M. le président. La parole est à M. Pierre Louault. (Applaudissements sur les travées du groupe UC.)
M. Pierre Louault. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, je suis heureux de soutenir cette proposition de loi portée par notre collègue Laurent Lafon et rapportée par Anne-Catherine Loisier. Nous sommes également satisfaits de votre soutien, monsieur le secrétaire d’État.
À partir du moment où nous faisons face aux attaques par rançongiciel, à l’hameçonnage, à la cybercriminalité et même à l’espionnage de la part d’un certain nombre d’États, il est important de commencer à agir.
J’entends bien que cette proposition de loi est incomplète et imparfaite, mais elle a le mérite de commencer à cadrer un certain nombre de sujets et de permettre au consommateur d’avoir des repères sur la fiabilité des plateformes et des logiciels qu’elles utilisent.
Les conséquences des attaques concernent une multitude d’enjeux. La portée financière dépasse de loin celle des postes informatiques à remplacer ou des systèmes à repenser intégralement, qui coûteront toujours moins cher que ces cyberattaques.
En sus de ces enjeux économiques, chacun, dans son quotidien, confie plus ou moins volontairement aux plateformes numériques qui les gèrent de plus en plus de données personnelles et intimes qui seront stockées, utilisées, traitées et même vendues. La sécurité de ces données est essentielle ; il est de notre rôle de l’assurer.
Malheureusement, la prise de conscience de l’importance de cette sécurité est loin d’être généralisée chez nos concitoyens. Finalement, les mesures à prendre en matière de cybersécurité recouvrent le même champ que celles qui sont préconisées actuellement en matière de sécurité sanitaire : mise en œuvre de barrières, de restrictions, ou encore nettoyage systématique… Dans certains cas, la sécurité numérique peut être aussi importante, sinon davantage, que la sécurité sanitaire.
Or les usages se développent toujours plus. La période de confinement que nous venons de traverser et le développement du télétravail interrogent sur cette conscience et sur la protection que nous proposons aux usagers. Ce fut réellement l’occasion d’une prise de conscience sur la fiabilité de ces différents logiciels.
À ce stade, aucune disposition ne garantit l’information du consommateur quant à la sécurité informatique de la solution numérique utilisée. C’est l’objet principal de cette proposition de loi, portée par notre collègue Laurent Lafon. Afin que les consommateurs prennent davantage en compte les impératifs liés à la cybersécurité, le texte oblige les plateformes numériques à fournir aux consommateurs un diagnostic de cybersécurité, pour mieux les informer sur la sécurisation de leurs données.
La mise en place de cette forme de Nutriscore numérique, également appelée Cyberscore, doit impérativement être simple, avec une information immédiate. En effet, un dispositif trop compliqué à comprendre ou à lire ne pourrait qu’être inefficace.
Naturellement, ce Cyberscore doit proposer des garanties aux consommateurs en termes de conception – l’Agence nationale de la sécurité des systèmes d’information, l’Anssi, y trouvera tout son rôle – et de contrôle – la direction générale de la concurrence, de la consommation et de la répression des fraudes, la DGCCRF, doit obtenir des moyens pour assumer cette mission. À cet égard, je soutiens les propositions qu’a formulées Laurent Lafon en ouverture de la discussion générale.
Il semble également nécessaire d’aborder cette thématique avec un regard européen. Pour affronter ces nouvelles menaces, l’Agence européenne chargée de la sécurité des réseaux et de l’information, l’Enisa, recommande aux États membres d’adopter de véritables politiques en matière de cybersécurité, en collaboration étroite avec des experts. Au-delà des législations nationales, l’Union européenne doit également agir en construisant une nouvelle stratégie de cybersécurité d’ici à la fin de l’année 2020.
Monsieur le secrétaire d’État, pourriez-vous nous éclairer sur ces engagements, sans botter en touche et toujours attendre que les autres fassent le travail, qui devrait d’ailleurs être mieux fait ?
