Avis du Comité économique et social européen sur la «Proposition de règlement du Parlement européen et du Conseil établissant le Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination»

[COM(2018) 630 final — 2018/0328 (COD)]

(2019/C 159/10)

Rapporteur: Antonio LONGO

Corapporteur: Alberto MAZZOLA

Consultation	Conseil européen, 5.10.2018 Parlement européen, 1.10.2018
Base juridique	Article 173, paragraphe 3, et articles 188 et 304 du traité sur le fonctionnement de l’Union européenne
Compétence	Section spécialisée «Transports, énergie, infrastructures et société de l’information»
Adoption en section spécialisée	9.1.2019
Adoption en session plénière	23.1.2019
Session plénière no	540
Résultat du vote (pour/contre/abstentions)	143/5/2

1.   Conclusions et recommandations

1.1.

Le Comité économique et social européen (CESE) salue l’initiative de la Commission européenne. Il estime qu’elle est utile au développement d’une stratégie industrielle en matière de cybersécurité et déterminante pour parvenir à une autonomie numérique large et solide. Ces éléments sont indispensables au renforcement des mécanismes de défense européenne face à la cyberguerre en cours, qui risque de mettre à mal les systèmes politiques, économiques et sociaux.

1.2.

Le CESE souligne que toute stratégie en matière de cybersécurité implique nécessairement une prise de conscience généralisée et des comportements sûrs de la part de tous les utilisateurs.

1.3.

Le Comité approuve les objectifs généraux de la proposition et est conscient que des aspects spécifiques de son fonctionnement feront l’objet d’une analyse ultérieure. Dans la mesure où il s’agit d’un règlement, il estime cependant qu’il convient de définir à l’avance certains points sensibles liés à la gouvernance, au financement et à la réalisation des objectifs poursuivis. Il importe que le futur Réseau et le Centre s’appuient dans toute la mesure du possible sur les cybercapacités et les connaissances spécialisées des États membres, et que le Centre qui sera créé ne concentre pas en son sein toutes les compétences. Il convient en outre d’éviter tout chevauchement entre, d’une part, les domaines d’activité du futur Réseau et du Centre et, d’autre part, les institutions et mécanismes de coopération existants.

1.4.

Le CESE est favorable à ce que la coopération soit étendue au secteur de l’industrie, sur la base d’engagements fermes sur le plan scientifique et des investissements, et à ce que ce secteur participe à l’avenir au conseil de direction. Dans l’hypothèse d’une collaboration tripartite entre la Commission européenne, les États membres et le secteur de l’industrie, la présence d’entreprises de pays tiers devrait se limiter à celles qui sont établies depuis longtemps sur le territoire de l’Union européenne et font pleinement partie de la base technologique et industrielle européenne, pour autant qu’elles soient soumises à des mécanismes d’examen et de contrôle appropriés et respectent le principe de réciprocité et les obligations de confidentialité.

1.5.

La cybersécurité nécessite un effort commun de la part de tous les États membres; ceux-ci doivent dès lors participer au conseil de direction moyennant des modalités qui restent à définir. S’agissant de la contribution financière des États membres, l’on pourrait recourir aux fonds que l’Union européenne met à la disposition de chacun d’eux.

1.6.

La proposition devrait mieux préciser selon quelles modalités le Centre pourra intervenir concernant la coordination des financements du programme pour une Europe numérique et du programme «Horizon Europe», qui font toujours l’objet de négociations, et surtout sur la base de quelles lignes directrices seront élaborés et attribués les marchés publics éventuels. Il s’agit là d’un aspect fondamental si l’on veut éviter les doublons ou les chevauchements. Par ailleurs, afin d’accroître l’enveloppe budgétaire, le CESE recommande de renforcer les synergies avec d’autres instruments financiers de l’Union européenne, par exemple les Fonds régionaux, les Fonds structurels, le MIE, le Fonds européen de la défense, InvestEU, etc.

1.7.

