M. le président. La parole est à Mme la ministre.
Mme Florence Parly, ministre. J’ai beaucoup hésité à intervenir, car je ne voudrais pas allonger le débat, déjà extrêmement fourni.
Bien sûr, je n’imaginais pas que, dans cet hémicycle, le débat sur une question ayant trait à la désignation des grands électeurs et, in fine, à l’élection des sénateurs pourrait être bref.
Certains d’entre vous ont souligné qu’il était utile. Je pense également qu’il l’est. Toutefois – peut-être est-ce dû à l’heure tardive plus qu’au sujet lui-même –, je trouve que l’écoute tend à céder la place aux effets de manche.
On nous parle de différentes catégories de militaires, de différentes catégories de collectivités locales. Pour ma part, je suis très choquée que l’on puisse dire que l’élection des députés au suffrage universel direct et l’élection des sénateurs au suffrage indirect sont une seule et même chose. Non, ce n’est pas la même chose ! Relisez, pour vous en convaincre, les textes qui régissent notre vie publique.
Personne n’interdit aux militaires de participer à la désignation des députés, pour la raison très simple que le suffrage universel est direct. Les militaires ne souffrent évidemment d’aucune forme d’ostracisme par rapport aux autres citoyens.
En revanche, et ce n’est pas à vous que je vais l’apprendre, mesdames, messieurs les sénateurs, les règles sont différentes s’agissant de l’élection des sénateurs, qui sont élus non au suffrage direct, mais par un collège de grands électeurs.
M. Bruno Sido. Nous nous en étions aperçus !
M. Jean-Pierre Grand. Et alors ?
Mme Florence Parly, ministre. Sans vouloir prolonger inutilement ce débat, permettez-moi de vous dire que certains propos m’ont choquée. On ne peut pas parler de déni de démocratie, comme je l’ai entendu tout à l’heure.
M. François Bonhomme. Aucun rapport !
M. Jean-Pierre Grand. Nous sommes une assemblée démocratique !
M. le président. L’amendement n° 78, présenté par M. Grand, est ainsi libellé :
Après l’alinéa 21
Insérer un alinéa ainsi rédigé :
« Pour les nécessités liées à la préparation et à la conduite des opérations ainsi qu’à la bonne exécution des missions des forces armées et formations rattachées, le militaire en activité titulaire d’un mandat local peut ne pas remplir des fonctions dévolues par les lois aux conseillers municipaux.
La parole est à M. Jean-Pierre Grand.
M. Jean-Pierre Grand. Madame la ministre, notre assemblée est une assemblée démocratique, quel qu’en soit le mode d’élection. Naturellement, toute atteinte à la démocratie touche la démocratie dans son ensemble.
En vous écoutant, je pensais que, si le général Jacques Chaban-Delmas ou le colonel Rol-Tanguy avaient dû affronter les lois que nous votons aujourd’hui, ils n’auraient pas pu exercer les fonctions politiques qui furent les leurs. Voilà pourquoi il ne faut jamais toucher à la liberté de quiconque de se présenter à une élection. C’est ce que je ressens au plus profond de moi-même. Il y a aujourd’hui, entre la nouvelle majorité et nous, un monde – nous ne représentons pas forcément le monde ancien ! –, un monde à la fois d’expérience, de sensibilité et de très grand respect des grandes valeurs qui fondent la République et, en ce qui me concerne, qui fondent le gaullisme. (Très bien ! et applaudissements sur les travées du groupe Les Républicains et sur des travées du groupe Union Centriste.)
L’amendement n° 78 vise à sécuriser l’exercice du mandat municipal des militaires.
Le code général des collectivités territoriales prévoit que tout membre d’un conseil municipal qui, sans excuse valable, a refusé de remplir l’une des fonctions qui lui sont dévolues par les lois est déclaré démissionnaire par le tribunal administratif.
En raison de sa disponibilité dans l’armée, un militaire peut être amené à ne pas pouvoir exercer certaines fonctions, notamment celles d’assesseur lors d’une élection dans la commune où il est conseiller municipal. Cette absence sera très certainement considérée comme une excuse valable par tout le monde, mais il me semble préférable de bien préciser la volonté du législateur, chère à la justice administrative, pour éviter, une nouvelle fois, que la jurisprudence fasse les lois en lieu et place du Parlement.
M. le président. Quel est l’avis de la commission ?
M. Christian Cambon, rapporteur. Nous devons respecter une certaine cohérence.
Venant de défendre l’idée que le militaire conseiller municipal doit exercer autant que faire se peut les droits inhérents à cette fonction élective, il serait assez paradoxal que nous l’exonérions de ses obligations de conseiller municipal sous prétexte qu’il est militaire.