En ce qui concerne cette proposition de loi, je suis heureux de souligner que ce travail est bien fait. Il doit être mis en application rapidement, car il y a véritablement urgence. Nous soutiendrons ce texte.
Je tiens à féliciter non seulement son auteur, Laurent Lafon, mais aussi Mme la rapporteure, Anne-Catherine Loisier, et Mme la présidente de la commission des affaires économiques, Sophie Primas, qui ont travaillé sur ce dossier et apporté trois amendements dont l’adoption améliorera encore cette proposition de loi déjà parfaitement bien construite. (Applaudissements sur les travées du groupe UC, ainsi que sur des travées du groupe Les Républicains. – MM. Bernard Buis et Jean-Claude Requier applaudissent également.)
M. le président. La parole est à M. Patrick Chaize.
M. Patrick Chaize. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, le numérique est décidément à l’honneur au Sénat : le 19 février dernier, nous adoptions à l’unanimité la proposition de loi de notre présidente Sophie Primas visant à garantir le libre choix du consommateur dans le cyberespace – la liberté de choix des utilisateurs d’équipements terminaux et l’interopérabilité des services de communication au public en ligne étaient alors des points cardinaux de ce texte.
Le 24 juin dernier, la commission de l’aménagement du territoire et du développement durable adoptait le rapport d’information de Guillaume Chevrollier et de Jean-Michel Houllegatte sur l’empreinte environnementale du numérique, après les six mois de travaux de la mission d’information que j’ai eu l’honneur de présider.
Le Sénat n’a pas attendu la crise sanitaire pour se pencher sur les nouveaux enjeux du numérique. Force est de reconnaître que nous avons été bien inspirés. Disons-le simplement : les données, qui seront la matière première stratégique du XXIe siècle, ne sont pas encore traitées avec la rigueur qu’il conviendrait de leur réserver.
Les données informatiques ne doivent pas être confondues avec de l’information. Qu’il s’agisse de la gestion de volumes exponentiels, de la protection contre des utilisateurs malveillants ou encore du risque de manipulation, nous n’avons pas encore déterminé de politique publique idoine.
Faut-il légiférer ? Que peut-on espérer du cadre communautaire actuel ? Doit-on attendre le futur Cybersecurity Act, qui doit permettre, à terme, de définir un cadre de certification européen ? Toutes les questions que pose le développement exponentiel des usages ne trouveront pas de réponse aujourd’hui.
Pourtant, cette proposition de loi s’attaque et, je le crois, répond à un chantier essentiel, celui de l’information du public sur la sécurité de l’information qu’il transmet aux plateformes numériques.
Je citerai deux chiffres pour nous convaincre de l’importance du sujet : depuis le début de l’épidémie du coronavirus, le nombre d’utilisateurs du logiciel de la société américaine Zoom a augmenté de 2 900 %, atteignant 300 millions par jour ; entre le 14 et le 21 mars 2020, les téléchargements d’applications de visioconférence ont augmenté de 90 %, soit pas moins de 62 millions de téléchargements.
Aussi, comme le souligne le rapport de notre collègue Anne-Catherine Loisier, que je salue pour la pertinence de ses travaux, si les consommateurs sont protégés, en tant que personnes physiques, par le règlement général de protection des données adopté à l’échelon européen en 2016, ce dernier n’impose cependant pas d’informer sur la cybersécurité des solutions proposées par un prestataire de solutions numériques. Autrement dit, si le droit européen de la cybersécurité prévoit, à terme, des certifications harmonisées de cybersécurité, une telle certification reste, à ce jour, une démarche volontaire de l’entreprise concernée.
L’article 1er de cette proposition de loi, qui oblige les plateformes numériques à fournir aux consommateurs un diagnostic de cybersécurité, afin de mieux les informer sur la sécurisation de leurs données, répond donc à cette lacune.
