Projet de loi relatif à la programmation militaire pour les années 2019 à 2025 et portant diverses dispositions intéressant la défense

CHAPITRE III - DISPOSITIONS RELATIVES À LA CYBERDÉFENSE -

Article 19 (art. L. 33-14 [nouveau], L. 36-7, L. 36-14 [nouveau], L. 130, L. 131, L. 132 du code des postes et des communications électroniques, L. 2321-2-1 [nouveau], L. 2321-2-2[nouveau] L. 2321-3, L. 2321-5 [nouveau] du code de la défense) - Mise en oeuvre de dispositifs de détection des cyberattaques

L'article 19 du projet de loi vise à accroître la capacité de détection des cyber-attaques et à en prévenir les effets. Il se place dans la continuité des dispositions votées dans la loi n° 2013-1168 du 18 décembre 2013 de programmation militaire (2014-2019) imposant des obligations de protection aux administrations de l'Etat et aux organismes d'importance vitale.

I - Le droit en vigueur

L'article 21 de la loi de programmation militaire (2014-2019) codifié aux articles L. 2321-1 à L. 2321-3 du code de la défense a confié au Premier ministre, dans le cadre de la stratégie de sécurité nationale et de la politique de défense, la définition de la politique et la coordination de l'action gouvernementale en matière de sécurité et de défense des systèmes d'information. Sous son autorité, l'agence nationale de sécurité des systèmes d'information (ANSSI) assure la fonction d'autorité nationale de défense des systèmes d'information.

Pour répondre à une attaque informatique, visant les systèmes d'information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, les services de l'État peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l'attaque et à la neutralisation de ses effets en accédant aux systèmes d'information qui sont à l'origine de l'attaque. Pour être en mesure de détecter une telle attaque, d'en identifier et d'en conserver les marqueurs techniques, les services de l'État peuvent détenir des équipements, des instruments, des programmes informatiques et toutes données susceptibles de la caractériser en vue d'en analyser la conception et d'en observer le fonctionnement.

Pour les besoins de la sécurité des systèmes d'information de l'État et des opérateurs d'importance vitale (OIV) ^{83 ( * )} , les agents de l'ANSSI habilités et assermentés peuvent obtenir des opérateurs de communications électroniques, en application du III de l'article L. 34-1 du code des postes et des communications électroniques, l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou la compromission de leur système.

L'article 22 de la loi de programmation militaire (2014-2019) codifié aux articles L. 1332-6-1 à L. 1332-6-6 du code de la défense permet au Premier ministre de fixer les règles de sécurité nécessaires à la protection des systèmes d'information des OIV et des opérateurs publics et privés qui participent à ces systèmes. Les règles peuvent prescrire que les opérateurs mettent en oeuvre des systèmes qualifiés de détection des événements susceptibles d'affecter la sécurité de leurs systèmes d'information ^{84 ( * )} . Les OIV doivent informer sans délai le Premier ministre des incidents affectant le fonctionnement et la sécurité de ces systèmes d'information. Ils doivent soumettre leurs systèmes à des contrôles destinés à vérifier le niveau de sécurité et le respect des règles prescrites. En cas de crise majeure menaçant ou affectant la sécurité des systèmes, le Premier ministre peut décider des mesures que les opérateurs doivent mettre en oeuvre. Le décret n° 2015-351 du 27 mars 2015 relatif à la sécurité des systèmes d'information des opérateurs d'importance vitale codifié aux articles R. 1332-41-1 à R. 1332-41-23 précise les conditions et limites dans lesquelles s'applique ce dispositif. Les obligations des OIV sont assorties d'un dispositif de sanctions pénales en cas d'infraction (article L. 1332-7).

Depuis l'adoption par le Parlement de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, et notamment de ses articles 5 à 9, les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services sont soumis à des règles de sécurité fixées par le Premier ministre. Ces règles ont pour objet de garantir un niveau de sécurité adapté au risque existant, de prévenir les incidents qui compromettent la sécurité des réseaux et systèmes d'information utilisés pour la fourniture des services essentiels. Les opérateurs sont également tenus, sous peine de sanctions pénales, à effectuer auprès de l'ANSSI la déclaration des incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture de services essentiels, lorsqu'ils ont ou sont susceptibles d'avoir un impact significatif sur la continuité de ces services. Le Premier ministre peut, en outre, soumettre les opérateurs à des contrôles destinés à vérifier le respect de ces obligations. Ces règles sont voisines de celles imposées pour les mêmes fins aux opérateurs d'importance vitale.

