Loi sur l'Agence de cybersécurité de Catalogne

Données clés
Titre	Loi 15/2017, du 25 juillet, sur l'Agence de cybersécurité de Catalogne
Référence	15/2017
Régime	Autonomique
Législature	XIe législature
Adoption	12 juillet 2017
Promulgation	25 juillet 2017
Publication	31 juillet 2017
Entrée en vigueur	1er août 2017

La loi sur l'Agence de cybersécurité de Catalogne (en catalan Llei de l'Agència de Ciberseguretat de Catalunya) est une loi adoptée par le Parlement de Catalogne, promulguée le 25 juillet 2017. Elle crée l'Agence de cybersécurité de Catalogne, un organisme public chargé d'assurer la protection des systèmes informatiques catalans contre les cyberattaques, qui remplace le Centre de Seguretat de la Informació de Catalunya (ca) (CESICAT).

Elle est adoptée par le Parlement le 12 juillet 2017 par 88 voix « pour » de Junts pel Sí, du PSC et de CSQP, 24 voix « contre » de Ciutadans, et 19 abstentions du PPC et de la CUP.

Contexte[modifier | modifier le code]

La cybersécurité est une préoccupation croissante en raison de l'augmentation rapide des menaces liée aux évolutions technologiques. La Généralité de Catalogne a reçu 15 millions de cyberattaques en 2013, 147,4 millions en 2014, et 215,7 millions en 2015. Elle s'est dotée d'un Plan de sécurité des technologies de l'information depuis 2009, et a créé le Centre de Seguretat de la Informació de Catalunya (ca) (CESICAT), un organisme public chargé de la protéger des attaques informatiques^[1].

La cybersécurité est également un sujet d'intérêt dans le contexte du processus indépendantiste catalan. Le conseil consultatif pour la transition nationale (CATN), organisme composé d'experts créé par le gouvernement d'Artur Mas pour le conseiller dans la conduite du processus souverainiste, a rédigé un rapport sur les technologies de l'information et de la communication, publié en décembre 2013. Celui-ci souligne qu'un État catalan indépendant devrait renforcer sa protection contre les cyberattaques. Il indique que le CESICAT (ca) n'assure pas une sécurité suffisante pour un État, et préconise de renforcer les moyens de cybersécurité^[2].

Le besoin de protection contre les attaques informatiques a été mis en évidence lors de la consultation sur l'indépendance de la Catalogne du 9 novembre 2014. Ce jour-là, la Généralité a connu la cyberattaque la plus importante qu'elle ait jamais subie, mettant hors d'usage plusieurs de ses services informatiques. Le gouvernement a soupçonné des motivations politiques à l'attaque, dont la provenance est inconnue^[3]. Cet événement a conduit les autorités politiques catalanes à renforcer ses moyens de cybersécurité. Après que le Parlement a voté une résolution demandant au gouvernement de réformer le CESICAT (ca), le gouvernement a adopté en décembre 2014 le rapport préliminaire d'un avant-projet de loi pour transformer le CESICAT (ca) en agence de cybersécurité, afin d'améliorer son efficacité. Ce projet a été ajourné par la dissolution du Parlement et l'organisation d'élections anticipées en septembre 2015^[4].

En janvier 2016, le nouveau gouvernement de Carles Puigdemont a transféré le CESICAT (ca) du département de l'entreprise et de l'emploi vers le département de la présidence. Ce changement de rattachement visait à accroître son importance en lui donnant une dimension transversale, au lieu de le cantonner à la politique économique. Il souligne qu'il s'agit d'une infrastructure stratégique dans le cadre du processus indépendantiste, car elle fait partie des « structures d'État » dont la Catalogne aurait besoin si elle devenait indépendante^[5]. Le CESICAT (ca) est placé dans un nouveau secrétariat pour la gouvernance des technologies de l'information, dirigé par l'ancien directeur général des télécommunications Jordi Puigneró, sous l'autorité de la conseillère à la présidence, Neus Munté^[6]. De plus, le plan de gouvernement, présenté en avril 2016, prévoit la création d'une agence de cybersécurité^[7]. Par ailleurs, la Généralité a progressivement augmenté les moyens financiers consacrés à la cybersécurité : le budget annuel du CESICAT (ca) est passé de 1 million d'euros en 2013 à 7,5 millions d'euros en 2017. L'accroissement des moyens a permis de réduire le nombre d'attaques informatiques : de 215 millions en 2015, elles sont passées à 103 millions en 2016^[8].

Adoption[modifier | modifier le code]

Le gouvernement adopte le projet de loi de création de l'Agence de cybersécurité de Catalogne le 26 juillet 2016. La création d'une Agence de cybersécurité vise à donner à la Généralité les moyens de répondre aux risques et aux menaces de la société numérique : elle aura pour mission d'assurer la sécurité des réseaux de communications électroniques et des systèmes d'information du secteur public en Catalogne, en collaboration avec les services de police et les autorités judiciaires. Elle se substitue au CESICAT (ca)^[9].

