indique que 43 % des entreprises françaises ont connu un problème de cybersécurité en 2020, que 16 % des cyberattaques ont menacé la survie des entreprises concernées et que les attaques au rançongiciel ont été multipliées par quatre en un an.
Quant au rapport Babary-Gatel, il a montré que 30 % des collectivités territoriales en ont été victimes en 2020, mais que peu ont pris des mesures.
Entreprises et collectivités territoriales sont désormais mieux informées, mais l'information des consommateurs demeure insuffisante, à l'heure où nous utilisons de plus en plus de solutions numériques pour le travail et les loisirs, sans être toujours très précautionneux. Les attaques et incidents sont de plus en plus fréquents ; nos habitudes, elles, n'évoluent pas en conséquence.
L'article premier porte sur le périmètre du texte. Nous avions souhaité inclure les plateformes numériques les plus utilisées, ainsi que les logiciels de visioconférence. Finalement, l'Assemblée nationale a retenu la notion d'opérateurs, à laquelle les logiciels de messagerie instantanée et de visioconférence ont été ajoutés.
Un deuxième enjeu concerne la nature du dispositif ; le Sénat souhaitant qu'il ne soit ni trop coûteux ni trop contraignant pour les PME. Un équilibre a été trouvé avec un audit de cybersécurité réalisé par des prestataires agréés par l'ANSSI.
Enfin, le contenu de l'audit sera défini par arrêté ministériel. Il portera sur la sécurisation, mais aussi la localisation, des données ; nous y sommes favorables, car une localisation européenne offre des garanties supérieures de sécurité en matière juridique notamment.
Mais la localisation ne peut être le seul critère. Il convient également d'examiner les standards de stockage des données. La Commission européenne doit attester que le niveau de protection est le même dans tous les États membres. Une telle décision d'adéquation vis-à-vis des États-Unis a été récemment invalidée par la Cour de justice de l'Union européenne dans l'arrêt Privacy Shield. C'est crucial : des données peuvent se trouver sur des serveurs et dans des centres de données localisés dans l'Union européenne, mais hébergés par des logiciels de cloud américain... C'est la limite du label cloud de confiance.
Le dernier point concerne l'information du consommateur et la présentation du dispositif, qui devra être claire et lisible, avec un système de couleurs.
Nous avions supprimé l'article 2 relatif aux règles applicables à la commande publique et l'Assemblée nationale nous a suivis, ce qui permet de recentrer le texte sur l'information du consommateur.
Enfin, le délai d'entrée en vigueur est fixé au 1er octobre 2023, ce qui nous semble cohérent au regard du temps nécessaire à la conduite des audits.
Nous souhaitons être associés aux consultations qui précéderont l'élaboration des mesures réglementaires.
Ce texte a été soumis à la Commission européenne : ses remarques pourront être prises en compte dans le cadre des textes réglementaires.
Les modifications votées par l'Assemblée nationale vont dans le bon sens. Aussi, nous vous proposons d'adopter ce texte conforme. (Applaudissements sur les travées du groupe UC, au banc de la commission et sur quelques travées du groupe Les Républicains)
M. Ludovic Haye . - Ce début d'année constitue une nouvelle étape dans l'utilisation d'internet dont l'ONU veut garantir le droit. Mais il représente aussi une menace, économique et de sécurité. Souvenons-nous de la panne généralisée de Facebook, Instagram et WhatsApp le 4 octobre 2021, avec une perte d'un demi-million de dollars par heure...
Les cyberattaques ne cessent d'augmenter et le traçage des auteurs demeure difficile. En 2021, la liste des établissements de santé visés par des rançongiciels n'a cessé de s'allonger.
Les pouvoirs publics doivent se mobiliser davantage. Le Gouvernement s'est fixé des objectifs ambitieux et y consacrera 720 millions d'euros de financement public d'ici 2025, pour faire émerger trois licornes françaises et stimuler la recherche.
Le campus cyber inauguré le 15 février dernier rassemble des acteurs publics et des entreprises de la cybersécurité. Plus de 1 600 personnes devraient y travailler à terme : salariés d'entreprises, agents de l'ANSSI, policiers, gendarmes...
La cybersécurité constitue une priorité de la présidence française du Conseil de l'Union européenne (PFUE) ; je pense notamment à la révision ambitieuse de la directive NIS.
Cette proposition de loi concerne les opérateurs de plateformes, de messagerie et de visioconférence. Elle porte aussi sur la localisation et le stockage des données, avec un objectif de transparence. Au même titre que le nutriscore, le cyberscore permettra aux citoyens de savoir comment sont protégées leurs données personnelles.
