Allez au contenu, Allez à la navigation

22 novembre 2017 : Adaptation dans le domaine de la sécurité au droit de l'UE ( texte déposé au sénat - première lecture )

Document "pastillé" au format PDF (758 Koctets)

N° 105

SÉNAT

SESSION ORDINAIRE DE 2017-2018

Enregistré à la Présidence du Sénat le 22 novembre 2017

PROJET DE LOI

(PROCÉDURE ACCÉLÉRÉE)

portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité,

PRÉSENTÉ

au nom de M. Édouard PHILIPPE,

Premier ministre

Par M. Gérard COLLOMB,

ministre d'État, ministre de l'intérieur

(Envoyé à la commission des lois constitutionnelles, de législation, du suffrage universel, du Règlement et d'administration générale, sous réserve de la constitution éventuelle d'une commission spéciale dans les conditions prévues par le Règlement.)

EXPOSÉ DES MOTIFS

Mesdames, Messieurs,

Le projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité a pour objet de transposer deux directives : la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (Titre Ier) et la directive (UE) 2017/853 du Parlement européen et du Conseil du 17 mai 2017 modifiant la directive 91/477/CEE du Conseil relative au contrôle de l'acquisition et de la détention d'armes (Titre II).

Ce projet de loi permet par ailleurs de tirer les conséquences de la décision n° 1104/2011/UE, en instaurant un mécanisme de sanction pour tout manquement aux obligations de protection du service public réglementé offert par le système mondial de radionavigation par satellite issu du programme GALILEO (Titre III).

TITRE IER

TRANSPOSITION DE LA DIRECTIVE 2016/1148

Le titre Ier, qui transpose dans le droit français la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union, instaure de nouvelles obligations en matière de cyber-sécurité pour les opérateurs de services essentiels au fonctionnement de l'économie et de la société et les fournisseurs de services numériques.

Le premier chapitre regroupe les dispositions communes à l'ensemble de ce titre. L'article 1er définit les notions de « réseaux et systèmes d'information » et de « sécurité des réseaux et systèmes d'information ».

L'article 2 précise le champ d'application du titre Ier et son articulation avec d'autres régimes visant à garantir la sécurité des systèmes d'information. Il reprend, d'une part, les deux catégories d'exclusions communes prévues par la directive et précise, d'autre part, que les dispositions de ce titre ne sont pas applicables aux réseaux et systèmes d'informations soumis, en application d'actes sectoriels du droit de l'Union européenne, à des exigences en matière de sécurité et de notification d'incidents d'effet au moins équivalent.

L'article 3 impose aux prestataires de services habilités à effectuer des contrôles en application du titre Ier, les mêmes obligations de confidentialité que celles applicables aux services de l'État. Il exige également la préservation des intérêts économiques des opérateurs de service essentiel et fournisseurs de services numériques lors de l'information du public par l'État des éventuels incidents de sécurité.

L'article 4 renvoie à un décret en Conseil d'État la définition des modalités d'application du titre Ier et l'établissement de la liste des services essentiels au fonctionnement de la société ou de l'économie, qui déterminera le champ d'application du dispositif pour les opérateurs fournissant de tels services.

Le Chapitre II est consacré à la sécurité des réseaux et systèmes d'information des opérateurs de service essentiel au fonctionnement de la société ou de l'économie. L'article 5 définit la notion d'opérateurs de service essentiels. Il confie au Premier ministre la responsabilité de désigner ces opérateurs et d'en actualiser la liste à intervalles réguliers. Il précise également que les systèmes d'information des opérateurs d'importance vitale mentionnés à l'article L. 1332-6-1 du code de la défense ne sont pas soumis aux dispositions de ce chapitre.

L'article 6 confie au Premier ministre le soin d'édicter les règles de sécurité nécessaires à la protection de ces réseaux et systèmes d'information et prévoit que les opérateurs de services essentiels seront tenus d'appliquer ces règles à leurs frais.

L'article 7 impose aux opérateurs de services essentiels de déclarer leurs incidents de sécurité à l' autorité nationale de sécurité des systèmes d'information. Il permet par ailleurs, en tant que de besoin, à l'autorité compétente de rendre publiques les informations ainsi recueillies et de les communiquer aux autorités d'autres États membres concernés par l'incident.

L'article 8 prévoit la possibilité de soumettre ces opérateurs à des contrôles sur pièce et sur place par l'autorité nationale de sécurité des systèmes d'information ou des prestataires de services habilités à cet effet. Les opérateurs devront, le cas échéant, corriger tout manquement constaté lors de ces contrôles dans le délai imparti par une mise en demeure.

L'article 9 parachève ce chapitre en instaurant des dispositions pénales pour sanctionner le non-respect des obligations ainsi fixées.

Le chapitre III est relatif au régime de sécurité applicable aux réseaux et systèmes d'information des fournisseurs de services numériques. L'article 10 définit les notions de service numérique et de fournisseur de service numérique.

L'article 11 définit quant à lui le champ d'application de ce régime conformément aux termes de la directive et reprend en particulier l'exclusion des microentreprises et petites entreprises dont il précise les seuils.

L'article 12 impose à ces fournisseurs d'identifier les risques auxquels est exposée la sécurité de leurs réseaux et systèmes d'information et de prendre les mesures utiles pour gérer ces risques, éviter les incidents de nature à porter atteinte à la sécurité de leurs réseaux et systèmes d'information et en réduire l'impact.

