M. le président. L’amendement n° 2 rectifié, présenté par Mme M. Carrère, MM. Artano et Castelli, Mmes Costes et N. Delattre, MM. Gabouty, Gold et Guérini, Mme Jouve, M. Labbé, Mme Laborde et MM. Requier et Vall, est ainsi libellé :
Alinéa 1
Supprimer les mots :
après en avoir pris connaissance
La parole est à Mme Maryse Carrère.
Mme Maryse Carrère. Comme nous l’avons évoqué lors de la discussion générale, les risques liés aux cyberattaques sont encore largement sous-estimés, aussi bien par les utilisateurs que par l’écosystème.
Ainsi, 51 % des citoyens européens ne se sentent pas suffisamment informés sur les risques liés aux cyberattaques et deux tiers des entreprises n’ont jamais évalué les risques financiers liés à ces attaques, selon une estimation de la Commission européenne.
La directive souligne pourtant que les informations relatives aux incidents s’avèrent de plus en plus précieuses pour le grand public et pour les entreprises, en particulier les petites et moyennes entreprises.
Bien que ces incidents soient de plus en plus médiatisés, la plupart d’entre eux se règlent dans la confidentialité, avec le concours de l’ANSSI et des centres d’alerte et de réaction aux attaques informatiques déjà mis en place.
La directive vise justement à renforcer la coopération de l’ensemble de ces acteurs au sein de l’Union européenne. À cette fin, elle prévoit que les OSE notifient les incidents à l’autorité compétente « sans retard injustifié », une formule peu courante en droit français.
Le rapporteur lui a donc préféré l’expression « sans délai après en avoir pris connaissance ».
Nous considérons qu’il serait préférable de mentionner simplement que ces notifications ont lieu sans délai, ce qui serait plus conforme à l’esprit de la directive, qui vise à contraindre les opérateurs de services essentiels à adapter leurs pratiques au risque accru de cyberattaques.
Il est évident que la sanction prévue à l’alinéa 2 de l’article 9 ne vise pas les dirigeants d’opérateurs aptes à prouver que l’incident significatif en cause était difficilement détectable.
Par ailleurs, pour des raisons commerciales ou stratégiques, certains opérateurs pourraient être tentés de sous-communiquer ces incidents à l’ANSSI afin de ne pas perdre d’utilisateurs si cette attaque était rendue publique.
C’est pourquoi nous préférons la formule « sans délai », qui ne laisse place à aucune ambiguïté. La sécurité des utilisateurs et de leurs données doit primer sur toute autre chose. Une bonne coopération serait en outre favorable à l’ensemble de l’écosystème.
M. le président. Quel est l’avis de la commission ?
M. Philippe Bonnecarrère, rapporteur. J’aimerais convaincre notre collègue de retirer cet amendement, pour deux raisons.
Premièrement, la rédaction que nous avons retenue concourt à une harmonisation avec le sujet parallèle du RGPD, le règlement général sur la protection des données, auquel il a été fait référence à plusieurs reprises.
Deuxièmement, d’un point de vue pratique, les incidents en matière informatique peuvent être découverts plusieurs mois après le début de l’intrusion – certains exemples sont connus.
Il serait donc quelque peu contre-productif d’obliger une entreprise à signaler un incident qu’elle n’a pas encore découvert, la réalité étant qu’elle ne pourra dans certains cas en prendre connaissance que plusieurs mois après.
Voilà pourquoi nous avons retenu cette formulation.
M. le président. Quel est l’avis du Gouvernement ?
M. Mounir Mahjoubi, secrétaire d’État. Je m’en remets à la sagesse du Sénat.
Tous les arguments ont, me semble-t-il, été échangés. Vous avez notamment rappelé les enjeux et le parallèle avec le RGPD. Nous partageons tous l’ambition absolue que les opérateurs signalent les incidents dès qu’ils en ont connaissance.
M. le président. Madame Carrère, l’amendement n° 2 rectifié est-il maintenu ?
Mme Maryse Carrère. Non, je le retire, monsieur le président.
