Le Gouvernement a décidé de rendre public l'avis du Conseil d’État sur le projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité.
CONSEIL D’ÉTAT
Section de l’intérieur
Section de l’administration
N° 393665
Séances du mardi 14 novembre 2017
EXTRAIT DU REGISTRE DES DÉLIBÉRATIONS
AVIS SUR UN PROJET DE LOI portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité
1. Le Conseil d’État a été saisi le 18 octobre 2017 d’un projet de loi portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité. Cette saisine a été complétée par une saisine rectificative, reçue le 14 novembre 2017, portant sur l’étude d’impact.
2. Ce projet de loi, qui comprend vingt-deux articles, est organisé en cinq titres. Les trois premiers ont pour objet de transposer ou mettre en œuvre des directives ou décisions européennes :
- le titre Ier transpose la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union ;
- le titre II transpose la directive (UE) 2017/853 du Parlement européen et du Conseil du 17 mai 2017 modifiant la directive 91/477/CEE du 18 juin 1991 du Conseil relative au contrôle de l’acquisition et de la détention d’armes ;
- le titre III met en œuvre la décision n° 1104/2011/UE du Parlement européen et du conseil du 25 octobre 2011 relative aux modalités d’accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo et par la décision déléguée de la Commission du 15 septembre 2015 qui la complète.
Les titres IV et V sont relatifs, respectivement, à l’application outre-mer et aux dispositions transitoires.
3. L’étude d’impact du projet, dont la version modifiée reçue le 14 novembre 2017 intègre les compléments sollicités par les rapporteurs, comporte, pour l’essentiel, les éléments requis par l’article 8 de la loi organique n° 2009-403 du 15 avril 2009, pris pour l’application du troisième alinéa de l’article 39 de la Constitution.
Le Conseil d’État regrette néanmoins qu’elle ne comporte pas, pour le titre Ier, un tableau de transposition complet permettant de s’assurer non seulement de la fidélité à la directive des dispositions du projet de loi mais aussi de l’exhaustivité de l’exercice de transposition.
4. Au-delà de ces remarques liminaires, et outre des améliorations de rédaction qui s’expliquent d’elles-mêmes, ce projet de loi appelle, de la part du Conseil d’État, les observations suivantes.
En ce qui concerne les dispositions transposant la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union
5. La directive du 6 juillet 2016 vise à la fois à établir un cadre communautaire de coopération entre les États membres en matière de cyber-sécurité, à renforcer leurs capacités en ce domaine et à instaurer un cadre réglementaire pour mieux protéger la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels et des fournisseurs de service numérique.
6. Le Conseil d’État constate que des dispositions législatives sont nécessaires pour assurer la transposition de la directive, en tant qu’elle prévoit d’imposer aux opérateurs de services essentiels et aux fournisseurs de service numérique de veiller à la sécurité de leurs réseaux et services d’information en les contraignant à identifier les risques qui les menacent et à y remédier, à notifier à l’autorité compétente les incidents graves survenus, à les soumettre, à leurs frais, à des contrôles sur place et sur pièce en habilitant les entités compétentes pour procéder à ces contrôles à accéder à des informations et installations éventuellement couvertes par le secret industriel ou commercial et d’édicter des sanctions en cas de méconnaissance de ces obligations. Des dispositions législatives sont également nécessaires pour permettre à l’État de communiquer à des tiers des informations couvertes par un secret et recueillies auprès de ces entreprises.
7. Le Gouvernement a fait le choix de ne pas codifier ces dispositions de transposition. Dans la mesure où l’objectif poursuivi par ces mesures est un objectif de sécurité et non, à proprement parler, de défense et au regard de l’état actuel de la structure du code de la sécurité intérieure, le Conseil d’État estime ce choix justifié.
