Adaptation dans le domaine de la sécurité au droit de l'UE

Étude d'impact au format PDF (609 Koctets)

ÉTUDE D'IMPACT

PROJET DE LOI

PORTANT DIVERSES DISPOSITIONS D'ADAPTATION AU DROIT DE L'UNION EUROPÉENNE DANS LE DOMAINE DE LA SÉCURITÉ

NOR : INTX1728622L/Bleue-1

17 novembre 2017

INTRODUCTION GÉNÉRALE 6

TABLEAU SYNOPTIQUE DES TEXTES D'APPLICATION 7

TABLEAU SYNOPTIQUE DES CONSULTATIONS MENÉES 8

TITRE I - TRANSPOSITION DE LA DIRECTIVE (UE) 2016/1148 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 6 JUILLET 2016 CONCERNANT DES MESURES DESTINÉES À ASSURER UN NIVEAU ÉLEVÉ COMMUN DE SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D'INFORMATION DANS L'UNION 9

1. ETAT DU DROIT 9

1.1 CONTEXTE D'ADOPTION DE LA DIRECTIVE 9

1.2 ETAT DES LIEUX 11

2. OBJECTIFS POURSUIVIS 14

3. OPTIONS POSSIBLES POUR LA TRANSPOSITION ET NÉCESSITÉ DE LÉGIFÉRER 16

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES 18

4.1 IMPACT JURIDIQUE 18

4.2 IMPACT ÉCONOMIQUE 19

4.3 IMPACT SOCIAL 21

4.4 IMPACT ADMINISTRATIF 22

4.5 IMPACT ENVIRONNEMENTAL 23

5. CONSULTATIONS MENÉES 23

6. MODALITÉS DE MISE EN oeUVRE 24

6.1 TEXTES D'APPLICATION 24

6.2 APPLICATION DANS LE TEMPS 24

6.3 APPLICATION DANS L'ESPACE 24

TITRE II - TRANSPOSITION DE LA DIRECTIVE (UE) 2017/853 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 17 MAI 2017 MODIFIANT LA DIRECTIVE 91/477/CEE DU CONSEIL RELATIVE AU CONTRÔLE DE L'ACQUISITION ET DE LA DÉTENTION D'ARMES 25

LA DISPARITION DE LA CATÉGORIE D DES ARMES À FEU DE LA DIRECTIVE 28

1. ETAT DES LIEUX ET DIAGNOSTIC DROIT 28

2. OBJECTIFS POURSUIVIS 29

3. NÉCESSITÉ DE LÉGIFÉRER ET OPTION RETENUES 30

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES 30

4.1 IMPACT JURIDIQUE 30

4.2 IMPACT ÉCONOMIQUE 32

4.3 IMPACT ADMINISTRATIF 32

5. MODALITÉS DE MISE EN OEUVRE 32

5.1 TEXTES D'APPLICATION 32

5.2 APPLICATION DANS LE TEMPS 33

5.3 APPLICATION DANS L'ESPACE 33

LE NOUVEAU RÉGIME DES REPRODUCTIONS D'ARMES HISTORIQUES 34

1. ETAT DES LIEUX ET DIAGNOSTIC 34

2. OBJECTIFS POURSUIVIS 34

3. NÉCESSITÉ DE LÉGIFÉRER ET OPTION RETENUE 35

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES 35

4.1 IMPACT JURIDIQUE 35

4.2 IMPACT ÉCONOMIQUE 35

4.3 IMPACT ADMINISTRATIF 35

5.1 TEXTES D'APPLICATION 36

5.2 APPLICATION DANS LE TEMPS 36

5.3 APPLICATION DANS L'ESPACE 36

LE SURCLASSEMENT DE CERTAINES ARMES EN CATÉGORIE A 37

1. ETAT DES LIEUX ET DIAGNOSTIC 37

2. OBJECTIFS POURSUIVIS 39

3. NÉCESSITÉ DE LÉGIFÉRER ET OPTIONS 39

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES 39

4.1 IMPACT JURIDIQUE 39

4.2 IMPACT ÉCONOMIQUE 40

5. MODALITÉS DE MISE EN OEUVRE 40

5.1 TEXTES D'APPLICATION 40

5.2 APPLICATION DANS LE TEMPS 40

5.3 APPLICATION DANS L'ESPACE 40

L'INSTAURATION D'UN CONTRÔLE ADMINISTRATIF POUR LES COURTIERS D'ARMES DE CATÉGORIE C 41

1. ETAT DES LIEUX ET DIAGNOSTIC 41

2. OBJECTIFS POURSUIVIS 42

3. NÉCESSITÉ DE LÉGIFÉRER ET OPTIONS 42

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES 42

4.1 IMPACT JURIDIQUE 42

4.2 IMPACT ÉCONOMIQUE 43

4.3 IMPACT SOCIAL 43

4.4 IMPACT ADMINISTRATIF 43

5. MODALITÉS DE MISE EN OEUVRE 43

5.1 TEXTES D'APPLICATION 43

5.2 APPLICATION DANS LE TEMPS 43

5.3 APPLICATION DANS L'ESPACE 44

L'INTERDICTION DE LA LIVRAISON AU DOMICILE DE L'ACQUÉREUR DES ARMES ACHETÉES PAR CORRESPONDANCE 45

1. ETAT DES LIEUX ET DIAGNOSTIC 45

2. OBJECTIFS POURSUIVIS 46

3. NÉCESSITÉ DE LÉGIFÉRER ET OPTIONS 46

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES 46

4.1 IMPACT JURIDIQUE 46

4.2 IMPACT ÉCONOMIQUE 47

4.3 IMPACT ADMINISTRATIF 47

5. MODALITÉS DE MISE EN OEUVRE 47

5.1 TEXTES D'APPLICATION 47

5.2 APPLICATION DANS LE TEMPS 47

5.3 APPLICATION DANS L'ESPACE 47

LES TRANSACTIONS SUSPECTES 49

1. ETAT DES LIEUX ET DIAGNOSTIC 49

2. OBJECTIFS POURSUIVIS 49

3. NÉCESSITÉ DE LÉGIFÉRER ET OPTIONS 49

4. ANALYSE DES IMPACTS. 50

4.1 IMPACT JURIDIQUE 50

4.2 IMPACT ÉCONOMIQUE 50

5. MODALITÉS DE MISE EN OEUVRE 50

5.1 TEXTES D'APPLICATION 50

5.2 APPLICATION DANS LE TEMPS 51

5.3 APPLICATION DANS L'ESPACE 51

TITRE III - MISE EN oeUVRE DE LA DÉCISION N° 1104/2011/UE DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 25 OCTOBRE 2011 RELATIVE AUX MODALITÉS D'ACCÈS AU SERVICE PUBLIC RÉGLEMENTÉ OFFERT PAR LE SYSTÈME MONDIAL DE RADIONAVIGATION PAR SATELLITE ISSU DU PROGRAMME GALILEO 52

1. ETAT DES LIEUX ET DIAGNOSTIC 52

1.1 CONTEXTE 52

1.2 ETAT DU DROIT 53

2. OBJECTIFS POURSUIVIS 54

3. OPTIONS ET NÉCESSITÉ DE LÉGIFÉRER 55

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES 57

4.1 IMPACT JURIDIQUE 57

4.2 IMPACT ÉCONOMIQUE 58

4.3 IMPACT SOCIAL 58

4.4 IMPACT ADMINISTRATIF 59

5. CONSULTATIONS MENÉES 59

6. MODALITÉS DE MISE EN oeUVRE 60

6.1 TEXTES D'APPLICATION 60

6.2 APPLICATION DANS LE TEMPS 60

6.3 APPLICATION DANS L'ESPACE 60

ANNEXE I : TABLEAU SYNTHÉTIQUE DE PRÉSENTATION DES RÉGIMES ACTUELS D'ACQUISITION ET DE DÉTENTION DES DIFFÉRENTES CATÉGORIES D'ARMES 61

ANNEXE II : TABLEAU DE TRANSPOSITION DE LA DIRECTIVE (UE) 2016/1148 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 6 JUILLET 2016 CONCERNANT DES MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE SECURITE DES RESEAUX ET DES SYSTEMES D'INFORMATION DANS L'UNION 64

ANNEXE III : TRANSPOSITION DE LA DÉCISION N° 1104/2011/UE DU 25 OCTOBRE 2011 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 25 OCTOBRE 2011 RELATIVE AUX MODALITÉS D'ACCÈS AU SERVICE PUBLIC RÉGLEMENTÉ OFFERT PAR LE SYSTÈME MONDIAL DE RADIONAVIGATION PAR SATELLITE ISSU DU PROGRAMME GALILEO 91

INTRODUCTION GÉNÉRALE

Le projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité a pour objet de transposer deux directives : la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union et la directive (UE) 2017/853 du Parlement européen et du Conseil du 17 mai 2017 modifiant la directive 91/477/CEE du Conseil relative au contrôle de l'acquisition et de la détention d'armes.

Ce projet de loi a par ailleurs pour objet de tirer les conséquences de la décision
n° 1104/2011/UE du Parlement européen et du Conseil du 25 octobre 2011, en instaurant un mécanisme de sanction pour tout manquement aux obligations de protection du service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo.

La transposition en droit interne des deux directives entend éviter toute « surtransposition ».

Le titre I, qui transpose dans le droit français la directive 2016/1148 du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, instaure de nouvelles obligations en matière de cyber-sécurité pour les opérateurs de services essentiels au fonctionnement de l'économie et de la société et les fournisseurs de services numériques.

Le titre II transpose la directive 2017/853 du 17 mai 2017 modifiant la directive 91/477/CEE relative au contrôle de l'acquisition et de la détention d'armes, renforçant le contrôle du commerce et de la circulation des armes à feu « civiles ».

Le titre III transpose en droit français les obligations prévues par la décision n° 1104/2011/UE du 25 octobre 2011 relative aux modalités d'accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo. Le service public réglementé (SPR) de Galileo est un service réservé aux utilisateurs autorisés par les gouvernements, pour les applications sensibles qui exigent un contrôle d'accès efficace et un niveau élevé de continuité du service.

TABLEAU SYNOPTIQUE DES TEXTES D'APPLICATION

TABLEAU SYNOPTIQUE DES CONSULTATIONS MENÉES

TITRE I - TRANSPOSITION DE LA DIRECTIVE (UE) 2016/1148 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 6 JUILLET 2016 CONCERNANT DES MESURES DESTINÉES À ASSURER UN NIVEAU ÉLEVÉ COMMUN DE SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D'INFORMATION DANS L'UNION

1. ETAT DU DROIT

1.1 Contexte d'adoption de la directive

Annoncée par la Commission européenne dès l'année 2010 avec la publication d'une Communication sur la stratégie numérique pour l'Europe ^{1 ( * )} , la directive concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union a été présentée par la Commission européenne (CE) début 2013 ^{2 ( * )} .

Cette directive, première initiative de l'Union européenne (UE) visant à légiférer de façon globale dans le champ de la cyber-sécurité ^{3 ( * )} , s'inscrit dans une stratégie européenne qui a donné lieu à une publication concomitante de la Commission européenne et de la Haute représentante de l'Union européenne pour les affaires étrangères et la politique de sécurité ^{4 ( * )} .

La directive vise à répondre à l'un des objectifs de cette stratégie qui est le renforcement de la cyber-résilience des réseaux et des systèmes d'information des infrastructures critiques -définie comme la capacité de ces réseaux et systèmes de fonctionner à un niveau suffisant pour permettre d'assurer la continuité des services qui en dépendent en cas d'attaques ou d'incidents les affectant - au sein de l'Union européenne.

La directive est prise sur le fondement de l'article 114 du Traité sur le fonctionnement de l'Union Européenne ^{5 ( * )} en raison du rôle primordial que joue la résilience des réseaux et systèmes informatiques dans le fonctionnement du marché intérieur.

Elle vise à augmenter les capacités des Etats membres en matière de cyber-sécurité et à accroître la coordination en cas d'incidents transnationaux, grâce à l'amélioration du niveau de préparation et de coopération des Etats-membres et l'adoption, par les opérateurs d'infrastructures critiques (telles que les réseaux d'énergie et de transports ou encore les principaux prestataires de services de la société de l'information) des mesures appropriées pour gérer les risques de sécurité et signaler les incidents graves aux autorités nationales compétentes.

La Commission s'appuyait sur les constats suivants :

- la sécurité des réseaux et de l'information revêt une importance de plus en plus grande pour l'économie et la société. Elle est aussi une condition préalable importante à la création d'un environnement fiable pour le commerce international des services. Le manque de cyber-sécurité peut empêcher le fonctionnement des entreprises, entraîner des pertes financières considérables pour l'économie de l'Union Européenne et avoir une incidence négative sur le bien-être sociétal ;

- les systèmes d'information, et notamment l'internet, sont des instruments de communication sans frontière interconnectés entre les Etats membres et ils revêtent une importance essentielle pour la circulation transfrontière des biens, des services et des personnes. Toute perturbation importante de ces systèmes dans un Etat membre peut avoir une incidence sur d'autres Etats membres et sur l'UE dans son ensemble. La résilience et la stabilité des réseaux et systèmes informatiques sont donc essentielles pour l'achèvement du marché unique du numérique et le fonctionnement harmonieux du marché intérieur ;

- les moyens disponibles et les niveaux de préparation sont très différents selon les Etats membres, ce qui se traduit par une fragmentation des approches dans l'UE. Etant donné que les réseaux et systèmes informatiques sont interconnectés, c'est l'ensemble de la cyber-sécurité de l'UE qui peut être affaiblie par les Etats membres dont le niveau de protection est insuffisant ;

- il n'existe actuellement aucun véritable cadre au niveau de l'UE dans lequel pourraient s'inscrire la coopération et la collaboration ainsi que le partage d'informations de confiance sur les risques et incidents de cyber-sécurité entre les Etats membres ;

- les opérateurs qui gèrent des infrastructures critiques ou qui fournissent des services essentiels au fonctionnement de la société ne sont pas soumis à des obligations appropriées en ce qui concerne l'adoption de mesures de gestion des risques et l'échange d'informations avec les autorités compétentes ;

- une large proportion d'incidents n'est pas signalée aux autorités compétentes et passe inaperçue. Or, il est essentiel que les pouvoirs publics soient informés des incidents pour qu'ils puissent réagir, prendre les mesures d'atténuation nécessaires et fixer des priorités stratégiques adéquates en matière de cyber-sécurité.

Elle fixait à la directive pour principaux objectifs :

- d'instaurer des exigences minimales communes de cyber-sécurité au niveau national qui obligeraient les Etats membres à désigner des autorités nationales compétentes en la matière, à constituer une équipe d'intervention en cas d'urgence informatique (centre de réponse aux incidents de sécurité informatique) performante et à adopter une stratégie nationale et un plan national de coopération pour la cyber-sécurité ;

- d'instaurer des mécanismes de prévention, de détection, de remédiation et d'intervention permettant aux autorités nationales compétentes en matière de cyber-sécurité de partager des informations et de se porter mutuellement assistance. Il sera demandé à ces autorités nationales compétentes d'assurer une coopération appropriée à l'échelle de l'UE, notamment à l'aide d'un plan de coopération de l'Union en la matière, permettant d'intervenir en cas de cyber-incident de dimension transnationale ;

- d'imposer aux opérateurs dans un certain nombre de secteurs importants pour le fonctionnement de l'économie et de la société d'évaluer les risques en termes de cyber-sécurité, d'assurer la fiabilité et la résilience des réseaux et systèmes informatiques par une gestion appropriée des risques et de signaler aux autorités nationales compétentes en matière de cyber-sécurité les incidents ayant un impact significatif sur la continuité des services essentiels et la fourniture des biens dépendant de réseaux et systèmes informatiques.

Compte tenu de la dimension transnationale des incidents et des risques de cyber-sécurité, la Commission estimait qu'il était approprié de développer une action au niveau de l'Union, dans le respect du principe de subsidiarité et que, conformément au principe de proportionnalité, la directive proposée n'excédait pas ce qui est nécessaire pour atteindre ces objectifs ^{6 ( * )} .

1.2 Etat des lieux

1.2.1 Au niveau européen

L'agence européenne pour la sécurité des réseaux (ENISA) a produit, en 2016, une analyse qui synthétise les résultats d'une vingtaine d'études sur les coûts économiques des cyber-incidents ^{7 ( * )} . En dépit du constat de la difficulté d'interprétation et de comparaison des chiffres fournis par ces études, qui, compte tenu de l'absence de méthodologie commune, ne permettent pas d'évaluer de façon véritablement fiable l'impact économique de ces incidents et donc de prendre des mesures de sécurité appropriées, l'ENISA retenait les chiffres suivants :

- le coût global des incidents cybernétiques pourrait atteindre 1,6 % du PIB en Allemagne, ce chiffre ne serait que de 0,41 % au niveau de l'union européenne ;

- le coût sur les entreprises britanniques serait de 37 milliards d'euros par an. Des études indiquent que le coût annuel moyen pour une entreprise britannique, allemande ou française serait estimé dans une fourchette comprise entre quelques centaines de milliers d'euros et une vingtaine de millions d'euros. Une autre étude évalue le coût moyen annuel par entreprise sur un panel de 257 entreprises internationales de 0,5 million d'euros à 55 millions d'euros ;

- une étude chiffre le coût mondial dans une fourchette de 330 à 506 milliards d'euros.

