— 1 —

La séance est ouverte à seize heures trente.

La commission spéciale a procédé à l’examen du projet de loi, adopté par le Sénat après engagement de la procédure accélérée, relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (n° 1112) (M. Éric Bothorel, rapporteur général, Mme Catherine Hervieu, Mme Anne Le Hénanff, M. Mickaël Bouloux, rapporteurs).

M. le président Philippe Latombe. La commission a été saisie de 530 amendements. En application de l’article 45 de la Constitution, j’en ai déclaré irrecevables vingt-sept, qui ne présentaient aucun lien, même indirect, avec les dispositions du projet de loi initial. J’ai notamment estimé que tous les amendements dont le dispositif relevait directement du règlement général sur la protection des données (RGPD) ou de la loi de programmation militaire (LPM) étaient des cavaliers. En vertu de l’article 40 de la Constitution, le président de la commission des finances, Éric Coquerel, a déclaré irrecevables les amendements tendant à créer une charge pour les finances publiques.

Suivant la pratique de plusieurs commissions permanentes, nous examinerons en fin de discussion les amendements visant à obtenir du gouvernement un rapport, afin de faire preuve de discernement en la matière.

titre ier
RÉsilience des activitÉs d’importance vitale

Chapitre Ier
Dispositions gÉnÉrales

Article 1er : (art. L. 1332-1 à 6 et art. L. 1332-7 à 22 [nouveaux] du code de la défense) Transposition de la directive 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des activités critiques (REC)

Amendements identiques CS264 de Mme Catherine Hervieu et CS162 de Mme Sabrina Sebaihi

Mme Catherine Hervieu, rapporteure. La préservation de l’environnement est essentielle à la survie de la nation. Pourtant, l’alinéa 7, qui définit les activités d’importance vitale, ne la mentionne pas. Ces amendements tendent à y remédier.

Le point 478 de la revue nationale stratégique indique explicitement qu’il faut donner une plus grande place au risque environnemental dans le dispositif.

Le ministère de la transition écologique, de la biodiversité, de la forêt, de la mer et de la pêche est déjà responsable d’environ 50 % des opérateurs visés. La précision est donc cohérente.

M. Éric Bothorel, rapporteur général. La notion d’environnement n’est pas étrangère aux activités d’intérêt vital, mais la mention de sa préservation n’est pas totalement cohérente avec les objectifs concrets de sécurisation. De plus, elle est déjà présente dans celle d’activité indispensable au fonctionnement de la société.

En créant un inventaire à la Prévert, on prend le risque d’oublier certains éléments, qui ne seront dès lors pas considérés comme indispensables.

Je vous invite donc à retirer ces amendements ; à défaut, j’émettrai un avis défavorable.

Mme Catherine Hervieu, rapporteure. La directive REC dispose qu’est « essentiel » un service crucial pour le maintien de l’environnement. La définition que je propose est donc conforme au droit européen.

M. Éric Bothorel, rapporteur général. Je ne pointe pas un défaut de cohérence mais l’inutilité de la précision. L’environnement est déjà pris en considération. La présence de onze secteurs relevant du ministère de la transition écologique, étroitement liés à cette question, le montre.

La commission rejette les amendements.

Amendement CS196 de M. Aurélien Lopez-Liguori

M. Aurélien Lopez-Liguori (RN). Les institutions, qui sont la cible privilégiée des ingérences étrangères – cyberattaques contre les mairies, l’Assemblée nationale, France Travail ; tentatives de manipulation électorale, de déstabilisation –, ne figurent pas dans la définition actuelle des infrastructures critiques. Il est proposé de combler ce vide.

M. Éric Bothorel, rapporteur général. L’objectif de préservation du fonctionnement des institutions est pris en compte dans la définition des activités d’importance vitale car toute perturbation heurterait nécessairement le fonctionnement de la société. Votre amendement étant satisfait, j’en demande le retrait ; à défaut, avis défavorable.

Mme Catherine Hervieu, rapporteure. Le fonctionnement des institutions est sous-entendu par la définition d’une infrastructure critique. Avis défavorable.

L’amendement est retiré.

Amendements identiques CS265 de Mme Catherine Hervieu et CS163 de Mme Sabrina Sebaihi

Mme Catherine Hervieu, rapporteure. Il est proposé d’ajouter à la définition de l’infrastructure critique la notion d’accès à l’information, afin de souligner l’importance vitale pour la société des médias, de l’audiovisuel et de la presse. Les infrastructures nécessaires à la diffusion de l’information aux citoyens doivent être considérées comme critiques pour assurer leur résilience.

Mme Sabrina Sebaihi (EcoS). Les attaques visent non seulement les hôpitaux et les réseaux d’énergie, mais aussi les esprits et notre démocratie, par la désinformation, les fake news et les manipulations orchestrées parfois depuis l’étranger. Inscrire l’accès à l’information dans la définition des infrastructures critiques, c’est reconnaître que sans information libre, fiable et protégée, notre société devient vulnérable aux ingérences et aux propagandes. Ce n’est pas un luxe : nous devons bâtir un rempart contre les dérives.

M. Éric Bothorel, rapporteur général. Vous avez raison : c’est loin d’être un luxe. C’est la raison pour laquelle cette disposition figure déjà dans certaines directives nationales de sécurité. Demande de retrait et, à défaut, avis défavorable.

La commission rejette les amendements.

Amendements identiques CS465 de M. Éric Bothorel et CS448 de Mme Catherine Hervieu

Mme Catherine Hervieu, rapporteure. Il s’agit de clarifier la notion d’infrastructure critique utilisée en droit européen. La directive REC adopte une définition de la notion d’infrastructure critique plus large que la notion de point d’importance vitale utilisée en droit national et bien appréhendée par les opérateurs. Le projet de loi, par l’emploi de l’adverbe « notamment », a fait le choix de conserver le périmètre actuel des PIV et de concevoir ces derniers comme une catégorie spécifique d’infrastructures critiques au sens de la directive.

Toutefois, la multiplication récente des textes européens faisant référence à la notion d’infrastructure critique rend de moins en moins pertinente la distinction entre, d’une part, les infrastructures qui correspondraient aux PIV et aux SIIV (systèmes d’information d’importance vitale) et, d’autre part, des infrastructures critiques qui en seraient exclues. Pour des raisons de cohérence entre le droit européen et le droit interne, il apparaît souhaitable de lever toute ambiguïté en supprimant l’adverbe « notamment », afin d’assurer une identité entre, d’un côté, les PIV et les SIIV, et, de l’autre, les infrastructures critiques.

La commission adopte les amendements.

Amendement CS125 de Mme Catherine Hervieu et sous-amendement CS482 de Mme Virginie Duby-Muller

Mme Catherine Hervieu, rapporteure. Il s’agit de corriger une erreur de syntaxe dans la définition de la résilience. « Prévenir contre tout type d’incident » est une formulation incorrecte. Il est proposé de définir la résilience comme « la capacité d’un opérateur à prévenir tout type d’incident, à s’en protéger et à y résister ».

Mme Virginie Duby-Muller (DR). Le sous-amendement vise à compléter la définition de la résilience en y intégrant explicitement la capacité de se rétablir après un incident, prévue par la directive. Sans cette mention, notre droit national offrira une définition incomplète qui risquerait de ne pas rendre justice à l’esprit du texte européen.

Le rétablissement n’est pas un élément secondaire : il constitue une condition essentielle de la continuité des activités critiques. Les crises cyber, les catastrophes naturelles ou encore les incidents techniques ne peuvent être considérés comme maîtrisés que si l’activité normale peut être restaurée rapidement et efficacement. En ajoutant ces quelques mots, nous apportons une clarification utile qui renforce la cohérence juridique de notre droit avec la directive.

Mme Catherine Hervieu, rapporteure. La notion de « continuité de l’activité », davantage utilisée en droit national et qui a la préférence du SGDSN, figure déjà dans la définition. Avis défavorable.

Le sous-amendement est retiré.

La commission adopte l’amendement.

Amendement CS197 de M. Aurélien Lopez-Liguori

M. Aurélien Lopez-Liguori (RN). Il n’existe aucune définition légale de la souveraineté numérique. En conséquence, ce concept assez flou demeure difficile à appliquer et à contrôler. L’amendement en propose donc une définition claire : la capacité de l’État à fixer les règles, à assurer son autonomie technologique et à se protéger des ingérences étrangères.

Une définition complète constituerait une boussole juridique stratégique ; elle permettrait de guider nos politiques numériques et de mettre fin aux abandons de souveraineté que nous consentons depuis des années. Aujourd’hui, les grands ministères ont toujours recours à une entreprise canadienne pour assurer la formation en cybersécurité : ce n’est pas normal. En fixant une définition de la souveraineté numérique, nous parviendrons peut-être à nous extirper de cette situation.

Mme Catherine Hervieu, rapporteure. Les définitions présentes dans le projet de loi sont issues de l’article 2 de la directive REC, transposé par l’article 1er. Elles ont pour objet de poser le cadre du dispositif de sécurité des activités d’importance vitale, lequel n’utilise pas la notion de souveraineté numérique. Un tel ajout à l’article 1er du projet de loi constituerait alors une surtransposition, qui pourrait ouvrir la voie à des conséquences néfastes pour le dispositif global. Avis défavorable.

M. Éric Bothorel, rapporteur général. Si personne ici ne s’oppose à l’idée qu’il faut conquérir la souveraineté numérique, inscrire sa définition dans le présent texte constituerait une surtransposition qui créerait de l’insécurité juridique pour les entreprises. Avis défavorable.

M. Aurélien Lopez-Liguori (RN). Nous ne sommes pas le seul groupe à avoir déposé des amendements relatifs à la souveraineté numérique dans ce texte. Il me paraît possible de trouver une majorité pour l’adoption de certains d’entre eux. Inscrire une définition de la souveraineté numérique dès l’article 1er permettrait de clarifier cette notion et de renforcer la directive telle qu’elle sortira de nos travaux.

Mme Catherine Hervieu, rapporteure. La souveraineté numérique n’entre pas dans le dispositif envisagé. Votre amendement irait à l’encontre de l’objet du texte, qui vise seulement à transposer la directive en droit national.

M. Éric Bothorel, rapporteur général. La souveraineté numérique devra probablement être définie un jour. Nous aurons ce débat, notamment avec ceux qui réclament la souveraineté numérique mais ne veulent pas des infrastructures chez eux. Ce sujet est sérieux et mérite mieux qu’une discussion au détour de l’examen d’un texte de transposition.

La commission rejette l’amendement.

Amendement CS42 de M. René Pilato

M. Arnaud Saint-Martin (LFI-NFP). L’amendement tend à imposer aux opérateurs d’importance vitale et aux entités critiques des dispositifs visant à protéger les personnes travaillant en leur sein. Il s’agit pour les OIV de tenir compte des risques psychosociaux et organisationnels auxquels sont soumis des agents en situation de stress élevé dans les plans de continuité ou de rétablissement d’activité exigés des opérateurs. L’expérience récente a démontré que l’absentéisme, la désorganisation managériale et l’épuisement professionnel pouvaient gravement compromettre la continuité de services pourtant techniquement robustes. Cet amendement s’inscrit dans une logique de résilience globale incluant le facteur humain, en cohérence avec les recommandations émises par plusieurs autorités de régulation et agences nationales de sécurité.

Mme Catherine Hervieu, rapporteure. S’il est indispensable de prévoir des mesures d’accompagnement et de limitation des risques auxquels sont exposés les salariés en cas de crise, le plan de résilience opérateur ne me semble pas être le bon véhicule pour prendre en compte les risques psychosociaux pour deux raisons principales. Tout d’abord, le plan étant classifié, ses éléments ne seront pas accessibles à l’ensemble des salariés et les syndicats auront un droit de regard très limité. La portée des mesures serait ainsi très réduite.

Ensuite, le plan devant être validé par l’autorité administrative, la préfecture devrait approuver ou modifier des mesures d’accompagnement des salariés, ce en quoi elle n’est pas compétente. Il serait donc plus judicieux de traiter ces sujets au sein des instances dédiées au dialogue social de chacune des entreprises concernées. Néanmoins, je partage tout à fait votre point sur l’importance d’inclure les risques pyscho-sociaux. Avis défavorable.

M. Éric Bothorel, rapporteur général. Les mesures proposées sont excessives car l’ensemble des employés d’un OIV serait concerné, alors que la qualification d’OIV peut n’être justifiée que pour une partie de ses activités. Je m’aligne donc sur l’avis de Mme la rapporteure.

La commission rejette l’amendement.

Amendements CS101 de M. Arnaud Saint-Martin, CS446 de Mme Catherine Hervieu et CS198 de M. Aurélien Lopez-Liguori (discussion commune)

M. Arnaud Saint-Martin (LFI-NFP). L’amendement CS101 vise à renforcer l’analyse des dépendances et des vulnérabilités des opérateurs d’importance vitale et de leurs sous-traitants en intégrant une approche globale de la sécurité, incluant la chaîne d’approvisionnement complète et la circulation des ressources humaines et matérielles.

Cette évaluation doit prendre en considération la dépendance à des prestataires ou fournisseurs stratégiques, y compris pour les services de logistique, de maintenance et de numérique, les conditions d’accès aux infrastructures, aux systèmes d’information et aux données sensibles, en distinguant les accès permanents, temporaires ou à distance, les flux de mobilité du personnel intervenant sur plusieurs sites, ainsi que les risques associés au transport et au stockage hors site d’équipements ou de supports d’information.

Mme Catherine Hervieu, rapporteure. L’amendement CS446 vise à intégrer les vulnérabilités des sous-traitants dans l’analyse des dépendances réalisée par les opérateurs d’importance vitale. L’interdépendance croissante de l’économie nécessite de leur part une analyse détaillée des vulnérabilités de leur chaîne d’approvisionnement. Or celle-ci ne peut être complète sans prendre en compte les sous-traitants, dans une démarche analogue à celle prévue par la directive de 2022 sur le devoir de vigilance des entreprises.

Je propose de réintroduire cette disposition qui avait été ajoutée en commission au Sénat, puis supprimée en séance. Afin d’éviter de surcharger les opérateurs, l’analyse serait réalisée dans un délai plus long que celui prévu par la directive REC ; il serait fixé par voie réglementaire.

M. Aurélien Lopez-Liguori (RN). Le Sénat a commis une erreur stratégique en supprimant l’obligation pour les OIV d’analyser les vulnérabilités de leurs sous-traitants. Les cyberattaques passent de plus en plus par la chaîne de sous-traitance, plus fragile. Il en existe de nombreux exemples : l’attaque de SolarWinds par un logiciel tiers a permis d’infiltrer des milliers d’organisations, dont des agences de l’État américain ; le rançongiciel NotPetya, propagé par une simple mise à jour d’un logiciel de comptabilité, a paralysé des entreprises du monde entier ; en France, plusieurs collectivités locales et établissements de santé ont été victimes d’attaques passées par des prestataires techniques insuffisamment protégés.

Supprimer cette exigence revient à se priver d’un bouclier indispensable et à sacrifier la sécurité à des impératifs pratiques ou économiques de court terme. Notre souveraineté numérique repose autant sur les grands opérateurs que sur la solidité de l’écosystème qui gravite autour. Les attaquants ont compris que la sous-traitance était leur cheval de Troie. Nous voulons donc rétablir le contrôle de la sous-traitance.

