M. le président. Je suis saisi de cinq amendements identiques.
L’amendement n° 5 rectifié ter est présenté par M. Bonhomme, Mme Belrhiti, MM. Bouchet, Chaize et Chatillon, Mmes Drexler et Dumont, MM. B. Fournier et Frassa, Mme Garnier, MM. Genet, Gremillet et Laménie, Mme Lassarade, M. Lefèvre, Mme Micouleau, MM. Pellevat et Rapin et Mme Ventalon.
L’amendement n° 61 est présenté par MM. Benarroche, Breuiller et Dantec, Mme de Marco, MM. Dossus, Fernique, Gontard, Labbé et Parigi, Mme Poncet Monge, M. Salmon, Mme M. Vogel et les membres du groupe Écologiste– Solidarité et Territoires.
L’amendement n° 112 rectifié bis est présenté par MM. Cadic, de Belenet, Chauvet et Delahaye, Mmes Férat et Loisier, M. Moga et Mmes Saint-Pé, Sollogoub et Vermeillet.
L’amendement n° 115 est présenté par Mme N. Goulet.
L’amendement n° 126 est présenté par M. M. Vallet.
Ces cinq amendements sont ainsi libellés :
Supprimer cet article.
La parole est à M. François Bonhomme, pour présenter l’amendement n° 5 rectifié ter.
M. François Bonhomme. La très forte expansion de la cybercriminalité constitue un enjeu majeur pour la sécurité de nombreux acteurs économiques, administratifs, territoriaux et – comme nous le savons depuis cet été – de santé. Parmi les menaces les plus importantes, figure le ransomware, qui est un logiciel malveillant capable de bloquer les données informatiques essentielles et confidentielles de ses cibles. Une fois le forfait accompli, les pirates demandent une rançon, souvent en monnaie virtuelle, en échange d’une clé permettant de déchiffrer de nouveau ces données. Une entreprise sur cinq aurait fait l’objet d’une attaque de ce type. La gendarmerie nationale a engagé 101 000 procédures en 2020, soit une hausse de 21 %.
Dans ce contexte, de nombreux professionnels de la cybersécurité, en particulier le Club des experts de la sécurité de l’information et du numérique (Cesin), qui compte quelque 800 membres, ont très récemment fait part de leur vive opposition à l’autorisation de l’indemnisation assurantielle des cyber-rançons.
Sur la forme, ils regrettent de ne pas avoir été préalablement associés à l’élaboration de cet article. Sur le fond, les acteurs du secteur estiment que cette autorisation risque d’encourager le cybercrime, voire la récidive, de provoquer la multiplication d’intermédiaires douteux lors des négociations et de favoriser l’exercice d’une pression de la part des assureurs auprès de leurs clients pour les forcer à payer la rançon si celle-ci s’avère moins élevée que les frais de remédiation.
L’article 4 vient donc affaiblir la position déterminée et constante des pouvoirs publics, défendue notamment par l’Agence nationale de la sécurité des systèmes d’information (Anssi) ou le ministère de la justice, qui ont toujours recommandé aux entreprises et aux administrations de ne jamais payer de rançon. En avril 2021, la cheffe de la section spécialisée du Parquet de Paris rappelait que la France était l’un des pays les plus attaqués. Aux États-Unis, la règle est tout à fait différente, et les revenus soutirés aux entreprises sont en baisse.
Il deviendra de plus en plus difficile d’arriver à financer les rançons par les seuls acteurs privés, compte tenu de l’importance des sommes en jeu. Notre amendement a donc pour objet de supprimer cet article.
M. le président. La parole est à M. Guy Benarroche, pour présenter l’amendement n° 61.
M. Guy Benarroche. Mon amendement est identique à celui de M. Bonhomme, qui l’a très bien défendu.
Nous considérons que le mécanisme proposé présente de nombreux dangers. Il risquerait d’être contre-productif : plutôt que d’aider à la lutte contre les rançongiciels, il pourrait encourager l’économie des cyberpiratages, en incitant les entreprises à payer davantage les rançons puisqu’elles sont assurées. Aussi de nombreux experts de cybercriminalité s’opposent-ils à cette institutionnalisation des remboursements de rançongiciels.
