À l’alinéa 7, après le mot : 

« société »,

insérer les mots :

« , à la préservation de l’environnement, ». 

À l’alinéa 7, après le mot : 

« société »,

insérer les mots :

« , à la préservation de l’environnement, ».

À l’alinéa 8, après le mot :

« population »,

insérer les mots : 

« , l’accès à l’information ». 

À l’alinéa 8, après le mot :

« population »,

insérer les mots : 

« , l’accès à l’information ». 

Après l’alinéa 13, insérer l’alinéa suivant :

« 5° Souveraineté numérique : la capacité de l’État à établir les règles qui permettent d’utiliser le numérique, de contrôler les impacts de ses usages et à disposer de l’autonomie sur les technologies qui conditionnent ces usages du numérique tout en se protégeant des ingérences et attaques étrangères. »

Après l’alinéa 13, insérer l’alinéa suivant :

« 5° Souveraineté numérique : la capacité de l’État à établir les règles qui permettront d’utiliser le numérique, de contrôler les impacts de ses usages et à disposer de l’autonomie sur les technologies qui vont conditionner ces usages du numérique tout en se protégeant des ingérences et attaques étrangères. »

Compléter l’alinéa 24 par la phrase :

« Ces mesures doivent notamment intégrer des dispositifs prenant en compte les risques psychosociaux auxquels sont soumis les employés des opérateurs d’importance vitale face aux différents scénarios de crises envisagés. »

Compléter la deuxième phrase de l’alinéa 32 par les mots :

« et de leurs sous-traitants, les modalités d’accès physiques ou numériques aux systèmes critiques, ainsi que les risques liés à la mobilité des personnes, des données ou des équipements. »

À l’alinéa 40, substituer aux mots : 

« peut demander »,

le mot : 

« demande ».

À l’alinéa 41, substituer aux mots : 

« peut également solliciter »,

le mot : 

« sollicite ».

Supprimer les alinéas 50 à 54.

À l’alinéa 52, après le mot :

« nucléaire »,

insérer les mots :

« , de la santé ».

À l’alinéa 52, après le mot : 

« nucléaire »,

insérer les mots : 

« , du numérique ».

À l’alinéa 52, substituer aux mots : 

« peuvent être »,

le mot : 

« sont ».

Supprimer les alinéas 53 et 54.

Après l’alinéa 57, insérer les trois alinéas suivants :

« En cas de recours à une société tierce pour le recueil, le traitement et la conservation des données recueillies, celle-ci réunit les conditions suivantes :

« 1° Son siège statutaire, son administration centrale et son principal établissement doivent être établis au sein d’un État membre de l’Union européenne ;

« 2° Son capital social et les droits de vote dans la société ne doivent pas être, directement ou indirectement, individuellement détenus à plus de 24 %, et collectivement détenus à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne.

Compléter l’alinéa 71 par la phrase suivante :

« Ils ne peuvent être poursuivi pour atteinte au secret professionnel pour la révélation d’une information à caractère secret dans les conditions prévues à l’article 6 de la loi n° 2016‑1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. »

Après l’alinéa 82, insérer l’alinéa suivant :

« 1° bis Un représentant du ministère compétent du secteur d’activité auquel appartient l’entité pour laquelle la commission est saisie ; ».

Après l’alinéa 82, insérer l’alinéa suivant :

« 1° bis De deux députés et deux sénateurs à parité, élus respectivement par la commissions des lois de l’Assemblée nationale et du Sénat ».

Après l’alinéa 83, insérer l’alinéa suivant :

« Ces personnalités ne peuvent avoir exercé, au cours des trois années précédant leur nomination, une activité ni au sein de l’une des personnes mentionnées aux articles 8 et 9 ni au sein de l’autorité nationale de sécurité des systèmes d’information, ni au sein d’une entité désignée comme un opérateur d’importance vitale ni au sein de l’autorité administrative ayant saisi la commission. »

Après l’alinéa 105, insérer l’alinéa suivant :

« Ces contrats ne peuvent être conclus qu’à la condition que l’État conserve un pouvoir de contrôle effectif sur les opérateurs et les sous-traitants, notamment par la mise en place de clauses contractuelles assurant la souveraineté, la sécurité des données et la maîtrise stratégique des capacités essentielles. Dans l’attribution des contrats, le recours à des entités ayant leurs activités et leurs données basées en France, ainsi qu’une moindre vulnérabilité dans leur chaîne d’approvisionnement doit être recherché. »

Compléter cet article par les six alinéas suivants :

« Après l’article L. 1113‑2 du code de la commande publique, il est inséré un article L. 1113‑2‑1 ainsi rédigé :

« Art. L. 1113‑2‑1. – Application du régime de défense et de sécurité aux marchés des opérateurs d’importance vitale ;

« Les marchés publics et contrats de concession passés par des opérateurs d’importance vitale mentionnés à l’article L. 1332‑1 du code de la défense, lorsqu’ils ont pour objet des prestations, fournitures ou services présentant un lien direct avec la cybersécurité, la protection des systèmes d’information, le traitement de données sensibles ou la surveillance des flux physiques ou numériques, sont soumis aux règles applicables aux marchés de défense ou de sécurité nationale définies au titre II. du livre III. du code de la commande publique.

« À ce titre, les pouvoirs adjudicateurs peuvent restreindre la participation aux seules entreprises établies dans un État membre de l’Union européenne ou de l’Espace économique européen, ou dans un État ayant conclu avec la France un accord bilatéral de sécurité garantissant un niveau équivalent de protection des intérêts essentiels de sécurité.

« Le recours à cette faculté doit être justifié dans les documents de la consultation, par une analyse des risques pesant sur l’intégrité, la confidentialité ou la continuité des activités de l’opérateur concerné.

« Un décret en Conseil d’État précise les conditions d’application du présent article, notamment les critères de sécurité permettant d’activer cette faculté. »

Compléter cet article par les trois alinéas suivants :

« Art. L. 1332‑23. – Les opérateurs d’importance vitale qui passent un contrat ou un marché de concession en application des articles L. 1332‑20 et L. 1332‑22 choisissent en priorité des entreprises répondant aux critères suivants :

« 1° Son siège statutaire, son administration centrale et son principal établissement doivent être établis au sein d’un État membre de l’Union européenne ;

« 2° Son capital social et les droits de vote dans la société ne doivent pas être, directement ou indirectement, individuellement détenus à plus de 24 %, et collectivement détenus à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne. »

Compléter cet article par les trois alinéas suivants :

« Art. L. 1332‑23. – Les opérateurs d’importance vitale qui passent un contrat ou un marché de concession en application des articles L. 1332‑20 et L. 1332‑22 choisissent en priorité des entreprises répondant aux critères suivants :

« 1° Son siège statutaire, son administration centrale et son principal établissement doivent être établis au sein d’un État membre de l’Union européenne ;

« 2° Son capital social et les droits de vote dans la société ne doivent pas être, directement ou indirectement, individuellement détenus à plus de 24 %, et collectivement détenus à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne. »

À la première phrase de l’alinéa 90, après le mot :

« commission »,

insérer les mots :

« mentionnés au 1° ».

Le chapitre II du livre III de la première partie du code de la défense est complété par un article L. 1332‑9‑2 ainsi rédigé :

« Art. L. 1332‑9‑2 (nouveau). – I. – Les opérateurs d’importance vitale et entités critiques établissent et mettent à jour régulièrement une cartographie de leurs interdépendances avec d’autres secteurs essentiels, notamment l’énergie, l’eau, le transport, le numérique et la santé.

« II. – Cette cartographie précise les dépendances techniques, logistiques et organisationnelles nécessaires à la continuité d’activité.

« III. – Elle est transmise de manière confidentielle au Secrétariat général de la Défense et de la Sécurité nationale et à l’Agence nationale de la sécurité des systèmes d’information, qui en assurent l’analyse et la synthèse au niveau national.

« IV. – Un décret en Conseil d’État précise les modalités de mise en œuvre et de protection des données. »

Le chapitre II du titre III du livre III de la première partie du code de la défense est complété par une section IV ainsi rédigée :

« Section 4 – Base industrielle de sécurité nationale

« Art. L. 1332‑23. – La Base industrielle de sécurité nationale (BISN) désigne l’ensemble structuré d’acteurs industriels, technologiques et de recherche, essentiels à la protection, à la résilience et au fonctionnement des activités d’importance vitale et des infrastructures critiques. Elle opère en complémentarité avec la Base industrielle et technologique de défense (BITD).