M. le président. L’amendement n° 2 rectifié est retiré.
Je mets aux voix l’article 7.
(L’article 7 est adopté.)
Article 8
Le Premier ministre peut soumettre les opérateurs mentionnés à l’article 5 à des contrôles destinés à vérifier le respect des obligations prévues par le présent chapitre ainsi que le niveau de sécurité des réseaux et systèmes d’information nécessaires à la fourniture de services essentiels.
Les contrôles sont effectués, sur pièce et sur place, par l’autorité nationale de sécurité des systèmes d’information mentionnée à l’article L. 2321-1 du code de la défense ou par des prestataires de service habilités à cet effet par le Premier ministre. Le coût des contrôles est à la charge des opérateurs.
Les opérateurs sont tenus de communiquer à l’autorité ou au prestataire de service chargé du contrôle prévu au premier alinéa les informations et éléments nécessaires pour réaliser le contrôle, y compris les documents relatifs à leur politique de sécurité et, le cas échéant, les résultats d’audit de sécurité et leur permettre d’accéder aux réseaux et systèmes d’information faisant l’objet du contrôle afin d’effectuer des analyses et des relevés d’informations techniques.
En cas de manquement constaté à l’occasion d’un contrôle, l’autorité mentionnée au deuxième alinéa peut mettre en demeure les dirigeants de l’opérateur concerné de se conformer, dans un délai qu’elle fixe, aux obligations qui incombent à l’opérateur en vertu du présent titre. Le délai est déterminé en tenant compte des conditions de fonctionnement de l’opérateur et des mesures à mettre en œuvre.
M. le président. L’amendement n° 13 rectifié, présenté par Mme M. Carrère, MM. Artano et Castelli, Mmes Costes et N. Delattre, MM. Gabouty, Gold et Guérini, Mme Jouve, M. Labbé, Mme Laborde et MM. Requier et Vall, est ainsi libellé :
Alinéa 1
Remplacer les mots :
peut soumettre
par le mot :
soumet
La parole est à M. Jean-Claude Requier.
M. Jean-Claude Requier. Les deux premiers alinéas de l’article 14 de la directive contraignent les États membres à veiller à ce que les OSE, les opérateurs de services essentiels, prennent effectivement les mesures techniques et organisationnelles nécessaires pour la gestion des risques « cyber » et pour prévenir les incidents.
Il ne s’agit pas d’une faculté pour les États membres, mais bien d’une obligation, qui, pour être effective, nécessiterait la mise en place d’un contrôle systématique des OSE, ce que ne prévoit pas la rédaction actuelle.
L’amendement vise donc à adapter le texte aux exigences fixées par la directive. Sans contrôle, le respect des nouvelles exigences de cybersécurité est voué à rester théorique.
Nous avons conscience que la systématisation de tels contrôles et l’application effective de ces nouvelles exigences de sécurité pourraient constituer une importante charge financière supplémentaire pour les opérateurs concernés, qui ne sont pas encore en conformité au regard de ces règles.
C’est le cas notamment des établissements publics, tels que les hôpitaux, qui sont des cibles privilégiées des cyberpirates, comme l’a démontré récemment le piratage du NHS au Royaume-Uni. Sans parler des graves dysfonctionnements et des pertes humaines qu’une telle attaque pourrait occasionner, les hôpitaux accumulent également de nombreuses données personnelles qui pourraient être exploitées à des fins de rançon.
C’est pourquoi nous aurions souhaité, dans le même temps, prévoir que la mise en œuvre du renforcement de la sécurité des systèmes d’information et des réseaux des établissements publics concernés soit prise en charge par l’État, de même que les contrôles conduits a posteriori. Nos amendements ont malheureusement été déclarés irrecevables financièrement.
Il s’agit toutefois d’une question dont le Gouvernement devra rapidement se préoccuper, de même que de l’articulation de ce dispositif avec la protection des données personnelles, particulièrement exposées aux cyberattaques.
