CHAPITRE II- DISPOSITIONS RELATIVES À LA SÉCURITÉ DES RÉSEAUX ET SYSTÈMES D'INFORMATION DES OPÉRATEURS DE SERVICES ESSENTIELS
Article 5 - Définition des opérateurs économiques essentiels
L'article 5 du projet de loi précise la notion d'opérateurs économiques essentiels et fixe les modalités de leur désignation.
• Une catégorie d'opérateurs au périmètre potentiellement assez large
Conformément à la définition qu'en donne la directive, un opérateur économique essentiel est une entité, publique ou privée, qui répond à trois critères.
Son activité doit tout d'abord inclure la fourniture de services essentiels au fonctionnement de la société et de l'économie , services dont la liste sera fixée, comme le prévoit l'article 4 du projet de loi, par décret en Conseil d'État.
La directive identifie sept secteurs répondant à la notion de services économiques essentiels : l'énergie, les transports, les banques, les infrastructures et marchés financiers, la santé, la fourniture et la distribution d'eau potable et les infrastructures numériques.
Le Gouvernement prévoit toutefois d'élargir cette liste à d'autres secteurs . La définition proposée par l'article 5 de services économiques essentiels est d'ailleurs plus large que celle utilisée par la directive, qui n'inclut que les services essentiels « au maintien d'activités sociétales et/ou économiques critiques ».
Selon les informations communiquées à votre rapporteur, pourraient être inclus dans le champ des services économiques essentiels les secteurs du tourisme, de l'agroalimentaire, des assurances, des affaires sociales et de la construction automobile. S'il note que l'extension des secteurs concernés par l'application des dispositions introduites n'est pas contraire à l'esprit du texte européen, qui n'exclut pas la possibilité pour les États membres d'étendre l'application de ses dispositions 14 ( * ) , votre rapporteur souhaite attirer l'attention du Gouvernement sur la nécessité de ne pas élargir outre mesure cette liste. Il en va aussi de l'efficacité de la capacité de l'État à assurer le contrôle des obligations imposées, et donc de l'efficacité du dispositif.
Deuxième critère d'identification, la fourniture desdits services essentiels doit reposer sur l'utilisation de réseaux et systèmes d'information . Selon les termes de la directive, entrent dans le champ d'application non seulement les réseaux et systèmes d'information internes à l'opérateur, mais également ceux de prestataires de service en cas d'externalisation des services informatiques par l'opérateur, voire de sous-traitants qui participeraient à la fourniture desdits services essentiels. Comme il l'a indiqué dans son exposé général, votre rapporteur note que le champ d'application du projet de loi pourrait en conséquence avoir, en raison du fonctionnement capillaire de l'économie, un impact beaucoup plus large que celui annoncé par le Gouvernement.
Enfin, troisième et dernier critère, tout incident affectant ces réseaux et systèmes d'information doit être susceptible d'entraîner une perturbation grave des services essentiels qu'il fournit. L'étude d'impact du projet de loi indique, à cet égard, qu'un décret en Conseil d'État précisera, sur le fondement des dispositions prévues par la directive, les critères permettant de déterminer l'importance de la perturbation d'un service essentiel en cas d'incident.
|
Les critères déterminant l'importance de la perturbation d'un service essentiel L'article 6 de la directive 2016/1148 énumère les critères permettant aux États membres de déterminer l'importance d'un « effet disruptif », c'est-à-dire de la perturbation d'un service essentiel causé par un incident. Ces critères sont au nombre de 6 : 1° le nombre d'utilisateurs tributaires du service concerné ; 2° la dépendance d'autres secteurs considérés comme essentiels à l'égard du service impacté par un incident ; 3° les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques, sociétales ou sur la sûreté publique ; 4° la part de marché de l'opérateur concerné ; 5° la portée géographique de l'incident ; 6° l'importance que revêt l'opérateur pour garantir un niveau suffisant de service dans le secteur ou le sous-secteur impacté, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service. Selon les termes de la directive, les États membres peuvent également tenir compte de critères sectoriels. |
Sur ce dernier critère, votre rapporteur constate que le projet de loi ne reprend pas la notion d'« effet disruptif » utilisée par la directive. S'il consent que l'utilisation de ces termes en droit interne risquerait de nuire à l'intelligibilité du texte, il regrette toutefois que le projet de loi recoure à des expressions différentes 15 ( * ) , selon les articles, pour transposer cette notion. Aussi, afin d'assurer une meilleure homogénéité et une plus grande cohérence du texte, votre commission a-t-elle adopté l' amendement COM-4 rect. de son rapporteur qui substitue à la notion de « perturbation grave » celle de « rupture de continuité de service » et procède à quelques améliorations d'ordre rédactionnel.
