Interventions sur "sanction"

Si les éditeurs de logiciels libres, pardon : de logiciels – libres ou pas : peu importe – ont l'obligation de transmettre à l'Anssi les failles de sécurité qui affectent leurs produits ou les incidents qui peuvent compromettre la sécurité nationale, il serait bon qu'ils puissent être sanctionnés s'ils ne le font pas. Il est en effet probable qu'ils n'auront pas tous envie de coopérer de manière immédiate et qu'ils chercheront à gagner du temps, dans la mesure où le fait de révéler les failles de sécurité d'un de vos logiciels peut nuire à votre réputation d'éditeur et inciter les administrations à ne pas l'utiliser, par exemple. Ainsi, les éditeurs pourraient avoir la tentation capit...

La question qui se pose ici est celle de savoir si les éditeurs de logiciels transmettront les informations relatives aux vulnérabilités que présentent leurs propres produits, sachant, comme vient de l'expliquer notre collègue Bernalicis, que le public risque alors de se montrer peu enclin à les utiliser. Par conséquent, si l'on ne prévoit aucune sanction pour non-respect de l'obligation de signaler les failles de sécurité, le plus vraisemblable est que ces dernières ne seront pas rendues publiques ni communiquées à l'Anssi. Aussi proposons, par ces amendements, que les éditeurs qui ne rempliraient pas leur obligation en la matière soient passibles d'une sanction financière. Il ne s'agit pas, pour le coup, de punir les entreprises ou je ne sais qu...

Cet amendement de bon sens vise à rendre obligatoire la communication à l'Anssi de tout incident informatique au sein d'une entreprise. En effet, on peut considérer qu'en l'absence de sanction, le monde de l'entreprise aura tendance à ne pas respecter l'obligation. Nous proposons donc que l'Anssi puisse sanctionner son non-respect en infligeant à l'entreprise concernée une pénalité d'un montant limité à 1 % du chiffre d'affaires, ce qui est tout à fait raisonnable – nos collègues du groupe LFI proposent un montant plus élevé. Quoi qu'il en soit, le dispositif ainsi consolidé inciterait...

Il y a beaucoup de structures étatiques qui prononcent des sanctions sans être des autorités administratives indépendantes !

La DGCCRF n'est pas une autorité administrative indépendante et elle inflige des sanctions à tour de bras !

... posture anticapitaliste vis-à-vis des éditeurs de logiciels. Elle est dogmatique, et M. Bernalicis l'a démontré lorsqu'il a évoqué, dans un lapsus, les logiciels libres. De très nombreuses failles logicielles, y compris celles qui sont intégrées dans des logiciels d'éditeurs capitalistes, si je puis dire, proviennent en fait de développements de la communauté du logiciel libre. Or on ne peut pas sanctionner, comme vous le proposez, une communauté de développeurs de logiciels libres. La seconde approche, pragmatique, défendue par le ministre délégué, consiste à considérer que les éditeurs de logiciels ont tout intérêt, pour conserver et développer leur clientèle, à communiquer rapidement les failles et anomalies logicielles afin qu'elles soient corrigées et que leurs clients soient assurés de la ...

...ogme mais de faits avérés. Je vous ai rappelé que des entreprises capitalistiques mues par des logiques de rentabilité avaient déjà posé des problèmes à la sécurité nationale, et nous pouvons d'ailleurs remercier chaleureusement MM. Assange et Snowden qui, pour avoir révélé un certain nombre de ces problèmes, ont ensuite subi des attaques d'une extrême violence. Vous me reprochez de proposer des sanctions financières tout en plaidant pour le logiciel libre. Ce que j'ai dit c'est que, dans une logique capitaliste, il faut des sanctions financières car les dirigeants de firme ne comprennent que ça : ils ont un portefeuille à la place du cœur, et seules les sanctions financières les pousseront à agir. Quant à votre argument, monsieur le ministre délégué, qui consiste à dire que les failles doivent ...

..., mais nous regrettons que, lorsque nous faisons des propositions qui tendent à cet équilibre entre la sécurité et les libertés individuelles, vous ne vous préoccupiez pas de cet équilibre, qu'il s'agisse de la définition du périmètre ou des voies de recours, mais seulement de ne pas nuire aux entreprises. En réalité, ce n'est pas le sujet. La question est que l'on crée une obligation, mais sans sanction, ce qui revient à annuler cette obligation. Pour l'entreprise, ce n'est pas une question de bonne volonté, c'est une question d'intérêts économiques : elle n'a pas intérêt à rendre publiques ses failles. Vous expliquez que l'Anssi pourra le faire, mais il faudrait au minimum que ce soit automatique et qu'il y ait des sanctions. Le groupe Écologiste soutiendra donc ces amendements.