Il est d’ailleurs regrettable que les dispositions mentionnées au 4° de l’article 15 de la directive ne figurent pas dans le texte de transposition : elles prévoyaient d’associer la CNIL au traitement d’attaques touchant des données personnelles.
M. le président. Quel est l’avis de la commission ?
M. Philippe Bonnecarrère, rapporteur. L’avis est défavorable.
La présentation de Jean-Claude Requier est extrêmement habile puisque notre collègue a soutenu à la fois l’amendement n° 13 rectifié et les amendements qui ont été déclarés irrecevables. (Sourires.)
L’idée défendue par Mme Carrère et M. Requier est digne d’estime, puisqu’il s’agit d’aller plus loin dans les modalités de contrôle. Elle présente toutefois deux inconvénients à nos yeux.
Premièrement, si la directive envisage effectivement les modalités de contrôle, elle ne prévoit pas forcément de contrôler chaque opérateur économique essentiel. Cela reste une faculté pour l’ANSSI et il nous semble plus raisonnable d’en rester là.
Deuxièmement – c’est l’élément fondamental –, au-delà du coût économique auquel vous avez fait référence pour les entreprises, nous craignons que votre rédaction n’épuise l’ANSSI en l’obligeant à se lancer dans des opérations de contrôle massif dont elle n’aura pas les moyens.
M. le président Philippe Bas a écouté, comme nous tous, la présentation des dispositions budgétaires concernant l’ANSSI : sauf erreur de ma part, 25 postes ont été accordés à l’Agence sur les 50 demandés, en dépit de la multiplication de ses missions.
C’est donc plus l’aspect matériel que juridique qui nous conduit à ne pas vous suivre, monsieur Requier.
M. le président. Quel est l’avis du Gouvernement ?
M. Mounir Mahjoubi, secrétaire d’État. Le Gouvernement est également défavorable à cet amendement.
Je pourrais reprendre les arguments exposés par le rapporteur. Il m’apparaît aussi très important que le Premier ministre et l’ANSSI, qui sont en charge de cette mission, puissent porter un plan stratégique étalé sur l’année et adapté aux différents types d’acteurs et aux risques qui existent en France.
Matériellement, il serait impossible d’envisager un contrôle automatique, mais, y compris d’un point de vue stratégique, il est important de mobiliser nos moyens et nos intelligences sur les secteurs et les éléments essentiels.
M. le président. Monsieur Requier, l’amendement n° 13 rectifié est-il maintenu ?
M. Jean-Claude Requier. Non, monsieur le président. J’ai été séduit par les argumentations du rapporteur et du secrétaire d’État. Cet amendement d’appel visait au demeurant à poser le problème, et non à le résoudre ce soir : je le retire.
M. le président. L’amendement n° 13 rectifié est retiré.
L’amendement n° 7 rectifié, présenté par Mme M. Carrère, MM. Artano et Castelli, Mmes Costes et N. Delattre, MM. Gabouty, Gold et Guérini, Mme Jouve, M. Labbé, Mme Laborde et MM. Requier et Vall, est ainsi libellé :
Alinéa 4, première phrase
Remplacer les mots :
peut mettre
par le mot :
met
M. Jean-Claude Requier. Je retire également cet amendement, monsieur le président !
M. le président. L’amendement n° 7 rectifié est retiré.
Je mets aux voix l’article 8.
(L’article 8 est adopté.)
Article 9
Est puni d’une amende de 100 000 € le fait, pour les dirigeants des opérateurs mentionnés à l’article 5, de ne pas se conformer aux règles de sécurité mentionnées à l’article 6, à l’issue du délai fixé par la mise en demeure qui leur a été adressée en application de l’article 8.
Est puni d’une amende de 75 000 € le fait, pour les mêmes personnes, de ne pas satisfaire à l’obligation de déclaration d’incident prévue au I de l’article 7.
Est puni d’une amende de 125 000 € le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle mentionnées à l’article 8. – (Adopté.)