Le projet de loi est débattu par le Parlement de Catalogne le 20 octobre 2016. Il est défendu par la conseillère à la présidence, Neus Munté, qui souligne la nécessité de protéger les systèmes d'information de la Généralité. Ciutadans (C's) et le Parti populaire catalan (PPC) s'y opposent, mais leur amendement de rejet est repoussé par 31 voix « pour », contre 95 voix « contre » de la majorité de Junts pel Sí et des autres groupes politiques. Catalunya Sí que es Pot (CSQP), le Parti des socialistes de Catalogne (PSC) et la Candidature d'unité populaire (CUP) donnent leur accord de principe mais critiquent le contenu du texte^[10].

Le texte est ensuite examiné en commission parlementaire jusqu'en mai 2017. La négociation entre les groupes politiques permet de résoudre une grande partie des divergences. Non seulement la majorité de Junts pel Sí, mais aussi CSQP, le PSC, la CUP et le PPC donnent leur accord. Seul Ciutadans maintient son opposition de principe au projet, car il voit dans l'Agence de cybersécurité l'embryon d'une agence de renseignement ou d'espionnage^[11].

Ciutadans sollicite l'avis du Consell de Garanties Estatutàries (ca), au motif que le projet de loi donne à l'Agence de cybersécurité des compétences réservées à l'État espagnol ou à la police^[12]. Dans son avis rendu le 30 juin 2017, le Consell de Garanties Estatutàries (ca) confirme la compétence de la Généralité en matière de cybersécurité. Il conteste un seul point du projet de loi, qui confiait à l'Agence de cybersécurité la mission d'« enquêter sur et d'analyser les incidents et les cyberattaques », car il s'agit de fonctions de police qui dépassent le rôle de protection et de défense contre les agressions. En revanche, le Consell de Garanties Estatutàries (ca) valide la compétence de l'Agence de cybersécurité sur l'ensemble du « territoire de la Catalogne », c'est-à-dire non seulement pour la défense des systèmes informatiques de la Généralité, mais aussi pour contribuer à la protection de ceux des municipalités, des citoyens et des entreprises^[13].

La loi sur l'Agence de cybersécurité de Catalogne est adoptée par le Parlement le 12 juillet 2017 par 88 voix « pour » de Junts pel Sí, du PSC et de CSQP, 24 voix « contre » de Ciutadans, et 19 abstentions du PPC et de la CUP. Un seul amendement de Junts pel Sí est approuvé, pour rectifier le point contesté par le Consell de Garanties Estatutàries (ca) : il précise que l'Agence de cybersécurité est chargée d'enquêter « technologiquement » sur les cyberattaques, ce qui différencie son rôle de celui d'une enquête de police. Le débat politique se porte sur la question de savoir si la loi vise à créer l'équivalent du Centro Nacional de Inteligencia (CNI), le service de renseignement espagnol, ce qui est contredit par le rapporteur du texte, Lluís Guinó (ca) (JxSí) et les autres groupes favorables. Selon Ciutadans, la création de l'Agence de cybersécurité va permettre au gouvernement de contrôler les télécommunications, d'espionner les citoyens et d'attaquer les systèmes informatiques de ses adversaires^[14]^,^[15].

Contenu[modifier | modifier le code]

La loi crée l'Agence de cybersécurité de Catalogne : il s'agit d'un organisme public, disposant de la personnalité juridique, soumis au droit privé. Elle se substitue au Centre de Seguretat de la Informació de Catalunya (ca) (CESICAT). Sa mission est de planifier, gérer, coordonner et superviser la cybersécurité en Catalogne. Ses fonctions sont de prévenir les cyberattaques sur les réseaux de communication électroniques et les systèmes d'information publics, enquêter sur les incidents et les menaces de cyberattaques, minimiser les dégâts et les délais de rétablissement des services attaqués, et de collaborer avec les services de police et les autorités judiciaires. La loi organise le fonctionnement de l'Agence de cybersécurité, et fixe le régime juridique de ses moyens financiers, de ses contrats, de son personnel et du contrôle de son activité. Elle règle la dissolution du CESICAT (ca) et le transfert de ses activités, de son personnel, de ses biens et de ses contrats à la nouvelle Agence^[16]^,^[17].

Application[modifier | modifier le code]

L'Agence de cybersécurité de Catalogne doit être installée dans les locaux du CESICAT (ca), à l'Hospitalet de Llobregat. Elle reprend également ses 25 agents et son budget de 7,5 millions d'euros en 2017. L'objectif du gouvernement est qu'elle soit opérationnelle au premier trimestre 2018^[8].

