Allez au contenu, Allez à la navigation

Séance du 22 octobre 2020 (compte rendu intégral des débats)

M. le président. L’amendement n° 1 rectifié bis, présenté par Mme S. Robert, M. Cardon, Mme Artigalas, M. Montaugé, Mme Blatrix Contat, MM. Bouad, Merillou, Michau, Pla, Redon-Sarrazy, Tissot et les membres du groupe Socialiste, Écologiste et Républicain, est ainsi libellé :

Alinéa 4, première phrase

Après le mot :

arrêté

insérer les mots :

, pris après consultation de la Commission nationale de l’informatique et des libertés,

La parole est à M. Franck Montaugé.

M. Franck Montaugé. Nous allons retirer cette disposition ; en effet, l’amendement présenté par le Gouvernement et accepté en commission satisfait la demande qui y est formulée.

Je profite simplement de cette intervention pour appeler le Gouvernement, s’il le juge judicieux, à faire la promotion des systèmes de management de la sécurité de l’information – nous avons évoqué ce sujet tout à l’heure –, en particulier de la norme ISO 27001.

Ce sujet étant un peu technique, je n’entrerai pas dans les détails. Mais il y a vraiment matière, dans les circonstances que nous vivons, et compte tenu les multiples attaques que nous subissons, à ce que nous fassions la promotion de tels systèmes. Je l’ai moi-même fait auprès de chefs d’entreprise de mon département, dans le cadre des travaux de la chambre de commerce et d’industrie du Gers. Nous n’avons rien à perdre à le faire.

Le but n’est évidemment pas d’être certifié à tout prix ; il s’agit de comprendre comment l’on fait une analyse des risques et comment l’on se prémunit contre les dangers en la matière via la mise en place de systèmes de management de la sécurité de l’information qui, je le répète, méritent vraiment d’être promus.

Je retire donc cet amendement, monsieur le président.

M. le président. L’amendement n° 1 rectifié bis est retiré.

L’amendement n° 3, présenté par M. Lafon, est ainsi libellé :

Alinéa 5

1° Remplacer les mots :

peut être

par le mot :

est

2° Après le mot :

moyen

rédiger ainsi la fin de cet alinéa :

d’un système d’information coloriel ou de graphiques et symboles. Lorsque l’utilisation du service de communication au public en ligne nécessite de s’identifier électroniquement, le diagnostic est présenté systématiquement à l’utilisateur sur la page permettant de s’authentifier.

La parole est à M. Laurent Lafon.

M. Laurent Lafon. L’objet de cet amendement est presque identique à celui du sous-amendement que j’ai présenté voilà quelques instants, monsieur le président.

M. le président. Quel est l’avis de la commission ?

Mme Anne-Catherine Loisier, rapporteure. Cela a été dit : l’amendement du Gouvernement vise à préserver ce qui constitue le cœur du dispositif de cette proposition de loi, à savoir l’information du consommateur en matière de cybersécurité.

C’est pourquoi la commission a émis un avis favorable sur cet amendement, sous réserve de l’adoption du sous-amendement que je vous ai présenté, dont l’objet est de ne pas limiter le champ d’application du Cyberscore aux opérateurs de plateforme au sens du code de la consommation, sans quoi, je le répète, des services initialement visés par la proposition de loi de notre collègue Lafon, comme les services de visioconférence en ligne, risqueraient d’être exclus du Cyberscore.

Je comprends que le Gouvernement ne soit pas tout à fait en accord avec notre proposition de rédaction, mais, comme je l’ai dit, nous sommes disposés à retravailler ce dispositif ultérieurement. À défaut d’une contre-proposition satisfaisante, je vous propose donc de maintenir ce sous-amendement.

En ce qui concerne le sous-amendement de M. Lafon, la commission n’a pas eu le temps matériel de se prononcer, mais la disposition proposée est totalement dans l’esprit de nos débats ; j’émets donc un avis favorable.

Aussi, je vous propose d’adopter l’amendement n° 4 du Gouvernement avec ses deux sous-amendements. Quant aux amendements nos 2 rectifié et 3, ils deviendraient sans objet, dans la mesure où le dispositif aurait basculé vers un contrôle a posteriori.