Que se passe-t-il si le militaire qui exerce des fonctions de conseiller municipal est empêché, parce qu’il est en activité ? Toutes celles et tous ceux d’entre nous qui ont été maire ou maire adjoint – nous sommes extrêmement nombreux dans ce cas – savent que, d’une part, les textes envisagent ces situations, et que, d’autre part, dans la pratique, lorsqu’un conseiller municipal dispose d’une excuse valable, il est bien évidemment tenu pour excusé et n’est nullement sanctionné.
M. Bruno Sido. Bien sûr !
M. Christian Cambon, rapporteur. J’invite donc Jean-Pierre Grand à retirer cet amendement, même si je comprends tout à fait sa motivation.
Soyons logiques : nous venons d’affirmer que nous voulions que le statut du militaire conseiller municipal se rapproche le plus possible de celui des autres conseillers municipaux. Ne l’exemptons pas, à l’envers, de responsabilités qui sont les siennes !
M. Jean-Pierre Grand. Je retire mon amendement, monsieur le président.
M. le président. L’amendement n° 78 est retiré.
Je mets aux voix l’article 18, modifié.
(L’article 18 est adopté.)
Chapitre III
Dispositions relatives à la cyberdéfense
Article 19
I. – Le code des postes et des communications électroniques est ainsi modifié :
1° La section 1 du chapitre II du titre Ier du livre II est complétée par un article L. 33-14 ainsi rédigé :
« Art. L. 33-14. – Pour les besoins de la sécurité et de la défense des systèmes d’information, les opérateurs de communications électroniques peuvent recourir, sur les réseaux de communications électroniques qu’ils exploitent, après en avoir informé l’autorité nationale de sécurité des systèmes d’information, à des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés.
« À la demande de l’autorité nationale de sécurité des systèmes d’information, lorsque celle-ci a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information, les opérateurs de communications électroniques ayant mis en œuvre les dispositifs prévus au premier alinéa procèdent, aux fins de prévenir la menace, à leur exploitation, en recourant, le cas échéant, à des marqueurs techniques que cette autorité leur fournit.
« Par dérogation au II de l’article L. 34-1, les opérateurs de communications électroniques sont autorisés à conserver, pour une durée maximale d’un an, les données techniques strictement nécessaires à la caractérisation d’un évènement détecté par les dispositifs mentionnés au premier alinéa du présent article. Les données recueillies dans le cadre de l’exploitation de ces dispositifs autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites.
« Lorsque sont détectés des événements susceptibles d’affecter la sécurité des systèmes d’information, les opérateurs de communications électroniques en informent sans délai l’autorité nationale de sécurité des systèmes d’information.
« À la demande de l’autorité nationale de sécurité des systèmes d’information, les opérateurs de communications électroniques informent leurs abonnés de la vulnérabilité de leurs systèmes d’information ou des atteintes qu’ils ont subies.
« Les modalités d’application du présent article sont précisées par décret en Conseil d’État. Celui-ci détermine notamment les catégories de données pouvant être conservées par les opérateurs de communications électroniques. » ;
2° L’article L. 36-7 est complété par un 12° ainsi rédigé :
« 12° Est chargée, en application de l’article L. 2321-5 du code de la défense, de veiller au respect par l’autorité nationale de sécurité des systèmes d’information des conditions d’application de l’article L. 2321-2-1 et du deuxième alinéa de l’article L. 2321-3 du même code. » ;
3° La section 1 du chapitre IV du même titre Ier est complétée par un article L. 36-14 ainsi rédigé :
« Art. L. 36-14. – La formation de règlement des différends, de poursuite et d’instruction mentionnée à l’article L. 130 est compétente pour exercer la mission mentionnée au 12° de l’article L. 36-7. Pour l’accomplissement de cette mission, la formation de règlement des différends, de poursuite et d’instruction :
« 1° Est informée sans délai, par l’autorité nationale de sécurité des systèmes d’information, des mesures mises en œuvre en application de l’article L. 2321-2-1 du code de la défense ainsi que des demandes formulées en application du deuxième alinéa de l’article L. 2321-3 du même code ;
« 2° Dispose d’un accès complet et permanent aux données recueillies ou obtenues en application des mêmes articles L. 2321-2-1 et L. 2321-3 ainsi qu’aux dispositifs de traçabilité des données collectées et peut solliciter de l’autorité nationale de sécurité des systèmes d’information tous les éléments nécessaires à l’accomplissement de sa mission ;
« 2° bis Peut, à la demande de son président, se faire assister par des experts individuellement désignés et habilités au secret de la défense nationale.
