Texte de la question
M. Pierre-Yves Le Borgn' attire l'attention de M. le ministre des affaires étrangères et du développement international sur les informations révélées le vendredi 20 février par le site The Intercept sur le piratage par les services secrets britanniques de millions de cartes SIM fabriquées par l'entreprise franco-néerlandaise Gemalto. Cette affaire est particulièrement grave au regard de la protection des données personnelles car l'accès aux clés de chiffrement permet de lire les conversations cryptées. Elle soulève aussi une interrogation fondamentale quant à la loyauté des États membres de l'Union européenne les uns vis-à-vis des autres dès lors qu'il apparaît possible, sans encourir de protestation de l'Union, pour un État de pratiquer l'espionnage au prétexte de sécurité nationale. Il souhaite connaître la position du Gouvernement français face à cette affaire et les mesures qu'il entend recommander à l'échelle européenne pour prévenir de tels développements à l'avenir.
Texte de la réponse
La France, consciente des risques accrus dans le domaine de la cybersécurité s'est engagée depuis plusieurs années dans un renforcement de ses capacités nationales de sécurité et de défense de ses systèmes d'information comme en témoigne la création en 2009 d'une Agence nationale de sécurité des systèmes d'information qui soutient activement l'industrie nationale de cybersécurité. Les mesures législatives votées en décembre 2013 par le Parlement permettent de renforcer significativement la sécurité des systèmes d'information des opérateurs d'importance vitale. Sur le plan européen, la négociation en cours du paquet législatif relatif à la protection des données personnelles est pour la France une réforme majeure, qui devra garantir un haut degré de protection des données personnelles, renforcer la confiance dans la numérique et relever les défis de la mondialisation et des nouvelles technologies. La France se réjouit des différents accords partiels obtenus depuis 2014 et espère vivement qu'un accord global pourra être atteint en 2015, conformément au voeu du Conseil européen. En outre, la France veille à ce que les données personnelles restent exclues de toute négociation commerciale et soutient un renforcement des règles européennes de sécurité des communications électroniques. La France prend une part active aux discussions sur une proposition de directive de l'UE en matière de sécurité des réseaux et de l'information, texte qui fait aujourd'hui l'objet de discussions avancées entre le Parlement et le Conseil. L'importance de cette initiative a d'ailleurs été rappelée à l'occasion du Conseil européen informel du 12 février 2015. Les autorités françaises se sont prononcées en faveur d'une inclusion des « services internet » dans le champ d'application de ce texte et d'un principe de coopération entre Etats membres. Il est prévu qu'un certain nombre d'opérateurs économiques auront l'obligation de notifier les incidents informatiques significatifs. Le texte en discussion devrait également introduire la possibilité pour l'autorité nationale de cybersécurité ou pour des prestataires qualifiés de conduire des audits réguliers, et permettre le cas échéant de sanctionner le non-respect des dispositions.