Mardi 29 novembre 2016

- Présidence de M. Philippe Bas, président -

La réunion est ouverte à 17 h 30

Création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité - Audition commune de M. Guillaume Poupard, directeur général de l'agence nationale de la sécurité des systèmes d'information (Anssi), et de M. Henri Verdier, directeur interministériel du numérique et du système d'information et de communication de l'État (Dinsic)

La commission procède à l'audition commune de M. Guillaume Poupard, directeur général de l'agence nationale de la sécurité des systèmes d'information (Anssi), et de M. Henri Verdier, directeur interministériel du numérique et du système d'information et de communication de l'État (Dinsic).

M. Philippe Bas, président. - Nous auditionnons M. Guillaume Poupard, directeur général de l'agence nationale de la sécurité des systèmes d'information (Anssi), et M. Henri Verdier, directeur interministériel du numérique et du système d'information et de communication de l'État (Dinsic), sur la création, par un décret du 28 octobre, d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité. L'Anssi et la Dinsic ont été saisies. Vous nous indiquerez vos méthodes de travail, les vérifications auxquelles vous comptez procéder et votre calendrier.

Le Sénat s'est préoccupé dès 2005 de la sécurisation des titres d'identité. Une mission d'information avait été confiée au sénateur Jean-René Lecerf, donnant lieu à la publication d'un rapport, la même année, émettant des propositions sur la sécurisation des titres d'identité. L'enjeu est de lutter contre la propagation des identités fictives ou des usurpations d'identité, qui placent les victimes dans une situation de grande détresse. Le phénomène est devenu un phénomène de société et doit être traité par les pouvoirs publics.

En 2011, MM. Jean-René Lecerf et Michel Houel ont déposé une proposition de loi, qui fut débattue en 2011 et 2012, et dont le rapporteur était M. François Pillet. Alors que l'Assemblée nationale et le Sénat s'étaient entendus sur un texte en commission mixte paritaire, le Gouvernement a demandé à l'Assemblée nationale de débattre en premier sur les conclusions de la CMP, en y ajoutant un amendement qui modifiait considérablement l'équilibre du texte. Le Sénat a donc rejeté les conclusions de la CMP. Finalement, le Conseil constitutionnel a déclaré la mesure visée non conforme à la Constitution.

Le Sénat n'est donc pas hostile par principe à la création de ce fichier, mais nous souhaitons nous assurer que les libertés publiques seront garanties et que les données personnelles seront protégées. Dès le 18 octobre j'ai saisi le ministre de l'intérieur qui m'a répondu le 27 octobre, trois jours avant la publication du décret le 30 octobre. Nous avons auditionné M. Cazeneuve puis Mme Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés (Cnil), et M. Mahjoubi, président du Conseil national du numérique. Nous avons eu un débat en séance publique avec le ministre. Nous lui avons demandé de suspendre le décret jusqu'à ce que certaines vérifications soient réalisées pour s'assurer de la protection du fichier contre d'éventuelles attaques extérieures et de la non-mutabilité du système. Nous voulons éviter que la configuration technique, déterminée par le décret, puisse être modifiée en vue d'élargir les usages du fichier. M. Cazeneuve a répondu qu'il avait saisi l'Anssi et la Dinsic, que vos rapports seraient rendus publics et qu'il en tirerait les leçons. Il n'a pas prononcé le mot de « suspension » mais il est clair que le fichier ne sera pas étendu aux cartes d'identité tant que cette procédure n'aura pas eu lieu. C'est pourquoi nous souhaitons comprendre vos méthodes. Les attaques récentes contre de grandes institutions américaines ces dernières années ont montré que nulle forteresse numérique n'était invulnérable.

M. Guillaume Poupard, directeur général de l'agence nationale de la sécurité des systèmes d'information (Anssi). - L'Anssi a été créée en 2009. C'est un service du Premier ministre à compétence nationale, rattaché au secrétariat général de la défense et de la sécurité nationale. Nous travaillons donc avec toutes les administrations. À la différence de ce qui se passe dans d'autres pays, l'Anssi n'est pas une agence de renseignement. Notre rôle est de protéger les réseaux, non de réaliser des attaques informatiques. L'agence regroupe 500 personnes, essentiellement des ingénieurs et experts en informatique.

Notre première mission est la sécurité des systèmes d'information : nous définissons des standards de sécurité pour les réseaux sensibles, ceux du secteur public comme ceux des opérateurs privés dont la sécurité est cruciale pour la nation. Au-delà de cette mission de prévention et de définition des règles, nous participons à la défense active des systèmes d'information des ministères. Nous développons des capteurs pour détecter d'éventuelles attaques et intervenons pour aider les victimes. Nous communiquons peu, évidemment, sur ces attaques, même si celle contre TV5 Monde l'an passé a été très médiatisée. Dans ce cadre, nous menons des inspections dans les ministères pour diffuser les bonnes pratiques et aider les équipes techniques à acquérir les compétences nécessaires. Certains ministères, comme ceux de la défense et de l'intérieur, sont très sensibilisés à la question de la cybersécurité, d'autres le sont moins.

