Procédure : 2019/2575(RSP)
Cycle de vie en séance
Cycle relatif au document : B8-0160/2019

Textes déposés :

B8-0160/2019

Débats :

Votes :

PV 12/03/2019 - 9.22

Textes adoptés :

P8_TA(2019)0156

<Date>{06/03/2019}6.3.2019</Date>
<NoDocSe>B8-0160/2019</NoDocSe>
PDF 147kWORD 54k

<TitreType>PROPOSITION DE RÉSOLUTION</TitreType>

<TitreSuite>déposée à la suite de déclarations du Conseil européen et de la Commission</TitreSuite>

<TitreRecueil>conformément à l’article 123, paragraphe 2, du règlement intérieur</TitreRecueil>


<Titre>sur les menaces pour la sécurité liées à la présence technologique croissante de la Chine dans l’UE et les actions possibles à l’échelle de l’UE pour les réduire</Titre>

<DocRef>(2019/2575(RSP))</DocRef>


<RepeatBlock-By><Depute>Reinhard Bütikofer</Depute>

<Commission>{Verts/ALE}au nom du groupe Verts/ALE</Commission>

</RepeatBlock-By>

Voir aussi la proposition de résolution commune RC-B8-0154/2019

B8-0160/2019

Résolution du Parlement européen sur les menaces pour la sécurité liées à la présence technologique croissante de la Chine dans l’UE et les actions possibles à l’échelle de l’UE pour les réduire

(2019/2575(RSP))

Le Parlement européen,

 vu la directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen[1],

 vu la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union[2],

 vu la directive 2013/40/UE du Parlement européen et du Conseil du 12 août 2013 relative aux attaques contre les systèmes d’information et remplaçant la décision-cadre 2005/222/JAI du Conseil[3],

 vu la proposition de la Commission du 13 septembre 2017 d’un règlement du Parlement européen et du Conseil relatif à l’ENISA, Agence de l’Union européenne pour la cybersécurité, et abrogeant le règlement (UE) nº 526/2013, et relatif à la certification des technologies de l’information et des communications en matière de cybersécurité (règlement sur la cybersécurité) (COM(2017)0477),

 vu la proposition de la Commission du 12 septembre 2018 de règlement du Parlement européen et du Conseil établissant le Centre européen de compétences industrielles, technologiques et de recherche en matière de cybersécurité et le Réseau de centres nationaux de coordination (COM(2018)0630),

 vu la loi chinoise sur les renseignements nationaux du 28 juin 2017 et la loi chinoise sur la sécurité de l’État du 1er juillet 2015,

 vu les déclarations du Conseil et de la Commission du 13 février 2019 sur les menaces pour la sécurité liées à la présence technologique croissante de la Chine dans l’UE et les actions possibles à l’échelle de l’UE pour les réduire,

 vu l’adoption par le gouvernement australien de réformes de la sécurité du secteur des télécommunications du gouvernement, en vigueur depuis le 18 septembre 2018,

 vu sa position adoptée en première lecture le 14 février 2019 sur la proposition de règlement du Parlement européen et du Conseil établissant un cadre pour le filtrage des investissements directs étrangers dans l’Union européenne[4],

 vu ses résolutions sur les relations entre l’Union européenne et la Chine, et notamment celle du 12 septembre 2018 sur l’état des relations entre l’Union européenne et la Chine[5],

 vu la communication de la Commission du 14 septembre 2016 intitulée «Un plan d’action pour la 5G en Europe» (COM(2016)0588),

 vu sa résolution du 1er juin 2017 sur la connectivité internet pour la croissance, la compétitivité et la cohésion: société européenne du gigabit et 5G[6],

 vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)[7],

 vu le règlement (UE) nº 1316/2013 du Parlement européen et du Conseil du 11 décembre 2013 établissant le mécanisme pour l’interconnexion en Europe, modifiant le règlement (UE) nº 913/2010 et abrogeant les règlements (CE) nº 680/2007 et (CE) nº 67/2010[8],

 vu le programme pour une Europe numérique,

 vu l’article 123, paragraphe 2, de son règlement intérieur,

A. considérant que l’Union européenne a promu la numérisation de son industrie et le déploiement des réseaux et équipements de nouvelle génération et qu’elle s’est efforcée activement d’être pionnière en matière de 5G;

B. considérant que certaines vulnérabilités des réseaux 5G pourraient être exploitées pour compromettre des systèmes informatiques, ce qui pourrait potentiellement nuire gravement à l’économie au niveau européen et national; qu’une approche fondée sur l’analyse des risques dans l’ensemble de la chaîne de valeur est nécessaire pour réduire ces risques à leur minimum;