Si ces chiffres doivent être considérés avec prudence, toutes les études convergeaient sur le fait que l'augmentation rapide des coûts induits par les cyber-incidents justifiait une action de l'Union européenne.

La directive (UE) 2016/1148 du Parlement européen et du Conseil, du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, communément appelée directive « NIS », a été adoptée après trois ans de négociation.

Sans en remettre en cause les objectifs principaux, les modifications apportées au texte initial visaient à atteindre l'équilibre entre l'instauration d'un cadre au niveau européen en matière de cyber-sécurité - ce, notamment, s'agissant de la coopération opérationnelle et politique entre les Etats membres - et la préservation de la souveraineté des Etats membres dans ce domaine. En outre, les dispositions concernant les fournisseurs de services numériques (places de marché en ligne, moteurs de recherche en ligne, service d'informatique en nuage) qui jouent un rôle majeur dans le fonctionnement de l'économie et de la société ^{8 ( * )} sont allégées par rapport à celles applicables aux opérateurs de services essentiels. Enfin, les administrations publiques, qui figuraient dans le texte initial de la Commission, ont été exclues du champ d'application de la directive ^{9 ( * )} exceptées lorsque celles-ci sont identifiées en tant qu'opérateurs de services essentiels.

Structurée autour de quatre axes, la directive prévoit :

- le renforcement des capacités des Etats membres en matière de cyber-sécurité (chapitre II). Les Etats membres devront notamment se doter d'autorités nationales compétentes en matière de cyber-sécurité, d'équipes nationales de réponse aux incidents informatiques (CSIRT) et de stratégies nationales de cyber-sécurité. L'annexe I de la directive précise les missions des CSIRT ;

- l'établissement d'un cadre de coopération volontaire entre les Etats membres (chapitre III). Cette coopération s'exercera à travers un « groupe de coopération » sur les aspects politiques de la cyber-sécurité et un « réseau européen des CSIRT » sur les aspects techniques et opérationnels ;

- l'instauration d'un cadre réglementaire destiné à renforcer la cyber-sécurité des opérateurs fournissant des services essentiels au fonctionnement de l'économie et de la société (chapitre IV). Ces opérateurs devront évaluer les risques et prendre des mesures de sécurité appropriées pour garantir la fourniture de leurs services. Ils notifieront les incidents de sécurité à l'autorité compétente et pourront être contrôlés. Les secteurs d'activités de ces opérateurs figurent à l'annexe II de la directive ;

- l'instauration d'un cadre réglementaire destiné à renforcer la cyber-sécurité des fournisseurs de services numériques (chapitre V). Ces fournisseurs seront tenus d'assurer la sécurité de leurs services, de notifier les incidents et pourront être contrôlés. L'annexe III de la directive précise les types de services numériques concernés.

La directive a été publiée au Journal officiel de l'UE le 19 juillet 2016 et est entrée en vigueur 20 jours après cette date. Elle devra être transposée d'ici au 9 mai 2018.

La directive ainsi adoptée permet de concrétiser l'engagement fort de la France pendant toute la phase de négociation. La France a, en effet, été l'un des premiers pays européens à légiférer pour protéger les systèmes d'informations sensibles de ses opérateurs d'importance vitale ^{10 ( * )} . Forte de son expérience quant à la cyber-sécurité des infrastructures critiques vitales pour la sécurité de la nation, elle a joué un rôle moteur dans la définition des orientations stratégiques de l'Union européenne en matière de cyber-sécurité et le dispositif français a d'ailleurs largement inspiré les principes de la présente directive.

1.2.2 Au niveau national

La France dispose déjà d'une autorité nationale compétente en matière de sécurité des réseaux et des systèmes d'information. En effet, l'Agence nationale de la sécurité des systèmes d'information (ANSSI) créée par le décret n° 2009-834 du 7 juillet 2009 assure la fonction d'autorité de défense et de sécurité des systèmes d'information. A ce titre, elle a notamment pour mission :

- de proposer au Premier ministre les mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d'information des autorités publiques et des opérateurs d'importance vitale ;

- de coordonner l'action gouvernementale dans le cadre des orientations fixées par le Premier ministre en matière de défense des systèmes d'information ;

- de proposer les mesures de protection des systèmes d'information ;

- de mener des inspections des systèmes des services de l'Etat et des opérateurs d'importance vitale ;

- de participer aux négociations internationales et d'assurer la liaison avec ses homologues étrangers.

L'Agence assure aussi une fonction de centre de réponse et de traitement des incidents de sécurité (CSIRT).

Compte tenu de son rôle central, l'ANSSI a donc naturellement vocation à être au coeur du dispositif de transposition.

Il existe en outre, dans le droit national, des dispositions destinées à renforcer la sécurité des systèmes d'information de certaines catégories d'opérateurs :

- pour les opérateurs de communications électroniques (articles L. 33-10, L. 33-1, et
D. 98-5 du code des postes et des communications électroniques, qui transposent la directive 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques) ;

- pour les opérateurs d'importance vitale11 ( * ) (articles L. 1332-6-1 et suivants du code de la défense, introduits par la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019).

2. Objectifs poursuivis

L'objectif général de la directive est de garantir la continuité des activités économiques et sociétales critiques de la nation en cas de cyber-attaques qui, lorsqu'elles visent certaines entreprises stratégiques, notamment les opérateurs fournissant des services essentiels au maintien de l'activité économique et sociétale, constituent une menace pour la stabilité et la prospérité économique de l'Union. Il appartient donc à chaque Etat membre de renforcer le niveau de sécurité des réseaux et des systèmes d'information de ces opérateurs pour garantir la continuité des échanges au sein du marché intérieur et la compétitivité de l'Union dans le commerce international.

Les cyber-attaques visent aussi les fournisseurs de service numérique qui ont un rôle clé dans le fonctionnement quotidien de l'économie et de la société en raison de l'importance croissante du numérique. Ces services sont eux-mêmes souvent utilisés par les opérateurs de services essentiels.

L'objectif de la France est donc de renforcer la sécurité des systèmes d'informations de ces opérateurs et fournisseurs de service numérique, qui ne sont soumis actuellement à aucun dispositif réglementaire.

La France pourra, en outre, développer ses relations au niveau européen en participant activement au groupe de coopération prévu à l'article 11 de la directive et au réseau des CSIRT prévu à l'article 12. En termes d'organisation nationale, l'ANSSI jouera un rôle central.

Le tableau suivant synthétise les objectifs poursuivis par les différentes dispositions de la directive qui appellent à prendre des mesures législative ou réglementaire de transposition ou simplement des mesures d'application :

3. Options possibles pour la transposition et nécessité de légiférer

Seules les dispositions relatives à la sécurité des réseaux et des systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique sont de nature législative ou réglementaire et doivent être transposées dans le droit national.

Ces dispositions, qui figurent principalement aux chapitres IV et V de la directive prévoient, en effet, que les Etat membres imposent à ces deux catégories d'opérateurs des obligations :

- en matière de gestion des risques qui menacent la sécurité des réseaux et des systèmes d'information qu'ils utilisent dans le cadre de leurs activités ;

- en matière de prévention et de notification des incidents affectant ces réseaux et systèmes.

Pour garantir l'effectivité de ces mesures, la directive impose, en outre, aux Etats membres de veiller à ce que les autorités compétentes disposent des pouvoirs et des moyens nécessaires pour évaluer le respect, par les opérateurs de services essentiels et les fournisseurs de service numérique, des obligations qui leur incombent, ainsi que les effets de ce respect sur la sécurité des réseaux et des systèmes d'information.

Le tableau de transposition précise dans le détail les dispositions de la directive qui doivent faire l'objet d'une telle transposition.

Comme évoqué supra (voir 1.2.2), des dispositions relatives à la sécurité des systèmes d'information existent déjà dans le droit national pour les opérateurs de communications électroniques et pour les opérateurs d'importance vitale.

Ces dispositions ne permettent toutefois pas la transposition, dans le droit national, des dispositions applicables aux fournisseurs de services numériques et aux opérateurs de services essentiels.

En effet, la directive exclut, d'une part, de son champ d'application le secteur des communications électroniques (voir article 1 ^er , al. 3) car il fait déjà l'objet d'une réglementation européenne équivalente dans ce domaine.

D'autre part, le dispositif applicable aux opérateurs d'importance vitale s'appuie sur des fondements juridiques et poursuit des finalités différentes de ceux de la directive dont le projet de loi poursuit la transposition.

Alors que la directive vise à assurer le fonctionnement des activités économiques et sociétales dans le cadre du marché intérieur, le dispositif applicable aux opérateurs d'importance vitale s'inscrit dans une stratégie de sécurité nationale de protection et de renforcement de la résilience de la Nation face aux risques majeurs. Les critères d'identification des opérateurs d'importance vitale définis aux articles L. 1332-1 et L. 1332-2 du code de la défense, sont, à cet égard, plus discriminants que ceux que donne la directive pour identifier un opérateur de service essentiel. Les premiers sont en effet définis, [à partir d'un critère physique] comme « des opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation ^{12 ( * )} » quand les seconds [identifiés à partir des services qu'ils fournissent et de la dépendance de ces services aux systèmes d'information] peuvent être désignés parmi des opérateurs économiques qui ne relèvent pas du domaine de la défense et de la sécurité nationale ou dont l'indisponibilité ne constituerait pas un « danger grave » pour la population ^{13 ( * )} .

Les obligations propres au dispositif existant dans le code de la défense seraient, en outre, inadaptées ou trop contraignantes pour ces opérateurs économiques. Dispositif global de protection face aux actes malveillants ou aux risques naturels, technologiques et sanitaires, il prévoit un ensemble d'obligations en matière de protection physique des installations sensibles (appelées « points d'importance vitale »), qui ne sont pas l'objet de la directive. Il impose de surcroît aux opérateurs concernés, pour des raisons de sécurité nationale, des obligations en matière d'habilitation au secret de la défense nationale ainsi que des mesures particulièrement exigeantes en matière de cyber-sécurité (telle que la mise en place d'un système de détection d'incidents prévue à l'article L. 1332-6-1 du code de la défense) qui seraient inadaptées pour des opérateurs qui ne seraient pas d'importance vitale pour la nation.

Enfin ce qui est vrai pour les opérateurs de service essentiel, l'est a fortiori pour les fournisseurs de service numérique, qui ne sont pas dans le champ du dispositif applicable aux opérateurs d'importance vitale tel qu'il est défini aux articles L. 1332-1 et suivants du code de la défense.

En conséquence, en l'absence de dispositions applicables dans le droit national, la transposition du chapitre V de la directive nécessite de prendre de nouvelles dispositions législatives qui s'articulent autour de deux volets, présentés ci-après (voir 4.2), l'un applicable aux opérateurs de service essentiel, l'autre applicable aux fournisseurs de service numérique.

4. Analyse des impacts des dispositions envisagées

4.1 Impact juridique

Le projet de loi crée de nouvelles dispositions qui ne seront pas codifiées. Ces dispositions, qui ne modifient aucune disposition existante, s'articulent de la manière suivante :

- des dispositions communes liminaires précisent les définitions de réseaux et systèmes d'information et de sécurité des réseaux et des systèmes d'information. Elles déterminent les règles applicables en matière de confidentialité et l'articulation des régimes nouvellement créés avec ceux que la directive exclut de son champ d'application.

- ces dispositions comportent, en deuxième lieu, des dispositions relatives à la sécurité des réseaux et systèmes d'information des opérateurs de service essentiel. Désignés individuellement par le Premier ministre à partir d'une liste de services essentiels fixée par décret, ces opérateurs seront tenus de respecter des règles de sécurité nécessaires à la protection de leurs réseaux systèmes d'information ;

- elles imposent, en troisième lieu, aux fournisseurs de service numérique opérant sur le territoire de l'Union européenne et ayant en France leur établissement principal ou leur représentant, d'identifier les risques qui menacent la sécurité de leurs réseaux systèmes d'information et de prendre les mesures techniques et organisationnelles nécessaires et proportionnées pour gérer ces risques, éviter la survenue d'incidents et en limiter les impacts.

Opérateurs de service essentiel et fournisseurs de service numérique devront déclarer les incidents affectant leurs réseaux et systèmes d'information et se soumettre, à la demande du Premier ministre, à des contrôles diligentés par l'ANSSI ou un prestataire de service habilité, destinés à vérifier le respect de leurs obligations en matière de sécurité des réseaux et systèmes d'information. Une mise en demeure de corriger les manquements constatés à l'issue de ce contrôle pourra être adressées aux fournisseurs et opérateurs.

Des sanctions pénales, enfin, pourront être appliquées en cas de manquement aux obligations fixées par la loi, ou d'obstacle aux contrôles effectués en application de celle-ci.

L'adoption de ces dispositions garantira la conformité de notre droit national au droit de l'Union européenne, sans créer, à l'égard des opérateurs auxquels elles s'appliqueront, d'obligations excédant ce qui est nécessaire à cette mise en conformité. Le dispositif de transposition proposé est néanmoins conçu (s'agissant en particulier des dispositions de la directive applicables aux opérateurs fournissant des services essentiels pour le fonctionnement de l'économie et de la société) pour s'appliquer à un champ large d'opérateurs sans se restreindre a priori au champ minimal prévu par l'annexe II de la directive.

Cette approche est conforme à l'esprit de la directive qui définit un socle minimal commun de règles aux Etats membres sans interdire de prendre des dispositions complémentaires pour renforcer le niveau de sécurité (voir sur ce point le principe de l'harmonisation minimale prévu à l'article 3 de la directive).

Cela conduira à élargir progressivement, dans le respect des objectifs de la directive, la liste des secteurs et des services essentiels pour l'économie et la société au-delà des seuls secteurs fixés à l'annexe II de cette directive et ainsi à renforcer le niveau de cyber-sécurité de nouveaux opérateurs intervenant dans un champ économique et sociétal qui, bien qu'essentiels, échappent à ce jour, à toute réglementation en matière de cyber-sécurité.

En revanche, certains secteurs d'activités des opérateurs de services essentiels étant communs à ceux des opérateurs d'importance vitale, le projet de loi prévoit que ses dispositions ne sont pas applicables aux systèmes d'information déjà soumis aux règles fixées en application de l'article L. 1332-6-1 du code de la défense.

Les conditions d'application de ce dispositif seront fixées par décret (voir 6.1 Textes d'application). L'attribution de nouvelles missions à l'ANSSI pour la mise en oeuvre du dispositif (voir 4.4 Impacts administratifs) impliquera, enfin, une modification du décret n° 2009-834 susmentionné ^{14 ( * )} qui fixe les missions principales de l'ANSSI.

4.2 Impact économique

Le projet de loi impose de nouvelles obligations aux opérateurs de services essentiels et aux fournisseurs de service numérique.

Les coûts découleront pour l'essentiel des mesures de cyber-sécurité à mettre en place pour renforcer le niveau de sécurité et prévenir les incidents. Les mesures imposant de notifier des incidents de sécurité ou de se soumettre à des contrôles auront des coûts marginaux.

4.2.1 Coûts pour les opérateurs de services essentiels

Une fois la liste des services essentiels fixée par décret, les opérateurs seront désignés individuellement par le Premier ministre de façon progressive. La directive ne fixe pas de critères ou de seuils quantitatifs à prendre en compte pour identifier ces opérateurs. Les Etats membres restent libres d'apprécier le caractère « essentiel » des services fournis par les opérateurs et sont simplement tenus de désigner des opérateurs, a minima dans les secteurs mentionnés à l'annexe II de la directive. Sur la base d'un premier recensement, il est envisagé que le nombre d'opérateurs de services essentiels (incluant les opérateurs d'importance vitale) pourrait être de l'ordre de quelques centaines dans un premier temps. Les opérateurs du secteur privé se répartiront principalement entre des grandes entreprises et des entreprises de taille intermédiaire dans les secteurs de la santé, du transport, de l'industrie, de l'énergie, de l'alimentation, mais aussi de la logistique ou encore dans le secteur social. Les petites et moyennes entreprises seront très peu représentées. Dans le secteur public, les opérateurs seront essentiellement des établissements publics.