Toujours en ce qui concerne l’article 1er, je trouve bienvenu l’amendement de Mme la rapporteure adopté en commission. Je souscris au fait qu’il faille élargir le champ d’application du dispositif à tout fournisseur de services de communication au public en ligne. Je souscris également à la proposition de substituer un arrêté au décret définissant les indicateurs. Enfin, je trouve cohérent de permettre la désignation des organismes habilités par l’Agence nationale de la sécurité des systèmes d’information.
Le recours trop systématique aux décrets d’application était l’un des griefs que l’on pouvait adresser à cette proposition de loi, y compris pour le cœur du dispositif. S’il arrive que le pouvoir législatif déborde maladroitement sur le pouvoir réglementaire, nous n’étions pas loin, en l’espèce, de l’incompétence négative. Désormais, seuls les indicateurs et la durée de validité devraient être fixés par arrêté.
La rédaction actuelle de l’article 1er me semble donc cohérente, même si j’ai cru comprendre qu’elle pouvait encore évoluer d’ici à la fin de notre examen, notamment pour renforcer la cybersécurité des entreprises utilisatrices.
Il est loisible d’émettre des réserves sur les moyens d’atteindre l’objectif fixé à l’article 2, conservé à l’issue de nos travaux en commission. Comme le rappelle notre rapporteure, une loi de portée générale est affaiblie si elle inclut des objectifs particuliers. Les impératifs de cybersécurité ne concernant pas tous les marchés publics, cet ajout n’est peut-être pas indispensable.
Mes chers collègues, vous l’aurez compris, dans sa rédaction actuelle, et compte tenu des évolutions possibles que peut connaître ce texte en séance, notre groupe votera pour cette proposition de loi. (Applaudissements sur les travées des groupes Les Républicains et UC. – M. Jean-Michel Houllegatte applaudit également.)
M. le président. La discussion générale est close.
Nous passons à la discussion du texte de la commission.
proposition de loi pour la mise en place d’une certification de cybersécurité des plateformes numériques destinée au grand public
Article 1er
Le code de la consommation est ainsi modifié :
1° Après l’article L. 111-7-2 du code de la consommation, il est inséré un article L. 111-7-3 ainsi rédigé :
« Art. L. 111-7-3. – Les fournisseurs de services de communication au public en ligne informent les consommateurs quant à la sécurisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers.
« À cette fin, ils fournissent un diagnostic de cybersécurité dont les indicateurs et la durée de validité sont fixés par arrêté et effectué par des organismes habilités par l’autorité administrative compétente. Les indicateurs sont réévalués à échéance régulière.
« Le diagnostic est présenté au consommateur de façon lisible, claire et compréhensible et peut être accompagné d’une présentation ou d’une expression complémentaire au moyen de graphiques ou de symboles.
« Le présent article ne s’applique qu’aux fournisseurs de services de communication au public en ligne dont l’activité en France dépasse un ou plusieurs seuils définis par décret » ;
2° Au premier alinéa de l’article L. 131-4, les mots : « à l’article L. 111-7 et à l’article L. 111-7-2 » sont remplacés par les mots : « aux articles L. 111-7, L. 111-7-2 et L. 111-7-3 ».
M. le président. La parole est à M. Franck Montaugé, sur l’article.
M. Franck Montaugé. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, pour évoquer l’action de fond que mène de longue date la Haute Assemblée sur la question de la numérisation de la société, je voudrais saluer le travail qu’avait en son temps conduit notre collègue Catherine Morin-Desailly.
Ce travail a été poursuivi dans le cadre d’une commission d’enquête sur la souveraineté numérique que j’ai eu l’honneur de présider, laquelle s’est notamment appuyée sur le rapport de Gérard Longuet, dont je veux également saluer la contribution.
Notre commission d’enquête a défini les orientations que nous considérons nécessaires pour la reconquête, ou même la simple conquête, de notre souveraineté numérique. La proposition de loi visant à garantir le libre choix du consommateur dans le cyberespace, présentée par notre présidente Sophie Primas, allait dans le sens de certaines des recommandations de la commission d’enquête.