« Art. L. 1332‑24. – Un comité stratégique de la BISN, placé sous la coordination du SGDSN, associe l’Agence nationale de la sécurité des systèmes d’information (ANSSI), la Direction interministérielle du numérique (DINUM), les ministères compétents, les Instances représentatives des collectivités territoriales et les représentants industriels. Il arrête une feuille de route pluriannuelle identifiant les capacités critiques à consolider et les dépendances à réduire.

« Art. L. 1332‑25. – L’État met en œuvre, dans le respect du droit de l’Union européenne, des mesures de soutien et de protection des savoir‑faire au bénéfice des acteurs de la BISN, incluant notamment :

« 1° Le recours à des procédures adaptées de commande publique lorsque la protection des intérêts essentiels de l’État le justifie ;

« 2° Des dispositifs d’accompagnement à la certification et à la mise à l’échelle de solutions de sécurité ;

« 3° La sécurisation des chaînes d’approvisionnement critiques ;

« 4° La conclusion d’accords‑cadres de préparation et de réponse aux crises. »

Compléter l’alinéa 3 par les mots :

« , ainsi que la centralisation et la synthétisation des études, données et analyses relatives aux menaces et risques cyber ».

La section 3 du chapitre I^er du titre III du livre VII du code de la sécurité intérieure est ainsi modifiée :

I. – Le I de l’article L. 731‑3 est ainsi modifié :

1° À la seconde phrase du premier alinéa, après le mot : « connus », sont insérés les mots : « y compris le risque d’incident informatique ayant un impact important sur la fourniture des services à la population, » ;

2° Après le 7°, il est inséré un 8° ainsi rédigé :

« 8° Assurant des activités de service public dont la continuité est susceptible d’être perturbée par des incidents informatiques, et dont la liste est déterminée par décret en Conseil d’État. »

II. – À l’article L. 731‑5, après le mot : « sauvegarde », sont insérés les mots : « , notamment pour prendre en compte le risque d’incident informatique, ».

III. – Les dispositions du présent article entrent en vigueur à l’occasion de l’actualisation du plan communal ou, au plus tard, à la date de sa révision.

Sous l’autorité du Premier ministre, le Secrétariat général de la Défense et de la Sécurité nationale et l’Agence nationale de la sécurité des systèmes d’information organisent la coordination opérationnelle des réserves et viviers de compétences en matière de cybersécurité et de résilience numérique, pour la prévention et la gestion des incidents majeurs.

Cette coordination s’effectue en articulation avec la réserve militaire, dont la réserve opérationnelle de la gendarmerie nationale, prévue aux articles L. 4211‑1 et suivants du code de la défense, et avec la réserve opérationnelle de la police nationale prévue aux articles L. 411‑7 et suivants du code de la sécurité intérieure.

Un décret précise les modalités d’interopérabilité, de confidentialité et de mobilisation, notamment la tenue d’un annuaire sécurisé, les conditions d’habilitation et les garanties de protection des données. 

Les collectivités territoriales et leurs établissements publics peuvent conclure des conventions de coopération afin de mutualiser leurs moyens en matière de cybersécurité. Ces conventions peuvent prévoir la mise en commun d’expertises, la mutualisation d’équipements, ainsi que la mise à disposition de personnels qualifiés en cybersécurité. Elles peuvent être conclues entre collectivités d’un même territoire ou à l’échelle régionale en lien avec les centres de réponse aux incidents de sécurité informatique. 

Compléter l’alinéa 3 par les mots :

« précisant le rôle et les compétences de chacun des organismes et autorités ».

Après l’alinéa 4, insérer l’alinéa suivant :

« 3° bis Les modalités de soutien à la recherche en cybersécurité ; ».

À l’alinéa 5, après le mot :

« cybersécurité »,

insérer les mots :

« et de dépendance numérique ».

Compléter l’alinéa 6 par les mots : 

« notamment en termes de commande publique ; ».

Compléter l’alinéa 6 par les mots : 

« notamment en termes de commande publique ; ».

Compléter l’alinéa 6 par les mots :

« permettant un soutien renforcé aux entreprises nationales et européennes du secteur ; ».

Compléter l’alinéa 6 par les mots :

« permettant un soutien renforcé aux entreprises nationales et européennes du secteur ; ».

Après l’alinéa 6, insérer les quatre alinéas suivants :

« 4° ter Un plan de financement de la formation et de la recherche en matière de cyber sécurité ;

« 4° quater Un plan permettant de financer une véritable doctrine de l’autonomie technologique maximale en matière de renseignement et de cyberdéfense, en faisant du recours à des technologies extra- européennes une exception devant être motivée ;

« 4° quinquies Une évaluation du coût de notre dépendance aux solutions numériques extra-européennes ;

« 4°sexies Une évaluation fine de l’externalisation des services numériques au sens large et du recours aux prestations intellectuelles informatiques par l’État, les organismes publics et les collectivités territoriales ; ».

Après l’alinéa 6, insérer l’alinéa suivant :

« 4° ter Les perspectives de coopération à l’échelle européenne propres à renforcer l’autonomie stratégique de l’Europe ; ».

Après l’alinéa 9, insérer l’alinéa suivant :

« 5° quater Une étude sur le développement d’un système de stockage de données souverain dont les opérations, de l’hébergement à la gestion des données, seraient réalisées en France par l’intermédiaire d’une entreprise française sous juridiction française ; ».

Compléter l’alinéa 10 par les mots :

« et d’autonomie stratégique numérique ».

Après l’alinéa 10, insérer l’alinéa suivant :

« 7° Une déclinaison des objectifs cités au 1° par ministère ; ».

Après l’alinéa 10, insérer l’alinéa suivant : 

« 7° Un volet sur la désignation d’un point de contact au niveau national ou régional, fournissant soit des orientations et une assistance aux petites et moyennes entreprises, soit en les orientant vers les organismes appropriés pour leur fournir des orientations et une assistance en ce qui concerne les questions liées à la cybersécurité. »

Après l’alinéa 10, insérer l’alinéa suivant : 

« 7° Un volet dédié aux petites et moyennes entreprises précisant les modalités d’accompagnement, notamment financiers, pour faire face aux enjeux de sensibilisation, au manque de sécurité informatique à distance et au coût élevé des solutions de cybersécurité et à l’accroissement des menaces ou encore, à l’accès des services tels que la configuration de sites internet et la journalisation. »

Après l’alinéa 10, insérer l’alinéa suivant : 

« 7° Un volet sur la gestion des vulnérabilités, incluant la promotion et la facilitation de la divulgation coordonnée des vulnérabilités. »

À l’alinéa 11, après le mot :

« cybersécurité »,

insérer les mots : 

« fait l’objet d’une mise en œuvre territorialisée. Elle ».

Compléter la première phrase de l’alinéa 12 par les mots :

« et de souveraineté numérique ».

Compléter l’alinéa 12 par la phrase :

« Ce rapport intègre une analyse du niveau d’exposition des opérateurs d’importance vitale et des entités essentielles et importantes aux technologies non-européennes, des efforts de relocalisation engagés, de l’évolution du tissu industriel européen dans les secteurs critiques. »

Compléter l’alinéa 12 par la phrase :

« Ce rapport intègre une analyse du niveau d’exposition des opérateurs d’importance vitale et des entités essentielles et importantes aux technologies non-européennes, des efforts de relocalisation engagés, de l’évolution du tissu industriel européen dans les secteurs critiques. »

Le code des impositions sur les biens et services est ainsi modifié :

1° À l’article L. 453‑66, le montant : « 25 millions d’euros » est remplacé par le montant : « 5,5 millions d’euros »;

2° Au 2° de l’article L. 453‑70, le taux : « 3 % » est remplacé par le taux : « 5 % ».

Après l’alinéa 7, insérer l’alinéa suivant :

« 5˚ bis Résilience : la capacité à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir rapidement ; ».