Le projet de loi prévoit d'imposer à ces opérateurs des règles de sécurité qui seront fixées au niveau réglementaire. Il s'agira d'un socle de règles de base (communément qualifiées de « règles d'hygiène ») permettant de mieux protéger les systèmes d'information contre la majorité des attaques observées actuellement. La mise en conformité avec ces règles sera fortement corrélée au niveau de maturité de chaque opérateur en matière de cyber-sécurité. Si l'opérateur a mis en oeuvre une politique de sécurité adaptée, s'est doté d'équipements de sécurité et dispose de personnel formé, le coût sera sensiblement réduit voire marginal. Les coûts seront ainsi d'autant plus faibles que les opérateurs mettent déjà en oeuvre les recommandations de sécurité de l'ANSSI.

Le coût de la mise en oeuvre des règles sera précisé dans la fiche d'impact qui accompagnera le texte réglementaire fixant ces règles. Déjà évalué dans le cadre du dispositif applicable aux opérateurs d'importance vitale, ce coût s'échelonne de 1 à 2 millions d'euros par opérateur et par an, mais devrait être nettement plus faible s'agissant d'opérateurs de services essentiels, eu égard au caractère moins contraignant des règles qui leur seront appliquées.

4.2.2 Coûts pour les fournisseurs de service numérique

Les fournisseurs de service numérique ne seront pas désignés par l'autorité administrative. Ils s'identifieront eux-mêmes au regard de la définition de ces fournisseurs donnée par la directive et reprise à l'identique dans le projet de loi. La directive fixe les types de services numériques en annexe III mais sans préciser davantage de critères ou seuils quantitatifs. Il est simplement précisé que les microentreprises et petites entreprises sont exclues du champ. Par ailleurs, ces fournisseurs de service numérique étant pour la plupart établis à l'étranger ^{15 ( * )} ,, l'article 18 de la directive prévoit un critère de compétence territoriale en fonction du lieu d'établissement du représentant de ces fournisseurs. L'application de la loi française aux fournisseurs de services numériques dépendant du choix autonome de ces entreprises quant à l'Etat dans lequel elles établiront leur représentant, l'estimation du nombre de fournisseurs concernés par la nouvelle réglementation française est malaisée. Il est vraisemblable, cependant, au vu du marché actuel que le projet de loi ne concernera au plus que quelques dizaines d'entreprises principalement d'origine étrangère.

Adoptant une approche moins prescriptive que celle proposée pour les opérateurs de services essentiels, conforme en cela à l'esprit de la directive qui se veut plus souple pour les fournisseurs de service numérique, le projet de loi ne fixe aux fournisseurs de service numérique qu'un objectif de résultat, les laissant libres de définir leurs propres mesures de sécurité. Le coût des mesures effectivement mises en place par ces fournisseurs ne pourra donc s'apprécier qu'à l'occasion des contrôles.

4.2.3 Gains indirects

Si le projet de loi implique des coûts, le renforcement du niveau de sécurité doit permettre de bloquer les cyber-attaques ou d'en limiter les conséquences et ainsi de réduire les pertes financières qui résulteraient de cyber-attaques.

Aussi il convient de prendre en compte dans l'impact économique global du projet de loi les dommages financiers subis par les opérateurs en cas d'incidents informatiques d'origine malveillante ou non. Les coûts des dommages potentiels résultant d'un incident informatique correspondent aux coûts liés à l'indisponibilité et la reconstruction des systèmes d'information. Ils pourraient être bien supérieurs si d'autres types de dommages tels que l'atteinte à l'image, la perte de marchés ou encore le vol d'informations sensibles étaient également pris en considération.

Dans le cadre des interventions que l'ANSSI mène auprès de victimes de cyber-attaques, il est apparu que le coût des dommages directs (indisponibilité et reconstruction des systèmes) atteint couramment, en fonction de la taille de l'entreprise, un montant de quelques millions d'euros à quelques dizaines de millions d'euros pour une seule cyber-attaque réussie. De façon générale, les entreprises communiquent très peu sur les attaques et sur leur coût pour ne pas révéler leur vulnérabilité et pour protéger leur image. A titre d'exemple, toutefois, l'entreprise Saint-Gobain a évalué ses pertes financières à 250 millions d'euros sur les ventes de l'année 2017 en raison de la cyber-attaque NotPetya. L'entreprise TV5 a, quant à elle, évalué à 4,6 millions d'euros le coût de l'attaque qu'elle a subie en 2015.

Le coût des cyber-attaques est donc à mettre en regard du coût mentionné plus haut (moins de 1 à 2 millions d'euros annuels) pour mettre en oeuvre les règles de sécurité.

4.3 Impact social

L'actualité récente a montré que tous les secteurs d'activité pouvaient être victimes d'attaques informatiques d'envergure, susceptibles de ralentir ou paralyser l'activité de pans entiers de l'économie au-delà des frontières d'un Etat.

L'entreprise américaine YAHOO! a annoncé aux mois de septembre et décembre 2016 avoir été victime de plusieurs compromissions de son système d'information. Deux compromissions majeures datant d'août 2013 et de 2014 ont abouti à l'exfiltration massive de données personnelles liées à près d'un milliard de comptes d'utilisateurs du service de messagerie. En août 2016, près d'un milliard d'adresses liées à des comptes de messagerie YAHOO! , potentiellement issues de l'exploitation de ces deux compromissions, ont été mises en vente sur le marché noir.

Le 6 décembre 2016, la bourse, le fonds de pension national, l'autorité maritime et l'autorité des chemins de fer ukrainiens ont été les victimes d'un sabotage informatique. Ces opérations de sabotage informatique ont été réalisées suivant un mode opératoire déjà observé en décembre 2015 lors des attaques par sabotage à l'encontre du réseau de distribution d'électricité en Ukraine.

Début 2016, une campagne d'attaques informatiques sophistiquées et planifiées a ciblé des entités bancaires clientes de la plateforme de messagerie interbancaire SWIFT et principalement situées en Asie du Sud-Est. Une trentaine d'ordres de paiement frauduleux auraient ainsi été émis par les attaquants pour un montant total avoisinant un milliard de dollars. Bien que la plupart des virements frauduleux aient pu être annulés, les pertes totales dues à ces attaques s'élèvent à quatre-vingt-un millions de dollars.

Une augmentation importante du volume des attaques en déni de service distribué ^{16 ( * )} (DDoS) a été observée en 2016. Ces attaques d'ampleur inédite ont pu être réalisées grâce à des botnets constitués de dizaines, voire de centaines, de milliers d'objets connectés compromis au moyen du code malveillant MIRAI . Les attaques du 21 octobre 2016 contre l'un des principaux services d'hébergement américains de sites Internet, DYN , ont provoqué l'inaccessibilité de plusieurs services Internet majeurs comme TWITTER , NETFLIX et AMAZON . L'hébergeur français OVH a également été victime de ce type d'attaques en septembre 2016.

Au-delà de l'impact direct sur le fonctionnement de l'économie et la société, le projet de loi favorisera le développement de l'industrie de la cyber-sécurité et augmentera les besoins en main-d'oeuvre qualifiée dans ce secteur. Il donnera ainsi un élan au développement des services en matière de conseil, d'audit, de détection et de traitement d'incidents de cyber-sécurité et des produits de sécurisation des réseaux et des systèmes d'information, profitable à l'ensemble des entreprises de produits et de services de sécurité numérique dans l'ensemble du marché intérieur européen. L'ensemble de la filière cyber-sécurité bénéficiera donc de la mise en oeuvre de ce projet de loi.

4.4 Impact administratif

L'ANSSI sera chargée de la mise en oeuvre globale du dispositif. Elle recevra et traitera les incidents de sécurité qui lui seront déclarés, contrôlera les opérateurs et les fournisseurs de service numérique et de façon générale leur apportera un soutien pour mettre en oeuvre les règles et mesures de sécurité. En outre, elle devra :

- élaborer la stratégie nationale prévue à l'article 7 de la directive en matière de sécurité des réseaux et des systèmes d'information, en cohérence avec la stratégie nationale pour la sécurité du numérique qui a été adoptée en 2015 ;

- assurer les fonctions d'autorité nationale compétente et de point de contact unique prévues à l'article 8 de la directive ;

- représenter la France dans le groupe de coopération prévu à l'article 11 et dans le réseau des CSIRT prévu à l'article 12.

Pour la mise en oeuvre du dispositif, l'ANSSI pourra s'appuyer sur les moyens déjà mis en place pour le dispositif relatif aux opérateurs d'importance vitale. Toutefois, en fonction du nombre d'opérateurs de services essentiels potentiellement concernés par le nouveau dispositif, des ressources humaines supplémentaires pourraient être nécessaires. Dans une première étape ciblant quelques centaines d'opérateurs, cette charge devrait être absorbée par l'ANSSI grâce à la croissance des moyens de l'agence. Si le dispositif devait s'étendre largement au-delà de ce périmètre, des moyens supplémentaires devraient probablement être envisagés.

Les ministères qui assurent la tutelle des secteurs d'activités concernés, dont le rôle sera précisé par le décret d'application, seront naturellement impliqués, en relation avec l'ANSSI, dans la mise en oeuvre de ce nouveau dispositif. Celui-ci n'engendrera néanmoins pour les ministères concernés, qu'une charge de travail marginale.

4.5 Impact environnemental

Le projet de loi n'a aucun impact environnemental direct. Toutefois, en améliorant le niveau de sécurité de certains opérateurs intervenant dans des domaines liés à l'environnement tels que l'énergie et le transport, le projet de loi contribuera à limiter les risques environnementaux en cas d'incidents d'origine informatique affectant les systèmes de ces opérateurs. En effet, à titre d'exemple, les systèmes d'information permettant de piloter des installations de production, de raffinage, de transport de pétrole ou de gaz, ou ceux mis en oeuvre pour gérer le transport de marchandises et matières dangereuses par voie maritime ou terrestre sont susceptibles d'être attaqués aux fins de créer des dommages environnementaux majeurs, que le renforcement de la sécurité de ces systèmes permettra de limiter.

5. Consultations menées

Aucune consultation obligatoire n'était nécessaire dans le cadre de la mise en oeuvre du dispositif retenue.

En revanche, les textes d'application comporteront des mesures sectorielles à caractère technique, qui devront être soumis à certaines consultations obligatoires, notamment s'agissant des règles de sécurité applicables aux opérateurs de services essentiels.

Des consultations informelles avec des opérateurs de services essentiels susceptibles d'être désignés et des fournisseurs de service numérique pourront aussi être menées. Enfin, des échanges sont en cours avec les autres Etats membres afin de comparer les différentes approches envisagées pour la transposition de la directive par ces Etats. Ces échanges ont lieu dans le cadre du groupe de coopération instauré par la directive, qui permet notamment aux Etats membres de partager des informations sur la transposition de la directive.

6. Modalités de mise en oeuvre

6.1 Textes d'application

Le projet de loi renvoie à un décret en Conseil d'Etat l'ensemble des conditions d'application. Le décret fixera notamment la liste des services essentiels pour chaque secteur d'activités des opérateurs de services essentiels. Ce décret renverra lui-même vers deux arrêtés pour fixer :

- la liste des règles de sécurité nécessaires à la protection des réseaux et systèmes d'information ;

- les coûts des contrôles destinés à vérifier le respect des obligations relatives à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique.

Les opérateurs de service essentiel seront individuellement désignés par le Premier ministre. La liste de ces opérateurs sera actualisée au moins tous les deux ans. Enfin le décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » sera modifié en conséquence des nouvelles missions attribuées à l'ANSSI.

6.2 Application dans le temps

Conformément à ce que prévoit la directive, les dispositions de la loi entreront en vigueur au plus tard le 9 mai 2018, à l'exception de celles relative aux opérateurs de services essentiels, qui n'entreront en vigueur qu'à compter de la désignation de ces opérateurs, soit au plus tard le 9 novembre 2018.

6.3 Application dans l'espace

La loi s'appliquera sur l'ensemble du territoire de la République.

TITRE II - TRANSPOSITION DE LA DIRECTIVE (UE) 2017/853 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 17 MAI 2017 MODIFIANT LA DIRECTIVE 91/477/CEE DU CONSEIL RELATIVE AU CONTRÔLE DE L'ACQUISITION ET DE LA DÉTENTION D'ARMES

La directive 91/477/CEE du Conseil du 18 juin 1991 relative au contrôle de l'acquisition et de la détention d'armes avait pour objectif de faciliter le fonctionnement du marché intérieur des armes à feu sur le territoire de l'Union, tout en garantissant un niveau élevé de sécurité pour les citoyens européens.

À cet effet, la directive établit les exigences minimales que devraient imposer les États membres en ce qui concerne l'acquisition et la détention d'armes à feu de chaque catégorie et fixe les conditions applicables aux transferts d'armes à feu entre États membres, tout en prévoyant des règles plus souples pour la chasse et le tir sportif ^{17 ( * )} .

La modification résultant de la directive 2008/51/CE du 21 mai 2008 ^{18 ( * )} , a eu pour objet de renforcer les aspects liés à la sécurité et d'aligner la directive sur le protocole contre la fabrication et le trafic illicites d'armes à feu, de leurs pièces, éléments et munitions, additionnel à la Convention des Nations unies contre la criminalité transnationale organisée ^{19 ( * )} .

La directive (UE) 2017/853 du Parlement européen et du Conseil du 17 mai 2017 modifiant la directive 91/477/CEE du conseil relative au contrôle de l'acquisition et de la détention d'armes, publiée au Journal officiel de l'Union européenne le 24 mai 2017, s'inscrit, dans le prolongement de la directive de 2008, dans une logique de renforcement des mesures de sécurité. Au lendemain des attentats terroristes perpétrés à Paris en janvier 2015, a été adoptée la « Déclaration de Paris », dans laquelle les ministres de l'intérieur ou de la justice de l'Union européenne ont affirmé leur détermination à lutter contre la circulation illégale d'armes à feu sur l'ensemble du territoire européen et, dans cette optique, à renforcer leur coopération au sein de la plateforme pluridisciplinaire européenne contre les menaces criminelles (EMPACT), à améliorer le partage du renseignement et à utiliser pleinement les ressources d'Europol, d'Eurojust et d'Interpol ^{20 ( * )} .

Lors de la réunion informelle du Conseil européen du 12 février 2015, les chefs d'État ou de gouvernement ont demandé à toutes les autorités compétentes de renforcer leur coopération dans la lutte contre le trafic illicite d'armes à feu, notamment en révisant rapidement la législation applicable, et de relancer le dialogue sur les questions de sécurité avec les pays tiers, notamment ceux du Moyen-Orient et de l'Afrique du Nord, mais aussi des Balkans occidentaux ^{21 ( * )} .

À l'issue de la réunion du Conseil « Justice et affaires intérieures » des 12 et 13 mars 2015, les ministres ont invité la Commission à proposer de nouveaux moyens pour lutter contre le trafic illicite d'armes à feu et à intensifier, en collaboration avec Europol, l'échange d'informations et la coopération opérationnelle ^{22 ( * )} .

C'est pourquoi, la Commission a adopté le programme européen en matière de sécurité, destiné à permettre une réponse efficace et coordonnée à l'échelon européen face à l'apparition de menaces de plus en plus complexes pour la sécurité.

Parmi les actions prioritaires décrites dans ce programme, il est notamment recommandé de réexaminer la législation sur les armes à feu sur la base de propositions à formuler en 2016 ^{23 ( * )} . Le programme préconise en outre de prendre d'urgence les mesures qui s'imposent pour empêcher que des armes à feu neutralisées puissent être réactivées et utilisées par des criminels.

Dans leur déclaration du 29 août 2015, les ministres de l'intérieur européens ont une nouvelle fois plaidé en faveur de la révision de la directive sur les armes à feu et de l'élaboration de normes communes sur la neutralisation des armes à feu.

Enfin, le 8 octobre 2015, le Conseil a adopté ses conclusions sur l'application renforcée des moyens mis en oeuvre pour lutter contre le trafic d'armes à feu, dans lesquelles il invite les États membres, la Commission européenne, Europol et Interpol à engager certaines actions, parmi lesquelles réviser la législation en vigueur et surveiller les menaces que représentent les armes à feu au moyen d'enquêtes et d'opérations transfrontières coordonnées. Cet appel à l'action concerne également les trafics d'armes à feu réalisés au moyen de l'internet.

Le Parlement européen a lui aussi examiné à de multiples reprises la question du trafic d'armes à feu. Le 11 février 2015, il a adopté une résolution sur les mesures de lutte contre le terrorisme, dans laquelle il demande à la Commission « d'évaluer d'urgence les règles de l'Union en vigueur sur la circulation des armes à feu illicites, les explosifs et le trafic d'armes liés à la criminalité organisée ».