L'article 13 leur impose également une obligation de déclaration d'incident auprès de l'autorité nationale de sécurité des systèmes d'information dès lors qu'ils ont connaissance du caractère significatif de cet incident. Ces informations pourront être rendues publiques et communiquées en tant que de besoin aux autorités d'autres États membres concernés par l'incident. Cet article prévoit encore lorsque cela est nécessaire la mise en place d'une coopération avec les autorités des autres États membres concernés.

L'article 14 prévoit la possibilité pour le Premier ministre de soumettre un fournisseur qui aurait méconnu l'une de ses obligations, à des contrôles sur place et sur pièce qui s'effectueront à ses frais. Ces fournisseurs devront, le cas échéant, corriger tout manquement constaté lors de ces contrôles à l'expiration du délai imparti par une mise en demeure.

Enfin, l'article 15 clôture ce chapitre III en instaurant des sanctions pénales en cas de non-respect par les dirigeants de ces entreprises des obligations ainsi fixées.

TITRE II

TRANSPOSITION DE LA DIRECTIVE 2017/853

La grande majorité des dispositions prévues par la directive 2017/853 relève du domaine réglementaire. Des adaptations de la législation nationale sont néanmoins nécessaires.

La transposition de cette directive conduit à cet égard à modifier ou inscrire plusieurs dispositions dans la partie législative du code de la sécurité intérieure et du code de la défense. Elle ne retient que les mesures indispensables à cette transposition, exerçant, là où cela est nécessaire, le choix entre des options de transposition ouvertes aux États membres.

La directive du 18 juin 1991 avait été conçue initialement pour harmoniser le marché intérieur des armes civiles. La nouvelle directive modificative du 17 mai 2017, s'inscrit quant à elle, dans le prolongement de la directive 2008/51/CE du Parlement européen et du Conseil du 21 mai 2008, dans une logique de renforcement des mesures de sécurité.

La directive du 17 mai 2017, publiée au Journal officiel de l'Union européenne le 24 mai 2017, est entrée en vigueur le 13 juin 2017. La quasi-totalité de ses dispositions doit être transposée en droit national avant le 14 septembre 2018, conformément à son article 2.

L'article 16 tire les conséquences de la suppression de la catégorie D des armes à feu, mentionnée dans la partie II de l'annexe I de la directive du 18 juin 1991 modifiée par la directive du 17 mai 2017. Il s'agit, en droit interne, des armes classées en catégorie D (1°), c'est-à-dire les armes soumises à enregistrement.

Ces armes de catégorie D soumises à enregistrement étant mentionnées à plusieurs reprises dans la loi, celle-ci doit être modifiée, pour tirer les conséquences de la disparition de cette catégorie.

La directive du 17 mai 2017 n'associe plus les reproductions d'armes historiques aux armes anciennes. Elle invite à prendre en considération les techniques modernes susceptibles d'améliorer la durabilité et la précision de ces reproductions d'armes historiques. En conséquence, le classement, opéré par la loi, de ces armes en catégorie D ne peut plus être systématique. Celles-ci feront l'objet d'un classement réglementaire en fonction de leurs caractéristiques techniques.

L'article 17 tire les conséquences de la suppression de la catégorie D mentionnée à l'article 16 du présent projet de loi et prend par ailleurs en compte le surclassement opéré par la directive de certaines armes à feu semi-automatiques - classées en droit interne en catégorie B (soumise à autorisation) - en catégorie A (interdite à l'acquisition et à la détention par les particuliers).

Des dérogations sont toutefois rendues possibles par la directive, au bénéfice de certaines catégories de détenteurs : les tireurs sportifs, certains services de sécurité privée et les collectionneurs d'armes. Le choix a été fait de limiter aux seuls tireurs sportifs et à certains services de sécurité privée, la possibilité de détenir ces armes nouvellement classées en catégorie A. Un décret en Conseil d'État précisera le champ de ces dérogations.

L'article 18 modifie l'article L. 313-2 du code de la sécurité intérieure afin de tirer les conséquences de la directive du 17 mai 2017 laquelle soumet l'ensemble des professionnels à un contrôle portant sur leur honorabilité et leurs compétences professionnelles. Ce sont principalement les courtiers d'armes de catégorie C qui sont concernés, la loi ne prévoyant, pour eux, aucun contrôle d'honorabilité ni de compétence professionnelle. La transposition de la directive nécessite donc de soumettre cette profession à un contrôle administratif.

Le droit national généralise la possibilité de livraison au domicile de l'acquéreur des armes de toutes catégories, achetées à distance, sans garantie de contrôle effectif de l'identité de l'acquéreur et de son titre de détention. Cette dernière possibilité est supprimée, s'agissant des ventes entre particuliers, pour respecter les termes de la directive, selon laquelle les États membres veillent à ce que, dans le cadre, d'une vente à distance, l'identité et l'autorisation d'acquisition de l'acheteur fassent l'objet d'une vérification avant la livraison ou, au plus tard, lors de la livraison. Cette dernière exigence n'est effective, en droit interne, que pour les ventes réalisées par les professionnels : la dérogation à l'interdiction de livraison à domicile est donc supprimée s'agissant des ventes entre particuliers.