Chapitre III
Dispositions relatives à la sécurité des réseaux et systèmes d’information des fournisseurs de service numérique
Article 10
Pour l’application du présent chapitre, on entend :
1° Par service numérique tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d’un destinataire de services ;
2° Par fournisseur de service numérique toute personne morale qui fournit l’un des services suivants :
a) Place de marché en ligne à savoir un service numérique qui permet à des consommateurs ou à des professionnels au sens du dernier alinéa de l’article liminaire du code de la consommation de conclure des contrats de vente ou de service en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d’un professionnel qui utilise les services informatiques fournis par la place de marché en ligne ;
b) Moteurs de recherche en ligne à savoir un service numérique qui permet aux utilisateurs d’effectuer des recherches sur, en principe, tous les sites internet ou sur les sites internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot clé, d’une phrase ou d’une autre entrée, et qui renvoie des liens à partir desquels il est possible de trouver des informations en rapport avec le contenu demandé ;
c) Service d’informatique en nuage à savoir un service numérique qui permet l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées. – (Adopté.)
Article 11
I. – Tout fournisseur de service numérique au sens de l’article 10 qui offre ses services sur le territoire national et qui n’a désigné aucun représentant dans un autre État membre de l’Union européenne procède à la désignation d’un représentant établi sur le territoire national auprès de l’autorité nationale de sécurité des systèmes d’information prévue par l’article L. 2321-1 du code de la défense aux fins d’application des dispositions du présent chapitre. Cette désignation ne fait pas obstacle aux actions qui pourraient être introduites, en application de l’article 15, à l’encontre des dirigeants du fournisseur concerné.
II. – Sont soumis aux dispositions du présent chapitre les fournisseurs de service numérique qui offrent leurs services dans l’Union européenne :
1° Lorsque leur siège social ou leur établissement principal est établi sur le territoire national ;
2° Ou qui ont, en application du I, désigné un représentant sur le territoire national.
III. – Les dispositions du présent chapitre ne sont pas applicables aux entreprises qui emploient moins de cinquante salariés et dont le chiffre d’affaires annuel n’excède pas 10 millions d’euros.
M. le président. La parole est à M. le secrétaire d’État.
M. Mounir Mahjoubi, secrétaire d’État. L’article 11 vise à transposer l’article 18 de la directive, qui prévoit que les fournisseurs de service numérique établis hors de l’Union devront désigner un représentant dans l’un des États membres et se conformer aux dispositions prises par ce dernier pour la transposition de la directive.
Il pouvait toutefois exister un « trou dans la raquette » si aucun représentant n’était nommé, en dépit de cette obligation d’en désigner un sur le territoire de l’Union.
Nous pensons que la rédaction proposée permet de répondre à cette préoccupation.
Néanmoins, l’idéal serait de définir un mécanisme unifié au niveau européen qui permettrait d’éviter que deux États n’imposent simultanément cette obligation au même fournisseur.
La formulation actuelle de l’article 11 le permet, c’est assurément celle qui assure la plus grande efficience et je vous remercie de l’avoir proposée.
Gardons toutefois ma remarque à l’esprit. Nous avons également contacté la Commission pour leur signaler ce point qui pourrait être utile à d’autres gouvernements et d’autres parlements européens.
M. le président. Je mets aux voix l’article 11.
(L’article 11 est adopté.)
Article 12
Les fournisseurs de service numérique mentionnés à l’article 11 garantissent, compte tenu de l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d’information nécessaire à la fourniture de leurs services dans l’Union européenne adapté aux risques existants.
À cet effet, ils sont tenus d’identifier les risques qui menacent la sécurité de ces réseaux et systèmes d’information et de prendre des mesures techniques et organisationnelles nécessaires et proportionnées pour gérer ces risques, pour éviter les incidents de nature à porter atteinte à ces réseaux et systèmes d’information ainsi que pour en réduire au minimum l’impact, de manière à garantir la continuité de leurs services. Ces mesures interviennent dans chacun des domaines suivants :
1° La sécurité des systèmes et des installations ;
2° La gestion des incidents ;
3° La gestion de la continuité des activités ;
4° Le suivi, l’audit et le contrôle ;
5° Le respect des normes internationales. – (Adopté.)