Par le dépôt de cet amendement, le Gouvernement s’engage aux côtés du Sénat pour faire prospérer cette proposition de loi. Je voudrais simplement attirer votre attention, monsieur le secrétaire d’État, sur la nécessité, compte tenu de la suppression de l’obligation de ce diagnostic – ce point a été évoqué par différents collègues en discussion générale –, de renforcer les moyens de contrôle a posteriori, et en tout cas d’y prêter une attention toute particulière.

Ces moyens de contrôle seront déterminants dans l’efficacité du système – nous visons là les services de la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), dont nous savons, d’ailleurs, qu’ils sont déjà largement sollicités, et de l’Agence nationale de la sécurité des systèmes d’information(Anssi). Il faudra qu’ils soient vraiment vigilants quant à l’efficacité de ces contrôles a posteriori.

M. le président. Quel est l’avis du Gouvernement ?

M. Cédric O, secrétaire dÉtat. Madame la rapporteure, nous cherchons à déterminer quelles sont les entreprises qui sont concernées par cette proposition de loi. Or, en la matière, me semble-t-il, nous avons encore besoin de travailler.

Je reconnais assez volontiers que notre amendement ne concerne pas assez d’entreprises ; j’ai peur, a contrario, qu’avec votre sous-amendement on « attrape » trop d’entreprises, qu’elles soient commerciales ou non.

J’émets donc un avis de sagesse sur le sous-amendement n° 6, sachant que l’objectif est que nous puissions continuer, au fil de la navette parlementaire, à débattre sur cette question du périmètre des entreprises concernées.

Quant au sous-amendement n° 7, présenté par M. le sénateur Lafon, il est satisfait, sauf erreur de ma part. En effet, nous avons proposé – tel est l’objet de l’amendement n° 4 – que les modalités de présentation du diagnostic soient précisées par un arrêté conjoint des ministres chargés du numérique et de la consommation.

Il nous semble que la rédaction proposée par le Gouvernement permet d’atteindre l’objectif visé par le sous-amendement ; c’est dans cet esprit, avec la volonté d’afficher une signalétique claire, largement visible et probablement appuyée sur un système coloriel, qu’est rédigé l’amendement du Gouvernement, qui tend à renvoyer la définition de ces critères au niveau réglementaire, plutôt que législatif.

Je demande donc à M. le sénateur Lafon de bien vouloir retirer son sous-amendement.

Je me permets par ailleurs, mesdames, messieurs les sénateurs, de vous présenter mes excuses : compte tenu de la situation sanitaire et de la relance de l’application TousAntiCovid, dont chacun ici est bien conscient qu’elle est nécessaire,…

Mme Sophie Primas, présidente de la commission des affaires économiques. Je l’ai téléchargée, monsieur le secrétaire d’État !

M. Cédric O, secrétaire dÉtat. … et qui devrait être progressivement disponible, je dois participer à la conférence de presse du Premier ministre sur la pandémie de covid-19.

J’ai tenu à rester le plus longtemps possible parmi vous pour répondre notamment à Mme la présidente de la commission. Je vais maintenant vous laisser, pour l’examen de l’article 2, avec mon collègue Joël Giraud, que vous connaissez bien. Je vous prie une nouvelle fois de m’excuser de ce départ anticipé, qui se fait bien malgré moi.

M. le président. La parole est à M. Daniel Gremillet, pour explication de vote.

M. Daniel Gremillet. Je soutiens sans réserve le sous-amendement n° 6, dont nous avons débattu avec la présidente de la commission des affaires économiques. Je vous remercie d’ailleurs, monsieur le secrétaire d’État, de l’avis de sagesse que vous avez émis et des perspectives que vous avez données en vue de la navette parlementaire.

Le point ici abordé est absolument essentiel. Je souhaite donc vraiment que ce sous-amendement soit voté ; son adoption permettra d’améliorer sensiblement l’amendement du Gouvernement.