Enfin, les armuriers et les courtiers pourront refuser de conclure des transactions visant à acquérir des armes, des munitions ou leurs éléments qu'ils peuvent raisonnablement considérer comme suspectes. Ils devront signaler de telles transactions aux autorités de l'État.

Les articles 19 et 20 tirent les conséquences de la suppression de la catégorie D mentionnée dans la partie II de l'annexe I de la directive du 18 juin 1991 modifiée, ainsi que du surclassement de certaines armes qui étaient auparavant classées en catégorie B.

L'article 21 modifie le code de la défense afin de tirer les conséquences de la disparition de la catégorie D dans ce code.

TITRE III

MISE EN oeUVRE DE LA DÉCISION N°1104/2011/UE

Le titre III transpose en droit français les obligations prévues par la décision n° 1104/2011/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux modalités d'accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo. Le service public réglementé (SPR) de Galileo est un service réservé aux utilisateurs autorisés par les gouvernements, pour les applications sensibles qui exigent un contrôle d'accès efficace et un niveau élevé de continuité du service.

L'article 22 introduit dans le code de la défense un chapitre relatif au service public réglementé de radionavigation par satellite issu du programme européen Galileo qui définit les activités liées à ce service qui font l'objet d'un contrôle par l'autorité administrative et instaure un régime de sanctions en cas de manquement aux obligations fixées par ces nouvelles dispositions.

L'article L. 2323-1 soumet à un régime d'autorisation l'accès au service public réglementé, le développement ou la fabrication de récepteurs ou de modules de sécurité conçus pour ce service et l'exportation d'équipements, de technologie ou de logiciels conçus pour ce service et prévoit les cas dans lesquels l'autorisation, qui peut être assortie de conditions ou de restrictions, peut être abrogée, retirée, modifiée ou suspendue. Afin de permettre à l'autorité administrative de vérifier que les destinataires d'équipements, de technologie ou de logiciels concernés sont eux-mêmes autorisés à accéder au service public réglementé, l'article L. 2323-2 met en place un régime de déclaration pour les transferts effectués depuis la France vers les autres États membres de l'Union européenne.

L'article L. 2323-3 renvoie à un décret en Conseil d'État la définition des modalités d'application des régimes d'autorisation et de déclaration ainsi créés. Il précise, en outre, l'articulation de ce dispositif avec les dispositions du code de la défense applicables aux importations, exportations et transferts des matériels de guerre et assimilés et celles du règlement n° 428/2009 du Conseil du 5 mai 2009 instituant un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit de biens à double usage.

Les articles L. 2323-4 à L. 2323-6 définissent les sanctions pénales encourues en cas de manquement aux obligations définies par ce nouveau chapitre ou de tentative de commission de ces infractions, qui pourront être assorties de peines complémentaires, tant pour les personnes physiques que pour les personnes morales.

TITRE IV

DISPOSITIONS APPLICABLES À L'OUTRE-MER

L'article 23 rend la loi applicable sur l'ensemble du territoire de la République en procédant aux modifications nécessaires des articles du code de la sécurité intérieure et du code de la défense suivant la technique du « compteur Lifou ».

Par ailleurs, pour les collectivités régies par le principe de spécialité législative, cet article prévoit les grilles de lecture nécessaires pour l'application des dispositions comportant des références au droit communautaire.

TITRE V

DISPOSITIONS TRANSITOIRES

L'article 24 introduit des dispositions relatives à l'entrée en vigueur des différents articles des chapitres Ier et III du titre I et du titre II afin de gérer la période transitoire entre le vote de la loi et la publication de ses décrets d'application. Le projet de loi précise que leur entrée en vigueur interviendra, selon les cas, aux dates que prévoiront ces décrets, et au plus tard aux dates limites de transposition fixée par chaque directive.

PROJET DE LOI

Le Premier ministre,

Sur le rapport du ministre d'État, ministre de l'intérieur,

Vu l'article 39 de la Constitution,

Décrète :

Le présent projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, délibéré en Conseil des ministres après avis du Conseil d'État, sera présenté au Sénat par le ministre d'État, ministre de l'intérieur, qui sera chargé d'en exposer les motifs et d'en soutenir la discussion.

TITRE IER

DISPOSITIONS TENDANT A TRANSPOSER LA DIRECTIVE (UE) 2016/1148 DU PARLEMENT EUROPEEN ET DU CONSEIL DU 6 JUILLET 2016 CONCERNANT DES MESURES DESTINEES A ASSURER UN NIVEAU ELEVE COMMUN DE SECURITE DES RESEAUX ET DES SYSTEMES D'INFORMATION DANS L'UNION

CHAPITRE IER

Dispositions communes

Article 1er

Pour l'application du présent titre, on entend par réseau et système d'information :

1° Tout réseau de communication électronique tel que défini au 2° de l'article L. 32 du code des postes et des communications électroniques ;

2° Tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques ;

3° Les données numériques stockées, traitées, récupérées ou transmises par les éléments mentionnés aux 1° et 2° en vue de leur fonctionnement, utilisation, protection et maintenance.

La sécurité des réseaux et systèmes d'information consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles.

