Monsieur le président, madame la ministre, madame la présidente de la commission, monsieur le rapporteur, mesdames et messieurs les députés, la première partie du projet de loi que nous examinons ce soir vise à transposer la directive 20161148 du Parlement européen et du Conseil dont l'objet est d'assurer un niveau élevé commun de sécurité des réseaux et systèmes d'information de l'Union.
Cela étant dit sous un vocable administratif, nous parlons bien de l'élévation du niveau de sécurité global de nos services numériques, partout sur le territoire de l'Union. Il est important d'en parler car le niveau de menace cyber n'a jamais été aussi élevé. Son intensité croît, elle prend des formes nouvelles, les attaquants sont nouveaux et leurs cibles différentes : alors que nous étions naguère habitués à des attaques ciblées, n'ayant d'impact que dans l'espace numérique, les attaques peuvent désormais être portées par des nations ou des acteurs privés qui ciblent des nations ou des acteurs privés, voire parfois qui ne ciblent personne mais atteignent tout le monde. Face à cette nouvelle menace polymorphe, la seule solution réside dans l'élévation globale du niveau de sécurité de nos systèmes d'information, ce à quoi participe ce projet de loi de transposition.
L'élévation du niveau de sécurité de nos systèmes d'information est essentielle au projet plus global de la transformation numérique de nos sociétés. Ce gouvernement porte le grand projet de faire de la France un leader mondial du numérique, dans le domaine économique, avec des start-up toujours plus innovantes et des entreprises qui se transforment, comme dans le domaine de l'action publique, pour faire de l'État un acteur de cette transformation, avec toujours plus de services publics numériques. La condition essentielle de ce projet est la sécurité numérique. Sans elle, nous n'aurons pas la confiance des citoyens ni celle des clients, nécessaire pour le développement du commerce en ligne, et nous n'aurons pas non plus l'expression d'une nouvelle citoyenneté bénéficiant de tout le pouvoir d'information et d'échanges permis par le numérique et internet.
Dès 2013, le législateur français a fixé des exigences en matière de sécurité des systèmes d'information des fameux opérateurs d'importance vitale. Les obligations étaient très importantes, alors que le nombre d'opérateurs était très limité. Néanmoins, cette initiative a inspiré certains partenaires de la France et l'Europe : de plus en plus de règlements et de lois ont permis de mettre en place ce type de normes.
Aujourd'hui, notre réflexion ne se limite plus aux opérateurs vitaux : elle doit concerner aussi les opérateurs essentiels, que nous soumettions jusqu'à présent à des obligations moins importantes mais qui sont plus nombreux. Cette évolution permettra d'élever naturellement le niveau de sécurité global de nos systèmes d'information, partout sur le territoire.
Cette préoccupation répond également à une actualité : la multiplication des attaques comme des cibles, de très grande ampleur mais d'intensité moyenne, qui touchent parfois des cibles identifiées et parfois des cibles qui ne le sont pas. Arrêtons-nous par exemple aux effets directs et collatéraux de l'attaque WannaCry : au Royaume-Uni, elle a limité l'activité de nombreux d'hôpitaux et rendu nécessaire le report de nombreuses opérations et le transfert de certains malades. Vous vous rendez donc bien compte que des attaques d'intensité moyenne peuvent avoir un impact immédiat sur notre vie quotidienne comme sur la sécurité globale de notre pays, d'où la nécessité d'élever le niveau de protection et d'identifier les nouveaux opérateurs qui devront respecter ces nouvelles obligations.
La transposition de la directive du 6 juillet 2016, la fameuse directive NIS – sécurité des réseaux et des systèmes d'information – , nous offre l'occasion de mieux nous protéger collectivement.
Premièrement, elle nous permet d'identifier ces opérateurs de services essentiels, qui seront désignés par le Premier ministre, c'est important, et appliqueront à leurs propres systèmes des règles de sécurité informatique élaborées par l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information.
Deuxièmement, il s'agit d'identifier les grands fournisseurs de service numérique, les moteurs de recherche, les plateformes de marchés et les opérateurs d'informatique en nuage, le fameux cloud. Ces nouvelles infrastructures, base de l'économie numérique d'aujourd'hui, correspondent à un type particulier d'opérateur. Elles font l'objet de la seconde moitié du titre Ier.
Comme tout projet de loi d'adaptation au droit de l'Union européenne, celui-ci résulte d'un équilibre bien pesé – toutes les discussions du Sénat et celles qui se sont déroulées entre nous le montrent – entre surtransposition et sous-transposition.
Le Sénat a permis d'affiner cet équilibre. Quant à votre commission des lois, elle a vraiment permis d'améliorer le projet de loi.
Parmi ces améliorations, on peut citer la nouvelle rédaction de l'article 6, qui permet une compréhension plus directe. Le Sénat s'était interrogé sur cette compréhension ; vous y avez répondu par une solution qui a satisfait tout le monde, notamment toutes les équipes qui ont travaillé sur ce sujet.
De même, le dialogue entre le rapporteur et le Gouvernement a permis d'éclairer la part de travail qui restera à la charge du Gouvernement, question qui avait également été laissée ouverte par le Sénat. Cela concerne l'évaluation du volume de textes réglementaires nécessaires et la nécessité absolue de suivre leur intégration dans notre droit par le Gouvernement dans les mois et les années à venir. Nous avons d'ores et déjà lancé ce dialogue, et j'invite votre commission des lois à suivre le travail réglementaire à venir. Vous savez que nous serons des interlocuteurs disponibles et nous favoriserons la transparence. Les éléments de définition, de désignation et de sanction seront en effet de nature réglementaire ; ils nécessiteront donc un débat transparent afin que vous en soyez informés le plus régulièrement possible.
Enfin, je signale que, face à l'importance de la menace cyber, dont j'ai parlé en introduction de mon propos, le Premier ministre rendra publique, dans les semaines qui viennent, une revue stratégique de cyberdéfense, qui a été discutée ces derniers mois. Il apportera à cette occasion des réponses à des questions ayant émergé au cours des débats, tant au Sénat qu'à l'Assemblée nationale.
Enfin, vous le savez, bien qu'ayant été élu dans cette assemblée, je n'ai pas pu siéger parmi vous. À titre plus personnel, je suis donc très heureux de vous présenter ce premier projet de loi, et j'espère qu'il ne sera pas le dernier. À très bientôt, donc !