Monsieur le président, madame la ministre, monsieur le secrétaire d'État, madame la présidente de la commission, monsieur le rapporteur, chers collègues, le présent projet de loi vise à transposer en droit interne des dispositions issues de trois textes européens.
La directive du 6 juillet 2016, d'abord, a pour objectif de créer une coopération de fait en matière de sécurité informatique, sous le contrôle des agences européennes comme l'ENISA et EUROPOL – l'Agence européenne chargée de la sécurité des réseaux et de l'information, et l'Office européen de police. Elle est le prélude à un règlement de l'Union européenne sur la protection des données, qui doit entrer en vigueur en mai 2018.
Cette directive définit deux nouvelles notions : les « opérateurs fournissant des services essentiels » c'est-à-dire les entreprises évoluant dans les secteurs de l'eau, du gaz, du pétrole, de l'électricité, de la banque et des marchés financiers, des transports et de la santé ; les « fournisseurs de services numériques », entreprises du cloud, moteurs de recherche et plateformes de vente en ligne comme Amazon.
L'accélération technologique que nous vivons est telle que, parfois, c'est notre économie tout entière qui est menacée. Les « hackeurs » les plus chevronnés s'en donnent à coeur joie. L'Europe en a d'ailleurs été largement victime au printemps dernier : coup sur coup, deux vagues de ce que l'on appelle des « rançongiciels » ont touché des milliers d'entreprises et de particuliers. WannaCry, en mai, a immobilisé des usines et de nombreux hôpitaux au Royaume-Uni. Nos voisins d'outre-manche étaient aux abois. Puis, fin juin, une attaque a ricoché depuis l'Ukraine à travers le monde, pour causer plus d'1 milliard d'euros de dégâts.
Le pillage des données enfle d'année en année, les piratages aussi, sans que l'on ne dispose de parades efficaces, pas à l'échelle nationale – l'ANSSI reste malheureusement largement ignorante des phénomènes criminels ou terroristes – , et encore moins, bien sûr, à l'échelle européenne, où, pour l'essentiel, EUROPOL se borne à compter les points. Nous nous trouvons aujourd'hui, en quelque sorte, derrière la ligne Maginot, en attendant un désastre majeur sur un grand réseau informatisé quelconque.
La directive européenne oblige donc chaque État membre à s'assurer que les acteurs économiques définis prennent toutes les mesures techniques et organisationnelles appropriées dans le cadre d'une politique de gestion de risques. En cas d'incident ayant un impact significatif sur la continuité de service de ces opérateurs, ceux-ci devront les notifier aux autorités désignées, répondre à leurs demandes d'information et se conformer à leurs instructions. Le niveau de sécurité assuré par ces acteurs devra être proportionnel aux risques potentiels qu'ils rencontrent dans le cadre de leur activité. Chaque État membre devra également adopter une stratégie nationale en matière de sécurité des réseaux.
À ce stade, plusieurs observations techniques sont à soulever, qui, selon moi, ne trouvent pas de réponses concrètes et précises dans ce projet de loi. Ainsi, quelles seront les mesures techniques et organisationnelles concrètes à mettre en oeuvre dans le cadre d'une gestion de risques ? Qu'est-ce qu'un « impact significatif » sur les services fournis par les opérateurs concernés ? En cas d'incident, quelles sont les modalités d'information du public par les autorités désignées ? Enfin, quels seront les pouvoirs et compétences de ces dernières ?
Mais, je l'avoue, ces questions techniques pourraient aisément trouver une réponse et ne nécessiteraient pas une motion de renvoi en commission, si notre nouveau monde acceptait le principe de discussion dans l'hémicycle – je vous rappelle incidemment que tous les députés ne font pas partie de la commission des lois – et si le groupe majoritaire ne rejetait pas, par principe, tous les amendements présentés, à l'instar de ceux déposés sur la proposition de loi relative à la mise en oeuvre du transfert des compétences eau et assainissement aux communautés de communes, examinée hier soir.
Néanmoins, deux questions nettement plus politiques posent problème. La première concerne la pratique du fait accompli appliquée par l'Union européenne, qui étend ici ses compétences dans un domaine en théorie souverain, à savoir la sécurité. La seconde est le pas supplémentaire effectué vers une armée européenne de défense. En effet, l'Union européenne, sous couvert de régulation des échanges économiques, harmonise, dans un seul et unique texte législatif, les compétences propres des États afin de rendre inévitable la création d'une sécurité commune.
