III. LE DISPOSITIF PROPOSÉ
L'approche française de la sécurisation des réseaux de 5G ne fait pas reposer autant qu'aux États-Unis la résilience de ces réseaux sur le seul agrément des équipementiers. Au contraire, l'objectif poursuivi consiste à établir un cadre clair pour que les industriels planifient leurs investissements permettant à l'État de maîtriser, grâce à un nouveau régime d'autorisation administrative, le déploiement de certains des équipements, tant matériels que logiciels, afin de conserver la maîtrise de l'architecture et de s'assurer de la résilience des réseaux de 5G. Il procède d'un souci d'équilibre entre les impératifs de sécurité et de soutien au développement du numérique sur l'ensemble du territoire.
A. UN RÉGIME D'AUTORISATION DESTINÉ À PRÉSERVER LES INTÉRÊTS DE LA DÉFENSE ET DE LA SÉCURITÉ NATIONALE
L' article 1 er tend à insérer au chapitre II du titre I du livre II du code des postes et des communications électroniques une nouvelle section intitulée « Régime d'autorisation préalable de l'exploitation des équipements de réseaux radioélectriques » et composée de trois articles.
Le nouvel article L. 34-11 ( alinéa 4 ) soumet à une autorisation du Premier ministre l'exploitation, sur le territoire national, « d'appareils, à savoir tous dispositifs matériels ou logiciels » qui permettent la connexion au réseau radioélectrique mobile .
1. Un régime d'autorisation fondé sur l'importance stratégique de la résilience des réseaux
La rédaction proposée pour le I. de l'article L. 34-11 du code précité par les alinéas 4 et 5 vise à soumettre à une autorisation préalable du Premier ministre l'exploitation, sur le territoire national, certains appareils , « à savoir tous dispositifs matériels ou logiciels » , permettant de connecter les terminaux des utilisateurs finaux au réseau radioélectrique mobile, dès lors que « leurs fonctions présentent un risque pour l'intégrité, la sécurité et la continuité de l'exploitation » dudit réseau.
L'autorisation est explicitement « destinée à préserver les intérêts de la défense et de la sécurité nationale » ce qui constitue une base juridique nouvelle par rapport au droit existant fondé sur la protection des correspondances et de la vie privée ( voir supra p.25 ). Le régime proposé ne se substitue pas au régime existant dit du « 226-3 du code pénal », mais le complète.
2. Un régime applicable aux opérateurs d'importance vitale dans le secteur des télécommunications.
a) Le régime nécessaire en raison de la « criticité » élevée de leur activité
L'obligation porte ainsi sur les seuls opérateurs d'importance vitale exploitants de réseaux de communication téléphonique ouverts au public alors que le régime prévu pour l'application de l'article 226-3 du code pénal porte sur les équipementiers (article R.226-3) et sur les opérateurs (article R. 226-7).
Les opérateurs visés par cette autorisation sont les opérateurs reconnus d'importance vitale (OIV) en application des articles L. 1332-1 du code de la défense, appartenant au secteur des télécommunications qui exploitent ces appareils directement ou par l'intermédiaire de leurs fournisseurs en vertu de leur activité d'exploitant, direct ou par l'intermédiaire de tiers fournisseurs, d'un réseau de communications électroniques ouvert au public. La liste de ces opérateurs est confidentielle, mais on peut avancer sans trop de risque qu'elle comprend les quatre principaux opérateurs nationaux.
b) Un régime qui ne s'applique pas aux opérateurs dits verticaux
L'Assemblée nationale avait adopté dans un premier temps un amendement de sa commission de la défense et des forces armées tendant à étendre ces règles à l'ensemble des opérateurs d'importance vitale et non aux seuls assurant une activité d'exploitants d'un réseau de communications électroniques ouvert au public. Cette extension du champ d'application de la proposition de loi visait au sein des OIV, les opérateurs dits « verticaux », c'est-à-dire ceux qui pour les besoins de leurs activités utilisent des réseaux de radiocommunication privée (« Private Mobile Radiocommunication »/ PMR) .
|
Les réseaux « PMR » Les réseaux mobiles professionnels (dits PMR) sont des réseaux mobiles indépendants, d'ampleur généralement locale ou régionale, exploités par des entreprises de tailles très diverses (depuis le professionnel indépendant jusqu'aux grands groupes) et de différents secteurs d'activités pour leurs propres usages professionnels, tels que les transports (entreprises de transports routiers, sociétés de bus, de taxis, services aéroportuaires, sociétés d'autoroutes, ambulanciers...), la sécurité et le gardiennage, le bâtiment et les travaux publics, l'énergie (sociétés de distribution d'électricité), l'industrie, des associations dans le cadre d'activités sportives ou de loisirs. Des réseaux « PMR » sont également utilisés par certains services de l'État, des hôpitaux, des collectivités locales, ainsi que certains établissements publics. |
|
Comme les autres utilisations du spectre par des services de communications électroniques, l'utilisation de fréquences par de tels réseaux est soumise à autorisation d'utilisation de fréquences délivrée par l'ARCEP. Ce n'est toutefois pas le cas de ceux exploités par le ministère de l'intérieur et le ministère de la défense qui sont eux-mêmes affectataires de bandes de fréquences au même titre que l'ARCEP. Les utilisations de réseaux professionnels concernent un nombre très élevé d'installations. En avril 2018, 24 916 réseaux PMR avaient fait l'objet d'une autorisation attribuée à titre individuel par l'ARCEP. À cela s'ajoutent les nombreuses utilisations dans des bandes libres, c'est-à-dire non soumises à autorisation individuelle. Les conditions générales d'établissement et d'exploitation de ces réseaux sont définies aux articles L. 33-2 et D. 99 et suivants du code des postes et des communications électroniques (CPCE). Les exploitants de réseaux indépendants peuvent bénéficier d'attribution de fréquences dans les limites prévues aux articles L. 42 et suivants du CPCE. Dans les bandes de fréquences 50 MHz, 60 MHz, 80 MHz, 160 MHz et 400 MHz, dont l'ARCEP est affectataire, l'utilisation de ces fréquences est soumise à une autorisation préalable délivrée par l'ARCEP à l'utilisateur à titre individuel. Ces réseaux reposent aujourd'hui sur des technologies robustes mais bas débit (2G). Aussi depuis le 9 mai 2019 l'ARCEP attribue, sous réserve de leur disponibilité, les fréquences 2575 - 2615 MHz de la bande 2,6 GHz TDD dans des zones circonscrites de France métropolitaine, correspondant aux zones où une couverture mobile spécifique est nécessaire afin de répondre aux besoins de couverture en très haut débit des professionnels. |
L'Assemblée nationale a finalement renoncé à cette disposition à la demande du gouvernement après que celui-ci a sollicité une deuxième délibération.