Article 13
I. – Les fournisseurs de service numérique mentionnés à l’article 11 déclarent, sans délai après en avoir pris connaissance, à l’autorité nationale de sécurité des systèmes d’information mentionnée à l’article L. 2321-1 du code de la défense, les incidents affectant les réseaux et systèmes d’information nécessaires à la fourniture de leurs services dans l’Union européenne, lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services, compte tenu notamment du nombre d’utilisateurs touchés par l’incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service et de l’ampleur de son impact sur le fonctionnement de la société ou de l’économie.
II. – Après avoir consulté le fournisseur de service numérique concerné, l’autorité administrative peut informer le public d’un incident mentionné au I ou imposer au fournisseur de le faire, lorsque cette information est nécessaire pour prévenir ou traiter un incident ou est justifiée par un motif d’intérêt général. Lorsqu’un incident a des conséquences significatives sur les services fournis à d’autres États membres de l’Union européenne, l’autorité administrative en informe les autorités ou organismes compétents de ces États, qui peuvent rendre public l’incident.
M. le président. L’amendement n° 9 rectifié, présenté par Mme M. Carrère, MM. Artano et Castelli, Mmes Costes et N. Delattre, MM. Gabouty, Gold et Guérini, Mme Jouve, M. Labbé, Mme Laborde et MM. Requier et Vall, est ainsi libellé :
Alinéa 1
Supprimer les mots :
après en avoir pris connaissance
La parole est à Mme Maryse Carrère.
Mme Maryse Carrère. Compte tenu du sort qui a été réservé à l’amendement n° 2 rectifié, je retire le présent amendement, qui visait à appliquer les mêmes dispositions aux fournisseurs de service numérique.
M. le président. L’amendement n° 9 rectifié est retiré.
Je mets aux voix l’article 13.
(L’article 13 est adopté.)
Article 14
Lorsque le Premier ministre est informé qu’un fournisseur de service numérique mentionné à l’article 11 ne satisfait pas à l’une des obligations prévues aux articles 12 ou 13, il peut le soumettre à des contrôles destinés à vérifier le respect des obligations prévues par le présent chapitre ainsi que le niveau de sécurité des réseaux et systèmes d’information indispensable à la fourniture de ces services. Il en informe si nécessaire les autorités compétentes des autres États membres dans lesquels sont situés des réseaux et systèmes d’information de ce fournisseur et coopère avec elles.
Les contrôles sont effectués, sur pièce et sur place, par l’autorité nationale de sécurité des systèmes d’information mentionnée à l’article L. 2321-1 du code de la défense ou par des prestataires de service habilités à cet effet par le Premier ministre. Le coût des contrôles est à la charge des fournisseurs de service numérique.
Les fournisseurs de service numérique sont tenus de communiquer à l’autorité ou au prestataire de service chargé du contrôle prévu au premier alinéa du présent article les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes d’information, y compris les documents relatifs à leurs politiques de sécurité et, le cas échéant, leur permettre d’accéder aux réseaux et systèmes d’information faisant l’objet du contrôle afin d’effectuer des analyses et des relevés d’informations techniques.
En cas de manquement constaté à l’occasion d’un contrôle, l’autorité mentionnée au deuxième alinéa peut mettre en demeure les dirigeants du fournisseur concerné de se conformer, dans un délai qu’elle fixe, aux obligations qui incombent au fournisseur en vertu du présent titre. Le délai est déterminé en tenant compte des conditions de fonctionnement du fournisseur et des mesures à mettre en œuvre. – (Adopté.)
Article 15
Est puni d’une amende de 75 000 € le fait, pour les dirigeants des fournisseurs de service numérique mentionnés à l’article 11, de ne pas se conformer aux mesures de sécurité mentionnées à l’article 12, à l’issue du délai fixé par la mise en demeure qui leur a été adressée en application de l’article 14.
