Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité

Loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité (Lien Legifrance, JO 27/02/2018)
Les principales dispositions
    La loi de vingt-cinq articles vise à transposer deux directives et à tirer les conséquences en droit interne d'une décision du Parlement européen et du Conseil. Elle porte ainsi adaptation au droit de l'Union européenne en matière de cyber-sécurité, d'armes à feu et pour Galileo (système européen de navigation par satellite).

Titre Ier : Dispositions tendant à transposer la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (art. 1er à 15)
    La directive transposée met en place de nouvelles obligations en matière de cyber-sécurité pour les opérateurs de services essentiels au fonctionnement de l'économie et de la société et les fournisseurs de services numériques.

Chapitre Ier : Dispositions communes (art. 1 à 4)
    Les notions de "réseaux et systèmes d'information" et de "sécurité des réseaux et systèmes d'information" sont définies (art 1er).
On entend par réseau et système d'information : 1° Tout réseau de communications électroniques tel que défini au 2° de l'article L. 32 du code des postes et des communications électroniques ; 2° Tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés dont un ou plusieurs éléments assurent, en exécution d'un programme, un traitement automatisé de données numériques ; 3° Les données numériques stockées, traitées, récupérées ou transmises par les éléments mentionnés aux 1° et 2° en vue de leur fonctionnement, utilisation, protection et maintenance. La sécurité des réseaux et systèmes d'information "consiste en leur capacité de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, et des services connexes que ces réseaux et systèmes d'information offrent ou rendent accessibles".

    Les prestataires de services habilités à effectuer des contrôles sont soumis aux mêmes obligations de confidentialité que celles applicables aux services de l'État (art 3).

    Lorsqu'elle informe le public ou les Etats membres de l'Union européenne d'incidents, l'autorité administrative compétente tient compte des intérêts économiques de ces opérateurs et fournisseurs de service numérique et veille à ne pas révéler d'informations susceptibles de porter atteinte à leur sécurité et au secret en matière commerciale et industrielle.

    Les modalités d'application du présent titre sont déterminées par décret en Conseil d'Etat (art. 4). Ce décret fixe notamment la liste des services essentiels au fonctionnement de la société ou de l'économie, ainsi que, pour chacun des domaines de sécurité mentionnés à l'article 12, la nature des mesures que les fournisseurs de service numérique sont tenus de mettre en œuvre.

Chapitre II : Dispositions relatives à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels (art. 5 à 9)
    Le Premier ministre est compétent pour désigner les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services (art. 5).

    Le Premier ministre est également compétent pour édicter les règles de sécurité nécessaires à la protection de ces réseaux et systèmes d'information et les opérateurs de services essentiels seront tenus d'appliquer ces règles à leurs frais (art 6).

    Les opérateurs de services essentiels ont l'obligation de déclarer leurs incidents de sécurité à l'autorité nationale de sécurité des systèmes d'information (art 7).

    Le Premier ministre peut soumettre ces opérateurs à des contrôles destinés à vérifier le respect de leurs obligations ainsi que le niveau de sécurité des réseaux et systèmes d'information nécessaires à la fourniture de services essentiels (art. 8).

    Des peines d'amendes sont prévues pour les dirigeants des opérateurs qui ne se conforment pas aux règles de sécurité à l'issue du délai fixé par la mise en demeure qui leur a été adressée, ne satisfont pas à l'obligation de déclaration d'incident ou font obstacle aux opérations de contrôle (art. 9).

Chapitre III : Dispositions relatives à la sécurité des réseaux et systèmes d'information des fournisseurs de service numérique (art. 10 à 15)
    Le fournisseur de service numérique, c'est-à-dire de service fourni normalement contre rémunération, à distance, par voie électronique et à la demande individuelle d'un destinataire de services, établi hors de l'Union européenne, qui offre ses services sur le territoire national et qui n'a désigné aucun représentant dans un autre Etat membre de l'Union européenne, doit désigner un représentant établi sur le territoire national auprès de l'autorité nationale de sécurité des systèmes d'information (art. 11).

    Les fournisseurs de service numérique ont l'obligation d'identifier les risques auxquels est exposée la sécurité de leurs réseaux et systèmes d'information et de prendre les mesures utiles pour gérer ces risques, d'éviter les incidents de nature à porter atteinte à la sécurité de leurs réseaux et systèmes d'information et d'en réduire l'impact (art 12) ;

    Ces mêmes fournisseurs ont l'obligation de déclarer un incident auprès de l'autorité nationale de sécurité des systèmes d'information dès lors qu'ils ont connaissance du caractère significatif de cet incident (art 13).