Le gouvernement considère que le risque est suffisamment couvert par les dispositions applicables aux OIV, qu'il s'agisse de celles relatives aux plans de continuité ( voir supra p.19 ) de service ou de celles relative à la sécurité des systèmes d'information, et que ces dispositions sont, en l'état, suffisantes. En effet, ces opérateurs verticaux ne sont pas désignés OIV en vertu des réseaux qu'ils opèrent, mais au titre d'autres activités. L'impact d'un dysfonctionnement de leur réseau de communications mobiles sur ces activités critiques dépendra tant de l'usage que ces opérateurs verticaux feront de leurs réseaux 5G, que de l'adhérence éventuelle de leurs activités critiques à ces réseaux. La contribution de ces réseaux aux activités d'importance vitale des opérateurs verticaux pourrait être appréciée dans le cadre des dispositions régissant ces activités (découlant des articles L. 1332-6-1 et suivants du code de la défense), mais n'est pas avérée a priori et ne semble par conséquent pas justifier à ce stade une logique d'autorisation préalable 48 ( * ) .
Il considère également que les possibilités de « privatisation » de parties des réseaux des opérateurs de réseaux de télécommunication ouverts au public (slicing) au profit d'OIV inciteront au développement de certains services via ces réseaux couverts par les dispositions de la présente proposition de loi.
|
La 5G offre une opportunité aux opérateurs « verticaux » de sortir du concept de réseaux privatifs pour certaines utilisations Dans le cadre de la consultation publique de l'Arcep « Attribution de nouvelles fréquences pour la 5G », certains opérateurs verticaux ont indiqué leur intérêt pour la technologie 5G mise en oeuvre dans un modèle de réseau grand public, si toutefois son introduction dans les réseaux des opérateurs nationaux ouvre la voie à l'émergence d'offres innovantes, performantes aussi bien sur le plan technique qu'économique, et capables de supporter des usages métiers que les réseaux grand public 4G n'adressent pas. En d'autres termes, ils se tiennent à l'écoute des opérateurs mobiles qui ambitionnent de fournir à des acteurs verticaux, via la technologie 5G, des solutions permettant à ceux-ci de sortir du concept de réseaux privatifs. Le modèle de réseau privatif, mis en oeuvre de longue date par les opérateurs verticaux, restera pertinent, pour tous les environnements métiers non adressables par des réseaux grand public. C'est typiquement le cas aujourd'hui, eu égard : - aux environnements contraints ou zones spécifiques (par exemple espaces souterrains, tunnels, emprises nucléaires, zones techniques profondes) au sein desquels les acteurs professionnels exercent leurs missions ; - au respect des dispositions légales (par exemple celles de la loi de programmation militaire) auxquelles sont soumis certains acteurs professionnels. - à la nécessité en termes de sécurité de l'activité de disposer de réseaux redondés pour maintenir la continuité et l'intégrité du service. |
Enfin, s'agissant d'applications nouvelles ou innovantes, développées par des OIV ou par d'autres opérateurs :
• soit elles se développeront via les réseaux des opérateurs de réseaux de télécommunications ouverts au public et auxquels cas, elles relèveront des dispositions proposées,
• soit il s'agira de services assimilables à ceux proposés par ces opérateurs auxquels cas ces opérateurs « verticaux » seront assimilés à des opérateurs de réseaux de télécommunications ouverts au public. Ils pourraient, par ailleurs, voir leurs activités d'importance vitale amendées pour inclure les réseaux de télécommunications, si le périmètre de ces derniers leur conférait une criticité au regard des enjeux de défense et de sécurité nationale,
• soit enfin, ces réseaux seront privatifs et dans cette hypothèse il faudra analyser les risques au regard de la sécurité nationale et, le cas échéant, les intégrer dans la liste des opérateurs d'importance vitale.
La maturité actuelle de la 5G ne permet pas, à ce stade, d'envisager ou d'imaginer tous les développements d'activités et de services possibles, ni leurs modalités. Il est sans doute prématuré d'intervenir dès aujourd'hui pour mettre en place un cadre juridique qui risque de s'avérer inadapté, ou trop large ou trop contraignant et décourageant le développement des opportunités offertes par ces technologies.
Votre rapporteur en convient. Ce faisant, il souhaite que le SGDSN et l'ANSSI, ainsi que les ministères concernés par les activités d'importance vitale soient extrêmement attentifs aux évolutions en cours et vigilants dans l'appréciation des activités d'importance vitale pour en revoir régulièrement le périmètre , dans le contrôle des déclarations des systèmes d'information des OIV asservies aux nouvelles activités des OIV, et dans l'adaptation des prescriptions des plans de continuité et des contrôles de l'ANSSI sur les systèmes d'information d'importance vitale.
Au-delà de l'adaptation du cadre réglementaire, il souhaite qu'une évaluation du dispositif prévu par la présente proposition puisse intervenir régulièrement au regard du développement des nouveaux services et activités mis en oeuvre ou projetés et qu'au besoin, la loi puisse être adaptée ou étendue afin d'assurer de préserver les intérêts de défense et de sécurité nationale qui constituent la finalité de cette évolution législative. En effet, si comme certains le prévoient, la frontière entre réseaux publics et réseaux privés s'efface, le risque systémique s'étendra probablement au-delà des réseaux des quatre grands opérateu rs de téléphonie mobile actuels et il y aura peut-être lieu à intervenir si les dispositifs mis en place s'avèrent insuffisants.