Notre démarche de vérification et d'audit est bien définie. Il s'agit de méthodes d'assistance à l'homologation. Nous procédons d'abord à un inventaire des données à protéger, puis nous identifions les risques et les menaces : confidentialité, modification ou effacement des données... On ne sécurise pas un réseau dans l'absolu : on le sécurise face à des menaces définies, en fonction de leur niveau. La défense n'est pas la même contre des pirates isolés ou contre une agence de renseignement étrangère. Interviennent ensuite les auditeurs qui vérifient les aspects techniques, pour apprécier la robustesse des systèmes, et évaluent l'organisation. C'est en effet la combinaison des aspects techniques et organisationnels qui assure l'efficacité des systèmes.

Nos rapports ne sont jamais tout verts ; par prudence, nous avons toujours tendance à multiplier les barrières, pour parer à des menaces potentielles. Si nous estimons que la vulnérabilité est majeure, nous refusons l'homologation. Nous identifions en général des vulnérabilités résiduelles. Nous avons renoncé à la notion de sécurité absolue. Celle-ci n'existe pas. Il y a quinze ans on considérait encore que le chiffrement était une protection absolue pour les documents classés « secret défense ». Nous avons découvert depuis que tous les systèmes avaient une date de péremption. C'est pourquoi nous privilégions une approche en termes de sécurité dynamique. Après une bonne définition des besoins, nous apprécions, en conscience, si les risques résiduels sont acceptables. Nous savons que le métier devra être remis sur l'ouvrage car les techniques d'attaques et la technologie évoluent. Cela ne signifie pas que nous bâtissons notre sécurité sur du sable ; simplement, il faut reconnaître que la sécurité s'inscrit dans le temps. Nous arrivons finalement à sécuriser des systèmes très sensibles : bases de données personnelles, systèmes de la dissuasion nucléaire, systèmes d'armes, etc. Les systèmes d'information ont envahi toute la sphère économique : l'énergie, les transports, les services publics, etc. Des actes malveillants peuvent avoir des conséquences terribles. D'où notre méthode fondée sur la prévention, la sécurisation, l'homologation, et le maintien permanent en condition de sécurité des systèmes. La cybersécurité est une école d'humilité. Cela ne nous empêche pas d'agir ni de parvenir à sécuriser les réseaux.

Nous allons travailler avec la Dinsic sur le fichier des titres d'identité. Il nous a été demandé de rendre un rapport public. Je ne vous cache pas que nous ne nous empresserons pas de dévoiler tout ce que nous constaterons, pour ne pas donner à des personnes malveillantes des pistes d'attaque. Je préfère, comme c'est l'usage, un rapport précis, comme nous le faisons habituellement, classifié « secret défense », tout en permettant des extractions qui, sans fournir des indications à des personnes malveillantes, permettront d'apprécier le niveau de sécurité.

M. Henri Verdier, directeur interministériel du numérique et du système d'information et de communication de l'État (Dinsic). - C'est la première fois que nous aurons à travailler avec l'Anssi. Cette commande diffère un peu de nos missions habituelles. La Dinsic est un service du Premier ministre, au sein du secrétariat général pour la modernisation de l'action publique. Nous accompagnons l'État dans la mise en oeuvre de la transformation numérique. Nous avons trois missions. Tout d'abord, il nous revient de définir le cadre de gouvernance des systèmes d'information de l'État : référentiels d'interopérabilité, d'accessibilité, ou de sécurité. Dans une démarche de mutualisation, nous opérons aussi le réseau interministériel de l'État (RIE). Nous travaillons enfin sur l'innovation, pour faciliter son appropriation, à travers, par exemple, l'open data et le « gouvernement ouvert ».

Nous travaillons sur la sécurité des projets, non des systèmes d'information, même si la frontière est parfois mince. Nous avons mission d'analyser et de donner un avis conforme sur tout projet informatique de plus de neuf millions d'euros. Nos équipes sont habituées à analyser les projets (leurs objectifs, leur architecture, les équipes, le cadre contractuel, les fournisseurs, l'organisation humaine, les moyens mis en oeuvre) pour apprécier les risques de dérapages. L'autre équipe qui travaillera sur le fichier des titres sécurisés est celle des architectes informatiques sur les grands projets. L'informatique est comme le bâtiment : on ne construit rien si les fondations et les plans ne sont pas robustes. Le zéro risques n'existe pas. Il nous appartient d'éclairer le pouvoir politique pour qu'il procède à des arbitrages en fonction de différents scénarios. Le système « TES » existe. Il est complexe. Nous commencerons par l'analyser. Les enjeux sont clairs, même si les menaces évoquées ne reposent sur aucun fait avéré.

M. Philippe Bas, président. - Avez-vous eu l'occasion d'évaluer la sécurité du fichier des passeports existant ? Avez-vous un pouvoir d'auto-saisine ? Quelles sont enfin, selon vous, les garanties à apporter au fichier des titres d'identité pour garantir son irréversibilité et le protéger contre d'éventuelles attaques extérieures ?