    Lorsque le Premier ministre est informé qu'un fournisseur de service numérique ne satisfait pas à l'une des obligations prévues aux deux articles précédents, il peut le soumettre à des contrôles destinés à vérifier le respect de leurs obligations ainsi que le niveau de sécurité des réseaux et systèmes d'information nécessaires à la fourniture de ses services (art. 14).

    Des peines d'amendes sont prévues pour les dirigeants des fournisseurs de service numérique ne satisfaisant pas à leurs obligations (art. 15).

Titre II : Dispositions relatives au contrôle de l'acquisition et de la détention d'armes (art. 16 à 22)
    Ce titre vise à transposer la directive (UE) 2017/853 du Parlement européen et du Conseil du 17 mai 2017 modifiant la directive 91/477/CEE du Conseil relative au contrôle de l'acquisition et de la détention d'armes. La plupart des mesures de transposition de cette directive relève du pouvoir règlementaire. S'agissant des transpositions de mesures de nature législative, la loi modifie le code de la sécurité intérieure.

    La catégorie des armes à feu soumises à enregistrement en droit interne est supprimée (art 16 à 22). Les armes et matériels historiques sont classés en catégorie D comme les armes et matériels de collection.

    Certaines armes à feu semi-automatiques classées en droit interne en catégorie B (soumise à autorisation) sont surclassées en catégorie A (interdite à l'acquisition et à la détention par les particuliers). Des dérogations sont toutefois rendues possibles par la directive, au bénéfice de certaines catégories de détenteurs (art 17).

    L'ensemble des professionnels est soumis à un contrôle portant sur leur honorabilité et leurs compétences professionnelles (art 18). Par professionnels, il faut ainsi entendre toute personne exerçant l'activité qui consiste, à titre principal ou accessoire, soit en la fabrication, le commerce, l'échange, la location, la location-vente, le prêt, la modification, la réparation ou la transformation, soit en la négociation ou l'organisation d'opérations en vue de l'achat, de la vente, de la fourniture ou du transfert d'armes, de munitions ou de leurs éléments essentiels. Un article L. 313-6 inséré dans le CSI permet à ces professionnels de refuser de conclure toute transaction visant à acquérir des armes, des munitions ou leurs éléments essentiels dès lors qu'il est raisonnable de considérer que cette transaction présente un caractère suspect, en raison notamment de son échelle ou de sa nature. Il prévoit en outre que toute tentative de transaction suspecte fait l'objet d'un signalement auprès d'un service désigné par décision du ministre de l'intérieur.

Titre III : Dispositions relatives au service public réglementé de radionavigation par satellite (art. 23)
    Ce titre vise à transposer en droit interne les obligations prévues par la décision n° 1104/2011/UE du Parlement européen et du Conseil du 25 octobre 2011 relative aux modalités d'accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo, Galileo étant le système européen de navigation par satellite.

    Il est inséré dans le code de la défense (art. L. 2323-1 et s.) un chapitre relatif au service public réglementé de radionavigation par satellite issu du programme européen Galileo qui définit les activités liées à ce service qui font l'objet d'un contrôle par l'autorité administrative et à instaurer un régime de sanctions en cas de manquement aux obligations fixées par ces nouvelles dispositions.

    L'accès au service public réglementé, le développement ou la fabrication de récepteurs ou de modules de sécurité conçus pour ce service sont soumis à un régime d'autorisation.

Titre IV : Dispositions applicables à l'outre-mer (art. 24)

Titre V : Dispositions transitoires (art. 25)

Plan de la loi
Titre Ier : Dispositions tendant à transposer la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union (art. 1er à 15)
Chapitre Ier : Dispositions communes (art. 1 à 4)
Chapitre II : Dispositions relatives à la sécurité des réseaux et systèmes d'information des opérateurs de services essentiels (art. 5 à 9)
Chapitre III : Dispositions relatives à la sécurité des réseaux et systèmes d'information des fournisseurs de service numérique (art. 10 à 15)
Titre II : Dispositions relatives au contrôle de l'acquisition et de la détention d'armes (art. 16 à 22)
Titre III : Dispositions relatives au service public réglementé de radionavigation par satellite (art. 23)
Titre IV : Dispositions applicables à l'outre-mer (art. 24)
Titre V : Dispositions transitoires (art. 25)

Pas de saisine préalable du Conseil Constitutionnel

Rubriques :  médias, télécommunications, informatique / défense, police, sécurité civile

Voir aussi :
Décret n° 2018-542 du 29 juin 2018 relatif au régime de la fabrication, du commerce, de l'acquisition et de la détention des armes

affaires-publiques.org : accueil - informations/contacts