Article 2

Les dispositions du présent titre ne sont pas applicables aux entreprises exploitant des réseaux de communications électroniques ouverts au public ou fournissant des services de communications électroniques accessibles au public ni aux prestataires de services de confiance soumis aux exigences énoncées à l'article 19 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.

Elles ne sont pas non plus applicables aux réseaux et systèmes d'information des opérateurs de services essentiels et des fournisseurs de service numérique lorsque ces réseaux et systèmes d'information sont soumis, en application d'un acte juridique de l'Union européenne, à des exigences sectorielles de sécurité ou de notification des incidents ayant un effet au moins équivalent aux obligations résultant de l'application des dispositions du présent titre.

Article 3

Les prestataires de service habilités à effectuer des contrôles en application du présent titre sont soumis aux mêmes règles de confidentialité que les services de l'État à l'égard des informations qu'ils recueillent auprès des opérateurs mentionnés à l'article 5 et des fournisseurs de service numérique mentionnés à l'article 11.

Lorsqu'il informe le public ou les Etats membres de l'Union européenne d'incidents dans les conditions prévues aux articles 7 et 13, l'État tient compte des intérêts économiques de ces opérateurs et fournisseurs de service numérique et veille à ne pas révéler d'informations susceptibles de porter atteinte à leur sécurité et au secret en matière commerciale et industrielle.

Article 4

Les modalités d'application du présent titre sont déterminées par décret en Conseil d'État. Ce décret fixe notamment la liste des services essentiels au fonctionnement de la société ou de l'économie mentionnés à l'article 5.

CHAPITRE II

Dispositions relatives à la sécurité des reseaux et systèmes d'information des opérateurs de services essentiels

Article 5

Les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l'économie et qui pourraient être gravement perturbés par des incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture de ces services sont soumis aux dispositions du présent chapitre pour la sécurité de ces réseaux et systèmes d'information. Ces opérateurs sont désignés par le Premier ministre au regard des services qu'ils fournissent et des conséquences qu'auraient de tels incidents sur leurs services. La liste de ces opérateurs est actualisée à intervalles réguliers et au moins tous les deux ans.

Les dispositions du présent chapitre ne sont pas applicables aux systèmes d'information mentionnés au premier alinéa de l'article L. 1332-6-1 du code de la défense.

Article 6

Le Premier ministre fixe les règles de sécurité nécessaires à la protection des réseaux et systèmes d'information mentionnés au premier alinéa de l'article 5. Ces règles ont pour objet de garantir un niveau de sécurité adapté au risque existant, compte tenu de l'état des connaissances. Elles définissent les mesures appropriées pour prévenir les incidents qui compromettent la sécurité des réseaux et systèmes d'information utilisés pour la fourniture des services essentiels ou pour en limiter l'impact afin d'assurer la continuité de ces services essentiels. Les opérateurs mentionnés au même article appliquent ces règles à leurs frais.

Les règles prévues au premier alinéa peuvent notamment prescrire que les opérateurs recourent à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée.

Article 7

Les opérateurs mentionnés à l'article 5 déclarent, sans retard injustifié, à l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense, les incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture de services essentiels, lorsque ces incidents ont ou sont susceptibles d'avoir, compte tenu notamment du nombre d'utilisateurs et de la zone géographique touchés ainsi que de la durée de l'incident, un impact significatif sur la continuité de ces services.

Après avoir consulté l'opérateur concerné, le Premier ministre peut informer le public d'un incident mentionné au premier alinéa, lorsque cette information est nécessaire pour prévenir ou traiter un incident. En outre, lorsqu'un incident a un impact significatif sur la continuité de services essentiels fournis par l'opérateur à d'autres Etats membres de l'Union européenne, le Premier ministre en informe les autorités ou organismes compétents de ces Etats.

Article 8

Le Premier ministre peut soumettre les opérateurs mentionnés à l'article 5 à des contrôles destinés à vérifier le respect des obligations prévues par le présent chapitre ainsi que le niveau de sécurité des réseaux et systèmes d'information nécessaires à la fourniture de services essentiels.

Les contrôles sont effectués, sur pièce et sur place, par l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense ou par des prestataires de service qualifiés. Le coût des contrôles est à la charge des opérateurs. La qualification de prestataire de service habilité à effectuer ces contrôles est délivrée par le Premier ministre.

Les opérateurs sont tenus de communiquer à l'autorité ou au prestataire de service chargé du contrôle prévu au premier alinéa les informations et éléments nécessaires pour réaliser le contrôle, y compris les documents relatifs à leur politique de sécurité et les résultats d'audit de sécurité et leur permettre d'accéder aux réseaux et systèmes d'information soumis au contrôle afin d'effectuer des analyses et des relevés d'informations techniques.

Ils corrigent tout manquement à leurs obligations qui aurait été ainsi constaté dans le délai imparti par la mise en demeure notifiée à l'issue du contrôle.

Article 9

Est puni d'une amende de 100 000 € le fait, pour les dirigeants des opérateurs mentionnés à l'article 5, de ne pas se conformer aux règles de sécurité mentionnées à l'article 6 et rappelées dans une mise en demeure, à l'expiration du délai défini par celle-ci.

Est puni d'une amende de 75 000 € le fait, pour les mêmes personnes, de ne pas satisfaire à l'obligation de déclaration d'incident prévue au premier alinéa de l'article 7.