C. considérant que le réseau 5G constituera l’épine dorsale de notre infrastructure numérique, en étendant la possibilité de connecter divers équipements aux réseaux (internet des objets, etc.), et sera source de nouveaux avantages et de nouvelles opportunités pour la société et les entreprises dans de nombreux domaines, y compris des secteurs essentiels de l’économie, comme les transports, l’énergie, la santé, la finance, les télécommunications, la défense, l’espace et la sécurité;

D. considérant que le Parlement a appelé de ses vœux à de nombreuses reprises la définition d’une stratégie européenne pour accroître l’indépendance informatique et le respect de la vie privée en ligne qui dynamiserait encore le secteur informatique de l’Union européenne;

E. considérant que des préoccupations ont été formulées au sujet de fabricants d’équipements de pays tiers qui pourraient présenter un risque pour la sécurité de l’Union en raison de la législation de leur pays d’origine, en particulier après l’adoption de la loi chinoise sur les renseignements nationaux, qui présente une définition très vaste de la sécurité nationale et instaure l’obligation pour tous les citoyens, entreprises et autres entités de coopérer avec le gouvernement afin de préserver la sécurité de l’État; qu’il n’existe aucune garantie que ces obligations n’auront pas d’application extraterritoriale; que les réactions face aux réglementations chinoises ont été très différentes entre des pays tels que les États-Unis, l’Australie et la Nouvelle-Zélande, allant d’une simple évaluation de la sécurité à une interdiction pure et simple;

F. considérant que l’accès au marché est déjà soumis à la condition du respect des règles européennes pour un grand nombre de produits, mais que la cybersécurité ne fait pas encore partie des exigences et que les systèmes de certification prévus par le règlement sur la cybersécurité ne fournissent pas de réponse adéquate face à l’urgence de la situation, en particulier en cas d’omniprésence de connexions et d’appareils connectés;

G. considérant qu’il y a déjà eu des incidents liés à la sécurité au sein de l’Union en raison de failles dans les réseaux de communication, y compris un accès non autorisé à l’opérateur belge de télécommunications qui fournit des services aux institutions européennes;

H. considérant qu’une enquête approfondie est nécessaire pour découvrir si les appareils, ou tout autre appareil ou fournisseur, impliqués dans ces incidents présentent des risques pour la sécurité en raison de la présence de «portes dérobées» vers les systèmes;

I. considérant que les solutions choisies devraient être coordonnées et traitées à l’échelon de l’Union pour éviter de se retrouver avec des niveaux de sécurité différents et d’éventuelles failles dans la cybersécurité; qu’une coordination est également nécessaire à l’échelle mondiale pour répondre avec fermeté à ce phénomène;

J. considérant que les avantages du marché unique vont de pair avec l’obligation de respecter les normes de l’Union et son cadre juridique, et que les fournisseurs ne devraient pas faire l’objet de différences de traitement en fonction de leur pays d’origine;

K. considérant que le règlement de l’Union à venir établissant un cadre pour le filtrage des investissements directs étrangers dans l’Union européenne présente une liste de facteurs qui sont jugés liés à la sécurité et à l’ordre public, et qui comprennent les infrastructures critiques, telles que les infrastructures de communication, les technologies critiques, la cybersécurité, l’accès aux informations sensibles et la liberté de contrôler lesdites informations; que des facteurs tels que le fait de savoir si un investisseur étranger est contrôlé indirectement par le gouvernement du pays d’origine doivent être considérés comme intéressant la sécurité et l’ordre public; que le règlement couvre également des projets et programmes revêtant un intérêt pour l’Union tels que les réseaux transeuropéens de télécommunications et Horizon 2020; que le règlement établit un mécanisme qui permet à la Commission et aux États membres de coopérer pour évaluer les risques pour la sécurité que présentent des investissements directs étrangers;

1. estime que l’Union devrait se poser en chef de file de la cybersécurité à l’aide d’une approche commune fondée sur l’utilisation efficiente et efficace des connaissances d’expert de l’Union, des États membres et de l’industrie, étant donné qu’un patchwork de décisions nationales divergentes nuirait au marché unique numérique;

2. souligne l’importance d’élaborer rapidement une approche européenne de la sécurité des infrastructures en vue du déploiement de la technologie 5G, en tenant compte des risques pour la sécurité et l’ordre public qui découleraient d’une influence et d’une ingérence de pays tiers; souligne qu’il en va de la sécurité de l’Union et de ses intérêts fondamentaux;