Selon les termes de l'article 5 du projet de loi, les opérateurs de services essentiels seront nominativement désignés par un arrêté du Premier ministre , sur la base des critères précédemment exposés. La liste devrait faire l'objet d'une mise à jour régulière, au minimum tous les deux ans, comme l'impose la directive.
Interrogé par votre rapporteur, le Secrétariat général de la défense et de la sécurité nationale (SGDSN), qui sera amené à piloter le dispositif prévu par le projet de loi, a indiqué ne pas être, pour l'heure, en mesure de fournir une liste des entités susceptibles d'être désignées comme opérateurs économiques essentiels, tout en précisant que plusieurs centaines d'entreprises pourraient être concernées 16 ( * ) .
• L'exclusion des opérateurs d'importance vitale (OIV) du champ d'application du projet de loi
L'article 5 du projet de loi exclut du périmètre des opérateurs économiques essentiels les entités d'ores et déjà désignées comme étant des opérateurs d'importance vitale.
Définis à l'article L. 1332-1 du code de la défense, les OIV sont des « opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ».
S'ils sont susceptibles, du moins pour certains d'entre eux, de répondre à la définition des opérateurs économiques essentiels, le Gouvernement a opté pour le maintien de deux régimes distincts.
De l'avis de votre rapporteur, cette exclusion ne soulève pas de difficulté majeure s'agissant de sa compatibilité avec le droit de l'Union européenne, la directive autorisant, comme rappelé précédemment, les États membres à adopter ou maintenir des dispositifs d'ores et déjà en vigueur, dès lors qu'ils contribuent à atteindre un niveau de cyber-sécurité plus élevé.
En l'espèce, les OIV, dont le nombre avoisine les 250, sont soumis, en application des articles L. 1332-6-1 à L. 1332-6-6 du code de la défense, à des règles en matière de sécurité des systèmes d'information, dont il a été indiqué à votre rapporteur au cours de ses auditions qu'elles étaient plus strictes que celles qui seraient appliquées aux opérateurs économiques essentiels.
Ils se voient également appliquer une obligation de signalement des incidents ainsi qu'un régime de contrôle des obligations qui leur incombent de même nature que celui prévu par le projet de loi pour les opérateurs économiques essentiels. Enfin, ils encourent, en cas de manquement à ces obligations, des sanctions pénales.
Au demeurant, votre rapporteur constate qu'il serait peu opportun de fusionner les notions d'opérateurs économiques essentiels et d'opérateurs d'importance vitale . Le régime applicable aux OIV, destiné à assurer leur protection contre tout acte malveillant ou contre les risques naturels, technologiques ou sanitaires, est en effet plus large que celui prévu par le projet de loi et inclut des obligations qui vont au-delà de la sécurité des réseaux et systèmes d'information, par exemple en matière de sécurité physique de leurs infrastructures et bâtiments.
Par le même amendement COM-4 rect. , votre commission a toutefois apporté une légère modification au second alinéa de l'article 5, estimant préférable de viser les opérateurs d'importance vitale plutôt que leurs systèmes d'information.
Votre commission a adopté l'article 5 ainsi modifié.
Article 6 -Règles minimales en matière de protection des réseaux et systèmes d'information
L'article 6 du projet de loi détermine le régime d'obligations appliqué aux opérateurs économiques essentiels en matière de sécurité des réseaux et systèmes d'information.