Est puni d'une amende de 125 000 € le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle mentionnées à l'article 8.

CHAPITRE III

Dispositions relatives à la sécurité des reseaux et systèmes d'information des fournisseurs de service numérique

Article 10

Pour l'application du présent chapitre, on entend :

1° Par service numérique tout service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services ;

2° Par fournisseur de service numérique toute personne morale qui fournit l'un des services suivants :

a) Place de marché en ligne à savoir un service numérique qui permet à des consommateurs ou à des professionnels au sens du a de l'article L. 151-1 du code de la consommation de conclure des contrats de vente ou de service en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d'un professionnel qui utilise les services informatiques fournis par la place de marché en ligne ;

b) Moteurs de recherche en ligne à savoir un service numérique qui permet aux utilisateurs d'effectuer des recherches sur, en principe, tous les sites internet ou sur les sites internet dans une langue donnée, sur la base d'une requête lancée sur n'importe quel sujet sous la forme d'un mot clé, d'une phrase ou d'une autre entrée, et qui renvoie des liens à partir desquels il est possible de trouver des informations en rapport avec le contenu demandé ;

c) Service d'informatique en nuage à savoir un service numérique qui permet l'accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées.

Article 11

Sont soumis aux dispositions du présent chapitre les fournisseurs de service numérique qui offrent leurs services dans l'Union européenne et qui soit ont leur siège social sur le territoire national, soit, n'étant pas établis dans l'Union européenne, ont désigné à cet effet un représentant sur le territoire national.

Les dispositions du présent chapitre ne sont pas applicables aux entreprises qui emploient moins de cinquante salariés et dont le chiffre d'affaires annuel n'excède pas 10 millions d'euros.

Article 12

Les fournisseurs de service numérique mentionnés à l'article 11 garantissent, compte tenu de l'état des connaissances, un niveau de sécurité des réseaux et des systèmes d'information nécessaires à la fourniture de leurs services dans l'Union européenne adapté aux risques existants. A cet effet, ils identifient les risques qui menacent la sécurité de ces réseaux et systèmes d'information et prennent les mesures techniques et organisationnelles nécessaires et proportionnées pour gérer ces risques. Ces mesures prennent notamment en considération la sécurité des systèmes et des installations, la gestion des incidents, la gestion de la continuité des activités, le suivi, l'audit et le contrôle ainsi que le respect des normes internationales.

Les fournisseurs de service numérique prennent en outre les mesures utiles destinées, d'une part, à éviter les incidents de nature à porter atteinte à la sécurité des réseaux et systèmes d'information nécessaires à la fourniture de leurs services dans l'Union européenne et, d'autre part, à en réduire au minimum l'impact, de manière à garantir la continuité de ces services.

Article 13

Les fournisseurs de service numérique mentionnés à l'article 11 déclarent, sans retard injustifié, à l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense, les incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture de leurs services dans l'Union européenne, lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services, compte tenu notamment du nombre d'utilisateurs touchés par l'incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service et de son impact sur le fonctionnement de la société ou de l'économie.

Après avoir consulté le fournisseur de service numérique concerné, le Premier ministre peut informer le public d'un incident mentionné au premier alinéa ou imposer au fournisseur de le faire, lorsque cette information est nécessaire pour prévenir ou traiter un incident ou est justifiée par un motif d'intérêt général. En outre, lorsqu'un incident a des conséquences significatives sur les services fournis à d'autres Etats membres de l'Union européenne, le Premier ministre en informe les autorités ou organismes compétents de ces Etats, qui peuvent rendre public l'incident.

Article 14

Lorsque le Premier ministre est informé qu'un fournisseur de service numérique mentionné à l'article 11 ne satisfait pas à l'une des obligations prévues aux articles 12 ou 13, il peut le soumettre à des contrôles destinés à vérifier le respect des obligations prévues par le présent chapitre ainsi que le niveau de sécurité des réseaux et systèmes d'information nécessaires à la fourniture de ces services. Il en informe si nécessaire les autorités compétentes des autres Etats membres dans lesquels sont situés des réseaux et systèmes d'information de ce fournisseur et coopère avec elles.

Les contrôles sont effectués, sur pièce et sur place, par l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321-1 du code de la défense ou par des prestataires de service qualifiés. Le coût des contrôles est à la charge des fournisseurs de service numérique. La qualification de prestataire de service habilité à effectuer ces contrôles est délivrée par le Premier ministre.

Les fournisseurs de service numérique sont tenus de communiquer à l'autorité ou au prestataire de service chargé du contrôle prévu au premier alinéa les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes d'information, y compris les documents relatifs à leurs politiques de sécurité et leur permettre d'accéder aux réseaux et systèmes d'information soumis au contrôle afin d'effectuer des analyses et des relevés d'informations techniques.

Ils corrigent tout manquement à leurs obligations qui aurait été ainsi constaté dans le délai imparti par la mise en demeure notifiée à l'issue du contrôle.

Article 15

Est puni d'une amende de 75 000 € le fait, pour les dirigeants des fournisseurs de service numérique mentionnés à l'article 11, de ne pas prendre les mesures de sécurité nécessaires conformément aux dispositions de l'article 12 et mentionnées dans une mise en demeure, à l'expiration du délai défini par celle-ci.

