Intervention de Philippe Dunoyer

Monsieur le président, madame la ministre, monsieur le secrétaire d'État, madame la présidente de la commission des lois, monsieur le rapporteur, mes chers collègues, le présent projet de loi vise à transposer en droit interne deux directives européennes dans le domaine de la cybersécurité et du contrôle des armes ; il tire également les conséquences d'une décision de 2011 du Parlement européen et du Conseil relative au système mondial de radionavigation par satellite issu du programme Galileo. L'objectif est de renforcer le niveau de sécurité commun de nos concitoyens et de nos entreprises stratégiques. Et, nous en conviendrons tous, compte tenu de l'accroissement et de la complexité des menaces auxquelles notre continent fait face, c'est non seulement nécessaire, mais surtout urgent.

Avant d'en venir au contenu du projet de loi, permettez-moi de constater, et c'est assez rare pour le souligner, que la France devrait ainsi respecter le délai de transposition des deux directives. Nous pouvons donc saluer le travail de l'exécutif et des deux chambres, d'autant que le travail de transposition n'est jamais un exercice facile : les dispositions sont souvent nombreuses et hétérogènes, et le risque d'être exposé à des sanctions financières plane toujours sur les États membres – sans oublier le double écueil de la surtransposition et de la soustransposition qu'il nous faut éviter. Nos collègues Alice Thourot et Jean-Luc Warsmann, auteurs d'un rapport d'information remis en décembre dernier, l'ont très justement souligné : en France, les surtranspositions inutiles sont encore trop fréquentes. Ce constat appelle de notre part une vigilance particulière face à un risque ou à une tentation dont le présent texte n'est pas totalement exempt. J'ajoute que même si la procédure accélérée a été engagée, nous disposons de suffisamment de temps pour l'examiner sereinement.

J'en viens au fond du projet de loi.

Le titre I transpose une directive de 2016 communément appelée « NIS », dans le but de renforcer la sécurité des réseaux et des systèmes d'information dans l'Union. Il s'agit de garantir la continuité des activités économiques stratégiques de la nation, notamment celles des opérateurs de services essentiels, en cas de cyberattaques en imposant des règles élémentaires à certains organismes et en accroissant la coordination avec les pouvoirs publics en cas d'incidents de sécurité sur leur réseau et sur leur système d'information. Et c'est, hélas, on ne peut plus nécessaire.

Il suffit en effet de se pencher sur l'actualité récente pour être convaincu de l'utilité d'une telle mesure. Rien qu'en 2017, deux cyberattaques de grande ampleur ont affecté des centaines de milliers d'ordinateurs et compromis la sécurité des réseaux d'entreprises comme Renault, Saint-Gobain et Fedex. Les préjudices ont été de natures multiples, allant de la destruction des systèmes d'information à l'atteinte à l'image de l'entreprise, à la perte de marchés ou encore au vol d'informations sensibles. Quant aux coûts induits par ces attaques, ils donnent le vertige : selon une estimation de l'Agence européenne pour la sécurité des réseaux, le coût global des incidents cybernétiques au niveau mondial est situé entre 330 milliards et 500 milliards d'euros par an ; pour une seule entreprise française, il est compris, en moyenne, entre quelques centaines de milliers et une vingtaine de millions d'euros, mais c'est souvent plus – par exemple, lors de la cyberattaque NotPetya de l'an dernier, l'entreprise Saint-Gobain a évalué ses pertes financières à 250 millions d'euros.

Indéniablement, les attaques contre les systèmes d'information sont l'une des principales menaces qui pèsent sur la sécurité européenne et nationale. La directive NIS et sa transposition en droit interne sont donc plus que jamais nécessaires. Néanmoins, bien que les dispositions du projet de loi relatives aux notions de sécurité des systèmes d'information, d'opérateurs de services essentiels ou encore de fournisseurs de services numériques ne posent pas de difficulté, je reste sceptique quant à la réelle portée contraignante des dispositions relatives aux recommandations, aux obligations et aux sanctions qui pèseront sur eux. Il est, par exemple, demandé aux fournisseurs de services numériques de garantir un niveau de sécurité adapté aux risques existants, sans guère plus de précision. Sans sombrer dans la surtransposition, je crois qu'il serait bienvenu de prévoir que les organismes concernés puissent bénéficier de l'expérience des opérateurs et des agences expérimentés et qui ont fait la preuve de leurs bonnes pratiques. Je ne doute pas que l'Agence nationale de sécurité des systèmes d'information conseille régulièrement les entreprises stratégiques françaises, mais il ne serait sans doute pas inutile d'institutionnaliser une véritable coopération, au jour le jour, aux niveaux national et européen, au bénéfice des opérateurs de services essentiels et des fournisseurs de services numériques.

J'en viens au titre II qui vise à transposer une directive de 2017 relative au contrôle de l'acquisition et de la détention d'armes. L'objectif est ici de durcir les conditions d'acquisition et de détention des armes à feu dites civiles : il s'agit notamment de surclasser en catégorie A les armes semi-automatiques, de supprimer la sous-catégorie Dl et de renforcer globalement les conditions de vente d'armes et de munitions. Ce texte s'inscrit dans la continuité de la déclaration de Paris du 11 janvier 2015, prise au lendemain des attentats qui ont frappé notre pays. Dans le contexte de menace terroriste grandissante, il était indispensable de poursuivre l'harmonisation et le renforcement des règles applicables pour les armes les plus dangereuses mais aussi de sécuriser dans leur ensemble les conditions de vente des armes à feu.

Les individus susceptibles de menacer la sécurité de nos concitoyens recourant essentiellement à des réseaux et à des procédures en dehors des circuits légaux, la législation et la réglementation en vigueur, aussi dures soient-elles, ne devraient pas fondamentalement changer la donne.

Certes, les dispositions de ce projet de loi permettront d'améliorer la traçabilité et le marquage des armes, voire d'empêcher la réactivation de celles qui ont été neutralisées, dont certaines alimentent les marchés illégaux – c'était par exemple le cas des deux fusils d'assaut utilisés par l'un des terroristes lors des attentats de janvier 2015. Pour autant, nous pouvons craindre que des dispositions trop contraignantes en la matière ne distinguent pas suffisamment les comportements à risque et criminels des pratiques de nos concitoyens honnêtes telles que les activités de chasse, de sport et de collection.