La cybersécurité est un sujet majeur, voire crucial, pour les États comme pour les citoyens. Et elle n'a pas de limite. Selon le directeur de l'Agence nationale de la sécurité des systèmes d'information, 80 % des entreprises européennes ont déjà été victimes de cyberattaques. Comble de l'ironie, il paraît que l'on peut se situer dans une zone blanche tout en étant quand même exposé à la cybercriminalité. Il y aura bientôt 6 milliards d'objets connectés en Europe, et, bien sûr, autant de possibilités d'être piratés.
Il va sans dire, au regard de ces chiffres, que nous devons nous protéger. Les spécialistes de la cybersécurité installés en France ont d'ailleurs le sourire : après une hausse de leur chiffre d'affaires de 10 % en 2017, la vitalité du marché est certaine et n'est pas près de ralentir.
Nous protéger, c'est donc ce que vous tentez de faire avec ce projet de loi, malheureusement de façon imparfaite. Texte fourre-tout, inventaire à la Prévert, tout a été dit durant les travaux préparatoires. J'insisterai pour ma part sur un point : ce projet de loi est censé unifier les dispositifs de sécurité, mais quel regard aurons-nous sur ceux mis en place dans les autres pays membres ? Quelle harmonisation prévaudra ? Allons-nous céder aux sirènes de la certification ? Dans ce cas, le risque du nivellement par le bas est grand.
On apprend plus loin, à l'article 3, que les prestataires de services habilités à effectuer des contrôles seront soumis aux mêmes obligations de confidentialité que celles applicables aux services de l'État. Mieux encore, à l'article 6, on nous demande d'étendre les compétences du Premier ministre pour qu'il puisse édicter les règles de sécurité nécessaires à la protection de ces réseaux et systèmes d'information. Les opérateurs de services essentiels obéiront ainsi au doigt et à l'oeil, et seront tenus d'appliquer ces règles à leurs frais.
En France, c'est l'ANSSI qui est chargée du volet préventif de lutte contre la cybercriminalité. Elle est placée sous la tutelle du Premier ministre. Peut-être aurait-il été préférable d'étendre les prérogatives de l'agence. Il me semble en effet qu'elle est la mieux à même de mener les contrôles nécessaires auprès des opérateurs de service essentiels publics majeurs, comme les hôpitaux, afin d'éviter les épisodes dangereux, comme ceux qu'ont connus les hôpitaux britanniques en mai dernier, lorsque près de 45 d'entre eux ont été piratés et soumis à des demandes de rançons.
Guillaume Poupard, le directeur général de l'ANSSI, avait pu exprimer, il y a quelques mois maintenant, ses inquiétudes concernant un nivellement par le bas de la sécurité informatique européenne. Il a encore récemment expliqué : « On ne peut pas substituer l'ENISA à une agence comme l'ANSSI. L'Europe doit nous renforcer, pas nous affaiblir. » Tout est dit.
Venons-en maintenant au titre II de ce projet de loi. La directive du 17 mai 2017, à transposer avant le 14 septembre 2018, a été prise à l'initiative de la France, à la suite des attentats de 2015, pour renforcer le contrôle des armes à feu. Elle a donc pour finalité le renforcement de la sécurité publique. Elle ne concerne malheureusement que la détention d'armes dans un cadre légal. Nous allons donc encadrer encore un peu plus ceux qui sont dans les clous – si vous me permettez l'expression – , sans nous attaquer réellement et efficacement à ceux qui posent problème.
Sur un sujet aussi sensible, qui touche non seulement à la sécurité des Français mais également à leur liberté et à leur droit de propriété, il nous aurait paru opportun que ce projet de loi réaffirme le principe démocratique fondamental selon lequel la liberté est la règle et la restriction de police, l'exception. Nous devons en effet garantir à nos concitoyens que ceux d'entre eux qui sont en règle avec la loi, dans le cadre de leurs activités normales, ne seront pas soumis à un contrôle administratif excessif, et que les poursuites ne concerneront que ceux qui se placent en infraction aux dispositions du code de la sécurité intérieure. Alors que les Français ont de plus en plus le sentiment que l'État exerce un contrôle normatif excessif sur toutes les choses du quotidien, notamment en matière d'alimentation ou de construction, ils doivent être confortés dans la confiance qu'ils sont légitimement en droit de placer dans la loi. Or ce texte ne donne aucune garantie sur ce point.
D'une part, il ne rappelle pas les principes essentiels qui garantissent aux citoyens leurs droits en matière de détention d'armes. L'article 2 de la Déclaration des droits de l'homme et du citoyen érige la liberté, la propriété et la sûreté des droits « naturels et imprescriptibles ». L'alinéa 11 du préambule de la Constitution de 1946 établit la garantie constitutionnelle de la protection des « loisirs ». L'abolition des privilèges du 4 août 1789 fait de la détention légale d'armes civiles de loisir au domicile un droit légitime du citoyen.
