CHAPITRE III - DISPOSITIONS RELATIVES À LA SÉCURITÉ DES RÉSEAUX ET SYSTÈMES D'INFORMATION DES FOURNISSEURS DE SERVICE NUMÉRIQUE
Article 10 - Définition des fournisseurs de service numérique
L'article 10 du projet de loi définit les notions de service numérique et de fournisseur de service numérique.
Il reprend, à cet effet, les définitions qu'en donne la directive européenne.
Ainsi, serait entendu, par service numérique, tout service fourni à titre non gracieux, à distance et par voie électronique, à une personne qui en fait la demande.
Un fournisseur de service numérique désignerait toute personne morale fournissant l'un des trois services suivants :
- un service de place de marché en ligne , qui permet à des consommateurs ou à des professionnels de conclure des contrats de vente ou des services en ligne avec des professionnels ;
- un moteur de recherche en ligne , dont la fonction est de permettre aux utilisateurs d'effectuer des recherches sur Internet ;
- un service d'informatique en nuage (service de « cloud »), c'est-à-dire un service qui permet l'accès, à distance et depuis n'importe quel poste informatique connecté à Internet, à un ensemble de ressources informatiques partagées.
La définition, dans la loi, de ces notions apparaît nécessaire afin de préciser le champ d'application des dispositions du texte. En effet, contrairement aux opérateurs de services essentiels, les fournisseurs de service numérique ne seront pas nominativement désignés par le pouvoir réglementaire. Il est, en conséquence, indispensable que la loi détermine de manière précise les personnes morales qui seront concernées par les obligations qu'elle fixe.
À l'initiative de son rapporteur, votre commission a adopté un amendement COM-8 qui procède à la correction d'une erreur de référence au sein de l'article.
Votre commission a adopté l'article 10 ainsi modifié .
Article 11 - Champ d'application des dispositions du chapitre III
L'article 11 du projet de loi vise à préciser le champ d'application des dispositions prévues par le chapitre III à l'égard des fournisseurs de service numérique.
En premier lieu, il précise que ne seront concernées par les obligations prévues que les fournisseurs de service numérique qui offrent leurs services au sein de l'Union européenne et qui, soit ont leur siège social en France, soit, bien que non établis dans un État membre de l'Union européenne, ont un représentant légal sur le territoire français.
Cet ancrage territorial est nécessaire pour que les obligations prévues par la loi puissent être opposées à une entreprise et que les autorités nationales compétentes bénéficient d'un interlocuteur pour assurer la gestion des incidents. Il permet également d'assurer l'articulation du dispositif introduit en droit interne avec ceux qui seront mis en oeuvre dans les autres États membres de l'Union européenne. En effet, un fournisseur de service numérique qui offrirait ses services en France mais qui aurait son siège social dans un autre État membre ne pourrait raisonnablement se voir imposer un double régime d'obligations, en France et dans cet autre État membre.
Conformément à la directive, l'implantation physique des réseaux et des systèmes d'information dans l'Union européenne ne constitue en revanche pas une condition pour déterminer l'application des obligations à un fournisseur de service numérique ; dès lors que celui-ci offre ses services sur le territoire européen, il est tenu par les obligations fixées par la loi.
Votre rapporteur relève toutefois qu' il existe, avec la rédaction proposée par le Gouvernement, un risque que certaines entreprises échappent à l'application de la loi . En effet, la directive 2016/1148 prévoit que tout fournisseur de service numérique offrant ses services sur le territoire de l'Union européenne soit contraint de désigner un représentant légal si son siège social n'est pas implanté dans l'un des États membres de l'Union européenne. Elle fixe, en ce sens, une obligation à l'égard des entreprises. L'article 11 ne crée, en revanche, aucun régime obligatoire de désignation d'un représentant .
Interrogé par votre rapporteur, le Gouvernement a indiqué être confronté à une difficulté de transposition sur ce point, dans la mesure où l'obligation prévue par la directive s'applique au niveau européen, non au niveau national. Autrement dit, si chaque État membre introduisait, en application de la directive, une obligation de désignation d'un représentant, une entreprise qui fournirait ses services dans plusieurs États - ce qui, s'agissant de fournisseurs de service numérique, est fréquemment le cas - se verrait contrainte légalement de désigner un représentant dans chacun de ces États membres, ce qui serait contraire à l'esprit même de la directive.
