Intervention de Christophe Naegelen

Cette proposition de loi vise à apporter une réponse efficace et novatrice à la menace insuffisamment évaluée et quantifiée qu'est la cyberdélinquance. La cybersécurité ne peut pas rester une question de spécialistes ; le grand public doit s'en saisir, car notre environnement numérique est désormais ouvert, complexe et dangereux. À chacun de vos clics, vous risquez de perdre vos données personnelles, d'être victimes, d'une usurpation de votre identité ou d'un rançongiciel. Qui, parmi nous, est réellement conscient de ces dangers ? Il est temps d'agir !

Déposée par notre collègue sénateur Laurent Lafon, la présente proposition de loi est ressortie des débats au Sénat avec son article 1er substantiellement modifié et son article 2 supprimé. Il nous revient de lui rendre son ambition initiale, mais aussi de l'enrichir. À cet effet, je vous proposerai des amendements issus des travaux que nous avons conduits, Mme Huguette Tiegna et moi-même. Ils ont vocation à sécuriser le dispositif juridique et à promouvoir une meilleure information des consommateurs à travers un nouvel outil, celui d'une certification qui pourrait s'apparenter à un cyberscore.

Ces amendements ont été élaborés en concertation avec l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui a pour mission de garantir la sécurité et la défense des systèmes d'information de l'État et des sociétés classées opérateurs d'importance vitale (OIV), avec la direction générale des entreprises, la direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), les représentants des entreprises et le ministère chargé du numérique. Ils ont pour but d'obliger les sites les plus importants à obtenir une certification d'absence de vulnérabilité aux cyberattaques. Afficher un cyberscore sera la preuve que l'on a obtenu une certification et que la navigation est sécurisée.

Les auditions ayant mis en évidence les difficultés à effectuer un diagnostic pour de petites plateformes, dans un souci de simplification et d'exemplarité, seront sécurisés les sites les plus utilisés par les consommateurs. Un premier amendement tendra à réécrire en partie l'article 1er en insérant un article additionnel dans le code de la consommation.

Les sites visés sont ceux dont le seuil minimal d'activité est fixé à 5 millions de visiteurs uniques par mois, ce qui concerne une centaine de plateformes et d'entreprises. Ce seuil permet de donner davantage de temps aux entreprises moyennes et aux start-up pour se mettre en conformité avec le droit. Il convient en effet de tenir compte du fait que l'obtention d'une certification de cybersécurité a un coût, qui peut être important.

L'amendement vise également à limiter le champ d'application du cyberscore à la seule sécurisation des données hébergées ainsi qu'à la capacité des sites utilisés de se protéger face à des cyberattaques.

Il étend le champ des plateformes concernées par la certification aux services de visioconférence, renvoyant à un décret la fixation du seuil d'activité afin de ne viser que les plus utilisés – Zoom, Lifesize, WhatsApp –, mais aussi aux messageries les plus importantes, comme Messenger ou WhatsApp, qui peuvent également présenter des failles de sécurité. J'en profite pour rappeler qu'il existe des outils sécurisés, encore trop méconnus, comme le logiciel TIXEO, certifié par l'ANSSI pour les visioconférences, ou le service de messagerie Tchap, crypté de bout en bout.

Les auditions ont montré que plusieurs critères pourraient être pris en compte, dont celui visant à garantir, par exemple, que les données ne sont pas exposées à des législations étrangères à portée extraterritoriale, qui autoriseraient l'utilisation de ces données à des fins d'espionnage des usagers.

Mon second amendement vise à renforcer le dispositif prévu par le Sénat, qui fait reposer le diagnostic de certification sur une déclaration. Le niveau de sécurité est donc très faible, voire trompeur pour le consommateur. C'est comme si, à l'école, on demandait à un élève de corriger lui-même sa dictée ! Avec ma proposition, la certification sera délivrée directement par l'ANSSI ou par une entreprise qu'elle aura habilitée.

J'ai tenu à conserver l'idée initiale d'un code couleur pour identifier les niveaux de sécurité assurés par les plateformes et les outils de communication. J'ai cependant déposé un amendement pour que cette certification soit visible dès la connexion, afin que l'internaute puisse décider sciemment de poursuivre ou non sa navigation.

En posant les fondements juridiques d'une garantie de cybersécurité pour les plateformes les plus visitées, cette proposition de loi ambitionne également de devenir un exemple au sein de l'Union européenne, à l'heure où est discutée la directive dite Network and information system security ou NIS, de sorte qu'en matière de protection des libertés individuelles, le mieux-disant l'emporte sur la tentation du moins-disant. Le choix de cibler uniquement certains services est celui de la sagesse, afin de permettre un contrôle efficace et efficient par les services de l'État, ainsi qu'une certification de haut niveau. Je ne doute pas qu'une fois adopté, ce niveau de standard élevé finira par s'imposer à l'ensemble des fournisseurs de services de communication au public. C'est pourquoi je vous demande de voter cette proposition de loi novatrice, en lui donnant une valeur d'exemple.