M. le président. Je mets aux voix le sous-amendement n° 6.

(Le sous-amendement est adopté.)

M. le président. Je mets aux voix le sous-amendement n° 7.

(Le sous-amendement est adopté.)

M. le président. Je mets aux voix l’amendement n° 4, modifié.

(Lamendement est adopté.)

M. le président. En conséquence, les amendements nos 2 rectifié et 3 n’ont plus d’objet.

Je mets aux voix l’article 1er, modifié.

(Larticle 1er est adopté.)

Article 1er
Dossier législatif : proposition de loi pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public
Explications de vote sur l'ensemble (début)

Article 2

L’article L. 2111-1 du code de la commande publique est complété par les mots : « , ainsi que les impératifs de cybersécurité ».

M. le président. L’amendement n° 5, présenté par le Gouvernement, est ainsi libellé :

Supprimer cet article.

La parole est à M. le secrétaire d’État.

M. Joël Giraud, secrétaire dÉtat auprès de la ministre de la cohésion des territoires et des relations avec les collectivités territoriales, chargé de la ruralité. Monsieur le président, mesdames, messieurs les sénateurs, j’étais venu vous parler de la dotation d’équipement des territoires ruraux ; je vais vous parler de cybersécurité…

L’article 2 de cette proposition de loi nous pose un problème : son adoption aurait pour conséquence d’imposer une obligation de prendre en compte les impératifs de cybersécurité dans la définition du besoin pour l’ensemble des marchés publics.

L’objectif visé est certes tout à fait louable – il s’agit d’améliorer la sécurité des systèmes d’information des personnes publiques –, mais la modification proposée ne permet pas de l’atteindre ; en l’état du droit, cette modification de l’article L. 2111-1 du code de la commande publique est totalement inappropriée, puisqu’elle porte sur l’ensemble des marchés, quel que soit l’objet du marché.

Or, à la différence d’un critère comme celui du développement durable, qui est susceptible de concerner tous les marchés, le critère de la cybersécurité ne saurait porter que sur les achats de prestations informatiques. Le principe fondamental d’égalité devant la commande publique, qui impose de ne formuler d’exigence en termes d’expression des besoins, de critères de choix et de clauses d’exécution qu’en lien avec l’objet du marché, serait totalement bafoué.

C’est la raison pour laquelle le Gouvernement vous propose la suppression de l’article 2.

M. le président. Quel est l’avis de la commission ?

Mme Anne-Catherine Loisier, rapporteure. La commission émet un avis favorable sur cette demande de suppression de l’article 2 formulée par le Gouvernement, tout en soulignant que les motifs de préoccupation sont réels aujourd’hui en matière de marchés publics et de cybersécurité.

Monsieur le secrétaire d’État, j’invite les services compétents à renforcer l’assistance numérique apportée aux collectivités, peut-être sous forme d’un vade-mecum ou d’une ingénierie. Encore récemment, des collectivités, y compris parmi les plus importantes, ont témoigné auprès de nous des difficultés auxquelles elles sont confrontées pour réaliser des cahiers des charges capables de préserver la sécurité de leurs données. Le sujet est bien réel, monsieur le secrétaire d’État.

Cela dit, je rejoins la position du Gouvernement et émets un avis favorable sur cet amendement.

M. le président. Je mets aux voix l’amendement n° 5.

(Lamendement est adopté.)

M. le président. En conséquence, l’article 2 est supprimé.

Vote sur l’ensemble

Article 2
Dossier législatif : proposition de loi pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public
Explications de vote sur l'ensemble (fin)

M. le président. Avant de mettre aux voix l’ensemble de la proposition de loi, je donne la parole à Mme Catherine Morin-Desailly, pour explication de vote.

Mme Catherine Morin-Desailly. Bien entendu, je voterai ce texte, que j’ai d’ailleurs souhaité cosigner, sur l’initiative de notre collègue Laurent Lafon, que je félicite, tout comme Mme la rapporteure Anne-Catherine Loisier.

En effet, je le disais : chacun des textes que nous votons, depuis quelques mois, est une avancée – peut-être petite, mais incontestable – vers une réglementation devenue nécessaire.