L'essentiel de la transposition de la directive du 17 mai 2017, entrée en vigueur le 13 juin 2017, relève du domaine réglementaire.

La directive du 17 mai 2017 comporte néanmoins 6 six mesures nécessitant une transposition par voie législative.

- La disparition de la catégorie D des armes à feu (articles 4, 4 bis, 8, 12 et annexe I de la directive).

- Le nouveau régime des reproductions d'armes historiques ((b) du III de l'annexe I de la directive). La directive inclut désormais dans son champ d'application, les reproductions d'armes historiques, contrairement à ce que prévoyait la directive antérieure.

- L'instauration d'un contrôle administratif pour les courtiers d'armes de catégorie C (point 3 de l'article 4 et considérants 4 et 5 de la directive) : la directive soumet à réglementation toutes les activités d'armuriers et de courtiers.

- Les dérogations à l'interdiction d'acquisition et de détention d'armes de catégorie A (article 6 et annexe I de la directive). La directive (annexe I) surclasse des armes qui étaient jusqu'alors en catégorie B, soumises à autorisation, pour les passer en catégorie A, prohibées (sauf pour les forces de sécurité publique), mais elle ouvre aux États membres la possibilité de déroger pour certaines catégories de détenteurs à la prohibition d'acquisition et de détention de certaines de ces armes surclassées.

- L'interdiction de la livraison au domicile de l'acquéreur d'armes achetées par correspondance (article 5 ter de la directive). La directive n'a ni pour objet ni pour effet d'interdire les ventes d'armes au moyen de contrats à distance (internet, ventes par correspondance), mais elle fixe pour objectif que, dans ce cas, la livraison de l'arme fasse l'objet d'une vérification de l'identité de l'acheteur et, le cas échéant, de son autorisation d'acquisition et de détention, avant la livraison ou au plus tard, concomitamment à la livraison, soit auprès d'un armurier, soit auprès d'une autorité publique.

- Les transactions suspectes (article 10 de la directive). La directive prévoit une possibilité, pour les armuriers, de refuser légalement des transactions portant sur des munitions et composants de munitions qui apparaîtraient comme suspectes en raison de leur nature ou de leur échelle. Elle prévoit aussi un régime de signalement de ces tentatives de transaction. Pour des raisons de cohérence, il est proposé, sur ce point, d'aller au-delà des exigences strictes de la directive en étendant aux armes et éléments d'armes ce nouveau dispositif de transaction suspecte, qui n'existe pas, pour ces matériels, dans notre droit interne.

LA DISPARITION DE LA CATÉGORIE D DES ARMES À FEU DE LA DIRECTIVE

1. ETAT DES LIEUX ET DIAGNOSTIC DROIT

En France, les armes de chasse relèvent de deux catégories juridiques distinctes : la catégorie C soumise à déclaration ou la catégorie D 1° soumise à enregistrement. D'autres armes libres d'acquisition et de détention relèvent de la catégorie D 2°.

La procédure d'enregistrement a été créée par le décret n° 2011-1253 du 7 octobre 2011 modifiant le régime des matériels de guerre, armes et munitions. Ce texte avait pour objet de prévoir une procédure d'enregistrement de certaines armes de chasse pour en assurer la traçabilité et assurer ainsi la complète transposition de la directive 2008/51/CE du 21 mai 2008 du Parlement européen et du Conseil européen. Conformément à son article 18, cette procédure d'enregistrement s'applique uniquement aux armes « de chasse » reçues ou acquises à compter de l'entrée en vigueur du présent décret, ce qui signifie que le stock de ces armes n'est donc pas concerné par cette nouvelle formalité administrative.

La catégorie D des armes à feu est pour sa part mentionnée dans la partie II de l'annexe I de la directive du 18 juin 1991 modifiée. Cette catégorie comprend, selon l'annexe utile de la directive, « les armes à feu longues à un coup par canon lisse ». Il s'agit dans les faits d'une partie très importante des armes de chasse classiques, qui étaient donc soumises, en droit interne, au contrôle administratif « minimal » : le régime de l'enregistrement. A ce jour, environ 250 000 armes relevant de la catégorie D (1°) sont enregistrées dans l'application de gestion du répertoire informatisé des propriétaires et possesseurs d'armes (AGRIPPA) ^{24 ( * )} .

Jusqu'à la loi n°2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale, le régime d'enregistrement se distinguait de celui de la déclaration par le contrôle de l'honorabilité du demandeur : ce contrôle n'existait pas dans la procédure d'enregistrement, mais uniquement dans la procédure de déclaration. La loi du 3 juin 2016 a étendu le contrôle d'honorabilité à la procédure d'enregistrement, qui ne se distingue donc plus de celle de déclaration.

La directive du 17 mai 2017 susmentionnée marque une rupture. Elle supprime l'une des deux catégories (la catégorie D) pour n'en laisser qu'une seule (la catégorie C) soumise à un régime de déclaration. Si la catégorie D 1° va donc disparaître du fait de la directive, la catégorie D 2° a vocation à demeurer dans la partie réglementaire du code de la sécurité intérieure (R. 311-2 du CSI), et la référence à la catégorie D est maintenue dans la partie législative du code (L.311-2 du CSI), lorsque son champ couvre les armes de détention et d'acquisition libres.

Classement des armes de chasse avant la directive du 17 mai 2017 :

Classement des armes de chasse après la directive du 17 mai 2017 :

2. OBJECTIFS POURSUIVIS

La directive du 17 mai 2017 supprime la catégorie D ("Autres armes à feu") de la partie II de son annexe I. Les armes à feu qui y figuraient sont intégrées dans la catégorie C (armes soumises à déclaration). Cette catégorie comprenait les armes à feu longues à un coup par canon lisse. Par conséquent, il n'existe plus que trois catégories d'armes à feu (A, B et C). L'esprit de la directive est de supprimer la formalité d'enregistrement des armes de catégorie D 1° pour la remplacer par la procédure de déclaration, ce qui contribue au renforcement de la sécurité publique.

L'objectif du projet de loi, sur ce point, est donc d'aligner les catégories d'armes nationales sur les catégories d'armes à feu prévues par la partie II de l'annexe I de la directive du 17 mai 2017. En outre, cet alignement a pour conséquence positive de supprimer la distinction de deux procédures administratives (celle de l'enregistrement et celle de la déclaration) qui étaient, de fait, devenues semblables après les modifications introduites par la loi n°2016-731 du 3 juin 2016 ^{26 ( * )} .

3. NÉCESSITÉ DE LÉGIFÉRER ET OPTION RETENUES

Les différentes catégories d'armes à feu sont énumérées par l'article L. 311-2 du code de la sécurité intérieure et par l'article L. 2331-1 du code de la défense. Le classement des armes au sein de ces catégories relève quant à lui du pouvoir réglementaire.

La suppression par la directive des armes de catégorie D nécessite donc des dispositions législatives sachant qu'aucune option n'est permise pour les États membres quant à la disparition de cette catégorie, puisque ceux-ci ne peuvent adopter que des mesures plus restrictives que celles fixées par la directive.

Les dispositions envisagées tirent les conséquences de la suppression de la catégorie D dans la partie législative du code de la sécurité intérieure et, par coordination, du code de la défense.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1 Impact juridique

Le classement actuellement en vigueur fait que les fusils à un coup par canon lisse sont soumis à enregistrement en préfecture conformément au 4° de l'article L. 311-2, au a) du 1° de l'article R. 311-2 du code de la sécurité intérieure et au 4° de l'article L. 2331-1 du code de la défense.

Les armes à feu qui sont actuellement soumises à enregistrement vont, par l'effet des modifications de la partie II de l'annexe I de la directive du 17 mai 2017, être intégrées dans la catégorie C, de ce fait soumises à déclaration. Il s'agit donc moins de la suppression d'une catégorie d'armes à feu que d'un surclassement de ces armes à feu.

Toutefois, les effets juridiques de ce surclassement par la directive sont à relativiser :

Comme cela a été précisé ci-dessus, il n'existe plus aujourd'hui, en effet, de différence entre le régime de déclaration (catégorie C) et le régime d'enregistrement (catégorie D 1°).

De ce point de vue, le passage de l'enregistrement (D) à la déclaration (C) ne change donc rien à la situation de fait des détenteurs de ces armes.

Il y a même une certaine cohérence à uniformiser les régimes de l'enregistrement et de la déclaration, qui avaient perdu en lisibilité depuis l'harmonisation des contrôles résultant de la loi du 3 juin 2016 précitée. Ce n'est bien sûr pas l'objet de la directive, mais c'est l'un de ses effets sur notre droit national.

La portée du surclassement de ces armes de chasse est par ailleurs précisément encadrée par la directive en révision :

- le changement n'aura aucun effet sur les détenteurs d'armes acquises avant le 1 ^er décembre 2011 ^{27 ( * )} (date à compter de laquelle ces armes ont été soumises à enregistrement en France). Ces détenteurs n'auront aucune démarche à faire, et l'administration n'aura aucune action à entreprendre. La très grande majorité des détenteurs de ces armes de chasse est dans cette situation (on peut estimer qu'entre 1 et 3 millions d'armes sont dans ce cas). Ces détenteurs bénéficient en effet, au terme de la directive, d'une clause d'antériorité ;

- le changement concernera immédiatement, en revanche, les armes de ce type mises sur le marché après la transposition par la France de la directive révisée, dans le délai fixé par cette directive. La directive raisonne en effet, pour ces armes, en flux et non en stock.

Le flux peut être estimé à environ 40 000/an, si l'on se réfère aux enregistrements annuels de ces armes, constatés en préfecture depuis 2012.

Les chasseurs devront donc, pour les mises sur le marché postérieures à la transposition, déclarer leur arme (désormais en catégorie C), au lieu de la faire enregistrer (conformément à la catégorie D).

Or, comme il a été indiqué, ces procédures sont devenues strictement équivalentes depuis la loi du 3 juin 2016. Le changement sera donc administrativement neutre, plus formel que réel en quelque sorte, et pour les détenteurs et pour les préfectures, puisque le flux annuel restera probablement constant.

Enfin, les chasseurs qui auraient acquis une arme de ce type après le 13 juin 2017 (date d'entrée en vigueur de la directive du 17 mai 2017), sous un régime d'enregistrement, mais avant la date butoir de la transposition (14 septembre 2018) pourront, le cas échéant, bénéficier d'un délai allongé pour basculer sous un régime de déclaration : la directive autorise en effet, dans ce cas, un délai de mise en conformité jusqu'au 14 mars 2021.

Il reste que les détenteurs titulaires d'un récépissé d'enregistrement (environ 250.000 aujourd'hui) pourraient souhaiter une « sécurisation » de leur détention (par exemple, pour faire des déplacements au sein de l'Union pour la pratique de la chasse), en demandant un titre de détention faisant référence à la catégorie C et non plus à la catégorie D.

Des mesures réglementaires d'accompagnement pourraient être envisagées, comme l'assimilation du récépissé d'enregistrement au récépissé de déclaration.

Cette assimilation devrait satisfaire les représentants des détenteurs d'armes, consultés sur ce point.

4.2 Impact économique

On peut estimer que, compte tenu de l'absence d'effet juridique sensible du changement de régime et de la suppression de la catégorie D, il n'y aura pas d'impact économique pour les détenteurs de ces armes et pour les professionnels de ce secteur d'activité, ce type d'arme restant en tout état de cause l'archétype de l'arme de chasse.

4.3 Impact administratif

Les procédures d'enregistrement et de déclaration étant devenues strictement équivalentes depuis la loi du 3 juin 2016, le remplacement de la première procédure par la seconde sera neutre pour les services des préfectures ^{28 ( * )} , en charge de l'application de la réglementation relative aux armes et munitions, comme elles l'étaient auparavant pour le traitement des enregistrements. Le passage de la procédure d'enregistrement à la procédure de déclaration ne devrait pas en principe susciter de besoins en formation puisque la procédure de déclaration est déjà gérée par les préfectures.

S'agissant des détenteurs d'armes, les personnes qui, à la date d'entrée en vigueur de la présente loi, détiennent des armes acquises depuis le 13 juin 2017, date d'entrée en vigueur de la directive, qui étaient soumises à enregistrement au titre du 1° de la catégorie D et qui sont désormais classées dans la catégorie C soumise à déclaration, devront procéder à la déclaration de ces armes auprès du représentant de l'État dans le département.

5. MODALITÉS DE MISE EN OEUVRE

5.1 Textes d'application

Le classement des armes au sein des différentes catégories définies par la loi relève du pouvoir réglementaire. Un décret en Conseil d'État sera notamment nécessaire pour :

- tirer les conséquences de la suppression de la catégorie D des armes à feu ;

- prévoir les dispositions transitoires nécessaires.

5.2 Application dans le temps

Le projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité introduit des dispositions relatives à l'entrée en vigueur des différents articles du titre II, consacré à la transposition de la directive (UE) 2017/853 du Parlement européen et du Conseil du 17 mai 2017.

Les dispositions envisagées entreraient en vigueur à compter d'une date définie par décret en Conseil d'État et au plus tard le 14 septembre 2018. Le décret définira les modalités d'application de ces dispositions, ainsi que les modalités permettant aux détenteurs de ces armes de régulariser, le cas échéant, leurs situations au regard des nouveaux classements.

Les personnes qui, à la date d'entrée en vigueur de la présente loi, détiennent des armes acquises depuis le 13 juin 2017, date d'entrée en vigueur de la directive, qui étaient soumises à enregistrement au titre du 1° de la catégorie D et qui sont désormais classées dans la catégorie C soumise à déclaration, devront procéder à la déclaration de ces armes auprès du représentant de l'État dans le département du lieu de leur domicile dans les conditions fixées par décret en Conseil d'État, et au plus tard le 14 décembre 2019. Le choix a été fait de ne pas attendre la date ultime, fixée par le 4 de l'article 2 de la directive au 21 mars 2021, pour organiser cette régularisation. Les considérations de sécurité publique conduisent à ne pas attendre une date aussi lointaine, et les considérations de gestion administrative, à ne pas imposer cette régularisation dès la transposition « de droit commun », c'est-à-dire le 14 septembre 2018.

5.3 Application dans l'espace

Les dispositions de la présente loi s'appliquent sur l'ensemble du territoire de la République et notamment en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis-et-Futuna et dans les Terres australes et antarctiques françaises.

Conformément au principe de spécialité législative, les modifications des dispositions du livre III du code de la sécurité intérieure et du livre III de la 2 ^ème partie du code de la défense, faites par le titre II de la présente loi, doivent être rendues expressément applicables aux collectivités susmentionnées. Tel est l'objet des modifications prévues par les articles L. 344-1, L. 345-1, L. 346-1 et L. 347-1 du code de la sécurité intérieure et par les articles L. 2441-1, L. 2451-1, L. 2461-1 et L. 2471-1 du code de la défense.

LE NOUVEAU RÉGIME DES REPRODUCTIONS D'ARMES HISTORIQUES

1. ETAT DES LIEUX ET DIAGNOSTIC

La directive du 17 mai 2017 susmentionnée, dans le considérant 27 et l'annexe I, distingue désormais deux catégories d'armes qui étaient soumises à des régimes distincts : les armes historiques ^{29 ( * )} et les reproductions d'armes historiques. Si les armes historiques restent exclues du champ de la directive, c'est-à-dire qu'elles demeurent libres d'acquisition et de détention, autant, désormais, leurs reproductions peuvent être réglementées.

Les reproductions d'armes à feu anciennes sont actuellement régies par les articles L. 311-3 et L. 311-4 du code de la sécurité intérieure. Ces articles soumettent les reproductions d'armes à feu anciennes à un régime identique à celui des armes à feu anciennes, à savoir à un principe de liberté d'acquisition et de détention. Du fait de ce régime de liberté, il n'existe pas de statistiques officielles ni même d'évaluations suffisamment fiables des armes de ce type détenues par les particuliers.

2. OBJECTIFS POURSUIVIS

La nouvelle directive part du constat que les reproductions d'armes à feu anciennes peuvent être construites en recourant aux techniques modernes susceptibles d'améliorer leur durabilité et leur précision. C'est la raison pour laquelle elle place ces armes dans son champ. L'objectif poursuivi par la directive est de dissocier le régime des armes historiques de celui de leurs reproductions, lorsque la technologie de ces dernières en renforce dangerosité.

Le classement des reproductions d'armes à feu anciennes en droit interne doit donc être modifié pour prendre en compte les armes qui ont pu bénéficier de techniques modernes susceptibles d'améliorer leur durabilité et leur précision.

3. NÉCESSITÉ DE LÉGIFÉRER ET OPTION RETENUE

Les armes historiques et de collection ainsi que leurs reproductions sont actuellement classées par la loi en catégorie D (2° - armes dont l'acquisition et la détention sont libres).