D'autre part, le texte n'offre pas non plus de garantie contre le fait du prince administratif, en réaffirmant par exemple que les décisions de refus d'autorisation doivent être impérativement motivées, en fait et en droit.
En son état actuel, le projet de loi vise à apporter des ajustements techniques, dont nous discuterons bien entendu, mais aucunement à rassurer nos concitoyens sur la garantie par la loi de leur liberté et leur droit de propriété face au contrôle administratif. Il nous semble que, sur ce point essentiel, elle mériterait une révision qui permettrait de réaffirmer ces grands principes.
Il ne s'agit pas uniquement d'une remarque générale. Cet enjeu de la protection par la loi des droits des citoyens face au pouvoir administratif se retrouve dans le détail des dispositions. Je prendrai un exemple.
Jusqu'à présent, les armes et matériels historiques de collection ainsi que leurs reproductions étaient classés en catégorie D, soit en détention libre. Ils l'étaient du fait de la loi, par les dispositions de l'article L. 311-4 du CSI – le code de la sécurité intérieure – , qui pose ce principe, et de l'article L. 311-3, qui en précise la définition. Les citoyens détenteurs du matériel mentionné se trouvaient assurés par la loi de leur tranquillité. Par l'article 16 du projet de loi examiné, le Gouvernement propose de restreindre cette protection des armes de collections en visant celles présentant un caractère de « dangerosité avérée ». Soit, mais qui déterminera cette dangerosité ? Ce ne sera plus la loi, comme c'était le cas jusqu'à présent, mais au contraire le pouvoir administratif : c'est le Conseil d'État qui en établira la liste par décret ; il n'existera plus aucune protection légale des collectionneurs de ces objets. Leur libre propriété sera désormais soumise aux vents incertains d'un changement de classement, décidé par le seul pouvoir exécutif, ou de la parution d'un décret désormais juridiquement incontestable, décidant soudainement de la dangerosité du patrimoine dans lequel ils ont investi.
Ce genre de disposition renforcerait le climat d'insécurité juridique et la défiance des honnêtes citoyens envers le pouvoir administratif. Il place une épée de Damoclès administrative au-dessus des acquisitions, transmissions et circulations de ces objets de collection, dont les détenteurs pourront découvrir l'apparition soudaine de leur dangerosité, en lisant un décret du Conseil d'État. Ce serait désormais aux juges administratifs du Palais-Royal de décréter que le sabre de l'arrière-grand-père, émoussé depuis 1870 et dormant dans une malle au grenier, réveille sa dangerosité et place le propriétaire qui en a hérité en infraction, faute de faire enregistrer cette arme nouvellement problématique.
Fort heureusement, la Constitution de 1958 protège les citoyens contre un tel fait du prince de l'administration, en précisant en son article 14 que les droits civiques et les garanties fondamentales accordés aux citoyens pour l'exercice des libertés publiques, mais aussi les successions et les libéralités, relèvent du domaine de la loi. C'est à la loi, et non à un décret du Conseil d'État, qu'il revient de garantir à nos concitoyens leur liberté de détenir tel ou tel type d'objets s'ils le souhaitent. C'est un principe démocratique essentiel.
Or l'état actuel du projet de loi ne présente pas ces garanties fondamentales, que je viens d'évoquer. Il ne fera que confirmer aux Français que le transfert de souveraineté est en réalité double : il va non seulement de la France vers les instances européennes, mais également du Parlement au gouvernement des juges.
La directive du 17 mai 2017 supprime donc la catégorie D des armes à feu, soumises à enregistrement : toutes relèveront désormais de la catégorie C et seront soumises à autorisation, à l'exception de certaines armes historiques et de leurs reproductions. De même, certaines armes jusqu'ici soumises à autorisation passeront dorénavant sous un régime d'interdiction.
Certes, des dérogations sont prévues pour le tir sportif et la sécurité privée. La directive prévoyait également la possibilité d'une exception pour les collectionneurs, mais le Gouvernement n'a pas souhaité transposer en totalité cette disposition pour des raisons de sécurité. Encore une fois, c'est un faux problème. Et si nous nous attaquions d'abord au grand banditisme et au terrorisme avant de viser les collectionneurs ? Ficher les 220 000 tireurs sportifs et les collectionneurs doit-il vraiment être la priorité de ce projet de loi, ou bien devrait-ce être de lutter contre le trafic d'armes ?
Car il nous faut bien sûr redoubler d'efforts dans notre lutte contre le trafic d'armes à feu, mais selon une stratégie cohérente et coordonnée.