Est puni d'une amende de 50 000 € le fait, pour les mêmes personnes, de ne pas satisfaire aux obligations de déclaration d'incident ou d'information du public prévues à l'article 13.

Est puni d'une amende de 100 000 € le fait, pour les mêmes personnes, de faire obstacle aux opérations de contrôle mentionnées à l'article 14.

TITRE II

DISPOSITIONS RELATIVES AU CONTROLE DE L'ACQUISITION ET DE LA DETENTION D'ARMES

Article 16

Le chapitre Ier du titre Ier du livre III du code de la sécurité intérieure est ainsi modifié :

1° L'article L. 311-2 est ainsi modifié :

a) Au 4°, les mots : « soumises à enregistrement et armes » sont supprimés ;

b) A la seconde phrase du neuvième alinéa, les mots : « ou des enregistrements » sont supprimés ;

2° A l'article L. 311-4, les mots : « en catégorie D » sont remplacés par les mots : « par décret en Conseil d'État ».

Article 17

Le chapitre II du titre Ier du livre III du même code est ainsi modifié :

1° A la dernière phrase de l'article L. 312-2, après les mots : « matériels de guerre », sont insérés les mots : « , armes et éléments d'armes de catégorie A », et les mots : « à fin de collection, professionnelle ou sportive par des personnes » sont remplacés par les mots : « , pour des activités sportives, professionnelles ou de collection » ;

2° L'article L. 312-3 est ainsi modifié :

a) Au premier alinéa, les mots : « B et C et d'armes de catégorie D soumises à enregistrement » sont remplacés par les mots : « A, B et C » ;

b) Au quarante-deuxième alinéa du 1°, les mots : « ou enregistrement » et les mots : « ou d'armes de catégorie D » sont supprimés ;

c) Au quarante-cinquième alinéa du 1°, les mots : « ou d'armes de catégorie D soumises à enregistrement » sont supprimés ;

3° A l'article L. 312-3-1, les mots : « B et C et des armes de catégorie D soumises à enregistrement » sont remplacés par les mots : « A, B et C » ;

4° A la première phrase du premier alinéa et aux deuxième et troisième alinéas de l'article L. 312-4, avant la lettre : « B » sont insérés les mots : « A ou » ;

5° L'article L. 312-4-2 est abrogé ;

6° Aux 1° et 2° de l'article L. 312-4-3, avant la lettre : « B » sont insérés les mots : « A ou » ;

7° A l'article L. 312-5, les mots : « D figurant sur une liste établie par un décret en Conseil d'État » sont remplacés par la lettre : « C » ;

8° L'article L. 312-11 est ainsi modifié :

a) Au premier alinéa, les mots : « des catégories B, C et D » sont remplacés par les mots : « de toute catégorie » ;

b) Au deuxième alinéa, les mots : « soit à la neutraliser, » sont supprimés ;

9° Au premier alinéa de l'article L. 312-13, les mots : « des catégories B, C et D » sont remplacés par les mots : « de toute catégorie » ;

10° Aux 2° et 3° de l'article L. 312-16, les mots : « B et C et des armes de catégorie D soumises à enregistrement » sont remplacés par les mots : « A, B et C ».

Article 18

Le chapitre III du titre Ier du livre III du même code est ainsi modifié :

1° L'article L. 313-2 est ainsi modifié :

a) Au premier alinéa, après les mots : « le commerce, » sont insérés les mots : « l'intermédiation, » et après les mots : « la location, » sont insérés les mots : « la location-vente, le prêt, la modification, » ;

b) Le second alinéa est supprimé ;

2° Le dernier alinéa de l'article L. 313-3 est supprimé ;

3° L'article L. 313-5 est remplacé par les dispositions suivantes :

« Art. L. 313-5. - Sauf si la transaction a été faite dans le cadre des activités mentionnées à l'article L. 313-2, les matériels, armes ou leurs éléments essentiels des catégories A, B, C ainsi que des armes de catégorie D énumérées par décret en Conseil d'État, qui, par dérogation aux dispositions du premier alinéa de l'article L. 313-4, sont acquis par correspondance, à distance ou directement entre particuliers ne peuvent être livrés que dans les locaux mentionnés aux premier et troisième alinéas de l'article L. 313-3, aux fins de vérification de l'identité de l'acquéreur, des pièces mentionnées à l'article L. 312-4-1 ou, le cas échéant, de l'autorisation d'acquisition et de détention de l'acquéreur mentionnée à l'article L. 312-4.

« La transaction est réputée parfaite à compter de la remise effective à l'acquéreur.

4° Après l'article L. 313-5, sont insérés deux articles L. 313-6 et L. 313-7 ainsi rédigés :

« Art. L. 313-6. - Les armuriers et les courtiers mentionnés à l'article L. 313-2 peuvent refuser de conclure toute transaction visant à acquérir des armes, des munitions ou leurs éléments dont il est raisonnable de considérer qu'elle présente un caractère suspect.

« Toute tentative de transaction suspecte fait l'objet d'un signalement auprès d'un service désigné par le ministre de l'intérieur.

« Art. L. 313-7. - Un décret en Conseil d'État précise les modalités d'application du présent chapitre. ».

Article 19

I. - A l'article L. 314-2-1 du même code, les mots : « ou de catégorie D soumises à enregistrement » et les mots : « ou, le cas échéant, à un enregistrement » sont supprimés.