M. François Pillet. - Peut-on, à partir du fichier des passeports existant, procéder à une identification à partir d'une empreinte ? Nous entendons bien vos réserves sur la notion de sécurité absolue. Lors de l'examen de la proposition de loi relative à la protection de l'identité, portant notamment sur la carte d'identité biométrique, le Sénat s'était montré très vigilant à l'égard de la protection des libertés publiques. Nous acceptions l'idée d'un fichier à la condition qu'il ne soit pas réversible et qu'il ne puisse être modifié pour autoriser d'autres usages à l'avenir. Nous avions été très intéressés par la technique des fichiers « à lien faible » qui semblait rendre quasiment impossible toute identification à partir d'une empreinte. Où en sont les réflexions sur ce point ? Peut-on se prémunir contre toute évolution du fichier et contre toute réversibilité ?

M. Guillaume Poupard. - En 2008, la direction centrale de la sécurité des systèmes d'information (DCSSI), que l'Anssi a remplacée en 2009, avait été consultée lors de la création du fichier « TES ». Nous travaillons étroitement avec les ministères, notamment avec celui l'intérieur, sur de nombreux sujets. Nous n'avons pas eu à travailler sur ce fichier. Il faut faire des choix. L'Anssi n'a pas vocation à traiter tous les dossiers mais, au contraire, à sensibiliser les ministères aux questions de cybersécurité et les aider à acquérir les compétences requises. Nous nous autosaisissons parfois de sujets qui nous paraissent importants ou qui sont dictés par l'actualité : par exemple, l'an dernier, après les attaques visant les infrastructures électriques en Ukraine, nous nous sommes rapprochés des opérateurs français.

La résistance d'un fichier s'apprécie au regard de menaces précises. N'oublions pas que les données et les empreintes figurent dans un fichier papier. Il suffirait à un régime totalitaire de le scanner pour disposer de toutes les données... Cela ne prendrait que quelques jours, voire moins ! La réversibilité n'est jamais totale. De même, en y mettant les moyens et avec du temps, il serait sans doute possible de casser la sécurité d'un fichier numérique. La vraie question est d'identifier les menaces contre lesquelles on compte se prémunir : des agents infiltrés, des attaquants extérieurs disposant de gros moyens, etc. Nous vérifierons lors de notre audit si les mesures organisationnelles et techniques sont suffisantes.

Dès l'origine la base « TES » a été conçue avec le souci d'empêcher toute réversibilité et toute identification à partir d'une empreinte. Nous essaierons aussi d'apprécier si le fichier est résistant face à d'autres menaces : que faire, par exemple, si un État étranger ou une organisation extérieure s'efforce de détruire le fichier ou de le corrompre en y introduisant des erreurs ? Outre le vol d'informations, le sabotage, et la déstabilisation sont des menaces grandissantes dans la guerre numérique.

Enfin, nous profiterons de l'audit pour étudier, le cas échéant, des solutions techniques alternatives, comme les liens faibles. Si nous identifions des mesures techniques améliorant le système, nous ne nous priverons pas de les communiquer au ministère de l'intérieur.

M. Henri Verdier. - La Dinsic a été créée en 2011. Nous n'avons jamais eu l'occasion de travailler sur la base « TES ». Nous ne nous sommes pas non plus autosaisis de ce sujet. Notre avis, en outre, n'est que facultatif.

Nos travaux sur le fichier commencent à peine. Pour l'instant, rien n'indique qu'il soit possible d'identifier un nom à partir d'une empreinte. La protection contre des attaques extérieures semble élevée : clefs de cryptage, liens unidirectionnels, etc. Votre inquiétude principale est celle de la réversibilité. Nous étudierons toutes les pistes pour garantir la sécurité du système, sans oublier son articulation avec la réforme de l'administration préfectorale. Les pistes techniques sont nombreuses : traçabilité accrue, ralentissement des requêtes pour éviter la soumission instantanée de plusieurs millions de requêtes, possibilité de dégrader l'information stockée ou de la rendre plus périphérique, demande du consentement de l'usager, etc... Nous ferons des propositions le cas échéant au pouvoir politique qui tranchera.

M. Philippe Bas, président. - De quels moyens disposez-vous ?

M. Guillaume Poupard. - L'Anssi compte 500 personnes. Nous étions 100 en 2009. Cette hausse traduit une prise de conscience des autorités face au risque numérique. Notre rôle premier est d'aider les services à monter en compétence en matière de cybersécurité.

M. Henri Verdier. - La Dinsic compte 120 personnes, avec plusieurs métiers. Un quart de nos équipes travaille sur les réseaux ; un quart sur la performance et la maîtrise des risques ; une autre équipe travaille sur l'open data, le « gouvernement ouvert » et l'innovation ; enfin, une dernière équipe aide les administrations à développer des projets. Une quarantaine de personnes seront affectées sur le fichier « TES ». Elles sont aguerries, habituées à travailler en interministériel.

M. Philippe Bas, président. - Est-il envisagé de transformer l'Anssi en agence indépendante pour renforcer son indépendance à l'égard de l'exécutif, à l'image de l'Autorité de sûreté nucléaire (ASN) ?