Le CESE considère qu’il est essentiel de définir les modalités de coopération et les relations entre le Centre européen et les centres nationaux. En outre, il importe que l’Union européenne finance les centres nationaux, au moins en ce qui concerne les coûts administratifs; cela permettra de simplifier l’harmonisation administrative et des compétences afin de réduire l’écart existant entre les États européens.

1.8.

Le Comité rappelle l’importance que revêt le capital humain, et espère que le Centre de compétences pourra, en collaboration avec les universités, les centres de recherche et les établissement d’enseignement supérieur, promouvoir une éducation et une formation d’excellence, notamment grâce à des filières d’études spécifiques dans les universités et les écoles supérieures. Il est par ailleurs essentiel de prévoir un soutien spécifique pour les start-up et les PME.

1.9.

Le CESE estime qu’il est indispensable de mieux préciser et délimiter les domaines de compétences respectifs du Centre et de l’Agence européenne chargée de la sécurité des réseaux de l’information (ENISA), de définir clairement les modalités de coopération et de soutien mutuel et d’éviter tout chevauchement de compétences et toute duplication des efforts. Des problèmes similaires se posent avec d’autres organes œuvrant dans le domaine de la cybersécurité, tels que l’Agence européenne de défense, Europol et le Centre de réponse aux incidents de sécurité informatique de l’Union européenne (CERT-UE); le CESE recommande dès lors de créer aussi des mécanismes de dialogue structuré entre ces différents organes.

2.   Cadre en vigueur en matière de cybersécurité

2.1.

La cybersécurité figure au premier plan des préoccupations de l’Union européenne dans la mesure où elle est indispensable pour garantir la protection des institutions, des entreprises et des citoyens et nécessaire au fonctionnement même des démocraties. Parmi les phénomènes les plus inquiétants figure la hausse exponentielle des logiciels malveillants diffusés en réseau au travers de systèmes automatiques: de 130 000 en 2007, le nombre de ces logiciels est passé à 8 millions en 2017. En outre, l’Union est un importateur net de produits et de solutions de cybersécurité, ce qui pose un problème sur le plan de la compétitivité économique ainsi que de la sécurité civile et militaire.

2.2.

Bien que l’Union européenne dispose de compétences et d’une expertise considérables en matière de cybersécurité, cette industrie, les universités et les centres de recherche sont toujours fragmentés, non harmonisés et dépourvus de toute stratégie commune de développement. Cela s’explique par le fait que les secteurs concernés par la cybersécurité (par exemple l’énergie, l’espace, la défense et les transports) ne bénéficient pas d’un soutien suffisant, mais aussi parce que les synergies entre les secteurs civil et militaire de la cybersécurité ne sont pas pleinement exploitées.

2.3.

En 2013, afin de faire face aux défis croissants, l’Union a défini une stratégie en matière de cybersécurité visant à favoriser un cyberécosystème fiable, sûr et ouvert (1). En 2016, elle a adopté les premières mesures spécifiques relatives à la sécurité des réseaux et des systèmes d’information (2). Ce processus a conduit à la création du partenariat public-privé (PPPc) sur la cybersécurité.

2.4.

En 2017, la communication intitulée Résilience, dissuasion et défense: doter l’Union européenne d’une cybersécurité solide (3) a mis l’accent sur la nécessité de maintenir et de développer des capacités technologiques essentielles en matière de sécurité informatique pour protéger le marché unique numérique et, notamment, les réseaux et les systèmes d’information critiques et pour fournir des services clés en matière de cybersécurité.

2.5.

L’Union doit par conséquent être en mesure d’assurer elle-même la sécurité de ses ressources et processus numériques et être compétitive sur le marché mondial de la cybersécurité, afin de parvenir à une autonomie numérique large et solide (4).

3.   Les propositions de la Commission

3.1.

Le Centre de compétences (le «Centre») aura pour objet de faciliter et de coordonner les travaux du Réseau des centres nationaux ainsi que de dynamiser la communauté des compétences en matière de cybersécurité, en faisant progresser l’agenda technologique et en facilitant l’accès à l’expertise ainsi acquise.