Compléter cet article par l’alinéa suivant :

« 9° Approche « tous risques » : Approche qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre des événements tels que le vol, les incendies, les inondations, une défaillance des télécommunications ou une défaillance électrique, ou contre tout accès physique non autorisé et toute atteinte aux informations détenues par l’entité essentielle ou importante et aux installations de traitement de l’information de l’entité, ou toute interférence avec ces informations et installations, susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et systèmes d’information ou accessibles par ceux-ci. »

Après l’alinéa 11, insérer l’alinéa suivant :

« 11° Des câbles sous-marins et de leurs opérateurs. »

I. – Après l’alinéa 11, insérer l’alinéa suivant :

« 11° De la production, de la transformation et de la distribution des denrées alimentaires. »

II. – En conséquence, supprimer l’alinéa 16.

I. – Après l’alinéa 11, insérer l’alinéa suivant :

« 11° De l’enseignement supérieur et de la recherche ; ».

II. – En conséquence, supprimer l’alinéa 19.

Après l’alinéa 11, insérer l’alinéa suivant :

« 11° Des satellites et de leurs opérateurs. »

Après l’alinéa 19, insérer l’alinéa suivant :

« 8° De l’éducation. »

À l’alinéa 2, après le mot :

« critiques »,

supprimer la fin de l’alinéa.

À l’alinéa 2 :

1° Substituer au mot :

« ou » ,

le mot : 

« et ».

2° Substituer au mot :

« et »,

le mot : 

« ou ».

À l’alinéa 2 :

1° Substituer au mot :

« ou » ,

le mot : 

« et ».

2° Substituer au mot :

« et »,

le mot : 

« ou ».

À l’alinéa 4, après le mot :

« électroniques »,

supprimer la fin de l’alinéa.

À l’alinéa 10, supprimer les mots :

« , d’une population supérieure à 30 000 habitants ».

I. – À l’alinéa 2, substituer à la seconde occurrence du mot :

« ou »,

le mot :

« et » ;

II. – Au même alinéa, substituer à la seconde occurrence du mot :

« et »,

le mot :

« ou ».

Après l’alinéa 2, insérer l’alinéa suivant : 

« 1° bis Les opérateurs de l’audiovisuel public ; ».

À l’alinéa 5, après les mots : 

« communautés de communes »,

insérer les mots :

« de 30 000 habitants et plus ».

À l’alinéa 5, après les mots : 

« communautés de communes »,

insérer les mots :

« de 30 000 habitants et plus ».

À l’alinéa 5, après les mots : 

« communautés de communes »,

insérer les mots :

« de 20 000 habitants et plus ».

À l’alinéa 5, après les mots : 

« communautés de communes »,

insérer les mots :

« de 20 000 habitants et plus ».

I. – Le I de l’article L. 1615‑1 du code général des collectivités territoriales est complété par un 4° ainsi rédigé :

« 4° les prestations de services et biens nécessaires aux politiques et normes de cybersécurité telles qu’elles résulte de la loi n° XXX du XXX 2025 relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité. »

II. – La perte de recettes pour l’État est compensée, à due concurrence, par la création d’une taxe additionnelle à la taxe sur les services numériques prévue aux les articles L. 453‑55 et suivants du code des impositions sur les biens et services.

Compléter cet article par l’alinéa suivant :

« L’arrêté du Premier ministre pris en application du dispositif prévu aux alinéas précédents doit prévoir une date d’entrée en vigueur de ses dispositions au plus tard 6 mois à compter du jour de sa publication. »

Compléter cet article par l’alinéa suivant :

« L’arrêté du Premier ministre pris en application du dispositif prévu aux alinéas précédents doit prévoir une date d’entrée en vigueur de ses dispositions au plus tard 4 mois à compter du jour de sa publication. »

Compléter cet article par l’alinéa suivant :

« L’arrêté du Premier ministre pris en application du dispositif prévu aux alinéas précédents doit prévoir une date d’entrée en vigueur de ses dispositions au plus tard 3 mois à compter du jour de sa publication. »

I. – À la fin de l’alinéa 6, substituer aux mots : 

« ils ont désigné un représentant établi sur le territoire national. » 

les mots : 

« ils sont établis de façon effective sur le territoire national. »

II. – En conséquence, au début de l’alinéa 10, substituer aux mots : 

« Ou ceux qui ont désigné un représentant établi sur le territoire national » 

les mots : 

« Ou ceux qui sont établis de façon effective sur le territoire national ».

À l’alinéa 1, supprimer le mot :

« deux ».

Après l’alinéa 1, insérer l’alinéa suivant : 

« Les entités régulées sont informées de leur ajout à la liste des entités essentielles ou importantes. »

Compléter cet article par l’alinéa suivant :

« Dans les trois ans après la promulgation de la présente loi, l’État identifie et sensibilise les entités concernées dans des conditions précisées par décret. »

Compléter cet article par l’alinéa suivant :

« Tous les deux ans, l’autorité nationale de sécurité des systèmes d’information publie et actualise des lignes directrices d’analyse des différentes réglementations européennes permettant de hiérarchiser le degré d’exigence de chacune pour les entités concernées. »

Compléter l’alinéa 2 par les mots :

« , en fonction de leur degré d’exposition ; ».

Compléter l’alinéa 2 par les mots : 

« et aux enjeux de souveraineté numérique ».

Compléter l’alinéa 2 par la phrase :

« Le choix d’une solution logicielle dont le code source n’est pas accessible ou vérifiable, et lorsqu’elle concerne un système d’information critique, fait l’objet d’une analyse de risques spécifique, documentée et présentée aux organes de direction évaluant la dépendance vis-à-vis du fournisseur, les limitations en matière d’audit de sécurité et les stratégies de réversibilité à brève échéance. »

À l’alinéa 3, après le mot :

« protection »,

insérer les mots :

« et la résilience ».

I. – Compléter l’alinéa 4 par les mots : 

« et la transparence ainsi que la capacité des technologies utilisées à être auditées afin de faciliter l’investigation et la résolution desdits incidents ».

II. – En conséquence au même alinéas, substituer à la dernière occurrence du mot :

« et »,

le signe :

« , ».

Compléter l’alinéa 5 par les mots : 

« notamment en adoptant des solutions immunes à l’extraterritorialité de droits extra européens ».

Compléter l’alinéa 5 par les mots : 

« notamment en adoptant des solutions immunes à l’extraterritorialité de droits d’États extra-européens. »

Compléter l’alinéa 5 par les mots : 

« , en favorisant la libre intégration et l’interopérabilité des technologies et protocoles utilisés, ainsi que la portabilité des données ».

Après l’alinéa 5, insérer l’alinéa suivant :

« 5° Garantir les impératifs de souveraineté, de sécurité nationale, d’autonomie stratégique et de protection des réseaux contre les ingérences étrangères et les législations à portée extraterritoriale. »

Après l’alinéa 5, insérer l'alinéa suivant :

« Les communes, les établissements publics de coopération intercommunale à fiscalité propre et leurs établissements publics administratifs visés aux articles 8 et 9 disposent d’un délai maximum de 5 ans pour se mettre en conformité avec le présent titre II. »

I. – À l’alinéa 7, substituer aux mots :

« peut prescrire »,

les mots :

« prescrit prioritairement ».

II. – Compléter l’alinéa 7 par les mots :

« , subsidiairement par l’autorité désignée à l’article 5 de la loi n°   , dans le cadre des ses missions définies par décret en Conseil d’État. »

Compléter l’alinéa 7 par les mots : 

« , après réalisation d’une étude des risques de dépendance stratégique liés au choix de ces produits, services ou processus. »

Après l’alinéa 7, insérer les trois alinéas suivants :

« Ces produits, services ou processus certifiés doivent remplir les conditions suivantes :

« 1° Le siège statutaire, administration centrale et principal établissement de la société dont émanent les produits, services ou processus certifiés en cause doivent être établis au sein d’un État membre de l’Union européenne ;

« 2° Le capital social et les droits de vote dans la société dont émanent les produits, services ou processus certifiés en cause ne doivent pas être, directement ou indirectement, individuellement détenus à plus de 24 %, et collectivement détenus à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne. »

Après l’alinéa 7, insérer les trois alinéas suivants :

« Ces produits, services ou processus certifiés doivent remplir les conditions suivantes :

« 1° Le siège statutaire, administration centrale et principal établissement de la société dont émanent les produits, services ou processus certifiés en cause doivent être établis au sein d’un État membre de l’Union européenne ;

« 2° Le capital social et les droits de vote dans la société dont émanent les produits, services ou processus certifiés en cause ne doivent pas être, directement ou indirectement, individuellement détenus à plus de 24 %, et collectivement détenus à plus de 39 %, par des entités tierces possédant leur siège statutaire, administration centrale ou principal établissement au sein d’un État non membre de l’Union européenne. »

Après l’alinéa 7, insérer l’alinéa suivant :

« Il veille en outre à ce que lesdits produits, services ou processus puissent faire l’objet d’un audit et répondent à des critères de transparence. Une priorité est donnée aux solutions présentant le plus haut niveau de transparence, d’ouverture et de réversibilité. »

I – Compléter cet article par les trois alinéas suivants :

« Les entreprises désignées comme entités essentielles ou entités importantes peuvent bénéficier d’un crédit d’impôt égal à 30 % des sommes consacrées à des dépenses d’audit de cybersécurité et à des dépenses d’acquisition, de souscription ou de maintenance d’un produit ou service de cybersécurité.