M. Guillaume Poupard. - Nous ne sommes pas une autorité administrative indépendante (AAI). Cela n'est pas un handicap pour nos missions. Lorsque nous intervenons dans les ministères, nous sommes bien accueillis : nous sommes vus comme des pompiers venus pour aider et non comme des contrôleurs. Tous nos interlocuteurs sont conscients des enjeux liés à la cybersécurité. Le problème est plutôt le manque de moyens. Une administration qui ne maîtrise pas son informatique ne peut agir en matière de cybersécurité. La loi de programmation militaire de 2013 a imposé aux opérateurs privés d'importance vitale de veiller à leur cybersécurité. La France a été le premier pays a créé une obligation, avec des sanctions. Nos alliés ont suivi et une directive européenne sur la sécurité des réseaux va dans le même sens. La cybersécurité n'est pas l'apanage d'une agence mais ne peut être effective que si cette culture est partagée.

M. Henri Verdier. - La commission des finances du Sénat vient de publier un rapport sur la Dinsic. Les AAI sont utiles, mais il est nécessaire que l'administration possède en interne son expertise, pour travailler en interministériel ou garantir l'interopérabilité des systèmes. Notre mission est une mission d'appui et de conseil, au sein de l'administration. L'enjeu pour l'État est de maîtriser son informatique, à l'heure où la puissance de feu des grandes entreprises est considérable à cet égard. Alors que la Nasa peine à ravitailler la station orbitale, une grande entreprise américaine est capable de lancer ses propres fusées et de les récupérer à leur atterrissage sur terre... C'est un symbole révélateur !

M. Yves Détraigne. - Intervenez-vous dans tous les ministères, y compris au ministère de la défense ?

M. Guillaume Poupard. - Nos cycles d'inspection couvrent tous les ministères. Le ministère de la défense a ses propres équipes. Elles se concentrent notamment sur les systèmes d'armes ou les réseaux déployés dans les opérations extérieures (OPEX), etc. Pour autant, les liens sont étroits entre nous. Le Centre d'analyse de lutte informatique défensive (CALID), qui assure des missions de veille, d'analyse et d'alerte pour le ministère de la défense, est hébergé dans le même bâtiment que l'Anssi. Les échanges d'informations sont efficaces grâce à cette proximité. En cas de catastrophe, nous pourrions tous travailler ensemble. Une évolution similaire est en cours avec le ministère de l'intérieur ou avec les opérateurs du réseau interministériel de l'État. Nous travaillons ainsi en collaboration étroite avec les administrations qui possèdent leur centre technique, et aidons les autres à acquérir les compétences nécessaires ou à sélectionner les partenaires privés compétents et de confiance.

M. Henri Verdier. - Nous ne sommes pas compétents sur la partie défense du ministère de la défense, mais nous intervenons sur la partie administrative. Notre système est cohérent : les systèmes d'information et la cybersécurité relèvent de la compétence de l'Anssi, les grands projets et les infrastructures relèvent de la Dinsic, tandis que la Cnil veille au respect des libertés. La réussite d'un projet requiert l'articulation de tous ces points de vue.

M. Yves Détraigne. - Est-il préférable de faire gérer plusieurs systèmes par différents organismes gestionnaires ou de mettre en place un système unique sous l'autorité de l'État ?

M. Henri Verdier. - La réponse à cette question est subjective. Pour ma part, j'estime que les sociétés ouvertes reposent sur la tension dialectique entre des principes contradictoires. Je ne crois pas qu'un système unique garantirait l'équité, la sécurité et la protection de la vie privée. Nous avons parfois des désaccords avec l'Anssi ; cela me semble sain.

M. Guillaume Poupard. - Concentrer le système, et la protection, en un seul endroit nous exposerait au reproche de mettre tous nos oeufs dans le même panier, au risque de tout perdre en cas de problème. La notion de compromis est peu appréciée dans le domaine de la sécurité, mais, dans la gestion quotidienne, c'est ce que nous sommes amenés à faire.

M. Philippe Bas, président. - Merci d'avoir répondu avec précision à nos questions. Votre travail sera attentivement suivi.

La réunion est close à 18 h 30

Mercredi 30 novembre 2016

- Présidence de M. Philippe Bas, président -

La réunion est ouverte à 10 h 05

Organisme extraparlementaire - Désignation d'un candidat

La commission procède à la désignation d'un candidat proposé à la nomination du Sénat pour siéger comme membre titulaire au sein de la Commission nationale de l'informatique et des libertés.

M. Philippe Bas, président. - Le mandat de notre collègue Gaëtan Gorce au sein de la Commission nationale de l'informatique et des libertés (Cnil) arrivant à échéance, le Sénat doit désigner son successeur, sachant que notre collègue n'est plus membre de notre commission. Le Sénat compte deux représentants au sein de cet organisme, et le second membre nommé par notre assemblée étant un sénateur de la commission de la culture appartenant à la majorité sénatoriale, nous devons nommer une sénatrice membre de l'opposition. Le groupe socialiste et républicain m'a proposé la candidature de Sylvie Robert qui n'est pas renouvelable en septembre mais n'est pas encore membre de notre commission ; on m'assure cependant qu'elle souhaite vivement nous rejoindre. Je vous invite donc à la désigner comme candidate proposée à la nomination du Sénat pour siéger, en qualité de membre titulaire, au sein de la Cnil.