3. se félicite de la prochaine entrée en vigueur en vigueur d’un règlement établissant un cadre pour le filtrage des investissements directs étrangers pour des motifs de sécurité et d’ordre public, et souligne que ce règlement établit pour la première fois une liste de domaines et de facteurs qui intéressent la sécurité et l’ordre public au niveau de l’Union européenne;

4. se dit vivement préoccupé par les informations récentes selon lesquelles le matériel 5G mis au point par les entreprises chinoises contiendrait des portes dérobées incorporées permettant aux fabricants et aux autorités chinoises d’accéder, sans y être autorisés, aux données et aux télécommunications des citoyens et des entreprises de l’Union; s’inquiète également de la présence éventuelle de points faibles importants dans le matériel 5G développé par ces fabricants s’il venait à être installé lors du déploiement des réseaux 5G dans les années à venir; demande à la Commission et aux États membres d’envisager d’interdire les fournisseurs de matériel 5G qui ne sont pas en mesure d’apporter des garanties adéquates en matière de sécurité;

5. souligne que les enjeux de sécurité des réseaux et du matériel sont semblables dans le monde entier et invite l’Union à tirer des enseignements de l’expérience disponible pour pouvoir garantir les normes les plus élevées de cybersécurité; estime que si le respect des exigences de sécurité ne peut être garanti, il convient d’appliquer des mesures adéquates; relève que, dans le cadre de l’évaluation du niveau de sécurité, l’Union devrait demander des assurances crédibles et substantielles, en particulier lorsqu’une entreprise n’est pas cotée en bourse, dispose de structures organisationnelles opaques et n’est pas transparente quant à son financement et ses processus décisionnels;

6. invite les États membres à informer la Commission de toute mesure nationale qu’ils entendent adopter afin de coordonner la réponse de l’Union pour garantir des normes de cybersécurité particulièrement élevées dans l’ensemble de l’Union;

7. réaffirme que toute entité qui fournit du matériel ou des services dans l’Union, quel que soit son pays d’origine, doit se conformer aux obligations en matière de droits fondamentaux et à la législation de l’Union et des États membres, y compris le cadre juridique en matière de respect de la vie privée, de protection des données et de cybersécurité;

8. invite la Commission à évaluer la solidité du cadre juridique de l’Union afin d’apporter une réponse aux inquiétudes concernant la présence de matériel vulnérable dans les secteurs stratégiques et les infrastructures de base; demande instamment à la Commission de présenter des initiatives, y compris des propositions législatives s’il y a lieu, pour remédier en temps utile à toute défaillance détectée étant donné que l’Union est dans un processus constant de repérage et de correction des problèmes de sécurité et d’amélioration de la résilience en matière de cybersécurité dans l’Union;

9. invite instamment les États membres qui n’ont pas encore transposé intégralement la directive sur la sécurité des réseaux et des systèmes d’information (directive SRI) à le faire sans attendre et demande à la Commission de suivre étroitement cette transposition pour veiller à ce que ses dispositions soient correctement appliquées et respectées et que les citoyens européens soient mieux protégés des menaces extérieures et intérieures sur la sécurité;

10. salue et appuie l’accord conclu sur le règlement sur la cybersécurité et le renforcement du mandat de l’Agence de l’Union européenne chargée de la sécurité des réseaux et de l’information (ENISA) pour mieux aider les États membres à lutter contre les menaces et les attaques en matière de cybersécurité;

11. rappelle que la cybersécurité requiert des exigences élevées en matière de sécurité; demande des réseaux et produits qui soient sûrs par défaut et dès la conception; demande instamment à la Commission de charger l’ENISA d’accorder la priorité à la définition d’un système de certification du matériel 5G afin de veiller à ce que le déploiement de la 5G dans l’Union réponde aux normes de sécurité les plus élevées et résiste aux portes dérobées ou à d’autres failles importantes qui mettraient en danger la sécurité des réseaux de télécommunications et des services correspondants dans l’Union; recommande d’accorder une attention particulière aux processus, produits et logiciels communément utilisés qui ont, de par leur ampleur, une incidence importante sur la vie quotidienne des citoyens et l’économie;

12. se félicite des propositions relatives aux centres de compétences en matière de cybersécurité et à un réseau de centres nationaux de coordination qui est conçu pour aider l’Union à garder et à développer les capacités technologiques et industrielles nécessaires pour sécuriser son marché unique numérique;