Mme Catherine Hervieu, rapporteure. L’amendement CS101 vise à étendre l’analyse des dépendances aux sous-traitants et aux accès physiques et numériques. Je suis favorable à l’intégration des sous-traitants dans l’analyse, sous réserve d’accorder un délai supplémentaire aux opérateurs. En revanche, intégrer les accès physiques et numériques et les équipements dans cette analyse aurait peu de sens dans le dispositif tel qu’il est conçu. Avis défavorable.

Concernant l’amendement CS198, un délai supplémentaire s’impose pour l’analyse des dépendances des sous-traitants. Avis défavorable.

M. Éric Bothorel, rapporteur général. Le dispositif prévu par la directive REC traite de la chaîne d’approvisionnement, qui couvre la question de la sous-traitance. Les trois amendements opèrent donc une surtransposition. Avis défavorable.

Mme Catherine Hervieu, rapporteure. L’argument de la surtransposition sera sans doute le fil rouge de nos débats. La fragilité de la sous-traitance est un point de vigilance et le fait d’accorder un délai pour qu’elle soit alignée correctement sur la chaîne de valeur enverrait le signal qu’elle est bien intégrée dans le dispositif. Cela ne me semble pas constituer une réelle surtransposition.

Successivement, la commission rejette l’amendement CS101 et adopte l’amendement CS446.

En conséquence, l’amendement CS198 tombe.

Amendement CS450 de M. Philippe Latombe

M. le président Philippe Latombe. Il s’agit d’intégrer, dans le périmètre de l’analyse des risques, les dépendances à l’égard des tiers et les vulnérabilités dans la chaîne d’approvisionnement. Cela vise à clarifier la question de la dépendance technologique vis-à-vis de fournisseurs de solutions logicielles et matérielles propriétaires.

Je réponds par avance à l’argument de la surtransposition en rappelant que, lors de l’adoption de la directive, nous n’avions pas encore connu ce qu’il s’est passé récemment avec les États-Unis : la possibilité pour un gouvernement d’utiliser un kill switch pour empêcher le bon fonctionnement d’un système en stoppant les mises à jour. Cela s’est matérialisé très concrètement, il y a quelques jours, par un executive order du président Trump à l’encontre de quatre juges de la Cour pénale internationale. Je souhaite donc compléter l’alinéa 32 pour que l’analyse des risques assure une visibilité du risque de kill switch pour l’ensemble des infrastructures concernées.

Mme Catherine Hervieu, rapporteure. Il est bénéfique de s’assurer que l’analyse des dépendances prenne en compte la dimension numérique pour garantir la continuité de l’activité des opérateurs. Avis favorable.

M. Éric Bothorel, rapporteur général. Sagesse.

La commission adopte l’amendement.

Amendement CS126 de Mme Catherine Hervieu

Mme Catherine Hervieu, rapporteure. Rédactionnel. L’amendement reformule la définition du plan particulier de résilience en remplaçant le pluriel par du singulier s’agissant de la mention de l’opérateur d’importance vitale.

La commission adopte l’amendement.

Amendements identiques CS478 de M. Éric Bothorel, CS9 de Mme Virginie Duby-Muller et CS452 de M. Philippe Latombe

Mme Virginie Duby-Muller (DR). Il s’agit d’intégrer explicitement la mention des dispositifs dans le plan particulier de résilience des opérateurs d’importance vitale. En l’état, le texte ne fait référence qu’aux procédures, sans distinguer clairement ce qui relève des équipements, d’une part, et des dispositifs et des procédures, d’autre part. Or un plan particulier de résilience doit être exhaustif pour être pleinement opérationnel. Il s’agit non seulement de prévoir des protocoles mais aussi d’identifier les moyens matériels et techniques indispensables à leur mise en œuvre.

L’ajout proposé assure la cohérence avec l’esprit de la directive REC, qui insiste sur la nécessité de garantir la continuité effective des services essentiels, et renforce la lisibilité du plan de résilience pour l’autorité administrative chargée de l’approuver. Il s’agit d’un amendement de clarification et de sécurisation juridique et opérationnelle.

Mme Catherine Hervieu, rapporteure. Ces amendements apportent une distinction utile en précisant les mesures qui relèvent d’équipements spécifiques et celles qui dépendent des procédures. Cela ne devrait pas générer de surcharge de travail déraisonnable pour les opérateurs. Avis favorable.

La commission adopte les amendements.

Amendement CS199 de M. Aurélien Lopez-Liguori

M. Emeric Salmon (RN). L’amendement vise à rendre obligatoire la consultation de l’autorité administrative par les OIV sur le point d’accorder une autorisation d’accès à leurs points d’importance vitale – rien ne les y oblige aujourd’hui. En effet, il n’est pas anodin de mettre entre les mains d’un individu la clé d’infrastructures essentielles pour la nation.

Mme Catherine Hervieu, rapporteure. La faculté ouverte aux OIV de demander un avis à l’autorité administrative est bien appréhendée par les opérateurs. En actant le passage à une logique d’avis conforme et en élargissant aux accès à distance, le projet de loi renforce déjà les contrôles portant sur les accès aux sites sensibles. Il serait donc contre-productif d’imposer aux opérateurs de demander un avis à l’autorité administrative. Cela pourrait créer un encombrement déraisonnable des services chargés des enquêtes. Les administrations que j’ai auditionnées ont indiqué qu’elles travaillaient en bonne intelligence avec les OIV. Des relations de confiance sont en train de s’établir et, même s’il ne faut pas être naïf en la matière, une telle disposition ne serait sans doute pas conforme à l’esprit de la directive ni à l’urgence de la transposer et à la nécessité de la rendre efficace.

La commission rejette l’amendement.

Amendement CS127 de Mme Catherine Hervieu

Mme Catherine Hervieu, rapporteure. Rédactionnel. Il s’agit de corriger une erreur de renvoi.

La commission adopte l’amendement.

Amendements identiques CS481 de M. Éric Bothorel, CS43 de M. Arnaud Saint-Martin, CS140 de M. Édouard Bénard et CS169 de Mme Sabrina Sebaihi

M. Arnaud Saint-Martin (LFI-NFP). Il est proposé que le décret d’application encadrant les enquêtes administratives de sécurité pour l’accès aux points et aux systèmes d’information d’importance vitale soit pris après avis de la Cnil. Cela permettrait de motiver davantage les demandes d’enquêtes administratives, qui peuvent entraîner la consultation de données personnelles à caractère sensible.

Mme Sabrina Sebaihi (EcoS). Les enquêtes administratives de sécurité qui conditionnent l’accès à des infrastructures critiques peuvent nécessiter la consultation de casiers judiciaires et l’exploitation de traitements automatisés de données personnelles. Autrement dit, cela touche directement aux libertés individuelles, raison pour laquelle nous proposons cet amendement.

Mme Catherine Hervieu, rapporteure. Il est important que la Cnil puisse éclairer le gouvernement sur la protection des données privées et l’accès à des informations sensibles. Avis favorable.

La commission adopte les amendements.

Amendement CS200 de M. Aurélien Lopez-Liguori

M. Emeric Salmon (RN). Cet amendement vise à obliger les OIV à consulter l’autorité administrative lorsqu’ils envisagent de recruter une personne pour un poste où elle aura accès aux points d’importance vitale.

Il complète donc l’amendement CS199. La rapporteure avait estimé que ce dernier n’était pas conforme à la directive mais, si l’on ne rend pas obligatoire la consultation de l’autorité administrative, on crée une passoire car il n’y aura pas réellement de filtrage.

Mme Catherine Hervieu, rapporteure. Permettez-moi de relever qu’à l’occasion d’autres débats, votre groupe avait défendu avec vigueur la simplification administrative.

Les opérateurs sont déjà familiarisés avec le dispositif actuel. Ils sont très conscients de la nécessité d’être vigilants en matière de recrutement et savent quels sont les postes qui supposent de demander l’avis de l’autorité administrative.

Encore une fois, on progresse, avec la conscience partagée de la nécessité d’être extrêmement efficaces pour aboutir à des procédures qui protègent contre les cyberattaques et les ingérences. Votre amendement serait donc contre-productif. Il ne correspond pas à l’esprit de ce texte, très attendu par les opérateurs et qui doit être opérationnel. Avis défavorable.

M. Aurélien Lopez-Liguori (RN). Si les entreprises ont déjà l’habitude de solliciter l’avis de l’autorité administrative, c’est bien qu’elles y ont très largement recours. Rendre cette consultation obligatoire n’entraînerait aucun engorgement, d’autant que cela reste un avis consultatif.

Mme Catherine Hervieu, rapporteure. Votre amendement conduirait à un encombrement déraisonnable des dossiers à traiter par les services chargés des enquêtes, ce qui ne correspond pas à ce que vous souhaitez.

On sait que la transposition de la directive va augmenter le nombre d’OIV. L’acculturation prévue par le projet constitue déjà une étape.

La commission rejette l’amendement.

Amendement CS201 de M. Aurélien Lopez-Liguori

M. Aurélien Lopez-Liguori (RN). Le texte prévoit que la Commission européenne puisse intervenir en effectuant des missions de conseil auprès de nos OIV, lorsque ceux-ci sont considérés comme d’importance européenne.

Nous comprenons l’intention, qui consiste à renforcer la coordination et la sécurité collective au sein de l’Union. Mais, même encadrée, cette disposition soulève des questions de principe. Quelle est la légitimité de la Commission européenne pour diligenter des opérations de conseil dans nos OIV, qui plus est lorsqu’ils interviennent dans des domaines qui relèvent des compétences exclusives des États et qu’ils sont essentiels dans le quotidien des Français et pour notre indépendance – hôpitaux, réseaux d’énergie ou de communications, administrations ?

Nous voulons ouvrir le débat car nous pensons qu’il n’appartient pas à la Commission européenne, organe non élu, de diligenter des missions de conseil et, potentiellement, de collecter des données confidentielles sur nos OIV. C’est pourquoi nous proposons de supprimer ce mécanisme.

Mme Catherine Hervieu, rapporteure. Il convient tout d’abord de rappeler que si la directive a été proposée par la Commission, elle a été adoptée par le Parlement et par le Conseil.

Comme cela est indiqué dans la directive, les entités critiques d’importance européenne particulière sont les OIV qui fournissent des services essentiels similaires dans au moins six États membres. Il est bien entendu indispensable de transposer cette notion en droit national et j’aurai un avis défavorable. Néanmoins, je vais revenir sur les points que vous avez soulevés.

Les obligations imposées à ces entités sont en réalité peu contraignantes. Il s’agit d’accorder un accès en cas de mission de conseil de la Commission pour les aider à se conformer à leurs obligations et à transmettre des informations supplémentaires à la Commission, si nécessaire.

L’objectif est avant tout d’assurer un recensement des entités critiques transfrontalières. Comme les dernières crises environnementales et les conflits l’ont montré, les risques pour la nation sont d’abord transfrontaliers. Votre amendement ferait peser de graves dangers sur le fonctionnement de l’économie comme de la société. Avis défavorable.

M. Aurélien Lopez-Liguori (RN). Une nouvelle délégation de compétence dans un domaine qui relève exclusivement des États doit être votée à l’unanimité par le Conseil – ce qui n’est pas du tout le cas en l’occurrence. Même si l’on peut estimer que la question que nous soulevons est annexe, nous considérons qu’il n’est pas possible d’étendre les compétences de l’Union à la faveur d’une directive. Ce n’est pas notre conception de la souveraineté nationale.

Mme Catherine Hervieu, rapporteure. Les réseaux, qu’ils soient électriques ou ferroviaires, font partie des OIV. Ils ne s’arrêtent pas aux frontières de chacun des pays européens. Il faut donc être cohérent.

Mme Marina Ferrari (Dem). L’amendement vise à supprimer un alinéa qui permet à la Commission d’accéder à des informations concernant des OIV lorsqu’ils fournissent des services essentiels dans au moins six pays – c’est-à-dire lorsqu’il existe un risque collectif. Il est donc nécessaire de maintenir cette disposition, car nous pouvons être interdépendants dans certains domaines.

La commission rejette l’amendement.

Suivant l’avis de la rapporteure, la commission rejette successivement les amendements CS202 et CS203 de M. Aurélien Lopez-Liguori.

Amendement CS204 de M. Aurélien Lopez-Liguori

M. Aurélien Lopez-Liguori (RN). Cet article prévoit que certains secteurs extrêmement souverains – comme la défense, le nucléaire ou la sécurité civile – peuvent être exclus du dispositif. Mais il s’agit seulement d’une faculté, ce qui introduit une dangereuse ambiguïté pouvant conduire à des interprétations différentes selon les circonstances.

Pour nous, il n’y a pas à tergiverser : la défense, le nucléaire et la sécurité publique doivent être systématiquement exclus de ce dispositif. Nous proposons donc de verrouiller le cadre juridique, car la souveraineté dans le domaine régalien n’est pas négociable.

Mme Catherine Hervieu, rapporteure. Un décret en Conseil d’État précisera le champ des exemptions. Le SGDSN collabore activement avec les services de la Commission européenne pour identifier les remontées d’informations pertinentes et celles qui doivent être proscrites pour garantir le secret de la défense nationale.

Il n’y a donc pas de raison que le législateur impose au gouvernement d’exempter les entités critiques d’importance européenne particulière de toutes leurs obligations.

Avis défavorable.

M. Éric Bothorel, rapporteur général. Avis défavorable également. Cet amendement est contraire à l’objectif de la directive, laquelle laisse une marge d’appréciation aux États. Une exclusion générale de certains secteurs viderait la directive de son sens.

M. Aurélien Lopez-Liguori (RN). La défense, le nucléaire et la sécurité publique sont les fondements de notre indépendance nationale. Ce ne sont pas des compétences partagées avec d’autres États membres mais bien des compétences exclusives des États.

Le texte permet déjà d’exclure, par décret, les activités précitées du champ du dispositif. Mais cette décision revient au législateur. Nous devons affirmer qu’il s’agit de compétences qui relèvent des États et non de l’Union européenne.

La commission rejette l’amendement.

Suivant l’avis du rapporteur général, elle adopte l’amendement rédactionnel CS128 de Mme Catherine Hervieu, rapporteure.

Suivant l’avis de la rapporteure, la commission rejette l’amendement CS205 de M. Aurélien Lopez-Liguori.

Amendement CS206 de M. Aurélien Lopez-Liguori

M. Aurélien Lopez-Liguori (RN). Les drones utilisés par l’État collectent des données parmi les plus sensibles. Si leur traitement est confié à des prestataires non européens, ces dernières se retrouveront de facto sous le régime de lois extraterritoriales, comme le Cloud Act (Clarifying Lawful Overseas Use of Data Act).

Je pense aussi et tout particulièrement aux lois sur le renseignement qui permettent aux autorités chinoises d’accéder aux informations sans même nous en informer. Ce risque n’est pas théorique : DJI (Da Jiang Innovation) a mis fin au blocage automatique des vols de ses drones dans les zones d’exclusion aérienne, ce qui permet de cartographier l’intégralité des zones sensibles aux États-Unis, en France et dans l’Union européenne. C’est un risque pour la France, mais aussi pour l’Europe.