« Le prestataire privé en charge de cette mise en conformité des entités doit répondre à des critères garantissant la protection des données traitées ou stockées contre tout accès par des autorités publiques d’États tiers non autorisés par le droit de l’Union européenne ou d’un État membre. »

II. – La perte de recettes pour l’État est compensée à due concurrence par la création d’une taxe additionnelle aux droits prévus aux articles 575 et 575 A du code général des impôts.

Le chapitre I^er du titre II du livre III de la partie II du code de la défense est complété par un article L. 2321‑12 ainsi rédigé :

« Art. L 2321‑12 (nouveau). – I. – Une force opérationnelle inter‑agences est instituée afin de coordonner, à l’échelle nationale, la veille, l’analyse, la sécurisation et la régulation des modèles d’intelligence artificielle dits fondationnels.

« II. – Cette force opérationnelle est placée sous la coordination du Secrétariat général de la défense et de la sécurité nationale. Elle associe notamment l’ANSSI, la CNIL, l’ARCOM, l’Inria, la DINUM, Viginum, ainsi que les services judiciaires et tout autre organisme désigné par décret.

« III. – La force opérationnelle peut recommander des protocoles de sécurité, des mécanismes d’audit, des obligations de transparence technique, ou encore des règles d’usage pour les services publics et les opérateurs d’importance vitale.

« IV. – Un rapport public annuel présente ses travaux et recommandations, transmis au Parlement et au Premier ministre. »

I. – Les entités mentionnées au titre II de la loi n°XX du XX relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes : 

1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information ;

2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts, sauf lorsque la prestation est assurée par un opérateur interne appartenant au même groupe que l’entité requérante. 

II. – À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au I, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. 

Afin de préserver la sécurité et l’indépendance de leurs systèmes d’information, les administrations publiques mentionnées aux alinéas 8 à 16 de l’article 8 du présent projet de loi utilisent en priorité des logiciels libres et des services de l’informatique en nuage réversibles.

La mise en œuvre par l’administration d’un logiciel non libre ou d’un service de l’informatique en nuage non réversible n’est autorisée que lorsque l’évaluation comparative de nature technique et économique démontre qu’il est impossible d’accéder à des solutions libres ou à des solutions déjà développées au sein de l’administration publique équivalentes en matière de fonctionnalités, de coût total et de cybersécurité. L’évaluation visée au présent paragraphe est effectuée conformément aux procédures et aux critères définis par la direction interministérielle du numérique, qui, à la demande des parties intéressées, émet également un avis sur leur conformité.

La direction interministérielle du numérique développe une stratégie pour l’utilisation, le développement et la commande de logiciels libres au sein de l’administration publique.

Dans le cadre de la mise en œuvre des obligations relatives à la cybersécurité des entités essentielles et importantes, les prestataires de services, y compris les hébergeurs de données, établis dans un pays tiers peuvent être sollicités à condition que :

1° Le pays tiers en question soit lié à l’Union européenne par un accord de commerce et de coopération comprenant des engagements explicites en matière de protection des données et de cybersécurité ;

2° L’entreprise concernée s’engage contractuellement à respecter les obligations issues du droit européen en matière de cybersécurité, notamment celles prévues par la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union et le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) ;

3° Cette conformité fasse l’objet d’un audit régulier par une autorité compétente désignée par décret.

La liste des pays et catégories de prestataires concernés est fixée par décret en Conseil d’État, après avis de la Commission nationale de l'informatique et des libertés et de l’Agence nationale de la sécurité des systèmes d'information.

Les fournisseurs de services d’informatique en nuage et les personnes qui y recourent pour des services essentiels mettent en œuvre des mesures garantissant la réversibilité et la portabilité des données et des services.

À ce titre, ils doivent :

1° Établir et tenir à jour un plan de réversibilité précisant les conditions techniques et contractuelles permettant la migration vers un autre environnement ;

2° Prévoir des mécanismes documentés d’export et de reconstitution des données et configurations, sans dépendances exclusives ;

3° Garantir l’accès aux journaux et métadonnées nécessaires à la reconstitution de service ;

4° Assurer que les sauvegardes critiques ne sont pas exclusivement sous le contrôle d’un seul prestataire.

Les modalités d’application du présent article sont précisées par décret ou référentiel de sécurité. 

Chaque communauté de communes désigne un responsable de la sécurité des systèmes d’information chargé de définir, mettre en œuvre et superviser la politique de cybersécurité de l’établissement public. Le responsable peut être mutualisé entre plusieurs collectivités territoriales, sous réserve d’une convention de coopération.

Les communautés de communes désignent un référent en cybersécurité, chargé de coordonner les actions de prévention, de sensibilisation et de réponse aux incidents numériques. Ce référent peut être mutualisé entre plusieurs collectivités territoriales.

Les entités essentielles et importantes sont tenues de réaliser un audit complet de cybersécurité au moins une fois tous les quatre ans, effectué par un organisme qualifié.

L’Agence nationale de la sécurité des systèmes d’information peut demander la transmission des résultats de ces audits.

En cas de non-conformité ou de déficiences en matière de sécurité, l’Agence nationale de la sécurité des systèmes d’information peut adresser à l’entité concernée un avis de mise en conformité, fixant un délai pour régulariser la situation. Si les déficiences persistent au-delà du délai imparti, l’Agence nationale de la sécurité des systèmes d’information peut exiger la présentation d’un plan de correction approprié et la preuve de sa mise en œuvre.

Les administrations définies aux alinéas 8 à 16 de l’article 8 ne peuvent utiliser de solutions logicielles ayant recours à des transferts de données personnelles vers des pays tiers dont le niveau de protection des droits fondamentaux en ligne n’est pas considéré comme conforme aux exigences prévues par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Rédiger ainsi cet article :

« La mise en œuvre par les personnes mentionnées à l’article 14 de la loi n° des exigences des référentiels mentionnées au sixième alinéa du même article 14 vaut présomption, sauf preuve contraire, de la mise en œuvre du niveau de sécurité adapté et proportionné aux objectifs mentionnés au même alinéa du même article. »

À l’alinéa 1, après le mot :

« d’information »,

insérer les mots :

« ou publié par l’Agence de l’Union européenne pour la cybersécurité ».

Après l’alinéa 3, insérer l’alinéa suivant :

« Les entités essentielles et importantes mettent en œuvre les exigences du référentiel mentionnées à l’article 14 ainsi que les exigences spécifiques fixées par le Premier ministre en matière de mise en œuvre de systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information. »

Après l’alinéa 3, insérer l’alinéa suivant :

« Les entités essentielles et importantes mettent en œuvre les exigences du référentiel mentionnées à l’article 14 ainsi que les exigences spécifiques fixées par le Premier ministre en matière de mise en œuvre de systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information. »

À la deuxième phrase de l’alinéa 4, après le mot : 

« indépendants », 

insérer les mots : 

« dont le siège statutaire, administration centrale et principal établissement sont situés sur le territoire national ».