Il a été en outre indiqué à votre rapporteur qu'aucun acte d'exécution n'était envisagé au niveau européen afin de préciser les modalités de désignation de ces représentants. Aussi, à son initiative de son rapporteur, votre commission a-t-elle jugé nécessaire d'amender l'article 11 afin de rendre obligatoire, pour un fournisseur qui offrirait ses services sur le territoire français, de désigner un représentant, dès lors qu'il n'en aurait pas déjà fait de même dans un autre État membre ( amendement COM-9 ). Ce régime souple préserve le principe de libre circulation des services de communication en ligne sur le territoire de l'Union européenne, fixé par la directive « e-commerce » du 8 juin 2000 25 ( * ) . Afin de clarifier le régime de responsabilité, l'amendement précise que la nomination d'un tel représentant ne peut avoir pour conséquence de libérer le dirigeant du fournisseur concerné de toute action susceptible d'être engagée contre lui. Un dispositif similaire est par exemple prévu par l'article 5 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, qui impose aux responsables de traitement de données à caractère personnel qui ne sont pas établis dans l'Union européenne de désigner à la Commission nationale de l'informatique et des libertés un représentant.
Si la rédaction proposée n'évite pas complètement le risque de chevauchement de plusieurs droits nationaux, votre commission a toutefois considéré que les dispositifs de coopération prévus par la directive devraient permettre aux autorités compétentes de se coordonner afin d'éviter qu'une entreprise ne soit contrainte de désigner un représentant dans deux États membres distincts.
Par le même amendement COM-9 , votre commission a par ailleurs complété le premier alinéa de l'article 11, afin de préciser, comme le prévoit la directive, qu'entrent également dans le champ d'application de la loi les entreprises ayant leur établissement principal sur le territoire national.
En second lieu, l'article 11 exclut du champ d'application de la loi les fournisseurs de service numérique de dimension restreinte , employant moins de 50 salariés et dont le chiffre d'affaires annuel est inférieur à dix millions d'euros. Cette qualification ne correspondant à aucune catégorie d'entreprises en droit français, le projet de loi reprend, sur ce point, la définition donnée par la directive.
Votre commission a adopté l'article 11 ainsi modifié .
Article 12 - Obligations des fournisseurs de service numérique en matière de protection des réseaux et systèmes d'information
L'article 12 du projet de loi détermine les obligations s'imposant aux fournisseurs de service numérique en matière de sécurité des réseaux et des systèmes d'information.
La directive prévoit, à l'égard des fournisseurs de service numérique, un régime moins strict que pour les opérateurs de services essentiels . Ainsi, alors que ces derniers seront soumis à des obligations et des règles précises de sécurité, définies par chaque État membre, les fournisseurs de service numérique seront libres de définir les mesures de sécurité adaptées aux risques auxquels ils sont confrontés.
En effet, si la directive précise qu'il est nécessaire d'imposer à ces entreprises d'adopter des règles de sécurité « compte tenu de l'importance de leurs services pour les activités d'autres entreprises au sein de l'Union » 26 ( * ) , il a été considéré, au cours des négociations européennes, que le degré de risque auquel étaient exposés les fournisseurs de service numérique était moindre que pour les opérateurs de services essentiels. Comme l'a indiqué l'ANSSI à votre rapporteur, cette approche ne soulève pas de difficulté dans la mesure où les fournisseurs de service numérique, compte tenu de la nature même des services qu'ils proposent, présentent généralement un niveau de sécurité de leurs systèmes d'information d'ores et déjà relativement élevé.
La directive identifie toutefois plusieurs domaines dans lesquels les fournisseurs de service numérique devront mettre en oeuvre des mesures : la sécurité physique des installations ; la gestion des incidents ; la gestion de la continuité des activités ; le suivi, l'audit et le contrôle ; le respect des normes internationales. Un acte d'exécution de la Commission européenne devrait être prochainement adopté pour préciser le contenu de chacun de ces domaines et la typologie des mesures à prendre.