Avec cet amendement, nous voulons imposer que les données soient traitées exclusivement par des entreprises européennes dont le capital est majoritairement détenu par des Européens. C’est une mesure de souveraineté car il n’y a pas de sécurité nationale sans maîtrise totale de nos données.

Mme Catherine Hervieu, rapporteure. L’article auquel fait référence cet amendement existe déjà dans le code de la défense. Il est simplement renuméroté par le projet de loi, afin de mieux l’intégrer dans ledit code. Cet article autorise la captation d’images par les services de l’État pour sécuriser les points d’importance vitale.

L’amendement modifierait un dispositif qui fonctionne bien et qui ne nécessite pas d’instaurer une préférence européenne particulière. Les services de l’État font déjà appel à des sociétés nationales ou, au besoin, à des partenaires européens. Avis défavorable.

M. Aurélien Lopez-Liguori (RN). Je comprends que l’on n’ait pas envie de surtransposer la directive. Mais, en dehors des débats sur la LPM (loi de programmation militaire), quand avons-nous pu discuter de cybersécurité au sein de cette assemblée ? Il me semble que cela n’a pas été le cas depuis la loi sur le renseignement, en 2015 – je n’étais pas encore député.

Ce texte est l’occasion aborder le sujet, à un moment où nous savons quels sont les risques géopolitiques, d’espionnage et liés à l’extraterritorialité. En tant que législateurs, nous devons saisir cette opportunité pour parler de souveraineté, d’indépendance et d’ingérence. La question est la suivante : comment faire en sorte que les entreprises européennes soient les seules à traiter ces données ? Une approche souveraine serait en soi extrêmement bénéfique, mais elle le serait aussi pour nos entreprises, qui auront des marchés. Je ne vois pas pourquoi nous nous en priverions.

M. Éric Bothorel, rapporteur général. Depuis huit ans, l’Assemblée s’est penchée sur les sujets relatifs au numérique en général, mais aussi, parfois, à la cybersécurité en particulier. Je pense notamment à la loi visant à sécuriser et à réguler l’espace numérique, dite Sren, qui comprenait des dispositions concernant le cloud. Le sujet des données a également souvent été abordé, notamment à l’occasion de textes relatifs à la santé. Nous avons adopté des dispositions pour sécuriser celles-ci – ce qui a contribué à la mise en place de la certification SecNumCloud.

Je ne peux pas laisser dire qu’il n’y a pas eu de travaux sur ces sujets à l’Assemblée, alors même que nous examinons un texte destiné à transposer les directives REC, NIS 2 et Dora. Qui plus est, certains groupes d’études travaillent de manière intense sur ces sujets. Les travaux de celui que vous présidez ne sont pas inutiles, monsieur Lopez-Liguori.

La commission rejette l’amendement.

Amendement CS466 de M. Éric Bothorel

M. Éric Bothorel, rapporteur général. Cet amendement de cohérence vise à soumettre l’ensemble des OIV aux obligations de notification d’incidents importants et de vulnérabilités critiques prévues à l’article 17.

Mme Catherine Hervieu, rapporteure. La précision est utile. Avis favorable.

La commission adopte l’amendement.

Amendement CS49 de M. René Pilato

M. Arnaud Saint-Martin (LFI-NFP). Cet amendement vise à étendre la protection dont disposent les lanceurs d’alerte aux agents chargés du contrôle des OIV. Les lanceurs d’alerte sont des vigies citoyennes qui participent à l’intérêt général en révélant des scandales liés à des violations d’une norme ou à des pratiques condamnables.

Les OIV sont par définition essentiels au bon fonctionnement de la société, des institutions et de l’économie. Une défaillance majeure de l’un d’entre eux pourrait avoir des conséquences extrêmement graves pour l’ensemble du pays.

Dans le cadre de leurs missions, les agents habilités à rechercher et à constater les manquements à l’article 1er peuvent être confrontés à de telles défaillances présentant un risque majeur pour l’intérêt général. Il est donc indispensable qu’ils puissent alerter l’opinion et les pouvoirs publics sans risquer des poursuites.

Mme Catherine Hervieu, rapporteure. Les agents habilités ont pour mission de constater les manquements des opérateurs et de les signaler, en vue d’une éventuelle saisine de la commission des sanctions.

Leur habilitation est stricte et leurs pouvoirs sont très larges. Ces prérogatives impliquent en contrepartie une discrétion absolue sur les faits dont ils ont connaissance, afin de protéger le secret de la défense nationale.

Étendre à ces agents les dispositions de loi Sapin 2 pourrait fragiliser l’ensemble du dispositif de sécurisation des activités d’importance vitale. La confiance entre les opérateurs et les agents habilités pourrait être rompue, avec des conséquences potentiellement graves sur l’accès de ces derniers aux informations.

Le dispositif de protection des lanceurs d’alerte concerne des circonstances exceptionnelles, lesquelles pourront être examinées par la justice au cas par cas. Avis défavorable.

La commission rejette l’amendement.

Amendement CS451 de M. Philippe Latombe

M. le président Philippe Latombe. Cet amendement vise à intégrer au sein de la commission des sanctions un représentant du ministère chargé du secteur d’activité auquel appartient l’entité qui fait l’objet d’une procédure.

Historiquement, il revient aux ministères de désigner quels sont les OIV dans leur domaine de compétences. Il serait donc justifié qu’un représentant du ministère concerné participe aux débats de la commission, car il serait en mesure d’apporter à charge ou à décharge des éléments non techniques – relatifs aux politiques publiques, économiques ou sociaux – susceptibles d’influer sur sa décision.

Mme Catherine Hervieu, rapporteure. Chaque secteur d’importance vitale est supervisé par un ministre coordonnateur, lequel veille à l’application du dispositif dans les secteurs d’activité de son champ de compétences.

La commission des sanctions prévue par ce texte permettra quant à elle de sanctionner les manquements des opérateurs.

Par conséquent, il ne me semble pas judicieux que des représentants du ministère soient à la fois régulateurs et juges. Cela contreviendrait au principe de séparation des fonctions d’enquête et de sanction et remettrait en cause l’impartialité de la commission, laquelle doit être aussi indépendante que possible. Avis défavorable.

La commission rejette l’amendement.

Suivant l’avis de la rapporteure, elle rejette l’amendement CS44 de M. René Pilato.

Amendement CS467 de M. Éric Bothorel

M. Éric Bothorel, rapporteur général. Cet amendement vise à revenir au texte initial du gouvernement s’agissant des autorités chargées de nommer les membres de la commission des sanctions. Cette rédaction est justifiée par la nature et les missions de cette commission, qui aura à connaître de sujets très techniques et opérationnels, liés notamment à la sécurité des activités d’importance vitale et à la cybersécurité.

Il paraît dès lors paradoxal de confier au président de l’Assemblée nationale et à celui du Sénat le soin de procéder à de telles nominations.

Mme Catherine Hervieu, rapporteure. La modification adoptée par le Sénat renforce le contrôle du Parlement sur la commission des sanctions, sans pour autant politiser sa composition. Compte tenu des pouvoirs confiés à cette commission, il me semble utile que le Parlement désigne une partie des personnalités qualifiées. Avis défavorable.

La commission adopte l’amendement.

En conséquence, l’amendement CS45 de M. Arnaud Saint-Martin tombe.

Suivant l’avis de la rapporteure, la commission rejette l’amendement CS462 de M. Arnaud Saint-Martin.

Amendements identiques CS479 de M. Éric Bothorel et CS99 de M. Laurent Mazaury

M. Laurent Mazaury (LIOT). Cet amendement vise à faire figurer explicitement le principe du contradictoire, élément fondamental des droits de la défense dans toutes les procédures. La commission des sanctions pourra en effet infliger des sanctions lourdes aux entreprises, avec des amendes pouvant s’élever à 2 % de leur chiffre d’affaires annuel mondial.

Mme Catherine Hervieu, rapporteure. L’amendement apporte une précision utile en inscrivant l’obligation de contradictoire dans la loi. Avis favorable.

La commission adopte les amendements.

Amendement CS532 de M. Éric Bothorel

M. Éric Bothorel, rapporteur général. Cet amendement rédactionnel fait suite à l’amendement CS467.

Mme Catherine Hervieu, rapporteure. Avis défavorable.

La commission adopte l’amendement.

Amendements identiques CS129 de Mme Catherine Hervieu et CS461 de M. Arnaud Saint-Martin, amendement CS470 de M. Éric Bothorel (discussion commune)

Mme Catherine Hervieu, rapporteure. Avec mon amendement je propose que le mandat des membres de la commission des sanctions ne soit pas renouvelable, alors que le texte prévoit qu’il peut être renouvelé une fois. Cela permettra de garantir l’impartialité de cette commission, car l’indépendance de ses membres ne pourra pas être contestée. Son autorité s’en trouvera renforcée.

M. Arnaud Saint-Martin (LFI-NFP). Nous souhaitons modifier les modalités de désignation des membres de la commission des sanctions, afin de garantir son impartialité et son indépendance. Nous voulons également renforcer cette dernière en supprimant la possibilité pour l’exécutif de renouveler le mandat des membres de la commission. Le caractère désintéressé de ses décisions s’en trouvera renforcé.

M. Éric Bothorel, rapporteur général. L’amendement CS470 est rédactionnel.

Avis favorable aux amendements CS129 et CS461.

La commission adopte les amendements identiques.

En conséquence, l’amendement CS470 tombe.

Suivant l’avis de la rapporteure, la commission adopte l’amendement rédactionnel CS469 de M. Éric Bothorel, rapporteur général.

Amendement CS20 de Mme Sabine Thillaye

Mme Sabine Thillaye (Dem). Je m’interroge sur l’opportunité d’exempter les administrations de l’État et ses établissements publics administratifs ainsi que les collectivités territoriales, leurs groupements et leurs établissements administratifs de sanctions en cas de manquement.

Je comprends que certains soient absolument opposés à mon amendement, mais le dispositif relatif aux sanctions comprend des garde-fous. La commission des sanctions statue par décision motivée. Elle ne peut pas se prononcer sans avoir entendu l’opérateur concerné ou son représentant. À défaut, il doit avoir été dûment convoqué. Enfin, le prononcé de sanctions n’est pas automatique.

D’autres États membres prévoient que leurs collectivités peuvent faire l’objet de sanctions. Ne faut-il pas faire de même dans le cas où certaines administrations ou collectivités feraient preuve d’une forme de négligence, faute d’avoir pris conscience de la nécessité de se protéger ?

Mme Catherine Hervieu, rapporteure. Cet amendement implique en réalité d’étudier séparément les conséquences pour l’Etat et les collectivités. D’une part, prévoir que l’État et ses établissements publics peuvent être sanctionnés n’emporterait que peu de conséquences effectives. Il s’agirait d’un mécanisme comptable. Les sanctions prononcées par la Cnil ne concernent pas l’État et ses établissements publics. Les réserves émises par le Conseil d’État portent d’ailleurs seulement sur les collectivités territoriales.

D’autre part, il est opportun de limiter les charges supplémentaires qui pourraient être imposées aux collectivités territoriales. Elles ne bénéficient d’aucune marge de manœuvre budgétaire en raison des missions qu’elles doivent assumer et de celles qu’elles exercent au nom de l’État.

Les spécificités des collectivités plaident pour une exonération du régime de sanctions, comme le prévoit le projet – étant entendu que ce texte comprend aussi des mesures de police administrative qui leur sont bien applicables. Avis défavorable.

L’amendement est retiré.

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS130 de Mme Catherine Hervieu, rapporteure.

Amendement CS58 de M. René Pilato

M. Arnaud Saint-Martin (LFI-NFP). Cet amendement tend à renforcer le contrôle exercé par l’État sur les contrats de concession relatifs à la gestion d’infrastructures critiques. Dans un contexte de montée des tensions géopolitiques, de menaces hybrides et de dépendances stratégiques, il est essentiel de garantir la souveraineté de la France dans les secteurs les plus sensibles.

Cet objectif suppose une vigilance particulière à l’égard des modalités de sous-traitance, afin d’écarter tout acteur ou technologie susceptible de compromettre la sécurité, la continuité d’activité ou la confidentialité des données. Il implique aussi de favoriser les acteurs économiques basés en France, mesure qui permettrait de réduire les vulnérabilités de la France vis-à-vis d’acteurs économiques étrangers.

En imposant d’intégrer des clauses de sécurité dans ces contrats, l’amendement permet de préserver les intérêts fondamentaux de la nation, tout en favorisant une chaîne de sous-traitance compatible avec les exigences de loyauté, de transparence et d’autonomie stratégique. Il s’inscrit dans une démarche de consolidation de la résilience industrielle française et de protection de notre souveraineté économique.

Mme Catherine Hervieu, rapporteure. Le contrôle de l’autorité administrative est garanti, puisque les OIV devront l’informer avant de recourir aux régimes dérogatoires en matière de marchés publics et de contrats de concession. Les modalités seront prévues par des dispositions réglementaires.

Le dispositif prévu ne concerne pas l’État mais bien les OIV. Il est destiné à éviter qu’un acteur hostile remporte un contrat et menace une activité d’importance vitale. Avis défavorable.

La commission rejette l’amendement.

Amendement CS103 de M. Antoine Villedieu

M. Emeric Salmon (RN). Certains opérateurs d’importance vitale – aéroports, ports, réseaux d’énergie et d’eau – passent des marchés qui touchent directement à la sécurité nationale. Pourtant, leur régime juridique n’est pas clairement aligné sur celui des marchés de défense, ce qui crée une zone grise. En pratique, un arbitrage politique compliqué est nécessaire pour écarter un prestataire extra-européen, par exemple un fournisseur chinois ayant une position dominante dans les systèmes de détection de bagages. Il manque un outil juridique clair pour protéger nos intérêts essentiels.

Nous proposons une solution simple : aligner explicitement le régime des marchés des OIV sur celui des marchés de défense ou de sécurité nationale. Cela permettra aux opérateurs de repousser de façon claire et légale des prestataires étrangers qui présentent un risque pour nos données, notre souveraineté et notre sécurité.

Mme Catherine Hervieu, rapporteure. Le dispositif prévu par le projet de loi est plus adapté que celui des marchés de défense ou de sécurité, qui est plus général et vise davantage à protéger le secret de la défense nationale. Votre amendement contribuerait sans doute à affaiblir la sécurité des opérateurs, ce que nous ne souhaitons pas. Avis défavorable.

La commission rejette l’amendement.

Amendement CS207 de M. Aurélien Lopez-Liguori

M. Aurélien Lopez-Liguori (RN). Trop souvent, nos opérateurs d’importance vitale (OIV) confient leurs marchés les plus sensibles – sécurité des réseaux, systèmes de commandement, hébergement de données critiques – à des entreprises extra-européennes. Cela a deux conséquences : d’une part, une dépendance technologique, d’autre part, la soumission à des lois extraterritoriales comme le Cloud Act ou la loi sur le renseignement en Chine. L’histoire récente en a pourtant montré les dangers : des entreprises américaines bloquent du jour au lendemain l’accès à des technologies jugées stratégiques – M. Trump l’a évoqué dans une lettre aux Gafam il y a quelques mois – et des fournisseurs étrangers coupent l’approvisionnement en composés critiques. Qui peut croire que cela n’arrivera pas à la France ou à l’Union européenne ? Personne.

