On ne peut que se féliciter que cette LPM aborde le sujet de la cybersécurité, trop souvent perçu comme secondaire alors que la menace cyber ne cesse de se développer, avec des violations de données personnelles en hausse de 79 % entre 2020 et 2021, un nombre d'intrusions dans des systèmes d'information en progression de 37 % et des notifications à la plateforme gouvernementale de signalement en croissance de 65 %. Plus d'attaques sont déclarées chaque jour, pour toujours plus de victimes. Entreprises, particuliers, autorités publiques : nous sommes tous des cibles potentielles. En tant que député de l'Hérault, je n'ai pu ignorer la cyberattaque qui a paralysé la mairie de Frontignan durant des semaines. Elle n'est qu'un exemple des dommages dévastateurs causés par des hackers. Elle illustre la nécessité urgente de se doter des moyens de répliquer, et de détecter les menaces en amont. Ces sujets doivent faire l'objet d'une attention accrue de l'Assemblée. L'occasion nous en est fournie par l'examen des articles qui nous sont délégués au fond.
Au Rassemblement national, nous estimons que la recherche du juste équilibre entre libertés publiques et sauvegarde de la sécurité nationale doit être notre fer de lance, notre boussole pour l'élaboration de notre politique cyber. Protéger les données contre les attaques est nécessaire, mais pas à n'importe quel prix. Aussi les articles 34 et 35, qui confèrent à l'Anssi un pouvoir démesuré de collecte de données, font-ils l'objet d'amendements d'appel visant leur suppression.
L'article 33 prévoit que les opérateurs de télécommunications transmettent leurs données de cache à l'Anssi à des fins de détection des cyberattaques. S'il est voté, des copies de serveurs entiers pourront être transmises à une agence gouvernementale sans décision de justice.
L'article 35 est tout aussi intrusif puisqu'il prévoit la possibilité pour l'Anssi de se faire transmettre des données de contenus d'utilisateurs. Il s'applique en cas de menaces pouvant porter atteinte aux systèmes d'information d'opérateurs d'importance vitale. L'intention de protection des domaines sensibles contre les cyberattaques est louable, mais ses implications sont désastreuses.
L'article 34 oblige les éditeurs de logiciel à déclarer à l'Anssi leurs vulnérabilités et leurs incidents cyber et à avertir leurs utilisateurs. C'est très bien, mais comment justifier la possibilité donnée à cette agence de publier les vulnérabilités si les éditeurs n'informent pas les utilisateurs ? Cette publication exposerait les entreprises à des attaques en règle des hackers, qui s'en donneraient à cœur joie ! Elle est pensée comme une épée de Damoclès pesant sur les entreprises, s'apparentant ainsi à une méthode de hackers. Ce n'est pas la vision de la cybersécurité que le Rassemblement national entend faire valoir. Pour une obligation non respectée, une sanction doit être prononcée par un juge indépendant et impartial. Pour une liberté atteinte, une garantie solide doit être apportée. Pour une mesure proposée, l'applicabilité concrète doit être assurée. Telle est la position de bon sens que nous défendons et que nous traduirons dans nos amendements et dans nos votes.