Or vous avez rejeté ce texte, monsieur le secrétaire d’État. Nous avions pourtant travaillé sur le fond avec l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep), avec l’Autorité de la concurrence et avec le Conseil d’État. Je crois que la qualité juridique de ce texte était incontestable.
À bien des égards, cette proposition de loi lançait un défi à l’Union européenne. Or vous êtes resté sur une position de refus, que nous avons tous regretté, ce texte ayant été adopté ici à l’unanimité.
Ce matin, la commission mixte paritaire relative au projet de loi portant diverses dispositions d’adaptation au droit de l’Union européenne en matière économique et financière a achoppé sur ceux des points qui reprenaient les dispositions de la proposition de loi sur le libre choix du consommateur dans le cyberespace. Encore une fois, le Gouvernement refuse de prendre en compte cette dimension pourtant essentielle ! Pouvez-vous nous dire pourquoi, monsieur le secrétaire d’État ?
Je ne comprends pas les raisons pour lesquelles le Gouvernement ignore les travaux du Sénat sur ce sujet fondamental pour l’avenir de notre société et de notre nation.
M. le président. La parole est à M. le secrétaire d’État.
M. Cédric O, secrétaire d’État. Mesdames, messieurs les sénateurs, vous êtes nombreux à m’interpeller sur la proposition de loi de la présidente Primas. Je vais donc répéter ce que je vous ai déjà dit à de multiples reprises.
Sur le fond, en ce qui concerne la lutte contre un certain nombre de plateformes structurantes, nous avons une convergence de vues.
Toutefois, une directive européenne qui concerne précisément ces sujets est sur le métier. Lors de l’examen de la proposition de loi Avia, le président Retailleau et d’autres sénateurs nous ont reproché de vouloir légiférer sur un élément dont il serait question dans le Digital Services Act qui sera présenté en décembre prochain.
En effet, pourquoi légiférer alors même que l’Europe va prendre position ? Or ce qui était valable en novembre 2019 sur la proposition de loi Avia l’est, a fortiori, sur cette question dont traitera également le DSA dans un mois et demi.
J’ai déjà eu l’occasion d’en débattre avec Sophie Primas : nous ne faisons rien d’autre que ce que vous nous avez demandé de faire lors de l’examen de la proposition de loi Avia.
Mme Sophie Primas, présidente de la commission des affaires économiques. Pas du tout !
M. Cédric O, secrétaire d’État. Si jamais l’ambition européenne n’est pas au rendez-vous en décembre prochain, nous en reparlerons.
Par ailleurs, si, à certains moments, nous pouvons nous mettre d’accord et progresser ensemble, comme le montre la proposition de loi que nous examinons aujourd’hui et comme nous l’avons vu sur d’autres textes, repousser l’application d’un texte à 2023 ou 2024 ne me semble pas, par respect pour la loi, la meilleure façon de procéder.
Sur ce sujet structurant, je vous confirme que nous souhaitons attendre les propositions de la Commission européenne qui semblent aller dans le bon sens. Au regard des premières publications, ces propositions paraissent extrêmement ambitieuses. Finalement, si elles n’atteignent pas le bon niveau, nous aurons l’occasion d’en reparler tous ensemble.
Mesdames, messieurs les sénateurs, je ne tiens pas un autre discours que celui que je vous ai tenu lors de l’examen de la proposition de loi de la présidente Primas.
M. le président. La parole est à Mme Catherine Morin-Desailly, sur l’article.
Mme Catherine Morin-Desailly. Je remercie Franck Montaugé, qui a présidé la commission d’enquête sur la souveraineté numérique, de ses propos.
Je souhaite non seulement remettre en perspective cette proposition de loi et son article 1er, mais aussi soutenir la question que M. Montaugé a adressée à M. le secrétaire d’État.
