EXAMEN DES ARTICLES
TITRE IER - DISPOSITIONS TENDANT À TRANSPOSER
LA DIRECTIVE (UE) 2016/1148 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 6
JUILLET 2016 CONCERNANT DES MESURES DESTINÉES À ASSURER UN NIVEAU
ÉLEVÉ COMMUN DE SÉCURITÉ DES RÉSEAUX ET DES
SYSTÈMES D'INFORMATION DANS L'UNION
CHAPITRE IER - DISPOSITIONS COMMUNES
Article 1er - Définitions
L'article 1 er du projet de loi vise à définir les notions de « réseaux et systèmes d'information » ainsi que de « sécurité des systèmes d'information ».
Il reprend, à cet effet, les définitions proposées par le texte de la directive, qui entend :
- par réseau et système d'information , tout réseau de communication électronique, tout dispositif ou ensemble de dispositifs interconnectés et apparentés, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numérique, ainsi que les données numériques stockées, traitées, récupérées ou transmises par ces systèmes ;
- par sécurité des réseaux et systèmes d'information , « leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles ».
En l'état du droit, ces notions sont d'ores et déjà utilisées par divers textes législatifs, sans qu'il soit toutefois apparu nécessaire au législateur d'en donner une définition commune. Seule l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives définit la notion de système d'information 13 ( * ) , tout en lui conférant une acception fortement liée à l'objet du texte même et par conséquent difficilement généralisable à d'autres situations.
Votre rapporteur s'est interrogé sur la nécessité de prévoir une définition de niveau législatif de ces notions , d'acception assez commune. La forte évolutivité technologique semble par ailleurs rendre périlleux un tel exercice, risquant de figer une notion amenée, par les caractéristiques intrinsèques même des systèmes d'information, à changer de périmètre au fil du temps.
Il entend toutefois l'argumentaire développé par le Conseil d'État dans son avis sur le projet de loi, qui estime que l'ajout de définitions claires permet de préciser le périmètre d'application des dispositions du texte.
Un tel argument paraît d'autant plus recevable que la directive définit la notion de réseau et système d'information de manière assez large, y intégrant non seulement des dispositifs informatiques, mais également les données véhiculées par ces dispositifs.
Aussi votre commission a-t-elle adopté l'article 1 er sans modification .
Article 2 - Champ d'application des dispositions
L'article 2 du projet de loi précise le champ d'application des dispositions du titre I er , qui procède à la transposition de la directive « NIS ».
Conformément aux dispositions de la directive, il exclut du périmètre du projet de loi :
- les entreprises exploitant des réseaux de communications électroniques ouverts au public ou fournissant des services de communications électroniques accessibles au public ;
- les prestataires de services de confiance.
|
Aux termes de l'article 19 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, les prestataires de services de confiance sont des personnes physiques ou morales qui fournissent un service qui consiste : - en la création, vérification ou validation de signatures électroniques ; - en la création, vérification ou validation de certificats d'authentification de site Internet ; - en la conservation de signatures électroniques, de cachets électroniques ou de certificats. |
Il prévoit par ailleurs que les obligations prévues par le projet de loi ne seront pas applicables aux entités qui sont d'ores et déjà soumises, en application de normes européennes sectorielles, à des exigences en matière de sécurité des systèmes d'information, dès lors que ces exigences sont au moins équivalentes à celles exigées par le projet de loi. La directive cite dans ses considérants, à titre d'exemples, deux secteurs qui font déjà l'objet d'une réglementation en matière de sécurité des systèmes d'information : le secteur des transports par voie d'eau et celui de la banque et des infrastructures de marchés financiers.
Outre la nécessité de se conformer au texte de la directive, une telle précision dans la loi est rendue nécessaire pour permettre aux fournisseurs de service numérique, qui ne seront pas, contrairement aux opérateurs économiques essentiels, nominativement désignés ( voir infra ), d'identifier s'ils entrent, ou non, dans le champ d'application de la directive.
À l'initiative de son rapporteur, votre commission a adopté un amendement COM-1 afin de remplacer la notion d'« entreprises exploitant des réseaux de communications électroniques ouverts au public ou fournissant des services de communications électroniques accessibles au public » par celle d'« opérateurs mentionnés au 15° de l'article L. 32 du code des postes et des communications électroniques », afin d'harmoniser les définitions entre textes législatifs.
Elle a par ailleurs, par le même amendement simplifié la rédaction du second alinéa de l'article de manière à le rendre plus intelligible.
Votre commission a adopté l'article 2 ainsi modifié .