Selon les termes de l'article, ces opérateurs seraient, en raison de la sensibilité des services qu'ils fournissent, tenus de respecter certaines règles nécessaires pour garantir un niveau de sécurité des réseaux et systèmes d'information adapté, en l'état de l'art, au risque existant.
Ces règles comprendraient notamment la mise en oeuvre de mesures destinées à prévenir les incidents susceptibles d'affecter les réseaux et systèmes d'information et d'en limiter l'impact, y compris l'utilisation de dispositifs matériels ou logiciels ou de services informatiques certifiés.
Il est prévu que ces règles soient fixées par le Premier ministre.
Enfin, l'article prévoit que les opérateurs seraient tenus de mettre en oeuvre les mesures prévues par la voie réglementaire à leurs frais.
• Un risque important d'inconstitutionnalité
Le régime prévu par le chapitre II du titre I er pour les opérateurs économiques essentiels prévoit une responsabilité pénale de l'opérateur en cas de manquement constaté, à l'occasion d'un contrôle effectué auprès d'un opérateur en application de l'article 8, aux règles et mesures de sécurité qui lui incombent en application de l'article 6, lorsque ce manquement n'est pas corrigé dans le délai fixé par l'autorité administrative par mise en demeure. L'article 9 du projet de loi fixe la peine d'amende encourue à 100 000 euros.
Votre rapporteur constate que ce régime est susceptible d'être jugé contraire à la Constitution, dans la mesure où il porterait atteinte au principe à valeur constitutionnelle de légalité des délits et des peines.
Selon une jurisprudence constante, le Conseil constitutionnel estime en effet que « le législateur tient de l'article 34 de la Constitution, ainsi que du principe de légalité des délits et des peines qui résulte de l'article 8 de la Déclaration des droits de l'homme et du citoyen de 1789 , l'obligation de fixer lui-même le champ d'application de la loi pénale et de définir les crimes et délits en termes suffisamment clairs et précis » 17 ( * ) .
À l'exception de la matière contraventionnelle, qui relève du domaine réglementaire lorsque les peines prévues ne comportent pas de mesures privatives de liberté 18 ( * ) , le législateur est seul habilité à définir les infractions et à fixer les peines qui leur sont applicables.
Il doit, au demeurant, veiller à ne pas faire preuve d'incompétence négative en s'efforçant de définir, de manière suffisamment précise, tous les éléments constitutifs d'une infraction. Le Conseil constitutionnel rappelle ainsi qu'« aux termes de l'article 8 de la Déclaration des droits de l'homme et du citoyen de 1789 nul ne peut être puni qu'en vertu d'une loi établie et promulguée antérieurement au délit et légalement appliquée » et « qu'il en résulte la nécessité pour le législateur de définir les infractions en termes suffisamment clairs et précis pour exclure l'arbitraire ».
Le Conseil constitutionnel a pu, par le passé, sembler admettre une exception au principe de légalité de la loi pénale . Il estimait ainsi, dans sa décision n° 82-143 DC du 30 juillet 1982, qu'« aucun principe ou règle à valeur constitutionnelle n'interdit au législateur d'ériger en infractions le manquement à des obligations qui ne résultent pas directement de la loi elle-même » et reconnaissait, de ce fait, la constitutionnalité de l'incrimination de manquements à des obligations fixées par une convention collective.
Les évolutions jurisprudentielles récentes paraissent toutefois avoir eu raison de cet assouplissement.
Dans sa décision n° 2016-741 DC du 8 décembre 2016, le Conseil constitutionnel a en effet estimé, s'agissant des sanctions encourues par les représentants d'intérêts en cas de violation de règles déterminées par les bureaux des assemblées, qu'« en édictant des délits réprimant la méconnaissance d'obligations dont le contenu n'est pas défini par la loi, mais par le bureau de chaque assemblée parlementaire, le législateur a méconnu le principe de légalité des délits et des peines ».