Ce classement législatif constitue une anomalie juridique, puisque le classement relève du champ réglementaire. La transposition de la directive est l'occasion de revenir à un partage juridiquement plus exact du domaine législatif et du domaine réglementaire en la matière, en évitant ainsi la procédure de délégalisation, qui, au demeurant, n'était pas apparue nécessaire, puisque toutes ces armes (historiques et reproductions) étaient jusqu'alors soumises au même classement, ce qui n'est plus systématique aux termes de la directive.

Le choix est donc fait de revenir sur ce classement établi par la loi en modifiant l'article L. 311-4 du code de la sécurité intérieure.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1 Impact juridique

L'article L. 311-4 modifié par le présent projet de loi précise que les armes et matériels historiques et de collection, ainsi que leurs reproductions seront classés par décret en Conseil d'État. Certaines dispositions du code de la sécurité intérieure devront également être modifiées à cette occasion lorsqu'elles font référence à la catégorie D qui est supprimée par la directive du 17 mai 2017. Il en est ainsi notamment des articles L. 311-2, L. 312-3, L. 312-3-1, L. 312-4-2, L. 312-5, L. 312-11, L. 312-16, L. 314-2-1, L. 317-3-1, L. 317-3-2 et L. 317-4-1 du code de la sécurité intérieure et des articles L. 2331-1, L. 2339-4, et L. 2339-4-1 du code de la défense.

4.2 Impact économique

L'absence de données chiffrées sur le « parc » d'armes historiques et de leurs reproductions rend malaisée l'évaluation de l'impact économique de l'entrée des reproductions dans le champ de la directive. Si le régime de classement - réglementaire - reste relativement peu contraignant au plan administratif, l'impact devrait être faible.

4.3 Impact administratif

Seules les reproductions d'armes à feu anciennes construites en recourant aux techniques modernes susceptibles d'améliorer leur durabilité et leur précision seront concernées par ce nouveau régime, et par un classement par le ministre de l'intérieur. L'article R. 311-3 du code de la sécurité intérieure dispose en effet que les mesures de classement des armes dans les catégories définies à l'article R. 311-2, autres que celles prévues par arrêtés interministériels, sont prises par le ministre de l'intérieur, à l'exclusion de celles des matériels de guerre de la catégorie A2, prises par le ministre de la défense ^{30 ( * )} .

Pour instruire ces décisions de classement, le ministre de l'intérieur peut solliciter l'avis d'experts techniques, au sein d'un réseau constitué, notamment, du banc national d'épreuve de Saint-Etienne, des laboratoires de police technique et scientifique de la direction générale de la police nationale et de la direction générale de la gendarmerie nationale. Le cas échéant, il peut également solliciter le concours d'un établissement technique désigné par le ministre de la défense, s'il s'agit d'armes susceptibles de présenter des caractéristiques techniques comparables à celles définies à la rubrique 2 du I de l'article R. 311-2 ^{31 ( * )} .

Le ministre de l'intérieur peut enfin solliciter l'avis d'une commission de classement comprenant des représentants des ministères concernés ^{32 ( * )} .

5.1 Textes d'application

Le nouveau classement sera établi par décret en Conseil d'État en tenant compte des critères fixés par la directive (notamment modification de l'article R. 311-2 du code de la sécurité intérieure). Le texte d'application définira les modalités d'application de ces dispositions, ainsi que les modalités permettant aux détenteurs de ces armes de régulariser, le cas échéant, leurs situations au regard des nouveaux classements.

5.2 Application dans le temps

Le projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité introduit des dispositions relatives à l'entrée en vigueur des différents articles du titre II, consacré à la transposition de la directive (UE) 2017/853 du Parlement européen et du Conseil du 17 mai 2017.

Il est prévu que les dispositions de l'article 14 entrent en vigueur à compter d'une date définie par décret en Conseil d'État et au plus tard le 14 septembre 2018.

Conformément aux dispositions de la directive (1 de l'article 2), ces modifications de classement devront intervenir au plus tard le 14 septembre 2018.

5.3 Application dans l'espace

Les dispositions du titre II de la présente loi s'appliquent sur l'ensemble du territoire de la République et notamment en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis-et-Futuna et dans les Terres australes et antarctiques françaises.

Conformément au principe de spécialité législative, les modifications des dispositions du livre III du code de la sécurité intérieure et du livre III de la 2 ^ème partie du code de la défense, faites par le titre II de la présente loi, doivent être rendues expressément applicables aux collectivités et territoires susmentionnés. C'est l'objet des modifications prévues par les articles L. 344-1, L. 345-1, L. 346-1 et L. 347-1 du code de la sécurité intérieure et par les articles L. 2441-1, L. 2451-1, L. 2461-1 et L. 2471-1 du code de la défense.

LE SURCLASSEMENT DE CERTAINES ARMES EN CATÉGORIE A

1. ETAT DES LIEUX ET DIAGNOSTIC

La directive du 17 mai 2017 ^{33 ( * )} fixe des règles plus strictes pour les armes à feu les plus dangereuses) afin d'empêcher que leur acquisition, leur détention ou leur commerce soient autorisés, à de rares exceptions près dûment motivées.

La directive ^{34 ( * )} autorise toutefois les États membres à déroger au nouveau régime d'interdiction d'acquisition et de détention des armes à feu, des parties essentielles et des munitions nouvellement classées en catégorie A pour certaines catégories de détenteurs, et, pour certains d'entre eux, sous certaines conditions exposés ci-après.

Certaines armes à feu semi-automatiques (d'une capacité supérieure à 10 coups pour les armes de poing et 20 coups pour les armes d'épaule classées en catégorie B conformément à l'article R. 311-2 du code de la sécurité intérieure ^{35 ( * )} ) qui étaient soumises à autorisation (catégorie B) seront désormais interdites à l'acquisition et à la détention pour les particuliers par l'effet de leur classement en catégorie A, sauf dérogation.

Le régime des dérogations ouvertes par la directive est le suivant :

1) en ce qui concerne les armes acquises avant le 13 juin 2017 :

Les détenteurs de telles armes acquises avant cette date pourront être autorisés à les conserver. Il s'agit là d'un choix laissé aux États membres par l'article 7§4 bis de la directive.

2) en ce qui concerne les armes acquises à compter du 13 juin 2017

2-1) armes nouvellement soumises au principe d'interdiction

Les armes semi-automatiques suivantes relève désormais du régime de l'interdiction :

- armes issues de la transformation d'une arme automatique (classées A6 selon la directive) ;

- armes à percussion centrale et à chargeur fixe pouvant contenir plus de 10 cartouches (armes longues) ou 20 cartouches (armes courtes) (classées A7 selon la directive) ;

- armes longues dont la longueur peut être réduite à moins de 60 cm après que la crosse ait été repliée ou enlevée sans l'aide d'outils (classées A8 selon la directive).

En revanche, les armes qui sont conçues pour recevoir un chargeur amovible pourraient continuer d'être soumises à autorisation (catégorie B). Seuls les chargeurs amovibles à grande capacité (10 cartouches pour les armes longues ; 20 cartouches pour les armes courtes) seraient alors soumises au principe d'interdiction.

2-2) possibilités de déroger, pour certains détenteurs, au principe d'interdiction

- tireurs sportifs

Les tireurs sportifs pourront être autorisés à acquérir et à détenir des armes issues de la transformation d'une arme automatique, ainsi que des armes ou chargeurs à grande capacité. Les disciplines sportives recourant à ce type d'armes sont nombreuses et il est cohérent que les tireurs sportifs doivent pouvoir puissent continuer d'en bénéficier, puisque ce sont les détenteurs d'armes les plus strictement contrôlés en droit national, à la fois au plan de la pratique sportive, que de l'honorabilité et des conditions de sécurisation des armes détenues.

- collectionneurs

La directive, dans son article 6 alinéa 3, permet aussi aux États membres qui le souhaitent d'accorder exceptionnellement, dans des cas particuliers et dûment motivés, des autorisations à des collectionneurs d'armes d'acquérir et de détenir des armes de catégorie A, sous réserve du strict respect de conditions suffisantes de sécurité, notamment en termes de stockage. Les collectionneurs concernés doivent être identifiables dans les fichiers de données et tenir un registre des armes de catégorie A en leur possession.

Le droit national en vigueur en matière de collectionneurs résulte des articles L. 312-6-1 à
L. 312-6-5 du code de la sécurité intérieure, qui ont introduit la possibilité d'acquérir et de détenir au titre de la collection des armes de la seule catégorie C, soumises à déclaration. Compte tenu de la dangerosité de ces armes, il n'a pas paru souhaitable d'étendre aux collectionneurs la dérogation prévue par la directive.

Autant, en effet, il est nécessaire de prendre en considération les armes aujourd'hui légalement détenues basculant en catégorie A (cas des tireurs sportifs et de certains services de sécurité), autant il n'a pas paru opportun d'étendre le bénéfice de cette dérogation à des personnes qui, aujourd'hui, n'ont déjà pas le droit de détenir de telles armes. C'est le cas des collectionneurs.

Il s'agit de limiter ainsi le nombre et le flux de ces armes, parmi les plus dangereuses compte tenu de leurs caractéristiques techniques.

- autres personnes

La directive, dans son article 6, permet enfin de maintenir un régime d'autorisation, « dans des cas particuliers, exceptionnels et dûment motivés », et « en vue de protéger la sécurité des infrastructures critiques, la navigation commerciale, les convois de grande valeur et les lieux sensibles, ainsi qu'à des fins de défense nationale, éducatives, culturelles, de recherche et historiques ».

Cette possibilité doit être interprétée comme permettant aux États membres de continuer à délivrer des autorisations d'acquisition et de détention d'armes de catégorie A à des personnes exerçant certaines activités de sécurité privée, en justifiant toutefois le choix des activités retenues à ce titre.

Les services de sécurité privée détenant aujourd'hui ce type d'armes sont peu nombreux.

2. OBJECTIFS POURSUIVIS

La directive, en surclassant des armes qui étaient jusqu'alors classées en catégorie B, pour les soumettre à un régime de prohibition, a pour objectif de renforcer la sécurité publique, en considérant que les caractéristiques techniques de ces armes les rendent particulièrement dangereuses (mode d'approvisionnement semi-automatique, puissance de tir etc.).

3. NÉCESSITÉ DE LÉGIFÉRER ET OPTIONS

Le choix a été fait par le projet de loi d'utiliser la possibilité de déroger au principe d'interdiction ouverte par la directive pour les disciplines sportives recourant à ce type d'armes et pour les services de sécurité privée autorisée. Comme indiqué précédemment, ce choix a été motivé par le fait que les tireurs sportifs sont les détenteurs d'armes les plus strictement contrôlés en droit national, à la fois au plan de la pratique sportive que de l'honorabilité et des conditions de sécurisation des armes détenues. Les autorisations permettant à certains services de sécurité d'acquérir et de détenir des armes de catégorie A seront encadrées par un décret en Conseil d'Etat,

Le projet de loi tire les conséquences du nouveau régime de surclassement des armes qui étaient jusqu'alors classées en catégorie B et dorénavant soumises au principe d'interdiction sauf dérogation.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1 Impact juridique

Il résulte, par le choix de la dérogation qui est fait, de soumettre désormais à un régime d'autorisation administrative préalable des armes qui sont, normalement, sous régime de prohibition. Cet impact est cependant relativement artificiel, puisque c'est le régime du surclassement combiné avec celui de la dérogation autorisée par la directive qui permet cette détention, et non pas un assouplissement ex nihilo du régime de détention.

Compte-tenu de ce qui précède, il convient donc de modifier en ce sens l'article L.312-2 du code de la sécurité intérieure, mais également, par coordination, tous les articles « L » faisant référence à cette détention - par exercice de la dérogation - d'armes de catégorie A : L 312-3, L312-3-1, L312-4, L312-4-3, L312-11, L.312-16 du même code.

4.2 Impact économique

Compte tenu du choix, par le projet de loi, du régime de la dérogation, dans le périmètre précisé ci-dessus, l'impact économique devrait être nul, puisque le flux d'armes achetées devrait rester constant.

5. MODALITÉS DE MISE EN OEUVRE

5.1 Textes d'application

Un décret précisera, pour les deux catégories précitées (tireurs sportifs et services de sécurité privée), le champ et les modalités de la dérogation au principe d'interdiction d'acquisition et de détention. Il précisera également les modalités permettant aux détenteurs légaux de ces armes de régulariser leur situation au regard des nouveaux classements opérées conformément à la directive, dans le cadre de l'exercice des choix laissés aux États membres.

5.2 Application dans le temps

Une entrée en vigueur différée de ces dispositions est nécessaire. En effet, en cas d'entrée en vigueur de la loi dans les conditions de droit commun, les détenteurs légaux de ces armes nouvellement surclassées en catégorie A par la directive du 17 mai 2017 basculeraient dès publication de la loi dans un régime de détention illégale. Il est donc nécessaire pour des raisons de sécurité juridique de différer l'entrée en vigueur de ces nouvelles dispositions afin de permettre au pouvoir réglementaire de tirer les conséquences de cette modification législative et d'en aménager le régime juridique.

Le projet de loi prévoit que les dispositions envisagées entreraient en vigueur à compter d'une date définie par décret en Conseil d'Etat et au plus tard le 14 septembre 2018.

5.3 Application dans l'espace

Les dispositions de la présente loi s'appliqueraient sur l'ensemble du territoire de la République et notamment en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis-et-Futuna et dans les Terres australes et antarctiques françaises.

Conformément au principe de spécialité législative, les modifications des dispositions du livre III du code de la sécurité intérieure et du livre III de la 2 ^ème partie du code de la défense, faites par le titre II de la présente loi, doivent être rendues expressément applicables aux collectivités et territoires susmentionnés. C'est l'objet des modifications prévues par les articles L. 344-1, L. 345-1, L. 346-1 et L. 347-1 du code de la sécurité intérieure et par les articles L. 2441-1, L. 2451-1, L. 2461-1 et L. 2471-1 du code de la défense.

L'INSTAURATION D'UN CONTRÔLE ADMINISTRATIF POUR LES COURTIERS D'ARMES DE CATÉGORIE C

1. ETAT DES LIEUX ET DIAGNOSTIC

La directive du 17 mai 2017 susmentionnée, dans son article 4 §3, soumet à réglementation la totalité des activités d'armuriers et de courtiers.

Selon le code de la sécurité intérieure, les armuriers sont désignés comme toute personne physique ou morale dont l'activité professionnelle consiste en tout ou en partie dans la fabrication, le commerce, l'échange, la location, la réparation ou la transformation d'armes, d'éléments essentiels et accessoires d'armes et de munitions (2° du III de l'article R. 311-1) tandis que les courtiers sont désignés comme les personnes physiques ou morales qui se livrent à une activité d'intermédiation (5° du III de l'article R. 311-1),

L'activité d'intermédiation (1° du III de l'article R. 311-1) correspondant à toute opération à caractère commercial ou à but lucratif dont l'objet est soit de rapprocher des personnes souhaitant conclure un contrat d'achat ou de vente de matériels de guerre, armes et munitions ou de matériels assimilés, soit de conclure un tel contrat pour le compte d'une des parties. Cette opération d'intermédiation faite au profit de toute personne quel que soit le lieu de son établissement prend la forme d'une opération de courtage ou celle d'une opération faisant l'objet d'un mandat particulier ou d'un contrat de commission

La directive prévoit que chaque État membre établit un système réglementant les activités des armuriers et des courtiers.

Cette réglementation doit comprendre, selon les termes de la directive, au moins les mesures suivantes:

- l'enregistrement des armuriers et des courtiers opérant sur le territoire de l'État membre ;

- l'obligation pour les armuriers et les courtiers d'être titulaires d'une licence ou d'une autorisation sur le territoire de l'État membre ;

- un contrôle de l'honorabilité professionnelle et privée et des compétences pertinentes de l'armurier ou du courtier concerné (s'il s'agit d'une personne morale, le contrôle porte sur la personne morale et sur la ou les personnes physiques qui dirigent l'entreprise).

Le code de la sécurité intérieure ne répond que partiellement à ces objectifs, puisque, si les armuriers sont tous soumis à contrôle administratif ^{36 ( * )} , quelles que soient les catégories d'armes fabriquées ou commercialisées, seuls les courtiers, c'est-à-dire les acteurs économiques pratiquant l'intermédiation, exerçant dans le champ des armes de catégories B et A sont soumis à contrôle de l'État. Le I de l'article L. 2332-1 du code de la défense précise à cet égard que les entreprises de fabrication ou de commerce de matériels de guerre et d'armes et munitions de défense des catégories A ou B ne peuvent fonctionner et l'activité de leurs intermédiaires ou agents de publicité ne peut s'exercer qu'après autorisation de l'Etat et sous son contrôle.