À ce stade, à la différence de l'Allemagne 49 ( * ) , les premières enchères pour l'exploitation de fréquences destinées à l'installation de réseau de 5G, dont les résultats sont attendus à la fin de l'année, ne seraient ouvertes qu'aux opérateurs de télécommunications. Dans la lettre d'orientation adressée au Président de l'ARCEP le 10 mai 2019 50 ( * ) , les ministres indiquent que « s'il ne considère pas a priori nécessaire de réserver une partie du spectre pour de tels acteurs le gouvernement souhaite que l'ARCEP s'assure que les opérateurs qui bénéficieront d'autorisations dans cette bande de fréquences permettront aux acteurs des « verticales » de l'économie de solliciter dans des conditions financières et opérationnelles adaptées à leurs besoins y compris dans les zones peu denses du territoire, et notamment dans des territoires d'industrie » .
3. Un régime qui couvre un nombre important mais limité d' « appareils »
Le régime proposé, constitue un nouveau régime d'autorisation qui dans un objectif de stricte suffisance est limité aux appareils qui « présentent un risque pour l'intégrité, la sécurité et la continuité de l'exploitation du réseau » et exclut les appareils installés chez les utilisateurs finaux ( alinéa 4 ).
Les opérateurs de communications électroniques principalement concernés par les dispositions de cet article sont contraints de s'équiper en appareils de réseau sur un marché oligopolistique : Nokia, Ericsson et Huawei sont leurs principaux équipementiers, tandis que Samsung fait office d'entrant potentiel, concentré toutefois sur les équipements 5G et que CISCO fournit principalement des systèmes spécifiques des routeurs et des interrupteurs.
Présence des équipementiers
|
Huawei |
Ericsson |
Nokia |
Samsung |
|
|
Part de marché (Monde) * |
21% |
27% |
22% |
5% |
|
Part des équipements (France)** |
28,72% |
28,55% |
42,73% |
0% |
(*)IHS Markit, 2018, https://techblog.comsoc.org/2019/04/03/huawei-led-global-4g-lte-infrastructure-market-which-totalled-22-9b-in-2018/
(**) Part des sites équipés tous opérateurs confondus (source : FFT)
a) Les appareils concernés
Ces appareils figureront sur une liste établie par arrêté du Premier ministre ( alinéa 6 ) après avis de l'ARCEP. Cet arrêté est actuellement en préparation de façon à ce que les opérateurs puissent prendre connaissance de cette liste avant de planifier leurs investissements.
La liste de ces appareils ne coïncidera pas nécessairement avec celle prévue à l'article R 226-1 du code pénal pour la délivrance des autorisations de fabrication, d'importation, d'exposition, d'offre de location ou de vente » délivrées aux fournisseurs au titre de l'article R 226-3 et d'acquisition ou de détention aux opérateurs en application de l'article R 226-7 du même code. La coïncidence sera sans doute plus grande à partir du 1 er octobre 2021 lorsque la liste des appareils visés par l'article R 226-1 sera étendue en application de l'arrêté du 11 août 2016 pris pour l'application de l'article 23 de la loi n° 2013-1168 du 18 décembre 2013 de programmation militaire (2014-2019) ( voir supra p.26 ) mais ne sera pas totale. Certains appareils relèveront des deux régimes, d'autre d'un seul des deux, car ils n'obéissent pas aux mêmes finalités et les modalités de contrôle seront différentes même si ce contrôle est réalisé par le même centre d'expertise de l'ANSSI. Il n'est pas envisagé de conditionner systématiquement les autorisations au titre de l'article L. 34-11 à l'obtention préalable d'une autorisation au titre de l'article R.226-3, dans la mesure où les deux dispositifs n'ont pas strictement les mêmes champs d'application.
b) L'exclusion des appareils installés chez les utilisateurs finaux
L'exclusion des équipements déployés chez les utilisateurs finaux vise à sortir du champ du contrôle tant les équipements terminaux, que les équipements de desserte locale à très courte portée déployés au profit d'un utilisateur particulier, dont l'exploitation ne se fait pas stricto sensu sous la responsabilité de l'opérateur qui les a déployés ou mis à disposition de ses clients, et qui ne sont en tout état de cause pas associés à un enjeu sécuritaire auquel la proposition de loi apporte une réponse..
Cette exclusion ne vise en revanche pas à exclure du champ du contrôle les réseaux professionnels d'entreprises (de type PMR). Ces réseaux seront de fait exclus du contrôle, centré sur les réseaux ouverts au public, dès lors qu'ils reposeront sur des infrastructures dédiées, et non mutualisées avec les réseaux publics. Les évolutions technologiques apportées par la 5G (en particulier, le slicing , permettant de construire plusieurs réseaux virtuels sur une même infrastructure) conduisent néanmoins d'envisager, à terme, des réseaux professionnels adossés aux réseaux publics, et qui en partageraient les éléments d'infrastructure. Il entre bien dans l'objet de la proposition de loi de soumettre, dans ce cas, les éléments d'infrastructure mutualisés au contrôle.
4. Une procédure d'autorisation a priori
La rédaction proposée pour le II. de l'article L. 34-11 du code des postes et des communications électroniques décrit la procédure de présentation de demandes et en fixe la durée des autorisations délivrées.
a) La demande est présentée par l'opérateur
L' alinéa 7 confirme que l'autorisation est octroyée après examen d'un dossier de demande remis par l'opérateur. Celui-ci est donc bien l'interlocuteur unique du Premier ministre et du service instructeur l'ANSSI. Il est responsable de la cohérence de l'architecture de son réseau et de la fiabilité de son exploitation, des équipements mis en oeuvre, et des modes d'organisation retenus, notamment par le recours à la sous-traitance de certaines fonctions.