Plus récemment, appelé à se prononcer sur des dispositions sanctionnant les manquements aux obligations de vigilance s'imposant à certaines entreprises, il a, selon la même logique, précisé, que « dès lors qu'il assortissait les obligations qu'il posait d'une sanction ayant le caractère de punition », le législateur était tenu de « définir celles-ci en termes suffisamment clairs et précis » 19 ( * ) ; aussi a-t-il, dans le cas considéré, censuré les dispositions précitées en raison, d'une part, de l'imprécision des obligations fixées par la loi, d'autre part, de la délégation concédée au pouvoir réglementaire pour compléter les obligations fixées par la loi.
En l'espèce, dès lors que les manquements aux obligations qui s'imposeront aux opérateurs économiques essentiels sont susceptibles d'être sanctionnés pénalement, il apparaît indispensable de définir, au sein de l'article 6 du projet de loi, les règles et les mesures qui s'imposeront aux opérateurs concernés. Compte tenu de la technicité du sujet, il pourrait a minima être envisagé d'inscrire dans la loi les catégories de mesures qui devront être mises en oeuvre par les opérateurs, catégories qui pourront, en tout état de cause, être précisées de manière réglementaire 20 ( * ) .
Le Secrétariat général de la défense et de la sécurité nationale (SGDSN) a toutefois indiqué à votre rapporteur qu'il lui était impossible de définir précisément, à ce stade, les catégories de mesures de sécurité qui seront imposées aux opérateurs économiques essentiels, les consultations au niveau ministériel n'étant pas encore, à ce jour, achevées.
Votre rapporteur regrette fortement ce décalage entre le dépôt du projet de loi de transposition et l'état de la réflexion au niveau ministériel, qui nuit à la qualité des travaux et du débat au Parlement. Il constate toutefois ne pas être en mesure, à ce stade, d'apporter les précisions nécessaires à cet article 6 pour assurer la constitutionnalité du dispositif.
Dès lors, tout en pointant l'inconstitutionnalité du dispositif actuel, votre commission considère préférable de renvoyer aux travaux parlementaires à venir la modification de cet article et invite, à cet égard, le Gouvernement à lui soumettre le plus rapidement possible une liste des catégories de mesures de sécurité qui seront imposées aux opérateurs économiques essentiels.
• Un impact économique significatif pour les entreprises
Comme mentionné précédemment, l'article 6 prévoit que la mise en oeuvre des mesures de sécurité sera à la charge financière des opérateurs auxquelles elles s'imposent.
Votre rapporteur s'est interrogé sur l'impact économique de ces mesures et sur leur caractère soutenable pour les entreprises concernées. Selon les informations qui lui ont été communiquées, la liste des opérateurs économiques essentiels devrait principalement recouvrir des entreprises de taille conséquente, qui ne devraient pas rencontrer de difficultés majeures à absorber les coûts d'investissement supplémentaires engendrés par l'application de ces nouvelles règles, estimés entre 1 à 2 millions d'euros par an et par entreprise.
Entendu par votre rapporteur, le Medef s'est en revanche inquiété de l'impact de ces nouvelles règles pour les entreprises sous-traitantes des opérateurs économiques essentiels qui seront pour certaines concernées, en cascade, par ces nouvelles mesures de sécurité. Or, ces entreprises sont généralement des petites et moyennes entreprises, pour lesquelles les coûts estimatifs précédemment indiqués pourraient se révéler prohibitifs.
Sans nier l'impact financier pour les entreprises concernées, le Gouvernement rappelle que les coûts engendrés par un incident affectant les systèmes d'information se révèlent généralement bien supérieurs aux frais engagés pour des dispositifs de protection, comme le démontre par exemple l'expérience de l'entreprise Saint-Gobain évoquée dans l'exposé général.
S'il entend cet argument, votre rapporteur attire toutefois l'attention du Gouvernement sur la nécessité de privilégier la mise en oeuvre de mesures de sécurité adaptées et proportionnées au risque effectivement encouru par ces structures, afin de limiter les coûts induits.
Votre commission a adopté l'article 6 sans modification .
Article 7 - Obligation de signalement des incidents
L'article 7 du projet de loi introduit, à l'égard des opérateurs économiques essentiels, une obligation de signalement à l'agence nationale de sécurité des systèmes d'information (ANSSI) des incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture des services essentiels et fixe les conditions dans lesquelles l'administration est autorisée à communiquer sur un tel incident.