II - Les modifications proposées par le projet de loi

Compte tenu de l'importance croissante en nombre, en ampleur, en intensité et en sophistication des cyberattaques, l'article 19 du projet de loi propose de renforcer le dispositif de prévention et de protection en utilisant d'une part, les réseaux des opérateurs de communications électroniques aux fins de détection et de blocage des attaques, de prévention des incidents et d'alerte des victimes, d'autre part, de donner la capacité à l'ANSSI en cas de menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques ou des OIV d'installer ses propres moyens de détection sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'un fournisseur d'accès ou d'un hébergeur.

Ce dispositif est issu des travaux de la Revue stratégique de cyberdéfense rendue publique le 12 février 2018 ^{85 ( * )} dans le but d'améliorer la protection des activités sensibles.

Il s'agit donc de mettre en oeuvre une protection de l'avant, en amont des administrations ou organisations cibles afin de détecter au plus tôt les signaux d'une cyberattaque et d'alerter les destinataires de cette attaque, grâce au déploiement de systèmes de détection chez les opérateurs qui reconnaîtront les identifiants des attaquants issus de différentes sources (catalogue de données recueillies lors d'attaques précédentes par l'ANSSI, par les services de renseignement ou par des éditeurs privés de logiciel de sécurité informatique).

L'objectif de ces dispositifs est la reconnaissance, dans le flux des données transportées par les réseaux des opérateurs, des signaux d'ores et déjà identifiés comme marqueurs techniques de sites ayant réalisé des cyberattaques, afin de donner l'alerte et d'entraver une attaque. Il ne s'intéresse, dans le contenu des correspondances échangées, qu'aux éléments techniques des liens ou des pièces jointes, porteurs de cyberattaques, répertoriés et faisant l'objet du marqueur technique installé par ou chez l'opérateur. Il ne s'agit aucunement d'une recherche de renseignements mais de la détection d'une information d'ores et déjà connue aux fins de prévention et de caractérisation d'une attaque. La ressemblance, parfois évoquée, avec certaines techniques de recueil d'information utilisée par les services spécialisés de renseignement dans le cadre de la loi du 24 juillet 2015 n'est qu'une apparence. Les dispositifs s'en différencient nettement par leur objectif et leurs finalités. Il s'agit donc d'un dispositif de protection.

Il est donc cohérent que l'organisation en soit confiée à une autorité placée au sein de la chaîne opérationnelle de la défense nationale sous la responsabilité du Premier ministre, en l'occurrence l'ANSSI, autorité nationale de sécurité des systèmes d'information , au titre de l'article L. 2321 du code de la défense, qui est un service à compétence nationale rattaché au SGDSN, et fasse l'objet d'une chaîne de contrôle spécifique.

Le Premier ministre est en effet compétent au titre de sa mission constitutionnelle de « responsable de la Défense nationale » (article 21 de la Constitution). Il dirige l'action du Gouvernement en matière de sécurité nationale et exerce la direction générale et la direction militaire de la défense (article L. 1131-1 du code de la défense) . Aux termes de l'article L. 2321 du code de la défense, il définit la politique et coordonne l'action gouvernementale en matière de sécurité et de défense des systèmes d'information et dispose à cette fin de l'agence nationale de sécurité des systèmes d'information qui assure la fonction d'autorité nationale de défense des systèmes d'information. À la différence d'autres États, l'organisation de la cyberdéfense n'est pas confiée aux services de renseignement, mais à l'ANSSI pour la protection, compétence déléguée au Commandement de la cyberdéfense pour le périmètre du ministère des armées (à l'exception de certains services spécialisés de renseignement qui en dépendent).

Le dispositif proposé comporte deux volets, l'un de nature collaborative reposant sur un partenariat avec les opérateurs de communications électroniques, l'autre de nature plus coercitive.

Sur le plan juridique, le premier dispositif est conçu principalement dans le code des postes et des communications électroniques (alinéas 1 à 8), son contrôle sera assuré de facto par l'Autorité de régulation des communications électroniques et des postes dans le cadre de ses compétences de droit commun, le second est conçu dans le code de la défense (alinéas 25 à 36), son contrôle est confié à la même Autorité de régulation, mais selon des modalités spécifiques inscrites dans le code des postes et télécommunication (alinéas 19 à 30).

Ces dispositifs étaient initialement présentés dans l'article 19. Pour la détermination des modalités selon lesquelles l'ARCEP, et plus particulièrement en son sein une formation spécialisée, veillait au respect par l'ANSSI des conditions d'application des dispositifs plus coercitifs conçus dans le code de la défense, le Gouvernement sollicitait, à l'article 20, l'habilitation du Parlement, afin de procéder par ordonnance prise dans un délai de six mois à compter de la publication de la loi. La commission de la défense et des forces armées de l'Assemblée nationale, avec l'accord du Gouvernement, a précisé les conditions de ce contrôle dans l'article 19, l'article 20 n'ayant plus d'objet.