3.2.

À cet effet, le Centre de compétences mettra notamment en œuvre les parties pertinentes du programme pour l’Europe numérique et d’«Horizon Europe», au travers de l’octroi de subventions et de la passation de marchés. Compte tenu des investissements considérables consacrés à la cybersécurité dans d’autres régions du monde et de la nécessité de coordonner et de mutualiser les ressources pertinentes en Europe, il est proposé de créer le Centre de compétences sous la forme d’un partenariat européen sur une double base juridique, ce qui facilitera des investissements conjoints de la part de l’Union, des États membres et/ou de l’industrie.

3.3.

La proposition prévoit dès lors que les États membres contribueront de manière proportionnée aux actions du Centre de compétences et du Réseau. L’Union européenne a prévu une enveloppe budgétaire d’environ 2 milliards d’euros provenant du programme pour une Europe numérique; un montant à déterminer provenant du programme «Horizon Europe»et une contribution totale des États membres d’un montant au moins équivalent à celle de l’Union.

3.4.

L’organe décisionnel principal sera le conseil de direction. Tous les États membres seront représentés en son sein mais seuls ceux qui participent financièrement disposeront du droit de vote. Le mécanisme de vote suivra le principe d’une double majorité, exigeant 75 % des contributions financières et 75 % des voix. La Commission détiendra 50 % des voix. Le Centre sera assisté d’un comité consultatif industriel et scientifique, qui assurera le dialogue avec les entreprises, les consommateurs et les autres parties prenantes concernées.

3.5.

Le Centre serait le principal organe de mise en œuvre des ressources financières de l’Union européenne consacrées à la cybersécurité dans le cadre du programme pour une Europe numérique et du programme «Horizon Europe», en étroite collaboration avec le Réseau des centres nationaux de coordination et la communauté des compétences en cybersécurité,.

3.6.

Les États membres sélectionneront les centres nationaux de coordination. Ceux-ci devraient soit posséder, soit avoir un accès direct à une expertise technologique en matière de cybersécurité, notamment dans des domaines tels que la cryptographie, les services de sécurité des TIC, la détection d’intrusion, la sécurité des systèmes, la sécurité des réseaux, la sécurité des logiciels et des applications, ou les aspects humains et sociétaux de la sécurité et de la protection de la vie privée. Ils devraient également être en mesure d’assurer un dialogue et une coordination efficaces avec l’industrie, le secteur public, et notamment les autorités désignées en vertu de la directive (UE) 2016/1148.

4.   Observations générales

4.1.

Le CESE se félicite de l’initiative de la Commission. Il estime qu’elle est déterminante pour développer la cybersécurité en application des décisions prises lors du sommet de Tallinn de septembre 2017, à l’occasion duquel les chefs d’État ou de gouvernement ont invité l’Union européenne à devenir «un acteur mondial de premier plan dans le domaine de la cybersécurité d’ici à 2025, afin de s’assurer de la confiance de nos citoyens, consommateurs et entreprises, d’assurer leur protection en ligne et de permettre un internet libre et réglementé.»

4.2.

Le CESE rappelle qu’une véritable cyberguerre est en cours, qui risque de mettre à mal les systèmes politiques, économiques et sociaux en s’attaquant aux systèmes informatiques d’institutions, d’infrastructures critiques (énergie, transports, banques et établissements financiers...) et d’entreprises ainsi qu’en influençant les processus électoraux et démocratiques en général par la diffusion de fausses informations (5). Cette situation exige une prise de conscience forte et une réaction ferme et rapide. Aussi convient-il de définir une stratégie industrielle claire et largement partagée en matière de cybersécurité en tant que condition indispensable à la réalisation de l’autonomie numérique. Le CESE considère que le programme de travail devrait donner la priorité, en raison de leur importance pour la société, aux secteurs recensés dans la directive sur la sécurité des réseaux et de l’information [directive (UE) 2016/1148], qui s’applique aux entreprises publiques ou privées fournissant des services essentiels (6).