En vertu des dispositions de cet article, les opérateurs seraient tenus de signaler, « sans retard injustifié », tous les incidents qui ont ou sont susceptibles d'avoir un impact significatif sur la continuité des services essentiels qu'ils fournissent. Conformément à la directive, l'article caractérise la notion d'« impact significatif », en précisant qu'il s'apprécierait notamment au regard du nombre d'utilisateurs et de la zone géographique touchés, ainsi que de la durée de l'incident. Les modalités pratiques de signalement de l'incident seraient fixées par décret en Conseil d'État.
Votre rapporteur note que le projet de loi procède, sur ce point, à une sur-transposition par rapport au texte de la directive . Cette dernière limite en effet l'obligation de signalement aux incidents qui ont un impact significatif sur la fourniture des services essentiels et n'impose en revanche aucune obligation pour les incidents seulement susceptibles d'avoir un impact sur la fourniture des services considérés. Ce faisant, le Gouvernement a souhaité renforcer le volet préventif du dispositif. Votre rapporteur juge cet ajout pertinent, dans la mesure où il devrait permettre à l'ANSSI d'intervenir le plus en amont possible pour limiter l'impact d'un incident ou d'une attaque informatique.
À son initiative, votre commission a toutefois adopté un amendement COM-5 afin de mieux encadrer les délais de signalement à l'ANSSI. Comme l'ont relevé plusieurs acteurs entendus par votre rapporteur, la détection d'intrusions informatiques dans un système d'information prend parfois plusieurs mois. Il lui est donc apparu indispensable de préciser que l'obligation de signalement ne serait opposable aux entreprises qu'à compter de la découverte de l'incident, comme cela est notamment le cas dans le règlement général sur la protection des données personnelles 21 ( * ) . L'amendement substitue par ailleurs à l'expression « sans retard injustifié » celle de « sans délai », plus communément employée dans le droit interne.
Lors de son audition par votre rapporteur, le Medef a relevé que les entreprises éprouvaient de plus en plus de difficultés à concilier des obligations de signalement d'incidents de sécurité de nature similaire, imposés par différents textes juridiques (le règlement général de protection des données personnelles, la réglementation sur les opérateurs de communications électroniques, le règlement européen ePrivacy , etc .). Ainsi, dans le cas d'un incident affectant un traitement de données à caractère personnel dans le domaine de la santé, une entreprise est contrainte d'effectuer une déclaration auprès de l'ANSSI, de la Commission nationale de l'informatique et des libertés (CNIL) et de l'agence régionale de santé. Bien que la rationalisation de ces dispositifs dépasse le cadre du projet de loi, votre rapporteur estime qu'il pourrait être nécessaire de conduire une réflexion afin de simplifier, pour les entreprises, ces procédures de signalement.
L'article 7 détermine par ailleurs, comme l'exige la directive, les conditions dans lesquelles il peut être procédé à une information en cas de survenance d'un incident .
Le Premier ministre serait ainsi autorisé à informer le public d'un incident, lorsque cette information est nécessaire pour le prévenir ou le traiter. Compte tenu de la confidentialité potentielle des informations concernées, une consultation préalable de l'opérateur impacté est prévue. Par ailleurs, dans les cas où un incident aurait un impact transfrontalier, le Premier ministre serait tenu d'en informer les autorités compétentes des États membres impactés.
Les autorités publiques seraient en tout état de cause soumises, pour l'application de ces dispositions, aux règles de confidentialité prévues par l'article 3 du projet de loi (cf. ci-dessus).
