Résilience des infrastructures critiques et renforcement de la cybersécurité

Il ne peut y avoir de stratégie nationale relative à la cyber sécurité déconnectée d’une véritable stratégie en faveur de la souveraineté numérique. c’est le sens de notre amendement.

À l’alinéa 1, après le mot :

« nationale »,

insérer les mots :

« , notamment en ».

Il ne peut y avoir de stratégie nationale relative à la cyber sécurité déconnectée d’une véritable stratégie en faveur de la souveraineté numérique. c’est le sens de notre amendement.

Après l’alinéa 6, insérer les quatre alinéas suivants :

« 4° ter Un plan de financement de la formation et de la recherche en matière de cyber sécurité ;

« 4° quater Un plan permettant de financer une véritable doctrine de l’autonomie technologique maximale en matière de renseignement et de cyberdéfense, en faisant du recours à des technologies extra- européennes une exception devant être motivée ;

« 4° quinquies Une évaluation du coût de notre dépendance aux solutions numériques extra-européennes ;

« 4°sexies Une évaluation fine de l’externalisation des services numériques au sens large et du recours aux prestations intellectuelles informatiques par l’État, les organismes publics et les collectivités territoriales ; ».

Cet amendement introduit un principe de préférence encadrée qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services TIC.

I. – Les entités mentionnées au titre II de la loi n°XX du XX relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes : 

1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information ;

2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts, sauf lorsque la prestation est assurée par un opérateur interne appartenant au même groupe que l’entité requérante. 

II. – À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au I, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. 

Cet amendement encadre la possibilité pour l’ANSSI de suspendre une certification ou une autorisation en cas de non-conformité. S’il est légitimé de sanctionner les manquements graves, une suspension brutale peut être synonyme, dans le cas des TPE / PME, de mise à mort économique : perte d’activité, faillite, plan de licenciements.

En effet, les grandes entreprises ont une capacité de résilience en matière de cybersécurité que n’ont pas les petites structures. En prévoyant une exception pour les services vitaux des TPE / PME, sauf en cas de menace grave et immédiate, il est introduit une logique de proportionnalité qui permet de sauvegarder les emplois et assurer une régulation équilibrée.

Compléter cet article par l’alinéa suivant :

« La suspension d’une certification ou d’une autorisation ne peut concerner les services vitaux à la survie de l’entité lorsque cette dernière se trouve être une très petite entreprise ou une petite ou moyenne entreprise – TPE / PME -, sauf en cas de menace grave et immédiate. »

Cet amendement introduit un principe de préférence encadré qui repose sur des critères objectifs, tout en prévoyant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services TIC.  

Après l’article L. 574‑6 du code monétaire et financier, il est inséré un article L. 574‑6‑1 ainsi rédigé :

« Art. L. 574‑6‑1. – I. – Les entités mentionnées au sein du titre III de la loi n°XX du XX relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, et relevant du champ d’application des chapitres II et IV du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts.

« II. – À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au I, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Cet amendement introduit un principe de préférence encadré qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services

Après le troisième alinéa de l’article L211‑12 du code de la mutualité, sont insérés quatre alinéas ainsi rédigés : 

« Les mutuelles et unions mentionnées à l’article L. 211‑10 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts.

« À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés aux 1° et 2°, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Cet amendement limite l’intervention des experts privés au seul rôle consultatif en conférant à l’ANSSI la responsabilité finale de constater un manquement. Étant donné que la cybersécurité relève d’une mission régalienne intimement liée à la souveraineté nationale, confier à des acteurs privés, parfois liés aux GAFAM et/ou aux BATX, la mission de relever les manquements reviendrait à privatiser la souveraineté numérique de la France avec un risque de conflits d’intérêts et de dilution des responsabilités.