Nous vivons une semaine quelque peu stratégique : voilà quelques jours, le ministère de la justice américain accusait Google d’abus de position dominante – enfin, aurais-je envie de dire, sachant qu’il aura fallu sept ans à l’Europe pour faire de même !
Interrogée par un journaliste, je soulignais que le Sénat avait cinq ans d’avance sur la réflexion des politiques américains sur le cyberespace – mes chers collègues, je vous conseille de lire l’excellent rapport issu des travaux des démocrates du Congrès sur les plateformes –, ce nouveau monde dans lequel nous sommes entrés et dont dépend aujourd’hui toute notre activité.
Le Sénat engrange ainsi depuis quelques mois des propositions de loi. Je pense bien évidemment à celle de Mme Primas du 19 février dernier, mais aussi à celle de M. Assouline sur les droits voisins, que nous avons votée à l’unanimité voilà quelques jours.
Nous avons pris ces initiatives parce que nous pensons que cela ne va pas assez vite, depuis que nous avons posé le diagnostic. Il est urgent de traiter ces sujets pour protéger nos citoyens et nos entreprises. Aujourd’hui, la donnée est devenue un actif stratégique majeur. L’absence de réponse nous force à bouger pour tenter de provoquer des réactions.
Nous sommes dans notre rôle en tenant ces débats et en adoptant des propositions de loi ou ces propositions de résolution européenne dont nous vous invitons à vous emparer, monsieur le secrétaire d’État. J’ai d’ailleurs déposé aujourd’hui même une proposition de résolution européenne sur la data residency, la localisation des données européennes en Europe ; je sais, chère Anne-Catherine Loisier, que nous partageons cette préoccupation. Nous aurons l’occasion d’en débattre.
Encore une fois, monsieur le secrétaire d’État, nous sommes dans notre rôle en vous posant ces questions aujourd’hui. (Applaudissements au banc des commissions.)
M. le président. La parole est à M. Michel Canevet, sur l’article.
M. Michel Canevet. Monsieur le président, monsieur le secrétaire d’État, mes chers collègues, j’ai participé ce matin à la commission mixte paritaire qui, hélas, a échoué sur les sujets que Franck Montaugé a évoqués. Je ne puis que le déplorer, compte tenu des attentes extrêmement fortes qui s’expriment.
Pourquoi faut-il attendre ? Autant nous avons été extrêmement actifs sur la taxe dite « Gafam », jusqu’à être en avance sur le droit de l’Union européenne, pour entraîner les autres États membres, autant nous sommes en arrière du jeu sur cette question.
C’est uniquement par esprit de compromis que le rapporteur du Sénat avait proposé de reporter l’application du texte à 2023, monsieur le secrétaire d’État. Il eût effectivement mieux valu mettre tout de suite en œuvre les dispositions de la proposition de loi de Sophie Primas. Mais nous voulions ainsi laisser le temps au Gouvernement de trouver une solution négociée à l’échelon européen, qui constitue, bien évidemment, le bon niveau.
Nous devons être particulièrement proactifs, tant les difficultés sont devant nous. Il est nécessaire de légiférer. Comme l’a souligné Catherine Morin-Desailly, les États-Unis prennent de premières dispositions. L’Europe doit aussi être capable d’avancer sur le sujet.
Reporter l’examen de ce texte ne fait que retarder la mise en œuvre de dispositions absolument nécessaires pour mieux réguler ces plateformes numériques. Il est nécessaire de protéger le consommateur. Il est nécessaire d’avancer pour être moins dépendants des décisions des grands acteurs mondiaux en la matière.
Monsieur le secrétaire d’État, j’appelle le Gouvernement à une réaction vive et rapide, de façon à trouver des solutions. Le Parlement est prêt à légiférer, mais il aurait été encore plus rapide de le suivre, car son rôle est justement de guider l’action du Gouvernement.