8. Le Conseil d’État estime préférable de regrouper dans un même chapitre, placé en début de titre, les dispositions communes à la sécurité des réseaux et système d’information des opérateurs de services essentiels et des fournisseurs de service numérique. Il lui paraît nécessaire de les compléter en définissant les notions de « réseaux et systèmes d’information » et leur sécurité. Il juge également nécessaire de mieux préciser l’articulation entre, d’une part, les mesures visant à assurer les règles de cyber-sécurité applicables aux réseaux et systèmes d’information de ces entreprises issues de la directive et, d’autre part, celles prévues par d’autres régimes sectoriels de protection de la sécurité des systèmes d’information, et de soumettre les prestataires qui seront chargés de procéder aux contrôles de ces entreprises aux mêmes exigences de confidentialité que les services de l’État.
9. Le chapitre relatif à la sécurité des réseaux et systèmes d’information des opérateurs de services essentiels définit en termes généraux la notion de services essentiels afin d’encadrer le pouvoir règlementaire qui fixera la liste des secteurs d’activité qu’ils recouvrent, le Premier ministre étant ensuite chargé d’identifier chacun de ces opérateurs. Il confie au pouvoir règlementaire le soin de définir les règles de sécurité adaptées aux risques connus et applicables aux réseaux et systèmes d’information nécessaires à la fourniture de services essentiels par ces opérateurs. Il énonce les règles relatives à la prévention des incidents compromettant la sécurité de ces réseaux et systèmes d’information, aux mesures à prendre pour en limiter l’impact et aux obligations des opérateurs en matière de déclaration de ces incidents Il permet, en tant que de besoin, de rendre publiques des informations ainsi recueillies et de les communiquer aux autorités compétentes d’autres États membres concernés par l’incident. Il prévoit la possibilité de soumettre ces opérateurs à des contrôles sur place et sur pièce qui s’effectueront à leurs frais et habilite l’autorité ou les prestataires chargés d’effectuer ces contrôles à accéder à tout élément ou information utile pour vérifier le niveau de sécurité des réseaux et systèmes d’information contrôlés. Enfin le projet instaure des dispositions pénales sanctionnant le non respect des obligations ainsi fixées.
Le Conseil d’État considère que, sous réserve des modifications qu’il y a apportées pour en préciser la portée, les dispositions de ce chapitre transposent convenablement la directive. Il note, en particulier, que l’article 3 de la directive autorise la sur-transposition à laquelle le projet se livre en imposant la notification des incidents « susceptibles d’avoir » un impact significatif et que les dispositions pénales proposées sont conformes aux principes constitutionnels qui gouvernent la définition des délits et des peines et de nature à mettre en œuvre les dispositions de l’article 21 de la directive qui prévoit l’instauration par les États membres de sanctions « efficaces, proportionnées et dissuasives ».
10. Le dernier chapitre de ce titre est relatif au régime de sécurité applicable aux réseaux et systèmes d’information des fournisseurs de service numérique. Le projet en définit les différentes composantes et le champ d’application conformément aux termes de la directive. Il reprend, en particulier, l’exclusion prévue par la directive au profit des micro-entreprises et des petites entreprises, dont il précise les seuils. Il soumet les fournisseurs de service numérique ainsi définis à des obligations de sécurité adaptées aux risques existants en leur prescrivant d’identifier les risques, de prendre les mesures nécessaires et de déclarer les incidents, ces informations pouvant, si nécessaire, être rendues publiques et communiquées aux autorités des autres États membres concernés. Il prévoit la possibilité de soumettre un fournisseur qui aurait méconnu l’une de ces obligations à des contrôles sur place et sur pièce qui s’effectueront à ses frais et habilite l’autorité ou les prestataires chargés d’effectuer ces contrôles à accéder aux réseaux et systèmes d’information contrôlés ainsi qu’aux informations utiles pour vérifier leur niveau de sécurité. Enfin, le projet instaure des sanctions pénales en cas de non respect par les dirigeants de ces entreprises des obligations ainsi fixées.
Le Conseil d’État considère que, sous réserve des modifications qu’il a apportées pour en préciser la portée ou éviter toute sur-transposition proscrite, s’agissant des dispositions en cause, par l’article 16 §10 de la directive, le projet procède également, sur ce point, à une transposition convenable.
