Intervention de Cyril Cuvillier

Je réponds à M. Bourlanges au sujet de la subsidiarité. Quelle action spécifique y a-t-il à mener à l'échelle européenne ? Je prends l'exemple de la démarche de certification. À une échelle trop petite, il est difficile de structurer le marché autour des règles attendues quant aux équipements et aux façons de les installer, de les maintenir ou de les retirer du service lorsqu'ils sont obsolètes, etc. Ces questions sont extrêmement importantes. Dès le début, lorsqu'on achète un équipement et qu'on le met en service, il faut s'assurer qu'il a été bien conçu et que son installation est conforme aux meilleures pratiques. C'est ce qu'on appelle la security by default.

Or aujourd'hui, nos entreprises ont toutes des zones de chalandise qui dépassent la France. Les jeunes entreprises, en particulier, ont besoin d'une zone économique plus grande pour saisir des opportunités sur un domaine technologique très vaste. Pour aider ces entreprises, il faut leur apporter de la clarté quant aux règles que l'on souhaite édifier. C'était l'objet du texte très ambitieux sorti l'an dernier sur le schéma de certification. L'objet de ce texte n'était pas de dire comment certifier tel ou tel équipement, mais d'organiser le travail à 28 pour parvenir à mettre en place un schéma de certification. C'est ce que l'on fait à l'échelle européenne et que l'on ne peut pas faire à l'échelle nationale : convenir des règles du jeu grâce auxquelles les États membres vont se mettre d'accord, reconnaître leurs centres de certification respectifs et s'assurer que ces centres soient indépendants des entreprises dont ils doivent certifier les produits. Il ne doit en effet pas y avoir d'intéressement à certifier. S'il y a dans un pays européen un centre de certification aux prestations coûteuses et aux exigences assouplies, cela ne fonctionne pas. Il était nécessaire de créer la confiance dans notre capacité à observer nos centres respectifs, à les reconnaître, à préciser leurs compétences et à fixer des prérequis techniques.

C'est pour cette raison que ce texte était très ambitieux. Il entendait à la fois traiter les besoins du quotidien, avec des niveaux de certification peu coûteux à établir, et installer des schémas de certification de haut niveau pour protéger les produits qui peuvent être attaqués par des menaces de très haut niveau. Les règles du jeu pour l'élaboration des schémas de certification sont en place. L'ENISA va avoir un rôle particulier pour accompagner les États membres dans leur rédaction.