Il en est ainsi décidé.

Proposition de loi tendant à clarifier les conditions des délégations de compétences en matière de transports scolaires - Examen du rapport et du texte de la commission

Puis la commission examine le rapport de M. René Vandierendonck et le texte qu'elle propose pour la proposition de loi n° 587 (2015-2016), présentée par MM. Bruno Sido et plusieurs de ses collègues, tendant à clarifier les conditions des délégations de compétences en matière de transports scolaires.

M. Philippe Bas, président. - Il appartient à René Vandierendonck de présenter son rapport sur la proposition de loi de nos collègues Bruno Sido, Benoît Huré, Jean-Jacques Lasserre et François Bonhomme relative aux modalités de délégation de la compétence d'organisation des transports scolaires.

M. René Vandierendonck, rapporteur. - Les transports scolaires jouent un rôle déterminant dans le service public de l'enseignement, en offrant à chaque élève un accès à l'école et en contribuant puissamment à l'égalité des chances entre les territoires urbains et ruraux.

La loi du 30 décembre 1982 relative à l'organisation des transports intérieurs a constitué, avec les lois du 7 janvier et du 22 juillet 1983, une véritable révolution en confiant aux départements l'organisation et le fonctionnement de ces transports. Au cours de l'examen de la loi portant nouvelle organisation territoriale de la République (NOTRe), le Sénat a montré que les départements avaient su, pendant trente ans, mener une politique de proximité et de qualité appréciée des familles.

La loi NOTRe marque une nouvelle étape en prévoyant, à compter du 1er septembre 2017, que les régions succèderont aux départements dans l'organisation et la gestion des transports scolaires. Les premières auront cependant la possibilité de déléguer cette compétence aux seconds, qui n'en seront plus, par conséquent, les attributaires mais les délégataires.

La plupart des départements ont conclu avec les autorités organisatrices de niveau infradépartemental - les fameuses AO2 - des conventions leur confiant le transport scolaire sur une partie de leur territoire. Or le droit en vigueur interdit à une personne publique délégataire d'une compétence de la déléguer à son tour - une exception notable étant constituée par les départements franciliens qui, après avoir reçu une délégation du Syndicat des transports d'Île-de-France (STIF), ont la possibilité de subdéléguer à leur tour cette compétence à une autorité organisatrice de niveau 3 (AO3). Cette possibilité est mise en oeuvre par le seul département de la Seine-et-Marne. Sollicité dans une question écrite, le Gouvernement a exprimé une conception très restrictive de la possibilité pour un département bénéficiant d'une délégation de compétence de la région, pour une prestation de services, de recourir à des AO3 : il en exclut les communes et les établissements publics de coopération intercommunale (EPCI).

Avec force et pertinence, nos collègues proposent de généraliser la faculté de subdélégation mise en place en Seine-et-Marne. Il y a aujourd'hui 3 445 AO2 en France, parmi lesquelles des associations privées ou familiales, des communes et des établissements publics de coopération intercommunale ; lors des auditions que j'ai conduites, l'Association nationale pour les transports éducatifs de l'enseignement public (Anateep) m'a alerté sur l'ignorance dans laquelle se trouvaient ces opérateurs quant au sort qui allait leur être réservé au 1er septembre prochain. D'où la pertinence de cette proposition de loi, face à un constat partagé par tous les groupes politiques.

Le ministère des transports et la direction générale des collectivités locales (DGCL) ont des analyses divergentes du problème. Nous attendons une position unique du Gouvernement. On ne saurait modifier en profondeur la loi sur l'organisation des transports intérieurs via une proposition de loi sans étude d'impact ; c'est pourquoi le texte qui vous est présenté atteint l'objectif. La réécriture proposée par mon amendement est approuvée par les auteurs du texte.

Plus nous serons unis, plus grande sera notre force de conviction.

Je n'ignore pas que l'Assemblée des départements de France (ADF) souhaiterait que la compétence d'organisation des transports scolaires reste aux départements. Je respecte cette position, mais il ne m'a pas semblé opportun d'introduire une telle remise en cause à ce stade. Nous avons recherché une solution pragmatique.

Comme vous pourrez le constater à la lecture du rapport, le nombre de départements où pourrait apparaître un problème de subdélégation est très faible. Plus préoccupant est le manque d'information des opérateurs et des quatre millions d'élèves concernés.

M. Jean-Pierre Vial. - En Auvergne-Rhône-Alpes, les transports scolaires ont été transférés à la région à titre expérimental. Il est inenvisageable de mettre en place un tel transfert sans confier la gestion locale à des AO2. Leur maintien est essentiel à la souplesse du système. Je partage entièrement le point de vue du rapporteur.

M. François Bonhomme. - J'ai moi aussi été alerté sur le manque d'information des opérateurs et des départements, qui souhaitent un report de la mise en oeuvre du transfert.

Le rapporteur a rappelé la diversité des situations. La région Nouvelle Aquitaine a l'intention d'exercer directement cette compétence ; mais les régions ne posséderont pas le savoir-faire administratif des départements qui faisaient du transport scolaire sur mesure. Il convient de passer à la vitesse supérieure et de revoir le principe même des transferts de compétence prévus par la loi NOTRe - dont, je le rappelle, l'objectif affiché était une clarification de l'organisation territoriale...