À la deuxième phrase de l’alinéa 4, après le mot : 

« indépendants », 

insérer les mots : 

« dont le siège statutaire, administration centrale et principal établissement sont situés dans un État membre de l’Union européenne. »

Compléter l’alinéa 4 par la phrase :

« L’autorité nationale de la sécurité des systèmes d’information veille à ce que les processus de certification, de qualification et d’agrément soient fondés sur des critères techniques objectifs, transparents et non-discriminatoires, afin de garantir leur accessibilité aux logiciels libres et aux solutions proposées par les petites et moyennes entreprises innovantes. »

Compléter cet article par l’alinéa suivant :

« Les exigences spécifiques mentionnées à l’alinéa 2 peuvent prescrire que les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information. Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service qualifiés en matière de sécurité de systèmes d’information, par l’Autorité nationale de sécurité des systèmes d’information ou par d’autres services de l’État désignés par le Premier ministre. Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont délivrées par le Premier ministre. »

Compléter cet article par l’alinéa suivant :

« Les exigences spécifiques mentionnées à l’alinéa 2 peuvent prescrire que les opérateurs mettent en œuvre des systèmes qualifiés de détection des événements susceptibles d’affecter la sécurité de leurs systèmes d’information. Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service qualifiés en matière de sécurité de systèmes d’information, par l’Autorité nationale de sécurité des systèmes d’information ou par d’autres services de l’État désignés par le Premier ministre. Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont délivrées par le Premier ministre. »

Supprimer cet article. 

Rédiger ainsi cet article :

« La protection de la sécurité des systèmes d’information, en particulier au moyen du chiffrement des communications électroniques, est d’intérêt général majeur.

Le Gouvernement remet au Parlement, dans un délai de douze mois à compter de la promulgation de la présente loi, un rapport présentant les résultats d’un travail approfondi et interdisciplinaire visant à évaluer les enjeux techniques, juridiques et opérationnels liés à l’accès aux contenus chiffrés dans le cadre des politiques publiques de sécurité et de justice. »

Substituer au mot :

« chiffrement » 

le mot :

« cryptographie ».

I. – À l’alinéa 3, supprimer les mots : 

« ou est susceptible de causer ».

II. – À l’alinéa 4, supprimer les mots : 

« ou est susceptible d’affecter ».

Après l’alinéa 4, insérer l’alinéa suivant :

« Pour les personnes mentionnées à l’alinéa 8 de l’article 14, par dérogation à l’alinéa 2, l’alinéa 3 et l’alinéa 4 du présent article 17, l’application des critères permettant de qualifier un incident d’important s’effectue conformément aux dispositions prévues par le règlement d’exécution (UE) 2024/2690 de la Commission, qui précise plus en détail les cas dans lesquels un incident devrait être considéré comme important au sens de l’article 23, paragraphe 3 de la directive (UE) 2022/2555. »

Substituer à l’alinéa 18 les cinq alinéas suivants :

« L’autorité nationale de sécurité des systèmes d’information opère le guichet unique de déclaration de tout incident mentionné au premier alinéa. Elle transmet sans délai aux administrations concernées selon les obligations légales des personnes mentionnées à l’article 14 de la loi n° les notifications prévues aux sixième, septième, neuvième et dixième alinéas.

« En particulier, lorsque la notification est réalisée par l’entité assujettie au guichet unique de déclaration prévu ci-dessus, l’autorité nationale de sécurité des systèmes d’information a la charge :

« – de transmettre aux autorités compétentes les déclarations des incident majeurs prévus à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier;

« – de transmettre à l’autorité de contrôle visée à l’article 55 ou 56 du règlement (UE) 2016/679 (la Commission Nationale de l’Informatique et des Libertés) les notifications des violations de données personnelles prévues aux articles 33 et 34 du règlement (UE) 2016/679 du 27 avril 2016 et 83-II de la Loi n° 78‑17 du 6 janvier 1978.

« Dans tous les cas, les délais impartis pour ces notifications prévus par les législations applicables sont considérés comme satisfaits si la notification est réalisée dans les délais impartis auprès du guichet unique de déclaration prévu ci-dessus. »

L’article 323‑1 du code pénal est complété par six alinéas ainsi rédigés : 

« Le présent article ne s’applique pas lorsque l’accès à un système de traitement automatisé de données résulte d’une volonté d’identifier et de signaler une vulnérabilité, et s’exerce de bonne foi. La bonne foi est reconnue dès lors que les conditions suivantes sont cumulativement réunies :

« 1° Absence d’intention de nuire et de volonté d’obtenir un avantage indu ;

« 2° Intervention strictement limitée et proportionnée à la recherche de la vulnérabilité ;

« 3° Notification sans délai de la vulnérabilité au point de contact issu d’une politique de divulgation de vulnérabilité ou, à défaut, à l’Agence nationale de sécurité des systèmes d’information dans les conditions prévues à l’article L2321‑4 du code de la défense ;

« 4° La vulnérabilité est susceptible d’impacter la sécurité du citoyen, la sécurité nationale ou à la sécurité du consommateur ;

« À toutes les étapes de la recherche de la vulnérabilité, la personne qui recherche une vulnérabilité dans le respect des conditions du précédent alinéa, peut se tourner vers le Défenseur des droits afin de bénéficier d’un accompagnement dans le processus de signalement. »

Après l’article 323‑1 du code pénal, il est inséré un article 323‑1-1 ainsi rédigé : 

« Art. 323‑1-1. – Les personnes, de bonne foi et sans contrepartie financière, qui procèdent au signalement d’une vulnérabilité affectant un système d’information peuvent se prévaloir des protections applicables aux lanceurs d’alerte, lorsqu’elles respectent les conditions prévues par les articles 6 et suivants de la loi n° 2016‑1691 du 9 décembre 2016 relative à la transparence, à la lutte contre la corruption et à la modernisation de la vie économique. »

Compléter l’alinéa 1 par les mots :

« y compris les données du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire, notamment en cas de recours à des services permettant l’anonymisation des données d’enregistrement ».

Compléter l’alinéa 1 par les mots :

« y compris les données du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire, notamment en cas de recours à des services permettant l’anonymisation des données d’enregistrement ».

Compléter l’alinéa 1 par les mots :

« y compris les données du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire, notamment en cas de recours à des services permettant l’anonymisation des données d’enregistrement ».

I. – Après l’alinéa 2, insérer les cinq alinéas suivants :

« La base des données d’enregistrement des noms de domaine comprend les informations suivantes :

« a) le nom de domaine ;

« b) la date d’enregistrement ;

« c) le nom du titulaire, l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de le contacter ;

« d) l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de contacter les points de contact associés au nom de domaine, si ces coordonnées sont différentes de celles du titulaire. ».

II. – En conséquence, à l’alinéa 3, substituer aux mots :

« la liste des données »,

les mots :

« , le cas échéant, la liste des données complémentaires ».

I. – Après l’alinéa 2, insérer les cinq alinéas suivants :

« La base des données d’enregistrement des noms de domaine comprend les informations suivantes :

« a) le nom de domaine ;

« b) la date d’enregistrement ;

« c) le nom du titulaire, l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de le contacter ;

« d) l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de contacter les points de contact associés au nom de domaine, si ces coordonnées sont différentes de celles du titulaire. ».

II. – En conséquence, à l’alinéa 3, substituer aux mots :

« la liste des données »,

les mots :

« , le cas échéant, la liste des données complémentaires ».

I. – Après l’alinéa 2, insérer les cinq alinéas suivants :

« La base des données d’enregistrement des noms de domaine comprend les informations suivantes :

« a) le nom de domaine ;

« b) la date d’enregistrement ;

« c) le nom du titulaire, l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de le contacter ;

« d) l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de contacter les points de contact associés au nom de domaine, si ces coordonnées sont différentes de celles du titulaire. ».

II. – En conséquence, à l’alinéa 3, substituer aux mots :

« la liste des données »,

les mots :

« , le cas échéant, la liste des données complémentaires ».

I. – Après l’alinéa 2, insérer les cinq alinéas suivants :

« La base des données d’enregistrement des noms de domaine comprend les informations suivantes :

« a) le nom de domaine ;

« b) la date d’enregistrement ;

« c) le nom du titulaire, l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de le contacter ;

« d) l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de contacter les points de contact associés au nom de domaine, si ces coordonnées sont différentes de celles du titulaire. ».