Références[modifier | modifier le code]

↑ (ca) « El consell assessor recomana reforçar la ciberseguretat », El Punt Avui, 21 décembre 2013.
↑ (es) « El Consell Assessor propone un consejo catalano-español tras la independencia », La Vanguardia, 20 décembre 2013.
↑ (ca) « La ciberguerra del 9-N: així va ser l'atac informàtic al Govern », Ara, 11 novembre 2014.
↑ (es) « Generalitat convierte el Cesicat en agencia de ciberseguridad », El Periódico, 2 décembre 2014.
↑ (ca) « El govern vol donar "una dimensió de país" al CESICAT, l'organisme encarregat de la ciberseguretat », Ara, 14 janvier 2016.
↑ (ca) « Jordi Puigneró: «És el moment de considerar la ciberseguretat com una prioritat» », Nació Digital, 17 mars 2017.
↑ (ca) « La hisenda pròpia, la llei de pobresa energètica o més delegacions a l'exterior, entre les prioritats del govern », 324, 19 avril 2016.
↑ ^{a et b} (ca) « L’Agència de Ciberseguretat, a un clic », El Punt Avui, 12 juillet 2017.
↑ (ca) « El Govern aprova el projecte de creació de l'Agència de Ciberseguretat per fer front als riscos de la societat digital », La Vanguardia, 26 juillet 2016.
↑ (ca) « L'agència de ciberseguretat supera el primer tràmit al Parlament », Ara, 20 octobre 2016.
↑ (es) « La “ciberdefensa” catalana, a punto », La Vanguardia, 10 mai 2017.
↑ (ca) « Cs envia l'agència de ciberseguretat al Consell de Garanties i n'ajorna l'aprovació », Ara, 30 mai 2017.
↑ (ca) « El CGE avala que el Govern garanteixi la ciberseguretat a tot Catalunya sense poder "investigar els ciberatacs" », La Vanguardia, 30 juin 2016.
↑ (ca) « Llum verda a l'agència de ciberseguretat de Catalunya », Ara, 12 juillet 2017.
↑ (ca) « El Ple aprova les lleis de la renda garantida de ciutadania, fruit d'una ILP, i de l'Agència de Ciberseguretat », Parlement de Catalogne, 12 juillet 2017.
↑ (ca) « Projecte de llei de creació de l'Agència de Ciberseguretat de Catalunya », ICAB, 19 septembre 2016.
↑ (ca) « El Parlament aprova la creació de l’Agència de Ciberseguretat de Catalunya », El Nacional, 12 juillet 2017.

Annexes[modifier | modifier le code]

Articles connexes[modifier | modifier le code]

Liens externes[modifier | modifier le code]

(ca) Llei 15/2017, del 25 de juliol, de l'Agència de Ciberseguretat de Catalunya, Généralité de Catalogne.
(ca) Projecte de llei de creació de l'Agència de Ciberseguretat de Catalunya, dossier législatif, Parlement de Catalogne.

[1] (ca) « El consell assessor recomana reforçar la ciberseguretat », El Punt Avui, 21 décembre 2013.

[2] (es) « El Consell Assessor propone un consejo catalano-español tras la independencia », La Vanguardia, 20 décembre 2013.

[3] (ca) « La ciberguerra del 9-N: així va ser l'atac informàtic al Govern », Ara, 11 novembre 2014.

[4] (es) « Generalitat convierte el Cesicat en agencia de ciberseguridad », El Periódico, 2 décembre 2014.

[5] (ca) « El govern vol donar "una dimensió de país" al CESICAT, l'organisme encarregat de la ciberseguretat », Ara, 14 janvier 2016.

[6] (ca) « Jordi Puigneró: «És el moment de considerar la ciberseguretat com una prioritat» », Nació Digital, 17 mars 2017.

[7] (ca) « La hisenda pròpia, la llei de pobresa energètica o més delegacions a l'exterior, entre les prioritats del govern », 324, 19 avril 2016.

[elpuntavui-12072017-8] {a et b} (ca) « L’Agència de Ciberseguretat, a un clic », El Punt Avui, 12 juillet 2017.

[9] (ca) « El Govern aprova el projecte de creació de l'Agència de Ciberseguretat per fer front als riscos de la societat digital », La Vanguardia, 26 juillet 2016.

[10] (ca) « L'agència de ciberseguretat supera el primer tràmit al Parlament », Ara, 20 octobre 2016.

[11] (es) « La “ciberdefensa” catalana, a punto », La Vanguardia, 10 mai 2017.

[12] (ca) « Cs envia l'agència de ciberseguretat al Consell de Garanties i n'ajorna l'aprovació », Ara, 30 mai 2017.

[13] (ca) « El CGE avala que el Govern garanteixi la ciberseguretat a tot Catalunya sense poder "investigar els ciberatacs" », La Vanguardia, 30 juin 2016.

[14] (ca) « Llum verda a l'agència de ciberseguretat de Catalunya », Ara, 12 juillet 2017.

[15] (ca) « El Ple aprova les lleis de la renda garantida de ciutadania, fruit d'una ILP, i de l'Agència de Ciberseguretat », Parlement de Catalogne, 12 juillet 2017.

[16] (ca) « Projecte de llei de creació de l'Agència de Ciberseguretat de Catalunya », ICAB, 19 septembre 2016.

[17] (ca) « El Parlament aprova la creació de l’Agència de Ciberseguretat de Catalunya », El Nacional, 12 juillet 2017.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]