M. Mathieu Darnaud. - Je partage entièrement les préconisations du texte et la position du rapporteur. Les situations sont très diverses selon les départements et le mode de fonctionnement en vigueur avant la loi NOTRe.

Le transfert de compétence en matière de transport scolaire a été conçu dans une absence totale de bon sens, et ce n'est pas faute de l'avoir souligné lors de l'examen de la loi. En Auvergne-Rhône-Alpes, les situations sont très diverses. En Isère, le transport scolaire est gratuit, dans d'autres départements, il ne l'est pas. La plupart des départements souhaitent conserver cette compétence ; en Ardèche, compte tenu de la configuration de notre territoire, nous recourons à des taxis.

Tous les voyants sont au rouge. Au-delà des inflexions et des aménagements bienvenus comme celui que prévoit ce texte, il convient de s'interroger sur la durabilité de ces transferts.

M. Simon Sutour. - Je remercie les auteurs du texte de l'avoir déposé. À une ou deux exceptions près, les régions ne se sentent pas armées pour reprendre la compétence de l'organisation du transport scolaire, d'où le recours aux délégations et le problème de la subdélégation. Ce texte nous donne la possibilité de faire le point avec le Gouvernement et les administrations à la veille du transfert.

Malheureusement, compte tenu du calendrier, la proposition de loi ne sera probablement pas votée à temps. Je souhaite néanmoins que ce texte soit voté aussi largement que possible et que l'Assemblée nationale trouve une « niche » pour l'examiner. Notre commission honore ainsi son rôle de maintien de la cohérence juridique du spectre législatif. Je suis le seul membre de mon groupe à avoir voté contre la loi NOTRe, même si sa mise en oeuvre pose moins de problèmes en Occitanie que dans le Nord du pays.

M. Alain Marc. - Cette discussion illustre les bêtises que contient la loi NOTRe. On savait que la situation était très diverse : dans certains départements, le ramassage est gratuit mais assuré par des navettes, ce qui contraint parfois les parents à parcourir cinq ou six kilomètres pour déposer leurs enfants à l'arrêt ; dans d'autres, comme l'Aveyron, c'est au contraire du cousu main. La proposition de loi est d'autant plus opportune que les AO2 sont particulièrement pertinentes pour assurer le ramassage scolaire en milieu rural, là où les appels d'offres restent souvent infructueux.

M. Pierre-Yves Collombat. - Voilà un bel hommage rendu par la théorie à la pratique... Lors des discussions sur la loi NOTRe, nous avions été nombreux à défendre le maintien de la compétence du transport scolaire au niveau du département. On nous avait répondu que puisque l'on transférait une compétence forte à la région - les transports -, il fallait tout leur transférer en la matière, y compris les transports scolaires. L'usine à gaz va s'enrichir d'une nouvelle canalisation, d'un nouveau sparadrap. Et ce n'est pas fini !

M. Jacques Mézard. - Hommage soit rendu aux auteurs et au rapporteur de cette proposition de loi. Ce texte démontre l'impréparation qui a présidé à la loi NOTRe, que j'ai qualifiée à l'époque de loi « Leurre ». Il fallait justifier les transferts de ressources aux régions... La proposition de loi démontre l'incohérence de ce texte.

L'intervention de notre collègue Mathieu Darnaud à propos de la région Auvergne-Rhône-Alpes illustre combien le transfert du transport scolaire à la région est risible. Et on parle de restaurer la proximité entre les citoyens et les collectivités... Il est difficile de faire pire. Nous en sommes à la septième ou huitième modification de la loi NOTRe. Marylise Lebranchu a donné cet été une interview dont le titre était : « Nous n'avons pas été bons sur la réforme territoriale ». Pour une fois, elle a dit vrai...

M. André Reichardt. - Tout ça pour ça ! Ou comment réformer pour que rien ne change. Une question : le texte prévoit, monsieur le rapporteur, que les contrats de prestation de services figureront obligatoirement dans les conventions de délégation de la région au département. Pourquoi ?

M. Jean-Pierre Sueur. - Au vu de la tournure que prend le débat, il convient de rappeler que la loi NOTRe a fait l'objet d'une commission mixte paritaire. L'apport du Sénat à ce texte n'a pas été secondaire, et la loi a finalement été votée par les deux assemblées. Nous sommes nombreux ici à l'avoir votée. Lorsque l'on vote un texte, il convient de le défendre ensuite.

M. Pierre-Yves Collombat. - On ne se suicide pas à moitié !

M. Jean-Pierre Sueur. - Certes, la loi NOTRe contient des points à améliorer, mais elle apporte aussi de nombreuses évolutions positives. Si nous ne l'avions pas votée, l'Assemblée nationale l'aurait adoptée en lecture définitive.