B. LES DISPOSITIFS MIS EN oeUVRE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES

1. Le nouvel article L. 33-14 du code des postes et des communications électroniques permet aux opérateurs l'installation de dispositifs de détection

Le volet collaboratif s'appuie sur des dispositifs mettant en oeuvre des marqueurs aux seules fins de détecter des évènements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés que les opérateurs de télécommunications électroniques pourront installer et exploiter sur leurs réseaux (alinéa 3).

Les opérateurs n'ont pas l'obligation de mettre en place de tels dispositifs . L'instauration d'une obligation pour tous les opérateurs - ils sont environ 2000 - n'a pas été jugée nécessaire pour disposer d'une détection efficace. La reconnaissance par la voie législative de cette possibilité a été estimée suffisante pour que les plus importants d'entre eux soient amenés à installer ces dispositifs pour garantir une meilleure sécurité à leurs clients. Ces investissements seront financés par les opérateurs qui en seront propriétaires et pourront les configurer selon leurs besoins propres, et non par la puissance publique ( alinéa 3 ).

Les dispositifs mettant en oeuvre des marqueurs (adresse IP d'attaquant, URL de site internet piégé, ....) qu'ils auront recueillis ou acquis auprès d'éditeurs de sûreté ou qui leur auront été communiqués par l'ANSSI seront installés et exploités par les opérateurs. Ils analyseront les flux transitant par leurs réseaux. Chaque fois que le marqueur circulera, il sera reconnu par le dispositif de détection et l'opérateur sera alerté. La mise en place et l'exploitation des dispositifs ne devrait avoir aucun impact sur le trafic ni sur la vitesse de circulation des données, ni sur leur intégrité.

L'ANSSI pourra demander aux opérateurs, aux fins de prévenir une menace susceptible de porter atteinte à la sécurité des systèmes d'information, d'exploiter ces dispositifs. Elle pourra dans ce but fournir des marqueurs techniques (alinéa 4). L'ANSSI est, en effet, en mesure de constituer une base de marqueurs techniques issus des informations qu'elle recueille lors de l'analyse des cyberattaques affectant des administrations de l'État et les opérateurs d'importance vitale ou qui lui sont fournis par ses partenaires (autorité nationale d'États étrangers, services de renseignement, éditeur de sûreté....). Il doit être clair que les interventions réalisées à la demande de l'ANSSI constituent des obligations pour les opérateurs ayant installé un dispositif.

De fait, l'ANSSI devra néanmoins pouvoir vérifier la capacité du dispositif installé chez l'opérateur à accueillir ses marqueurs techniques, d'où l'importance de l'obligation de déclaration des dispositifs et la relation technique qui s'en suivra. Ce partenariat constituera, en outre, une incitation aux opérateurs pour proposer à leurs clients des services complémentaires de cyberdéfense ce qui renforcera la résilience des entreprises françaises aux cyberattaques.

Les données recueillies dans le cadre de l'exploitation de ces dispositifs, qu'ils utilisent ou non un marqueur fourni par l'ANSSI, autres que celles directement utiles à la prévention des menaces, sont immédiatement détruites ( alinéa 5 ).

En cas de détection d'événements susceptibles d'affecter la sécurité des systèmes d'information, les opérateurs en informent sans délai l'ANSSI (alinéa 6). Il s'agit là d'une obligation.

A partir de cette alerte, l'ANSSI pourra vérifier auprès des administrations et des opérateurs d'importance vitale s'ils sont affectés par cet événement et, dans ce cas, ses agents pourront obtenir de l'opérateur les données techniques strictement nécessaires à l'analyse de l'événement, sur le fondement d'un nouvel alinéa de l'article L. 2321- 3 du code de la défense ( alinéa 34 ).

En outre, l'ANSSI pourra demander aux opérateurs d'informer leurs abonnés de la vulnérabilité ou de l'atteinte subie par leurs systèmes d'information ( alinéa 7 ). Certains opérateurs ont montré une certaine réticence à cette obligation, estimant pour des raisons de concurrence qu'il serait plus judicieux que cette information soit réalisée sous le timbre de l'ANSSI, quitte à s'appuyer pour sa transmission sur les opérateurs. Tel n'est l'avis ni de l'ARCEP, ni de votre Rapporteur qui estiment que cette information aura plus de portée si elle vient de l'opérateur avec lequel les clients ont des relations fréquentes que de l'ANSSI et qu'elle contribuera également à responsabiliser les opérateurs qui ne peuvent se désintéresser complètement de la sécurité des données dont ils assurent le transport sur leurs réseaux.