Nous souhaitons donc édicter un principe clair : dans les marchés stratégiques, la priorité doit être accordée aux entreprises européennes. C’est une question de bon sens. Viser la souveraineté, ce n’est pas se priver de l’efficacité : lorsque nous ne possédons pas une technologie, il faut bien entendu se tourner vers l’étranger. L’écosystème numérique français est très performant – revenant de Corée du Sud, je peux affirmer qu’il est bien meilleur que celui de ce pays. Il faut l’utiliser. Ce principe est doublement vertueux, puisqu’il aura pour effet de protéger notre souveraineté et de renforcer notre industrie nationale, qui compte déjà des champions en matière de cybersécurité. Nous affirmons une vérité simple : la sécurité nationale ne se sous-traite pas à l’étranger, elle se construit chez nous.

Mme Catherine Hervieu, rapporteure. Le projet de loi nous prémunit déjà contre le risque d’ingérence étrangère en évitant qu’un acteur hostile ne se porte candidat à des marchés publics ou à des contrats de concession, et, le cas échéant, remporte le contrat. L’introduction d’une clause de préférence européenne restreindrait la portée du dispositif tel qu’il est conçu : au-delà de la nationalité de l’entreprise, il vise à protéger les opérateurs de tous types d’entreprises hostiles étrangères. Avis défavorable.

M. Aurélien Lopez-Liguori (RN). M. Macron, M. Barrot et Mme Chappaz ont multiplié les déclarations sur la préférence européenne. Chaque fois qu’il est question de numérique, de défense et de stratégie, on invoque la nécessité de prioriser les marchés européens, d’appliquer un European Buy Act. J’ose imaginer que votre position sera cohérente avec celle du président de la République.

Mme Marina Ferrari (Dem). Votre amendement n’est pas si contraignant que vous le dites, puisqu’il prévoit que les OIV « choisissent en priorité » des entreprises européennes. Il offre une possibilité sans rien imposer.

Le European Buy Act que nous appelons de nos vœux doit nécessairement être travaillé au niveau européen. Nous transposons ici une directive européenne : conformons-nous le plus possible à cette dernière, et avançons en parallèle sur les dispositions relatives aux marchés stratégiques.

M. Éric Bothorel, rapporteur général. Je ne peux pas laisser dire que nous ne serions pas cohérents avec les politiques volontaristes qui sont menées pour défendre notre souveraineté. Notre droit comporte des dispositions en ce sens – citons notamment le SecNumCloud. Je rejoins les arguments de la rapporteure et de Mme Ferrari : les dispositions que vous proposez n’ont pas leur place dans le projet de loi.

La commission rejette l’amendement.

Elle adopte l’article 1er modifié.

Chapitre II
Dispositions diverses

Article 2 (articles L. 1331-1, L. 2113-2, L. 2151-1, L. 2151-4, L. 2171-6, L. 2321-2-1, L. 2321-3 et L. 4231-6 du code de la défense ; article 226-3 du code pénal ; articles L. 33-1 et L. 33-14 du code des postes et des télécommunications électroniques ; article L. 1333-9 du code de la santé publique ; articles L. 223-2 et L. 223-8 du code de la sécurité intérieure ; article 15 de la loi n° 2006-961 du 1er août 2006 relative aux droits d’auteur et aux droits voisins) : Actualisation de références législatives

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS131 de Mme Catherine Hervieu, rapporteure.

Elle adopte l’article 2 modifié.

Article 3 (articles L. 6221-2, L. 6222-1, L. 6242-2 et L. 6312-3 [nouveaux] du code de la défense ; article 711-1 du code pénal ; articles L. 33-1, L. 33-15 et L. 34-14 du code des postes et des communications ; articles L. 285-1, L. 286-1, L. 287-1 et L. 288-1 du code de la sécurité intérieure) : Dispositions relatives à l’outre-mer

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS132 de Mme Catherine Hervieu, rapporteure.

Elle adopte l’article 3 modifié.

Chapitre III
Dispositions transitoires

Article 4 : Modalités d’entrée en vigueur du titre Ier

La commission adopte l’article 4 non modifié.

TITRE II

CYBERSÉCURITÉ

Chapitre Ier
De l’autorité nationale de sécurité des systèmes d’information

Article 5 : Missions et compétences de l’autorité nationale de sécurité des systèmes d’information

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS267 de Mme Anne Le Hénanff, rapporteure.

Amendement CS62 de M. René Pilato

M. Arnaud Saint-Martin (LFI-NFP). Nous souhaitons préciser les missions de l’Agence nationale de la sécurité des systèmes d’information (Anssi) en y intégrant la promotion de la cyberprotection et de la cyberhygiène ainsi que l’éducation aux bonnes pratiques numériques. À l’heure où notre société est toujours plus interconnectée, où les guerres sont hybrides et où les attaques cyber se multiplient, la technologie est devenue incontournable dès le plus jeune âge. Les moyens de l’Anssi doivent être renforcés afin qu’elle puisse assurer des missions pédagogiques en la matière.

La numérisation de l’économie et de nos modes de vie ayant un impact majeur sur nos sociétés, l’éducation aux bonnes pratiques et la lutte contre l’illectronisme sont des enjeux majeurs de politique publique qu’il convient de traiter comme tels en les inscrivant formellement dans la loi, tout en rappelant le rôle de l’État en matière de cyberprotection et de cyberhygiène.

Mme Anne Le Hénanff, rapporteure. Les jeunes étant des acteurs clés de la cyber-résilience de la nation, je suis favorable à votre amendement.

La commission adopte l’amendement.

Amendement CS209 de M. Aurélien Lopez-Liguori

M. Aurélien Lopez-Liguori (RN). Dans son rapport sur les cybermenaces publié en juin 2025, la Cour des comptes pointe une faiblesse majeure : la dispersion et le cloisonnement des analyses des menaces cyber. Des dizaines d’études sont produites par les ministères, les agences, les opérateurs publics et les cabinets privés, mais aucune consolidation n’en est réalisée ; de fait, nous avons une vision parcellaire de la menace cyber. Conformément aux recommandations de la Cour des comptes, nous proposons que l’Anssi centralise et synthétise ces informations pour créer un véritable observatoire de la menace cyber.

Mme Anne Le Hénanff, rapporteure. Je comprends l’idée générale de votre amendement, mais je ne saisis pas bien les notions de centralisation et de synthétisation des études. Je vous propose de le retravailler en vue de la séance. Demande de retrait ; à défaut, avis défavorable.

La commission rejette l’amendement.

Elle adopte l’article 5 modifié.

Après l’article 5

Amendement CS475 de M. Éric Bothorel, amendements identiques CS472 de M. Philippe Latombe et CS208 de M. Aurélien Lopez-Liguori (discussion commune)

Mme Anne Le Hénanff, rapporteure. Je partage votre préoccupation quant à la cybersécurisation des collectivités territoriales – c’est justement l’objet de NIS 2. Toutefois, s’agissant de ces amendements comme de tous ceux qui, de mon point de vue, n’ont pas de lien avec NIS 2 ou qui constituent une surtransposition, ma position sera défavorable.

M. Éric Bothorel, rapporteur général. Je partage l’avis de la rapporteure sur les amendements identiques.

La commission adopte l’amendement CS475.

En conséquence, les amendements CS472 et CS208 tombent.

Amendement CS171 de Mme Sabrina Sebaihi

Mme Sabrina Sebaihi (EcoS). Lorsqu’une mairie, une école ou un hôpital sont frappés par une cyberattaque, les collectivités locales sont en première ligne : elles doivent protéger leurs services, leurs données et leurs citoyens. Bien souvent, elles n’en ont ni les moyens ni les compétences – beaucoup de petites communes n’ont aucun spécialiste cyber. Aussi proposons-nous que les collectivités puissent conclure des conventions de coopération afin de mutualiser leurs moyens, leurs expertises, leurs équipements et leur personnel. Plutôt que de demander à chacune d’inventer seule sa cybersécurité, renforçons la coopération territoriale et le tissu local. Grâce à ces conventions, les collectivités pourront partager un expert, accéder à des infrastructures sécurisées et s’appuyer sur les centres spécialisés régionaux. Il s’agira, non pas d’une charge nouvelle, mais d’un outil de résilience mis à leur disposition pour se protéger.

Mme Anne Le Hénanff, rapporteure. La mutualisation est essentielle. Cela dit, les collectivités locales, notamment les intercommunalités, ont déjà vocation à mutualiser leurs moyens. Votre amendement constituerait donc une surtransposition. Avis défavorable.

M. Éric Bothorel, rapporteur général. Le plan communal de sauvegarde (PCS) est vivement encouragé pour toutes les communes, mais il n’est obligatoire que pour celles qui sont exposées à un risque particulier et pour les établissements publics de coopération intercommunale (EPCI) qui comptent une de ces communes – je vous renvoie à l’article L. 731-3 du code de la sécurité intérieure. Votre amendement ne s’appliquerait donc pas à l’ensemble des communes ; c’est pourquoi mon avis est défavorable.

La commission rejette l’amendement.

Article 5 bis : Stratégie nationale en matière de cybersécurité

Suivant l’avis du rapporteur général, la commission adopte successivement les amendements rédactionnels CS269 et CS270 de Mme Anne Le Hénanff, rapporteure.

En conséquence, les amendements CS483 de M. Éric Bothorel et CS268 de M. Philippe Latombe tombent.

Amendement CS271 de M. Philippe Latombe

M. le président Philippe Latombe. Il s’agit d’intégrer la notion de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

Mme Anne Le Hénanff, rapporteure. Avis favorable.

M. Aurélien Lopez-Liguori (RN). Je m’étonne que vous défendiez un amendement visant à introduire la souveraineté numérique dans la stratégie nationale, alors que tout à l’heure, vous vous êtes opposé au fait de définir cette même souveraineté numérique.

Qu’est-ce que la souveraineté numérique ? Si Google, entreprise américaine, a des activités établies en France auxquelles nous recourons, cela va-t-il dans le sens de la souveraineté numérique ? Doit-on plutôt se concentrer sur les entreprises qui ne sont pas soumises à l’extraterritorialité ? La moindre des choses est d’utiliser des mots qui ont une définition juridique ; sans cela, nous affaiblissons les principes dont nous nous réclamons.

La commission adopte l’amendement.

Suivant l’avis du rapporteur général, elle adopte successivement les amendements rédactionnels CS272, CS274 et CS275 de Mme Anne Le Hénanff, rapporteure.

En conséquence, l’amendement CS273 de M. Philippe Latombe tombe.

Amendement CS276 de Mme Anne Le Hénanff

Mme Anne Le Hénanff, rapporteure. Vu la multitude des acteurs cyber – je pense notamment au groupement d’intérêt public Action contre la cybermalveillance (GIP Acyma), et aux centres de réponse aux incidents de sécurité informatique, les CSIRT –, il me semble nécessaire de clarifier le rôle et la mission de chacun. La lisibilité de la politique de cybersécurité de l’État passe par une clarification des compétences. Le rapport de la Cour des comptes du 16 juin 2025 recommande d’ailleurs de préciser le rôle, les compétences et l’articulation des différents acteurs de l’écosystème cyber.

Suivant l’avis du rapporteur général, la commission rejette l’amendement.

Amendements CS277 de Mme Anne Le Hénanff, rédactionnel, et CS211 de M. Aurélien Lopez-Liguori (discussion commune)

M. Aurélien Lopez-Liguori (RN). La stratégie nationale de cybersécurité ne peut être élaborée uniquement à Paris mais doit être le reflet des réalités du terrain. Ce sont les élus locaux qui affrontent des attaques contre leur collectivité, les maires qui voient leur mairie paralysée, les présidents de département ou de région qui gèrent les attaques contre les collèges et les lycées. Nous souhaitons que les associations d’élus et les représentants des professionnels du secteur de la cybersécurité soient obligatoirement consultés dans l’élaboration de la stratégie nationale et du cadre de gouvernance.

Mme Anne Le Hénanff, rapporteure. Il est souhaitable que les associations d’élus et les représentants des professionnels du secteur soient consultés – ils ont d’ailleurs largement contribué à nourrir notre réflexion sur le projet de loi. Je suis donc favorable à l’amendement CS211.

M. le président Philippe Latombe. Votre amendement rédactionnel est incompatible avec celui de M. Lopez-Liguori, madame la rapporteure, puisqu’il supprime la référence à la gouvernance à l’alinéa 4.

Mme Anne Le Hénanff, rapporteure. Tout à fait mais celui-ci n’est que rédactionnel. Je m’en remets à la sagesse de la commission spéciale.

M. Éric Bothorel, rapporteur général. Je suis favorable à l’amendement CS277 et défavorable au CS211.

M. Aurélien Lopez-Liguori (RN). Vous devrez expliquer aux maires, aux présidents de département et de région et à l’écosystème cyber que vous refusez de les faire participer à la gouvernance ! Je n’en prends pas la responsabilité.

La commission adopte l’amendement CS277.

En conséquence, l’amendement CS211 tombe.

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS278 de Mme Anne Le Hénanff, rapporteure.

Amendement CS214 de M. Aurélien Lopez-Liguori

M. Aurélien Lopez-Liguori (RN). Nous ne gagnerons pas la bataille du cyberespace sans apporter un soutien massif à la recherche. Les menaces évoluent à une vitesse vertigineuse, l’IA générative produit des attaques par phishing indétectables et massives, la cryptographie post-quantique redessinera la sécurité des données et les deep fakes deviennent des armes de désinformation et de manipulation à grande échelle. Or l’article 5 bis ne mentionne à aucun moment la recherche. C’est une lacune majeure que notre amendement vise à combler en mentionnant explicitement le soutien à la recherche en cybersécurité : laboratoires publics, universités, start-up qui engagent des innovations technologiques de rupture. Il y va de notre souveraineté : sans avance scientifique, nous serons condamnés à acheter nos solutions à des entreprises étrangères, sous législation américaine ou chinoise, et à être une colonie numérique de ces pays. Il y va également de notre économie et de notre compétitivité : la cybersécurité est un secteur d’avenir, créateur d’emplois hautement qualifiés, dans lequel la France et l’Europe doivent être des leaders et non des suiveurs.

Mme Anne Le Hénanff, rapporteure. Une politique de cybersécurité ne saurait être envisagée sans associer l’écosystème de recherche. Avis favorable.

M. Éric Bothorel, rapporteur général. La stratégie doit s’adapter de façon efficace et agile à une menace technologique et géopolitique spécifique et évolutive ; les priorités peuvent varier. Il faut donc se garder d’inscrire dans le dur des éléments qui figeraient notre politique de cybersécurité. C’est pourquoi je suis défavorable à cet amendement, comme à tous ceux qui tendent à ajouter à l’article 5 bis des dispositions détaillées ne relevant pas du niveau stratégique : plans divers, conditions de recours à des solutions techniques extra-européennes, etc. Ces sujets peuvent être déclinés en mesures sectorielles ou être traités dans le cadre du dialogue de très bonne tenue qu’entretiennent le gouvernement et le Parlement s’agissant de la cybersécurité, par exemple par le biais des questionnaires budgétaires.

