Question de : M. Arnaud Le Gall
Val-d'Oise (9^e circonscription) - La France insoumise - Nouveau Front Populaire

M. Arnaud Le Gall interroge Mme la ministre déléguée auprès du ministre de l'économie, des finances et de la souveraineté industrielle, énergétique et numérique, chargée de l'intelligence artificielle et du numérique, sur l'explosion des cyberattaques visant les systèmes d'information civils de l'État et sur leurs conséquences en matière de protection des données personnelles des Français et des Françaises. Les intrusions informatiques dans les administrations publiques sont désormais quasi quotidiennes. Massives par leur ampleur, elles conduisent à ce que les informations personnelles de millions de citoyens et citoyennes se retrouvent publiées et commercialisées sur le darkweb : 1,6 million de comptes pour France Travail ; 2,1 millions pour l'AP-HP. En dépit de leur haute sensibilité stratégique, les services régaliens de l'État ne sont pas mieux protégés, comme l'illustrent les piratages récurrents du ministère de l'intérieur et des armées, de la police et de la gendarmerie nationales, des douanes, des directions générales de la sécurité intérieure et extérieure, ou encore de la commission nationale de l'informatique et des libertés (CNIL). Environ 2 393 agents seraient concernés par cette fuite de données, dont 86 agents de la CNIL et les données de 16 444 373 personnes inscrites dans les fichiers des forces de police et de gendarmerie ont été publiées. Par ailleurs, le piratage du fichier national des comptes bancaires (FICOBA) a abouti à la divulgation des données de 1,2 million de Français et Françaises. Les entités privées ne sont pas davantage prémunies : 6,3 millions de clients de Bouygues et 183 millions de données de TotalEnergies ont vu leurs informations publiées et commercialisées. L'accès, la diffusion et la publicisation de ces données sont pourtant strictement encadrés par la législation française. Mais la loi ne peut rien si l'État ne se dote pas, voire se dépouille, des outils nécessaires pour la mettre en œuvre. Les auditions avec les spécialistes montrent que la direction interministérielle du numérique (DINUM), au regard de sa sous-dotation en moyens économiques et humains, parvient à faire « mieux avec moins » que les géants américains. Or des dispositifs existent déjà : l'Agence nationale de la sécurité des systèmes d'information (ANSSI) assure un rôle de coordination et de réponse aux incidents ; le label SecNumCloud vise à garantir un hébergement souverain des données sensibles ; la transposition de la directive européenne NIS 2 doit étendre les obligations de cybersécurité à un plus grand nombre d'opérateurs. Force est de constater, cependant, que ces mécanismes demeurent insuffisamment dotés, insuffisamment appliqués et, dans le cas de NIS 2, transposés avec un retard préoccupant. La libéralisation à marche forcée du secteur numérique, conduite par les gouvernements successifs, a affaibli les capacités régaliennes de protection plutôt que de les renforcer. À rebours des grandes incantations déclaratoires sur la volonté de bâtir la « souveraineté numérique » de la France, le chef de l'État et le Gouvernement renforcent en réalité la dépendance totale de la France aux GAMAM (Google, Amazon, Meta, Apple, Microsoft) étatsuniens. En ne développant pas de vision stratégique à long terme ni de politiques publiques en matière d'autonomie numérique, l'exécutif accroît le statut de colonie numérique des États-Unis d'Amérique dans laquelle se trouve déjà la France et l'Union européenne, au profit des intérêts économiques des GAFAM et aux dépens des intérêts souverains des Français et des Françaises. L'installation de dizaines de data centers n'a aucun sens si elle ne s'accompagne pas d'un pilotage public du numérique. La maîtrise souveraine des infrastructures numériques constitue un facteur déterminant de la protection contre les cyberattaques, mais elle ne saurait à elle seule suffire : un système développé nationalement peut tout autant être exposé s'il est mal conçu ou insuffisamment doté en moyens. C'est pourquoi la souveraineté numérique doit être pensée comme la condition nécessaire, mais non suffisante, d'une politique de cybersécurité efficace, articulant maîtrise des systèmes, investissement humain et exigence de qualité technique. À l'heure de la numérisation généralisée des services publics, les données personnelles doivent être protégées afin d'empêcher leur marchandisation. Le cadre législatif actuel, bien que formellement protecteur, s'avère manifestement impuissant face à l'ampleur des menaces, faute de volonté politique pour le mettre en œuvre et le renforcer. Afin de regagner en autonomie, premier pas vers la souveraineté, l'État français doit soutenir l'élaboration de solutions de stockage numérique nationales. L'utilisation de la messagerie instantanée française Tchap devrait par exemple être généralisée au-delà des seuls ministères. L'État devrait également accompagner d'avantage les entreprises privées dans leur effort de protection numérique. L'ANSSI doit voir ses moyens renforcés de manière significative, le label SecNumCloud doit devenir une exigence effective et non une simple option pour les administrations et la transposition de la directive NIS 2 doit être accélérée sans plus de tergiversation. À ce stade, il ne semble hélas pas que ce soit le chemin emprunté par le Gouvernement. Dès lors, il lui demande quelles actions concrètes elle va immédiatement mettre en œuvre, sur chacun de ces trois plans, sécurisation technique, autonomie numérique et cadre législatif, pour empêcher le pillage des données des Français et des Françaises. Il lui demande également de préciser les raisons du retard pris dans la transposition de la directive NIS 2, les moyens budgétaires effectivement alloués à l'ANSSI et à la DINUM pour l'année en cours, ainsi que le bilan concret de l'application du label SecNumCloud aux systèmes d'information de l'État.