De plus, le délai laissé aux victimes de tels actes est excessivement court : après 48 heures, les entreprises qui n’auront pas eu le temps de déposer plainte subiront une double peine, puisqu’elles auront versé la rançon et ne pourront pas se faire rembourser par leur assurance à laquelle elles cotisent. Ce délai de 48 heures ne me semble d’ailleurs pas proportionné aux besoins de l’enquête.
M. le président. La parole est à M. Olivier Cadic, pour présenter l’amendement n° 112 rectifié bis.
M. Olivier Cadic. Cet article, qui permettrait le paiement d’une rançon dans le cas d’une extorsion au moyen d’un acte cybercriminel, est en rupture totale avec la doctrine préconisée par l’Anssi, ce qui aura quatre conséquences graves pour la sécurité nationale et celle de nos compatriotes.
Tout d’abord, en introduisant dans le texte d’une loi française l’idée qu’une rançon peut être payée, c’est la doctrine constante de la France, selon laquelle notre pays ne paye pas de rançon, qui est remise en cause.
Par ailleurs, ce simple article, s’il était adopté, mettrait en danger nos compatriotes qui vivent à l’étranger en envoyant le signal, qui sera compris de tous, en particulier des groupes terroristes, que le paiement de rançons n’est pour la France qu’une question de modalités et non de principe. La France devra assumer qu’elle finance potentiellement le crime organisé, le terrorisme ou l’action offensive de gouvernements étrangers hostiles.
Il y aurait aussi deux conséquences opérationnelles.
Contrairement à l’objectif annoncé dans l’exposé des motifs, ce texte est un encouragement donné aux attaquants puisqu’il conforte leur modèle de rentabilité en prévoyant le financement par le paiement d’une rançon et, pratiquement, en le garantissant par une procédure d’accompagnement. La conséquence directe sera un choix préférentiel de l’attaque informatique de cibles françaises par le crime organisé, les groupes terroristes et les gouvernements étrangers hostiles.
Enfin, envisager que le paiement de la rançon puisse être remboursé par les assurances est susceptible de déresponsabiliser les responsables d’entreprise.
Pour toutes ces raisons, nous souhaitons supprimer cet article.
M. le président. La parole est à Mme Nathalie Goulet, pour présenter l’amendement n° 115.
Mme Nathalie Goulet. Je vous recommande la lecture du livre que j’ai commis sur le financement du terrorisme. Je me ferai un plaisir de vous l’offrir et de vous le dédicacer, au lendemain de votre anniversaire, monsieur le ministre ! (Sourires.)
Dans cet excellent abécédaire, j’évoque le problème de l’assurance, notamment pour les kidnappings. La couverture d’un acte criminel par une compagnie d’assurances a suscité de nombreux débats, notamment au sein des organisations internationales. Couvrir ce type de délinquance rend les principaux acteurs moins attentifs, voire totalement irresponsables, puisque le risque est pris en charge.
La doctrine américaine est qu’on ne peut pas assurer ce genre de risques et que les assureurs qui le feraient pourraient être considérés comme complices du financement d’actes de terrorisme.
Je suis donc hostile à cet article, qui permet l’assurance de ce risque et contribuerait donc au financement d’actes criminels.
M. le président. L’amendement n° 126 n’est pas défendu.
Quel est l’avis de la commission sur ces quatre amendements identiques ?
M. Marc-Philippe Daubresse, rapporteur. J’ai écouté avec intérêt le propos de mes collègues, mais je pense qu’ils font un contresens complet sur les intentions du ministre de l’intérieur.
Ils souhaitent supprimer l’article 4, qui impose un dépôt de plainte pour être indemnisé par un assureur en cas de versement d’une rançon après une attaque au rançongiciel. Actuellement, aucune disposition n’interdit de s’assurer contre le risque de paiement d’une rançon. Il est donc excessif, et même faux, d’affirmer que le projet de loi autoriserait la couverture assurantielle de ce risque.
C’est bien parce qu’une telle couverture est déjà possible que le ministre peut constater que toute une série d’entreprises ou d’établissements s’assurent sans qu’on le sache, ce qui fait que nous avons beaucoup moins de moyens de lutter contre la cybercriminalité que si nous étions renseignés par un dépôt de plainte systématique.
C’est pourquoi l’article 4 introduit une contrainte supplémentaire en imposant de déposer plainte pour pouvoir être indemnisé. Pour être clair, il ne servira donc plus à rien de s’assurer si l’on ne dépose pas plainte ! Le dépôt de plainte avertira les autorités judiciaires de l’existence de la couverture assurantielle, ce qui leur donnera des éléments pour lutter contre la cybercriminalité.