« 3° Peut adresser, à tout moment, à l’autorité nationale de sécurité des systèmes d’information toute recommandation qu’elle juge nécessaire aux fins d’assurer la régularité des mesures mises en œuvre en application des dispositions mentionnées au 1° du présent article. Elle est informée, sans délai, des suites données à ces recommandations.
« Lorsque l’autorité nationale de sécurité des systèmes d’information ne donne pas suite à ces recommandations ou que la formation de règlement des différends, de poursuite et d’instruction estime insuffisantes les suites données à ces recommandations, la formation peut enjoindre à l’autorité nationale de sécurité des systèmes d’information d’interrompre les opérations ou de détruire les données mentionnés aux articles L. 2321-2-1 et L. 2321-3 du code de la défense.
« Le Conseil d’État peut être saisi par le président de l’Autorité de régulation des communications électroniques et des postes d’un recours lorsque l’autorité nationale de sécurité des systèmes d’information ne se conforme pas à une injonction qui lui est adressée en vertu du présent article. Le Conseil d’État statue alors dans les conditions prévues au chapitre III quater du titre VII du livre VII du code de justice administrative.
« L’Autorité de régulation des communications électroniques et des postes remet chaque année au Gouvernement et au Parlement, dans le respect du secret de la défense nationale, un rapport d’activité sur les conditions d’exercice et les résultats du contrôle exercé au titre du présent article.
« Elle peut adresser au Premier ministre, au Président de l’Assemblée nationale et au Président du Sénat, à tout moment, les observations qu’elle juge utiles.
« Les modalités d’application du présent article sont précisées par décret en Conseil d’État. » ;
4° Le titre II du livre III est ainsi modifié :
a) Après le septième alinéa de l’article L. 130, il est inséré un alinéa ainsi rédigé :
« La formation de règlement des différends, de poursuite et d’instruction est compétente pour exercer la mission mentionnée au 12° de l’article L. 36-7, dans les conditions prévues à l’article L. 36-14. » ;
b) Le premier alinéa de l’article L. 131 est complété par une phrase ainsi rédigée : « Lorsque l’accomplissement de leur mission l’exige, ces membres sont habilités au secret de la défense nationale. » ;
c) L’article L. 132 est complété par un alinéa ainsi rédigé :
« Lorsque l’accomplissement de leur mission l’exige, ces personnels sont habilités au secret de la défense nationale. »
I bis (nouveau). – Le code de justice administrative est ainsi modifié :
1° Après les mots : « code de la sécurité intérieure », la fin du premier alinéa de l’article L. 311-4-1 est ainsi rédigée : « , la mise en œuvre de l’article 41 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, pour certains traitements ou certaines parties de traitements intéressant la sûreté de l’État et la mise en œuvre des mesures prévues à l’article L. 2321-2-1 du code de la défense ainsi que des demandes formulées en application du second alinéa de l’article L. 2321-3 du même code. » ;
2° Après le chapitre III ter du titre VII du livre VII, il est inséré un chapitre III quater ainsi rédigé :
« CHAPITRE III QUATER
« Le contentieux de la mise en œuvre des dispositifs de prévention des atteintes aux systèmes d’information
« Art. L. 773-10. – Le Conseil d’État examine les requêtes présentées sur le fondement de l’article L. 36-14 du code des postes et des communications électroniques conformément aux règles générales du présent code, sous réserve des dispositions particulières du présent chapitre.
« Art. L. 773-11. – Lorsqu’est en cause le secret de la défense nationale, les affaires relevant du présent chapitre sont portées devant la formation spécialisée prévue à l’article L. 773-2.
« Art. L. 773-12. – Lorsque la formation de jugement constate qu’un dispositif de prévention des atteintes aux systèmes d’information est ou a été mis en œuvre illégalement ou que des données ont été collectées ou conservées illégalement, elle peut ordonner l’interruption des opérations et la destruction des données irrégulièrement collectées ou conservées. »
II. – Le chapitre Ier du titre II du livre III de la deuxième partie du code de la défense est ainsi modifié :
1° Après l’article L. 2321-2, sont insérés des articles L. 2321-2-1 et L. 2321-2-2 ainsi rédigés :
« Art. L. 2321-2-1. – Lorsqu’elle a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 ou des opérateurs mentionnés à l’article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité, l’autorité nationale de sécurité des systèmes d’information peut mettre en œuvre, sur le réseau d’un opérateur de communications électroniques ou sur le système d’information d’une personne mentionnée aux 1 ou 2 du I de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information des autorités publiques et opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou à l’article 5 de la loi n° 2018-133 du 26 février 2018 précitée. Ces dispositifs sont mis en œuvre pour la durée et dans la mesure strictement nécessaires à la caractérisation de la menace.