Externaliser ces missions engendrerait davantage de coûts et fragiliserait l’indépendance de l’État dans un domaine qui lui fait largement écho au regard des nombreuses cyberattaques dont il fait l’objet depuis plusieurs années. En effet, elles ont coûté environ 119 milliards d’euros à la France rien qu’en 2024 et leur coût est exponentiel. Depuis 2016, année où ce chiffre n’était évalué qu’à 5,1 milliards de dollars, il connait une augmentation moyenne de 30 % par an.

À l’inverse, s’appuyer sur l’expertise des agents de l’ANSSI permet de renforcer la confiance des acteurs économiques dans l’action publique et assurer une application juste des règles.

Après l’alinéa 7, insérer l’alinéa suivant :

« Les experts mandatés ne peuvent intervenir qu’à titre consultatif, la responsabilité finale de la constatation d’un manquement doit exclusivement relever des agents de l’Agence nationale de la sécurité des systèmes d'information ».

Cet amendement introduit un principe de préférence encadré qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services.

Après le troisième alinéa de l’article L. 931‑7 du code de la sécurité sociale, sont insérés quatre alinéas ainsi rédigés : 

« Les institutions de prévoyance et unions mentionnées à l’article L. 931‑6 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;

« À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux conditions mentionnées aux 1° et 2°, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Le présent amendement propose d’introduire un délai de 5 ans pour appliquer les dispositions du titre II.

Si les objectifs de cybersécurité sont largement partagés, les moyens pour les atteindre doivent être repensés et adaptés aux réalités de ces collectivités.

Ainsi, un autre calendrier pourrait être envisagé selon un cadencement plus réaliste :

1) un état des lieux et une feuille de route (avec la mesure des impacts et l’évaluation des moyens nécessaires) à établir (années 1 et 2) ;

2) Contractualiser avec l’ANSSI sur un délai de mise en conformité adapté à la situation de la collectivité, qui donnerait une trajectoire pouvant aller potentiellement au-delà de 3 ans, avec des jalons contractuels pour respecter les termes du contrat ;

3) Vérifier l’avancement des jalons intermédiaires jusqu’à la mise en conformité.

Après l’alinéa 5, insérer l'alinéa suivant :

« Les communes, les établissements publics de coopération intercommunale à fiscalité propre et leurs établissements publics administratifs visés aux articles 8 et 9 disposent d’un délai maximum de 5 ans pour se mettre en conformité avec le présent titre II. »

Cet amendement vise à instaurer un délai minimal de trois mois pour les TPE / PME avant toute application de mesures correctives imposées par l’ANSSI. En effet, selon l’INSEE, les TPE / PME employaient un peu moins de 6 millions de personnes en 2021, soit près de la moitié de l’effectif salarié en France. Or, selon le Baromètre de la conformité RGPDdes TPE / PME de 2024, 59 % d’entre elles manquaient de temps pour gérer leur conformité, 57 % signalaient un manque de compétences juridiques et 31 % ont du mal à maintenir leur conformité dans les temps. Leur imposer des délais trop courts reviendrait à les placer face à une injonction irréalisable, accentuant le fossé avec les grandes entreprises bien mieux armées.

Cet amendement est donc indispensable pour garantir une application proportionnée et socialement équitable de la loi. Il préserve donc des entreprises qui représentent près de la moitié du tissu salarial en France, le tout en les accompagnant plutôt qu’en les sanctionnant.

Après l’alinéa 1, insérer l’alinéa suivant :

« Pour les très petites entreprises et les petites et moyennes entreprises, telles que définies par la législation européenne, le délai imparti ne peut être inférieur à trois sauf en cas de menace grave et immédiate ».

Cet amendement introduit un principe de préférence encadré qui repose sur des critères objectifs, tout en ménageant une dérogation permettant d’éviter toute distorsion excessive dans l’accès aux services TIC. 

Après le troisième alinéa de l’article L. 354‑1 du code des assurances, sont insérés quatre alinéas ainsi rédigés : 

« Les entreprises d’assurance et de réassurance recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts.