J’ai été rapporteur de la loi relative à la prévention d’actes de terrorisme et au renseignement, et je suis avec beaucoup d’intérêt – je le dis à mon amie Nathalie Goulet – ce qui se passe sur ce sujet, et en particulier les circuits occultes de financement du terrorisme. Le paiement d’une rançon doit bien sûr rester une option de dernier recours. Lorsque la victime s’y résout, il est important, je le redis, que les autorités judiciaires en soient informées, afin qu’elles puissent mener les investigations et lutter contre cette criminalité. Actuellement, elles ne le sont pas.
Les assureurs qui acceptent de couvrir un tel risque vérifient que leurs clients se protègent correctement, dans un souci de prévention. En réalité, le développement du marché de l’assurance peut même contribuer à la diffusion de bonnes pratiques et de règles de prévention, même si l’Anssi et les pouvoirs publics doivent continuer à sensibiliser les entreprises et les administrations à cette menace.
J’émets donc un avis défavorable à ces amendements identiques de suppression.
M. le président. Quel est l’avis du Gouvernement ?
M. Gérald Darmanin, ministre. Madame, messieurs les sénateurs, comme l’a très bien dit le rapporteur, je crois que la présentation de ces amendements révèle que vous faites un contresens.
Actuellement, il existe des assurances contre le paiement de telles rançons. Si vous supprimez l’article 4, ce fait ne changera pas ! Vous auriez pu déposer des amendements pour interdire l’assurance contre le paiement de rançons : ils auraient été plus conformes à vos interventions en défense de vos amendements de suppression.
Nous voulons simplement conditionner le paiement de rançons par les assurances au dépôt d’une plainte. La puissance publique a besoin d’être mieux informée de ce qui se passe, notamment pour connaître les entreprises ou acteurs économiques qui sont attaqués.
Il existe déjà des assurances, dans le monde réel, contre l’extorsion et le chantage. Nous faisons un parallèle entre le monde réel et le monde numérique, dans lequel il se passe exactement la même chose. Les entreprises, les acteurs économiques, les acteurs institutionnels, payent souvent des rançons – nous estimons à 25 ou 30 % le pourcentage de victimes d’attaques qui l’auraient fait.
Nous ne pouvons pas accepter que les assurances payent des rançons sans qu’une plainte soit déposée. Sinon, nous en arriverons au modèle économique que vous dénoncez ; car s’il est difficile de subir une attaque, on sait que l’on est remboursé si l’on a pris une assurance.
Avec l’adoption de cet article, l’Autorité de contrôle des assurances et des mutuelles pourra sanctionner les assureurs qui payeraient des rançons sans dépôt de plainte, afin d’assurer l’égalité de tous les assureurs devant la loi.
Je demande donc le retrait de vos amendements. Je le redis, vous auriez pu déposer d’autres amendements pour interdire purement et simplement, sous peine de sanction, l’assurance contre la rançon – mais c’est un autre sujet. J’espère que notre discussion aura en tout cas éclairé le débat.
M. le président. Monsieur Bonhomme, l’amendement n° 5 rectifié ter est-il maintenu ?
M. François Bonhomme. Je comprends le raisonnement : effectivement, la suppression de cet article ne changera rien au fait qu’une couverture assurantielle existe.
Il n’empêche, une ambiguïté subsiste. L’Anssi tout autant que le parquet spécialisé de Paris ont adopté une position claire, contrairement à vous, monsieur le ministre. Vous auriez pu prendre l’initiative d’interdire la couverture assurantielle. Vous auriez alors été en accord avec votre position de principe.
M. François Bonhomme. Les États-Unis ont adopté une position beaucoup plus claire et ils ont vu le montant des rançons baisser. Je livre cette réflexion à votre sagacité.
Je le redis, l’ambiguïté qui demeure ne va pas dans le sens de la règle de conduite que vous vous êtes fixée.
Pour autant, je retire cet amendement.
M. le président. L’amendement n° 5 rectifié ter est retiré.
Monsieur Cadic, l’amendement n° 112 rectifié bis est-il maintenu ?
