Publié le 15 janvier 2018 par : Mme Obono, Mme Autain, M. Bernalicis, M. Coquerel, M. Corbière, Mme Fiat, M. Lachaud, M. Larive, M. Mélenchon, Mme Panot, M. Prud'homme, M. Quatennens, M. Ratenon, Mme Ressiguier, Mme Rubin, M. Ruffin, Mme Taurine.
Compléter l'alinéa 5 par les mots : « et dont la liste est fixée par arrêté conjoint des ministres chargés de l'intérieur et de l'économie, après avis de l'autorité nationale de sécurité des systèmes d'information mentionnée à l'article L. 2321‑1 du code de la défense et de de l'autorité de régulation des communications électroniques et des postes mentionnée à l'article L. 36‑5 du code des postes et des communications électroniques ».
Il semble aberrant de postuler le fait que les entreprises employant moins de 50 salariés et ayant un chiffre d'affaires de moins de 10 millions d'euros ne doivent pas désigner un représentant auprès de l'ANSSI.
En effet, ce n'est ni le seuil de 50 salariés (que beaucoup d'entreprises ne souhaitaient par exemple potentiellement pas dépasser pour des questions d'opportunité – seuils sociaux pour les institutions représentatives du personnel, etc …), ni le chiffre d'affaire seul, qui permet de qualifier qualitativement l'importance en termes de cybersécurité pour un fournisseur de service numérique.
Pour cela, nous estimons qu'un arrêté interministériel doit déterminer les secteurs de services numérique qui peuvent être exclus du champ d'application (activités non stratégiques, non sensibles, etc…). Pour ce faire, un recensement simple peut être effectué à partir de la Nomenclature d'activités françaises de l'INSEE (https://www.insee.fr/fr/information/2406147, https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000017765090), qui est portée au fichier du répertoire SIRENE de chaque entreprise. Cet arrêté précisant les activités exemptées (nomenclature NAF) sera établir après avis d'instances expertes, à savoir l'ANSSI et l'ARCEP.
Aucun commentaire n'a encore été formulé sur cet amendement.