Alors que la directive confère ce pouvoir d'information à l'autorité compétente en matière de sécurité des systèmes d'information - qui n'est autre que l'ANSSI en France -, on peut s'interroger sur le choix fait par le Gouvernement d'élever cette prérogative au niveau du Premier ministre. En effet, dès lors que l'ANSSI serait désignée comme l'autorité compétente pour recueillir les déclarations d'incidents, il paraîtrait plus opportun de lui conférer également la prérogative de procéder, lorsque cela apparaît nécessaire, à une information du public ou d'un autre État membre. Par le même amendement COM-5 de son rapporteur, votre commission a donc modifié le second alinéa de l'article 7 afin de substituer aux termes « Premier ministre » les termes « autorité administrative », laissant ainsi une marge de manoeuvre au pouvoir réglementaire pour préciser les autorités compétentes pour procéder à cette information ainsi que les délégations qui pourront, le cas échéant, être mises en place. L'ANSSI étant un service administratif rattaché au Premier ministre, et non une autorité administrative indépendante, la responsabilité de la décision d'information n'en sera pas modifiée.
Votre commission a adopté l'article 7 ainsi modifié .
Article 8 - Modalités de contrôle
L'article 8 du projet de loi prévoit la possibilité pour l'autorité administrative d'effectuer des contrôles auprès des opérateurs de services essentiels à des fins de vérification de la mise en oeuvre des obligations qui leur incombent.
Diligentés sur décision du Premier ministre, ces contrôles, effectués sur pièce et sur place, seraient assurés par l'ANSSI ou par des prestataires de service spécifiquement habilités à cet effet.
Selon les informations communiquées à votre rapporteur, l'ANSSI recourt d'ores et déjà, notamment dans le cadre du dispositif prévu pour les opérateurs d'importance vitale par l'article L. 1332-6-3 du code de la défense, à des prestataires de confiance pour la réalisation de certaines tâches ou contrôles. S'il n'est pas prévu par la directive, un tel système de délégation apparaît néanmoins nécessaire afin d'assurer l'effectivité du dispositif de contrôle. En effet, compte tenu du nombre d'opérateurs susceptibles d'être désignés, évalué, comme mentionné ci-dessus, à plusieurs centaines, il apparaît illusoire de confier à l'ANSSI seule le soin de procéder à de tels contrôles.
Afin de faciliter ces contrôles, l'article 8 prévoit, à l'égard des opérateurs, une obligation de transmission, à l'autorité ou au prestataire responsable du contrôle, de toutes les informations et éléments nécessaires , y compris de documents présentant un niveau élevé de confidentialité, notamment ceux relatifs à leur politique de sécurité et les résultats d'audit de sécurité. Les équipes chargées d'effectuer le contrôle devraient par ailleurs être en mesure d'accéder aux réseaux et systèmes d'information de l'opérateur de manière à effectuer les analyses et relevés techniques nécessaires.
Les coûts des contrôles seraient assumés par les opérateurs . Selon les informations communiquées à votre rapporteur par le Secrétariat général de la défense et de la sécurité nationale, un arrêté fixera les modalités de facturation aux opérateurs de ces contrôles. Il lui a été indiqué que le coût estimé pourrait s'élever à 1 200 euros/jour/homme. Cette charge, bien que non négligeable pour les entreprises, ne paraît pas, de l'avis de votre rapporteur, disproportionnée au regard, d'une part, de la capacité des opérateurs économiques essentiels à l'absorber, d'autre part du fait que les contrôles menés auprès d'un même opérateur devraient être assez espacés dans le temps.
Enfin, l'article confère à l'ANSSI, en cas de manquement constaté à l'occasion d'un contrôle, un pouvoir d'injonction administrative lui permettant de mettre en demeure l'opérateur concerné de se conformer aux obligations de sécurité fixées par la loi.
À l'initiative de son rapporteur, votre commission a réécrit, par un amendement COM-6 , le dispositif d'injonction prévu, de manière à le rendre plus intelligible. En effet, en application de l'article 9 du projet de loi, les opérateurs encourraient une peine d'amende s'ils ne se mettaient pas en conformité, en cas de manquement constaté à l'occasion d'un contrôle, avec les obligations prévues par la loi dans le délai fixé par la mise en demeure. Aussi, lui est-il apparu, en vertu du principe à valeur constitutionnelle de légalité des délits et des peines précité, indispensable de fixer dans des termes suffisamment clairs et précis le dispositif de l'injonction, et notamment d'encadrer la fixation du délai de la mise en demeure.
Par le même amendement COM-6 , votre commission a par ailleurs procédé à plusieurs modifications d'ordre rédactionnel.