M. Olivier Cadic. J’étais favorable aux dispositions de l’article 3, qui correspondent exactement aux méthodes employées, avec succès, par le FBI : ce dernier parvient à récupérer très rapidement les rançons après qu’elles ont été versées, même si je rappelle au passage que la doctrine aux États-Unis ne permet pas cette option. Je resterai cohérent avec mon propos et maintiendrai mon amendement, qui sera mis au vote – je veux aller jusqu’au bout.
Notre doctrine consistait à ne pas payer de rançon. J’ignore quelle sera demain l’action des pouvoirs publics en cas de changement de stratégie. Lorsque les hôpitaux, administrations, services publics ou départements seront attaqués, payeront-ils une rançon ? C’est la grande question puisque le paiement de rançon semble entrer dans les mœurs.
En ce qui me concerne, je continuerai à dissuader quiconque de payer. Car ce faisant, on invite les agresseurs à poursuivre leurs méfaits, on donne de l’argent à des terroristes.
Que celui qui verse une rançon en pensant que les conséquences de son acte sont étrangères à son problème ne vienne pas se plaindre, demain, quand le terroriste viendra le frapper.
M. Marc-Philippe Daubresse, rapporteur. Cela ne changera rien. Il faut retirer cet amendement !
M. le président. La parole est à M. le ministre.
M. Gérald Darmanin, ministre. Je me suis sans doute mal exprimé. Est-il aujourd’hui possible de souscrire une assurance contre le risque de cyber-rançon ? La réponse est oui.
Monsieur Cadic, je ne comprends pas votre argumentation. Je m’oppose, moi aussi, au paiement des rançons. Je suis, moi aussi, contre le terrorisme. Le monde n’est pas divisé entre partisans et adversaires du terrorisme !
Je le répète : il ne faut évidemment pas payer les rançons. Je constate néanmoins comme nous tous, contrairement à ce que j’ai entendu dans les propos liminaires, que des assurances existent pour rembourser le paiement d’une rançon. Tel est l’état actuel du droit.
Nous aurions pu, c’est vrai, interdire les assurances. Le débat est ouvert sur ce point, mais ce n’est pas la proposition du Gouvernement, pas plus que la vôtre. Car, dans l’élaboration du texte législatif qui nous occupe, vous auriez pu proposer l’interdiction des assurances pour risque cyber. Force est de constater que vous ne le faites pas pour le monde réel : vous autorisez l’assurance de la rançon, de l’extorsion et du chantage. Ce qui se passe dans le monde cyber s’inspire du monde réel. Nous devons donc être cohérents dans notre fonctionnement pénal.
Pourquoi, pour notre part, ne proposons-nous pas de supprimer l’assurance ? Vous citiez l’exemple des États-Unis, mais, malheureusement, notre situation n’est pas comparable à la leur sur cette question.
Derrière ce débat se cache d’ailleurs – ne soyons pas naïfs ! – un argument commercial : « Puisque vous n’êtes pas assurés, achetez nos solutions de protection informatique ! »
Notre difficulté actuelle est que nous ne connaissons pas exactement les modus operandi de la plupart des groupes criminels responsables de cette nouvelle menace – car c’est bien ce dont il s’agit, comme je l’ai expliqué lors de la discussion générale à la tribune –, contre laquelle nous devons nous protéger. Or nous devons connaître ces menaces pour mieux y répondre et, pourquoi pas, développer un système judiciaire et économique permettant de les combattre.
Si nous ne connaissons pas exactement les menaces, comment voulez-vous que la police et la gendarmerie, aidées par l’Anssi notamment, puissent documenter du mieux possible ce risque ?
Aujourd’hui, la zone d’ombre autour des rançons qui sont payées – puisque les assurances sont autorisées – sans que nous en ayons connaissance est énorme. Je vous rejoins sur un point : ce faisant, on achète la paix locale sans se soucier de l’intérêt général.
En outre, comment réagirait la PME de votre territoire si, demain, nous interdisions les assurances – car j’y ai réfléchi, monsieur le sénateur – qui seraient autorisées partout en Europe ? Elle souscrira une assurance à l’étranger, et nous aurons alors perdu sur les deux tableaux : d’une part, les plaintes ne seront pas déposées et nous ne connaîtrons pas mieux notre adversaire – qui est nouveau et que nous sommes en train de le découvrir – ; d’autre part, les entreprises continueront tout de même à garantir leur risque.
Je ne suis pas tout à fait certain, d’ailleurs, que le Conseil constitutionnel nous autoriserait à interdire la couverture d’un risque que courent les acteurs économiques et institutionnels.