...rtains logiciels commercialisés en France peuvent provenir d'éditeurs soumis au droit néerlandais. Il est donc important d'envisager des solutions de traitement de l'information coopératives, impliquant les différentes autorités nationales concernées, à l'instar de ce que nous avons fait avec le règlement général sur la protection des données (RGPD). En outre, dans le cadre européen, la menace de sanction est beaucoup plus forte du fait de l'extraterritorialité. Sans être hostile sur le principe à la logique de ces amendements, je pense qu'il serait bon que nous soyons au clair sur les vulnérabilités, les backdoors – sans parler de Palentir, entouré d'une certaine opacité –, et que le bon vecteur en la matière est NIS 2. Si jamais la directive faisait l'impasse sur le sujet, alors nous l'i...

Nous voulons procéder par étapes, en appliquant d'abord le name and shame et, si ce n'est pas suffisant, en venir aux sanctions. Et puis, comme l'a dit notre collègue Latombe, beaucoup de sujets devront être traités au niveau européen.

...ntrent pas nécessairement dans cette catégorie au sens du code de commerce, auquel on peut être susceptible de se référer pour interpréter l'article ? En ce qui concerne néanmoins les particuliers, il existe déjà des dispositifs d'information publique, notamment parce que sont en jeu des données personnelles et que la Cnil est donc systématiquement avertie, que des procédures sont prévues et des sanctions possibles. Dans le domaine de la sécurité nationale, qui nous intéresse ici, il faut être le plus rapide possible et donc privilégier en premier lieu l'information des professionnels déjà utilisateurs du logiciel, voire les entreprises d'infogérance qui utilisent des logiciels tiers et les modifient pour le compte d'autres professionnels. La rédaction actuelle permet donc d'englober l'ensemble...

Il ne faut oublier personne car il y va de la portée de la coercition pouvant peser sur les éditeurs de logiciels. Puisque vous avez refusé les sanctions financières pour défaut de communication d'une vulnérabilité, il faut à tous le moins que les éditeurs en informent les utilisateurs ou, à défaut, l'Anssi. Il ne faudrait donc pas que la rédaction actuelle rate la cible, et c'est la raison pour laquelle, en commission, je faisais partie de la minorité qui aurait préféré que l'on se réfère à tous les utilisateurs. Il n'y a pas toujours de consen...

...'administration. J'insiste : pourquoi alourdirions-nous la loi avec des dispositions indiquant que les gens peuvent discuter entre eux ? Ils le peuvent évidemment. Il convient donc de verrouiller les choses formellement. Une marge d'appréciation est déjà laissée à l'Anssi dans le début de l'alinéa 6 : au bout du compte, il faut tout de même prévoir un couperet. Vous avez refusé l'introduction de sanctions financières, monsieur le ministre délégué, au motif que les entreprises font déjà face à un risque réputationnel, mais si ce dernier peut être lui-même sujet à discussion et à négociation, je répète qu'il n'y a plus rien ! Chacun fait alors comme il veut, à la bonne franquette, en fonction de son entregent et de son réseau, notamment dans les administrations. Je ne suis pas d'accord avec les ob...

...leurs systèmes, vous faites en réalité peser une épée de Damoclès au-dessus de leur tête. Le name and shame prôné par Mme la rapporteure pour avis ressemble plus à une méthode de hackers qu'à la réponse qu'un État de droit devrait apporter au problème : elle n'est pas digne d'un organisme dépendant du Premier ministre. Dans un État de droit, la constatation d'un manquement donne lieu à une sanction. Mon amendement vise à empêcher la publication par l'Anssi de la liste des entreprises présentant des vulnérabilités significatives avant qu'elles n'aient pu y remédier, la publication étant au mieux contre-productive, au pire dangereuse, puisque les failles pourraient alors être exploitées. Afin d'assurer la pénalisation des entreprises qui ne signaleraient ou ne combleraient pas leurs failles,...

...ué. Il est bien évident que, seul, cet amendement ne permet pas d'inciter les éditeurs à signaler et combler les failles de leurs systèmes, et c'est pour cette raison que j'ai déposé après l'article 36 un amendement tendant à demander un rapport sur la pénalisation des entreprises qui ne répondraient pas aux demandes de l'Anssi. La réponse d'un État de droit à ce type de manquements doit être une sanction, pas le name and shame proposé par Mme la rapporteure pour avis.