Est puni d’une amende de 50 000 € le fait, pour les mêmes personnes, de ne pas satisfaire aux obligations de déclaration d’incident ou d’information du public prévues à l’article 13.
Est puni d’une amende de 100 000 € le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle mentionnées à l’article 14. – (Adopté.)
TITRE II
DISPOSITIONS RELATIVES AU CONTRÔLE DE L’ACQUISITION ET DE LA DÉTENTION D’ARMES
Article 16
Le chapitre Ier du titre Ier du livre III du code de la sécurité intérieure est ainsi modifié :
1° L’article L. 311-2 est ainsi modifié :
a) Au 4°, les mots : « soumises à enregistrement et armes » sont supprimés ;
b) À la fin de la seconde phrase du neuvième alinéa, les mots : « ou des enregistrements » sont supprimés ;
2° L’article L. 311-4 est complété par les mots : « , sauf certaines armes présentant une dangerosité avérée et dont la liste est fixée par décret en Conseil d’État ».
M. le président. La parole est à Mme la ministre.
Mme Jacqueline Gourault, ministre. Le classement des armes ne relève pas de la loi, mais du règlement, comme le rappelle l’avis du Conseil d’État.
Vous avez souhaité un classement législatif des armes historiques et de leur reproduction. Nous émettons une première réserve sur ce point.
La deuxième réserve tient au fait que la directive que nous transposons érige en principe le classement dans une catégorie contrôlée par l’État des reproductions d’armes historiques.
Vous inversez la logique de la directive en posant comme principe l’absence de contrôle de l’État et en renvoyant au décret le soin de préciser d’éventuelles dérogations.
Troisièmement, vous parlez de « dangerosité avérée ». On ne sait pas très bien quel est le sens de cette expression et nous avons quelques doutes sur sa compatibilité avec la directive.
Je souhaiterais que ces différents points soient revus dans la suite du processus législatif.
En conclusion, je rappelle à ceux qui auraient des doutes que les armes historiques restent libres de détention et que les reproductions d’armes anciennes ne seront intégrées dans un régime de contrôle qu’à la condition d’être manifestement plus performantes que les modèles originaux.
M. le président. Je mets aux voix l’article 16.
(L’article 16 est adopté.)
Article 17
Le chapitre II du titre Ier du livre III du code de la sécurité intérieure est ainsi modifié :
1° L’article L. 312-2 est ainsi modifié :
a) Après le mot : « scientifique », la fin de la deuxième phrase est ainsi rédigée : « ainsi que, pour des activités professionnelles ou sportives, des personnes peuvent être autorisés à acquérir et à détenir des matériels de guerre, armes et éléments d’armes de catégorie A. » ;
b) La troisième phrase est ainsi rédigée : « Il fixe également les conditions dans lesquelles des personnes peuvent acquérir, à des fins de collection, des matériels de guerre. » ;
c) Est ajoutée une phrase ainsi rédigée : « Ces dérogations sont accordées sous réserve des engagements internationaux en vigueur et des exigences de l’ordre et de la sécurité publics. » ;
2° L’article L. 312-3 est ainsi modifié :
a) Au premier alinéa, les mots : « B et C et d’armes de catégorie D soumises à enregistrement » sont remplacés par les mots : « A, B et C » ;
b) Le quarante-deuxième alinéa du 1° est remplacé par deux alinéas ainsi rédigés :
« – acquisition, cession ou détention sans déclaration d’armes ou de matériels de catégorie C ou de leurs munitions prévues à l’article L. 317-4-1 du présent code ;
« – détention d’un dépôt d’armes ou de munitions de catégorie C ou de certaines armes de catégorie D prévue à l’article L. 317-7 du présent code ; »
c) Au quarante-cinquième alinéa du 1°, les mots : « soumises à enregistrement » sont supprimés ;