La meilleure solution que nous ayons trouvée à ce stade est non pas de changer de doctrine, mais d’expliquer qu’il ne faut pas payer de rançon. Nous constatons que des assurances spécifiques existent et que, pour des raisons à la fois d’opportunité et de droit, il ne nous est pas possible, à notre connaissance, de les interdire. Nous souhaitons donc que le dépôt d’une plainte soit un préalable à l’indemnisation, afin que nous puissions mieux connaître et poursuivre systématiquement les auteurs des crimes cyber.
La question est très complexe. Nous découvrons le continent des cyberattaques, et nous n’en sommes qu’au début. Le législateur que vous êtes aura sans doute à légiférer sur d’autres textes en la matière : au fur et à mesure, nous apporterons des réponses aux nouvelles menaces que nous découvrirons, mais je reste persuadé que les amendements de suppression de l’article 4 sont la pire des solutions dans la situation actuelle.
Le Gouvernement propose-t-il la meilleure des réponses dans le meilleur des mondes ? Sans doute que non, mais c’est la moins mauvaise des solutions.
M. le président. La parole est à M. Jérôme Durain, pour explication de vote.
M. Jérôme Durain. Je me fais le relais de notre collègue Mickaël Vallet, qui avait déposé un amendement.
On comprend bien le propos du ministre. On décèle également le tiraillement qui existe entre les positions de l’Anssi et de Bercy. D’un côté, le directeur de l’Anssi estime que : « Dès lors que l’on s’interroge sur le paiement d’une rançon, il est déjà trop tard. Il n’y a plus alors de bonne solution. Il ne faut pas se tromper de message et dissuader fortement le paiement des rançons, qui va alimenter le crime organisé. Cet argent sera utilisé pour attaquer encore plus de victimes. Toute disposition, quand bien même elle semblerait de bon sens, qui pourrait laisser croire que le paiement d’une rançon est quelque chose d’anodin, enverrait un terrible message. »
En face, Bercy nous dit que, en tout état de cause, les assurances existent et que si elles ne sont pas en France elles iront ailleurs, alors autant qu’elles soient chez nous !
Je ne sais pas quelle est la meilleure solution, mais il nous semble tout de même que le fait d’accroître la visibilité de l’assurance par le dépôt de plainte envoie un message d’encouragement aux attaques. C’est, d’une certaine manière, sinon un blanc-seing, du moins le signe qu’on « solvabilise » les cybercriminels.
M. le président. Monsieur Benarroche, l’amendement n° 61 est-il maintenu ?
M. Guy Benarroche. Je serai extrêmement bref, car M. Durain a dit exactement ce que je voulais dire.
Je maintiens donc mon amendement.
M. le président. Madame Goulet, l’amendement n° 115 est-il maintenu ?
Mme Nathalie Goulet. M. le ministre m’ayant plutôt convaincue, je retire mon amendement, monsieur le président.
M. Gérald Darmanin, ministre. Je viens de le vérifier : aucun pays de l’OCDE n’a pris de mesure d’interdiction des assurances. Les mesures qui ont été prises sont assez comparables aux nôtres, y compris aux États-Unis. Je crois par ailleurs qu’il n’est pas très juste d’utiliser l’argument selon lequel un grand pays ferait différemment de nous.
Je redis à Jérôme Durain que son argumentation, même si je la comprends, est nulle et non avenue : si l’article 4 est supprimé, des assurances assureront toujours des rançons, mais sans que nous le sachions. C’est donc pire !
M. le président. Je mets aux voix les amendements identiques nos 61 et 112 rectifié bis.
(Les amendements ne sont pas adoptés.)
M. le président. Je suis saisi de trois amendements faisant l’objet d’une discussion commune.
L’amendement n° 46, présenté par MM. Cardon et Durain, Mme de La Gontrie, M. Bourgi, Mme Harribey, MM. Kanner, Kerrouche, Leconte, Marie et Sueur, Mmes Artigalas, Carlotti et Conconne, MM. Cozic et Gillé, Mmes G. Jourda et Le Houerou, M. Jacquin, Mmes Meunier, Monier et Rossignol, MM. Tissot, M. Vallet et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :
Alinéa 4
1° Remplacer le mot :
plainte
par le mot :
pré-plainte
2° Remplacer les mots :
au plus tard 48 heures après le paiement
par les mots :
dans les 24 heures suivant l’attaque et avant tout paiement
La parole est à M. Rémi Cardon.