II. – En conséquence, à l’alinéa 3, substituer aux mots :

« la liste des données »,

les mots :

« , le cas échéant, la liste des données complémentaires ».

I. – Après l’alinéa 2, insérer les cinq alinéas suivants :

« La base des données d’enregistrement des noms de domaine comprend les informations suivantes :

« a) le nom de domaine ;

« b) la date d’enregistrement ;

« c) le nom du titulaire, l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de le contacter ;

« d) l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de contacter les points de contact associés au nom de domaine, si ces coordonnées sont différentes de celles du titulaire. ».

II. – En conséquence, à l’alinéa 3, substituer aux mots :

« la liste des données »,

les mots :

« , le cas échéant, la liste des données complémentaires ».

Compléter l'alinéa 3 par les mots :

« et précise les procédures de vérification des données d’enregistrement des noms de domaine. »

Compléter l’alinéa 3 par les mots :

« et précise les procédures de vérification des données d’enregistrement des noms de domaine. »

Compléter l’alinéa 3 par les mots :

« et précise les procédures de vérification des données d’enregistrement des noms de domaine. »

Compléter cet article par l’alinéa suivant :

« Les données mentionnées à l’alinéa précédent sont conservées dans un système de sauvegarde sécurisé pour une durée de dix ans aux seules fins de répondre à une demande émanant de l’autorité judiciaire dans le cadre d’une procédure pénale ou de permettre à l’autorité nationale de sécurité des systèmes d’information d’identifier l’origine d’un incident de cybersécurité ou d’assurer la résilience des réseaux. Ce dispositif de conservation prolongée est soumis à des conditions strictes d’accès, de traçabilité et de protection des données, dans le respect des droits fondamentaux. »

I. – Après l’alinéa 1, insérer l’alinéa suivant :

« Afin de permettre la détection de faits et de circonstances caractérisant une violation de droits consacrés par le code de la propriété intellectuelle susceptible d’une qualification pénale, les agents mentionnés à l’article L. 331‑2 dudit code et les auxiliaires de justice qualifiés par la loi à dresser des procès-verbaux constatant ces faits et circonstances peuvent obtenir des offices et bureaux d’enregistrement, sur production des constats effectués, les données mentionnées à l’article 20. »

II. – En conséquence, à la fin de la première phrase de l’alinéa 2, substituer aux mots :

« au premier alinéa »,

les mots :

« aux premier et deuxième alinéas ».

I. – Après l’alinéa 1, insérer l’alinéa suivant :

« Afin de permettre la détection de faits et de circonstances caractérisant une violation de droits consacrés par le code de la propriété intellectuelle susceptible d’une qualification pénale, les agents mentionnés à l’article L. 331‑2 dudit code et les auxiliaires de justice qualifiés par la loi à dresser des procès-verbaux constatant ces faits et circonstances peuvent obtenir des offices et bureaux d’enregistrement, sur production des constats effectués, les données mentionnées à l’article 20. »

II. – En conséquence, à la fin de la première phrase de l’alinéa 2, substituer aux mots :

« au premier alinéa »,

les mots :

« aux premier et deuxième alinéas ».

I. – Après l’alinéa 1, insérer l’alinéa suivant :

« Afin de permettre la détection de faits et de circonstances caractérisant une violation de droits consacrés par le code de la propriété intellectuelle susceptible d’une qualification pénale, les agents mentionnés à l’article L. 331‑2 dudit code et les auxiliaires de justice qualifiés par la loi à dresser des procès-verbaux constatant ces faits et circonstances peuvent obtenir des offices et bureaux d’enregistrement, sur production des constats effectués, les données mentionnées à l’article 20. »

II. – En conséquence, à la fin de la première phrase de l’alinéa 2, substituer aux mots :

« au premier alinéa »

les mots :

« aux premier et deuxième alinéas ».

À la fin de l’alinéa 2, substituer aux mots : 

« la sécurité et les intérêts commerciaux des entités concernées » 

les mots : 

« les secrets protégés par la loi ».

À l’alinéa 3, après les mots : 

« d’informations »,

insérer les mots : 

« notamment dans des conditions garantissant l’immunité à des lois extraterritoriales d’États extra européens. »

Après la seconde phrase de l’alinéa 1, insérer la phrase suivante :

« Les informations échangées se limitent au minimum nécessaire et sont proportionnées à l’objectif du partage. »

Rédiger ainsi l’alinéa 2 : 

« Les relais mentionnés au présent article peuvent être agréés pour assurer, en plus de leurs missions, la délivrance du label de confiance mentionné à l’article 15. Les modalités d’application du présent article, notamment les modalités de dépôt et d’examen des demandes d’agrément des organismes mentionnés au premier alinéa, ainsi que les modalités de contrôle et d’évaluation de ces relais pour la mission mentionnée au présent alinéa, sont déterminées par décret en Conseil d’État. »

Les entités essentielles et importantes ainsi que, le cas échéant, leurs fournisseurs ou prestataires de services peuvent échanger entre eux, à titre volontaire, au sein de communautés, des informations pertinentes en matière de cybersécurité, y compris des informations relatives aux cybermenaces, aux incidents évités ou non, aux vulnérabilités, aux techniques et procédures, aux indicateurs de compromission, aux tactiques, techniques et procédures adverses, ainsi que des informations spécifiques sur les acteurs de la menace, des alertes de cybersécurité et des recommandations concernant la configuration des outils de cybersécurité pour détecter les cyberattaques, lorsque ce partage d’informations :

1° Vise à prévenir et à détecter les incidents, à y réagir, à s’en rétablir ou à atténuer leur impact ;

2° Renforce le niveau de cybersécurité, notamment en sensibilisant aux cybermenaces, en limitant ou en empêchant leur capacité de se propager, en soutenant une série de capacités de défense, en remédiant aux vulnérabilités et en les révélant, en mettant en œuvre des techniques de détection, d’endiguement et de prévention des menaces, des stratégies d’atténuation ou des étapes de réaction et de rétablissement, ou en encourageant la recherche collaborative en matière de cybermenaces entre les entités publiques et privées.

Cet échange est mis en œuvre au moyen d’accords de partage d’informations en matière de cybersécurité, compte tenu de la nature potentiellement sensible des informations partagées.

Les échanges volontaires des informations prévues au premier alinéa peuvent nécessiter le traitement de certaines catégories de données à caractère personnel, telles que les adresses internet protocol, les localisateurs de ressources uniformes, les noms de domaine, les adresses électroniques, les informations compromises ou encore les horodatages lorsqu’ils révèlent des données à caractère personnel.

Ces traitements de données à caractère personnel sont considérés comme nécessaires à des intérêts légitimes poursuivis par des entités essentielles et importantes, ainsi que par leurs fournisseurs ou prestataires de services, conformément à l’article 6, paragraphe 1, point f), du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.

Ces accords de partage d’informations précisent les éléments opérationnels, y compris le recours éventuel à des plateformes de technologies de l'information et de la communication spécialisées et d’outils d’automatisation, le contenu et les conditions, notamment de sécurisation renforcée, de ces partages.

Lorsque des autorités publiques ou les centres de réponse aux attaques informatiques participent à ces accords de partage et mettent à disposition tout ou partie des informations  dont elles disposent, elles respectent les conditions prévues par décret en Conseil d’État.

Les entités essentielles et importantes notifient à l’autorité nationale de sécurité des systèmes d’information sans délai indu leur participation aux accords de partage d’informations en matière de cybersécurité visés au présent article lorsqu’elles concluent de tels accords ou, le cas échéant, lorsqu’elles se retirent de ces accords une fois que le retrait prend effet.

Section 5 Commande publique.

Article 24 bis

L’article L 2172‑3 du code de la commande publique est complété par un alinéa ainsi rédigé : 

« L’acheteur peut passer un marché public sans publicité ni mise en concurrence préalables portant sur des travaux, fournitures ou services innovants et répondant à un besoin dont la valeur estimée est inférieure à 143 000 euros pour les pouvoirs adjudicateurs centraux, à 221 000 euros pour les autres pouvoirs adjudicateurs et à 443 000 euros pour les entités adjudicatrices et les marchés de défense ou de sécurité. »

« Section 5 : Commande publique

Article 24 bis

L’article L-2112‑2 du code de la commande publique est ainsi modifié :

« Après les mots : « à l’innovation », sont insérés les mots : « à la non-soumission aux lois extraterritoriales étrangères » ». 

