JDN. Le projet de loi de programmation militaire va passer entre les mains du Sénat après avoir été voté par l'Assemblée nationale. Son volet cybersécurité, dont vous êtes rapporteuse, prévoit d'autoriser le blocage de certains sites Internet. Comment seront-ils identifiés ?

Sabine Thillaye. L'appréciation sera faite par l'ANSSI, et toujours sous le volet d'atteinte à la sécurité nationale. Les mesures contre les sites se feront de manière graduelle : plus le niveau de menace contre la sécurité nationale sera fort plus la sanction encourue sera élevée. Sera également pris en compte la bonne foi du propriétaire du site : est-ce que ce dernier a l'intention de nuire ou s'est-il fait voler son site par des cybercriminels ? La Cnil sera aussi dans la boucle lors de ces procédures. Et encore une fois, elle ne sera lancée que dans le cas d'atteinte à la sécurité nationale.

Si le projet de loi est voté en l'état, les éditeurs auront l'obligation légale d'informer leurs utilisateurs en cas de cyberattaque. Cela n'était pas déjà le cas avant ? 

Il existait des obligations pour certains acteurs du numérique, particulièrement les responsables de traitement de données personnelles, les OIV (opérateurs d'importance vitale), des opérateurs de services numériques. Mais les éditeurs de logiciels en étaient exclus. Désormais ils sont dans le périmètre de l'ANSSI et ont l'obligation légale d'informer leurs usagers professionnels dans un premier temps. Il y a eu un peu de résistance de la part de éditeurs de logiciels mais dans leur grande majorité, ils étaient d'accord sur le fait qu'il y avait un sujet à traiter. Ils seront donc tenus de faire une notification à l'ANSSI, si l'incident compromet vraiment le bon fonctionnement des systèmes d'information des clients. Cet article s'inscrit dans une dynamique de notification des incidents cyber à l'échelle européenne, comme avec NIS II par exemple.

Pouvez-vous nous expliquer en détail l'alinéa 2 de l'article 33 ? Il semble inquiéter certains internautes, car il autorise les opérateurs à fournir des données sur leurs utilisateurs.

Oui effectivement, nous avons eu beaucoup de discussions autour de cet alinéa. Pour commencer, ce seront des données techniques non-identifiantes. De plus, l'Arcep aura un accès permanent à la base stockant ces données, et aura plein contrôle sur leur utilisation. Pour lancer une telle procédure auprès d'un opérateur, l'ANSSI devra le faire sous couvert de la défense nationale. A l'origine, les données devaient être gardées dix ans, nous avons réduit ce délai à cinq ans. Nous avons bien insisté sur le fait que ces données ne peuvent contenir des IP sources qui permettent de remonter jusqu'à l'utilisateur. Et la Cnil sera toujours présente en tant que garde-fou.

Quels sont les principaux risques cyber à l'avenir ?

Il y a d'abord les cybercriminels dont l'activité est en nette augmentation, mais il y a aussi les Etats hostiles. Le problème, c'est que les menaces sont hybrides et protéiformes. Légiférer au sujet de la cybersécurité est donc très complexe. Il faut aussi prendre en compte l'avancée technologique. Si nous faisons une loi trop précise elle sera vite caduque, et à l'inverse une loi trop large ne sera pas efficace. Il faut donc bien situer le curseur.