En ce qui concerne les dispositions transposant la directive (UE) 2017/853 du Parlement européen et du Conseil du 17 mai 2017 modifiant la directive 91/477/CEE du 18 juin 1991 du Conseil relative au contrôle de l’acquisition et de la détention d’armes
11. Le Conseil d’État constate que l’essentiel de la transposition de la directive du 17 mai 2017 modifiant la directive du 18 juin 1991 relative au contrôle de l’acquisition et de la détention d’armes appelle des mesures relevant du domaine réglementaire, mais que six modifications nécessitent une transposition par voie législative. Ces modifications ne remettent pas en cause la classification des armes en quatre catégories (A : armes interdites ; B : armes soumises à autorisation ; C : armes soumises à déclaration ; D : armes dont la détention est libre) issue de la loi n° 2012-304 du 6 mars 2012 relative à l’établissement d’un contrôle des armes moderne, simplifié et préventif, mais conduisent, dans un but de renforcement de la sécurité publique, à un réaménagement du classement des armes dans ces différentes catégories.
12. La directive supprime la catégorie D des armes à feu : désormais, toutes les armes à feu devront relever, au moins, de la catégorie C, c’est-à-dire être soumises à une déclaration et non plus à un simple enregistrement. Une catégorie D d’armes pouvant être acquises et détenues librement pourra continuer d’exister dans les droits nationaux, mais cette catégorie ne pourra plus comporter d’armes à feu, hors le cas des armes historiques qui étaient et demeurent en dehors du champ d’application de la directive et de certaines des reproductions de ces armes historiques.
Le projet de loi procède aux modifications nécessaires dans les dispositions législatives du code de la sécurité intérieure et du code de la défense qui mentionnent la sous-catégorie des armes de catégorie D soumises à enregistrement, afin de supprimer toutes les références à l’enregistrement.
13. Jusqu’à sa modification par la directive de 2017, la directive de 1991 excluait de son champ d’application les « armes antiques » ou leurs reproductions. Se fondant sur le fait que « les reproductions d’armes à feu anciennes n’ont pas la même importance ou le même intérêt historique et peuvent être construites en recourant aux techniques modernes susceptibles d’améliorer leur durabilité et leur précision » (considérant n° 27 de la directive), la directive de 2017 fait entrer dans le champ d’application de la directive de 1991 les reproductions d’armes anciennes dont la durabilité et la précision sont améliorées par rapport à celles de l’arme reproduite. Si les armes historiques elles-mêmes peuvent demeurer dans la catégorie D redessinée, désormais limitée aux armes dont l’acquisition et la détention sont totalement libres, certaines de leurs reproductions devront désormais être classées, au moins, en catégorie C.
Le projet de loi modifie l’article L. 311-4 du code de la sécurité intérieure, qui dans sa rédaction actuelle classe les armes historiques et leurs reproductions en catégorie D, pour renvoyer le classement de ces armes à un décret en Conseil d’État, lequel devra, conformément, aux principes énoncés à l’article L. 311-2 du même code, classer ces armes en fonction de leur dangerosité ou, par dérogation, de leur calibre. Ce faisant, le projet permet, outre d’assurer une correcte transposition des dispositions de la directive, de rétablir un partage juridiquement plus exact des domaines de la loi et du règlement, le classement des armes dans les différentes catégories définies par le législateur ne relevant pas du domaine de la loi.
14. Les dispositions de la directive applicables avant la modification de 2017 faisaient obligation aux États membres de prévoir un contrôle administratif pour les armuriers. La directive de 2017 étend cette obligation aux courtiers d’armes, c’est-à-dire aux personnes qui exercent une activité d’intermédiaire dans les transactions portant sur les armes et ce, quelle que soit la catégorie d’armes sur lesquelles porte leur activité.
