Programmation militaire 2024-2030

Je suis très sceptique sur la portée de l'article 32 et sur les nouvelles prérogatives qu'il donne à l'Anssi. Nous avons eu un petit débat en commission, mais il n'a pas été suffisant pour fournir les éclairages nécessaires à l'évaluation de cet article par rapport à d'autres dispositifs en vigueur. Nous avions proposé de porter le délai d'exé...

Nous n'avons pas été pleinement rassurés sur les garanties du dispositif que cet amendement vise à élargir. J'y suis donc opposé car je pense qu'il est préférable d'expérimenter les exceptions au droit commun et les prérogatives exorbitantes de l'Anssi prévues par l'article sur un périmètre sécurisé. Madame la rapporteure pour avis, vous nous ...

…qu'aucun dispositif n'existe, que nous regardons simplement les attaques se dérouler sans agir, que l'Anssi n'a aucune prérogative et les services de renseignement non plus. Votre précision selon laquelle l'Anssi n'est pas un service de renseignement nous a d'ailleurs fait sourire : c'est vrai, mais nous espérons que ces structures collaboren...

Revenons-en d'abord à l'extension du dispositif, que nous venons d'adopter. Il est extraordinaire que le Gouvernement, dans le projet de loi initial, n'ait pas été capable de préciser que la mesure visait les moteurs de recherche, alors qu'il travaille en lien avec les services de l'Anssi ! Cela devrait suffire à nous alerter : des débats inter...

Toutefois, il peut s'appuyer sur les services à sa disposition, qui, normalement, dans le cadre de l'étude d'impact, notamment, anticipent les choses, présentent un état du droit, ainsi que les changements, les améliorations, qu'apportera le texte – hélas, en l'occurrence, les paragraphes de l'étude d'impact consacrés à l'article 32 ne clarifie...

Vous auriez pu dire que l'Arcep n'a pas les moyens de rendre un avis conforme dans les délais et qu'en conséquence, nous allions nous en passer – mais ce n'est pas un très bon argument, vous me l'accorderez. Vos longues explications ont le mérite de nous apprendre des choses intéressantes : on parle de deux dizaines d'attaques majeures coordon...

Dans le cas contraire, nous sommes foutus et n'importe quel hacker va estimer qu'en France, nous sommes vraiment des rigolos – sans doute le sommes-nous au regard des moyens affectés à l'Anssi ou à d'autres agences – et aux autorités administratives indépendantes chargées de contrôler leur action. Vous ne pouvez donc vous contenter de brandir ...

Cet amendement vise l'alinéa relatif à la conservation des données, pour une durée initialement prévue de dix ans. En commission – c'est probablement le fruit de l'équilibre entre le centre, le milieu et le centre de gravité –, ce délai est passé à cinq ans, sans qu'on s'interroge sur l'intérêt de conserver ces données. Pourquoi les conserve-t-...

Je le répète, nous aimerions comprendre. En commission, nous avons évoqué des délais d'un an et demi, voire de deux ans, pour se prémunir de nouvelles attaques par les mêmes personnes ou organismes. Dont acte, car il s'agit là d'éléments objectifs, liés à ce qu'on sait de ces attaques du fait des retours d'expérience. A-t-on, aujourd'hui, affa...

Vous admettrez qu'aucun argument ne vient soutenir le choix de cinq ans, plutôt que celui de dix ans, si ce n'est qu'une durée inférieure est plus protectrice. Pour nous convaincre, des arguments de fond sont nécessaires. Dites « intérêts fondamentaux de la nation » et je suis transi, prêt à conserver les données à vie tant elles sont sensibles...

Je suis plus mitigé quand le risque est l'atteinte à l'ordre public, car cette formule peut désigner tout et n'importe quoi. Certains pourraient ainsi considérer que nous porterions atteinte à l'ordre public macronien – ils n'auraient pas complètement tort. Selon eux, nous apporterions même le chaos. La question est de savoir quelles garanties...

Nous sommes en 2023, c'était donc il y a six ans ! Vous voyez bien que cinq ans, ça ne marche pas non plus !

Il est vrai que nous avons brièvement évoqué le juge administratif et le référé liberté lorsque nous avons proposé de porter à soixante-douze heures le délai prévu à l'alinéa 10. Vous nous avez répondu que c'était déjà satisfait en droit, qu'au pire les gens prendraient un avocat – bref, « débrouillez-vous » –, que, d'ailleurs, l'objectif n'éta...

…de trouver le dispositif le plus proche de ses limites, comme s'il s'agissait d'un crash test permanent. Or, dans un État de droit, on ne peut pas raisonner ainsi. Il faut des arguments logiques, rationnels et pertinents, et il faut autoriser des voies de recours, sinon on n'est plus dans le droit.

Vous citez des attaques qui se sont produites il y a plus de cinq ans, mais il n'est pas nécessaire de disposer des données exactes qui les concernent, que d'ailleurs nous n'avons plus. Lorsqu'une attaque survient, il est possible de reconstituer son architecture et de la conserver, sans stocker l'ensemble des données de l'attaquant. En cas de ...

L'alinéa 15 de l'article 32 prévoit donc de dédommager des opérateurs qui auraient l'obligation de respecter la loi. Voilà un concept intéressant : dédommager des gens parce qu'ils devront respecter la loi. J'ignore s'il existe des cas de figure équivalents : les réquisitions peut-être, mais il ne s'agit pas ici de réquisitions. Nous aurions sa...

Le collègue Latombe pousse la logique jusqu'à son terme : la sécurité nationale demande peut-être la création de machins et de gros filtres pour arrêter les assaillants, mais les opérateurs n'ont pas que ça à faire ! En plus, développer des machins pour le compte de l'État, pour protéger la sécurité nationale, ça leur coûte des sous alors qu'il...

Mon cœur balance : soit on va au bout de la logique et on considère que c'est à l'argent public d'assumer des mesures d'intérêt public, plutôt qu'aux fournisseurs d'accès ; soit on considère que la sécurité est l'affaire de tous – c'est un slogan à vous, non ? Dans le cadre du fameux continuum de sécurité, les opérateurs pourraient s'assurer, y...

J'ai salué l'initiative de la collègue Chassaniol et nous voterons ces amendements. J'aimerais que l'on se souvienne de l'étude d'impact, qui indique que les données recueillies ne seront ni identifiantes ni personnelles. Or, lorsqu'on a une connaissance de ces données techniques, on sait que, assez facilement, on peut réussir à identifier les ...

Du reste, grâce à la collecte de données en cache, on réalise des campagnes de publicités qui ciblent plus spécifiquement certaines personnes – je ne m'étendrai pas davantage sur ce sujet. Pour conclure, je me réjouis qu'au bout du compte on ne croie pas sur parole l'étude d'impact du Gouvernement.