La virtualisation et le passage à des implémentations logicielles des principaux équipements confèrent une liberté accrue aux opérateurs dans les choix de déploiement et de mise en oeuvre de ces équipements et, par conséquent, un rôle accru dans leur sécurisation. Ceci justifie que le régime de contrôle proposé porte sur les modalités d'exploitation, et donc les opérateurs qui en ont la responsabilité, plutôt que sur les seules caractéristiques propres des équipements.
b) Un régime aussi souple que possible pour les mises à jour
Le premier alinéa du texte proposé ( alinéa 7 ) précise que l'autorisation est donnée pour « un ou plusieurs modèles » et « une ou plusieurs versions » des appareils susmentionnés.
Il s'agit d' éviter que toute mise à jour logicielle ou que toute modification technique d'un équipement déjà contrôlé soit systématiquement soumise à une nouvelle procédure d'autorisation préalable, dans les mêmes formes que l'autorisation initiale.
Ainsi, l'ANSSI pourra choisir de traiter les mises à jour au cas par cas, suivant trois modalités :
• pour les cas les plus simples, l'autorisation du matériel ou du logiciel initial pourra porter également sur certains types de mises à jour ;
• le cas échéant, l'ANSSI pourra assortir l'autorisation du matériel ou du logiciel initial d'une obligation de déclaration de certains types de mises à jour ;
• pour les cas comportant des risques éventuels, les mises à jour pourront être soumises à autorisation au même titre que le matériel ou le logiciel initial.
Votre rapporteur comprend le souci d'éviter de possibles lourdeurs administratives et de garantir, en conséquence, la liberté et la rapidité de déploiement des réseaux de communications électroniques. Il estime que la rédaction proposée est suffisamment large pour garantir une liberté d'appréciation à l'ANSSI. Une intervention législative pour définir les notions de mise à jour mineure ou majeure ou les distinguer de la notion de version serait périlleuse et risquée car ces notions relèvent pour l'essentiel du fournisseur et de sa politique commerciale autant que du contenu technique des matériels et des logiciels 51 ( * ) et que certains fournisseurs s'orientent vers des mises à jour en continu par télétransmission. Il appartiendra donc à l'ANSSI dans ces conditions d'utiliser la durée de l'autorisation pour s'assurer régulièrement de la fiabilité des logiciels au regard de la sécurité nationale. En effet, en termes de sécurité, les risques d'introduction de failles logicielles, voire de « portes dérobées » sont aussi grands à l'occasion d'une simple mise à jour qu'à l'occasion d'un changement de version.
c) La prise en compte du périmètre géographique d'exploitation
Selon sa stratégie d'équipement, un opérateur, a soit acquis auprès d'un fournisseur l'intégralité des éléments du réseau 2G-3G-4G pour une zone géographique définie, soit distingué les fournisseurs selon les différentes composantes du réseau - les équipements « coeur de réseau » pouvant, par exemple, être distingués de ceux présents sur ses extrémités.
L' alinéa 7 précise que l'autorisation est délivrée « pour un périmètre géographique » déterminé par l'opérateur dans sa demande. Cette procédure qui va au-delà de l'appréciation de la seule intégrité technique des matériels, permettra à l'État de contrôler l'architecture des réseaux du point de vue de leur agencement géographique. Elle permet à l'État :
• d'exiger des conditions de sécurité plus élevées pour les zones dans lesquelles sont situées des installations ou des services plus sensibles , de façon cohérente avec les préoccupations de défense nationale ;
• d' éviter un monopole d'équipement dans certaines zones et, avec le développement de la concurrence, pousser les opérateurs et les équipementiers à rechercher les voies et moyens d'une plus grande interopérabilité de leurs réseaux. C'est à ce titre que le zonage sera apprécié non seulement au regard de la sensibilité des installations de la zone concernée, mais aussi de façon à garantir la résilience des réseaux en cas de défaillance ? involontaire ou non ? d'un équipement . L'objectif est de permettre, en cas de défaillance, la bascule du trafic, probablement en mode dégradé, sur un brin du réseau redondé avec un équipement d'une autre marque ou d'un autre modèle, qu'il s'agisse d'équipement du même opérateur sur sa plaque géographique ou du réseau d'un autre opérateur sur une plaque géographique couvrant peu ou prou la même zone géographique, afin d'assurer la continuité du service.
En règle générale, les opérateurs opèrent des zonages en six ou sept plaques importantes sur le territoire métropolitain et quelques plaques spécifiques communes à des équipements particuliers (stades, centres commerciaux, zones blanches...). Il est peu probable qu'ils créent une zone spécifique autour d'une installation isolée intéressant la défense. En effet, le zonage n'est donc pas imposé par l'État.
L'objectif consiste à éviter une homogénéité trop poussée des équipements . En effet, le fait que tout équipement soit faillible, a pour conséquence que l'impératif de résilience suppose une certaine hétérogénéité des équipements, quitte à ce que, dans une même zone, un même équipement puisse être autorisé pour un opérateur mais pas pour un autre.
On observera qu'actuellement sur l'ensemble du territoire métropolitain les opérateurs ont su préserver une certaine diversité des équipements. Chacun recourt actuellement à deux équipementiers pour la couverture globale du territoire, mais généralement à un équipementier unique par plaque géographique. Au total, aucune zone du territoire métropolitain, tous opérateurs confondus, ne semblent desservie par des équipements provenant du même équipementier. Ce faisant, cette situation ne garantit pas qu'en cas de défaillance d'un équipement à l'échelle d'une plaque géographique, les flux puissent être facilement reroutés par les opérateurs utilisant un autre type d'équipements.
Les échanges réguliers que les pouvoirs publics ont avec les opérateurs portent notamment sur la maîtrise des différents risques pesant sur les réseaux de télécommunications, et sur les bonnes pratiques et recommandations utiles à la maîtrise de ces risques, au-delà des exigences légales et réglementaires. Le fait de maintenir une diversité suffisante de fournisseurs fait naturellement partie de ces recommandations, qui ne sont néanmoins assorties ni d'une portée contraignante, ni de critères précis en termes de types d'équipement, de zone géographique ou de taux de dépendance envers un fournisseur donné.