2. OBJECTIFS POURSUIVIS

L'objectif poursuivi est, d'une part, d'assurer la transposition complète de la directive sur le contrôle des professionnels des armes, et, d'autre part, de combler une faille dans le dispositif national de contrôle de la circulation des armes civiles, en soumettant à un même contrôle tous les commerçants, depuis le fabricant jusqu'au vendeur détaillant en passant par les intermédiaires (courtiers). Ce contrôle porte sur l'honorabilité et les compétences professionnelles.

Il devra être différencié et adapté aux différents métiers du commerce des armes, pour garantir son efficience.

3. NÉCESSITÉ DE LÉGIFÉRER ET OPTIONS

Pour assurer le complet respect de la directive, il est nécessaire de créer un contrôle des courtiers d'armes de catégorie C, qui ne sont pas contrôlés à ce jour.

La loi doit donc être modifiée à cette fin, pour soumettre ces courtiers, comme les armuriers, à contrôle d'honorabilité et de compétence professionnelle.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1 Impact juridique

L'article L. 313-2 du code de la sécurité intérieure modifié par le présent projet de loi précisera que nul ne peut exercer à titre individuel l'activité qui consiste, à titre principal ou accessoire, en la fabrication, le commerce, l'intermédiation, l'échange, la location, la location-vente, le prêt, la modification, la réparation ou la transformation d'armes, d'éléments d'armes et de munitions ni diriger ou gérer une personne morale exerçant cette activité s'il n'est titulaire d'un agrément relatif à son honorabilité et à ses compétences professionnelles, délivré par l'autorité administrative.

Le contrôle de l'honorabilité vise à s'assurer que le demandeur a un comportement compatible avec l'exercice de la profession envisagée, notamment en s'assurant que son casier judiciaire ne comporte pas de mention incompatible avec cette profession et au regard des préoccupations d'ordre et de sécurité publics. A cet égard, l'article R. 114-5 code de la sécurité intérieure précise que peuvent donner lieu aux enquêtes mentionnées à l'article R. 114-1 les autorisations ou agréments suivants relatifs à des matériels, produits ou activités présentant un danger pour la sécurité publique, notamment ceux relatifs à la fabrication, au commerce, à l'acquisition, à la détention, à l'importation et à l'exportation de matériels de guerre, armes et munitions.

Le contrôle des compétences professionnelles a pour objet de s'assurer que la personne concernée dispose d'une aptitude professionnelle adaptée à ce domaine d'activité ^{37 ( * )} .

4.2 Impact économique

Le nouveau régime de contrôle administratif ne devrait avoir, en tant que tel, aucun impact économique, sauf s'il apparaissait que certains opérateurs, aujourd'hui non contrôlés, ne répondraient pas aux exigences nouvelles en termes de compétence professionnelle et d'honorabilité, auquel cas ils ne pourraient plus continuer d'exercer l'activité.

On estime cependant que les opérateurs répondant à la définition du courtier sont très peu nombreux, s'agissant des armes de catégorie C. Le champ « naturel » de l'intermédiation est plus, en effet, le commerce des armes ou matériels de guerre des catégories A et B, déjà réglementée.

4.3 Impact social

Sous la même réserve que celle énoncée ci-dessus, ce nouveau régime n'aura aucun impact social.

4.4 Impact administratif

Ce nouveau régime nécessitera pour le ministère de l'intérieur d'instruire et de délivrer les titres administratifs autorisant l'exercice de cette profession, après contrôle d'honorabilité et des compétences professionnelles, selon un cahier des charges qui sera défini par voie réglementaire.

5. MODALITÉS DE MISE EN OEUVRE

5.1 Textes d'application

Un décret en Conseil d'État fixera les modalités d'application de ce nouveau régime juridique applicable aux courtiers d'armes de catégorie C.

5.2 Application dans le temps

Les dispositions envisagées entreront quant à elles en vigueur au plus tard le 14 décembre 2019. Ces dispositions modifient l'article L. 313-2 du code de la sécurité intérieure afin de soumettre l'ensemble des courtiers d'armes de catégorie C à un contrôle portant sur leur honorabilité et leurs compétences professionnelles.

Le choix de la date du 14 décembre 2019 résulte du 2 de l'article 2 de la directive, qui laisse un délai supplémentaire aux États membres pour préciser, justement, ces conditions de compétence professionnelle et d'honorabilité, et pour préparer à la bascule dans le nouveau régime de contrôle de ces courtiers.

5.3 Application dans l'espace

Les dispositions de la présente loi s'appliquent sur l'ensemble du territoire de la République et notamment en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis-et-Futuna et dans les Terres australes et antarctiques françaises.

Conformément au principe de spécialité législative, les modifications des dispositions du livre III du code de la sécurité intérieure et du livre III de la 2 ^ème partie du code de la défense, faites par le titre II de la présente loi, doivent être rendues expressément applicables aux collectivités et territoires susmentionnés. C'est l'objet des modifications prévues par les articles L. 344-1, L. 345-1, L. 346-1 et L. 347-1 du code de la sécurité intérieure et par les articles L. 2441-1, L. 2451-1, L. 2461-1 et L. 2471-1 du code de la défense.

L'INTERDICTION DE LA LIVRAISON AU DOMICILE DE L'ACQUÉREUR DES ARMES ACHETÉES PAR CORRESPONDANCE

1. ETAT DES LIEUX ET DIAGNOSTIC

La directive du 17 mai 2017, dans son article 5 ter , ne modifie pas les règles des États membres qui permettent que les transactions sur des armes à feu, leurs parties essentielles et sur les munitions, soient faites au moyen de la vente par correspondance, sur internet ou au moyen des contrats à distance.

Toutefois, la directive exige que les droits nationaux organisent la vérification de l'identité des parties à ces transactions et leur légitimité à effectuer ces transactions et que ce contrôle soit effectif. C'est pourquoi, elle précise que, dans ce cas, la livraison d'armes à feu, leurs parties essentielles ou de munitions de la catégorie A, B ou C, doit faire l'objet d'une vérification de l'identité de l'acheteur et, le cas échéant, de son autorisation d'acquisition et de détention, avant la livraison ou au plus tard, au moment de la livraison. Cette vérification, selon la directive, doit être assurée soit auprès d'un armurier, soit auprès d'une autorité publique.

L'article L. 313-5 du code de la sécurité intérieure impose que les armes achetées à distance doivent être livrées chez un armurier. Cet article prévoit également une dérogation à cette obligation de livraison dans les locaux d'un armurier en renvoyant à un décret en Conseil d'État le soin de préciser le champ de cette dérogation.

Dans la pratique, la dérogation est ouverte à toutes les catégories d'armes sans distinction. En effet, l'article R. 313-23 du code de la sécurité intérieure dispose qu'en application de l'article L. 313-5 du même code, les armes et leurs éléments des catégories B, C, du 1° et des g et h du 2° de la catégorie D et les munitions de toute catégorie peuvent, par dérogation à l'article L. 313-4, être livrés directement à l'acquéreur dans le cadre d'une vente par correspondance ou à distance, dans le respect des dispositions du chapitre V.

Ces régimes de dérogation reposent sur un contrôle de l'identité de l'acheteur qui ne fait l'objet d'aucune vérification préalable ou concomitante à la livraison par une autorité publique ou par un armurier, lorsque la transaction est faite de particulier à particulier. Même pour les armes de catégorie B cédées par un particulier à un autre particulier, ce contrôle n'est pas obligatoire, préalablement à la transaction,

L'acheteur n'est en effet tenu que d'envoyer au vendeur une photocopie d'un document d'identité, ce qui n'offre aucune garantie d'authenticité et ne respecte pas les dispositions nouvelles de la directive.

Le fait de vendre ou d'acheter des matériels de guerre, des armes, des munitions ou leurs éléments en méconnaissance des dispositions de l'article L. 313-5 constitue un délit passible de cinq ans d'emprisonnement et de 75 000 euros d'amende.

2. OBJECTIFS POURSUIVIS

Le présent projet de loi prévoit d'imposer une vérification de l'identité de l'acheteur et, le cas échéant, de son autorisation d'acquisition et de détention, avant la livraison ou au plus tard, au moment de la livraison, soit auprès d'un armurier, soit auprès d'une autorité publique. Ce nouveau régime doit permettre de renforcer la sécurité publique en évitant que des transactions bénéficient à des personnes non autorisées ou qui souhaiteraient se soustraire au contrôle administratif.

Le projet de loi a pour objectif de supprimer la dérogation actuellement autorisée dans le droit national s'agissant des ventes entre particuliers.

3. NÉCESSITÉ DE LÉGIFÉRER ET OPTIONS

En opportunité, il a été estimé qu'il fallait, d'une part, empêcher toute possibilité de dérogation pour ces ventes entre particuliers, en neutralisant toute demande d'assouplissement au principe de l'interdiction par voie réglementaire. D'autre part, il est également apparu nécessaire de garantir le plein effet de la directive en limitant, législativement, le champ des dérogations à l'interdiction de livraison au domicile.

Il est de ce fait proposé de supprimer toute possibilité de déroger à la livraison obligatoire dans des locaux d'armuriers.

La directive ouvre aux Etats la possibilité de faire contrôler ces livraisons d'armes, soit par les armuriers ou courtiers, soit par une autorité publique. Celle-ci ne pourrait être, en France, que les services de police ou de gendarmerie, ou les services des préfectures.

Il n'a pas paru opportun au Gouvernement de solliciter les commissariats de police ou les brigades de gendarmerie ni les services des préfectures pour ne pas créer des charges de gestion nouvelles pour les services de l'État.

Le passage par l'armurier garantit de son côté un contrôle qu'il est mieux à même d'effectuer, s'agissant de la nature de l'arme qu'il recevra (son classement, et donc l'adéquation du titre de détention par rapport au classement de l'arme), avant sa livraison à l'acquéreur.

Cette vérification exige une compétence technique (professionnelle) dont l'armurier est garant, plus encore que les services de l'État.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1 Impact juridique

Il est proposé de modifier l'article L. 313-5 du code de la sécurité intérieure afin d'être en conformité avec les objectifs de la directive. L'interdiction prévue nécessite de modifier l'article L. 313-5 du code de la sécurité intérieure, qui définit aujourd'hui le régime des ventes à distances d'armes et des munitions, et ouvre sans limitation aucune, la possibilité de déroger à l'interdiction de livraison à domicile.

4.2 Impact économique

Le nouveau régime pourrait avoir un impact économique dans les relations entre particuliers, si l'obligation de réaliser la transaction sous le contrôle d'un armurier devait freiner ces transactions. Il s'agit cependant, en tout état de cause, de flux financiers modestes, sans effet notable sur les équilibres économiques.

S'agissant des armuriers, la prohibition de la livraison à domicile des armes vendues entre particuliers pourrait engendrer des frais ou des contraintes de gestion (réception des armes, stockage éventuel pendant quelques jours, temps passé à contrôler la transaction - identité de l'acquéreur, existence d'un éventuel titre de détention, contrôle du fichier des interdits de détention d'armes -). Ces frais et ces contraintes devraient être répercutés sur les parties à la vente, sous forme d'une commission qu'il appartiendra à l'armurier de fixer librement. Il n'a pas paru souhaitable, en effet, que l'État intervienne dans la détermination de la tarification d'une prestation commerciale, qui pourra être variable, au demeurant, si l'armurier se limite aux vérifications réglementaires, ou s'il propose à l'acquéreur, en outre, une prestation qui s'approcherait d'un contrôle technique, ce que rien n'interdit mais qui ne sera pas obligatoire non plus.

4.3 Impact administratif

A partir du moment où la livraison des armes vendues à distance de particulier à particulier se ferait chez les professionnels, les mesures envisagées ne devraient avoir aucun impact sur les services de l'État lesquels ne seront pas mis à contribution pour contrôler ces ventes.

5. MODALITÉS DE MISE EN OEUVRE

5.1 Textes d'application

Un décret en Conseil d'État précisera les modalités d'application des présentes dispositions, notamment afin de supprimer la dérogation à l'obligation de se faire livrer les armes, les munitions et leurs éléments essentiels dans une armurerie pour les particuliers et de préciser les modalités du contrôle de l'identité et des titres de détention produits à l'occasion de cette vente.

5.2 Application dans le temps

Des dispositions transitoires et d'entrée en vigueur différée sont indispensables pour ces dispositions afin d'éviter un effet couperet dès l'entrée en vigueur de la présente loi. Cette entrée en vigueur différée est calée sur la date de transposition générale de la directive, soit le 14 septembre 2018. S'agissant d'une mesure ayant pour objet principal la protection de l'ordre et de la sécurité publics, il n'a pas paru opportun d'aller au-delà de cette date.

5.3 Application dans l'espace

Les dispositions de la présente loi s'appliquent sur l'ensemble du territoire de la République notamment en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis-et-Futuna et dans les Terres australes et antarctiques françaises.

Conformément au principe de spécialité législative, les modifications des dispositions du livre III du code de la sécurité intérieure et du livre III de la 2 ^ème partie du code de la défense, faites par le titre II de la présente loi, doivent être rendues expressément applicables aux collectivités et territoires susmentionnés. C'est l'objet des modifications prévues par les articles L. 344-1, L. 345-1, L. 346-1 et L. 347-1 du code de la sécurité intérieure et par les articles L. 2441-1, L. 2451-1, L. 2461-1 et L. 2471-1 du code de la défense. .

LES TRANSACTIONS SUSPECTES

1. ETAT DES LIEUX ET DIAGNOSTIC

La directive, dans son article 10§2, prévoit la possibilité, pour les armuriers, de refuser légalement des transactions portant sur des munitions et composants de munitions qui apparaîtraient comme suspectes en raison de leur nature ou de leur échelle.

Elle prévoit aussi un régime de signalement de ces tentatives de transaction. Il s'agit, en droit, d'une dérogation à un principe du droit de la consommation (refus de vente ou de prestation). En effet, en droit interne, l'article L. 121-11 (alinéa 1 ^er ) du code de la consommation précise qu'est interdit le fait de refuser à un consommateur la vente d'un produit ou la prestation d'un service, sauf motif légitime. Ce principe est sanctionné par l'article R. 132-1 du même code qui prévoit que les refus de vente ou de prestation de services, en méconnaissance des dispositions du premier alinéa de l'article L. 121-11, sont punis de la peine d'amende prévue pour les contraventions de la 5e classe.

C'est donc par une dérogation légale à la réglementation sur le refus de vente qu'est instituée cette possibilité de refuser les transactions suspectes conformément aux objectifs fixées par la directive du 17 mai 2017 ^{38 ( * )} .

2. OBJECTIFS POURSUIVIS

Dans un souci de sécurité publique, le projet de loi prévoit de permettre aux armuriers et aux courtiers de refuser de conclure toute transaction visant à acquérir des armes, cartouches complètes de munitions, ou de composants de munitions, qu'ils pourraient raisonnablement considérer comme suspecte, en raison de sa nature ou de son échelle, et de signaler toute tentative de transaction de ce type aux autorités compétentes.

3. NÉCESSITÉ DE LÉGIFÉRER ET OPTIONS

L'article 10§2 de la directive ne vise que les transactions relatives à des cartouches complètes de munitions ou d'éléments de munitions. La transposition de la directive ne s'oppose toutefois pas à une mise en cohérence de la législation française puisqu'elle autorise les Etats membres à prévoir des mesures plus contraignantes en droit interne. Le gouvernement a saisi cette opportunité pour étendre la faculté offerte aux armuriers aux armes et aux éléments d'armes.

En l'absence de dispositions dans le code de la sécurité intérieure, il convient de compléter ce code par un article L. 313-6.

4. ANALYSE DES IMPACTS.

4.1 Impact juridique

L'article L. 313-6 qu'il est proposé d'ajouter au code de la sécurité intérieure aura pour impact juridique, non pas de contraindre les armuriers à refuser toute transaction sur laquelle ils pourraient avoir un doute, mais de les mettre à l'abri de toutes poursuites pénales, s'ils refusent une telle vente (au regard de la qualification pénale de refus de vendre).

Ainsi l'armurier ou le courtier ne sera pas dans l'obligation de refuser systématiquement de conclure la transaction en présence d'un doute. Il devra en revanche signaler la tentative de transaction suspecte en cas de refus de sa part.

Le caractère suspect d'une transaction est en effet subjectif, raison pour laquelle il est difficile d'établir une incrimination. Si une transaction manifestement suspecte ne fait pas l'objet d'un refus, l'armurier pourrait être inquiété, le cas échéant, dans le cadre d'une procédure pénale, notamment par application des règles relatives à la complicité (par aide et assistance).

Le seul cas pouvant objectivement donner lieu à incrimination est celui du refus de transaction suspecte qui ne ferait pas l'objet d'un signalement, cas dans lequel le pouvoir réglementaire pourra prévoir une contravention de cinquième classe.