M. le président. Je suis saisi de quatre amendements et de deux sous-amendements faisant l’objet d’une discussion commune.
L’amendement n° 4, présenté par le Gouvernement, est ainsi libellé :
I. – Alinéa 3
Rédiger ainsi cet alinéa :
« Art. L. 111-7-3. – Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7-1 affichent un diagnostic de cybersécurité portant sur la sécurisation des données qu’ils hébergent, directement ou par l’intermédiaire d’un tiers, dans les conditions prévues par le présent article. »
II. – Alinéa 4
Rédiger ainsi cet alinéa :
« Un arrêté conjoint des ministres chargés du numérique et de la consommation, pris après avis de la Commission nationale de l’informatique et des libertés, fixe les critères qui sont pris en compte par le diagnostic prévu au premier alinéa, ses conditions en matière de durée de validité, ainsi que les modalités de sa présentation. »
III. – Alinéa 5
Après le mot :
compréhensible
Supprimer la fin de cet alinéa.
IV. – Alinéa 6
Supprimer cet alinéa.
La parole est à M. le secrétaire d’État.
M. Cédric O, secrétaire d’État. Cet amendement vise à modifier la rédaction de l’article 1er, en rendant obligatoire pour les principaux opérateurs de plateformes en ligne la communication auprès de leurs utilisateurs d’un diagnostic de cybersécurité.
Le Gouvernement propose ainsi de recentrer le dispositif sur les principaux opérateurs de plateformes en ligne, mentionnés à l’article L. 111-7-1 du code de la consommation.
Concrètement, il s’agit des plateformes ayant au moins 5 millions de visiteurs uniques par mois. Ce seuil permet notamment d’appréhender les principales plateformes en ligne de notoriété mondiale, c’est-à-dire une vingtaine au maximum.
En conséquence, il n’est pas nécessaire de prévoir, à l’article 1er, qu’un décret fixe un seuil pour définir le champ d’application du dispositif, qui sera en effet celui de l’article L. 111-7-1 du code de la consommation.
Plus simplement, nous cherchons à rendre le Cyberscore obligatoire pour les plus grandes plateformes les plus utilisées, sans le généraliser à l’ensemble des entreprises, afin d’éviter un risque de surcharge pour certaines TPE et PME du numérique qui ne présentent pas les mêmes risques. Il sera toujours loisible aux plateformes françaises qui n’atteignent pas le seuil indiqué de se saisir de leur Cyberscore pour mettre en avant leurs performances, notamment en matière d’hébergement des données.
M. le président. Le sous-amendement n° 6, présenté par Mme Loisier, au nom de la commission, est ainsi libellé :
Amendement n° 4, alinéa 3
Remplacer les mots :
Les opérateurs de plateformes en ligne mentionnés à l’article L. 111-7-1
par les mots :
Les fournisseurs de services de communication au public en ligne dont l’activité dépasse un ou plusieurs seuils définis par décret, dont un seuil de nombre de connexions,
La parole est à Mme la rapporteure.
Mme Anne-Catherine Loisier, rapporteure. Il s’agit d’un sous-amendement de précision.
Le Gouvernement et la commission ont une légère divergence de vues sur la notion d’opérateur de plateforme en ligne au sens du code de la consommation. Je rappelle que cette notion ne renvoie qu’aux services dont l’activité consiste en un référencement de produits en ligne ou en une mise en relation de personnes en vue de réaliser des échanges.
La commission estime que cette terminologie reviendrait – éventuellement, car ce point reste à débattre – à exclure un certain nombre de services numériques pourtant visés par la proposition de loi initiale, comme les services de visioconférence en ligne. Ce sous-amendement vise donc à revenir à la rédaction initiale.
Comme vous le savez, monsieur le secrétaire d’État, nous nous inscrivons dans un esprit d’ouverture et de dialogue. Notre objectif commun est bien de prendre en compte, dans le cadre de cette proposition de loi, l’ensemble des services présentant des risques sur les données.
