Intervention de Philippe Latombe

Monsieur le président, madame la ministre auprès de M. le ministre d'État, ministre de l'intérieur, monsieur le secrétaire d'État chargé du numérique, madame la présidente de la commission des lois constitutionnelles, de la législation et de l'administration générale de la République, monsieur le rapporteur de la commission des lois, mes chers collègues, le texte sur lequel nous allons nous prononcer aujourd'hui concerne la transposition de deux directives européennes et tire les conséquences d'une décision du Parlement européen et du Conseil. Ce projet de loi rassemble des sujets aussi divers que la détention d'armes à feu civiles, le service public réglementé Galileo, mais également et surtout un domaine crucial pour notre avenir, celui de la cybersécurité.

L'enjeu de la cybersécurité nous permet de discuter plus largement de questions relatives au numérique, un sujet central de cette année 2018, car outre la transposition de la directive 20161148, communément appelée « directive NIS » – Network and Information Security –, et qui nous occupe ici, d'autres rendez-vous importants devraient venir ponctuer l'année afin que naissent et se concrétisent des projets essentiels à l'émergence d'une cybersécurité et d'une cyberdéfense fortes et ambitieuses au niveau européen.

Comme je l'avais souligné lors du débat en commission, le principal intérêt de ce volet du projet de loi réside dans sa dimension européenne : en effet, il ne sera possible de répondre aux attaques informatiques, telles celles que nous avons connues au printemps 2017, qu'à la condition de doter l'ensemble des États européens des instruments et des armes adéquates. La « culture stratégique commune », évoquée par le Président de la République lors de son discours à la Sorbonne, pose le principe qui doit nous guider car des réglementations différentes d'un État à l'autre entraîneraient inévitablement des failles que seule une législation commune permettra d'éviter. Que nous le voulions ou non, nous sommes aujourd'hui, dans notre espace européen, interdépendants et donc vulnérables si nous ne trouvons pas les moyens de faire front commun.

Aussi, la directive NIS constitue une étape nécessaire dans l'édification d'une sécurité commune. Elle poursuit ainsi un double objectif : renforcer le niveau de cybersécurité applicable aux activités économiques stratégiques et accroître la coordination entre États membres en cas d'incidents transnationaux. Le texte affirme la nécessité de définir et d'identifier les opérateurs de services essentiels, dits « OSE » : des acteurs qui font partie de la vie quotidienne des Français et qui devront, à ce titre, se conformer aux nouvelles règles en matière de sécurité informatique.

La directive fixe une liste minimale de secteurs concernés : énergie, transport, banques, infrastructures de marchés financiers, santé, fourniture et distribution d'eau potable, infrastructures numériques. Le Gouvernement a fait le choix de ne pas reprendre cette liste dans le présent texte pour permettre d'étendre la qualification d'opérateurs de services essentiels à de nouveaux domaines en fonction du contexte et des nouvelles menaces qui pourraient apparaître. Cette souplesse répond d'ailleurs à une demande de l'ANSSI – l'Agence nationale de la sécurité des systèmes d'information.

De même, l'obligation accrue de sécurité informatique s'imposera dorénavant à certains fournisseurs de services numériques : sont concernés les places de marché en ligne, les moteurs de recherche en ligne et les services informatiques en nuage. Concernant la réglementation qui leur sera applicable, je tiens à saluer l'apport de nos collègues du Sénat : un fournisseur étranger offrant ses services sur le territoire français devra désigner un représentant en France auprès de l'ANSSI dès lors qu'il n'en aurait pas déjà fait de même dans un autre État membre.

La transposition de cette directive européenne contribuera ainsi à un renforcement des capacités nationales des États membres grâce à l'ensemble des mesures prévues : une autorité nationale ; une stratégie nationale doublée d'une collaboration avec les autres États ; un centre de réponse aux incidents. L'obligation faite aux OSE et aux fournisseurs de services numériques de déclarer les incidents, « sans délai après en avoir pris connaissance » pour les premiers, « lorsque les informations dont ils disposent font apparaître que ces incidents ont un impact significatif sur la fourniture de ces services » pour les seconds, est une garantie qui permettra la mise à jour régulière de nos systèmes de défense. De plus, une disposition prévoit la possibilité de rendre publics ces incidents, créant ainsi un enjeu « réputationnel » pour les entreprises qui devrait les inciter à sécuriser leur réseau et leur système d'information, conformément à ce que prévoit le présent projet de loi.