II. - A l'article L. 315-1 du même code, après la lettre : « B » sont insérés les mots : « et C » et les mots : « des catégories A et B » sont remplacés par les mots : « de ces mêmes catégories ».

Article 20

Le chapitre VII du titre Ier du livre III du même code est ainsi modifié :

1° Au premier alinéa de l'article L. 317-3-1, les mots : « , C ainsi que d'une ou plusieurs armes ou munitions de catégorie D mentionnées au second alinéa de l'article L. 312-4-2 » sont remplacés par les mots : « et C » ;

2° Au 4° de l'article L. 317-3-2, les mots : « ou une arme, un élément essentiel ou des munitions de catégorie D mentionnés au second alinéa de l'article L. 312-4-1, » sont supprimés ;

3° Le deuxième alinéa de l'article L. 317-4-1 est supprimé.

Article 21

Le titre III du livre III de la deuxième partie du code de la défense est ainsi modifié :

1° L'article L. 2331-1 est ainsi modifié :

a) Au 4° du I, les mots : « armes soumises à enregistrement et » sont supprimés ;

b) Au neuvième alinéa du I, les mots : « ou des enregistrements » sont supprimés ;

c) Au III, après les mots : « du présent titre » sont insérés les mots : « ou au chapitre III du titre Ier du livre III du code de la sécurité intérieure » ;

2° Au premier alinéa de l'article L. 2339-4, les mots : « , C ainsi que d'une ou plusieurs armes ou munitions de catégorie D mentionnées au second alinéa de l'article L. 312-4-2 du code de la sécurité intérieure » sont remplacés par les mots : « et C » ;

3° Au 4° de l'article L. 2339-4-1, les mots : « ou une arme, un élément essentiel ou des munitions de catégorie D mentionnés au second alinéa de l'article L. 312-4-2 du code de la sécurité intérieure » sont supprimés.

TITRE III

DISPOSITIONS RELATIVES AU SERVICE PUBLIC REGLEMENTE GALILEO

Article 22

Le titre II du livre III de la deuxième partie du code de la défense est complété par un chapitre ainsi rédigé :

« CHAPITRE III

« Service public réglementé de radionavigation par satellite

« Section 1

« Activités contrôlées

« Art. L. 2323-1. - L'accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme européen Galileo, le développement ou la fabrication de récepteurs ou de modules de sécurité conçus pour ce service et l'exportation d'équipements, de technologie ou de logiciels conçus pour ce service ne peuvent s'exercer qu'après autorisation délivrée par l'autorité administrative et sous son contrôle.

« Les autorisations délivrées en application du présent article peuvent être assorties de conditions ou de restrictions. Elles peuvent être abrogées, retirées, modifiées ou suspendues en cas de manquement du titulaire aux conditions spécifiées dans l'autorisation ou lorsque le respect des engagements internationaux de la France, la protection du service public réglementé ou celle des intérêts essentiels d'ordre public ou de sécurité publique le justifient.

« Art. L. 2323-2. - Tout transfert d'équipements, de technologie ou de logiciels conçus pour le service public réglementé offert par le système mondial de radionavigation par satellite issu du programme européen Galileo effectué depuis la France vers les autres Etats membres de l'Union européenne fait l'objet d'une déclaration à l'autorité administrative.

« Art. L. 2323-3. - Les dispositions de la présente section s'appliquent sans préjudice de celles du chapitre V du titre III du présent livre et du règlement n° 428/2009 du Conseil du 5 mai 2009 instituant un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit de biens à double usage.

« Les modalités d'application de la présente section sont fixées par décret en Conseil d'État.

« Section 2

« Sanctions pénales

« Art. L. 2323-4. - Est puni d'une amende de 200 000 € le fait de se livrer à une activité définie à l'article L. 2323-1 :

« 1° Sans autorisation ;

« 2° Sans respecter les conditions ou restrictions dont est assortie l'autorisation mentionnée à l'article L. 2323-1.

« La tentative des délits prévus aux alinéas précédents est punie des mêmes peines.

« Art. L. 2323-5. - Est punie d'une amende de 50 000 € la méconnaissance de l'obligation prévue à l'article L. 2323-2.

« Art. L. 2323-6. - I. - Les personnes physiques coupables de l'une des infractions prévues aux articles L. 2323-4 et L. 2323-5 encourent également les peines complémentaires suivantes :

« 1° La confiscation, suivant les modalités prévues par l'article 131-21 du code pénal, de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution ;

« 2° L'interdiction, suivant les modalités prévues par l'article 131-27 du même code et pour une durée de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise ;

« 3° La fermeture, dans les conditions prévues par l'article 131-33 du même code et pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés ;

« 4° L'exclusion, dans les conditions prévues par l'article 131-34 du même code et pour une durée de cinq ans au plus, des marchés publics.

« II. - Les personnes morales déclarées responsables pénalement, dans les conditions prévues par l'article 121-2 du code pénal, des infractions définies à la présente section encourent, outre l'amende suivant les modalités prévues par l'article 131-38 du même code, les peines prévues par les 1°, 2°, 4°, 5°, 8°, 9° et 12° de l'article 131-39 de ce code. »

TITRE IV

DISPOSITIONS APPLICABLES A L'OUTRE-MER

Article 23

I. - Les dispositions des titres Ier et V s'appliquent sur l'ensemble du territoire de la République.

Pour l'application du titre Ier à Wallis et Futuna, en Polynésie française, en Nouvelle-Calédonie et dans les Terres australes et antarctiques françaises, la référence au règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE est remplacée par la référence au droit applicable en métropole en vertu de ce règlement.