« À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au 1° , l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité vise à transposer plusieurs directives européennes, notamment la directive (UE) 2022/2557 sur la résilience des entités critiques. Ce texte fixe des obligations strictes en matière de sécurité des systèmes d’information, assorties de sanctions financières en cas de manquement.

Les collectivités territoriales, leurs groupements et leurs établissements publics administratifs sont également concernés par ces obligations. Imposer des sanctions financières à ces entités pourrait aggraver leur situation budgétaire déjà précaire, comme en témoignent les récentes inquiétudes exprimées par les élus départementaux face aux contraintes financières croissantes

En conséquence, cet amendement vise à :

•       Exonérer les collectivités territoriales, leurs groupements et leurs établissements publics administratifs des sanctions financières prévues en cas de manquement aux obligations de sécurité des systèmes d’information. Cette proposition vise à reconnaitre les contraintes budgétaires spécifiques de ces entités et évite de les pénaliser financièrement, ce qui pourrait nuire à la continuité des services publics essentiels.

•       Préserver l’efficacité des mesures de cybersécurité en privilégiant des approches alternatives aux sanctions financières, telles que l’accompagnement, la formation et le soutien technique, afin d’aider ces entités à se conformer aux exigences de sécurité sans les pénaliser financièrement.

L’adoption de cet amendement permettrait de concilier les impératifs de sécurité nationale avec la réalité budgétaire des collectivités territoriales. En évitant des sanctions financières potentiellement lourdes, ces entités pourraient consacrer leurs ressources limitées à l’amélioration effective de leur cybersécurité, tout en assurant la continuité des services publics locaux.

Cette approche favoriserait une mise en conformité progressive et adaptée des collectivités territoriales aux exigences de sécurité, tout en tenant compte de leurs contraintes financières et opérationnelles.

Tel est l’objet de cet amendement.

Compléter le dernier alinéa par les mots :

« aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs ».

Cet amendement vise à supprimer le traitement différencié octroyé aux sociétés de financement ne justifiant pas d’une taille rendant complexe l’application des obligations de la directive DORA. Pour répondre aux enjeux de la cybersécurité, il est nécessaire de ne pas offrir de porte dérobée pour les cyberattaques. Offrir une dérogation aux sociétés de financement conduirait précisément à affaiblir globalement la sécurité de l’entièreté de notre réseau.

Le traitement ad hoc des entités financières de petite taille et ne gérant pas des opérations complexes n’est pas remis en cause par cet amendement.

Supprimer la seconde phrase de l'alinéa 1.

Il ne peut y avoir de stratégie nationale relative à la cyber sécurité déconnectée d’une véritable stratégie en faveur de la souveraineté numérique. c’est le sens de notre amendement.

À l’alinéa 1, substituer à la première occurrence du mot :

« cybersécurité »,

les mots :

« souveraineté numérique ».

Cet amendement vise à solliciter un avis de la CNIL sur le décret d’application encadrant les enquêtes administratives de sécurité. Cet avis est essentiel dans la mesure où les enquêtes peuvent impliquer la consultation de données sensibles. 

Compléter l’alinéa 40 par les mots :

« , pris après avis de la Commission nationale de l’informatique et des libertés ». 

L’article 22 du présent projet de loi vient transposer l’article 28 de la Directive NIS 2, notamment pour organiser les modalités d’accès aux données d’enregistrement des noms de domaine collectées par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à préciser le champ des « demandeurs d’accès légitimes » conformément à la Directive.

En l’état du présent article, l’accès aux informations est limité aux agents habilités « par l’autorité judiciaire pour les besoins des procédures pénales » ainsi qu’à l’ANSSI. Il s’agit d’une restriction de la portée de l’article 28 de la Directive et singulièrement de son Considérant 110 qui définit les demandeurs d’accès légitimes comme « toute personne physique et morale qui formule une demande en vertu du droit de l’Union ou du droit national » sur demande motivée.