Cependant, nous devons bien en avoir conscience, c’est seulement par une réforme beaucoup plus structurelle que nous pourrons définitivement assurer, dans le cyberespace, la protection du consommateur et des données des citoyens et des entreprises.

C’est donc bien au niveau européen qu’il nous faut maintenant avancer, en étant très vigilants sur les trois textes qui vont arriver d’ici à la fin décembre, le Digital Services Act, le Digital Single Market Act et, bien sûr, le Cybersecurity Act, qui sont extrêmement importants. Il faut porter un haut niveau d’exigence : le gouvernement français doit émettre un certain nombre de revendications que nous avons nous-mêmes relayées de très longue date.

Je regrette le départ de Cédric O ; je note en effet, et j’aurais voulu le souligner devant lui, que le Gouvernement a fait un virage à 180 degrés concernant sa position sur le prestataire gestionnaire de la plateforme des données de santé.

Je me permets un petit rappel : le 27 mai dernier, lors d’un débat sur l’application StopCovid, comme le 16 juillet, à l’occasion d’une question d’actualité que je posais au nom de mon groupe, on m’a affirmé qu’il n’y avait pas d’entreprise française de dimension européenne et internationale pour gérer la plateforme. Il a fallu que la Cour de justice de l’Union européenne invalide le transfert des données dans le cadre du Privacy Shield. Je note avec satisfaction qu’on nous a enfin entendus ; c’est une bonne chose !

Malgré tout, il nous faut encore travailler sur ces sujets, car, au-delà de la redevabilité et de la responsabilité des plateformes, qui sont à revoir dans le cadre du Digital Services Act, c’est bien aussi le modèle même des plateformes qui est en cause : le modèle prédateur d’un capitalisme de surveillance théorisé par Shoshana Zuboff, professeure à Harvard, dont l’excellent ouvrage, que je vous recommande, vient d’ailleurs d’être traduit en français – il y a eu, la semaine dernière, de nombreux articles dans la presse française pour vanter la réflexion menée par cette universitaire.

Le chemin est encore long, on le voit, vers un monde sécurisé, mais une proposition de loi comme celle-ci constitue un premier pas en avant. Il est important que le Sénat reste en pointe sur ces sujets. Il nous faut faire valoir nos travaux ; comme je le disais, nous sommes, en la matière, largement en avance par rapport à de nombreuses assemblées de par le monde, et c’est notre fierté. Je me tourne d’ailleurs vers Mme la présidente de la commission des affaires économiques : je sais qu’elle partage cette ambition.

M. le président. La parole est à M. Daniel Salmon, pour explication de vote.

M. Daniel Salmon. Mes chers collègues, malgré l’adoption de l’amendement n° 4, nous voterons cette proposition de loi, parce que le vote des sous-amendements nos 6 et 7 lui redonne son essence – à défaut de tels sous-amendements, nous ne l’aurions pas votée.

Cette réécriture presque totale de la proposition de loi lui faisait perdre toute lisibilité. Nous perdions l’idée de création d’un Cyberscore lisible ; la communication avec les utilisateurs en aurait largement pâti.

Nous regrettons en particulier, dans cet amendement n° 4 du Gouvernement, l’abandon de l’obligation d’une évaluation des plateformes par une autorité administrative indépendante ; à la place, on nous propose une autoévaluation. L’autoévaluation, nous savons bien ce que ça veut dire : cela veut dire être juge et partie !

Nous voterons néanmoins ce texte, qui va dans le bon sens.

M. le président. La parole est à Mme la présidente de la commission.

Mme Sophie Primas, présidente de la commission des affaires économiques. Au terme de cette discussion, je veux remercier une nouvelle fois notre collègue Laurent Lafon de cette proposition de loi.

Je sais qu’il a été soutenu par l’ancienne présidente de la commission de la culture, Catherine Morin-Desailly, qui travaille depuis longtemps sur ces sujets, avec beaucoup d’obstination. Je salue également, bien sûr, le travail remarquable accompli par Anne-Catherine Loisier et par le personnel de la commission des affaires économiques, en un temps record – je dois le dire. Il s’agit d’un travail de longue haleine, sur lequel aucune de ces deux commissions ne lâche jamais.