13. salue le programme pour une Europe numérique qui impose des exigences de sécurité et le contrôle de la Commission sur les entités établies dans l’Union européenne mais contrôlées depuis des pays tiers, en particulier pour les actions liées à la cybersécurité; souligne l’importance d’exclure toute ingérence en matière de sécurité générée par des demandes de coopération en matière de renseignement adressées par des autorités de pays tiers;

14. invite les États membres à veiller à ce que les institutions publiques et les entreprises privées contribuant au bon fonctionnement de réseaux d’infrastructures critiques comme les télécommunications, l’énergie, la santé et les système sociaux réalisent des évaluations adéquates des risques en tenant compte des menaces pour la sécurité liées spécifiquement aux caractéristiques techniques du système qui les concerne ou à la dépendance à l’égard de fournisseurs externes de matériel et de logiciels informatiques;

15. rappelle que le cadre juridique actuel sur les télécommunications commande aux États membres de veiller à ce que les opérateurs de télécommunications respectent l’intégrité et la disponibilité des réseaux publics de communications électroniques et que le chiffrement, et de préférence le chiffrement de bout en bout, constitue un moyen de régler certains problèmes de sécurité; souligne que, d’après le code européen des communications électroniques, les États membres disposent de tous les pouvoirs nécessaires pour mener des enquêtes et appliquer un large éventail de mesures correctives en cas de non-conformité des produits sur le marché de l’Union;

16. demande à la Commission et aux États membres de faire de la sécurité un aspect obligatoire dans toutes les procédures de passation de marchés publics en ce qui concerne les infrastructures au niveau national et de l’Union, y compris, s’il y a lieu, de rendre obligatoire le respect des normes et des exigences techniques européennes visant à renforcer la résilience et à remédier aux risques en matière de sécurité;

17. demande aux autorités nationales de protection des données et au contrôleur européen de la protection des données d’examiner attentivement les indices de violation de données de la part de fabricants extérieurs et d’imposer des sanctions adéquates conformément à la législation européenne relative à la protection des données;

18. réaffirme que l’Union européenne doit promouvoir la cybersécurité tout au long de la chaîne de valeur, de la recherche jusqu’au déploiement et à l’adoption de technologies clés, diffuser les informations en la matière et promouvoir des programmes de formation sur la cybersécurité, et estime que le programme pour une Europe numérique fait partie des outils efficaces pour y parvenir;

19. demande instamment et aux États membres de prendre les mesures nécessaires pour créer un environnement favorable à l’innovation au sein de l’Union européenne qui devrait être accessible à toutes les entreprises de l’économie numérique de l’Union, y compris les petites et moyennes entreprises (PME), et qui devrait permettre aux fabricants européens de développer de nouveaux produits, services et technologies pour gagner des parts de marché par rapport à leurs concurrents des pays tiers;

20. demande à la Commission d’évaluer l’aspect de cybersécurité de la surveillance et du contrôle du marché et de proposer des mesures pour parer efficacement aux risques en matière de cybersécurité; rappelle que les acteurs européens du secteur, et en particulier les PME, sont exposés au risque de concurrence déloyale d’acteurs aidés par l’État, d’acquisition stratégique et d’accès non autorisé à leurs données; estime que ces acteurs du secteur devraient être associés à l’élaboration de mesures législatives potentielles;

21. demande à la Commission d’intégrer des exigences en matière de sécurité informatique lors de la révision du nouveau cadre législatif relatif à la sécurité des produits;

22. invite le Conseil à accélérer ses travaux sur la proposition de règlement «vie privée et communications électroniques», et à tenir compte du chiffrement obligatoire de bout en bout et de l’interdiction des portes dérobées imposées par les pouvoirs publics proposés par le Parlement dans sa position adoptée en première lecture;

23. invite le Conseil européen à envisager de prendre des mesures conformément aux recommandations exprimées dans la présente résolution lors de sa prochaine réunion le 21 mars 2019;

24. charge son Président de transmettre la présente résolution au Conseil et à la Commission.

[1] JO L 321 du 17.12.2018, p. 36.

[2] JO L 194 du 19.7.2016, p. 1.

[3] JO L 218 du 14.8.2013, p. 8.

[4] Textes adoptés de cette date, P8_TA(2019)0121.

[5] Textes adoptés de cette date, P8_TA(2018)0343.

[6] JO C 307 du 30.8.2018, p. 144.

[7] JO L 119 du 4.5.2016, p. 1.

[8] JO L 348 du 20.12.2013, p. 129.

Dernière mise à jour: 8 mars 2019Avis juridique