Les États membres ne seront en revanche pas autorisés à imposer des règles plus strictes en matière de sécurité que ce que prévoit la directive. L'objectif poursuivi ici consiste en effet à assurer une harmonisation minimale des règles appliquées au niveau européen, sans toutefois soumettre ces entreprises, dont les services sont, par nature, transnationaux, à un traitement différencié entre les États membres.
Conformément à cette approche, l'article 12 du projet de loi impose aux fournisseurs de service numérique de mettre en oeuvre une procédure d'identification des risques auxquels ils sont exposés et d'adopter des mesures de sécurité adaptées pour gérer ces risques, prévenir les incidents et en réduire l'impact.
L'article prévoit que des mesures devront, a minima , être mises en oeuvre dans les domaines visés par la directive, dont le contenu devrait, selon les informations communiquées à votre rapporteur, être précisé par le décret en Conseil d'État prévu à l'article 4, sur la base de l'acte d'exécution de la Commission européenne précité. À l'initiative de son rapporteur, votre commission a modifié l'article 4 du projet de loi afin de garantir que ces informations seront effectivement précisées dans le décret en Conseil d'État prévu pour l'application du projet de loi (voir commentaire de l'article 4).
Respectant l'esprit de la directive, le projet de loi ne prévoit en revanche aucune norme précise, laissant, sur ce point, aux fournisseurs de service numérique une importante marge de manoeuvre.
De même que pour l'article 6, relatif aux obligations s'imposant aux opérateurs de services essentiels, votre rapporteur s'est interrogé sur la constitutionnalité du dispositif prévu pour les fournisseurs de service essentiels , et notamment sur sa compatibilité avec le principe à valeur constitutionnelle de légalité des délits et des peines (voir commentaire de l'article 6).
En effet, l'article 15 du projet de loi punit d'une peine d'amende tout manquement par un fournisseur de service numérique aux obligations de sécurité définies à l'article 12 et qui n'aurait pas été corrigé à l'issue du délai prévu par une mise en demeure.
En l'espèce, votre commission a estimé, sous réserve de quelques améliorations rédactionnelles auxquelles elle a procédé par l' amendement COM-10 de son rapporteur, et de la modification de l'article 4 précédemment mentionnée, que le fait d'imposer la mise en oeuvre de procédures et de mesures avec des finalités et dans des domaines fixés par la loi permettait de caractériser de manière suffisamment claire et précise les obligations susceptibles de déboucher sur une sanction.
Elle a, en conséquence, adopté l'article 12 ainsi modifié .
Article 13 - Obligation de déclaration d'incidents
L'article 13 du projet de loi prévoit, à l'égard des fournisseurs de service numérique, une obligation de signalement de tout incident affectant les réseaux et systèmes d'information et encadre les conditions de la publicité donnée à ces incidents
Si elle se rapproche du dispositif prévu à l'article 7, l'obligation de signalement faite aux fournisseurs de service numérique serait toutefois, conformément à l'esprit de la directive, plus souple que pour les opérateurs économiques essentiels . Ainsi, les fournisseurs de service numérique ne seraient tenus de déclarer les incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture de leurs services que « lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services ».
L'article précise que l'impact d'un incident devrait s'apprécier au regard d'une série de critères, et notamment du nombre d'utilisateurs touchés par l'incident, de sa durée, de sa portée géographique, de la gravité de la perturbation du fonctionnement du service ainsi que de son impact sur le fonctionnement de la société ou de l'économie.
Afin d'aligner la rédaction de l'article 13 sur celle de l'article 7, votre commission a adopté l' amendement COM-11 de son rapporteur, qui procède à quelques précisions rédactionnelles.
L'article détermine également les conditions dans lesquelles l'autorité administrative peut être autorisée à communiquer des informations sur un incident affectant un fournisseur de service numérique. Les conditions d'information sont, dans ce cas, plus larges que pour les opérateurs de services essentiels. Ainsi, le Premier ministre serait autorisé, après avoir consulté le fournisseur concerné, non seulement à informer le public, mais pourrait également contraindre le fournisseur à le faire. Les finalités autorisant une information sont par ailleurs plus étendues : outre la nécessité de prévenir ou de traiter un incident, une communication pour un incident pourrait être justifiée par tout motif d'intérêt général.