Monsieur le secrétaire d’État, nous avons eu, depuis ce matin, des différends sur l’adoption d’un certain nombre de dispositions. La concorde règne cet après-midi, mais le temps ne joue pas pour nous. Et quand nous sommes obligés d’attendre des actes européens dont la transcription dans les législations nationales, en particulier dans la nôtre, peut prendre un an, deux ans, trois ans, alors nous perdons deux siècles ! En 2024, quand nous légifèrerons pour transcrire des dispositions européennes, peut-être les enjeux auront-ils passé, sans doute le modèle numérique aura-t-il changé.

Quatre ans, dans le monde du numérique, c’est un siècle dans le monde de l’ancienne économie ! Je dis, par conséquent : « Allons-y, soyons volontaristes, faisons passer des lois à l’échelon national pour envoyer des signes aux opérateurs ! »

Les États-Unis eux-mêmes sont en train de le faire vis-à-vis de grandes plateformes qui ont, pourtant, la nationalité américaine : ils ont la volonté de les démanteler. Ne soyons pas à la traîne derrière eux ; soyons novateurs, soyons précurseurs, soyons volontaires. Il y va de notre souveraineté nationale et de notre souveraineté européenne ; de grâce, ne perdons pas trop de temps ! (Applaudissements sur les travées des groupes Les Républicains et UC.)

M. le président. La parole est à M. Franck Montaugé, pour explication de vote.

M. Franck Montaugé. Je confirme que les membres du groupe Socialiste, Écologiste et Républicain voteront ce texte.

Je veux à mon tour remercier l’auteur de cette proposition de loi, qui était d’ailleurs membre de la commission d’enquête sur la souveraineté numérique.

Parmi les conclusions du rapport de cette commission d’enquête figurait une recommandation consistant dans le vote d’une loi de programmation et de suivi de la souveraineté numérique, qui permettrait au Parlement français dans son ensemble de s’approprier ces problématiques liées au numérique dans toutes leurs dimensions, sociales, sociétales, économiques, etc. Cette proposition reste tout à fait d’actualité ; je ne me résous pas, pour ma part, à dire qu’il faut laisser faire l’Europe et que tout ainsi ira bien. Il faut que nous soyons actifs, nous, parlementaires nationaux.

Cette recommandation renvoie aussi à un autre sujet que je veux ici évoquer : celui de l’écosystème numérique national et étatique. Sommes-nous suffisamment organisés, équipés, structurés pour suivre correctement ce sujet, non pas en chambre, mais en lien avec l’ensemble des acteurs de la société ?

Nous ne le croyons pas. Il y a des progrès à faire ; donner au numérique un simple secrétariat d’État n’est pas forcément à la hauteur des enjeux. Avec tout le respect que nous devons à M. le secrétaire d’État Cédric O, nous ne sommes pas à la hauteur des conséquences de ce sujet sur l’avenir de notre société et de la façon dont elle s’organise.

M. Franck Montaugé. Je voulais profiter de cette occasion pour le dire ; tout cela figure dans le rapport fait par Gérard Longuet au nom de la commission d’enquête sur la souveraineté numérique. Il ne faut pas l’oublier : c’est un travail de fond ; il faut s’y référer et continuer à avancer dans ce sens. (Applaudissements sur des travées du groupe SER.)

Mme Sophie Primas, présidente de la commission des affaires économiques. Très bien !

M. le président. La parole est à M. Fabien Gay, pour explication de vote.

M. Fabien Gay. À mon tour de confirmer, au nom du groupe CRCE, que nous voterons cette proposition de loi. Nous remercions nos collègues qui ont travaillé sur ce dossier, notamment M. Lafon et Mme la rapporteure.

Je partage les propos de Mme Primas : plus nous prenons du retard, plus nous nous mettons en difficulté sur une question essentielle, la souveraineté numérique. Et lorsque l’on évoque cette question, il faut parler aussi d’industrie.