M. Aurélien Lopez-Liguori (RN). Je comprends que l’on veuille donner de la souplesse à la stratégie de cybersécurité et qu’il faille éviter d’inscrire dans le marbre des principes qui pourraient changer demain. Or mon amendement traite du soutien à la recherche en cybersécurité, qui est une composante centrale de cette stratégie ; il fixe de surcroît un objectif non contraignant. Je ne comprends donc pas votre position.

La commission rejette l’amendement.

Suivant l’avis du rapporteur général, elle adopte l’amendement rédactionnel CS280 de Mme Anne Le Hénanff, rapporteure.

Amendement CS279 de M. Philippe Latombe

M. le président Philippe Latombe. À l’alinéa 5, il s’agit de mentionner la dépendance numérique parmi les risques liés à la cybersécurité. Pour illustrer cette menace, songeons au kill switch brandi par les États-Unis en réaction aux décisions de la Cour pénale internationale (CPI) ou à l’augmentation massive du prix de la licence VMware. Notez aussi qu’en réaction à l’amende infligée par la Commission européenne à Google il y a quelques jours, les États-Unis menacent d’appliquer une taxe sur tous les services numériques importés depuis leur territoire – licences et logiciels de Microsoft, Google ou autres. Nous devons intégrer le risque de dépendance à ces services.

Mme Anne Le Hénanff, rapporteure. Avis favorable.

M. Éric Bothorel, rapporteur général. La dépendance numérique est certes un sujet d’attention majeur, mais la directive traite de la cybersécurité. Si la souveraineté numérique et la cybersécurité sont corrélées, elles restent deux objets distincts caractérisés par un périmètre, une gouvernance et des acteurs propres. Pour ces raisons, je demande le retrait de l’amendement ; à défaut, j’émettrai un avis défavorable.

M. Aurélien Lopez-Liguori (RN). La souveraineté numérique et la cybersécurité sont au contraire totalement liées : l’une ne peut pas aller sans l’autre. Ce texte nous offre l’occasion unique d’introduire dans notre stratégie un principe absent de notre droit, la souveraineté numérique. Ne ratons pas le coche.

M. Vincent Thiébaut (HOR). Je ne comprends pas très bien votre raisonnement. Il me semble assez simple de définir la souveraineté numérique : il s’agit de notre capacité à faire appliquer nos lois et nos règles dans le monde virtuel par l’ensemble des acteurs du numérique, qu’ils soient français ou non, européens ou non. Quant à la dépendance numérique, comment la situez-vous ? Par rapport à la gouvernance d’internet ? De toute façon, nous sommes dépendants puisque nous ne fabriquons ni antennes ni infrastructures – ces dernières sont produites par des fabricants européens, pas par des fabricants français. Si je comprends votre préoccupation, je pense qu’il nous reste à mener une vraie réflexion pour pouvoir aboutir à une définition juridique.

Mme Anne Le Hénanff, rapporteure. Rappelons que cet article 5 bis, ajouté par les sénateurs, avait pour objectif de définir une stratégie nationale cyber, de grands principes généraux. Nous ne ferions pas de la surtransposition en adoptant cet amendement auquel je suis favorable.

M. Éric Bothorel, rapporteur général. Je n’ai d’ailleurs pas utilisé l’argument de la surtransposition pour demander le rejet de cet amendement. Il me semble qu’il y a une confusion entre souveraineté et cybersécurité. Il ne peut pas y avoir de cybersécurité sans souveraineté, dites-vous. Or nous n’avons jamais adopté une définition commune de la souveraineté. Dans cette salle, certains considèrent que l’Europe est un ennemi, tandis que d’autres sont pro-européens. Dès lors, comment évaluer la dépendance concernant des technologies fabriquées avec des partenaires allemands, espagnols ou italiens ? Dans ce contexte, je préfèrerais éviter d’entrer dans ces considérations de dépendances, colonies ou souveraineté numériques, même si certains sont en attente de débats et de réponses sur ces sujets. En faisant de tels ajouts, au détour de ce texte fondamental, sans prendre le temps de réfléchir à une définition commune, nous pourrions provoquer des conséquences non désirées sur notre écosystème où il existe aussi des coopérations et des partenariats avec des partenaires européens ou américains. D’où ma position concernant cet amendement et d’autres à venir.

La commission rejette l’amendement.

Suivant l’avis du rapporteur général, la commission adopte successivement les amendements rédactionnels CS281 et CS282 de Mme Anne Le Hénanff, rapporteure.

Amendement CS212 de M. Aurélien Lopez-Liguori.

M. Aurélien Lopez-Liguori (RN). La commande publique représente quelque 10 % de notre PIB, soit 187 milliards d’euros par an. Elle constitue donc un levier colossal pour orienter les choix technologiques et renforcer notre souveraineté, d’autant qu’1 euro de commande publique équivaut à 8 euros de subvention. Pourtant, ce levier reste largement sous-utilisé pour soutenir notre cybersécurité et faire émerger nos champions européens. Vous remarquerez qu’en matière de marchés publics, nous faisons systématiquement référence à des fournisseurs français et européens : nous pensons que la souveraineté numérique se joue aussi au niveau européen et que notre écosystème numérique est européen. Nous constatons trop souvent l’attribution de marchés stratégiques à des entreprises soumises à des régimes juridiques extraterritoriaux tels que le Cloud Act américain. À un moment où nous essayons d’accroître le niveau de sécurité de nos opérateurs d’importance vitale et de nos infrastructures critiques, comment ne pas voir les dangers d’une telle pratique en matière de risques d’ingérence et de dépendance ? Nous écrivons donc noir sur blanc que la commande publique doit être intégrée dans une stratégie nationale de cybersécurité. C’est un objectif non contraignant – dans la ligne de ce que vous souhaitez au niveau européen avec l’European Buy Act – que vous n’avez aucune raison de refuser.

Mme Anne Le Hénanff, rapporteure. Partageant votre intérêt pour le sujet de la commande publique, j’ai suivi avec beaucoup d’attention les travaux de la commission d’enquête du Sénat, pilotée par Simon Uzenat. Dans le cadre des auditions que j’ai effectuées en tant que rapporteure du titre 2, nous avons d’ailleurs auditionné l’Ugap (Union des groupements d’achats publics). Toutefois, je vous propose de retirer votre amendement pour des raisons de rédaction et de positionnement dans le texte, et de le retravailler dans la perspective de l’examen en séance. À défaut, j’émettrais un avis défavorable.

M. Éric Bothorel, rapporteur général. Quand bien même cet amendement était retravaillé en vue de l’examen en séance, j’émettrais un avis défavorable : comme déjà indiqué, je voudrais éviter d’alourdir cet article 5 bis, que les ajouts portent sur la commande publique ou un autre sujet.

M. Aurélien Lopez-Liguori (RN). À vous entendre, il faudrait supprimer l’article 5 bis, celui-ci n’étant pas issu de la directive puisqu’il a été ajouté par les sénateurs. Si je comprends bien, on ne peut rien y ajouter et son existence-même pose problème.

La commission rejette l’amendement.

Suivant l’avis de la rapporteure, la commission rejette l’amendement CS213 de M. Aurélien Lopez-Liguori.

Amendement CS182 de M. Vincent Thiébaut

M. Vincent Thiébaut (HOR). À un moment où des blocs internationaux lancent des campagnes de cyberattaques dans toute l’Union européenne, il nous semble pertinent d’indiquer que la stratégie nationale prend aussi en compte les perspectives de coopération européenne, ce qui est d’ailleurs prévu dans la directive NIS 2 et la directive sur la résilience des entités critiques. Une telle orientation est d’ailleurs cohérente avec le rapport annexé à la loi de programmation militaire 2024‑2030, qui souligne que « la solidarité européenne dans le domaine de la cyberdéfense permet actuellement notamment les échanges de bonnes pratiques et l’assistance aux nations en difficulté et le partage d’informations ». D’où l’intérêt de cet amendement.

M. Éric Bothorel, rapporteur général. Dans la droite ligne de ce que j’ai déjà indiqué, j’émets un avis défavorable sur cet amendement.

La commission rejette l’amendement.

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS283 de Mme Anne Le Hénanff, rapporteure.

Amendement CS477 de M. Éric Bothorel

M. Éric Bothorel, rapporteur général. Cet amendement me permet de mentionner le travail effectué par le groupement d’intérêt public Action contre la cybercriminalité (GIP Acyma) en matière de cybermalveillance.

Mme Anne Le Hénanff, rapporteure. Avis favorable.

La commission adopte l’amendement.

Amendement CS64 de M. René Pilato

M. Arnaud Saint-Martin (LFI-NFP). Il va dans le sens d’un amendement adopté précédemment. Il s’agit de s’assurer que la stratégie nationale de cybersécurité comprendra bien les missions de cyberprotection, de cyberhygiène et d’éducation aux bonnes pratiques numériques décrites plus haut. Ces mesures d’éducation et de sensibilisation citoyenne et populaire doivent être au cœur de la stratégie nationale de cybersécurité. Leur inscription dans la loi permettrait de les sanctuariser et de les ériger en priorité, afin de faire du numérique un bien commun émancipateur. Cela suppose évidemment d’accorder des moyens supplémentaires à l’école, à l’Anssi et à l’ensemble des services publics, afin de limiter le nombre de services publics accessibles en ligne pour assurer un accueil physique aux personnes les plus éloignées du numérique.

Suivant l’avis de la rapporteure, la commission adopte l’amendement.

Amendement CS181 de M. Vincent Thiébaut

M. Vincent Thiébaut (HOR). Nous souhaitons ici envisager un soutien aux collectivités territoriales, notamment les plus petites, qui doivent se soumettre à la directive NIS 2 sans en avoir nécessairement les moyens. Ce soutien peut être financier pour permettre l’acquisition de systèmes, mais il peut aussi prendre la forme d’un accompagnement en matière d’expertise et de conseil. Nombre d’élus locaux, notamment dans les petites collectivités, se sentent démunis face à ces sujets très complexes.

M. Éric Bothorel, rapporteur général. Avis défavorable.

Mme Anne Le Hénanff, rapporteure. Les auditions des associations d’élus nous ont montré que le soutien financier aux collectivités est central. Je suis favorable à cet amendement dont je suis d’ailleurs cosignataire.

La commission adopte l’amendement.

Amendement CS183 de M. Vincent Thiébaut

M. Vincent Thiébaut (HOR). Nous proposons de transposer directement une disposition prévue à l’article 7 de la directive NIS 2, qui invite les États membres à promouvoir la formation, l’éducation, la sensibilisation et la diffusion des bonnes pratiques en matière de cybersécurité. La Revue nationale stratégique 2025 souligne avec force que la résilience doit devenir un réflexe partagé par l’ensemble de la nation. Il est d’autant plus important de former les citoyens que le facteur humain est la première source de faiblesse en matière de cybersécurité.

M. Éric Bothorel, rapporteur général. Sagesse.

Mme Anne Le Hénanff, rapporteure. Avis favorable.

La commission adopte l’amendement.

En conséquence, l’amendement CS284 de Mme Anne Le Hénanff, rapporteure tombe.

Amendement CS98 de M. Philippe Latombe

M. le président Philippe Latombe. Je propose d’ajouter un alinéa prévoyant « la création d’un fonds de soutien spécifiquement destiné à accompagner les collectivités territoriales et les établissements publics de coopération intercommunale à fiscalité propre qualifiés d’entités importantes ou essentielles n’ayant pas bénéficié du parcours de cybersécurité du plan France relance ».

Mme Anne Le Hénanff, rapporteure. Tout en comprenant l’intérêt de votre amendement, je suis défavorable à la création d’un tel fonds.

La commission adopte l’amendement.

Amendement CS68 de M. René Pilato

M. Arnaud Saint-Martin (LFI-NFP). Nous proposons l’intégration d’un volet territorial à la stratégie nationale de cybersécurité. Le gouvernement démissionnaire a drastiquement asséché financièrement les collectivités locales, surtout les collectivités rurales ou périurbaines, ce qui les a rendues vulnérables aux attaques cyber et aux dysfonctionnements. Elles demeurent sous-dotées en compétences, en ingénierie et en capacité de réponse. En l’absence d’une approche territorialisée et offensive en la matière, les inégalités d’accès au dispositif de protection et de formation risque de s’aggraver au détriment de la résilience collective. Il s’agit ici d’assurer le soutien des centres régionaux, de coordonner l’information, de renforcer les capacités locales, et aussi de faire de la cybersécurité une filière d’avenir accessible dans tous les bassins d’emploi.

Mme Anne Le Hénanff, rapporteure. Même si je comprends l’intérêt de votre amendement, je pense qu’il créerait une stratégie dans la stratégie et risquerait de conduire à un manque de lisibilité. Avis défavorable.

La commission adopte l’amendement.

Amendement CS84 de M. Arnaud Saint-Martin

M. Arnaud Saint-Martin (LFI-NFP). Il vise à intégrer à la stratégie de l’Anssi le soutien technique et logistique à la création d’une filière de formation publique et nationale sur les métiers de la cybersécurité et de la cyberdéfense. En effet, il manque au moins 10 000 ingénieurs formés par an en France. Faute d’ingénieurs, seul un projet sur six en matière de cybersécurité est effectivement réalisé. La place des femmes dans ce type de filière est largement moindre : d’après une enquête réalisée en 2022 par l’Observatoire des métiers de la cybersécurité de l’Anssi, les formations en cybersécurité ne comprenaient que 14 % d’étudiantes. La France se prive de la moitié de sa matière grise. Aussi, il est essentiel pour l’État d’investir réellement dans une filière publique qui forme la population aux métiers de cyber sécurité, qui soit accessible au plus grand nombre et diversifiée. L’Anssi pourrait ainsi apporter un soutien logistique et humain dans la constitution de programmes actualisés. Au vu de l’enjeu de souveraineté qu’elle représente, cette formation doit être administrée par des acteurs publics.

Mme Anne Le Hénanff, rapporteure. Avis favorable.

M. Éric Bothorel, rapporteur général. Cet amendement est satisfait : l’article 5 bis précise que les missions de l’Anssi incluent l’accompagnement et le soutien au développement de la filière cybersécurité en coordination avec les ministères compétents. On peut estimer que cela comprend la formation. Retrait ou avis défavorable.

M. Arnaud Saint-Martin (LFI-NFP). En le précisant, nous renforcerions cette orientation.

La commission adopte l’amendement.

Amendement CS106 de M. Arnaud Saint-Martin

M. Arnaud Saint-Martin (LFI-NFP). Il vise à compléter la stratégie nationale de l’Anssi en y intégrant une étude sur le développement d’un système de stockage de données souverain, où les opérations, de l’hébergement à la gestion, seraient réalisées en France par le biais d’une entreprise française, sous juridiction française. En effet, la souveraineté numérique ne peut être garantie que par la maîtrise de l’ensemble de la chaîne : infrastructures matérielles, équipements, logiciels et gouvernance des données.