Le présent amendement précise que, dans le cadre d’infractions au droit de la propriété intellectuelle, certains agents spécialement habilités sont légitimes à solliciter un accès aux données d’enregistrement des noms de domaines. Il s’agit en particulier (outre les agents déjà désignés par le présent article) : 

-        des agents assermentés mentionnés à l’article L.331.2 du code de la propriété intellectuelle, c’est-à-dire des agents d’organismes autorisés par la loi à dresser des procès-verbaux constatant des faits susceptibles d’une qualification pénale au titre de leur mission de lutte contre la contrefaçon ;

-        des commissaires de justice de l’article 1 de l’ordonnance 2016-728 du 2 juin 2016 modifiée par la loi n° 2023-1059 du 20 novembre 2023, c’est-à-dire des auxiliaires de justice qualifiés par la loi à dresser ces mêmes procès-verbaux, dans le cas présent, en matière d’atteinte aux droits de la propriété intellectuelle.

Cette précision du champ ne saurait se traduire par une charge disproportionnée dès lors qu’il s’agit pour les offices et bureaux d’enregistrement de communiquer des informations qui figurent dans leur base et au bénéfice de personnes qui sont habilitées par la loi à agir.

La finalité de cet amendement est bien de combattre les utilisations abusives du système d’enregistrement de noms de domaine pour mener des activités illégales et préjudiciables [1] : il vise donc à permettre une effectivité du droit d’accès aux données des noms de domaine afin de garantir l’application du droit national comme du droit de l'Union.

[1] Voir, par exemple, l'étude de la Commission européenne de janvier 2022 sur les abus des systèmes de noms de domaine, pp. 158-159, qui quantifie une réduction de 85 % des sites web malveillants vendant des produits de contrefaçon dans le TLD grâce à l'amélioration des pratiques de vérification des données du registre.

Amendement préparé avec l’ALPA (Association de Lutte contre la Piraterie Audiovisuelle), SCPP (Société civile des producteurs phonographiques), SNEP (Syndicat national de l'édition phonographique) et l'UNIFAB (Union des fabricants pour la protection internationale de la propriété intellectuelle)

I. – Après l’alinéa 1, insérer l’alinéa suivant :

« Afin de permettre la détection de faits et de circonstances caractérisant une violation de droits consacrés par le code de la propriété intellectuelle susceptible d’une qualification pénale, les agents mentionnés à l’article L. 331‑2 dudit code et les auxiliaires de justice qualifiés par la loi à dresser des procès-verbaux constatant ces faits et circonstances peuvent obtenir des offices et bureaux d’enregistrement, sur production des constats effectués, les données mentionnées à l’article 20. »

II. – En conséquence, à la fin de la première phrase de l’alinéa 2, substituer aux mots :

« au premier alinéa »,

les mots :

« aux premier et deuxième alinéas ».

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à garantir le fait que l’ensemble des informations relatives au titulaire du nom de domaine, y compris lorsque ce dernier fait appel à un service tiers, sont bien récupérées par les bureaux et offices d’enregistrement au stade de la collecte.

En effet, certains titulaires ont recours à des services (services dits « proxy » ou services dits de « confidentialité ») pour anonymiser leurs données, leur permettant de rester hors d’atteinte de toute action judiciaire.

Précisément pour pallier l’opacité des registres actuels, l’article 28 de la Directive NIS 2 prévoit bien la collecte des informations « du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire » (art. 28.1(d)).

Le fait que la loi nationale vise bien les cas de recours à des services tiers est ainsi vital pour l’ensemble des personnes en situation de défendre leurs droits dans l’espace numérique, notamment les titulaires de droits de propriété intellectuelle (droit d’auteur, droits voisins, droit des marques, des dessins et modèles…), les associations de protection de l’enfance ou associations de consommateurs.

