Amendement N° 58 (Rejeté)

Cet article qui prétend lutter contre les cyberattaques n'est pas assez protecteur. Beaucoup de services essentiels et fondamentaux risquent de ne pas être dûment protégés, comme les hôpitaux, alors même que ceux-ci avaient été les dernières grandes victimes de la dernière grande cyberattaque de mai 2017 (https ://www.lesechos.fr/13/05/2017/lesechos.fr/0212077825043_cyberattaques---les-hopitaux-britanniques--principales-cibles-atteintes.htm).

Ainsi, imagine-t-on les perturbations majeures, les conséquences gravissimes sur la santé, l'ordre public si les services essentiels de base ne sont pas protégés contre le risque cyber ?

Concrètement quelles peuvent être les conséquences en cas de paralysie informatique (comme cela était le cas en 2017), par exemple :

- à l'hôpital, on peut imaginer des patients laissés sans soins exposés à un risque mortel ;

- dans des zones avec de nombreuses entreprises à risque de sécurité et environnementaux (AZF à Toulouse, la Fos sur Mer, etc…), une éventuelle menace sur la vie des populations locales et leur santé.

Et tout aussi important : imaginons une paralysie du pays si tous les lycées, privés comme publics font l'objet d'une cyberattaque lors de grands examens nationaux comme le baccalauréat, les conséquences économiques et pour le tourisme si les musées nationaux sont paralysés.

Il est donc nécessaire d'aller au-delà de la seule formule particulièrement vague et englobante de cet article : « (…) des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée (…) » en précisant que celle-ci doit explicitement inclure certains domaines qui sont fondamentaux pour le bien-être collectif : sociaux, éducatifs, économiques, environnementaux, sanitaires, médico-sociaux et culturels. Par la suite, le périmètre précis de ceux-ci devra être précisé par le Premier ministre, comme le prévoit cet article.

Cet amendement va en plus dans le sens de la directive que ce projet de loi vise à transposer. En effet, son article 5 de la directive dispose que : « 2. Les critères d'identification des opérateurs de services essentiels visés à l'article 4, point 4), sont les suivants : a) une entité fournit un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques ; b) la fourniture de ce service est tributaire des réseaux et des systèmes d'information ; et c) un incident aurait un effet disruptif important sur la fourniture dudit service. ».

Cette précision qui explicite notamment les services publics visés est donc nécessaire. Dans le respect de la répartition des compétences entre pouvoirs législatif et exécutif, ce sera au pouvoir réglementaire (le Premier ministre) de préciser ce qui est spécifiquement entendu comme essentiel dans les domaines ainsi rappelés comme fondamentaux.

Si en Commission des lois le rapporteur a estimé que cet amendement était déjà comblé en ce que l'Annexe II de la directive ici transposée (http ://eur-lex.europa.eu/legal-content/FR/TXT/ ?uri=CELEX :32016L1148) précisait déjà qu'étaient concernés les secteurs de : « Energie (sous-secteurs : électricité, pétrole, gaz), Transports (sous-secteurs : transports aériens, ferroviaires, par voie d'eau, routier), Banques, Infrastructures de marché financiers, Secteur de la santé (sous-secteurs : établissements de soins de santé), Fourniture de distribution d'eau potable, Infrastructures numériques ». Ce qui signifie bien que les secteurs sociaux (par exemple Pôle Emploi, les CAF), éducatifs (universités, réseaux scolaires), économiques (si le réseau de distributions de grands hypermarchés est attaqué, comment l'approvisionnement en nourriture pourrait-il adéquatement se faire ?), environnementaux (ONF et certaines grandes entreprises qui pourraient devenir polluantes en cas de cyberattaques par exemple), sanitaires, médico-sociaux (qu'en est-il d'établissements par exemple tels les EHPAD et autres) et culturels (musées, bibliothèques, etc...). Notre amendement a donc bien évidemment toute sa place !