Le texte prévoit qu'en cas de vulnérabilité significative – cet adjectif ayant été ajouté par vos soins, madame la rapporteure pour avis –, les éditeurs de logiciel doivent en informer les utilisateurs. S'ils ne le font pas, vous considérez qu'il serait suffisant de proposer à l'Anssi de leur demander de le faire. Mais dès lors que vous prévoyez, dans ce texte, que les éditeurs doivent informer leurs utilisateurs dans certains cas, vous devez, en cas de manquement de leur part, en tirer des conclusions et prendre les mesures qui s'imposent ! Vous ne pouvez pas vous dédire deux alinéas plus loin. À moins qu'il ne s'agisse que d'une obligation de façade et que vous vous laissiez toute latitude pour négocier. Finalement, celui dont les données auront été pillées se retrouve soumis à l'arbitraire d'un rapport de force entre l'Anssi et les éditeurs de logiciel. Ce n'est pas normal.