Nouveau mandat pour l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA)

Proposition de règlement du Parlement européen et du Conseil concernant l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA)

COM(2010) 521 final  du 30/09/2010

Examen dans le cadre de l'article 88-4 de la Constitution

Texte déposé au Sénat le 06/10/2010
Examen : 03/06/2011 (commission des affaires européennes)


Institutions européennes

Texte E 5675

Agence européenne chargée de la sécurité
des réseaux et de l'information (ENISA)

COM (2010) 521 final

(Procédure écrite du 3 juin 2011)

L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) a été instituée en mars 2004 par le règlement (CE) n° 460/20041, pour une durée initiale de cinq ans, avec pour objectif principal d'«assurer un niveau élevé et efficace de sécurité des réseaux et de l'information au sein de [l'Union], [...] contribuant ainsi au bon fonctionnement du marché intérieur». Le règlement (CE) n° 1007/20082 a prolongé le mandat de l'ENISA jusqu'en mars 2012. Le siège de l'agence est à Héraklion (Grèce).

La prolongation du mandat de l'ENISA en 2008 a aussi fourni l'occasion d'entamer un débat concernant l'orientation générale que doivent suivre les efforts européens en faveur de la sécurité des réseaux et de l'information (SRI), débat auquel la Commission européenne a contribué en lançant fin 2008 une consultation publique sur les objectifs possibles d'une politique SRI renforcée au niveau de l'Union.

Le 30 mars 2009, la Commission a adopté une communication relative à la protection des infrastructures d'information critiques (PIIC) visant à protéger l'Europe des cyberattaques et des perturbations en améliorant la préparation, la sécurité et la résilience. Cette communication comportait un plan d'action invitant l'ENISA à jouer un rôle, principalement de soutien aux États membres.

La résolution du Conseil du 18 décembre 2009 sur une approche européenne concertée en matière de SRI a reconnu le rôle et le potentiel de l'ENISA ainsi que la nécessité de «continuer à développer cette agence pour en faire un organisme efficace». Enfin, en mai 2010, la Commission a adopté la stratégie numérique pour l'Europe, initiative phare au titre de la stratégie Europe 2020.

C'est dans ce contexte que la Commission a proposé en octobre dernier un règlement instituant un nouveau mandat pour l'ENISA, dont l'objectif général est de permettre à l'Union, aux États membres et aux parties prenantes de se doter de moyens importants et d'atteindre un degré élevé de préparation pour prévenir et détecter les problèmes SRI et mieux y répondre. Cela contribuera à créer un climat de confiance, qui est à la base du développement de la société de l'information, à accroître la compétitivité des entreprises européennes et à faire en sorte que le marché intérieur fonctionne efficacement.

Le texte propose donc d'étoffer les tâches de l'ENISA en impliquant les autorités chargées du respect de la loi et de la vie privée qui deviendraient des parties prenantes de plein droit de l'Agence. Il prévoit un rôle accru de l'ENISA, qui consistera plus précisément à :

· mettre en place et maintenir en activité un réseau de liaison entre parties prenantes et un réseau de connaissances pour faire en sorte que l'ENISA ait une vision exhaustive du paysage SRI européen ;

· servir de centre de soutien SRI pour l'élaboration des politiques et leur mise en oeuvre (notamment en ce qui concerne la vie privée et les communications électroniques, la signature électronique...) ;

· soutenir la politique de l'Union en matière de protection des infrastructures d'information critiques et de résilience ;

· établir un cadre de l'Union pour la collecte des données SRI et élaborer des méthodes et des pratiques pour leur enregistrement légal et leur partage ;

· étudier l'économie de la SRI ;

· favoriser la coopération avec les pays tiers et les organisations internationales pour promouvoir une approche globale commune de la SRI et encourager des initiatives internationales de haut niveau en Europe ;

· exécuter des tâches non opérationnelles liées à des aspects SRI de la lutte contre la cybercriminalité et de la coopération judiciaire : l'Agence jouera un rôle d'interface mais sans recevoir véritablement la tâche d'assister les autorités de police et judiciaires.

Il est prévu d'accroître progressivement entre 2012 et 2016 les ressources financières et humaines de l'Agence, laquelle se verrait dotée d'un nouveau mandat de cinq ans, à moins qu'une majorité d'États ne préfèrent pérenniser son existence.

Les autorités françaises approuvent l'expansion raisonnable du nouveau mandat de l'ENISA : son domaine d'action reste principalement concentré sur le marché intérieur et l'ENISA sera un lieu d'expertise mais n'assumera pas de fonctions opérationnelles dans la lutte contre les cyberattaques, ce qui aurait posé de sérieuses questions de souveraineté nationale et de subsidiarité.

La commission ITRE, compétente au fond, du Parlement européen ne votera pas sa position de première lecture avant le mois de novembre 2011. Cela reporte toute négociation entre le Parlement et le Conseil en vue d'un accord en première lecture à fin 2011/début 2012. Compte tenu des intentions offensives du rapporteur d'instrumentaliser le sujet pour octroyer au Parlement européen une compétence dans le processus de fixation des sièges des agences, l'incertitude sur la suite des travaux est importante. Dans tous les cas, le mandat actuel sera prolongé jusqu'au 13 septembre 2013, ce qui impose de conclure la négociation avant cette date.

La commission a décidé de ne pas intervenir plus avant sur ce texte.