Intervention de Ugo Bernalicis

La loi de programmation militaire est pour le moins floue dans son périmètre et ses objectifs politiques, sans compter que l'étude d'impact n'apporte pas de réel éclairage. Vous en avez d'ailleurs fait état, madame la rapporteure pour avis, en indiquant que l'Arcep ignorait si elle aurait les moyens de remplir ses nouvelles obligations. Le sentiment est celui d'un texte rédigé à la va-vite. S'agissant des questions de ressources humaines, l'avis du Conseil d'État laisse perplexe puisqu'il évoque de potentiels ajustements en cours de route et en fonction de la politique salariale du ministère. Cela laisse entendre qu'il serait possible de faire des plans sociaux au sein du ministère des armées.

Le flou demeure concernant les articles qui nous sont délégués et les moyens supplémentaires prévus pour lutter contre les attaques sur internet.

L'article 32 prévoit le blocage du nom de domaine en passant par les fournisseurs d'accès à internet si la personne de bonne foi ne prend pas les mesures préconisées par l'Anssi. L'étude d'impact liste tout ce qui peut déjà être fait en l'état actuel du droit, mais elle conclut qu'il faut une loi pour permettre toutes ces actions, sans justifier pourquoi elles ne peuvent pas être effectuées aujourd'hui. Une explication simple est nécessaire ! Pourquoi n'est-il pas possible d'appliquer les mesures existantes ? Qui plus est, cet article reprend des dispositions inscrites dans d'autres textes, par exemple le projet de loi relatif aux Jeux olympiques et paralympiques de 2024, qui prévoit un délai à quarante-huit heures pour obtempérer. Cela fait penser au délai de vingt-quatre heures pour retirer un contenu dans le cadre de la lutte contre le terrorisme, sans recours a priori à un juge. Certes, le recours a posteriori reste possible dans un État de droit ; mais quand le temps ne permet pas de faire un recours, ce n'est qu'une garantie de façade.

Il est également étrange d'observer qu'au détour d'un alinéa, on prévoit de conserver des données pendant dix ans, à des fins de recherche et de meilleure compréhension des systèmes. On connaît ce type d'article ! Vous avez évoqué les fleurons français de cette industrie de la cybersécurité en précisant qu'il ne faudra pas les oublier au moment de légiférer – et pour cause, ce marché lucratif a besoin de données complémentaires pour améliorer ses systèmes en vue de les vendre à la France, qui paie rubis sur l'ongle, mais aussi à l'international. Ce n'est pas exactement la conception que nous avons de la cybersécurité. Notre souveraineté, y compris pour les solutions numériques que nous utilisons, nous semble indispensable.

Vous utilisez une fois encore les mêmes recherches : donner toujours plus de moyens à toujours plus d'entités, sans garantie supplémentaire et avec pour seul argument un argument d'autorité selon lequel les services en ont besoin, la situation l'exige et le monde a évolué. Ces considérations sont avancées pour chaque texte de loi, mais le monde évolue en permanence, hier était hier et demain sera demain. Au-delà de ces tautologies, il faudrait s'intéresser au fond à la manière de garantir nos libertés fondamentales, y compris dans le cadre de la sécurité nationale.