Le rapport de Bastien Lachaud et Alexandra Valetta-Ardisson sur la cyberdéfense souligne avec force l’impératif pour la France de disposer d’un espace de stockage souverain et sous juridiction nationale. Cette exigence de souveraineté est d’autant plus actuelle qu’un mégacentre de données dédié à l’intelligence artificielle doit prochainement s’implanter dans le village de Fouju, au nord de ma circonscription. Ce projet est financé en partie par le fonds émirien MGX. Une telle situation illustre concrètement les risques de dépendance stratégique, en exposant la France à une captation de ses données et à une mise en danger de sa souveraineté numérique.

Plus globalement, le groupe LFI estime que la stratégie nationale de cybersécurité ne saurait être pleinement efficiente que si les données stratégiques et sensibles sont gérées de manière souveraine, sous contrôle de l’État et exclusivement soumises à la juridiction française.

Mme Anne Le Hénanff, rapporteure. Pour avoir été corapporteure avec Frédéric Mathieu d’un rapport d’information sur les défis de la cyberdéfense, je comprends l’intérêt de votre proposition. Elle n’est cependant pas située au bon endroit puisqu’elle revient à faire une demande d’étude dans la stratégie. Je vous propose donc de retirer votre amendement et de le retravailler dans la perspective de l’examen en séance publique. À défaut, j’émettrais un avis défavorable.

La commission rejette l’amendement.

Amendement CS177 de Mme Véronique Riotton

Mme Véronique Riotton (EPR). Il vise à enrichir la stratégie nationale de cybersécurité en y intégrant explicitement la notion et les bonnes pratiques de la cyberhygiène. Pour reprendre la terminologie de la directive NIS 2, la cyberhygiène constitue le socle d’un cadre proactif de préparation et de sûreté globale. Concrètement, il s’agit d’intégrer des gestes simples et essentiels tels que les mises à jour régulières des logiciels et matériels, la gestion rigoureuse des accès utilisateur, ou encore la sauvegarde régulière des données critiques. Ces pratiques sont au cœur de la prévention et de la résilience face aux cybermenaces. La directive européenne et l’Enisa (Agence de l’Union européenne pour la cybersécurité) insistent sur ce point. Sans diffusion d’une véritable culture de cyberhygiène, nos infrastructures resteront fragiles. Cet amendement n’introduit pas de contraintes supplémentaires, mais tend à assurer la cohérence entre notre stratégie nationale et les exigences européennes, comme l’ont d’ailleurs fait la Belgique et l’Espagne. La cyberhygiène est complémentaire de la cybersécurité.

Mme Anne Le Hénanff, rapporteure. Pour les raisons précédemment évoquées, j’émets un avis favorable.

M. Éric Bothorel, rapporteur général. Votre demande est satisfaite par l’adoption de l’amendement CS64.

Mme Véronique Riotton (EPR). Je vérifierai la rédaction de cet amendement CS64. En attendant, je retire le mien.

L’amendement est retiré.

Amendement CS285 de M. Philippe Latombe

M. le président Philippe Latombe. Il a pour but d’inscrire dans la loi, après l’alinéa 9, le rôle stratégique du logiciel libre et des standards ouverts pour atteindre les objectifs de sécurité, de résilience et de souveraineté.

En matière de sécurité, la transparence du code source est une garantie essentielle de confiance en permettant l’auditabilité des solutions déployées sur nos infrastructures critiques. La directive NIS 2 souligne d’ailleurs en son considérant 52 : « Les politiques qui promeuvent l’introduction et l’utilisation durable d’outils de cybersécurité en sources ouvertes revêtent une importance particulière. » C’est bien dans le considérant, mais pas dans le texte de la transposition.

En matière de résilience, le recours aux standards ouverts et aux logiciels libres est le meilleur rempart contre le risque d’« enfermement propriétaire » – nous en avons parlé à propos de la dépendance technologique.

En matière de souveraineté numérique, promouvoir le logiciel libre revient à investir dans le développement de compétences nationales et européennes, à renforcer notre filière technologique, et à s’assurer que nos infrastructures critiques ne dépendent pas de technologies soumises à des législations extraterritoriales.

Mme Anne Le Hénanff, rapporteure. Votre proposition ne s’apparente pas à une surtransposition dans la mesure où elle se situe dans le cadre de l’article 5 bis qui porte sur la stratégie. C’est pourquoi j’émets un avis favorable.

M. Éric Bothorel, rapporteur général. Je suis très sensible à la promotion de l’utilisation des logiciels libres et des standards ouverts. Nous savons tous qu’une partie de la souveraineté et de la moindre dépendance dépend de l’interopérabilité, de la portabilité et de l’ouverture d’un certain nombre de logiciels. En cohérence avec la position que j’ai adoptée jusqu’à présent, je devrais émettre un avis défavorable. Comme l’amendement se rapporte à un sujet qui m’est cher, je vais m’en remettre à la sagesse de la commission.

La commission adopte l’amendement.

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS287 de Mme Anne Le Hénanff, rapporteure.

Amendement CS286 de M. Philippe Latombe

M. le président Philippe Latombe. En cohérence avec ce que nous avons fait à l’article 1er, je propose de compléter l’alinéa 10 par les mots : « et d’autonomie stratégique numérique ». Il s’agit de compléter le texte au titre de la directive NIS 2 et pas seulement au titre de la directive sur la résilience des entités critiques (REC).

Mme Anne Le Hénanff, rapporteure. Avis favorable.

M. Éric Bothorel, rapporteur général. Je l’ai déjà dit, mais j’aimerais vous convaincre d’être un peu raisonnables : à force d’ajouts dans cet article 5 bis, le texte va finir par manquer de clarté. Avis défavorable.,

La commission rejette l’amendement.

Amendement CS210 de M. Aurélien Lopez-Liguori

M. Aurélien Lopez-Liguori (RN). Il s’inspire d’un constat de la Cour des comptes : chaque ministère a ses propres systèmes, vulnérabilités et obligations, et en est à un stade différent du développement de sa doctrine cyber. Il en résulte une fragilité globale. La Cour des comptes recommande la déclinaison par ministère d’une stratégie nationale. C’est la seule manière d’assurer une appropriation réelle et d’élever le niveau de sécurité des ministères tout en tenant compte des priorités et des structures de chacun d’entre eux.

Mme Anne Le Hénanff, rapporteure. L’idée est intéressante, mais une telle disposition alourdirait l’article. Avis défavorable.

M. Éric Bothorel, rapporteur général. Je ne pourrais pas dire mieux : cela alourdirait un article qui a déjà été beaucoup alourdi.

La commission rejette l’amendement.

Amendement CS39 de Mme Sabine Thillaye

Mme Sabine Thillaye (Dem). Les PME peuvent se tourner vers une multitude d’acteurs publics comme l’Anssi, les CSIRT territoriaux, la plateforme Cybermalveillance et autres pour répondre aux menaces cyber. Dans un souci de clarté, j’aimerais que l’on mentionne la création d’un point de contact au niveau national ou régional, comme le prévoit directive NIS 2. Un décret pourrait préciser le nom de l’organisme qui assumera ce rôle.

Mme Anne Le Hénanff, rapporteure. La mise en œuvre de la loi va concerner toute une série d’acteurs, listés par l’Anssi, qui interviendront auprès des 15 000 entités. Ajouter une entité supplémentaire – centre d’appels ou contact national – réduirait la lisibilité du dispositif. C’est le rôle des CSIRT. Les PME et TPE peuvent se tourner vers les chambres des métiers et de l’artisanat, les chambres de commerce et d’industrie (CCI) et des organisations telles que le Medef ou la CPME. Avis défavorable

M. Éric Bothorel, rapporteur général. Merci de faire la publicité de la plateforme Cybermalveillance, le 17Cyber, forme d’hommage au travail des équipes de Jérôme Notin. C’est en quelque sorte le point de contact que vous demandez. Lancé il y a quelques mois et consacré en fin d’année dernière, c’est une des fiertés de notre pays. Votre demande est donc en grande partie satisfaite. Avis défavorable.

La commission rejette l’amendement.

Amendement CS40 de Mme Sabine Thillaye

Mme Sabine Thillaye (Dem). Il s’agit, une fois encore, de répondre aux besoins spécifiques des PME, afin de les aider à répondre aux exigences que leur impose l’accroissement des menaces cyber, ce qui représente des coûts importants pour elles. Il me paraît important de préciser des modalités d’accompagnement.

Mme Anne Le Hénanff, rapporteure. L’idée est très intéressante mais il faut veiller à ne pas alourdir le texte d’autant que sera publié l’organigramme des acteurs qui accompagneront les 15 000 entités. Avis défavorable.

M. Éric Bothorel, rapporteur général. Même avis. J’apprécie de vous entendre dire que la charge est due à la menace d’être attaqué plus qu’à la mise en conformité pour tenter d’échapper aux attaques.

La commission rejette l’amendement.

Amendement CS41 de Mme Sabine Thillaye

Mme Sabine Thillaye (Dem). Il est défendu.

Mme Anne Le Hénanff, rapporteure. Avis défavorable.

M. Éric Bothorel, rapporteur général. Cet amendement demande à inscrire un volet sur la gestion des vulnérabilités incluant la promotion et la facilitation de la divulgation coordonnée des vulnérabilités. Quitte à faire la promotion de ce qui existe, signalons le travail des CSIRT et du Cert (centre d’alerte et de réaction aux attaques informatiques).

La commission rejette l’amendement.

Amendement CS100 de M. Laurent Mazaury

M. Laurent Mazaury (LIOT). Il s’agit certes d’un alourdissement, mais il est léger : l’ajout de sept mots. Je propose de prévoir un déploiement territorial de la nouvelle stratégie nationale en matière de cybersécurité, prévue à l’article 5 bis. En transposant la directive NIS 2, ce projet de loi fait le choix de soumettre les collectivités locales à de nouvelles exigences. Il est donc essentiel que la nouvelle stratégie de cybersécurité fasse l’objet d’un déploiement local adapté aux spécificités des territoires, notamment des territoires d’outre-mer. Cela permettra de donner de la visibilité aux élus locaux souvent éloignés des capacités d’agir, de clarifier les rôles de chacun, et surtout d’assurer la pérennisation de certains financements existants.

Mme Anne Le Hénanff, rapporteure. Pour être taquine, je dirais que votre demande est satisfaite dans la mesure où NIS 2 va concerner 15 000 entités, dont quelque 2 500 collectivités locales. Ce sont bien les territoires qui vont devoir se mettre en conformité avec la directive. Sous la tutelle de l’Anssi, la liste des intervenants sera déclinée de manière de plus en plus fine sur les territoires. Selon les territoires, ce sera un syndicat mixte du numérique, une agglomération ou une région. De fait, ce sera territorialisé. Avis défavorable.

M. Éric Bothorel, rapporteur général. Même si ce sont sept jolis mots, je suis de l’avis de Mme la rapporteure et je considère que le 5° ter de l’article prévoit les modalités d’accompagnement des collectivités territoriales par l’État, ce qui me semble satisfaire votre demande. Retrait ou avis défavorable.

M. Laurent Mazaury (LIOT). Comme cela concerne particulièrement nos territoires d’outre-mer, je vais maintenir mon amendement.

La commission rejette l’amendement.

Suivant l’avis du rapporteur général, la commission adopte successivement les amendements rédactionnels CS289 et CS290 de Mme Anne Le Hénanff, rapporteure.

Amendement CS288 de M. Philippe Latombe

M. le président Philippe Latombe. Au vu de vos précédentes interventions, monsieur le rapporteur général, je ne me fais guère d’illusion sur votre avis concernant cet amendement qui vise à intégrer les notions de souveraineté numérique et d’autonomie stratégique numérique dans la stratégie nationale.

M. Éric Bothorel, rapporteur général. En effet, ma position n’a pas changé : avis défavorable.

M. Aurélien Lopez-Liguori (RN). Alors que les États-Unis de Trump sont en train de renforcer le Cloud Act et d’expliquer aux Gafam que le déni de service peut être un instrument de guerre commerciale, alors la guerre est aux frontières de l’Europe, en Ukraine, et que des États comme la Corée du Nord et la Russie nous agressent au niveau cibler, nous avons réussi à ne pas ajouter la notion de souveraineté numérique dans l’article 5 bis. Je tenais à vous en féliciter.

La commission rejette l’amendement.

Amendement CS215 de M. Aurélien Lopez-Liguori

M. Aurélien Lopez-Liguori (RN). Une grande part de nos opérateurs d’importance vitale se reposent sur des technologies non européennes, soumises à des législations extraterritoriales – citons Microsoft Azure pour le Health Data Hub, Microsoft pour l’éducation nationale, Amazon pour certains services de l’État. Or chaque fois que nous choisissons une solution américaine ou chinoise, nous perdons un peu de notre autonomie. Cet amendement vise à intégrer dans le rapport un bilan de nos dépendances ainsi qu’une analyse des efforts de relocalisation engagés et de l’évolution du tissu industriel français et européen. Cela apporterait de la transparence à nos concitoyens et renforcerait le contrôle démocratique exercé par le Parlement. La souveraineté numérique ne saurait se limiter à un principe, elle doit être une réalité vérifiable.

Mme Anne Le Hénanff, rapporteure. Le champ de votre amendement est trop vaste. Avis défavorable.

M. Éric Bothorel, rapporteur général. Pour d’autres raisons, avis défavorable.

La commission rejette l’amendement.

Elle adopte l’article 5 bis modifié.

La réunion est suspendue de dix-neuf heures à dix-neuf heures dix.

Chapitre ii
De la cyber-résilience

Section 1
Définitions

Article 6 : Définitions

Amendements identiques CS484 de M. Éric Bothorel et CS266 de Mme Anne Le Hénanff

Mme Anne Le Hénanff, rapporteure. Il s’agit d’apporter une clarification au sujet des agents soumis aux dispositions du présent projet de loi en précisant la définition de l’agent agissant pour le compte des bureaux d’enregistrement. Celle-ci vise notamment à dresser une liste non exhaustive incluant les revendeurs de noms de domaine ainsi que les fournisseurs de services d’anonymisation ou d’enregistrement fiduciaire, comme le prévoit la directive.

M. Éric Bothorel, rapporteur général. La présentation de ces amendements est pour moi l’occasion de remercier Anne Le Hénanff et les rapporteurs sur les autres parties du texte pour le travail qu’ils ont fourni tout au long de l’été.

La commission adopte les amendements.

Suivant l’avis du rapporteur général, la commission adopte successivement les amendements rédactionnels CS291 et CS292 de Mme Anne Le Hénanff, rapporteure.

Amendements identiques CS485 de M. Éric Bothorel et CS294 de Mme Anne Le Hénanff

Mme Anne Le Hénanff, rapporteure. Pour clarifier et simplifier la rédaction de cet article, il importe, d’une part, d’utiliser directement au sein du 5° les définitions prévues aux 1° et 2°, d’autre part, d’ajouter les agents agissant pour le compte de bureaux d’enregistrement dans la définition prévue dans ce même 5°.

La commission adopte les amendements.

Amendements CS293 de Mme Anne Le Hénanff et CS295 de M. Philippe Latombe (discussion commune)

Mme Anne Le Hénanff, rapporteure. Cet amendement propose de reprendre la définition de la résilience retenue à l’article 1er du projet de loi. Même si cette notion ne figure pas dans la directive NIS 2, il me semble opportun de l’intégrer dans le projet de loi.