Force est de tirer des conséquences concrètes du fait que certains bureaux d'enregistrement de noms de domaine font obstacle à une coopération avec les victimes d’infractions pénales ou d’attaques contre des systèmes informatiques en se fondant sur la confidentialité, privant de recours efficace les personnes en cas de conflit.

Amendement préparé avec l’ALPA (Association de Lutte contre la Piraterie Audiovisuelle), SCPP (Société civile des producteurs phonographiques), SNEP (Syndicat national de l'édition phonographique) et l'UNIFAB (Union des fabricants pour la protection internationale de la propriété intellectuelle)

Compléter l’alinéa 1 par les mots :

« y compris les données du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire, notamment en cas de recours à des services permettant l’anonymisation des données d’enregistrement ».

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à préciser la liste des données devant être collectées, en reprenant a minima la liste des informations mentionnées à l’article 28.2 de la Directive NIS 2 et en y ajoutant les « adresses postales » des titulaires et points de contact du nom de domaine.

Les États membres peuvent compléter le texte de la directive à l’occasion de sa transposition en droit national à la condition expresse que l’ajout soit conforme à l’objectif poursuivi par ladite directive. En tout état de cause, la liste des données collectées mentionnées à l’article 28 n’est pas limitative (Cf. art.28.2, « Ces informations comprennent notamment les éléments suivants »). Et de fait, la mention explicite de la collecte de l’adresse postale du titulaire ou du point de contact est absolument indispensable dès lors qu’elle constitue le seul moyen d’adresser officiellement une assignation pour agir en justice.

Si cet amendement ne devait pas être adopté, il serait crucial que le décret d’application fasse état de la collecte de l’adresse postale des titulaires et points de contact pour donner une effectivité à la loi.

 Amendement préparé avec l’ALPA (Association de Lutte contre la Piraterie Audiovisuelle), SCPP (Société civile des producteurs phonographiques), SNEP (Syndicat national de l'édition phonographique) et l'UNIFAB (Union des fabricants pour la protection internationale de la propriété intellectuelle)

I. – Après l’alinéa 2, insérer les cinq alinéas suivants :

« La base des données d’enregistrement des noms de domaine comprend les informations suivantes :

« a) le nom de domaine ;

« b) la date d’enregistrement ;

« c) le nom du titulaire, l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de le contacter ;

« d) l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de contacter les points de contact associés au nom de domaine, si ces coordonnées sont différentes de celles du titulaire. ».

II. – En conséquence, à l’alinéa 3, substituer aux mots :

« la liste des données »,

les mots :

« , le cas échéant, la liste des données complémentaires ».

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à élargir le champ du décret auquel l’article renvoie, et ce afin de préciser les attendus des procédures de vérification des données collectées :

-        le fait que ces procédures soient bien « ex ante » au moment de l’enregistrement et « ex post » après l’enregistrement, notamment pour garantir le maintien des bases de données exactes et complètes, conformément à la directive et au présent article 19 ;

-        le fait que ces procédures tiennent compte des normes élaborées par les structures de gouvernance multipartites au niveau international et qu’elles visent les meilleures pratiques en matière d’identification électronique (conformément au Considérant 111) ;

-        le fait que ces procédures comprennent la vérification d’au moins un moyen de contact du titulaire ou du service tiers (conformément au même Considérant).

Conformément à ces attendus, les bureaux et offices d’enregistrement ne devraient pas pouvoir procéder à l’enregistrement en masse des noms de domaine au moyen d’algorithmes, de logiciels, de protocoles automatisés ou de toute autre méthode similaire.

Amendement préparé avec l’ALPA (Association de Lutte contre la Piraterie Audiovisuelle), SCPP (Société civile des producteurs phonographiques), SNEP (Syndicat national de l'édition phonographique) et l'UNIFAB (Union des fabricants pour la protection internationale de la propriété intellectuelle)

Compléter l'alinéa 3 par les mots :

« et précise les procédures de vérification des données d’enregistrement des noms de domaine. »