M. Rémi Cardon. Les discussions sont assez vives sur cet article 4 et je remercie le ministre d’avoir soumis ce sujet, qui est véritablement d’actualité, au débat.
Notre amendement vise à informer sous 24 heures les autorités compétentes pour agir dès l’attaque et réduire le nombre de rançons versées.
On sait que 90 % des attaques sont rapidement signalées, ce qui facilite le travail de nos autorités compétentes afin de favoriser la récupération des données ou, dans un cas extrême, d’engager une négociation avec les cyberattaquants.
Nous devons aller au plus vite, car, en cas d’attaque, les heures sont comptées. Il faut donc inciter les victimes à informer rapidement les autorités compétentes.
M. le président. L’amendement n° 117, présenté par Mme N. Goulet, est ainsi libellé :
Alinéa 4
Remplacer les mots :
plus tard 48 heures après le paiement
par les mots :
moment de la demande de rançon et avant tout paiement
La parole est à Mme Nathalie Goulet.
Mme Nathalie Goulet. Manifestement, en déposant cet amendement, j’avais anticipé les explications que vient d’apporter M. le ministre !
Mme Nathalie Goulet. Nous ferons un échange ! (Sourires.)
Cet amendement, qui est proche du précédent, prévoit que la déclaration de sinistre soit faite au moment de la demande de rançon, en tout cas avant le paiement.
En effet, il n’est pas complètement improbable que les services de police ou les services compétents puissent détecter l’origine de la demande de rançon, ce qui se fait plus facilement avant le paiement qu’après.
Par ailleurs, pour n’importe quel sinistre, la déclaration à la compagnie d’assurances se fait au moment du sinistre.
M. le président. L’amendement n° 62, présenté par MM. Benarroche, Breuiller et Dantec, Mme de Marco, MM. Dossus, Fernique, Gontard, Labbé et Parigi, Mme Poncet Monge, M. Salmon, Mme M. Vogel et les membres du groupe Écologiste - Solidarité et Territoires, est ainsi libellé :
Alinéa 4
Remplacer les mots :
48 heures
par les mots :
quinze jours
La parole est à M. Guy Benarroche.
M. Guy Benarroche. La situation est au choix ubuesque ou kafkaïenne. Les entreprises qui souscrivent une assurance et payent leurs cotisations le font, en effet, dans le seul objectif d’être remboursées.
Ce point de vue n’est pas tout à fait celui du Gouvernement. Le Gouvernement souhaite que les gens s’assurent, mais qu’ils ne soient remboursés qu’à la condition d’avoir déposé une plainte au préalable. Il y voit un moyen d’améliorer ses connaissances pour mieux lutter contre la menace cyber.
Nous doutons de cette démarche. Le fait d’imposer l’assurance peut faire augmenter la criminalité : si tout le monde s’assure, le marché du rançongiciel grossira, le point positif étant que les forces de sécurité arrêteront plus facilement les criminels. Mais on le sait bien, on n’arrête jamais 100 % des voleurs. De fait, nous allons donc contribuer à augmenter leur nombre.
La situation me semble kafkaïenne, car, en réalité, les entreprises devront être assurées non pas pour être remboursées, mais pour que le Gouvernement dispose des connaissances suffisantes pour poursuivre les voleurs. Le nombre de voleurs arrêtés sera certes plus élevé, mais en proportion moindre par rapport au nombre de voleurs.
Dans le même temps, on demanderait aux entreprises de déclarer le sinistre sous 24 heures, voire avant le paiement de la rançon, parce que ce qui nous intéresse c’est non pas qu’elles soient remboursées, mais de connaître l’identité du voleur.
Tout cela me paraît absurde et justifie que nous rejetions cet article. Toutefois, dans l’hypothèse où il devait être adopté, nous proposons d’allonger le délai à quinze jours.
M. le président. Quel est l’avis de la commission ?
M. Marc-Philippe Daubresse, rapporteur. Nous discutons à présent des délais.
D’un côté, M. Benarroche souhaite un délai de quinze jours, qui donne du temps aux entreprises, mais qui s’avère totalement contraire à l’intention du Gouvernement pour lequel le délai dans lequel les autorités judiciaires doivent être prévenues doit être le plus court possible. Il s’agit d’essayer – comme lors d’une prise d’otages finalement – d’éviter le paiement de la rançon.