La 5G apporte une rupture significative par rapport à la situation préexistante, à la fois du fait de facteurs de risques accrus, d'une plus grande complexité à maîtriser ces risques, et d'impacts potentiels bien plus graves en cas de concrétisation de ces risques. Ces différents facteurs, ainsi que la forte évolutivité attendue dans les années à venir de la technologie, justifient ces mesures d'encadrement spécifiques.
d) Un risque limité d'application « en cascade » à des équipements déjà installés
Les opérateurs ont fait part de leur inquiétude s'agissant de l'articulation des dispositions de la proposition de loi qui ne se limite pas aux équipements 5G avec les déploiements d'équipements de générations antérieures.
Il a été précisé à votre Rapporteur que même si ce point n'apparaît pas explicitement dans le texte législatif, le nouveau dispositif ne concernera effectivement que les réseaux 5G (et, à terme, des générations ultérieures). Ce point sera précisé dans le projet d'arrêté listant les types d'appareils dont l'exploitation devra faire l'objet d'une autorisation 52 ( * ) .
Pour autant, si, à terme, il est probable que les opérateurs soient tenus de mettre en place la 5G « stand alone » pour tirer pleinement parti de ses fonctionnalités, ce sera en mode « non stand alone » qu'ils effectueront les premiers déploiements 5G afin de pouvoir lancer rapidement cette nouvelle technologie. Ainsi, les équipements 5G devront interagir avec les équipements 4G. De manière générale, les opérateurs peuvent avoir tendance à retenir pour une nouvelle génération d'équipement, le même équipementier que pour les versions antérieures afin de s'assurer de la bonne interaction entre équipements de différentes générations.
Ainsi ces nouvelles dispositions pourraient avoir un effet notable sur l'activité des opérateurs. Le choix d'équipement de 5G d'un nouveau fournisseur, après refus de déploiement d'un équipement du fournisseur historique, pourrait, dans un cas extrême, rendre nécessaire le remplacement de toute une gamme des équipements fournis par ce dernier, avec un coût financier et humain qui serait potentiellement élevé pour l'opérateur. En effet, les équipementiers n'ont pas développé de solutions standardisées ou de solutions techniques permettant une interopérabilité de leurs produits. C'est la raison pour laquelle l'ARCEP a appelé de ses voeux dans son avis que les éventuels effets rétroactifs (mêmes indirects) des décisions prises dans le cadre de ce dispositif sur les déploiements passés soient évalués » 53 ( * ) .
Ce faisant, l'importance du marché de 5G conduit d'ores et déjà certains opérateurs à organiser des consultations ouvertes à l'ensemble des fournisseurs, n'excluant pas des changements de fournisseurs pour aborder cette nouvelle phase de leur développement technologique.
Il conviendra donc, dans l'application de la loi, de trouver un juste équilibre entre l'impact économique du refus d'autorisation et les préoccupations de sécurité, mais sans pouvoir déroger à l'impérative obligation de préserver le réseau des risques sérieux d'atteinte aux intérêts de la défense et de la sécurité nationale.
e) Une durée d'autorisation modulable
L' alinéa 8 fixe à huit ans la durée maximale pour laquelle sera donnée l'autorisation. Cette durée est sans doute excessive au regard des évolutions technologiques mais elle offre la capacité à l'ANSSI en fonction des différents critères d'appréciation de sécurité et de résilience des équipements, de l'architecture et d'exploitation des réseaux de moduler la durée d'autorisation voire, s'agissant de technologies nouvelles, à l'augmenter progressivement, dans la limite prévue par le texte, en fonction de la mise en exploitation et de la maturité de l'équipement sous examen. Il s'agit aussi d'éviter qu'un refus abrupt d'exploitation d'un équipement qui obligerait un opérateur à remettre en cause le choix d'une gamme d'équipements alors que des améliorations en terme de fiabilité et de sécurité de l'équipement concernés sont préconisées et envisageables.
Le renouvellement de l'autorisation fait l'objet d'un dossier de demande qui est remis au moins deux mois avant l'expiration de l'autorisation d'exploitation ( alinéa 8 ).
Un équilibre est à rechercher pour fixer la durée d'autorisation offrant la meilleure visibilité possible aux plans d'affaires des opérateurs sans obérer la sécurité des réseaux.
f) Les modalités de l'autorisation et la composition des dossiers de demande seront fixées par décret.
L'Assemblée nationale a précisé que ce décret sera pris après avis de l'ARCEP et de la Commission supérieure du numérique et des postes (CSNP) dans un délai d'un mois afin de ne pas allonger les délais administratifs nécessaires au bon déploiement des réseaux ( alinéa 9 ).
Si le droit commun veut que le silence gardé par l'administration vaille accord, il a été précisé au rapporteur pour avis de l'Assemblée nationale que le gouvernement envisageait de prendre un décret portant dérogation à ce principe pour l'autorisation en question. Ainsi, le silence gardé par le Premier ministre ne vaudrait pas autorisation implicite. Dans la pratique, le dialogue avec l'ANSSI conduit en règle générale à notifier dans les délais des décisions de refus assorties de conditions à respecter ouvrant un dialogue avec les opérateurs qui peuvent représenter le dossier moyennant les aménagements demandés. Sans préjudice de l'opinion du rapporteur de la commission saisie au fond, votre Rapporteur estime que cette dérogation au principe selon lequel le silence gardé par l'administration vaut accord pourrait rendre nécessaire la saisine du Conseil d'État sur le projet de décret. En effet, les articles L. 231-4 et L. 231-5 du code des relations entre le public et l'administration semblent poser cette exigence 54 ( * ) . On rappellera également que la décision implicite de rejet ne dispense pas l'administration de motiver ses actes à la demande de l'intéressé, formulée dans les délais du recours contentieux (article L. 232-4 du code des relations entre le public et l'administration).
Ces différents moyens (liste des équipements, durée d'autorisation, périmètre géographique) devraient permettre au Premier ministre et au service instructeur d'arbitrer et de moduler avec une certaine subtilité les critères d'équilibre du marché, de déploiement des réseaux en temps voulu pour permettre à l'économie française de profiter pleinement de cet atout dans la compétition mondiale, de fiabilité des réseaux de conditions d'exploitation et de réductions des risques pour la sécurité nationale.