« Les agents de l’autorité nationale de sécurité des systèmes d’information individuellement désignés et spécialement habilités sont autorisés, aux seules fins de prévenir et de caractériser la menace affectant les systèmes d’information des autorités publiques ou des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou des opérateurs mentionnés à l’article 5 de la loi n° 2018-133 du 26 février 2018 précitée, à procéder au recueil et à l’analyse des seules données techniques pertinentes, à l’exclusion de toute autre exploitation. Un décret en Conseil d’État détermine les catégories de données susceptibles d’être collectées en application du présent alinéa.
« Les données techniques recueillies directement par l’autorité nationale de sécurité des systèmes d’information en application du premier alinéa du présent article ou obtenues en application du second alinéa de l’article L. 2321-3 ne peuvent être conservées plus de dix ans.
« Les données recueillies autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites.
« Art. L. 2321-2-2. – Est puni de 150 000 € d’amende le fait, pour un opérateur de communications électroniques ou ses agents ou pour une personne mentionnée au premier alinéa de l’article L. 2321-2-1, de faire obstacle à la mise en œuvre, par l’autorité nationale de sécurité des systèmes d’information, des dispositifs mentionnés au même premier alinéa.
« Les personnes physiques coupables de cette infraction encourent également l’interdiction, pour une durée de cinq ans au plus, d’exercer l’activité professionnelle à l’occasion de l’exercice de laquelle l’infraction a été commise. » ;
2° L’article L. 2321-3 est ainsi modifié :
a) (nouveau) Les mots : « de l’État » sont remplacés par les mots : « des autorités publiques » ;
b) (nouveau) Après la référence : « L. 1332 » sont insérés les mots : « , et des opérateurs mentionnés à l’article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité » ;
c) (nouveau) Les mots : « la compromission » sont remplacés par les mots : « l’atteinte » ;
d) Il est ajouté deux alinéas ainsi rédigés :
« Lorsque l’autorité nationale de sécurité des systèmes d’information est informée, en application de l’article L. 33-14 du même code, de l’existence d’un événement affectant la sécurité des systèmes d’information d’une autorité publique ou d’un opérateur mentionné aux articles L. 1332-1 et L. 1332-2 du présent code ou d’un opérateur mentionné à l’article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité, les agents mentionnés au premier alinéa du présent article peuvent obtenir des opérateurs de communications électroniques les données techniques strictement nécessaires à l’analyse de cet événement. Ces données ne peuvent être exploitées qu’aux seules fins de caractériser la menace affectant la sécurité de ces systèmes, à l’exclusion de toute autre exploitation.
« Les surcoûts identifiables et spécifiques des prestations assurées par les opérateurs de communications électroniques à la demande de l’autorité nationale de sécurité des systèmes d’information en application du premier alinéa du présent article sont compensés selon les modalités prévues par le III de l’article L. 34-1 du code des postes et des communications électroniques. » ;
3° Il est ajouté un article L. 2321-5 ainsi rédigé :
« Art. L. 2321-5. – L’Autorité de régulation des communications électroniques et des postes est chargée de veiller au respect par l’autorité nationale de sécurité des systèmes d’information des conditions d’application de l’article L. 2321-2-1 et du deuxième alinéa de l’article L. 2321-3. »
M. le président. La parole est à M. Richard Yung, sur l’article.
M. Richard Yung. Nous abordons maintenant un chapitre important, concernant la cyberdéfense. Je veux souligner précisément l’importance de traiter ces questions, y compris dans le cadre de la loi de programmation militaire.
L’enjeu est de taille. Partout, dans le monde, les États se dotent des outils nécessaires pour combattre les cyberattaques.
Mes chers collègues, rappelez-vous ce qui s’est passé aux États-Unis lors de la dernière élection présidentielle ! Je pense à la fois aux interférences dans l’élection proprement dite dont a été victime le Parti démocrate, mais aussi aux cyberattaques ayant visé un certain nombre d’infrastructures importantes du gouvernement.
C’est pourquoi la France doit se doter des ressources technologiques et humaines nécessaires. C’est ce que prévoit le présent projet de loi, par une augmentation des effectifs de cyberdéfense à hauteur de 1 000 personnes ainsi qu’à travers un budget de 1,6 milliard d’euros, hors masse salariale.