4.3.

Le CESE souligne que toute stratégie en matière de cybersécurité implique nécessairement une prise de conscience généralisée et des comportements sûrs de la part de tous les utilisateurs. Aussi toute initiative technologique doit-elle être assortie de campagnes d’information et de sensibilisation appropriées afin de créer une «culture de la sécurité numérique» (7).

4.4.

Le Comité approuve les objectifs généraux de la proposition et est conscient que des aspects spécifiques de son fonctionnement feront l’objet d’une analyse ultérieure. Dans la mesure où il s’agit d’un règlement, il estime cependant qu’il convient de définir à l’avance certains points sensibles liés à la gouvernance, au financement et à la réalisation des objectifs poursuivis. Il importe que le futur Réseau et le Centre s’appuient dans toute la mesure du possible sur les cybercapacités et les connaissances spécialisées des États membres, et que le Centre qui sera créé ne concentre pas en son sein toutes les compétences. Il convient en outre d’éviter tout chevauchement entre, d’une part, les domaines d’activité du futur Réseau et du Centre et, d’autre part, les institutions et mécanismes de coopération existants.

4.5.

Le CESE rappelle qu’il avait proposé, dans son avis TEN/646 sur l’Acte législatif sur la cybersécurité (8), une coopération tripartite de type PPP entre la Commission européenne, les États membres et l’industrie, y compris les PME, alors que la structure actuelle, dont la forme juridique doit encore faire l’objet d’un examen plus approfondi, prévoit, en substance, un partenariat public-public entre la Commission européenne et les États membres.

4.6.

Le CESE est favorable à ce que la coopération soit étendue au secteur de l’industrie, sur la base d’engagements fermes sur le plan scientifique et des investissements, et à ce que ce secteur participe à l’avenir au conseil de direction. La création d’un comité consultatif industriel et scientifique est susceptible de ne pas garantir un dialogue constant avec les entreprises, les consommateurs et les autres parties prenantes concernées. Par ailleurs, il ne ressort pas clairement du nouveau cadre esquissé par la Commission quel sera le rôle de l’Organisation européenne pour la cybersécurité (ECSO), créée en juin 2016 à l’initiative de la Commission en tant que partenaire de celle-ci et dont il convient de ne pas gâcher le capital en matière de réseau et de connaissances.

4.6.1.

Dans l’hypothèse d’une coopération tripartite, il importe de prêter attention au cas des entreprises des pays tiers. Plus particulièrement, le CESE souligne que cette coopération devrait s’appuyer sur un dispositif rigoureux afin d’éviter la présence d’entreprises de pays tiers susceptibles de compromettre la sécurité et l’autonomie de l’Union. Les clauses correspondantes définies dans le programme européen de développement industriel dans le domaine de la défense (EDIDP) (9) devraient également s’appliquer à cet égard.

4.6.2.

Le CESE reconnaît par ailleurs que certaines entreprises issues de pays tiers mais établies de longue date sur le sol européen et faisant pleinement partie de la base technologique et industrielle européenne, pourraient s’avérer très utiles pour les projets européens; elles devraient pouvoir avoir accès à ceux-ci pour autant que les États membres établissent des mécanismes adéquats d’examen et de contrôle desdites entreprises et que celles-ci respectent le principe de réciprocité et les obligations en matière de confidentialité.

4.7.

La cybersécurité nécessite un effort commun de la part de tous les États membres; ceux-ci doivent dès lors participer au conseil de direction moyennant des modalités qui restent à définir. Il est en outre important que tous les États contribuent financièrement et de manière adéquate à l’initiative de la Commission. S’agissant de la contribution financière des États membres, l’on pourrait recourir aux fonds que l’Union européenne met à la disposition de chacun d’eux.

4.8.