Nous soutenons ce texte. (Applaudissements sur les travées du groupe UC et au banc de la commission)
M. Joël Guerriau . - (Applaudissements sur les travées du groupe INDEP ; M. Pierre Louault applaudit également.) Une part toujours plus importante de nos vies se déroule en ligne et la pandémie a renforcé ce phénomène. Les services se dématérialisent de plus en plus et le contact humain se réduit. Quelle entreprise peut se passer d'internet aujourd'hui ?
Cette évolution présente de nombreux avantages, mais n'est pas sans risques : les attaques se multiplient, paralysant entreprises, hôpitaux, particuliers. Dernier exemple en date, l'attaque contre Transavia, dont les données ont été piratées.
Nous devons protéger nos données. Le RGPD garantit une protection juridique, mais non technique. C'est à ce besoin que répond le présent texte.
Il s'agit d'évaluer le niveau technique de cybersécurité des sites auxquels nous avons recours, grâce à un audit qui permettra d'éclairer le consommateur. L'ANSSI a un rôle d'expertise, mais aussi de pédagogie à jouer. Faisons des entreprises les acteurs de leur propre sécurité en ligne. Il s'agit d'une étape cruciale : la faille de sécurité se situe souvent entre la chaise et le clavier ; nos concitoyens doivent devenir plus exigeants.
Dans cette perspective, ce texte représente un réel progrès. Notre souveraineté est aussi numérique : nos données seront d'autant mieux protégées qu'elles seront hébergées sur notre sol et soumises à nos tribunaux, en dépit de la mainmise américaine.
Ce texte renforce la sécurité de nos compatriotes ; notre groupe votera en faveur de son adoption. (Applaudissements sur les travées des groupes INDEP et UC, ainsi qu'au banc de la commission)
M. Cyril Pellevat . - Cette proposition de loi créant un certificat de sécurité pour les plateformes grand public traite d'un sujet capital. Si le RGPD est une immense avancée en matière de protection des données, encore faut-il que les utilisateurs soient protégés des actes malveillants. Pas plus tard que le mois dernier, une grande ville de Haute-Savoie a vu ses services informatiques paralysés pendant plusieurs semaines. Un grand nombre de personnes sont conscientes de cette menace grandissante, mais cette prise de conscience demeure insuffisante. Nombre d'entreprises ont recours à des plateformes non sécurisées qui les exposent à des risques. C'est le manque d'information qui est en cause, d'autant qu'il n'existe aucune obligation de certification.
Le législateur se devait de combler ces lacunes. Je remercie Laurent Lafon pour son initiative qui améliorera l'information des utilisateurs de plateformes et sécurisera les services des acteurs publics via la mise en place d'un cyberscore. Si je peux comprendre pourquoi le Gouvernement et la commission ont supprimé l'obligation de certification, lui substituant une auto-évaluation des acteurs, il sera nécessaire de donner des moyens de contrôle aux services de l'État.
J'insiste sur la nécessité de garantir la prise en compte des enjeux de cybersécurité par les acteurs publics : l'État doit montrer l'exemple. Nous devons aussi améliorer les pratiques des entreprises : un crédit d'impôt à la numérisation des entreprises pourrait être un outil pertinent.
Mon groupe votera pour cette proposition de loi qui représente indéniablement une avancée, mais j'invite à pousser plus loin la réflexion. (Applaudissements sur les travées des groupes Les Républicains et UC ; M. Franck Menonville applaudit également.)
M. Daniel Salmon . - La problématique de l'exploitation des données personnelles par les plateformes est un sujet majeur. Elle touche aux questions de transparence et de souveraineté numérique. Nous saluons donc cette initiative.
Si l'évolution des technologies favorise une expansion bienvenue du télétravail, la cybersécurité est trop sous-estimée. Nous devons continuer de sensibiliser citoyens, entreprises, collectivités territoriales et pouvoirs publics, qui sont vulnérables aux cyberattaques.
D'après l'ANSSI, le nombre de cyberattaques a été multiplié par quatre en 2020 ; la question de la sécurité des systèmes est donc primordiale. Cette proposition de loi est un pas supplémentaire vers plus de transparence et de droits pour les internautes, après le RGPD et le Cybersecurity Act.
Nous soutenons la mise en place d'un cyberscore, clair et compréhensible.
Je m'interroge néanmoins sur la portée du texte, limitée aux services numériques les plus utilisés selon un seuil fixé par décret. Pour garantir une réelle efficacité, ce décret devra s'ajuster au mieux à la réalité des entreprises. Si la commission et l'Assemblée nationale ont justifié cet aménagement par la nécessité de ne pas contraindre exagérément les petites entreprises, celles-ci ont au contraire tout à gagner d'un dispositif renforcé.