Votre commission a adopté l'article 8 ainsi modifié .
Article 9 - Sanctions pénales
L'article 9 du projet de loi fixe les sanctions pénales encourues par les opérateurs économiques essentiels en cas de manquement aux obligations fixées par le projet de loi.
La directive « NIS » impose aux États membres de mettre en oeuvre un régime de sanctions « effectives, dissuasives et proportionnées » 22 ( * ) afin de garantir le respect du socle minimal commun de règles qu'elle définit en matière de sécurité des systèmes d'information. Elle laisse en revanche chaque État membre libre de définir les sanctions qui lui paraissent les plus adaptées afin de faire respecter ces obligations sur son territoire.
L'article 9 crée, en conséquence, trois infractions :
- le manquement aux règles et mesures de sécurité fixées par l'article 6, rappelées à l'occasion d'une injonction administrative et non corrigé dans le délai fixé par la mise en demeure, serait puni d'une peine d'amende de 100 000 euros ;
- le non-respect de l'obligation de signalement d'un incident à l'ANSSI serait puni d'une amende de 75 000 euros ;
- le fait de faire obstacle aux opérations de contrôles effectuées par l'ANSSI ou un prestataire habilité serait puni d'une amende de 125 000 euros.
La responsabilité pénale incomberait aux dirigeants des opérateurs concernés. Conformément aux principes généraux du droit pénal, la responsabilité de la personne morale pourrait également être engagée à titre subsidiaire pour les infractions commises, pour leur compte, par leurs organes ou représentants, comme le prévoit l'article 121-2 du code pénal.
• Sanctions pénales vs. sanctions administratives ?
Votre rapporteur s'est interrogé sur le choix du Gouvernement de définir des sanctions pénales. En effet, compte tenu de la nature des obligations imposées, des modalités du contrôle des opérateurs, qui relève exclusivement de l'autorité administrative, ainsi que de la nature des peines prévues (amendes), un régime de sanctions administratives aurait pu se révéler tout aussi adapté.
Ainsi, il aurait pu être imaginé de confier à l'ANSSI, qui se voit d'ores et déjà conférer un pouvoir d'injonction administrative à l'égard des opérateurs de services essentiels, des pouvoirs de sanction, lui permettant de décider d'une amende en cas de manquement à certaines obligations constatées à l'occasion de ces contrôles. Un tel pouvoir de sanction a par exemple récemment été attribué, par la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique, à l'Agence française de lutte contre la corruption, chargée de sanctionner tout manquement aux obligations de prévention des faits de corruption et de trafic d'influence au sein des entreprises.
Qui plus est, un régime de sanctions administratives offre plus de souplesse qu'un régime de sanctions pénales, l'engorgement des tribunaux correctionnels engendrant des délais souvent longs de traitement des dossiers.
Interrogé sur ce point par votre rapporteur, le Gouvernement a toutefois jugé préférable d'aligner le régime de sanctions des opérateurs économiques essentiels sur celui des opérateurs d'importance vitale prévu par le code de la défense. Les obligations imposées aux OIV ainsi que les manquements potentiels à ces obligations étant de même nature que pour les opérateurs économiques essentiels, il est en effet apparu pertinent de prévoir un régime de sanctions similaire.
Votre rapporteur entend cet argument et observe que la mise en place d'un nouveau régime de sanctions, y compris pour les OIV, ferait courir le risque de sortir de l'objet du projet de loi.
• Des sanctions proportionnées
Comme indiqué par le SGDSN, les sanctions prévues par l'article 9 du projet de loi ont été établies par comparaison avec le régime de sanctions appliqué aux OIV. Ainsi, les peines d'amende encourues par les opérateurs économiques essentiels, pour lesquels une interruption de service aurait un impact moindre pour la société et l'économie que s'il s'agissait d'un service fourni par un opérateur d'importance vitale, sont moins élevées que celles prévues par l'article L. 1332-7 du code de la défense, qui s'élèvent, pour tout manquement aux règles de sécurité informatique et obligation de signalement, à 150 000 euros.