En outre, en plus des éventuelles sanctions pénales, des sanctions administratives sont susceptibles d'être encourues. A titre d'illustration, l'article R. 313-7 du code de la sécurité intérieure prévoit la possibilité de suspendre ou de retirer, pour des raisons d'ordre public et de sécurité des personnes, l'agrément d'armurier.

Le 2° de l'article R. 313-18 du même code prévoit la possibilité de suspendre ou de retirer l'autorisation d'ouverture de local commercial de l'armurier lorsque ne sont plus remplies les conditions auxquelles cette autorisation est soumise lors de sa délivrance, notamment lorsque l'exploitation du local est à l'origine de troubles répétés à l'ordre ou à la sécurité publics.

Enfin, le II de l'article R. 313-38 de ce code prévoit la possibilité de retirer l'autorisation de fabrication et de commerce pour des raisons d'ordre ou de sécurité publics.

4.2 Impact économique

Les transactions suspectes sont exceptionnelles : l'impact économique est donc nul, surtout mis en balance avec l'impact positif en termes de sécurité publique. En effet, en pratique, la majorité des transactions suspectes a lieu hors réseau des armuriers et du commerce licite.

5. MODALITÉS DE MISE EN OEUVRE

5.1 Textes d'application

Un décret en Conseil d'Etat fixera les modalités d'application des dispositions relatives à la transaction suspecte.

5.2 Application dans le temps

Des dispositions transitoires et d'entrée en vigueur différée sont indispensables pour ces dispositions afin de préciser le nouveau dispositif, notamment le point de contact pour les signalements de transactions suspectes. Cette entrée en vigueur différée est alignée sur la date de transposition générale de la directive, soit le 14 septembre 2018, s'agissant d'une mesure ayant pour objet principal la protection de l'ordre et de la sécurité publics.

5.3 Application dans l'espace

Les dispositions de la présente loi s'appliquent sur l'ensemble du territoire de la République notamment en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis-et-Futuna et dans les Terres australes et antarctiques françaises.

Conformément au principe de spécialité législative, les modifications des dispositions du livre III du code de la sécurité intérieure et du livre III de la 2 ^ème partie du code de la défense, faites par le titre II de la présente loi, doivent être rendues expressément applicables aux collectivités et territoires susmentionnés. C'est l'objet des modifications prévues par les articles L. 344-1, L. 345-1, L. 346-1 et L. 347-1 du code de la sécurité intérieure et par les articles L. 2441-1, L. 2451-1, L. 2461-1 et L. 2471-1 du code de la défense.

TITRE III - MISE EN oeUVRE DE LA DÉCISION N° 1104/2011/UE DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 25 OCTOBRE 2011 RELATIVE AUX MODALITÉS D'ACCÈS AU SERVICE PUBLIC RÉGLEMENTÉ OFFERT PAR LE SYSTÈME MONDIAL DE RADIONAVIGATION PAR SATELLITE ISSU DU PROGRAMME GALILEO

1. ETAT DES LIEUX ET DIAGNOSTIC

1.1 Contexte

Le programme Galileo, initié en 1999, vise à mettre en place et à exploiter une infrastructure de radionavigation et de positionnement par satellite spécifiquement conçue à des fins civiles, qui peut être utilisée par une multitude d'acteurs publics et privés en Europe et dans le monde. L'infrastructure comprend des satellites et un réseau de stations au sol. Le système issu du programme Galileo fonctionne indépendamment des autres systèmes comparables ( Global positioning system - GPS, Glonass ^{39 ( * )} , Beidou ^{40 ( * )} , etc.) et contribue ainsi à assurer l'autonomie stratégique de l'Union européenne. Il offre des fonctionnalités beaucoup plus étendues que le programme européen EGNOS, qui vise à améliorer la qualité des signaux du système américain GPS et du système russe Glonass dans le but d'en assurer la fiabilité sur une vaste zone géographique.

La gestion du programme Galileo de radionavigation par satellite est entrée, au début 2001, dans sa phase de développement, qui visait à vérifier et à tester les hypothèses retenues pendant la phase de définition, notamment quant aux différentes composantes de l'architecture du système. Cette phase est suivie par la phase actuelle du déploiement, qui consiste à fabriquer des satellites et des composantes terrestres, à lancer des satellites et à installer des stations et des équipements terrestres afin que le système puisse être pleinement opérationnel.

Initialement construit comme un partenariat entre financements publics et privés ( Galileo Joint Undertaking ), le programme Galileo fait l'objet depuis 2007 d'une maîtrise assurée par la Commission Européenne : ainsi, l'agence du GNSS européen (GSA) créée en 2004 a repris en 2007 l'ensemble des activités de l'entreprise commune Galileo qui a été dissoute.

Les premiers lancements ont eu lieu en 2011.

À ce stade, dix-huit des trente satellites prévus ont été lancés. La phase de capacité opérationnelle initiale a été déclarée le 15 décembre 2016, et la capacité opérationnelle complète est attendue pour 2020. La constellation de trente satellites (dont vingt-quatre en fonction et six satellites supplémentaires, pouvant servir de secours) devrait être en orbite en 2021.

Le coût une fois le programme Galileo déployé est évalué à une dizaine de milliards d'euros ^{41 ( * )} . La France contribue pour près d'un cinquième aux budgets des programmes spatiaux européens. Le marché mondial des produits et des services liés à la mise en place de la radionavigation par satellite est en forte expansion (+ 30 % par an selon la Commission européenne ^{42 ( * )} ). Il est estimé que 6 à 7 % du PIB de l'Union dépendent de la navigation par satellite ^{43 ( * )} . En plus des applications de géolocalisation, la radionavigation par satellite permet, entre autres, la synchronisation de réseaux essentiels à l'économie (communication, transport d'électricité, transmission de données, etc.).

Outre le service ouvert, accessible à tous, et un service commercial, plus précis mais dont l'utilisation sera payante, le programme Galileo offre un troisième service, dénommé service public réglementé (SPR), parfois aussi désigné par le sigle anglais PRS ( public regulated service ). Le SPR est réservé aux seuls utilisateurs autorisés par les gouvernements, pour les applications sensibles qui exigent un contrôle d'accès efficace et un niveau élevé de continuité du service, même dans les situations de crise les plus graves. Il est adapté aux services qui exigent une robustesse et une fiabilité absolue. Son signal sécurisé offre une protection supplémentaire contre les tentatives de brouillage ou de leurrage.

1.2 Etat du droit

Le droit français ne comporte actuellement aucune disposition relative au service public réglementé de Galileo. À ce stade, la seule marque du programme Galileo sur le droit français résulte du décret n° 2014-1507 du 15 décembre 2014 portant publication de l'accord relatif signé à Paris le 12 juin 2013, dont l'approbation a été autorisée par la loi n° 2014-548 du 28 mai 2014. Ces stipulations sont relatives à l'hébergement et au fonctionnement du centre de sécurité Galileo, et ne comportent pas de normes relatives au service public réglementé de Galileo.

La décision n° 1104/2011/UE du Parlement européen et du Conseil du 25 octobre 2011 publiée au Journal officiel de l'Union européenne le 4 novembre 2011 précise les obligations des Etats membres qui souhaitent recourir au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo, au nombre desquels se trouve la France, en vue d'assurer leur propre sécurité, et la sécurité de l'Union. Cette décision requiert que l'accès au SPR soit strictement restreint à certaines catégories d'utilisateurs faisant l'objet d'un contrôle permanent, assuré par une « autorité responsable du service public réglementé », fonction qui est dévolue, pour la France, au secrétariat général de la défense et de la sécurité nationale (SGDSN).

La décision n° 1104/2011/UE prend place dans le cadre plus large de la mise en place et de l'exploitation des systèmes européens de radionavigation par satellite, qui sont régis par le règlement (UE) n° 1285/2013 du Parlement européen et du Conseil, qui a remplacé les anciens règlements (CE) n° 876/2002, qui initiait la phase de développement du programme Galileo, et n° 683/2008, qui était relatif à la poursuite de la mise en oeuvre des programmes européens de radionavigation par satellite.

La décision n° 1104/2011/UE susmentionnée ne fixe pas d'échéance pour sa mise en oeuvre en droit national, si ce n'est le 6 novembre 2013 pour la désignation d'une autorité responsable du service public réglementé ^{44 ( * )} . Toutefois, la mise en oeuvre des obligations qu'elle fixe est une condition pour pouvoir bénéficier du service public réglementé, et constitue donc une incitation à adopter les normes nationales nécessaires à cette fin.

La décision n° 1104/2011/UE prévoit que les règles relatives à l'accès au SPR, à la fabrication et au développement des récepteurs SPR et des modules de sécurité associés, et à l'exportation des équipements, de technologie et de logiciels relatifs au SPR sont précisées par des normes minimales communes, dont les domaines sont énumérés en annexe de ladite décision. Ces normes minimales communes ont été adoptées par une décision déléguée (de référence C(2015) 612 final, dont les Etats membres ont été rendus destinataires) de la Commission du 15 septembre 2015, complétant la décision n° 1104/2011/UE.

2. OBJECTIFS POURSUIVIS

Le tableau suivant synthétise les principales dispositions de la décision n° 1104/2011/UE qui appellent à prendre des mesures de transposition:

3. OPTIONS ET NÉCESSITÉ DE LÉGIFÉRER

La décision n° 1104/2011/UE du Parlement européen et du Conseil susmentionnée constitue un acte législatif pris, selon la procédure législative ordinaire, sur la base de l'article 172 du traité sur le fonctionnement de l'Union européenne (TFUE).

Cet article 172 TFUE s'inscrit dans le titre XVI dudit traité, qui est relatif aux réseaux transeuropéens - « l'Union contribue à l'établissement et au développement de réseaux transeuropéens dans les secteurs des infrastructures du transport, des télécommunications et de l'énergie » (article 170 du TFUE) ; ce titre s'inscrivant dans la 3ème partie du Traité consacrée aux « politiques et actions internes de l'union ».

Aux termes de l'article 171 du TFUE : « 1. Afin de réaliser les objectifs visés à l'article 170, l'Union :

- établit un ensemble d'orientations couvrant les objectifs, les priorités ainsi que les grandes lignes des actions envisagées dans le domaine des réseaux transeuropéens ; ces orientations identifient des projets d'intérêt commun ;

- met en oeuvre toute action qui peut s'avérer nécessaire pour assurer l'interopérabilité des réseaux, en particulier dans le domaine de l'harmonisation des normes techniques (...) ».

Les orientations et les autres mesures visées à l'article 171, paragraphe 1, sont arrêtées par le Parlement européen et le Conseil, statuant conformément à la procédure législative ordinaire et après consultation du Comité économique et social et du Comité des régions (article 172 du TFUE).

La décision n° 1104/2011/UE est donc une mesure visée à l'article 171 paragraphe 1, arrêtée conformément à l'article 172 sous la forme d'une décision, obligatoire dans tous ses éléments (article 288 du TFUE), adoptée selon la procédure législative ordinaire (articles 289 §1 et 294 du TFUE).Elle s'inscrit dans la ligne de l'ancien règlement (CE) n° 683/2008 du Parlement européen et du Conseil du 9 juillet 2008 relatif à la poursuite de la mise en oeuvre des programmes européens de radionavigation par satellite (EGNOS et Galileo), lui-même pris sur la base des dispositions du titre du Traité instituant la Communauté européenne (TCE) consacré aux réseaux transeuropéens.

Aux termes de l'article 1 ^er du Règlement n° 683/2008 précité : « 4. Les objectifs spécifiques des programmes figurent en annexe. », et cette annexe prévoit que « Les objectifs spécifiques du programme Galileo consistent à assurer que les signaux émis par le système peuvent être utilisés pour exercer les cinq fonctions suivantes: (...) offrir un « service public réglementé» (dit « Public Regulated Service » ou PRS) réservé aux utilisateurs autorisés par les gouvernements, pour les applications sensibles qui exigent un niveau élevé de continuité du service. Le «service public réglementé» utilise des signaux robustes et cryptés (...) ».

Le respect des obligations fixées par la décision n° 1104/2011/UE nécessite de recourir à la loi, à deux titres.

En premier lieu, le SPR n'étant accessible qu'aux utilisateurs autorisés par les gouvernements, la mise en place du régime d'autorisation qui en découle nécessite l'intervention de la loi, qui doit couvrir les trois domaines requis :

- l'utilisation du SPR,

- la fabrication et le développement des récepteurs SPR et des modules de sécurité associés,

- l'exportation des équipements, de technologie et de logiciels relatifs au SPR.

Ce dispositif permettra à l'autorité administrative d'assurer le respect des normes minimales communes énumérées en annexe de la décision, en termes, notamment, d'organisation des groupes d'utilisateurs, de définition de la gestion de leurs droits d'accès, de distribution des clés du service public réglementé et des informations classifiées y afférentes, de gestion de la sécurité.

Afin de permettre la vérification requise par les normes minimales communes pour les transferts intra-communautaires d'équipements, de technologie et de logiciels relatifs au SPR, une déclaration sera requise pour ces transferts.

En second lieu, la décision n° 1104/2011/UE requiert l'adoption de sanctions efficaces, proportionnées et dissuasives. Compte tenu de la sensibilité des applications du service public réglementé et des enjeux de sécurité associés il apparaît que des sanctions pénales (détaillées ci-après) sont adaptées. L'intervention de la loi est nécessaire, conformément à l'article 34 de la Constitution, pour déterminer les infractions, à caractère délictuel, aux règles de protection du service public réglementé, ainsi que les peines qui leur sont applicables.

4. ANALYSE DES IMPACTS DES DISPOSITIONS ENVISAGÉES

4.1 Impact juridique

Le projet de loi, qui introduit dans le titre II du livre III de la partie 2 du code de la défense un chapitre consacré service public réglementé offert par le système mondial de radionavigation par satellite issu du programme européen Galileo, ne modifie pas de dispositions existantes. Conformément aux obligations découlant de la décision n° 1104/2011/UE, il instaure un régime d'autorisation préalable tant pour l'accès à ce service, que pour le développement et la fabrication de récepteurs et modules de sécurité et enfin l'exportation, hors du territoire de l'Union européenne, des équipements, technologies et logiciels relatifs à ce service.

Les équipements, technologie ou logiciels en cause pouvant cependant relever de catégories de biens dont l'exportation est soumise à autorisation en vertu d'autres régimes prévus par la législation nationale ou européenne (matériels de guerre, armes et munitions d'une part, biens à double usage d'autre part), le projet précise que l'autorisation préalable est délivrée sans préjudice de l'application :

- des dispositions du code de la défense applicables aux importations et exportations des matériels de guerre (articles L. 2335-1 et suivant du code de la défense) ;

- du règlement n° 428/2009 du Conseil du 5 mai 2009 instituant un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit de biens à double usage qui en régissent l'exportation, dont les conditions d'application sont déterminées par le décret n° 2001-1192 du 13 décembre 2001 relatif au contrôle à l'exportation, à l'importation et au transfert de biens et technologies à double usage.

Les transferts au sein de l'Union européenne d'équipements conçus pour l'utilisation du service seront quant à eux soumis au seul régime de déclaration.

Enfin les sanctions pénales dont est assorti le dispositif visent à être proportionnées et dissuasives, ainsi que l'exige la décision transposée, tant pour les entreprises de taille moyenne que pour des acteurs économiques plus importants. Il est prévu de faire du défaut d'autorisation ou du non-respect des conditions ou restrictions dont est assortie l'autorisation un délit, de même que la tentative, punis d'une amende de 200 000 euros. Quant au défaut de déclaration, pour les transferts intra-communautaires, il est prévu de le punir d'une amende de 50 000 euros. Des peines complémentaires sont également prévues, tant pour les personnes morales que pour les personnes physiques. Ces montants apparaissent proportionnés et dissuasifs, en particulier pour les personnes physiques. S'agissant des personnes morales de plus grande taille, telles que les industriels de la défense, les peines complémentaires également encourues permettront d'atteindre ce même objectif, notamment par la fermeture d'un ou plusieurs établissements ou l'exclusion temporaire des marchés publics.

4.2 Impact économique

Le projet de loi impose de nouvelles obligations aux seuls utilisateurs, fabricants et exportateurs de biens et services liés au service public réglementé de Galileo. Le coût de ces obligations ne pèsera néanmoins que sur les personnes intéressées par les fonctionnalités offertes par le service et bénéficiaires de l'autorisation. À ce jour, il est estimé que seront concernés quelques dizaines d'industriels, s'agissant de la fabrication, du développement et de l'exportation, et d'une dizaine à quelques dizaines de communautés utilisatrices. Pour ces entités, la charge administrative est comparable à celle d'un processus de certification, chacune d'elles devant justifier satisfaire entre vingt et trente critères techniques.