En outre, rien n'interdit le Premier ministre d'assortir l'autorisation de conditions à l'instar de ce qui est pratiqué actuellement dans le cadre du contrôle 226-3. À titre d'exemple, de telles conditions peuvent imposer la désactivation d'une fonctionnalité optionnelle de l'appareil considéré qui serait jugée insuffisamment sécurisée, ou au contraire imposer l'activation d'une fonctionnalité optionnelle (chiffrement et authentification des communications par exemple) qui améliorerait la sécurité générale de l'appareil. Elles peuvent également requérir la mise en oeuvre de mécanismes ou équipements complémentaires permettant de sécuriser certaines opérations sensibles, par exemple en imposant des modalités de contrôle d'accès et de traçabilité des opérations de configuration réalisées à distance sur l'appareil pendant son fonctionnement. Ces conditions d'autorisation ne sont à ce stade mentionnées que dans la déclinaison réglementaire de la proposition de loi, et leur non-respect serait dans cette optique traité au même titre qu'une exploitation en l'absence d'autorisation.
5. Les moyens susceptibles d'être mis en oeuvre par le Premier ministre pour refuser l'octroi d'une autorisation
Aux termes de la rédaction proposée pour l'article L. 34-12 du code des postes et des communications électroniques, le Premier ministre refuse par décision motivée l'octroi de l'autorisation d'exploitation ou son renouvellement s'il estime qu'il existe un risque sérieux d'atteinte aux intérêts de la défense et de la sécurité nationale ( alinéa 10 ) .
a) Un risque sérieux d'atteinte aux intérêts de la défense et de la sécurité nationale
Pour la définition de ce risque, la rédaction proposée pour l'article L. 34-12 du code précité renvoie aux règles mentionnées au a, b et e du I de l'article l de l'article L. 33-1 du même code.
Ces règles sont des conditions requises pour l'établissement et l'exploitation des réseaux ouverts au public et la fourniture au public de services de communications électroniques :
a) des conditions de permanence, de qualité, de disponibilité, de sécurité et d'intégrité du réseau et du service qui incluent des obligations de notification à l'autorité compétente des atteintes à la sécurité ou à l'intégrité des réseaux et services ;
b) des conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications ;
e) les prescriptions exigées par l'ordre public, la défense nationale et la sécurité publique, notamment celles qui sont nécessaires à la mise en oeuvre des interceptions justifiées par les nécessités de la sécurité publique, ainsi que les garanties d'une juste rémunération des prestations assurées à ce titre et celles qui sont nécessaires pour répondre, conformément aux orientations fixées par l'autorité nationale de défense des systèmes d'informations, aux menaces et aux atteintes à la sécurité des systèmes d'information des autorités publiques et des opérateurs mentionnés aux articles L. 1332-1 et L.1332-2 du code de la défense (dispositions applicables aux OIV) ;
Le texte proposé ne fait pas référence au f et f bis de l'article L.33-1 qui visent d'une part, l'acheminement gratuit des appels d'urgence, y compris la fourniture gratuite aux services d'urgence de l'information relative à la localisation de l'appelant (f) et, d'autre part, l'acheminement des communications des pouvoirs publics destinées au public pour l'avertir de dangers imminents ou atténuer les effets de catastrophes majeures (f bis). Ces deux dispositions concerne la sécurité intérieure, il est donc opportun de les faire figurer dans l'article L. 34-12.
Tel est l'objet de l'amendement COM-8 proposé par votre Rapporteur.
b) Une décision motivée
Si le principe de transparence dans les relations entre le public et l'administration est une règle générale inscrite à l'article L. 211-2 du code des relations entre le public et l'administration qui prévoit que « les personnes physiques ou morales ont le droit d'être informées sans délai des motifs des décisions administratives individuelles défavorables qui les concernent. À cet effet, doivent être motivées les décisions qui : (...) refusent une autorisation, (...) . Toutefois, dans ce même article, cette règle générale est assortie d'exceptions : (...) « sauf lorsque la communication des motifs pourrait être de nature à porter atteinte à l'un des secrets ou intérêts protégés par les dispositions du a au f du 2° de l'article L. 311-5 ».
En effet, il est des circonstances dans lesquelles l'État peut être dans l'incapacité de motiver une décision sans divulguer ou publier des faits couverts par le secret au titre d'autres dispositions législatives, il en va ainsi notamment des dispositions couvertes par le secret de la défense nationale. En conséquence, l'article L. 311-5 du code des relations entre le public et l'administration dispose que « ne sont pas communicables : (...) 2° Les autres documents administratifs dont la consultation ou la communication porterait atteinte :
a) Au secret des délibérations du Gouvernement et des autorités responsables relevant du pouvoir exécutif ;
b) Au secret de la défense nationale ;
c) A la conduite de la politique extérieure de la France ;
d) A la sûreté de l'État, à la sécurité publique, à la sécurité des personnes ou à la sécurité des systèmes d'information des administrations ;
e) A la monnaie et au crédit public ;
f) Au déroulement des procédures engagées devant les juridictions ou d'opérations préliminaires à de telles procédures, sauf autorisation donnée par l'autorité compétente ;
Dans le cas spécifique de l'article L. 34-12 du code des postes et des communications électroniques, en réaffirmant le principe de la motivation de la décision du Premier ministre sans mentionner explicitement les restrictions figurant à l'article L. 311-5 du code des relations du public et de l'administration précité, il pourrait être considéré, par un raisonnement a contrario , que le législateur a renoncé, à l'application des dispositions permettant de déroger à l'obligation générale de motivation, dans un texte législatif postérieur prévalant sur la règle antérieure posée du code des relations entre le public et l'administration.