Article 3 - Règles de confidentialité
L'article 3 du projet de loi vise à préciser les règles de confidentialité qui s'imposent à l'administration, ainsi qu'aux prestataires de services qu'elle habilite, dans le cadre des activités qu'ils exercent en application des dispositions du projet de loi.
• Confidentialité des données collectées à l'occasion des contrôles
La directive « NIS » prévoit que chaque État membre définisse des règles afin de garantir la confidentialité des données et des informations auxquelles les services de l'État ainsi que les prestataires de service habilités à cet effet sont susceptibles d'avoir accès à l'occasion des contrôles qu'ils effectuent auprès des opérateurs économiques essentiels et des fournisseurs de service numérique.
En l'état du droit, les agents publics, de même que les services de l'État, sont d'ores et déjà soumis à des exigences strictes de confidentialité dans l'exercice de leurs fonctions. En effet, en vertu de l'article 26 de la loi n° 83-634 du 11 juillet 1983 portant droits et obligations des fonctionnaires, les agents publics sont tenus au secret professionnel et soumis à une obligation de discrétion professionnelle « pour tous les faits, informations ou documents dont ils ont connaissance dans l'exercice ou à l'occasion de l'exercice de leurs fonctions ».
Au demeurant, l'article L. 311-6 du code des relations entre le public et l'administration dispose que ne sont communicables qu'à la personne, physique ou morale, intéressée, les documents administratifs qui porteraient atteinte aux « informations économiques et financières » et aux « stratégies commerciales et industrielles ». Cette disposition garantit notamment la confidentialité des rapports d'audit des réseaux et systèmes d'information de certaines entités produits par l'administration en application des articles 8 et 14 du projet de loi.
Ces dispositions répondent à l'exigence de confidentialité des administrations publiques imposées par la directive . Qui plus est, par souci d'unicité du régime de secret professionnel et de discrétion professionnelle, votre commission partage le choix effectué par le Gouvernement de ne pas définir dans le projet de loi les obligations s'imposant à l'État en matière de confidentialité et de renvoyer aux dispositions existantes.
En revanche, aucune disposition législative générale ne s'impose aux prestataires de services privés auxquels est délégué l'accomplissement de missions de service public. L'article 3 du projet de loi prévoit donc, à cet effet, que les prestataires de services habilités à effectuer des contrôles dans le cadre des dispositions du texte respectent les mêmes règles de confidentialité que celles qui s'imposent aux services de l'État.
De manière à clarifier le champ de cette obligation, votre commission a adopté l' amendement COM-2 de son rapporteur qui complète, d'une part, les règles de confidentialité par la notion de discrétion professionnelle et précise, d'autre part, que les règles visées sont celles s'imposant aux services de l'État ainsi qu'aux agents publics.
• Obligations de confidentialité en cas de communication sur un incident
Dans les conditions définies aux articles 7 et 13 du projet de loi, le Premier ministre peut informer le public ou un autre État membre d'un incident impactant le système d'information d'un opérateur économique essentiel ou d'un fournisseur de service numérique.
Conformément aux dispositions de la directive, le second alinéa de l'article 3 du projet de loi prévoit que l'État soit attentif, lorsqu'il procède à une telle information, aux intérêts économiques de ces entités et « à ne pas révéler d'informations susceptibles de porter atteinte à leur sécurité et au respect en matière industrielle et commerciale ».
Cette précision ne s'applique en revanche pas aux prestataires de service habilités qui ne sont pas autorisés à communiquer sur un incident.
Par le même amendement COM-2 de son rapporteur, votre commission a préféré remplacer le terme « État », peu intelligible dans le cas considéré, par l'expression « autorité administrative compétente ».
Votre commission a adopté l'article 3 ainsi modifié .
Article 4 - Application réglementaire
L'article 4 prévoit que les modalités d'application du titre I er du projet de loi doivent être déterminées par décret en Conseil d'État.
Il précise que ce décret fixe notamment la liste des services essentiels au fonctionnement de la société ou de l'économie mentionnés à l'article 5 du projet de loi.
Par un amendement COM-3 de son rapporteur, votre commission a complété cet article afin d'indiquer que ce décret précisera également, pour chacun des domaines mentionnés à l'article 12, la nature des mesures de sécurité qui devront être mises en oeuvre par les fournisseurs de service numérique (voir le commentaire de l'article 12).
Votre commission a adopté l'amendement 4 ainsi modifié .
* 13 L'article 1 er de l'ordonnance définit un système d'information comme « tout ensemble de moyens destinés à élaborer, traiter, stocker ou transmettre des informations faisant l'objet d'échanges par voie électronique entre autorités administratives et usagers ainsi qu'entre autorités administratives ».