A ce stade, sont identifiés principalement des communautés d'utilisateurs relevant des ministères régaliens (défense, affaires étrangères, intérieur, justice) et des acteurs industriels impliqués dans le développement et la fabrication des récepteurs et modules de sécurité. Cette utilisation pourra progressivement s'étendre aux infrastructures critiques de transport, d'énergie ou de télécommunication.

L'impact de ces obligations nouvelles doit être mis en balance avec, d'une part, les bénéfices retirés du droit d'accéder au SPR pour les utilisateurs (continuité et robustesse du service, protection renforcée contre le brouillage et le leurrage) et pour les industriels (nouvelles opportunités de développement économique) concernés, et d'autre part avec le coût pour la France et pour l'Union européenne dans son ensemble qu'auraient des atteintes et des menaces dirigées contre l'intégrité de ce service. Cette préoccupation est telle, compte tenu de l'importance stratégique du programme Galileo en général et du SPR en particulier, que la décision n° 2014/496/PESC du Conseil du 22 juillet 2014 a prévu les modalités de réponse spécifiques, y compris en urgence, à des menaces ou à des atteintes de cette nature. Ces réponses pourraient aller jusqu'à des suspensions ou cessations d'autorisations accordées, afin d'assurer la protection même du service public réglementé, si des compromissions ou des vulnérabilités critiques venaient à être identifiées.

4.3 Impact social

Le cadre légal proposé vise à garantir la disponibilité d'un service sécurisé de radionavigation, de positionnement et de synchronisation y compris en cas de crise grave. Il contribuera ainsi à assurer la continuité d'activités économiques et sociales de la nation, et au développement de nouvelles solutions pour les services autorisés par le gouvernement (forces civiles de sécurité, défense, infrastructures critiques etc.).

En outre, le projet de loi permettra un développement de l'industrie française en matière de radionavigation par satellite et de ses applications et augmentera les besoins en main-d'oeuvre qualifiée dans ce secteur. Les entreprises du secteur pourront profiter du marché de l'ensemble des pays ayant mis en place un cadre normatif en la matière : la plupart des pays européens devraient s'en doter, et de grands pays hors de l'Union ont déjà manifesté leur intérêt (en particulier les Etats-Unis). Il convient de signaler, par exemple, que le développement de récepteurs bi-mode GPS et SPR est envisagé.

4.4 Impact administratif

Le SGDSN sera chargé de la mise en oeuvre du dispositif et, à ce titre, délivrera les autorisations d'utilisation, de fabrication et de développement et d'exportation, et recevra les déclarations pour les transferts intracommunautaires.

Une cellule a d'ores et déjà été mise en place au sein de la direction des affaires internationales, stratégiques et technologiques, qui assure la liaison avec les instances européennes (dont l'agence européenne du GNSS ^{45 ( * )} située à Prague) ainsi qu'avec les grands industriels français dans les secteurs de la technologie et de la défense.

Alors que d'autres pays s'orientent vers la création d'agences dédiées (Espagne), le choix d'une structure légère s'appuyant autant que possible sur des moyens existants a été fait, pour la France. Compte tenu de son rôle interministériel en matière de sécurité des programmes spatiaux, le SGDSN est apparu comme le meilleur positionnement pour assurer ces fonctions. Il s'appuiera en tant que de besoin sur l'expertise des autres ministères (notamment, le ministère des armées, qui dispose déjà d'une expérience de gestion de clefs sécurisées pour le GPS).

5. CONSULTATIONS MENÉES

Aucune consultation obligatoire, hormis le Conseil d'Etat, n'est nécessaire pour ce projet de loi.

La consultation facultative de la commission supérieure de codification, qui peut être consultée sur les projets de textes modifiant des codes existants ^{46 ( * )} , n'a pas paru nécessaire en l'espèce, en l'absence de difficulté pour l'insertion de ces nouvelles dispositions dans le code de la défense.

6. MODALITÉS DE MISE EN oeUVRE

6.1 Textes d'application

Des dispositions réglementaires d'application seront nécessaires. Le projet de loi renvoie à un décret en Conseil d'Etat les conditions d'application des dispositions relatives aux activités contrôlées. Le décret désignera le SGDSN pour assurer cette mission, et précisera les modalités de procédure concernant les autorisations et déclarations prévues par la loi.

D'autres dispositions de la décision relèvent simplement de mesures d'application, comme la désignation d'autorités compétentes et la participation aux instances européennes de coopération créées par la directive.

6.2 Application dans le temps

La loi entrera en vigueur le lendemain de sa publication. Toutefois, ses dispositions ne seront pas directement applicables sans texte d'application.

6.3 Application dans l'espace

Les dispositions du projet de loi seraient applicables de plein droit dans les collectivités de l'article 73 de la Constitution (Guadeloupe, Guyane, Martinique, La Réunion, Mayotte) ainsi que dans les collectivités de l'article 74 de la Constitution qui sont régies par le principe de l'identité législative dans ce domaine (Saint-Barthélemy, Saint-Martin et Saint-Pierre-et-Miquelon).

En ce qui concerne les collectivités régies par le principe de spécialité législative (la Nouvelle-Calédonie, la Polynésie française, Wallis-et-Futuna et les Terres australes et antarctiques françaises), l'Etat est compétent en matière de sécurité publique. En conséquence, le présent projet de loi peut y être rendu applicable.

En ce qui concerne les dispositions du titre III relatif au service public réglementé de GALILEO, il convient de ne pas étendre les articles L. 2323-2 et L. 2323-5 créés par le présent projet aux collectivités relevant de la spécialité législative, en ce qu'ils sont relatifs au transfert intracommunautaire, transfert qui ne concerne pas les pays et territoires d'outre-mer.

La référence au règlement n° 428/2009 du Conseil du 5 mai 2009 dans le projet de loi doit faire l'objet de grilles de lectures. C'est l'objet des 2° à 5° du III de l'article 21.

Le contreseing de la ministre des outre-mer sera requis, dès lors que ce projet contient une mention d'application concernant les collectivités régies par le principe de spécialité législative.

ANNEXE I : TABLEAU SYNTHÉTIQUE DE PRÉSENTATION DES RÉGIMES ACTUELS D'ACQUISITION ET DE DÉTENTION DES DIFFÉRENTES CATÉGORIES D'ARMES

ANNEXE II : TABLEAU DE TRANSPOSITION DE LA DIRECTIVE (UE) 2016/1148 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 6 JUILLET 2016 CONCERNANT DES MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE SECURITE DES RESEAUX ET DES SYSTEMES D'INFORMATION DANS L'UNION

. En particulier, un tiers qui exploite des systèmes pour le compte d'un opérateur devra l'informer des incidents affectant ces systèmes afin de permettre à cet opérateur de déclarer à l'ANSSI ces incidents.

ANNEXE III : TRANSPOSITION DE LA DÉCISION N° 1104/2011/UE DU 25 OCTOBRE 2011 DU PARLEMENT EUROPÉEN ET DU CONSEIL DU 25 OCTOBRE 2011 RELATIVE AUX MODALITÉS D'ACCÈS AU SERVICE PUBLIC RÉGLEMENTÉ OFFERT PAR LE SYSTÈME MONDIAL DE RADIONAVIGATION PAR SATELLITE ISSU DU PROGRAMME GALILEO

---

* ¹ Document COM(2010) 245 final du 19.5.2010

* ² Document COM(2013) 48 final du 7.2.2013

* ³ Définie par la directive comme la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles.

* ⁴ Document JOIN(2013) 1 final du 7.2.2013

* ⁵ L'article 114 prévoit que l'Union européenne est habilitée à adopter des mesures destinées à établir ou assurer le fonctionnement du marché intérieur.

* ⁶ La proposition de directive a été accompagnée d'une étude d'impact (document SWD (2013) 32 final du 7.2.2013.

* ⁷ The cost of incidents affecting CIIs (disponible sur le site internet de l'ENISA).

* ⁸ Cf. services visés à l'annexe III de la directive et qui font l'objet de son chapitre V.

* ⁹ Les administrations publiques étaient explicitement visées par le chapitre IV de la proposition initiale de directive de la Commission européenne.

* ¹⁰ Articles L. 1332-6-1 et suivants du code de la défense issus de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

* ¹¹ Les opérateurs d'importance vitale sont définis aux articles L. 1332-1 et L. 1332-2 du code de la défense.

* ¹² Ou comme ceux exploitant des installations « dont la destruction ou l'avarie [...] peut présenter un danger grave pour la population »

* ¹³ Certains secteurs d'activités des opérateurs d'importance vitale et des opérateurs de services essentiels étant néanmoins communs, l'articulation entre ce dispositif et celui transposant la directive est analysée au point 4.2.

* ¹⁴ Décret n° 2009-834 du 7 juillet 2009 portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information ».

* ¹⁵ Les principaux fournisseurs étrangers sont d'origine américaine (Google, Amazon, Microsoft,...).

* ¹⁶ Une attaque de type DDOS est une attaque informatique ayant pour but de rendre indisponible un service ou un serveur (serveur de fichiers, serveur web, serveur de courriers, etc.) et d'empêcher ainsi les utilisateurs légitimes d'y accéder. Le type d'attaque DDOS le plus fréquent consiste pour l'attaquant à envoyer vers la cible un trafic très volumineux pour submerger la bande passante du serveur et ainsi rendre indisponible l'accès normal. En général, l'attaquant utilise pour cela un ensemble de machines (appelées « botnet ») dont il a pris le contrôle, souvent à l'insu de leurs utilisateurs, qui vont envoyer du trafic vers la cible.

* ¹⁷ Les États membres ont bien sûr le droit, en principe, de prendre des mesures plus strictes que celles prévues par la directive.

* ¹⁸ Deux facteurs sont intervenus dans la décision de modifier la directive, à savoir :

a) la signature, par la Commission européenne au nom de la Communauté européenne, le 16 janvier 2002, du protocole des Nations unies contre la fabrication et le trafic illicites d'armes à feu, de leurs pièces, éléments et munitions, additionnel à la convention des Nations unies contre la criminalité transnationale organisée ;

b) les résultats et propositions d'amélioration (armes neutralisées, licences d'importation et d'exportation, tenue de registres, marquage, etc.) présentés par la Commission dans son rapport de décembre 2000 sur la mise en oeuvre de la directive 91/477/CEE, faisant suite à la t transposition en droit national de celle-ci par tous les États membres - COM(2000) 837, rapport au Parlement européen et au Conseil, « Mise en oeuvre de la directive 91/477/CEE du Conseil du 18 juin 1991 relative au contrôle de l'acquisition et de la détention d'armes », 15 décembre 2000.

* ¹⁹ Protocole contre la fabrication et le trafic illicites d'armes à feu, de leurs pièces, éléments et munitions, additionnel à la Convention des Nations Unies contre la criminalité transnationale organisé, adopté par la résolution 55/255 de l'Assemblée générale des Nations Unies le 31 mai 2001 et entré en vigueur le 3 juillet 2005

* ²⁰ 5322/15, « Déclaration de Paris » du 11 janvier 2015.

* ²¹ 6112/15, projet de déclaration des membres du Conseil européen.

* ²² 7178/15, communiqué de presse du Conseil «Justice et affaires intérieures».

* ²³ COM(2015) 185 final du 28.4.2015.

* ²⁴ Arrêté du 15 novembre 2007 portant création de l'application de gestion du répertoire informatisé des propriétaires et possesseurs d'armes.

* ²⁵ Cette formulation est utilisée car il existe en pratique des fusils de chasse appelés mixtes qui possèdent un canon lisse et un canon rayé (juxtaposés ou superposés). La directive du 18 juin 1991 modifiée utilise quant à elle l'expression suivante : « les armes à feu longues à un coup par canon rayé ».

* 26 Loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale, relatives au renforcement du dispositif en matière de lutte contre le trafic d'armes.

* ²⁷ Décret n° 2011-1253 du 7 octobre 2011 modifiant le régime des matériels de guerre, armes et munitions.

* ²⁸ Ces services sont divers : il peut s'agir de bureau des armes au sein du service du cabinet du préfet, de service des armes en sous-préfectures, de bureau de la réglementation au sein des directions de la réglementation et des libertés publiques, de directions des sécurités au sein des cabinets des préfectures.

* ²⁹ Selon, l'article L. 311-3 du code de la sécurité intérieure, les armes et matériels historiques et de collection ainsi que leurs reproductions sont :

1° Sauf lorsqu'elles présentent une dangerosité avérée, les armes dont le modèle est antérieur au 1er janvier 1900 ;

2° Les armes dont le modèle est postérieur au 1er janvier 1900 et qui sont énumérées par un arrêté conjoint des ministres de l'intérieur et de la défense compte tenu de leur intérêt culturel, historique ou scientifique ;

3° Les armes rendues inaptes au tir de toutes munitions, quels qu'en soient le modèle et l'année de fabrication, par l'application de procédés techniques et selon des modalités qui sont définis par arrêté conjoint des ministres de l'intérieur et de la défense, ainsi que des ministres chargés de l'industrie et des douanes.

Les chargeurs de ces armes doivent être rendus inaptes au tir dans les conditions fixées par l'arrêté prévu au premier alinéa du présent 3° ;

4° Les reproductions d'armes historiques et de collection dont le modèle est antérieur à la date prévue au 1°, sous réserve qu'elles ne tirent pas de munitions à étui métallique ;

5° Les matériels relevant de la catégorie A dont le modèle est antérieur au 1er janvier 1946 et dont la neutralisation est effectivement garantie par l'application de procédés techniques et selon les modalités définis par arrêté de l'autorité ministérielle compétente ;

6° Les matériels de guerre relevant de la catégorie A dont le modèle est postérieur au 1er janvier 1946, dont la neutralisation est garantie dans les conditions prévues au 5° et qui sont énumérés dans un arrêté du ministre de la défense compte tenu de leur intérêt culturel, historique ou scientifique.

* 30 L'article R.311-3-1 du code de la sécurité intérieure précise que pour le classement des armes mentionnées au premier alinéa de l'article R. 311-3, le ministre de l'intérieur peut solliciter l'avis d'une commission de classement comprenant des représentants des ministères concernés. Un arrêté conjoint des ministres de la défense, de l'intérieur, de la justice et des ministres chargés de l'industrie, du commerce, de la chasse, des douanes et des sports précise l'organisation et les modalités de fonctionnement de cette commission de classement. S'il s'avère que le matériel relève de la compétence du ministre de la défense, au titre de l'article R. 2332-1 du code de la défense, le ministre de l'intérieur lui transmet le dossier de classement dans les meilleurs délais.

* 31 Dernier alinéa de l'article R. 311-3 du code de la sécurité intérieure.

* 32 Article R. 311-3-1 du code de la sécurité intérieure.

* 33 Articles 6 et 7, ainsi que la partie II de l'annexe I de la directive.

* 34 Articles 6 et 7 de la directive.

* 35 Armes issues de la transformation d'une arme automatique (classées A6 selon la directive) ;

- armes à percussion centrale et à chargeur fixe pouvant contenir plus de 10 cartouches (armes longues) ou 20 cartouches (armes courtes) (classées en A7 selon la directive) ;

- armes longues dont la longueur peut être réduite à moins de 60 cm après que la crosse ait été repliée ou enlevée sans l'aide d'outils (classées A8 selon la directive).

* ³⁶ Cf. l'article L. 313-2 du code de la sécurité intérieure qui prévoit que nul ne peut exercer à titre individuel l'activité qui consiste, à titre principal ou accessoire, en la fabrication, le commerce, l'échange, la location, la réparation ou la transformation d'armes, d'éléments d'armes et de munitions ni diriger ou gérer une personne morale exerçant cette activité s'il n'est titulaire d'un agrément relatif à son honorabilité et à ses compétences professionnelles, délivré par l'autorité administrative. Cet article concerne les armuriers pour les armes relevant des catégories C et D.

* 37 Cf. pour les armuriers, l'article R. 313-3 du code de la sécurité intérieure.

* 38 Cf. également la réglementation sur les précurseurs d'explosifs : décret n° 2017-1308 du 29 août 2017 relatif à la commercialisation et à l'utilisation de précurseurs d'explosifs.

* ³⁹ Système global de navigation satellitaire russe.

* ⁴⁰ Système global de navigation satellitaire chinois.

* ⁴¹ Référé de la Cour des comptes, publié le 26 janvier 2016 : https://www.ccomptes.fr/fr/documents/31431.

* ⁴² Ibidem .

* ⁴³ Ibidem

* ⁴⁴ En France, le secrétariat général de la défense et de la sécurité nationale.

* ⁴⁵ Global Navigation Satellite System .

* ⁴⁶ Article 1 ^er du décret n°89-647 du 12 septembre 1989 relatif à la composition et au fonctionnement de la Commission supérieure de codification.

* ⁴⁷ Voir sur ce point considérant 52.