M. Mathieu Darnaud. - Oui, nous avons voté ce texte, mais parce que c'était le seul moyen de sauver les départements. Nous avons toujours dit que le transfert de la compétence du transport scolaire était dénué de sens. Cette réforme n'est pas l'alpha et l'oméga de l'organisation territoriale : nous sommes obligés depuis d'en détricoter par petites touches certaines dispositions mortifères pour les collectivités. Dans certains endroits de mon département, le transport scolaire est organisé par taxi. Imagine-t-on l'organiser depuis Lyon, dans une région deux fois et demie plus grande que la Belgique ? La plupart des régions vont déléguer la compétence aux départements...

Même s'il y a du positif dans cette loi, d'autres points relèvent de l'hérésie. Nous serons obligés de revenir sur des champs entiers du texte - c'est l'objet de la proposition de loi que Jacqueline Gourault et moi-même avons déposée.

M. Jean-Pierre Sueur. - Nombre de lois nécessitent par la suite des correctifs. Il demeure que nous avons voté ce texte.

M. Philippe Bas, président. - Le rôle du Sénat, lorsque sa majorité n'est pas celle de l'Assemblée nationale, est d'obtenir dans un projet de loi auquel il n'adhère pas des inflexions suffisantes pour le rendre acceptable. Comme les explications de vote en séance l'ont montré, son adoption n'impliquait pas une adhésion à l'ensemble de ses dispositions. N'investissez pas ce vote d'un sens qu'il n'a pas... Au demeurant, monsieur Sueur, je ne vous crois pas dupe de votre propos qui est de bonne guerre.

M. François Pillet. - Nous aurions pu éviter cette situation si le projet de loi NOTRe avait été assorti d'une étude d'impact sérieuse.

M. Philippe Bas, président. - Les régions n'ont pas demandé le transfert de la compétence du transport scolaire. La majorité sénatoriale s'y est résignée en compensation du maintien des routes, des collèges et des ports dans le périmètre de compétence des départements. Ce transfert oblige les régions à établir, sous la houlette du président de la chambre régionale des comptes, le volume de charges qui leur sera transféré en regard du produit de la cotisation sur la valeur ajoutée des entreprises également transféré - pour, dans de nombreux cas, une fois ce calcul complexe effectué, déléguer à nouveau la compétence au département ! De plus, comment les agglomérations et les villes délégataires récupéreront-elles cette compétence dans le nouveau régime, les délégations de troisième niveau n'étant pas possible ? La proposition de loi ne règle que ce dernier problème. C'est un ajustement très attendu ; peut-être l'Assemblée nationale ne le votera-t-elle pas, mais point n'est besoin d'espérer pour entreprendre, ni de réussir pour persévérer... Tentons notre chance, en bonne intelligence entre les groupes politiques.

M. René Vandierendonck, rapporteur. - Le Sénat peut alerter le Gouvernement, à travers une proposition de loi, sur les difficultés de mise en oeuvre de la réforme ; mais il est difficile de ne pas assortir une législation-cadre d'une étude d'impact sur les territoires. Le rapport apporte des éclairages précis sur la portée du débat, qui est plus limitée qu'on ne le pense.

Notre collègue Bruno Sido a parfaitement identifié le manque d'information des acteurs et les inquiétudes légitimes que vous évoquez. Il faut partir des territoires - une tâche que nous menons, avec Mathieu Darnaud notamment, au sein de la mission de suivi des dernières lois de réforme territoriale - dont, pour reconnaître mes torts, j'ai été le co-rapporteur avec Jean-Jacques Hyest. À travers cette mission, le Sénat a souhaité évaluer, nonobstant les aléas des calendriers électoraux, la manière dont cette loi était mise en oeuvre. Nous ne nous interdisons pas de revenir sur certains de ses aspects.

EXAMEN DES AMENDEMENTS

Article unique

M. René Vandierendonck, rapporteur. - Mon amendement propose la mise en place d'un système auquel le ministère des transports semble ouvert - au contraire de la DGCL. Il repose sur deux volets : une convention de délégation de compétence entre la région et le département, dans les conditions fixées par les articles L. 1111-8 du code général des collectivités territoriales et L. 3111-9 du code des transports, et, au second niveau, un contrat de prestation de services que les départements auront la possibilité de passer, si ladite convention de délégation le prévoit, sans transformer pour autant le prestataire en subdélégataire. L'offre de transport restera définie dans la convention de délégation, mais elle sera mise en oeuvre dans le cadre d'une prestation de services. Cette rédaction a été acceptée par l'auteur de la proposition de loi.

M. Alain Richard. - Le dispositif que vous proposez est tout à fait opportun. Soulignons que le contrat de services par lequel la collectivité délégataire - le département - confie l'exécution de tout ou partie de la mission déléguée n'est pas une délégation au sens plein ; il répond aux règles qui régissent la commande publique...

M. Philippe Bas, président. - ... ce qui suppose une mise en concurrence dont le résultat est par nature incertain. Or l'objectif de ce texte est de faire en sorte que les villes puissent continuer à organiser le transport scolaire. Il n'est pas à exclure, dans ce système, qu'un opérateur autre qu'une collectivité remporte le marché de la prestation de services.

M. Alain Richard. - Je ne crois pas qu'une entreprise trouverait avantage à faire, pour moins cher, ce que font les collectivités dans des conditions qui ne sont pas celles du marché. Il y a aussi des enjeux de loyauté de la comparaison.