Nous avons eu tout un débat, l’an dernier, sur la 5G. Mais le choix auquel nous confronte cette norme, comme nous l’avons vu en examinant une proposition de loi sur le sujet, est le suivant : soit des opérateurs chinois, soit des opérateurs américains. Pourquoi en sommes-nous là ? Parce que nous nous sommes nous-mêmes amputés de notre capacité industrielle à former un champion européen, en démantelant Alstom et en laissant Nokia subir des pertes sèches de salariés, qui concernent y compris ceux qui travaillent sur la 5G.

Le problème est donc pour partie industriel. Mais c’est aussi une question de société. Nous avons tous évoqué, dans nos interventions, même rapidement, le télétravail.

Le télétravail pose question ; il peut certes être porteur de gains pour l’entreprise et pour les salariés – je pense aux enjeux liés aux déplacements –, mais il peut être aussi source de reculs démocratiques et sociaux. Le télétravail peut être plus aliénant encore que le travail ordinaire, puisqu’il abolit la distinction entre vie professionnelle et vie sociale et privée.

Vous voyez que des questions de société se posent non pas à l’avenir, mais aujourd’hui même, avec force. De grands débats sont nécessaires : sur les questions de souveraineté numérique, sur les questions industrielles, sur le développement de la 5G – pour quoi faire ? Dans quelle société voulons-nous vivre ? Tout doit-il être connecté ? Des questions démocratiques, aussi, sont soulevées : qui aura accès aux nouveaux réseaux ? Comment ? Qui contrôlera ? Quid des données ? Et quel sera le travail de demain ?

J’entends, par ailleurs, que l’on veut soutenir les entreprises. Oui, nous avons d’importantes capacités, dans les start-up notamment ; mais nous avons aussi des difficultés.

Nous voterons cette proposition de loi. Reste que, au-delà des rapports que nous faisons, qui sont souvent de qualité, il nous faut véritablement travailler en commun, et assez rapidement, sur ce sujet. (Applaudissements sur les travées du groupe CRCE, ainsi quau banc des commissions.)

M. le président. La parole est à Mme la rapporteure.

Mme Anne-Catherine Loisier, rapporteure. Chacun a bien fait valoir l’engagement du Sénat sur les sujets de cybersécurité, et plus largement sur le numérique ; je me permets néanmoins d’y insister à nouveau.

Monsieur le secrétaire d’État, la formule que nous avons développée à l’occasion du travail sur cette proposition de loi, celle d’une collaboration dans la confiance – j’ose le dire –, en acceptant de confier un certain nombre de dispositions à des débats ultérieurs ou au pouvoir réglementaire, peut être de bon augure s’agissant de notre capacité à travailler ensemble dans des domaines qui sont par définition évolutifs.

Je puis comprendre la frustration d’un certain nombre de collègues, qui pensent que nous n’allons pas assez loin aujourd’hui. Mais c’est aussi que nous n’avons pas vraiment les moyens, ni techniquement ni en termes d’information, d’aller plus loin sans risquer la surtransposition – ce mot est bien connu au Sénat… – et la création de dispositions qui pourraient se révéler, à terme, préjudiciables.

Cette méthode de travail collaborative et évolutive, qui s’inscrit dans la durée, me semble donc de bon augure. Nous espérons vraiment que nous pourrons nous retrouver dans les prochaines semaines pour travailler avec le Gouvernement sur tous les aspects réglementaires qui restent à déterminer.

M. le président. Personne ne demande plus la parole ?…

Je mets aux voix, dans le texte de la commission, modifié, l’ensemble de la proposition de loi.

(La proposition de loi est adoptée.)

M. le président. Je constate que la proposition de loi a été adoptée à l’unanimité des présents. (Applaudissements.)

Mes chers collègues, nous allons interrompre nos travaux pour quelques instants.

La séance est suspendue.

(La séance, suspendue à seize heures vingt-cinq, est reprise à seize heures trente.)

M. le président. La séance est reprise.

Explications de vote sur l'ensemble (début)
Dossier législatif : proposition de loi pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public