La cyberdéfense et la cybersécurité sont deux domaines dans lesquels la coopération et l'entraide européenne sont impératives pour notre développement économique, industriel et social. C'est aussi un enjeu de souveraineté pour l'Europe, devant lequel nous devrions tous nous retrouver.

L'autre directive dont nous actons la transposition est relative à l'acquisition et à la détention d'armes à feu civiles, et fait l'objet du titre II du projet de loi. Nous comprenons bien sûr tous la nécessité de mieux contrôler la circulation des armes, et donc leur vente, dans le contexte que nous connaissons.

Les articles 16 et 17 actent la suppression de la catégorie des armes à feu soumises à enregistrement, soit la sous-catégorie Dl. Ces armes seront désormais surclassées en catégorie C et donc soumises à déclaration pour l'acquisition et la détention. Une inquiétude avait été exprimée par les détenteurs d'armes à feu de collection ou d'intérêt historique. Mes collègues du groupe MODEM et moi-même sommes satisfaits des explications du rapporteur sur ce point. Je tiens d'ailleurs à préciser que l'amendement que j'ai déposé sur l'article 17, cosigné par plusieurs d'entre eux, est un simple amendement de coordination qui ne prévoit pas l'extension du régime actuellement applicable à l'acquisition et à la détention des armes de collection.

Le durcissement du régime d'acquisition et de détention des armes semi-automatiques comme l'instauration d'un contrôle administratif pour les courtiers d'armes de catégorie C sont des mesures de nature à renforcer la sécurité globale entourant les armes à feu. Dès lors, nous ne voyons aucune objection aux propositions avancées dans ce texte, en dépit d'une surtransposition à l'article 18 puisque les ventes directes ne pourront s'effectuer qu'à compter de la remise effective à l'acquéreur alors que la directive ne prévoit cet encadrement que pour les ventes à distance ou par correspondance. Cette surtransposition nous toutefois paraît justifiée afin de mieux vérifier l'identité des détenteurs d'armes de ces catégories.

Enfin, bien sûr, la dernière disposition de cette directive nous semble relever du bon sens puisqu'elle en appelle à la vigilance des citoyens, en particulier des armuriers et des courtiers, qui pourront refuser de conclure une transaction dès lors qu'elle leur apparaîtrait suspecte au regard de sa nature ou de son échelle.

Dernier sujet, d'une grande importance lui aussi : le service public réglementé – SPR – Galileo, auquel est consacré le titre III du présent projet de loi.

Il s'agit d'une décision du Parlement européen et du Conseil avec laquelle la France doit se mettre en conformité afin de permettre l'accès à certains services de Galileo pour le développement d'applications et de dispositifs de géolocalisation sensibles. À cette fin, le projet de loi prévoit un régime d'autorisation administrative pour l'exercice des activités de fabrication, de développement et d'exportation des modules de sécurité SPR, ainsi qu'un régime de sanctions pénales, assorti d'amendes de 50 000 à 200 000 euros et de peines complémentaires.

Nous savons tous que le système Galileo est vital pour l'Europe, et donc pour la France, tant son intérêt stratégique trouve son origine dans la question de la souveraineté de notre espace commun. Entre les États-Unis et la Russie, entre la Chine et l'Inde, l'Europe devait se doter d'un outil de radionavigation par satellite, ce qui est chose faite avec Galileo, en service depuis la fin de l'année 2016.

Les deux directives et la décision du Conseil et du Parlement européens nous semblent tout à fait aller dans le sens de l'intérêt général et d'une plus forte coopération entre les États membres, ce qui, de notre point de vue, est particulièrement louable. Elles répondent à une nécessité immédiate et à des enjeux cruciaux pour notre espace partagé. C'est donc bien sûr avec conviction que le groupe MODEM soutiendra ce texte, et le votera.