Nous saluons l'élargissement du périmètre de l'article premier aux systèmes de messagerie instantanée, l'agrément des prestataires par l'ANSSI ainsi que la prise en compte de la localisation des données.
Nous regrettons cependant que le texte renvoie des points essentiels au pouvoir réglementaire, lui laissant une très large marge d'appréciation : le Parlement devra demeurer vigilant.
Une première pierre est posée avec cette contribution au renforcement de la sécurité des données de nos concitoyens. Nous voterons pour. (Applaudissements sur les travées du groupe UC et au banc de la commission)
M. Fabien Gay . - (Applaudissements au banc de la commission) Cette proposition de loi est bienvenue. Aucune disposition ne garantit l'information du consommateur quant à la sécurité de la solution numérique qu'il utilise. C'est donc une avancée vers plus de transparence et plus de droits pour les internautes.
C'est essentiel pour l'économie, mais aussi pour la démocratie ; les enjeux de cybersécurité doivent être rendus plus transparents face à l'hégémonie des Gafam.
Les cyberattaques se multiplient contre les établissements de santé - à Dax, Villefranche-sur-Saône ou Rouen -, les PME, les collectivités territoriales ; un travail de sensibilisation doit donc être entrepris.
Aussi la mise en place d'un cyberscore, sur le modèle du nutriscore, est-elle une bonne chose.
Autre point positif : le système d'auto-évaluation des entreprises concernées. Une contrainte plus lourde a été retenue par l'Assemblée nationale : un audit de sécurité devra être réalisé par un prestataire agréé par l'ANSSI et aura trait non seulement à la sécurité, mais à la localisation des données, qui n'est pas, tant s'en faut, un sous-critère. Cette localisation est en effet un enjeu de souveraineté technologique majeur. Il est anormal que 90 % de nos données soient hébergées aux États-Unis. Nous devons remédier au manque incroyable de data centers en Europe et relocaliser nos données comme nous relocalisons notre industrie.
C'est pourquoi, malgré un champ limité, cette proposition de loi pose un jalon utile dans une prise de conscience collective. Une campagne de communication sur l'intérêt de cet outil sera nécessaire. Nous voterons pour cette proposition de loi. (Applaudissements au banc de la commission ; MM. Ludovic Haye et Laurent Lafon applaudissent également.)
Mme Amel Gacquerre . - (Applaudissements sur les travées du groupe UC et au banc de la commission) L'usage du numérique fait partie de notre quotidien, dans la sphère privée, professionnelle ou publique : impossible de faire sans. Cette révolution est porteuse de nombreuses opportunités.
Des risques existent néanmoins ; notre devoir de législateur est de nous en préoccuper. La pandémie a accéléré la numérisation de nos usages, y compris l'entretien du lien social. Près de 50 % de la population mondiale utilise aujourd'hui les réseaux sociaux et malgré une médiatisation croissante des malwares, la culture du numérique et de ses dangers est loin d'être ancrée. Du côté des entreprises et des administrations, on se préoccupe de plus en plus des enjeux de cybersécurité, porteurs de risques économiques : pas moins de 88 % des organisations du secteur public ont subi au moins une cyberattaque ayant causé des dégâts au cours des deux dernières années.
Les risques sont réels aussi pour le grand public. Faire de la pédagogie, rappeler que la cybersécurité est l'affaire de tous, est un enjeu citoyen. Si 96 % des Français se disent conscients des risques que leur fait courir l'usage du numérique, ils reconnaissent ne pas l'avoir intégré à leurs usages. La méfiance est pourtant de mise dès qu'il s'agit de télécharger des contenus ou de participer à une visioconférence. La sécurité des données est essentielle ; les usagers ont besoin de solutions simples et accessibles, or aucune disposition ne garantit aujourd'hui l'information du consommateur.
La proposition de loi vise à mettre en place une certification de sécurité pour les plateformes numériques, sur le modèle du Nutriscore. Cet outil doit être simple et lisible ; un système d'information coloriel semble donc le plus adapté. L'enjeu est de construire un monde numérique plus sûr.
Cette problématique doit être abordée à l'échelle européenne. Monsieur le secrétaire d'État, quelles mesures comptez-vous défendre en matière de sécurité numérique dans le cadre de la PFUE ?
Je salue la rapporteure Loisier, ainsi que Laurent Lafon qui a déposé ce texte il y a plus d'un an et demi. Il est grand temps que cette proposition de loi soit votée et mise en oeuvre ; le groupe UC votera pour. (Applaudissements sur les travées du groupe UC et au banc de la commission ; M. Laurent Somon applaudit également.)