Mais notre réponse doit aussi être juridique. Tel est aussi l’objet de l’article 19, qui crée un régime spécifique autorisant la mise en place de dispositifs de détection au sein des opérateurs de télécommunications. C’est une nouvelle avancée.
Cette tâche de protection sera pilotée par l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI. Pour éviter les difficultés et les débordements, le principe de précaution s’appliquera, puisque les activités de l’ANSSI seront contrôlées par l’Autorité de régulation des communications électroniques et des postes, l’ARCEP.
M. le président. L’amendement n° 125, présenté par le Gouvernement, est ainsi libellé :
I. – Alinéa 18, seconde phrase
Supprimer cette phrase.
II. – Alinéas 28 à 35
Supprimer ces alinéas.
La parole est à Mme la ministre.
Mme Florence Parly, ministre. Cet amendement a pour objet de simplifier les dispositions applicables au recours juridictionnel à disposition de l’ARCEP en cas de méconnaissance d’une injonction adressée à l’ANSSI.
Votre commission a souhaité garantir l’effectivité du contrôle de l’ARCEP sur la mise en œuvre des nouveaux outils de détection dont la loi va doter l’ANSSI, en lui ouvrant une voie de recours spécial devant la formation spécialisée du Conseil d’État.
Pourtant, une telle voie de recours me semble inappropriée.
Tout d’abord, je veux souligner que l’ANSSI ne manquera pas de déférer aux injonctions de l’ARCEP et rappeler que le droit au recours existe, même sans texte. L’ARCEP en dispose, même si la loi ne le prévoyait pas jusqu’à présent. La loi peut, certes, rappeler que l’ARCEP peut saisir le Conseil d’État. Le présent amendement ne remet pas cette dimension en cause.
En revanche, ce qui paraît tout à fait inapproprié, c’est de confier ce contentieux à la formation spécialisée du Conseil d’État, dont ce n’est pas le rôle. La loi du 24 juillet 2015 relative au renseignement a créé, en effet, au sein du Conseil d’État, cette formation spécialisée, dans un but bien précis, qui est de connaître des litiges relatifs à l’utilisation des techniques de recueil de renseignements et à l’exercice du droit d’accès indirect aux fichiers de renseignement.
La justification d’une telle création repose évidemment sur la spécificité des activités de renseignement couvertes par le secret, ainsi que par le caractère intrusif des techniques mises en œuvre, compte tenu des risques d’atteinte à la vie privée.
Or les dispositifs techniques mentionnés à l’article 19 répondent à une logique tout à fait autre, puisqu’ils n’impliquent pas, par eux-mêmes, d’atteinte à la vie privée ni au secret des correspondances. C’est ce qui explique que le contrôle de leur mise en œuvre soit confié à l’Autorité de régulation des communications électroniques et des postes, et non pas à la Commission nationale de contrôle des techniques de renseignement.
Dans ces conditions, procéder, comme le fait la rédaction actuelle de l’article 19, telle qu’elle résulte des travaux de votre commission, à l’élargissement du champ de compétence de la formation spécialisée du Conseil d’État au-delà de sa raison d’être, c’est-à-dire les activités de renseignement, ferait perdre sa cohérence à cette voie de droit tout à fait spécifique et fragiliserait le régime procédural qui lui est attaché. Par ailleurs, j’ajoute que, devant les juridictions supranationales, le caractère très particulier de son champ d’intervention est un argument important.
Les juridictions de droit commun pourront, quoi qu’il en soit, être saisies et, à ce titre, le présent amendement maintient bien la possibilité pour l’ARCEP de saisir le Conseil d’État, mais en formation ordinaire, et de faire usage, si nécessaire, des procédures d’urgence ouvertes devant le juge administratif.
Lorsque certaines informations sont couvertes par le secret de la défense nationale, le juge administratif pourra naturellement solliciter leur déclassification auprès de l’autorité administrative indépendante compétente, à savoir la Commission consultative du secret de la défense nationale.
Ainsi, le seul fait que le contentieux propre à la mise en œuvre des dispositifs techniques puisse concerner des informations classifiées ne peut à lui seul justifier un recours devant la formation spécialisée du Conseil d’État, sauf à vouloir fragiliser le rôle de la Commission consultative du secret de la défense nationale.
C’est pourquoi nous vous demandons de bien vouloir accepter la modification ponctuelle du texte voté en commission qui fait l’objet de l’amendement n° 125.