Intervention de Sacha Houlié

Elles ne souhaitent pas que les attaques dont elles ont fait l'objet soient rendues publiques, et par conséquent s'abstiennent de porter plainte. D'ailleurs, la responsable de la section J3 du parquet de Paris, chargée de la cybercriminalité, a indiqué que trop peu de plaintes remontaient au niveau national – seulement 300 plaintes en moyenne, sur des milliers d'attaques.

Lors des Jeux olympiques de Tokyo, 70 000 cyberattaques ont été avérées, contre dix fois moins aux JO de Londres en 2012 : nous nous attendons à un nombre d'attaques équivalent aux JO de 2024. Nous souhaitons que la garantie assurantielle dépende de la plainte déposée : pas de garantie assurantielle s'il n'y a pas de plainte, c'est très simple. Il n'y a donc, en aucune façon, de validation d'un modèle économique cybercriminel.

L'exposé sommaire de votre amendement de suppression n° 517, monsieur Bernalicis, comporte un certain nombre d'éléments sur lesquels nous sommes revenus. S'agissant de la question de la durée – je précise, y compris à nos collègues du Rassemblement national, que j'évoquerai à cet égard quelques aménagements qui vous seront proposés dans la discussion –, le Sénat s'était positionné sur une plainte devant être déposée dans un délai de vingt-quatre heures après la constatation de l'infraction, ce qui n'est pas beaucoup. De plus, il est difficile de déterminer quand l'attaque est commise : pour crypter les données d'une entreprise, par exemple, il faut une première intrusion dans le système d'information, avec extraction de données, puis une seconde, bien plus tard, visant à crypter les données de façon qu'elles soient inaccessibles à l'entreprise. La victime ne peut donc pas savoir quand a commencé l'attaque.

Le texte évoque la « constatation de l'infraction » : un amendement de nos collègues proposera d'aller plus loin, en évoquant la connaissance de l'attaque par la victime. La commission a rétabli le délai de quarante-huit heures, correspondant à la version initiale. Beaucoup de députés souhaitent qu'il soit porté à soixante-douze heures : nous y sommes favorables, car cela permet un juste équilibre entre la nécessité d'agir vite et la nécessaire protection de la victime.

Je termine par un point qui me semble important : nous souhaitons que les enquêteurs aient très rapidement accès aux données. Ugo Bernalicis, vous n'avez pas repris l'une des formules employées lors de la table ronde : « La cybercriminalité, c'est une scène de crime », et une scène de crime dont les traces peuvent disparaître très vite. On ne peut pas attendre longtemps – certains d'entre vous proposent un délai de quinze jours ou d'une semaine avant le dépôt de plainte –, car cela ne permettrait pas aux enquêteurs d'aller très vite. Ce que nous voulons, c'est qu'il y ait plus de plaintes, plus de poursuites, plus de connaissance de la cybercriminalité, une meilleure couverture des victimes. Plusieurs aménagements vous seront proposés en ce sens avec les amendements.