De l’autre côté, Mme Goulet propose un délai de 24 heures auquel, a priori, je ne suis pas opposé. J’en comprends l’inspiration, mais je solliciterai l’avis du ministre à son sujet.
L’exposé des motifs précise toutefois que la demande de rançon constitue le fait générateur. Non ! Si aucune rançon n’est versée, l’assureur n’intervient pas. Je le rappelle, et le ministre l’a déjà dit, l’article 4 vise uniquement l’hypothèse où une clause assurantielle couvre le paiement d’une rançon.
Sur la question de savoir s’il est préférable de prévoir un délai de 24 ou 48 heures, je m’en remets au point de vue du ministre. En revanche, je suis défavorable à l’amendement n° 62.
M. le président. Quel est l’avis du Gouvernement ?
M. Gérald Darmanin, ministre. Monsieur Benarroche, je ne comprends pas votre argument selon lequel assurer le risque reviendrait à « solvabiliser » et donc à encourager la délinquance.
Dois-je en déduire que vous proposez d’arrêter d’assurer les cambriolages ? En effet, plus on les assure, plus on « solvabilise » et plus on « fait » le marché. Doit-on également, en poussant le raisonnement jusqu’au bout, arrêter d’assurer les vols de voiture ? (M. Michel Savin s’amuse.)
Vous le voyez : votre argument est intéressant dans le cadre de notre discussion en séance, mais il n’est pas applicable au monde réel. Je propose que nous évitions ce type d’échanges. C’est un peu comme le problème du fromage : plus il y a de gruyère, plus il y a de trous et plus il y a de trous, moins il y a de gruyère… (Sourires.) Si je puis me permettre, l’argument manque de sérieux.
En revanche, l’amendement de M. Cardon, auquel on peut joindre celui de Mme Goulet, me semble très intéressant. Je suis tenté de lui donner un avis favorable, monsieur le sénateur, mais je souhaiterais que nous échangions plus avant sur le sujet ou, peut-être, que vous trouviez une solution avec l’Assemblée nationale, le cas échéant en commission mixte paritaire.
Si je résume, votre amendement tend à faire en sorte que la plainte soit déposée concomitamment au paiement de la rançon ou juste avant. Pour notre part, nous estimons préférable d’attendre 48 heures. On peut toujours discuter de l’opportunité de passer ce délai à 24 heures ou 72 heures. Sur ce point, je partage le point de vue de M. le rapporteur : il faut faire le plus court possible.
Votre amendement donne toutefois l’impression d’être fait pour ceux qui connaissent le risque cyber. Je me mets à la place de la petite commune ou d’un boulanger. Dans ma circonscription, un boulanger employant trois salariés a été victime d’une attaque cyber et s’est vu demander une rançon. Je ne suis pas sûr que les boulangers puissent suivre, à la fois, les travaux législatifs, les informations relatives à ces sujets et les conseils des sociétés de sécurité.
Il en va autrement, bien sûr, des très grandes sociétés du CAC 40, pour lesquelles je partage tout à fait votre avis. S’agissant des petites structures, il ne faudrait pas qu’un entrepreneur qui a souscrit un contrat d’assurance, dont il n’a pas lu toutes les lignes, couvrant le risque cyber – c’est ainsi qu’on le lui a vendu – paye ses cotisations en pensant qu’il sera remboursé en cas de sinistre et qu’on lui dise le moment venu : « Pas de chance, il fallait déclarer le sinistre avant ! »
Si je comprends tout à fait votre démarche, je considère que tout le monde n’est pas égal, du moins dans les premiers mois ou premières années de la loi – si elle devait être adoptée –, devant ce risque.
Je vous propose donc, dès lors que nous donnerons un avis favorable à votre amendement, de nous engager à chercher avec vous, ou à l’Assemblée nationale, la bonne mesure entre le moment où il est souhaitable de déclarer le sinistre – le plus tôt étant le mieux si l’on veut limiter l’effet d’opportunité pour les voleurs – et la prise en compte du choc que représente, pour des PME-TPE qui ne sont pas équipées pour y faire face, le blocage de leur entreprise.
Le Gouvernement émet donc un avis favorable sur l’amendement n° 46, mais que M. Cardon ne se vexe pas si nous corrigeons son texte au fur et à mesure de la navette.