M. Jean-Claude Requier . - (Applaudissements au banc de la commission ; M. Pierre Louault applaudit également.) Ce texte s'inscrit dans une série de travaux réalisés sur le numérique, comme la proposition de loi sur le libre choix du consommateur dans le cyberespace, celle relative au statut des travailleurs des plateformes numériques, ou encore la mission d'information sur la lutte contre l'illectronisme créée à l'initiative de mon groupe.
La cybersécurité est un enjeu de longue date, dont la pandémie a renforcé la prégnance. On déplore un retard français en matière de culture de cybersécurité, comme l'a rappelé récemment le directeur de l'ANSSI. Face aux risques de cyberattaques, nous sommes tous vulnérables. La majorité du Sénat s'est donc montrée favorable à l'adoption de la proposition de loi par un vote conforme.
Le contenu du texte a quelque peu évolué par rapport à sa version initiale - inclusion des services de messagerie instantanée, compétence de l'ANSSI à l'égard des prestataires, inclusion de la localisation des données parmi les critères de sécurité. La création du cyberscore, outil pédagogique, est une bonne chose, même si, comme son équivalent alimentaire, le Nutriscore, il peut cacher des situations hétéroclites. Le renvoi à des seuils à définir par décret doit nous inciter à la vigilance. Cette proposition de loi, pour utile qu'elle soit, n'est qu'un début : son entrée en vigueur ne se fera qu'au second semestre 2023.
Notre groupe votera pour son adoption tout en gardant à l'esprit les défis à venir. (Applaudissements sur les travées du groupe UC, sur quelques travées du groupe Les Républicains et au banc de la commission ; M. Ludovic Haye applaudit également.)
M. Christian Redon-Sarrazy . - (Applaudissements sur les travées du groupe SER et au banc de la commission) Ces dernières années, plusieurs affaires ont secoué le monde de l'industrie numérique. Le stockage des données dans le cyberespace nous expose à des attaques qui se sont multipliées à un rythme exponentiel. Les acteurs de ce marché développent de nouveaux usages basés sur le calcul algorithmique, encouragés par un modèle économique complexe : on parle désormais de data lakes - lacs de données - et non plus de bases de données. La crise a amplifié ce phénomène ; la dématérialisation de notre société s'est amplifiée, tandis que la relation de confiance se dégradait entre citoyens et géants du numérique.
En 2018, le RGPD a constitué une avancée majeure, avec toutefois des failles manifestes. Devant la Commission supérieure du numérique et des postes, les experts ont fait part de leurs inquiétudes : les cybercriminels se sont professionnalisés et mondialisés ; leur capacité à nuire s'est développée plus rapidement que notre capacité à nous protéger. Les événements tragiques à l'Est - que je condamne, en apportant mon soutien au peuple ukrainien - montrent que les cyberattaques sont soit le préalable soit le complément de tentatives de stabilisation de gouvernements.
Il faut lancer une campagne de sensibilisation massive sur les risques encourus dans l'espace numérique, comme l'a montré la commission d'enquête sur la souveraineté numérique présidée par Franck Montaugé : dans un univers numérique marqué par une forte asymétrie entre ceux qui contrôlent les algorithmes et ceux qui utilisent les plateformes, il reste encore beaucoup à faire pour garantir le respect des droits des particuliers. C'est essentiel dans notre démocratie.
La mise en place du cyberscore sensibilisera massivement la population. Veillons à ce que l'essor du numérique soit source d'émancipation et non d'aliénation.
Le groupe SER votera cette proposition de loi qui marque un premier pas dans notre prise de conscience collective. (Applaudissements sur les travées du groupe SER et sur quelques travées des groupes Les Républicains et UC, ainsi qu'au banc de la commission)
La discussion générale est close.
Discussion des articles
L'article premier est adopté, ainsi que l'article 3.
Intervention sur l'ensemble
M. Laurent Lafon . - Je remercie le ministre pour sa coopération très utile. La rapporteure a considérablement enrichi ce texte. Je la remercie très sincèrement, ainsi que la présidente de la commission des affaires économiques, qui a permis l'examen selon la procédure de législation en commission pour qu'il soit adopté rapidement.
Cette proposition de loi est une étape. Elle sort la question de la cybersécurité du cercle des spécialistes. Elle sensibilise les uns et les autres. La cybersécurité est aussi un enjeu économique : en soutenant cette proposition de loi, nous soutenons les entreprises françaises qui travaillent dans ce secteur.
Espérons que l'état d'esprit de coopération qui a présidé à l'examen du texte perdure dans la rédaction du décret. Continuons à travailler ensemble. (Applaudissements au banc de la commission)
La proposition de loi est définitivement adoptée et n’attend plus que sa promulgation.
Envoyé par Patrick Ruiz