Aujourd’hui, en droit français, les courtiers ne sont soumis à un agrément de l’autorité administrative, en application de l’article L. 2332-1 du code de la défense, que si leur activité porte sur des armes des catégories A et B. Le projet modifie l’article L. 313-2 du code de la sécurité intérieure, qui prévoit l’agrément des armuriers, pour y ajouter l’activité des courtiers et ce, pour toutes les catégories d’armes dont l’acquisition et la détention sont soumises à des conditions (A, B ou C), conformément à la directive.
15. La directive de 2017, par des modifications apportées à l’annexe I de la directive de 1991, surclasse certaines armes semi-automatiques qui étaient jusqu’alors classées en catégorie B, c’est-à-dire soumises à autorisation, pour les faire passer en catégorie A, c’est-à-dire prohibées (sauf pour les forces de sécurité publique). Parallèlement, la directive ouvre aux États membres la possibilité de déroger, pour certaines catégories de personnes et d’usages déterminés et dans des conditions strictement encadrées, à la prohibition d’acquisition et de détention de certaines de ces armes surclassées.
Si le changement de catégorie des armes concernées par ce surclassement devra être opéré par le pouvoir réglementaire, le projet de loi doit néanmoins modifier les dispositions législatives du code de la sécurité intérieure pour adapter les conditions d’acquisition et de détention des armes précédemment classées en catégorie B et qui seront à l’avenir, classées en catégorie A.
16. La directive de 2017 a introduit dans la directive de 1991 un nouvel article 5 ter qui impose, pour les ventes d’armes à distance, une vérification soit par un armurier, soit par une autorité publique, de l’identité et, si nécessaire, de l’autorisation d’acquisition dont il dispose. Cette vérification doit intervenir « avant la livraison ou, au plus tard, au moment de la livraison ». En pratique, cette disposition interdit – hormis pour les ventes à distance effectuées par des armuriers, qui étaient et demeurent possibles – la livraison au domicile de l’acheteur.
L’article L. 313-5 du code de la sécurité intérieure, dans sa rédaction actuelle, comporte déjà une interdiction de principe de la livraison à domicile des armes acquises par correspondance ou entre particuliers, mais prévoit la possibilité de dérogations pour certaines armes fixées par décret en Conseil d’État. Le pouvoir réglementaire a fait un usage large de cette faculté de prévoir des dérogations, puisque l’article R. 313-23 du même code autorise les livraisons d’armes à domicile pour toutes les catégories d’armes.
Le projet de loi modifie l’article L. 313-5 du code de la sécurité intérieure pour supprimer la possibilité, pour le pouvoir réglementaire, de déroger à l’interdiction de livraison des armes acquises par correspondance ou entre particuliers au domicile de l’acquéreur. La directive ouvre une option aux États membres entre une vérification de l’identité et de l’autorisation par une autorité publique et une vérification par un armurier ou courtier agréé. Le projet de loi écarte la possibilité que cette vérification soit faite par une autorité publique et ne retient que la possibilité d’une vérification par un armurier ou courtier agréé, ce que le Conseil d'État considère, sur le plan de la bonne administration, comme un choix approprié.
En prévoyant que « La transaction est réputée parfaite à compter de la remise effective à l’acquéreur », le projet de loi écarte la règle générale, prévue à l’article 1583 du code civil, selon laquelle une vente « est parfaite entre les parties, et la propriété est acquise de droit à l’acheteur à l’égard du vendeur, dès qu’on est convenu de la chose et du prix, quoique la chose n’ait pas encore été livrée ni le prix payé ». Le Conseil d'État estime que cette exception au principe du consensualisme est justifiée et nécessaire pour éviter tout litige sur la propriété, dans le cas où la vérification effectuée par l’armurier révélerait que l’acquéreur ne remplit pas les conditions légales pour lui permettre d’acheter l’arme : tant que l’arme n’aura pas été remise, par l’armurier, entre les mains de l’acquéreur, celui-ci n’en sera pas propriétaire.