M. le président Philippe Latombe. Je vais retirer mon amendement au profit du vôtre, madame la rapporteure.

L’amendement CS295 est retiré.

Suivant l’avis favorable du rapporteur général, la commission adopte l’amendement CS293.

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS296 de Mme Anne Le Hénanff, rapporteure.

Amendements identiques CS486 de M. Éric Bothorel, CS297 de Mme Anne Le Hénanff et CS149 de Mme Marina Ferrari

Mme Marina Ferrari (Dem). Il s’agit de revenir à la définition stricte de la notion de vulnérabilité, telle qu’elle a été posée dans le règlement européen d’octobre 2024 concernant les exigences de cybersécurité horizontales pour les produits comportant des éléments numériques.

La commission adopte les amendements.

Amendement CS298 de Mme Anne Le Hénanff

Mme Anne Le Hénanff, rapporteure. Cet amendement a pour objet d’intégrer à l’article 6 la définition de la notion de cybermenace en s’appuyant sur celle donnée dans le règlement européen d’avril 2019 relatif à l’Agence européenne de cybersécurité.

M. Éric Bothorel, rapporteur général. La Commission européenne est en train de procéder à une révision de ce règlement et nous ne pouvons anticiper les évolutions qui en résulteront. Je vous demanderai de bien vouloir retirer votre amendement.

L’amendement est retiré.

Amendement CS179 de Mme Marie Récalde

Mme Marie Récalde (SOC). Il vise à introduire la définition de l’approche « tous risques » telle qu’elle a été énoncée au considérant 79 de la directive NIS 2.

Mme Anne Le Hénanff, rapporteure. Introduire cette définition dans le projet de loi, qui ne mentionne pas cette notion, ne nous paraît pas présenter d’intérêt concret : on ne saurait figer l’acception de la notion de risque alors que les risques sont de nature évolutive.

La commission rejette l’amendement.

Elle adopte l’article 6 modifié.

Section 2
Des exigences de sécurité des systèmes d’information

Article 7 : Liste des secteurs d’activité hautement critiques et « critiques »

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS300 de Mme Anne Le Hénanff, rapporteure.

Amendement CS87 de M. Arnaud Saint-Martin

M. Arnaud Saint-Martin (LFI-NFP). Nous souhaitons intégrer dans la liste des secteurs hautement critiques pour le fonctionnement de l’économie et de la société les câbles sous-marins et leurs opérateurs. Leur bon fonctionnement et leur sécurisation sont indispensables pour de nombreuses infrastructures stratégiques et pour la continuité des échanges à l’heure où plus de 95 % du trafic mondial des données de communication transite par ces réseaux. Ils revêtent un caractère vital pour la sécurité nationale et la souveraineté numérique.

Or ils ne sont que trop mal protégés face aux risques de sabotage physique et de cyberattaques et face aux menaces de guerre hybride, comme l’ont mis en évidence dès 2023 Aurélien Saintoul et Lysiane Métayer dans leur rapport d’information sur les fonds marins, qui a joué à un rôle précurseur dans la nationalisation d’Alcatel Submarine Networks (ASN), essentiel à notre souveraineté dans le domaine numérique.

Mme Anne Le Hénanff, rapporteure. Les câbles sous-marins sont certes centraux dans la cybersécurité mais tout ajout à la liste des secteurs critiques et hautement critiques figurant en annexe de la directive NIS 2 et que le projet de loi reprend textuellement, constitue une surtransposition.

M. Éric Bothorel, rapporteur général. Votre amendement est satisfait : ces opérateurs sont déjà couverts par l’alinéa 4 de l’article 8 et l’alinéa 3 de l’article 9 du présent projet de loi. Certains relèvent en effet de la catégorie des opérateurs de communications électroniques telle qu’elle est définie au 15° de l’article L. 32 du code des postes et communications électroniques. Demande de retrait, sinon avis défavorable.

M. Arnaud Saint-Martin. J’ai été alerté par les opérateurs eux-mêmes sur la nécessité d’apporter une clarification sur cet enjeu stratégique majeur. Il importe d’être explicite. Je maintiens mon amendement.

M. Aurélien Lopez-Liguori (RN). L’argument de la surtransposition, si régulièrement mis en avant dans cette discussion, peut valoir quand un ajout nuit à la simplification ou affecte la concurrence entre pays membres, mais il ne saurait être utilisé lorsqu’il s’agit de protéger un secteur.

M. Éric Bothorel, rapporteur général. Je n’ai pas parlé de risque de surtransposition ; je me suis contenté de dire que l’amendement était satisfait.

La commission rejette l’amendement.

Amendement CS73 de M. René Pilato

M. Arnaud Saint-Martin (LFI-NFP). Au même titre que l’eau potable, les eaux usées, l’énergie, les transports, les télécommunications et la santé, l’alimentation doit figurer dans la catégorie des secteurs hautement critiques et non dans celle des secteurs critiques. Cette reconnaissance est essentielle pour garantir une protection adaptée, compte tenu des impératifs liés à la sécurité nationale, à la continuité des services essentiels et à la résilience collective face aux crises.

Mme Anne Le Hénanff, rapporteure. Défavorable pour les mêmes motifs que l’amendement précédent.

La commission rejette l’amendement.

Amendement CS86 de M. Arnaud Saint-Martin

M. Arnaud Saint-Martin. Nouvelle tentative : je propose d’ajouter cette fois-ci l’enseignement supérieur à l’heure où les attaques dont il fait l’objet – pensons à celle subie Paris-Saclay –, les atteintes à sa liberté et à l’indépendance de ses étudiants se multiplient en France et partout dans le monde. Je déplore, par ailleurs, qu’un de nos amendements visant à établir un état des lieux des moyens dont disposent les universités pour faire face aux cyberattaques ait été déclaré irrecevable.

Mme Anne Le Hénanff, rapporteure. Ce serait là encore une surtransposition. Avis défavorable.

La commission rejette l’amendement.

Amendement CS89 de M. Arnaud Saint-Martin

M. Arnaud Saint-Martin (LFI-NFP). Il s’agirait ici d’ajouter les satellites et leurs opérateurs. Les plateformes satellites, infrastructures essentielles dans le fonctionnement des systèmes d’information et de télécommunication, ont un intérêt stratégique majeur, qu’elles relèvent d’activités civiles, militaires ou duales.

Il est vraiment dommage qu’un de mes amendements demandant un rapport sur la vulnérabilité aux cyberattaques des satellites, plus particulièrement de leurs segments sol, ait été déclaré irrecevable alors qu’il s’agit d’un chantier majeur.

Mme Anne Le Hénanff, rapporteure. Défavorable.

M. Éric Bothorel, rapporteur général. Qu’il s’agisse de l’orbite terrestre basse ou du fond des océans, nous retrouvons les mêmes problèmes. Il est sans doute urgent d’attendre que la Commission européenne achève ses travaux sur l’EU Space Act, qui prévoira des obligations pour les opérateurs en matière de cybersécurité.

M. Emeric Salmon (RN). Je me demande, monsieur Saint-Martin, si votre amendement n’est pas satisfait puisque dans l’article 7, l’espace figure déjà parmi les secteurs hautement critiques.

M. Arnaud Saint-Martin (LFI-NFP). Il me paraît utile d’être plus explicite. Mon amendement prend non seulement en compte les infrastructures en orbite, qu’elle soit basse, lointaine ou géostationnaire, mais aussi les segments sol.

La commission rejette l’amendement.

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS301 de Mme Anne Le Hénanff, rapporteure.

Amendement CS71 de M. Arnaud Saint-Martin

M. Arnaud Saint-Martin (LFI-NFP). Nous en venons à la liste des secteurs critiques et demandons que l’éducation en fasse partie, compte tenu des conséquences potentiellement dramatiques des cyberattaques sur les établissements et leurs élèves. Au risque de dresser un inventaire à la Prévert, il me paraît important de préciser le périmètre des secteurs à protéger.

Mme Anne Le Hénanff, rapporteure. Là encore, ce serait une surtransposition : avis défavorable.

M. Éric Bothorel, rapporteur général. Votre amendement me semble satisfait par l’alinéa 19 de l’article 8 et l’alinéa 6 de l’article 9 qui mentionnent les « établissements d’enseignement menant des activités de recherche » et les « établissements publics administratifs ».

La commission rejette l’amendement.

Elle adopte l’article 7 modifié.

Article 8 : Définition des entités essentielles

Amendements identiques CS488 de M. Éric Bothorel et CS302 de Mme Anne Le Hénanff

Mme Anne Le Hénanff, rapporteure. Ces amendements visent à prendre en compte dans la loi les activités liées à la sécurité nucléaire pour lesquelles la France souhaite pouvoir exercer pleinement et entièrement sa compétence exclusive en matière de sauvegarde de la sécurité et de la souveraineté nationale.

La commission adopte les amendements.

Amendement CS79 de M. René Pilato

Mme Anne Le Hénanff, rapporteure. Le projet de loi se borne à décliner les seuils inscrits dans la directive : adopter votre amendement reviendrait à s’éloigner de ses stipulations.

La commission rejette l’amendement.

Amendement CS13 de M. Denis Masséglia

M. Denis Masséglia (EPR). Cet amendement vise à supprimer une surtransposition.

Mme Anne Le Hénanff, rapporteure. Je comprends le sens de votre amendement mais j’émettrai un avis défavorable. Les articles 8 et 9 du projet de loi transposent strictement le champ d’application de la directive NIS 2 en précisant les seuils à partir desquels les entreprises sont considérées soit comme des entités essentielles, soit comme des entités importantes. Leur rédaction se fonde, conformément à l’article 2 de la directive, sur la recommandation 2003/361/CE de la Commission européenne qui définit les micro-entreprises, les petites entreprises et les moyennes entreprises. Comme la directive vise les grandes et moyennes entreprises, un principe de contraposition, par inversement des définitions, a dû être appliqué pour préciser le périmètre. La Belgique et l’Italie ont suivi la même logique de contraposition dans leurs lois de transposition. Ainsi dans la loi belge, une entreprise est considérée comme entité essentielle si elle a plus de cinquante employés ou si son bilan annuel ou son chiffre d’affaires annuel total excèdent 10 millions d’euros.

La commission rejette l’amendement.

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS303 de Mme Anne Le Hénanff, rapporteure.

Amendement CS78 de M. René Pilato

Mme Anne Le Hénanff, rapporteure. Surtransposition : avis défavorable.

M. Éric Bothorel, rapporteur général. Défavorable également.

La commission rejette l’amendement.

Amendement CS178 de Mme Véronique Riotton

Mme Véronique Riotton (EPR). Cet amendement vise à intégrer les éditeurs de logiciels dans le champ d’application de la directive NIS 2 afin qu’ils soient soumis aux mêmes obligations de sécurité que les fournisseurs de services numériques. Il s’agirait de leur imposer, dans une logique de responsabilisation, un socle minimal de sécurité dès le stade de la conception des logiciels et de permettre à l’Anssi d’exercer un contrôle en cas de faille critique. Il importe de protéger nos hôpitaux et nos entités essentielles.

Rappelons que dans les établissements de santé, de nombreux responsables de la sécurité des systèmes d’information (RSSI) alertent lorsqu’une faille est découverte dans un logiciel mais, comme rien n’oblige leurs éditeurs à publier rapidement un correctif, des cyberattaques sont susceptibles d’atteindre des systèmes vitaux pour la continuité des soins.

Mme Anne Le Hénanff, rapporteure. Avis défavorable : les éditeurs de logiciels sont inclus dans le projet de loi en tant qu’entreprises.

M. Éric Bothorel, rapporteur général. Pour ma part, madame la rapporteure, j’estime que l’on peut considérer cette question sous d’autres angles. Sagesse.

La commission adopte l’amendement.

Amendement CS76 de M. René Pilato

Mme Anne Le Hénanff, rapporteure. En matière de collectivités territoriales, l’équilibre trouvé par le Sénat me semble être le bon et j’estime que votre amendement comme d’autres qui suivront risque d’altérer la résilience de la nation en matière de cybersécurité.

La commission rejette l’amendement.

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS304 de Mme Anne Le Hénanff, rapporteure.

Amendement CS150 de Mme Marina Ferrari

Mme Marina Ferrari (Dem). Cet amendement vise à revenir à la rédaction initiale du texte en incluant à nouveau l’ensemble des communautés d’agglomération dans la catégorie des entités essentielles. Ces intercommunalités ont en effet comme compétence obligatoire de plein droit, en régie ou gestion directe, la gestion de l’eau potable et des eaux usées, activités considérées au titre de l’article 7 du projet de loi comme des secteurs hautement critiques pour le fonctionnement de l’économie et de la société.

Mme Anne Le Hénanff, rapporteure. Ce sera le seul amendement portant sur les seuils applicables aux collectivités territoriales auquel je donnerai un avis favorable. Il y va de l’égalité territoriale : je ne vois pas pourquoi seules les communautés d’agglomération comprenant une commune de plus de 30 000 habitants devraient être considérées comme entités essentielles. Cela dit, je le répète, l’équilibre trouvé par le Sénat me semble bon, s’agissant notamment des sanctions financières.

M. Éric Bothorel, rapporteur général. Avis favorable également.

La commission adopte l’amendement.

Amendements identiques CS487 de M. Éric Bothorel et CS305 de Mme Anne Le Hénanff

Mme Anne Le Hénanff, rapporteure. À la suite des auditions, il nous a paru nécessaire de faire figurer explicitement les établissements publics de santé et établissements et services sociaux et médico-sociaux parmi les entités essentielles afin de lever toute ambigüité même si le périmètre de la directive NIS 2 comprend la santé. Ces établissements ne partagent pas l’analyse de l’Anssi selon laquelle ils relèvent de la catégorie des entreprises, d’où ma proposition de les insérer explicitement dans le texte.

La commission adopte les amendements.

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS306 de Mme Anne Le Hénanff, rapporteure.

Elle adopte l’article 8 modifié.

Article 9 : Définition des entités importantes

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS307 de Mme Anne Le Hénanff, rapporteure.

Amendements identiques CS490 de M. Éric Bothorel et CS308 de Mme Anne Le Hénanff

Mme Anne Le Hénanff, rapporteure. Ces amendements visent à prendre en compte au niveau de la loi les activités liées à la sécurité nucléaire pour lesquelles la France souhaite pouvoir exercer pleinement et entièrement sa compétence exclusive en matière de sauvegarde de la sécurité et de la souveraineté nationale.

La commission adopte les amendements.

Amendement CS151 de Mme Marina Ferrari

Mme Marina Ferrari (Dem). Il s’agit d’un amendement de coordination, tenant compte du retour à la rédaction initiale du projet de loi que nous avons adopté s’agissant des communautés d’agglomération.

Suivant l’avis du rapporteur général et de la rapporteure, la commission adopte l’amendement.

En conséquence, l’amendement CS74 de M. René Pilato tombe.