Afin de prévenir ou de traiter une atteinte à un système d’information, les organismes publics ou privés visés à l’article 24 de la loi n°   sont autorisés à communiquer les informations nécessaires aux entités essentielles ou importantes concernées.

Les informations partagées sont réputées respecter les législations relatives à la protection des données.

Après l’alinéa 1, insérer l’alinéa suivant :

« Pour les très petites entreprises et les petites et moyennes entreprises, telles que définies par la législation européenne, le délai imparti ne peut être inférieur à trois sauf en cas de menace grave et immédiate ».

I- Au début de l’alinéa 1, insérer le mot suivant : 

« Seuls » ;

II- En conséquence, supprimer l’alinéa 7.

Après l’alinéa 7, insérer l’alinéa suivant :

« Les experts mandatés ne peuvent intervenir qu’à titre consultatif, la responsabilité finale de la constatation d’un manquement doit exclusivement relever des agents de l’Agence nationale de la sécurité des systèmes d'information ».

Après l’alinéa 7, insérer l’alinéa suivant :

« Seuls les documents et éléments nécessaires à l’instruction peuvent être enregistrés, retranscrits ou copiés. Tout autre document, ou éléments enregistrés, retranscrits ou recopiés sont supprimés sans délai à partir du moment où il est constaté qu’ils ne sont plus nécessaires à l’instruction. »

Après l’alinéa 7, insérer l’alinéa suivant :

« Lorsque les documents sont soumis au secret professionnel, les agents ne peuvent que les consulter. Ils ne peuvent ni les retranscrire ni les copier. »

À l’alinéa 2, après le mot :

« obstacle », 

insérer les mots : 

« de façon délibérée ».

À l’alinéa 2, après le mot : 

« obstacle », 

insérer les mots : 

« de façon délibérée ».

À l’alinéa 2, après le mot : 

« obstacle », 

insérer le mot : 

« volontairement »

À l’alinéa 2,

1° Après le mot :

« fournissant »,

insérer le mot :

« sciemment » ;

2° Compléter l’alinéa par la phrase :

« Si, et dans la mesure où, il n’est pas possible de fournir toutes les informations en même temps, les informations peuvent être communiquées de manière échelonnée sans autre retard indu. »

Compléter le dernier alinéa par les mots :

« aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs ».

Compléter l’alinéa 4 par les mots :

« aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs. »

Compléter l’alinéa 4 par les mots :

« et dont le siège social se situe dans un État membre de l’Union européenne ».

Compléter l’alinéa 4 par les mots :

« dont le siège statutaire, l’administration centrale et le principal établissement sont situés dans un État membre de l’Union Européenne ; »

Compléter l’alinéa 4 par les mots :

« dont le siège statutaire, l’administration centrale et le principal établissement sont situés dans un État membre de l’Union Européenne » ;

Après l’alinéa 4, insérer l’alinéa suivant :

« Si l’organisme désigné par l’autorité nationale de sécurité de systèmes d’information n’est pas une entreprise dont le siège statutaire, l’administration centrale et le principal établissement sont situés dans un État membre de l’Union Européenne, la personne contrôlée peut demander à ce que l’organisme désigné soit remplacé par un autre remplissant ces critères. »

Compléter l’alinéa 7 par la phrase :

« Ce coût ne s’applique pas aux collectivités territoriales, à leurs groupements et à leurs établissements publics administratifs. »

I. – Après le mot :

« section »

insérer les mots :

« et le calendrier d’application progressif et différencié des mesures de contrôles en fonction du niveau de préparation des entités concernées et du niveau de priorité des exigences de mise en conformité ».

II. – En conséquence, substituer au mot :

« fixées »,

le mot :

« déterminés ».

Après les mots : 

« présente section »,

insérer les mots : 

« notamment les modalités de coordination avec la commission nationale de l’informatique et des libertés. »

Après l’alinéa 9, insérer l’alinéa suivant :

« Par dérogation aux alinéas précédents, lors de son contrôle, l’autorité nationale de sécurité des systèmes d’information peut enjoindre sans délai à la personne contrôlée de prendre toutes les mesures conservatoires nécessaires à faire cesser des manquements susceptibles de porter atteinte aux intérêts fondamentaux de la Nation, à la sécurité nationale, à la continuité des services essentiels ou à la protection des données sensibles. »

Compléter l’alinéa 2 par la phrase :

« La notification fait également mention de cette saisine. »

Compléter cet article par l’alinéa suivant :

« La suspension d’une certification ou d’une autorisation ne peut concerner les services vitaux à la survie de l’entité lorsque cette dernière se trouve être une très petite entreprise ou une petite ou moyenne entreprise – TPE / PME -, sauf en cas de menace grave et immédiate. »

Après l’alinéa 2, insérer l’alinéa suivant :

« 1° bis Un représentant du ministère compétent du secteur d’activité auquel appartient l’entité pour laquelle la commission est saisie ; ».

À l’alinéa 1, après le mot : 

« titre »

insérer les mots suivants :

« ou au plus tard deux ans après l’interdiction ».

I. – À l’alinéa 2, supprimer les mots :

« des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, ».

II. – À l’alinéa 3, supprimer les mots :

« des collectivités territoriales, de leurs groupements et de leurs établissements publics administratifs, ».

III. – Après l’alinéa 4, insérer l’alinéa suivant :

« En cas de manquement aux obligations prévues au présent titre, la commission des sanctions enjoint aux collectivités territoriales de mettre en place un plan de remédiation dans un délai d’une semaine à compter de la constatation du manquement. Si le plan de remédiation n’a pas été mis en place, la commission des sanctions peut prononcer à l’encontre de la collectivité territoriale une amende administrative dont le montant, proportionné à la gravité du manquement, ne peut excéder 10 millions d’euros. ».

Supprimer cet article.

Au premier alinéa de l’article L4121‑3 du code du travail, après les mots : « dans l’organisation du travail », sont insérés les mots : « et dans la sécurisation des outils numériques ».

Au premier alinéa de l’article L4121‑3 du code du travail, après les mots : « dans l’organisation du travail », sont insérés les mots : « et dans la sécurisation des outils numériques ».

I. – La section II du chapitre IV du titre premier de la première partie du livre premier du code général des impôts est complétée par un article 244 quater Z ainsi rédigé :

« Art. 244 quater Z. – I. – Les entreprises imposées d’après leur bénéfice réel, dont le siège statutaire, l’administration centrale ou le principal établissement est établi sur le territoire d’un État membre de l’Union européenne, peuvent bénéficier d’un crédit d’impôt égal à 30 % de la somme :

« 1° Des dépenses d’audit de cybersécurité ;

« 2° Des dépenses d’acquisition, de souscription ou de maintenance d’un produit ou service de cybersécurité ;

« 3° Des dépenses de formation en cybersécurité engagées par l’entreprise en faveur de salariés.

« II. – Ne sont éligibles au crédit d’impôt cyber que les dépenses liées à des produits ou à des services disposant d’une certification délivrée par l’Agence nationale de la sécurité des systèmes d’information.

« III. – Les subventions publiques reçues par les entreprises à raison des dépenses ouvrant droit au crédit d’impôt sont déduites des bases de calcul de ce crédit.

« IV. – Le crédit d’impôt est plafonné pour chaque entreprise y compris les sociétés de personnes, à 100 000 €.

« V. – Le crédit d’impôt est imputé sur l’impôt sur les sociétés après imputation des réductions d’impôt, des crédits d’impôt et des prélèvements ou retenues non libératoires. S’il excède l’impôt dû, l’excédent est restitué

« VI. – Un décret fixe les conditions d’application du présent article. »

II. – Le I n’est applicable qu’aux sommes venant en déduction de l’impôt dû.

III. – La perte de recettes pour l’État est compensée à due concurrence par la création d’une taxe additionnelle à la taxe visée à l’article 235 ter ZD du code général des impôts.

Supprimer cet article.

Supprimer cet article.

Après l’article 1^er de la loi n°78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, il est inséré un article 1^er bis ainsi rédigé : 

« Art. 1^er bis. – La collecte d’informations en sources ouvertes s’entend du recueil de données accessibles publiquement, notamment lorsque cet accès requiert la connexion à un compte, au moyen d’un traitement de données automatisé ou non, y compris par fouille de textes et de données, en vue de leur réutilisation à des fins commerciales ou non.