Si un incident avait un impact transfrontalier et touchait plusieurs États membres, le Premier ministre serait également autorisé à informer les autorités compétentes de ces autres États, qui, eux-mêmes, pourraient rendre public cet incident.
Pour les mêmes raisons que celles exposées à l'article 7 relatif aux opérateurs économiques essentiels, votre commission a toutefois, par le même amendement COM-11 de son rapporteur, transféré du Premier ministre à l'autorité administrative de manière plus générale la responsabilité de communiquer sur les incidents affectant les fournisseurs de service numérique.
Elle a, en conséquence, adopté l'article 13 ainsi modifié .
Article 14 - Modalités de contrôle
L'article 14 du projet de loi détermine les modalités de contrôle des obligations imposées aux fournisseurs de service numérique en matière de sécurité des réseaux et systèmes d'information.
On retrouve, sur ce point également, le souhait des auteurs de la directive d'imposer un régime moins strict pour les fournisseurs de service numérique que pour les opérateurs économiques essentiels.
En effet, l'article ne prévoit aucun contrôle systématique des fournisseurs. Il n'autorise la conduite d'un contrôle que lorsque l'autorité administrative est informée qu'un fournisseur ne satisfait pas aux obligations légales qui lui incombent, qu'elle le soit, selon les termes de la directive 27 ( * ) , par le fournisseur lui-même, par les autorités d'un autre État membre ou encore par un utilisateur du service.
La responsabilité du contrôle incomberait à l'ANSSI ou aux prestataires habilités. Les conditions de mise en oeuvre des opérations de contrôle seraient par ailleurs identiques à celles prévues pour les opérateurs économiques essentiels : elles pourraient être menées sur pièce et sur place, les fournisseurs concernés étant tenus de communiquer tout document ou information nécessaire à l'évaluation de la sécurité de leurs installations ainsi que de permettre l'accès aux réseaux et systèmes d'information.
Compte tenu du caractère généralement transfrontalier de l'activité des fournisseurs de service numérique, l'article 14 prévoit un dispositif d'information et de coopération avec les autres États membres concernés pour la conduite de ces contrôles.
Enfin, les fournisseurs de service numérique seraient susceptibles de faire l'objet d'une injonction administrative les incitant à corriger tout manquement constaté à leurs obligations.
Par l' amendement COM-12 de son rapporteur, votre commission a réécrit le dernier alinéa de l'article 14 de manière à préciser la procédure d'injonction administrative, pour les mêmes raisons qu'à l'article 7, et notamment afin d'éviter tout risque d'incompatibilité avec le principe à valeur constitutionnelle de légalité des délits et des peines.
Votre commission a adopté l'article 14 ainsi modifié .
Article 15 - Sanctions pénales
L'article 15 du projet de loi détermine le régime de sanctions pénales applicable aux fournisseurs de service numérique en cas de manquement à leurs obligations.
Trois infractions, de même nature que celles applicables aux opérateurs économiques essentiels, seraient créées. Les amendes applicables seraient toutefois moins élevées, conformément à la hiérarchie introduite par la directive entre les deux catégories d'acteurs .
Serait tout d'abord puni d'une amende de 75 000 euros le fait pour les dirigeants des fournisseurs de service numérique de ne pas se conformer aux obligations de sécurité prévues par l'article 12 et non corrigées à l'issue d'une procédure d'injonction administrative.
Les mêmes personnes encourraient une peine d'amende de 50 000 euros en cas de manquement à la procédure de signalement des incidents à l'ANSSI, et une peine de 100 000 euros d'amende si elles faisaient obstacle aux opérations de contrôle.
De même que dans le cadre de l'article 9, la responsabilité des dirigeants ne ferait pas obstacle à l'engagement de la responsabilité de la personne morale, comme le prévoit l'article 121-2 du code pénal.
Votre commission a jugé nécessaire de préciser les termes de la première infraction afin d'assurer sa conformité avec le principe de légalité des délits et des peines qui impose, comme vu précédemment, au législateur de « définir les crimes et les délits dans des termes suffisamment clairs et précis ». Elle a, en ce sens, adopté l'amendement COM-13 de son rapporteur.
Votre commission a adopté l'article 15 ainsi modifié .
* 25 Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»).
* 26 Considérant n° 49 de la directive.
* 27 Considérant n° 60 de la directive.