Les peines apparaissent par ailleurs proportionnées par rapport à d'autres sanctions économiques prévues par la loi à l'encontre d'entreprises. Ainsi, s'agissant des obligations incombant aux entreprises en matière de lutte contre la corruption précitées, les sanctions pécuniaires appliquées peuvent atteindre 200 000 euros. De même, en matière de protection des données à caractère personnel, les manquements aux obligations de sécurité qui s'imposent aux responsables de traitements de données à caractère personnel 23 ( * ) sont punis, en vertu de l'article 226-17 du code pénal, de cinq ans d'emprisonnement et de 300 000 euros d'amende.
À l'initiative de son rapporteur, votre commission a adopté un amendement COM-7 d'amélioration rédactionnelle, par coordination avec les modifications qu'elle a apportées à l'article 8.
• Quelle responsabilité des prestataires et des sous-traitants participant à la fourniture d'un service essentiel ?
Comme indiqué précédemment, les obligations imposées aux opérateurs économiques essentiels en matière de sécurité de leurs systèmes d'information concernent tous les réseaux et systèmes d'information participant à la fourniture du service essentiel, et risquent donc d'impacter, de manière indirecte, les prestataires de ces opérateurs, par exemple en cas d'externalisation de services informatiques, ou leurs sous-traitants dès lors qu'ils participeraient à la fourniture de ces services essentiels.
Votre rapporteur constate toutefois qu'en vertu des principes de la responsabilité pénale, qui prévoient que « nul n'est responsable pénalement que de son propre fait » 24 ( * ) , les opérateurs économiques essentiels ne devraient pouvoir être tenus pénalement responsables des manquements de leurs prestataires ou de leurs sous-traitants , dès lors qu'ils auraient, dans le cadre de leurs relations contractuelles, pris toutes les dispositions nécessaires afin de faire appliquer les mesures de sécurité auxquels ils sont soumis.
Il ne lui est toutefois pas apparu opportun d'introduire, en la matière, une obligation particulière de vigilance pour les opérateurs économiques essentiels à l'égard de leurs prestataires ou de leurs sous-traitants ni d'étendre, en conséquence, le champ de leur responsabilité.
Votre rapporteur n'a pas non plus estimé souhaitable de prévoir, en l'état, un régime spécifique de responsabilité pour les sous-traitants et les prestataires. Outre le fait que cela conduirait le législateur à aller bien au-delà des dispositions de la directive, il relève que l'application des peines d'amende prévues par le projet de loi à des entreprises de dimension réduite qui, de surcroît, ne sont pas directement visées par la directive, pourrait se révéler disproportionnée.
Votre commission a adopté l'article 9 ainsi modifié .
* 14 Le considérant n° 20 de la directive impose aux Etats membres de désigner les services essentiels « au moins pour chaque sous-secteur visé ». Aussi la directive n'interdit-elle pas aux Etats membres d'aller au-delà en identifiant des services essentiels dans d'autres secteurs ou sous-secteurs économiques.
* 15 L'article 7 du projet de loi utilise la notion de rupture de continuité de service.
* 16 Selon les informations communiquées à votre rapporteur, 600 entreprises environ pourraient être concernées.
* 17 Décision n° 2012-240 QPC du 4 mai 2012.
* 18 Décision n° 73-80 L du 28 novembre 1973.
* 19 Décision n° 2017-750 DC du 23 mars 2017, loi relative au devoir de vigilance des sociétés mères et des entreprises donneuses d'ordre.
* 20 L'article 25 de la loi n° 2016-1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique prévoit des obligations de communication d'informations à la Haute Autorité pour la transparence de la vie publique pour les représentants d'intérêts, assorties, en cas de manquement, de sanctions. L'article prévoit qu'un décret en Conseil d'État précise les modalités de mise en oeuvre de ces obligations. Le Conseil constitutionnel, dans sa décision n° 2016-741 DC du 8 décembre 2016 a jugé cet article conforme à la Constitution.
* 21 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
* 22 Article 21 de la directive.
* 23 Article 34 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
* 24 Art. 121-1 du code pénal.