Ce projet de loi, présenté le 15 octobre en Conseil des ministres, ne sera sans doute pas examiné en séance publique au Sénat avant le mois de février. C’est extrêmement tard, dans la mesure où il s’agit d’un texte de transposition dans le droit français d’un certain nombre de directives européennes qui devaient être transposées… avant le 17 octobre 2024. 

Opérateurs d’importance vitale

De quoi s’agit-il ? Le projet de loi est composé de trois titres, correspondant chacun à la transposition d’une directive européenne. Le premier titre est consacré à la directive sur « la résilience des entités critiques »  (REC) ; le deuxième, à la « cyber-résilience »  – il s’agit de la transposition de la fameuse directive NIS2, déjà souvent évoquée dans nos colonnes ; le troisième titre enfin concerne la résilience du secteur financier. 

La transposition de la directive sur la résilience des entités critiques ne devrait pas poser de difficultés majeures, dans la mesure où elle ne fait que renforcer un dispositif qui existe déjà en France depuis une vingtaine d’années. 

L’objectif de cette directive est de protéger les infrastructures fournissant des services « essentiels à la vie de la nation ». Elle concerne 11 secteurs d’activités : l'énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l'eau potable, les eaux résiduaires, les infrastructures numériques, l'administration publique, l'espace ainsi que la production, la transformation et la distribution de denrées alimentaires. Comme on le voit, certains de ces secteurs (transport et eau potable notamment) sont directement du ressort des collectivités locales. 

La France, contrairement à d’autres pays européens, a déjà mis en œuvre, en 2006, un dispositif assez similaire baptisé SAIV (sécurité des activités d’importance vitale), institué à la suite des attentats de Londres et Madrid. Ce dispositif identifiait un certain nombre « d’opérateurs d’importance vitale »  (OIV), exerçant leurs activités sur environ 1 500 « points d’importance vitale »  (PIV). Ces opérateurs sont tenus de garantir, à leurs frais, la sécurité de ces sites notamment contre le risque terroriste. 

La transposition de la directive européenne – directive qui a été négociée sous la présidence française de l’UE et est « conforme à la vision de la France », selon le gouvernement – ne va nullement révolutionner ce dispositif mais le « consolider »  et le « moderniser » . Le nombre d’opérateurs concernés ne devrait pas augmenter significativement, mais le régime de contrôle et de sanctions en cas de non-observance des règles devrait être renforcé. 

Quant aux collectivités locales, celles qui sont concernées par la directive REC sont celles qui sont déjà désignées comme OIV (opératrices d’importance vitale) dans les secteurs des transports, de l’eau ou de l’énergie. L’étude d’impact présentée par le gouvernement précise que « dans le cas d'une délégation de service public pour des activités d'importance vitale, le projet de loi prévoit l'information de la collectivité territoriale du statut d'opérateur d'importance vitale de son délégataire » . Enfin, « de nouvelles collectivités territoriales, dans un nombre limité, pourraient être désignées au titre de leurs compétences dans les secteurs de l'assainissement, de l'hydrogène, ainsi que les réseaux de chaleur et de froid » . 

Plusieurs centaines de millions d’euros

Lorsqu’il a été présenté devant le Conseil national d’évaluation des normes (Cnen) le 22 mai dernier, ce projet de loi a été rejeté à l’unanimité par les représentants des élus. Ces derniers avaient notamment regretté l’absence d’étude d’impact (étude qui est parue depuis) : une fois encore, le Cnen avait été convoqué en extrême urgence, ce qui laisse songeur quand on constate le délai entre cette présentation au Cnen (22 mai) et la présentation du texte en Conseil des ministres (15 octobre). Dans ce domaine comme dans tant d’autres, la dissolution surprise de l’Assemblée nationale et la vacance de gouvernement pendant deux mois a laissé des traces. 

Mais c’est surtout sur la partie cybersécurité (transposition de la directive NIS2) que les élus ont émis des réserves, non sur le fond – ils se disent convaincus du « bien-fondé »  de ces mesures – mais sur le coût. 

Rappelons que presque 1 500 collectivités (notamment régions, départements, métropoles, communautés d’agglomérations et communes de plus de 30 000 habitants) seront tenues d’appliquer les nouvelles règles en matière de protection contre le risque cyber, en tant qu’entités dites « essentielles », et que les communautés de communes seront également concernées au titre des entités « importantes ». Certes, la loi dispose clairement que les collectivités sont exclues de tout dispositif de sanction, contrairement aux entreprises. Mais la mise en conformité des collectivités concernées aura un coût important. Pour ce qui est des entités « essentielles », ce coût n’a pas pu être établi dans l’étude d’impact. Mais pour les entités « importantes »  (communautés de communes), l’Anssi a chiffré à « 100 000 à 200 000 euros »  le coût d’investissement, auquel il faudra ajouter au moins autant en coût de fonctionnement annuel. 

Au final, la facture pourrait donc se chiffres « en centaines de millions d’euros »  pour les collectivités et leurs groupements, ont estimé les élus, alors qu’aucun dispositif de soutien financier de l’État n’est prévu à ce jour. 

Ce point sera certainement soulevé lors de l’examen de ce texte au Sénat. On verra alors si le texte évolue sur ce sujet. 

Accéder au dossier législatif.
 

Suivez Maire info sur Twitter : @Maireinfo2