3° À l’article L. 312-3-1, les mots : « B et C et des armes de catégorie D soumises à enregistrement » sont remplacés par les mots : « A, B et C » ;
4° À la première phrase du premier alinéa et aux deuxième et troisième alinéas de l’article L. 312-4, avant la lettre : « B », sont insérés les mots : « A ou » ;
5° L’article L. 312-4-2 est abrogé ;
6° Aux 1° et 2° de l’article L. 312-4-3, avant la lettre : « B », sont insérés les mots : « A ou » ;
7° Au premier alinéa de l’article L. 312-5, les mots : « et B ainsi que des armes de catégorie D figurant sur une liste établie par un décret en Conseil d’État » sont remplacés par les mots : « , B et C » ;
8° L’article L. 312-11 est ainsi modifié :
a) Au premier alinéa, les mots : « des catégories B, C et D » sont remplacés par les mots : « de toute catégorie » ;
b) Au deuxième alinéa, les mots : « soit à la neutraliser, » sont supprimés ;
9° À la fin du premier alinéa de l’article L. 312-13, les mots : « des catégories B, C et D » sont remplacés par les mots : « de toute catégorie » ;
10° Aux 2° et 3° de l’article L. 312-16, les mots : « B et C et des armes de catégorie D soumises à enregistrement » sont remplacés par les mots : « A, B et C » ;
11° (nouveau) Aux premier et second alinéas de l’article L. 314-2, après le mot : « catégorie », sont insérés les mots : « A ou ». – (Adopté.)
Article 18
Le chapitre III du titre Ier du livre III du code de la sécurité intérieure est ainsi modifié :
1° L’article L. 313-2 est ainsi rédigé :
« Art. L. 313-2. – Nul ne peut, s’il n’est titulaire d’un agrément relatif à son honorabilité professionnelle et privée et à ses compétences professionnelles délivré par l’autorité administrative, exercer l’activité qui consiste, à titre principal ou accessoire, soit en la fabrication, le commerce, l’échange, la location, la location-vente, le prêt, la modification, la réparation ou la transformation, soit en la négociation ou l’organisation d’opérations en vue de l’achat, de la vente, de la fourniture ou du transfert d’armes à feu, de munitions ou de leurs éléments essentiels. » ;
2° Le dernier alinéa de l’article L. 313-3 est supprimé ;
3° L’article L. 313-5 est ainsi rédigé :
« Art. L. 313-5. – Les matériels, armes, munitions ou leurs éléments essentiels des catégories A, B et C ainsi que des armes et munitions de catégorie D énumérées par décret en Conseil d’État acquis, par dérogation au premier alinéa de l’article L. 313-4, entre particuliers, directement ou à distance, ne peuvent être livrés que dans les locaux mentionnés aux premier et dernier alinéas de l’article L. 313-3, aux fins de vérification de l’identité de l’acquéreur, des pièces mentionnées à l’article L. 312-4-1 ou, le cas échéant, de l’autorisation d’acquisition et de détention de l’acquéreur mentionnée à l’article L. 312-4.
« La transaction est réputée parfaite à compter de la remise effective à l’acquéreur.
« Si la transaction a été faite dans le cadre des activités mentionnées à l’article L. 313-2, ces matériels, armes, munitions ou éléments essentiels acquis, par dérogation au premier alinéa de l’article L. 313-4, par correspondance ou à distance, peuvent être livrés directement à l’acquéreur. » ;
4° Sont ajoutés des articles L. 313-6 et L. 313-7 ainsi rédigés :
« Art. L. 313-6. – Les personnes physiques ou morales autorisées à exercer les activités mentionnées à l’article L. 313-2 peuvent refuser de conclure toute transaction visant à acquérir des armes, des munitions ou leurs éléments dont il est raisonnable de considérer qu’elle présente un caractère suspect, en raison notamment de son échelle ou de sa nature.
« Toute tentative de transaction suspecte fait l’objet d’un signalement auprès d’un service désigné par le ministre de l’intérieur.
« Art. L. 313-7. – Un décret en Conseil d’État précise les modalités d’application du présent chapitre. »