II. - Le titre IV du livre III du code de la sécurité intérieure est ainsi modifié :

1° Aux articles L. 344-1, L. 345-1, L. 346-1 et L. 347-1, les mots : « de la loi n° 2016-731 du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l'efficacité et les garanties de la procédure pénale » sont remplacés par les mots : « de la loi n° ...... du ....... portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité » ;

2° Au premier alinéa de l'article L. 345-2-1, les mots : « et du 1° de la catégorie D » sont supprimés.

III. - Le livre IV de la deuxième partie du code de la défense est ainsi modifié :

1° Les articles L. 2441-1, L. 2451-1, L. 2461-1 et L. 2471-1 sont ainsi modifiés :

a) Au premier alinéa de chaque article, les références : « L. 2322-1 à L. 2335-7 » sont remplacées par les références : « L. 2322-1, L. 2323-1, L. 2323-3, L. 2323-4, L. 2323-6, L. 2331-1 à L. 2335-7 » ;

b) A chaque article, il est ajouté un alinéa ainsi rédigé :

« Les dispositions des articles L. 2323-1, L. 2323-3, L. 2323-4, L. 2323-6, L. 2331-1, L. 2339-4 et L. 2339-4-1 sont applicables dans leur rédaction issue de la loi n° ......» ;

2° Au début de l'article L. 2441-3-1, il est inséré deux alinéas ainsi rédigés :

« Pour l'application à Wallis et Futuna des dispositions de l'article L. 2323-3, la référence au règlement n° 428/2009 du Conseil du 5 mai 2009 instituant un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit de biens à double usage est remplacée par la référence au droit applicable en métropole en vertu de ce règlement.

« Pour l'application à Wallis et Futuna des dispositions de l'article L. 2323-6, la référence à l'article L. 2323-5 est supprimée. » ;

3° Au début de l'article L. 2451-4-1, il est inséré deux alinéas ainsi rédigés :

« Pour l'application en Polynésie française des dispositions de l'article L. 2323-3, la référence au règlement n° 428/2009 du Conseil du 5 mai 2009 instituant un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit de biens à double usage est remplacée par la référence au droit applicable en métropole en vertu de ce règlement.

« Pour l'application en Polynésie française des dispositions de l'article L. 2323-6, la référence à l'article L. 2323-5 est supprimée. » ;

4° Au début de l'article L. 2461-4-1, il est inséré deux alinéas ainsi rédigés :

« Pour l'application en Nouvelle-Calédonie des dispositions de l'article L. 2323-3, la référence au règlement n° 428/2009 du Conseil du 5 mai 2009 instituant un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit de biens à double usage est remplacée par la référence au droit applicable en métropole en vertu de ce règlement.

« Pour l'application en Nouvelle-Calédonie des dispositions de l'article L. 2323-6, la référence à l'article L. 2323-5 est supprimée. » ;

5° Au début de l'article L. 2471-3-1, il est inséré deux alinéas ainsi rédigés :

« Pour l'application dans les Terres australes et antarctiques françaises des dispositions de l'article L. 2323-3, la référence au règlement n° 428/2009 du Conseil du 5 mai 2009 instituant un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit de biens à double usage est remplacée par la référence au droit applicable en métropole en vertu de ce règlement.

« Pour l'application dans les Terres australes et antarctiques françaises des dispositions de l'article L. 2323-6, la référence à l'article L. 2323-5 est supprimée. »

TITRE V

DISPOSITIONS TRANSITOIRES

Article 24

Les dispositions des chapitres Ier et III du titre Ier entrent en vigueur à compter d'une date définie par décret en Conseil d'État et au plus tard le 9 mai 2018. La désignation des opérateurs de services essentiels prévue au premier alinéa de l'article 5 intervient au plus tard le 9 novembre 2018.

Les dispositions des articles 16, 17, 19, 20, 21 ainsi que des 2°, 3° et 4° de l'article 18 entrent en vigueur à compter d'une date définie par décret en Conseil d'État et au plus tard le 14 septembre 2018.

Les dispositions du 1° de l'article 18 entrent en vigueur à compter d'une date fixée par décret en Conseil d'État et au plus tard le 14 décembre 2019.

Les personnes qui, à la date d'entrée en vigueur de la présente loi, détiennent des armes acquises depuis le 13 juin 2017 qui étaient précédemment soumises à enregistrement au titre du 1° de la catégorie D et sont désormais soumises à déclaration au titre de leur classement dans la catégorie C, procèdent à leur déclaration auprès du représentant de l'État dans le département du lieu de leur domicile ou, à Paris, du préfet de police, dans les conditions fixées par décret en Conseil d'État et au plus tard le 14 décembre 2019.

Fait à Paris, le 22 novembre 2017

Signé : ÉDOUARD PHILIPPE

Par le Premier ministre :

Le ministre d'État, ministre de l'intérieur

Signé : GÉRARD COLLOMB