M. le président. Le sous-amendement n° 7, présenté par M. Lafon, est ainsi libellé :
Amendement n° 4, alinéas 8 à 10
Remplacer ces alinéas par huit alinéas ainsi rédigés :
1° Remplacer les mots :
peut être
par le mot :
est
2° Après le mot :
moyen
rédiger ainsi la fin de cet alinéa :
d’un système d’information coloriel. Lorsque l’utilisation du service de communication au public en ligne nécessite de s’identifier électroniquement, le diagnostic est présenté systématiquement à l’utilisateur sur la page permettant de s’authentifier.
La parole est à M. Laurent Lafon.
M. Laurent Lafon. Ce sous-amendement a pour objet la forme que prendra ce diagnostic, en particulier dans sa dimension colorielle.
En effet, il doit être un outil de communication simple et compréhensible par tous. De nombreux orateurs ont insisté sur ce besoin de simplification de l’information et sur la nécessité de la rendre accessible. Il me semble que ce système coloriel est de nature à répondre à cette préoccupation que nous partageons tous.
J’entends bien la remarque qui m’est faite sur le caractère davantage réglementaire que législatif de ce type d’indication. Toutefois, la proposition de loi visant à améliorer la qualité nutritionnelle des aliments et à encourager les bonnes pratiques alimentaires contenait un dispositif similaire.
Monsieur le secrétaire d’État, vous avez souligné votre souci de nous voir avancer ensemble. À ce stade du processus législatif, il me semble important de conserver cette dimension pour bien montrer le point auquel nous voulons arriver. Nous verrons ensuite comment concilier écriture législative et écriture réglementaire.
M. le président. L’amendement n° 2 rectifié, présenté par MM. Le Gleut, Kern, Parigi et Cuypers, Mmes Joseph et Deromedi, MM. Frassa et A. Marc, Mme Canayer, MM. Charon, Menonville et Wattebled, Mme Lopez, MM. Bonne, Mouiller et H. Leroy, Mmes Bonfanti-Dossat et Gruny, MM. Bouchet, Segouin, Panunzi, Grand, Milon, Longeot, Calvet, Piednoir, Rapin, Decool et B. Fournier, Mmes L. Darcos et Raimond-Pavero, M. Vogel, Mmes Boulay-Espéronnier et Deroche, M. Guerriau, Mme Lavarde et MM. Savary, Brisson et Bascher, est ainsi libellé :
Alinéa 4
Rédiger ainsi cet alinéa :
« À cette fin, ils fournissent un diagnostic de cybersécurité effectué par un organisme tiers habilité par l’autorité administrative compétente, dont la durée de validité ne peut excéder un an. Un arrêté fixe, au moins une fois par an, les indicateurs de ce diagnostic.
La parole est à M. Ronan Le Gleut.
M. Ronan Le Gleut. L’idée ici est relativement simple.
Les données d’un produit dont on calcule le Nutriscore, par exemple son taux de glucide, ne changent évidemment pas dans le temps. Là s’arrête donc, précisément, la comparaison entre le Cyberscore et le Nutriscore. Là où la cybersécurité est en cause, en revanche, les caractéristiques du produit le rendent intrinsèquement instable dans le temps. Dans les technologies concernées, en effet, le niveau de cybersécurité peut tout simplement chuter à zéro en l’espace d’une innovation technologique.
J’en donne un exemple extrêmement parlant : la mise au point de l’ordinateur quantique, qui sera très certainement achevée dans les dix prochaines années. Aujourd’hui, tous les experts s’accordent à dire que l’ordinateur quantique va faire tomber des systèmes de cybersécurité qui sont solides depuis des dizaines d’années.
Les questions de la durée dans le temps et de la caducité de ce Cyberscore étant donc posées, cet amendement vise à fixer à un an maximum la durée de validité du diagnostic afférent.