« La pratique de la collecte d’informations en sources ouvertes est libre, sans préjudice du respect de la vie privée, de la protection des données à caractère personnel, des secrets protégés par la loi ainsi que des droits de propriété intellectuelle.

« Nonobstant le deuxième alinéa, des nécessités d’intérêt public peuvent justifier, dans des conditions prévues par la loi, des dérogations aux dispositions du présent article. »

Après l’article 323‑3‑2 du code pénal, il est inséré un article 323‑3‑3 ainsi rédigé : 

« Art. 323‑3-3. – Le fait, sans motif légitime, notamment de recherche et de sécurité informatique, de recueillir, en vue de leur réutilisation, des informations rendues accessibles au public par autrui à la suite de la commission des infractions prévues par les articles 223‑1‑1, 226‑8, 226‑18, 311‑1, 311‑9, et 323‑1 à 323‑8, est puni des peines prévues aux articles 321‑1 à 321‑5. »

L’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans cet équipement, lorsqu’ils visent à anonymiser à bref délai des données à caractère personnel provenant de ce terminal, satisfont les conditions prévues au sixième alinéa de l’article 82 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Un décret fixe les modalités d’application du présent article. Il précise notamment, de manière non limitative, une liste de procédés techniques assurant l’anonymisation mentionnée au premier alinéa.

Cette liste est mise à jour périodiquement, et au moins tous les trente-six mois, au regard de l’évolution des technologies.

L’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans cet équipement, lorsqu’ils visent à anonymiser à bref délai des données à caractère personnel provenant de ce terminal, satisfont les conditions prévues au sixième alinéa de l’article 82 de la loi n° 78‑17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

Un décret fixe les modalités d’application du présent article. Il précise notamment, de manière non limitative, une liste de procédés techniques assurant l’anonymisation mentionnée au premier alinéa. Cette liste est mise à jour périodiquement, et au moins tous les 36 mois, au regard de l’évolution des technologies.

Afin d’assurer la mise en œuvre et l’évaluation de la politique publique spécifique, il est institué auprès du Ministre de l’économie un Comité national d’observation des risques cyber dans le secteur de cybersécurité dans le secteur bancaire, financier et assurantiel.

Ce comité a pour mission notamment :

1° De suivre l’évolution des menaces et incidents de cybersécurité dans le secteur bancaire, financier et assurantiel ;

2° D’évaluer la mise en œuvre des obligations légales et réglementaires en matière de cybersécurité par les acteurs concernés ;

3° De prévenir les effets induits des mesures de cybersécurité sur les coûts supportés par les usagers, notamment en matière de frais bancaires et assurantiels.

Le comité rend publics annuellement ses travaux de suivi et d’évaluation dans des conditions fixées par arrêté du ministre chargé de l’économie.

Sa composition, fixée par arrêté ministériel, comprend notamment :

– des représentants des associations agréées de défense des consommateurs ;

– des représentants des établissements bancaires, financiers et assurantiels ;

– des représentants des autorités de régulation et de contrôle compétentes ;

– un représentant de l’Agence nationale de la sécurité des systèmes d’information.

Les membres du comité siègent à titre gratuit.

Rédiger ainsi cet article :

« La déclaration des incidents majeurs liés aux technologies de l’information et de la communication et la notification volontaire des cybermenaces importantes prévues à l’article 19 du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 ainsi que la notification à l’autorité nationale de sécurité des systèmes d’information de tout incident ayant un impact important sur la fourniture des services des personnes mentionnées à l’article 14, prévue à l’article 17, est réalisée à l’aide d’un formulaire unique.

"Cet article est applicable en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna. »

Après l’article L. 574‑6 du code monétaire et financier, il est inséré un article L. 574‑6‑1 ainsi rédigé :

« Art. L. 574‑6‑1. – I. – Les entités mentionnées au sein du titre III de la loi n°XX du XX relative à la résilience des infrastructures critiques et au renforcement de la cybersécurité, et relevant du champ d’application des chapitres II et IV du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts.

« II. – À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au I, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Après le troisième alinéa de l’article L. 354‑1 du code des assurances, sont insérés quatre alinéas ainsi rédigés : 

« Les entreprises d’assurance et de réassurance recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts.

« À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés au 1° , l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Après le troisième alinéa de l’article L211‑12 du code de la mutualité, sont insérés quatre alinéas ainsi rédigés : 

« Les mutuelles et unions mentionnées à l’article L. 211‑10 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts.

« À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux critères mentionnés aux 1° et 2°, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Après le troisième alinéa de l’article L. 931‑7 du code de la sécurité sociale, sont insérés quatre alinéas ainsi rédigés : 

« Les institutions de prévoyance et unions mentionnées à l’article L. 931‑6 recourent en priorité, pour l’externalisation de services de technologies de l’information et de la communication, à des prestataires remplissant les conditions suivantes :

« 1° Être titulaire d’un label de conformité délivré par l’Agence nationale de la sécurité des systèmes d’information, la Banque de France, l’Autorité de contrôle prudentiel et de résolution ou l’Autorité des marchés financiers ;

« 2° Être assujetti en France à l’impôt sur les sociétés au sens de l’article 209 du code général des impôts ;

« À titre dérogatoire, lorsqu’aucun prestataire ne satisfait pour le service recherché aux conditions mentionnées aux 1° et 2°, l’entité concernée peut recourir à un autre prestataire, sous réserve de l’obtention d’une autorisation expresse de l’Autorité de contrôle compétente et après démonstration documentée de l’absence d’offre disponible répondant aux critères susmentionnés. »

Afin de garantir un niveau de protection des données à caractère personnel conforme aux exigences du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) et de la Charte des droits fondamentaux de l’Union européenne, les entités visées par le titre III de la présente loi doivent assurer l’hébergement et le traitement des données à caractère personnel collectées en France sur des infrastructures situées sur le territoire national.

À cette fin, ces données doivent être stockées soit :

1° Sur un service de cloud qualifié SecNumCloud par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ;

2° Sur un système d’information interne, physiquement localisé en France et conforme aux exigences de sécurité définies par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Toute externalisation de ces données vers un prestataire non qualifié SecNumCloud ou situé hors du territoire national est interdite, sauf dérogation expressément accordée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Les autorités de contrôle compétentes peuvent imposer des sanctions financières en cas de non-respect de cette obligation.

Supprimer la seconde phrase de l'alinéa 1.

Dans les six mois à compter de la promulgation de la présente loi, le Gouvernement présente au Parlement un rapport sur la capacité de financer la montée en gamme en matière de cybersécurité des sous traitants par un fonds cyber alimenté par les acteurs de la base industrielle et technologique de défense et une partie des recettes issues des exportations d’armement.

Le Gouvernement remet au Parlement, dans un délai de six mois à compter de la promulgation de la présente loi, un rapport sur le recours aux prestataires de services de technologies de l’information et de la communication par les entités visées au titre III de la présente loi. Ce rapport évalue notamment la part des entreprises extra-communautaires parmi ces prestataires, ainsi que les enjeux en matière de résilience et de souveraineté numérique.

Dans les trois mois à compter de la promulgation de la présente loi, le Gouvernement présente au Parlement un rapport sur l’allocation des fréquences face à l’encombrement de l’orbite basse.

Dans les six mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport sur l’état des menaces et des vulnérabilités touchant les territoires ultra-marins dans le domaine de la cyber sécurité, et établit un panel de solutions humaines et financières, dressées en lien avec les collectivités, pour y répondre.

Dans les trois mois à compter de la promulgation de la présente loi, le Gouvernement présente au Parlement un rapport sur la protection cyber de nos satellites et de leur segments sol.

Dans un délai de trois mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport qui analyse la situation financière des universités publiques et propose des solutions leur permettant de mettre en place un véritable plan de cybersécurité.

Dans un délai de six mois à compter de la promulgation de la présente loi, le Gouvernement remet au Parlement un rapport sur les moyens alloués aux collectivités territoriales classées comme entités essentielles ou entités importantes afin de leur permettre de mettre en place les mesures de cyberprotection prévues au titre du présent projet de loi.