17. Enfin, l’article 10 de la directive de 1991 est complété par celle de 2017 pour prévoir la possibilité, pour les armuriers et courtiers, de refuser légalement de conclure des transactions portant sur des munitions « qu’ils pourraient raisonnablement considérer comme suspectes en raison de leur nature ou de leur échelle », ainsi que l’obligation, pour ces mêmes professionnels, de signaler ces transactions suspectes aux autorités compétentes.
Le projet de loi crée dans le code de la sécurité intérieure un nouvel article L. 313-6 qui transpose cette disposition, en en élargissant délibérément le champ, au-delà des seules munitions, aux transactions d’armes. Le Conseil d'État estime ce choix justifié, sur le plan de la sécurité publique, car il serait paradoxal et inefficace de permettre aux armuriers et courtiers de refuser d’effectuer des transactions suspectes de munitions, sans leur donner la même possibilité pour les armes.
Le caractère « raisonnablement » suspect de la transaction et les conséquences que l’armurier ou le courtier sera en droit d’en tirer constitueront, pour ce dernier, un « motif légitime » lui permettant de refuser légalement de procéder à une vente ou de conclure tout autre contrat, sans pouvoir se voir reprocher un refus de vente qu’interdit, vis-à-vis d’un consommateur, l’article L. 121-11 du code de la consommation.
En ce qui concerne les dispositions mettant en œuvre la décision n° 1104/2011/UE du Parlement européen et du conseil du 25 octobre 2011 relative aux modalités d’accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme Galileo
18. Le programme Galileo est l’infrastructure européenne de radionavigation et de positionnement par satellite, conçue à des fins civiles. Il est régi par les dispositions du règlement (UE) n° 1285/2013 du Parlement européen et du Conseil du 11 décembre 2013 relatif à la mise en place et à l'exploitation des systèmes européens de radionavigation par satellite et abrogeant le règlement (CE) n° 876/2002 du Conseil et le règlement (CE) n° 683/2008 du Parlement européen et du Conseil, l’Union européenne. Aux termes de l’article 2 de ce règlement, le programme Galileo doit offrir cinq types de service dont « un service public réglementé (PRS) réservé aux utilisateurs autorisés par les gouvernements, pour les applications sensibles qui exigent un niveau élevé de continuité du service, service qui utilise des signaux robustes et cryptés. » La décision n° 1104/2011/UE définit les modalités d’accès au service public réglementé. Elle est complétée par une décision déléguée de la Commission du 15 septembre 2015 relative aux normes minimales communes auxquelles doivent se conformer les autorités responsables.
19. Pour assurer la mise en œuvre en droit interne des dispositions des deux décisions précitées, le projet de loi complète le titre II du livre III de la deuxième partie du code de la défense par un nouveau chapitre III intitulé « service public réglementé de radionavigation par satellite ». Bien que Galileo soit un programme civil, aucune exclusion dans les usages gouvernementaux du PRS n’est prévue et ces usages sont, en pratique, le fait des services en charge de la sécurité et de la défense. Le PRS s’adresse à des communautés d’utilisateurs relevant principalement des ministères régaliens et est destiné à des applications militaires. Le Conseil d'État estime donc que le choix de codification retenu par le Gouvernement est justifié.
20. Certaines des dispositions de la décision n° 1104/2011/UE étant inscrites à l’identique dans le règlement n° 1285/2013 précité, lequel est d’effet direct, le projet de loi ne comporte, à juste titre, aucune disposition destinée à les mettre en œuvre.
21. L’article 3 de la décision n° 1104/2011/UE dispose que les États membres décident de manière indépendante, d’une part, des catégories de personnes autorisées à utiliser le service public réglementé, d’autre part, des utilisations qui en sont faites dans le respect des normes minimales communes fixées par l’annexe de la décision et par la décision déléguée du 15 septembre 2015. Pour la mise en œuvre de ces dispositions, le projet de loi crée trois régimes d’autorisation préalable relatifs :
- à l’accès au service public réglementé ;
- au développement ou la fabrication de récepteurs ou de modules de sécurité conçus pour ce service ;
- et à l’exportation d’équipements, de technologie ou de logiciels conçus pour ce service.