Amendements CS180 de Mme Marie Récalde, amendements identiques CS105 de M. Antoine Villedieu et CS194 M. Laurent Mazaury, amendements identiques CS104 de M. Antoine Villedieu et CS193 M. Laurent Mazaury (discussion commune)

Mme Marie Récalde (SOC). Notre amendement CS180 vise à exclure du périmètre des entités importantes les communautés de communes dont la population regroupée est inférieure à 30 000 habitants. Même si les collectivités locales sont dans leur grande majorité soucieuses des questions de cybersécurité, il pourrait être compliqué pour les petites communautés de communes, pour la plupart situées en zone rurale, d’appliquer les nouvelles dispositions.

M. Emeric Salmon (RN). L’amendement CS105 et l’amendement de repli CS104 vont dans le même sens, avec des seuils respectifs de 30 000 et 20 000 habitants. Les communautés de communes de petite taille – dans ma circonscription, l’une d’elles n’excède pas 7 000 habitants pour trente-sept communes – ne disposent pas des services techniques et de l’ingénierie nécessaires.

Mme Anne Le Hénanff, rapporteure. L’avis est défavorable sur l’ensemble des amendements. Il ne faut pas laisser croire aux communes et aux EPCI que l’application de NIS 2 est facultative. Il s’agit certes d’un effort, mais les communes et les intercommunalités, même celles ne regroupant que 7 000 habitants, doivent commencer à réfléchir à la cybersécurité, laquelle vise à protéger les réseaux mais également les données, notamment personnelles et sensibles ainsi que celles collectées par l’échelon communal. Il faut éviter les inégalités de traitement et assurer la protection des données de tous les citoyens, que ceux-ci vivent dans une intercommunalité de 7 000 ou de 60 000 habitants.

M. Éric Bothorel, rapporteur général. Même avis.

M. Aurélien Lopez-Liguori (RN). Bien que cosignataire des amendements déposés par M. Antoine Villedieu, je n’en défends pas l’orientation. Je suis d’accord avec Mme la rapporteure : même si certaines communautés de communes éprouvent des difficultés à appliquer NIS 2, il serait discriminatoire que les données des Français habitant dans les zones rurales soient moins protégées. Une question technique subsiste toutefois, laquelle devrait nous amener à réfléchir, d’ici à la séance publique, à la création d’un mécanisme ou d’un fonds destiné à aider les petites communautés de communes pour assurer l’égalité de traitement des données.

Mme Marie Récalde (SOC). Les arguments de Mme la rapporteure sont parfaitement justifiés et comme nous avons adopté des amendements financiers créant notamment un fonds de dotation pour les petites communes, nous retirons notre amendement.

L’amendement CS180 est retiré.

La commission rejette successivement les autres amendements.

Amendement CS75 de M. Arnaud Saint-Martin

M. Arnaud Saint-Martin (LFI-NFP). Il vise à mieux protéger le secteur de l’éducation face aux nouvelles menaces de cybersécurité.

L’école est une cible privilégiée des pirates informatiques pour plusieurs raisons. Tout d’abord, les établissements scolaires du second degré traitent beaucoup de données personnelles, dont le vol peut engendrer des conséquences dramatiques pour les personnes concernées. En outre, les infrastructures numériques des établissements scolaires sont, faute de budget suffisant, largement obsolètes, ce qui en fait des proies faciles. Cette situation, couplée à un manque de formation évident des personnels de l’éducation nationale découlant d’un manque de moyens et de temps, fait des établissements scolaires des cibles privilégiées.

L’inscription des établissements du second degré dans la catégorie des entités importantes renforcerait le niveau de leur protection, au bénéfice des élèves, des personnels de l’éducation nationale et du bon fonctionnement des collèges et des lycées.

Mme Anne Le Hénanff, rapporteure. Le sujet est important et il a toute sa place dans une stratégie globale, laquelle est exposée à l’article 5 bis. Les dispositions de l’article 9 sont au cœur de la directive, que nous surtransposerions en adoptant votre proposition. L’avis est donc défavorable.

M. Éric Bothorel, rapporteur général. Si vous souhaitiez retirer l’amendement en vue de le retravailler pour la séance publique, sachez que les établissements publics locaux d’enseignement sont, pour ceux placés sous la tutelle de l’État, des entités essentielles. Le gouvernement considère que l’intégration de ces établissements dans la catégorie des entités importantes affaiblirait le dispositif qui les concerne. En outre, leur système d’information leur est généralement fourni par les collectivités territoriales ou par le rectorat, lesquels font partie de cette catégorie. Je vous demande de retirer l’amendement, à défaut l’avis sera défavorable.

Mme Marina Ferrari (Dem). Les collèges et les lycées relèvent des départements et des régions, institutions couvertes par la directive NIS 2. La question peut se poser pour les petites communes : il conviendrait de réfléchir, en lien avec les intercommunalités, à des réponses opérationnelles aux problèmes relatifs aux équipements.

L’amendement est retiré.

Amendements identiques CS489 de M. Éric Bothorel et CS309 de Mme Anne Le Hénanff

Mme Anne Le Hénanff, rapporteure. Nous avons intégré tout à l’heure les établissements de santé, sociaux et médico-sociaux dans la catégorie des entités importantes : l’amendement vise à faire de même pour les entités essentielles.

La commission adopte les amendements.

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS310 de Mme Anne Le Hénanff, rapporteure.

La commission adopte l’article 9 modifié.

Article 10 : Autres entités susceptibles d’être désignées comme essentielles ou importantes par arrêté du premier ministre

Amendement CS460 de M. Philippe Latombe

M. le président Philippe Latombe. Il vise à introduire, après le mot « ministre » à l’alinéa 1 de l’article 10, les termes « après avis des ministères compétents des secteurs d’activité visés à l’article 7 de la présente loi. » L’objectif est double : apporter l’expertise des ministères coordonnateurs des secteurs d’activité visés par le projet de loi, afin que les listes d’entités importantes et essentielles prennent en compte les spécificités des écosystèmes concernés, et éviter d’oublier certaines entités.

Mme Anne Le Hénanff, rapporteure. L’avis des ministères compétents pourra utilement éclairer le processus d’élaboration de la liste des entités essentielles et de celle des entités importantes. L’avis est favorable.

Suivant l’avis du rapporteur général, la commission adopte l’amendement.

Suivant l’avis du rapporteur général, la commission adopte l’amendement rédactionnel CS312 de Mme Anne Le Hénanff, rapporteure.

Suivant l’avis de la rapporteure, la commission adopte les amendements identiques CS491 de M. Éric Bothorel et CS184 de M. Vincent Thiébaut.

La commission adopte l’article 10 modifié.

Article 11 : Compétence et territorialité des dispositions du titre II

Amendement CS67 de M. René Pilato

M. Arnaud Saint-Martin (LFI-NFP). Il vise à supprimer la possibilité offerte aux fournisseurs de services numériques critiques établis hors de l’Union européenne de se soustraire à l’obligation d’établissement réel dans le territoire national en se limitant à la désignation d’un simple représentant local. Cette disposition est déconnectée de la réalité opérationnelle : elle ne garantit ni la maîtrise directe des infrastructures, ni la responsabilité pleine et entière de l’opérateur face aux exigences françaises. Elle peut par ailleurs être utilisée pour contourner les règles nationales et laisser certains acteurs dans l’orbite de législations extraterritoriales – l’exemple des États-Unis est bien connu.

La suppression de cette faculté est indispensable pour garantir l’obligation d’établissement effectif en France, condition sine qua non de l’exercice d’un contrôle robuste, transparent et efficient des acteurs numériques systémiques.

Mme Anne Le Hénanff, rapporteure. Je vois l’intérêt de l’amendement, néanmoins sa rédaction se heurte à un principe de réalité : la souveraineté nationale est certes un enjeu important, mais la loi ne peut pas prévoir de critères aussi restrictifs. Je donne, presque à regret, un avis défavorable.

La commission rejette l’amendement.

La commission adopte l’article 11 non modifié.

Article 12 : Enregistrement des entités essentielles et importantes auprès de l’Anssi

Amendement CS217 de M. Aurélien Lopez-Liguori

M. Aurélien Lopez-Liguori (RN). La directive prévoit une mise à jour tous les deux ans des listes des entités essentielles et importantes. Cette durée est une éternité dans le monde du numérique : des entreprises stratégiques apparaissent très régulièrement, d’autres disparaissent et les risques comme la menace évoluent sans cesse. Hier, les rançongiciels, aujourd’hui l’IA générative, demain, peut-être, l’informatique quantique, tous ces changements montrent qu’attendre deux ans pour ajuster la liste des entités à protéger revient à courir derrière le danger au lieu de l’anticiper.

Voilà pourquoi l’amendement vise à réduire le délai à un an. Cette mesure vise à faire preuve de réactivité pour protéger efficacement nos infrastructures dans un monde, celui du cyber, où le rythme des évolutions ne cesse de s’accélérer.

Mme Anne Le Hénanff, rapporteure. Une mise à jour annuelle me semble très restrictive et porteuse d’instabilité. L’avis est défavorable.

M. Aurélien Lopez-Liguori (RN). Nous nous mettons en danger. Peut-être qu’un État maîtrise l’informatique quantique et peut déjà déchiffrer l’ensemble des codes alphanumériques. Si ce n’est pas encore le cas, cela peut se produire dans un futur très proche. Attendre deux ans pour modifier la liste dans un tel contexte me semble totalement déraisonnable : une mise à jour annuelle est une mesure de sécurité.

M. Éric Bothorel, rapporteur général. Une compétition est engagée contre ceux qui nous menacent, mais si nous allions au bout de votre logique, même un délai d’un an serait trop long : si quelqu’un pouvait craquer les chiffrements, il ne serait pas tolérable d’attendre un an pour modifier les listes. La rédaction parfaite n’existe pas, donc nous suivons l’esprit et la lettre du texte de NIS 2 : revenir sur le délai fixé par la directive serait une surtransposition.

La commission rejette l’amendement.

Amendements identiques CS492 de M. Éric Bothorel et CS314 de Mme Anne Le Hénanff

Mme Anne Le Hénanff, rapporteure. Le projet de loi emploie, en lieu et place des termes « entité fournissant des services d’enregistrement de noms de domaine » utilisés dans la directive, l’appellation « bureau d’enregistrement », que l’on retrouve dans le code des postes et des communications électroniques.

L’amendement vise à garantir l’intégration des agents agissant pour le compte des bureaux d’enregistrement à la liste des entités établie par l’Agence nationale de la sécurité des systèmes d’information : cette disposition, conforme à NIS 2, adapte la terminologie entre la directive et le projet de loi.

La commission adopte les amendements.

Amendement CS313 de M. Philippe Latombe

M. le président Philippe Latombe. Il vise, par cohérence avec les dispositions que nous avons adoptées, à ce que la liste des entités essentielles et importantes soit la plus conforme possible à la réalité des secteurs d’activité concernés grâce à l’avis des ministères compétents. Les acteurs visés par le titre III sont notamment désignés par les ministères économiques et financiers : il serait opportun qu’il en soit de même dans le cadre de NIS 2.

Mme Anne Le Hénanff, rapporteure. Par cohérence, l’avis est favorable.

M. Éric Bothorel, rapporteur général. Je m’en remets à la sagesse de la commission.

La commission adopte l’amendement.

Amendement CS218 de M. Aurélien Lopez-Liguori

M. Aurélien Lopez-Liguori (RN). Le classement en entité essentielle ou importante crée des obligations lourdes de conformité, d’audit et de renforcement de la cybersécurité, pourtant le texte ne prévoit pas explicitement de notification aux entités de leur statut. L’amendement a pour objet de corriger cette lacune.

Mme Anne Le Hénanff, rapporteure. L’information me semble aller de soi et son inscription dans la loi n’est pas opportune : l’avis est défavorable.

M. Éric Bothorel, rapporteur général. L’amendement est partiellement satisfait par l’article L. 112-11 du code des relations entre le public et l’administration, lequel dispose que « Tout envoi à une administration par voie électronique ainsi que tout paiement opéré dans le cadre d’un téléservice (…) fait l’objet d’un accusé de réception électronique et, lorsque celui-ci n’est pas instantané, d’un accusé d’enregistrement électronique. » Un accusé de réception de l’enregistrement de l’entité sera donc délivré. L’avis est défavorable.

La commission rejette l’amendement.

Amendement CS66 de M. Arnaud Saint-Martin

M. Arnaud Saint-Martin (LFI-NFP). Nous souhaitons réaffirmer l’importance de la protection des données sensibles, notamment celles à caractère personnel.

Autorité administrative indépendante, la Commission nationale de l’informatique et des libertés (Cnil) joue un rôle de référence en matière de protection des données à caractère personnel contenues dans les fichiers et les traitements informatiques ou papier, aussi bien publics que privés. L’une de ses principales missions est de conseiller les pouvoirs publics en matière de conformité au droit existant en la matière : dans ce contexte, il nous semble indispensable de l’associer à l’élaboration du décret en Conseil d’État fixant les informations à transmettre par les entités essentielles, les entités importantes et les bureaux d’enregistrement, afin d’assurer la protection la plus élevée possible de leurs données personnelles.

Mme Anne Le Hénanff, rapporteure. Solliciter l’avis de la Cnil ne me semble pas utile. La rédaction du Sénat est suffisamment protectrice, donc l’avis est défavorable.

La commission adopte l’amendement.

Amendement CS315 de M. Philippe Latombe

M. le président Philippe Latombe. Il s’agit d’un amendement d’appel visant à compléter l’article 12 par l’alinéa suivant : « Dans les trois ans après la promulgation de la présente loi, l’État identifie et sensibilise les entités concernées dans des conditions précisées par décret. » L’objectif est de se conformer aux annonces de l’Anssi sur les contrôles qu’elle effectuera, mais c’est davantage au gouvernement qu’aux rapporteurs qu’il revient de prendre cet engagement.

Mme Anne Le Hénanff, rapporteure. La directive prévoit un régime d’autodéclaration : l’amendement procède à une surtransposition, donc l’avis est défavorable.

M. Éric Bothorel, rapporteur général. Attendons la formation du nouveau gouvernement pour obtenir une réponse à votre proposition. L’avis est défavorable.

La commission rejette l’amendement.

La commission adopte l’article 12 modifié.

La séance est levée à vingt heures.

————

Membres présents ou excusés

Commission spéciale chargée d'examiner le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité

Réunion du mardi 9 septembre 2025 à 16 h 30

Présents. - M. Éric Bothorel, M. Mickaël Bouloux, M. Jérôme Buisson, Mme Virginie Duby-Muller, Mme Marina Ferrari, M. Thomas Gassilloud, Mme Olga Givernet, Mme Catherine Hervieu, M. Sébastien Huyghe, Mme Marietta Karamanli, M. Philippe Latombe, Mme Anne Le Hénanff, M. Aurélien Lopez-Liguori, M. Denis Masséglia, M. Emmanuel Maurel, M. Laurent Mazaury, M. Paul Midy, M. Jacques Oberti, Mme Marie Récalde, M. Matthias Renault, Mme Véronique Riotton, Mme Laetitia Saint-Paul, M. Arnaud Saint-Martin, M. Emeric Salmon, M. Hervé Saulignac, Mme Sabrina Sebaihi, Mme Liliana Tanguy, M. Vincent Thiébaut, Mme Sabine Thillaye