Or, ces exceptions protectrices du secret doivent impérativement être préservées dans un domaine où l'enjeu est d'éviter un risque d'atteinte aux intérêts de la défense et de la sécurité nationale. Aussi votre Rapporteur vous propose d'ajouter au premier alinéa du texte proposé pour l'article L. 34-12 du code des postes et des télécommunications (alinéa 10) la phrase suivante : « Sa décision est motivée, sauf lorsque la communication des motifs pourrait être de nature à porter atteinte à l'un des secrets ou intérêts protégés par les dispositions du a au f du 2° de l'article L. 311-5 du code des relations entre le public et l'administration » et par coordination de supprimer dans la première phrase, les mots : « par décision motivée ». (Amendement COM-9)
c) L'appréciation de ces critères par le Premier ministre
Dans la rédaction proposé pour le deuxième alinéa de l'article L. 34-12 du code précité ( alinéa 11 ), il est indiqué que le Premier ministre « peut prendre » en considération, pour l'appréciation de ces critères, les modalités de déploiement et d'exploitation mises en places par l'opérateur et le fait que l'opérateur ou ses prestataires, y compris par sous-traitance, est sous le contrôle ou soumis à des actes d'ingérence d'un État non membre de l'Union européenne.
Pour votre Rapporteur, l'apport du dispositif envisagé et sa portée eu égard aux fonctionnalités des nouvelles technologies est de permettre de prendre en considération, dans l'appréciation du risque sérieux d'atteinte aux intérêts de la défense et de la sécurité nationale, les modalités de déploiement et d'exploitation mises en place par l'opérateur. En effet, il a été rappelé que selon ses conditions d'exploitation, un équipement peut présenter un risque sérieux d'atteinte aux intérêts de la défense et de la sécurité nationale. Dès lors, de son point de vue, l'autorité administrative ne peut se dispenser d'apprécier ce risque lors de l'examen de la demande sauf à affaiblir la portée de cette disposition.
Il en va de même de l'appréciation du contrôle ou des actes d'ingérence auxquels un opérateur ou un de ses prestataires pourrait être soumis de la part d'un État non membre de l'Union européenne. Les intérêts fondamentaux de la Nation exigent que cet examen soit réalisé et que, s'il existe des doutes sérieux, le Premier ministre puisse refuser d'octroyer une autorisation en s'appuyant sur ce critère. Pour cela, dans l'instruction, il dispose des analyses auxquelles le SGDSN est associé au titre du dispositif national de sécurité économique. Sans entrer dans le débat ouvert sur la fiabilité de tel ou tel équipementier, il doit être réaffirmé qu'une telle clause de sécurité nationale est parfaitement légitime dès lors qu'elle n'introduit pas de distorsion entre les opérateurs qui sont tous soumis à la même règle.
Comme l'a rappelé la ministre au cours des débats en commission à l'Assemblée nationale 55 ( * ) « il faut savoir si certains équipementiers pourraient être légalement contraints de communiquer des données à leur gouvernement - c'est un élément important à prendre en considération dans une décision, mais cela ne concerne pas que les acteurs chinois ; et deuxièmement et surtout, il faut anticiper les possibles failles techniques : cela concerne tous les équipementiers, mais la faille ne se situera pas nécessairement au niveau de l'équipementier ; elle peut être le fait d'un de ses sous-traitants, au niveau des lignes de codage, par exemple. L'enjeu de la souveraineté technologique concerne donc tous les équipementiers, tous les logiciels, toute la sous-traitance. Il s'agit de nous doter d'un dispositif robuste de contrôle pour préserver notre souveraineté technologique - (...) car elle est au coeur de notre indépendance industrielle. »
Votre Rapporteur propose en conséquence de remplacer, dans l'alinéa 11 les mots « peut prendre » par le mot « prend » (amendement COM-10).
6. Un pouvoir d'injonction en cas d'exploitation sans autorisation d'un appareil
La proposition de loi prévoit dans un texte proposé pour l'article L. 34-13 du code des postes et des télécommunication ( alinéa 12 ) de donner au Premier ministre la capacité d'enjoindre à l'opérateur de déposer une demande d'autorisation ou de renouvellement ou de faire rétablir à ses frais la situation antérieure, dans le délai qu'il fixe, si l'exploitation d'un appareil est réalisée sans autorisation préalable.
L' alinéa 13 précise les conditions d'une procédure contradictoire préalable à la prise d'effet de l'injonction. Celle-ci doit être précédée d'une mise en demeure de l'opérateur de présenter des observations dans un délai de quinze jours, sauf urgence, circonstances exceptionnelles ou atteinte imminente à la sécurité nationale.
L'absence de mise en conformité avec l'injonction est punie par la même peine que l'exploitation sans autorisation ( voir infra ).
7. Une clause de nullité des engagements, conventions et clauses contractuelles prévoyant l'exploitation des équipements en cas de refus d'exploitation
Les auteurs de la proposition de loi ont introduit ( alinéa 14 ) une clause de nullité des engagements, conventions ou clauses contractuelles prévoyant l'exploitation des appareils concernés - ceux mentionnés au I de l'article L. 34-11 du code des postes et des communications électroniques - lorsque l'activité n'a pas fait l'objet de l'autorisation préalable sur le fondement du même article ou d'une régularisation dans les délais impartis.
8. Un dispositif qui repose sur les capacités de l'ANSSI à traiter les demandes en temps utile
La mise en oeuvre de ce dispositif requiert une instruction par l'ANSSI et donc l'affectation de moyens. À défaut de réalisation d'une étude d'impact, vos rapporteurs au fond et pour avis ont recueilli auprès des administrations concernées des éléments d'appréciations.
a) Estimation du volume des demandes d'autorisation et de renouvellement
La typologie d'équipements concernée par le nouveau dispositif n'est pas équivalente, mais globalement comparable à celle relevant du R.226 56 ( * ) . Une volumétrie de demandes du même ordre de grandeur est par conséquent anticipée, à hauteur d'au plus un millier de demandes annuelles. Cette volumétrie sera probablement plus faible au cours des premières années de mise en oeuvre du dispositif, dans la mesure où les premiers déploiements de la 5G relèveront de la version dite « non-standalone » de cette technologie : les seuls équipements spécifiques à la 5G qui seront déployés à ce titre seront ceux assurant la desserte radioélectrique (stations de base), le reste des réseaux demeurant par ailleurs dans une technologie 4G. Les premiers déploiements de réseau 5G « standalone », qui élargiront la typologie des équipements 5G, et par conséquent, le volume de demandes, n'interviendront probablement qu'à compter de 2022.
b) Estimation des capacités de l'ANSSI pour traiter les demandes
L'instruction technique des demandes repose sur les compétences des équipes d'audit ou d'assistance technique et des laboratoires de l'ANSSI. Le directeur général de l'ANSSI a indiqué que l'Agence ne réclamait pas de moyens supplémentaires à ce titre, compte-tenu du renforcement déjà prévu des compétences techniques dans le domaine de la 5G intégré dans le cadre du triennal budgétaire. Le schéma d'emplois de l'ANSSI prévoit 50 créations de postes par an.