Les règlements communautaires prévoient une disposition dite in house exemptant de l'obligation de mise en concurrence les prestations exercées par une autre collectivité dans les mêmes conditions que l'assumerait la collectivité adjudicataire. Un transfert du département à une commune ou à une agglomération, par exemple dans le cadre d'un syndicat mixte, relève-t-il de ce cas de figure ?

M. Alain Anziani. - Si l'on veut que les prestataires de services soient des collectivités, il faut exclure du périmètre de la mise en concurrence les associations de parents d'élèves ou les associations familiales.

M. René Vandierendonck, rapporteur. - Le rapport répond en partie à cette dernière question.

Il pourrait être nécessaire, pour atteindre l'objectif évoqué par Alain Richard, de constituer, par exemple, une société publique locale juridiquement distincte. Mais la réflexion sur cet aspect de la question se poursuit.

La proposition de loi ne modifie pas la loi NOTRe ; elle permet simplement une généralisation du mode de fonctionnement adopté en Seine-et-Marne. En Île-de-France, l'attributaire de la compétence du transport scolaire n'est pas la région, mais le Stif, un syndicat mixte qui associe la région et les départements franciliens. Rappelons néanmoins que le Stif représente 70 % du trafic ferroviaire en France et 40 % des voyageurs transportés.

Modestement, la proposition de loi identifie un problème important et propose une solution transitoire en attendant la mise en oeuvre des dispositions de la loi NOTRe - laquelle est suivie par notre mission au long cours, guidée, selon les habitudes de la commission des lois, par une éthique de la neutralité d'autant plus remarquable en période pré-électorale.

M. Philippe Bas, président. - Souhaitons que le texte prospère dans la rédaction que vous nous proposez...

L'amendement COM-1 est adopté.

La proposition de loi est adoptée dans la rédaction issue des travaux de la commission.

Projet de loi de programmation relatif à l'égalité réelle outre-mer et portant autres dispositions en matière sociale et économique - Communication et délégation au fond de l'examen d'articles

M. Philippe Bas, président. - Notre commission entendra Mme Ericka Bareigts, ministre des outre-mer, le mardi 13 décembre 2016, de 9 heures à 10 heures 30, sur le projet de loi de programmation relatif à l'égalité réelle outre-mer et portant autres dispositions en matière sociale et économique. M. Darnaud en est le rapporteur. Compte tenu de la variété des sujets traités, la Conférence des présidents a autorisé, le 16 novembre dernier, cinq commissions à se saisir pour avis : la commission des affaires économiques, la commission des affaires sociales, la commission de la culture, la commission de l'aménagement du territoire et du développement durable, ainsi que la commission des finances. Nous pourrions donc solliciter l'autorisation d'ouvrir cette audition à l'ensemble de nos collègues. Je donne la parole à Mathieu Darnaud pour qu'il nous présente la façon dont il compte organiser ses travaux avec les rapporteurs pour avis.

M. Mathieu Darnaud, rapporteur. - Le projet de loi de programmation relatif à l'égalité réelle outre-mer a été renvoyé au fond à notre commission des lois. Nous devrions l'examiner, en commission, le 11 janvier prochain et la semaine d'après ou la semaine suivante, en séance publique.

Lors de son examen en première lecture, l'Assemblée nationale a porté le nombre de ses articles de 15 à 116. Si 59 articles relèvent de la compétence de notre commission, l'examen des 57 autres articles peut être délégué aux commissions saisies pour avis : 25 articles pour la commission des affaires sociales ; 15 pour la commission des finances ; 13 pour la commission des affaires économiques ; 4 pour la commission de la culture. L'avis de la commission de l'aménagement du territoire et du développement durable sera d'ordre général et portera, sans délégation au fond, sur les dispositions relevant de sa compétence.

Les commissions pour avis ayant reçu une délégation devront se réunir avant nous, de façon à ce que nous puissions nous en remettre, par principe, à leur position sur les articles délégués au fond et, le cas échéant, intégrer leurs amendements dans le texte de la commission que nous adopterons.

La répartition proposée, qui figure dans le document qui vous a été distribué, a été établie après échanges avec les commissions concernées et ne suscite pas de conflit de compétence ou de contestation.

La commission décide de déléguer au fond :

- à la commission des affaires économiques, les articles 3 ter, 11 A, 11, 12, 12 bis, 14, 14 ter, 14  quater A, 14 quater, 14 quinquies, 15, 16 et 18 ;

- à la commission des affaires sociales, les articles 3 quater, 9 A, 9 B, 9 C, 9 D, 9 E, 9 F, 9, 9 bis, 9 ter, 10, 10 bis, 10 ter, 10 quater, 10 quinquies, 10 sexies, 10 septies, 10 octies A, 10 octies, 10 nonies, 13 A, 13 B, 13, 13 ter et 13 quater ;

- à la commission de la culture, les articles 13 C, 13 E, 13 bis et 21 ;

- à la commission des finances, les articles 32, 36, 36 bis, 37, 38, 39, 39 bis, 40, 41, 42, 43, 45, 46, 49 et 50.

La réunion est close à 11 h 05