Le projet prévoit que les autorisations délivrées pourront être assorties de conditions et qu’elles pourront être abrogées, retirées, modifiées ou suspendues dans les cas qu’il définit.
Le Conseil d’État estime que ce régime d’autorisation préalable et de contrôle est justifié et nécessaire compte tenu des enjeux liés à la sécurité du PRS.
22. Pour les transferts intracommunautaires des équipements PRS, le projet instaure un régime de déclaration. Il met ainsi en œuvre les dispositions inscrites à l’article 17 de la décision déléguée du 15 septembre 2015. Eu égard au principe de confiance réciproque, un régime plus souple qu’un régime d’autorisation est justifié.
23. Le projet de loi prévoit des dispositions pénales sanctionnant le non respect des obligations ainsi fixées aux utilisateurs, fabricants ou exportateurs du PRS. Le Conseil d’État estime que les sanctions pénales proposées sont de nature à mettre en œuvre les dispositions de l’article 15 de la décision qui prévoit l’instauration par les États membres de sanctions « efficaces, proportionnées et dissuasives ».
Le Conseil d’État rappelle que relève du domaine réservé à la loi par l’article 34 de la Constitution la désignation des agents habilités à rechercher et constater des infractions pénales. Il prend acte de la volonté du Gouvernement de ne pas attribuer de pouvoir de police judiciaire à des agents de l’administration. Le dispositif conserve son efficacité dans la mesure où les agents en capacité technique de constater des manquements doivent, en application des dispositions du second alinéa de l’article 40 du code de procédure pénale, en donner avis au procureur de la République.
24. Le Conseil d’État prend acte de ce que les modalités de mise en œuvre des normes minimales communes seront définies réglementairement. Il regrette toutefois que le Gouvernement n’ait pas été en mesure de communiquer le projet de décret qui sera pris pour l’application des dispositions du titre III, ce qui aurait permis de s’assurer d’une mise en œuvre complète de la décision. Il précise que la désignation de l’autorité responsable, qui résulte d’une lettre notifiée à la Commission conformément aux dispositions du a du paragraphe 1 de l’article 5 de la décision n° 1104/2011/UE, doit faire l’objet d’une inscription dans un texte réglementaire afin d’assurer l’intelligibilité des dispositions mettant en œuvre la décision.
25. Enfin, le projet de loi prévoit l’articulation des dispositions introduites dans le code de la défense relatives au contrôle des exportations du matériel et des technologies liés au PRS avec les dispositions ayant le même objet pour les biens à double usage et les matériels de guerre. Le Conseil d’État estime cette précision opportune dans la mesure où certains biens sont susceptibles de relever de deux régimes.
En ce qui concerne l’application outre-mer de ces dispositions
26. Le Gouvernement considère que, sous réserve des articles L. 2323-2 et L. 2323-5 du code de la défense, les dispositions de ces trois titres, qui intéressent la sécurité publique, ainsi que celles du titre V relatif aux dispositions transitoires, s’appliquent sur tout le territoire de la République, sous réserve d’une modification de coordination pour une disposition d’adaptation du titre II applicable en Nouvelle-Calédonie et d’une grille de lecture des dispositions qui renvoient à des actes de l’Union européenne pour leur application dans les collectivités où ces actes ne sont pas applicables.
Le Conseil d’État partage cette analyse.
En ce qui concerne les dispositions transitoires
27. Les chapitres Ier et III du titre Ier nécessitent, pour entrer en vigueur, des décrets d’application ainsi que des actes d’identification pour certaines dispositions. Le projet précise que leur entrée en vigueur interviendra, selon les cas, aux dates que prévoiront ces décrets ou à la date des actes d’identification des opérateurs de services essentiels et au plus tard aux dates limites de transposition fixées par chaque directive.
Ce projet de loi a été délibéré et adopté par le Conseil d’État (section de l’intérieur et section de l’administration) dans ses séances du 14 novembre 2017.