L'instruction administrative des demandes d'autorisation et de renouvellement sera assurée par le Bureau des Contrôles Réglementaires de l'ANSSI, qui assure déjà une mission similaire dans le cadre dit du « R.226 », ainsi que la contribution de l'ANSSI à différents autres dispositifs de contrôle réglementaire (exportations de biens à double usage et investissements étrangers par exemple). Ce traitement est actuellement assuré par deux agents dédiés à cette mission. Le traitement des nouvelles demandes nécessitera un renfort de deux personnels dédiés au traitement administratif.
Pour le directeur général de l'ANSSI, la clé de la fluidité de la procédure réside dans l'anticipation des demandes par les opérateurs qui pourront engager des discussions avec l'ANSSI sur leurs projets à une phase très amont, comme c'est déjà le cas pour l'examen des autorisations du régime prévu par les articles R 226-7 et suivant du code pénal. En outre, une partie des équipements aura déjà fait l'objet d'un agrément de mise sur le marché au regard des dispositions de l'article R 226-3 du code pénal sur la protection des correspondances et de la vie privée. 57 ( * )
Enfin, le dialogue avec les opérateurs permet à l'ANNSI de nuancer les décisions qui ne se limitent pas à une autorisation ou à une interdiction mais peuvent être assortie de restrictions d'application géographique, des restrictions d'application d'usage ou formuler des recommandations en vue d'améliorer les dispositifs et modulées dans leur durée. Le texte permet une application souple et pragmatique afin d'assurer un équilibre entre, d'une part, la qualité attendue des réseaux technologiques en terme d'usage et de calendrier de déploiement et, d'autre part, la capacité à maîtriser les risques en matière de souveraineté et de fragilité technique.
* 48 D'ores et déjà, pour leurs systèmes d'information les plus sensibles, les OIV procèdent à une séparation stricte entre les réseaux critiques sensibles et les autres et travaillent étroitement avec l'ANSSI qui conduit des audits périodiques. Ils sont également audités très régulièrement au titre de la sécurité interne de chaque opérateur, notamment lorsque ces activités peuvent induire des risques pour les usagers, les salariés ou la population.
* 49 En Allemagne, 100 MHz de bandes hertzienne ont été réservés aux opérateurs « verticaux » dans l'allocation des fréquences dédiées à la 5G allemande.
* 50 https://minefi.hosting.augure.com/Augure_Minefi/r/ContenuEnLigne/Download?id=ACDD5F68-767C-42B6-9A54-86E0EA96420B&filename=1214%20-%20CP%20et%20lettre%20de%20cadrage%20orientations%205G.pdf
* 51 L'ensemble des équipementiers dans le domaine des télécommunications distinguent, dans leurs conventions de version, des évolutions mineures (apportant en général des corrections de vulnérabilités ou de dysfonctionnements, sans ajout de nouvelles fonctionnalités) d'une part, et majeures (évolutions du périmètre fonctionnel, par exemple support de nouveaux protocoles ou de nouvelles révisions des normes) d'autre part. Cette distinction est généralement reprise dans les procédures de déploiement des opérateurs, qui déploient les mises à jours mineures après un ensemble de tests relativement réduit, mais prévoient des campagnes d'expérimentation prolongées avant toute mise à jour majeure.
* 52 Réponse au questionnaire parlementaire
* 53 Avis n° 2019-0161de l'Autorité de régulation des communications électroniques et des postes en date du 4 février 2019 sur un projet de texte visant à instaurer un régime d'autorisation préalable de l'exploitation des équipements de réseaux radioélectriques
https://www.arcep.fr/uploads/tx_gsavis/19-0161.pdf
* 54 Code des relations entre le public et l'administration articles L.231-4 et L.231-5 https://www.legifrance.gouv.fr/affichCode.do;jsessionid=9A0D0F892992AD8AB733F876300EA07C.tplgfr34s_1?idSectionTA=LEGISCTA000031367617&cidTexte=LEGITEXT000031366350&dateTexte=20190607
* 55 Assemblée nationale - XVème législature - Rapport n°1832fait au nom de la commission des affaires économiques par m. Éric Bothorel député, p.24
* 56 Le contrôle R.226 donne lieu, dans sa globalité, à environ 1200 autorisations annuelles, auxquelles s'ajoutent une centaine de refus d'autorisation. Les autorisations sont équitablement réparties entre celles prononcées au titre de l'article R.226-3 (autorisations de fabrication, importation, exposition, location ou vente - 664 autorisations accordées en 2018) et celles qui le sont au titre de l'article R.226-7 (autorisations d'acquisition ou de détention - 602 en 2018). Parmi ces dernières, environ 500 portent sur des équipements de télécommunication et sont accordées aux opérateurs de communications électroniques, les autres relevant d'autre types de dispositifs (notamment, dispositifs de captation judiciaire à l'usage des services enquêteurs) relevant également du champ du R.226. Il est également à noter qu'une part significative de ces autorisations porte sur des tests réalisés par les opérateurs en amont de potentiels déploiements, opérations qui n'entreront pas dans le champ du contrôle prévu par la proposition de loi.
* 57 Dès lors qu'un appareil faisant l'objet d'une demande d'autorisation au titre de l'article L 34-11 aura auparavant obtenu une autorisation R.226-3, les conclusions de l'analyse technique approfondie menée au titre du R.226-3 pourront être versées dans l'analyse menée au titre du L 34-11, et faciliter celle-ci en évitant des redondances d'instruction.