Au lendemain des attentats terroristes perpétrés à Paris en janvier 2015, les ministres de l'intérieur etou de la justice de l'Union européenne ont adopté la déclaration de Paris, dans laquelle ils affirmaient leur détermination à lutter contre la circulation illégale d'armes à feu sur l'ensemble du territoire européen et, dans cette optique, à renforcer leur coopération au sein de la plateforme pluridisciplinaire européenne contre les menaces criminelles, à améliorer le partage du renseignement et à utiliser pleinement les ressources d'EUROPOL, d'EUROJUST – l'Unité de coopération judiciaire de l'Union européenne – et d'INTERPOL – l'Organisation internationale de police criminelle. Il semble malheureusement que cette déclaration n'ait guère été suivie d'effets.
Les divergences entre les législations nationales tout autant que l'insuffisance des ressources, l'existence de priorités stratégiques contradictoires et la faible application des dispositions en vigueur entravent les initiatives transfrontalières en vue de lutter contre le trafic illicite d'armes à feu et font obstacle aux contrôles et à la coopération policière dans l'ensemble de l'Union. Une preuve de plus que cette Union européenne tant vantée est loin de fonctionner correctement lorsque des sujets aussi majeurs que la sécurité de nos concitoyens sont en jeu – sans parler de l'absence, à ce jour, d'harmonisation entre les États membres du régime de neutralisation des armes saisies.
S'agissant des ventes d'armes à distance, la directive européenne impose la vérification de l'identité de l'acquéreur par un professionnel avant la livraison. Le présent projet de loi permettra donc aux armuriers de refuser de conclure des transactions qu'ils considéreraient comme suspectes. C'est une disposition que je salue : dans le contexte d'insécurité que vit la France, elle n'est pas superflue. Mais, évidemment, la question des moyens se pose. Comment un armurier peut-il vérifier concrètement que la transaction qu'il s'apprête à conclure est suspecte ?
Je n'ai pas résisté au plaisir de garder le meilleur pour la fin. Le titre III vise à introduire dans le code de la défense un chapitre relatif au service public réglementé de radionavigation par satellite.
Il y a une vingtaine d'années, l'Europe se lançait dans une grande aventure, l'une de celles qui auraient pu représenter une marque d'autonomie et de puissance, à la gloire d'une Europe créative et indépendante. Oui, Galileo aurait pu être un élément essentiel de la souveraineté de notre pays et de l'Europe, un outil d'autonomie économique et stratégique vis-à-vis des systèmes déjà existants et dont nous dépendons – je pense notamment au GPS américain.
Ce programme ambitieux a cependant été montré du doigt par la Cour des comptes pour sa gestion « peu performante ». Néanmoins, bien que les coûts se soient révélés trois fois plus élevés que prévu, la France a persisté. À titre indicatif, il faut tout de même rappeler qu'en 2020, date de sa pleine mise en service, la France aura déboursé quelque 2,45 milliards d'euros pour ce programme.
À propos d'investissements, alors que nous tentions de gagner notre autonomie, nous avons fait rentrer par la petite porte, si je puis dire, nos principaux concurrents. Nous avons ainsi fait la part belle aux investissements étrangers sans nous préoccuper d'éventuels transferts de technologie subis. Je songe particulièrement aux Chinois, qui ont lancé leur propre système de radionavigation quelque temps après avoir signé un accord sur Galileo : l'Europe, sans le vouloir, leur a mis le pied à l'étrier.
Finalement, nous n'avons fait qu'acheter une autonomie de façade. On en a presque oublié que l'économie mondialisée d'aujourd'hui est déterminée par les intérêts, les attaques et les défenses qui ont lieu sur les marchés, champs de bataille de l'époque moderne.
Si l'on se souvient de la forte hostilité des États-Unis à ce projet lors de son lancement, des antécédents des entreprises chinoises en matière d'espionnage industriel ou encore de l'émission par les satellites chinois de fréquences et de signaux superposés aux signaux de Galileo et susceptibles de nuire à ce dernier, on peut légitimement penser que le projet est menacé par des puissances économiques étrangères.
Compte tenu de l'ampleur du marché des services de navigation par satellite, qui représentera 250 milliards d'euros vers 2022, on ne peut se permettre la moindre imprudence quant à la sécurité de ce système, à propos de laquelle la France engage sa responsabilité en accueillant à Saint-Germain-en-Laye le centre de sécurité de Galileo. Or, malheureusement, les sanctions pénales et les moyens de contrôle proposés par le projet de loi me semblent inadaptés à ces enjeux.
C'est pour toutes ces raisons, ces imprécisions, parfois même ces manquements, mes chers collègues, que je demande le renvoi en commission de ce projet de loi.