Le CESE souscrit au fait que chaque État membre soit libre de nommer son propre représentant au sein du conseil de direction du Centre européen de compétences. Il recommande de définir clairement les profils de compétence des représentants nationaux et de compléter les compétences stratégiques et techniques par des compétences administratives, budgétaires et de gestion.

4.9.

La proposition devrait mieux spécifier selon quelles modalités le Centre pourra intervenir dans la coordination des financements du programme pour une Europe numérique et du programme «Horizon Europe», qui font toujours l’objet de négociations, et surtout, sur la base de quelles lignes directrices seront élaborés et attribués les marchés publics éventuels. Il s’agit là d’un aspect fondamental si l’on veut éviter les doublons ou les chevauchements. En outre, afin d’accroître l’enveloppe financière, le CESE recommande de renforcer les synergies avec d’autres instruments financiers de l’Union européenne (par exemple les Fonds régionaux, les Fonds structurels, le MIE, le Fonds européen de la défense, InvestEU). Le Comité souhaite que le réseau des centres nationaux soit associé à la gestion et à la coordination des fonds.

4.10.

Le CESE note que le comité consultatif devrait être composé de 16 membres et qu’aucune précision n’est fournie quant à la manière dont il sera fait appel au monde de l’entreprise, aux universités, au secteur de la recherche et aux consommateurs. Le Comité estime qu’il serait utile et opportun que les membres de ce comité se distinguent par leur niveau élevé de connaissances du domaine à l’examen et qu’ils assurent une représentation équilibrée des différents secteurs concernés.

4.11.

Le CESE juge essentiel de définir les modalités de coopération et les relations entre le Centre européen et les centres nationaux. En outre, il importe que l’Union européenne finance les centres nationaux, au moins en ce qui concerne les coûts administratifs; cela permettra de simplifier l’harmonisation administrative et des compétences afin de réduire l’écart existant entre les États européens.

4.12.

Dans le fil de précédents avis (10), le CESE souligne combien il est important que les personnes travaillant dans le secteur de la cybersécurité bénéficient d’une éducation et d’une formation d’excellence, notamment dans le cadre de parcours scolaires, universitaires et postuniversitaires spécifiques. Il convient également d’apporter un soutien financier adéquat aux PME et aux start-up du secteur (11), qui sont essentielles pour développer la recherche de pointe.

4.13.

Le CESE estime qu’il est indispensable de mieux spécifier et délimiter les domaines de compétences respectifs du Centre et de l’ENISA, de définir clairement les modalités de coopération et de soutien mutuel et d’éviter tout chevauchement de compétences et toute duplication des efforts (12). La proposition de règlement prévoit qu’un délégué de l’ENISA siège en tant qu’observateur permanent au sein du conseil de direction, mais cette mesure ne garantit pas un dialogue structuré entre les deux instances. Des problèmes similaires se posent avec d’autres organismes œuvrant dans le domaine de la cybersécurité, comme l’Agence européenne de défense (EDA), Europol et le Centre de réponse aux incidents de sécurité informatique de l’Union européenne (CERT-UE). À cet égard, il est intéressant de noter qu’un protocole d’accord a été signé en mai 2018 entre l’ENISA, l’EDA, Europol et le CERT-UE.

---

(1)  JOIN(2013) 1 final.

(2)  Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1).

(3)  JOIN(2017) 450 final.

(4)  JO C 227 du 28.6.2018, p. 86.

(5)  Rapport d’information sur «L’utilisation des médias pour influencer les processus sociaux et politiques dans l’UE et les pays du voisinage oriental», Mme Vareikytė, 2014.

(6)  JO C 227 du 28.6.2018, p. 86.

(7)  JO C 227 du 28.6.2018, p. 86.

(8)  JO C 227 du 28.6.2018, p. 86.

(9)  COM(2017) 294.

(10)  JO C 451 du 16.12.2014, p. 25.

(11)  JO C 227 du 28.6.2018, p. 86.

(12)  JO C 227 du 28.6.2018, p. 86.