Les modalités d'application du nouvel article (L. 33-14) ainsi créé dans le code des postes et des communications électroniques seront précisées par un décret en Conseil d'Etat ( alinéa 8 ) qui devra notamment préciser les caractéristiques des dispositifs mettant en oeuvre les marqueurs techniques, les conditions de fourniture et d'exploitation des marqueurs techniques fournis par l'ANSSI, les conditions de conservation et de destruction des données recueillies dans le cadre de l'exploitation de ces dispositifs, les modalités d'information de l'ANSSI en cas de détection d'événements susceptibles d'affecter la sécurité des systèmes d'information, notamment la nature des informations transmises (a minima le marqueur, la date et les cibles de l'attaque) et enfin, les modalités d'information des usagers.

2. Ce dispositif crée des obligations nouvelles pour les opérateurs

L'article L.33-14 crée un certain nombre d'obligations pour les opérateurs qui installeront et exploiteront sur leurs réseaux un système de détection :

• une obligation de déclaration ( alinéa 3 ) ;

• une obligation d'exploiter ces dispositifs à la demande de l'ANSSI et au besoin en recourant à des marqueurs techniques qu'elle leur fournira ( alinéa 4 ) ;

• une obligation d'information des événements détectés ( alinéa 6 ) ;

• une obligation d'informer les abonnés à la demande de l'ANSSI ( alinéa 7 ).

Les surcoûts identifiables et spécifiques des prestations réalisées à la demande de l'ANSSI pourraient donner lieu à compensation selon le principe de la garantie d'une juste rémunération (III de l'article 34-1 du code des postes et des communications électroniques) comme l'a rappelé l'avis de l'ARCEP n° 2018-0101 en date du 30 janvier 2018.

3. Ces obligations ne sont pas assorties de sanctions particulières

Il n'a pas été jugé utile de le faire, compte tenu de la base collaborative de ce volet, ce qui aurait pu avoir un effet dissuasif sur les opérateurs, cependant elles pourront faire l'objet d'un contrôle de l'ARCEP dans le cadre de ses missions actuelles.

Ce contrôle entre en effet dans la mission actuelle de l'ARCEP en application des articles L 32-1 (notamment au titre des 6° et 7° du II) et 36-7 (notamment du 3°) du code des postes et des communications électroniques .

Elle dispose à cet effet des moyens juridiques (L. 32-4 ^{86 ( * )} et L 36-13) pour recueillir les informations et procéder aux enquêtes nécessaires à l'exercice de ses missions. Elle peut, en outre, sanctionner les manquements qu'elle constate de la part des exploitants de réseau, des fournisseurs de services de communications électroniques, des fournisseurs de services de communication au public en ligne ou des gestionnaires d'infrastructures d'accueil. Ce pouvoir de sanction est exercé dans les conditions fixées à l'article L. 36-11 ^{87 ( * )} pouvant aller jusqu'au prononcé par la formation restreinte de mesure de suspension totale ou partielle d'autorisation et de sanctions pécuniaires.

B. LES CAPACITÉS DE RECUEIL DE DONNÉES TECHNIQUES PAR L'ANSSI

Ce volet crée des capacités d'intervention au profit de l'autorité nationale de sécurité des systèmes d'information (ANSSI) et des obligations pour les opérateurs. Il instaure un contrôle de l'ARCEP sur la mise en oeuvre de ces capacités.

1. L'article 19 instaure deux procédures dans le code de la défense

a) La mise en oeuvre par l'ANSSI de systèmes de détection

La première vise, dans un nouvel article L. 2321-2-1 du code de la défense, les cas où l'ANSSI a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques ou des opérateurs d'importance vitale mentionnés aux articles L. 1332-1 et L. 1332-2 du code de la défense ( voir supra ).

Dans ce cas, le projet de loi autorise l'ANSSI à mettre en oeuvre sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'un fournisseur de services de communication au public en ligne, des dispositifs mettant en oeuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information. Ces dispositifs seront donc installés et exploités, à ses frais, par l'ANSSI sur le site des opérateurs et fournisseurs. Ils ne seront mis en oeuvre que pour la durée et dans la mesure strictement nécessaire à la caractérisation de la menace ( alinéas 26 et 27 ).

En utilisant le terme « autorité publique » plutôt que le terme « de l'Etat », utilisé à l'article L. 2321-3, le Gouvernement a souhaité étendre le périmètre de la prévention et les capacités de l'ANSSI.

Ces dispositifs pourront s'avérer très utiles pour déjouer une cyberattaque procédant par rebond à partir de serveurs loués ou détournés sur les sites d'opérateurs ou de fournisseurs de services de communication au public en ligne, notamment en analysant et en recueillant de nouveaux marqueurs et en identifiant les victimes.

Par ces dispositifs, l'ANSSI sera en mesure de procéder au recueil des seules données pertinentes et à leur analyse, à l'exclusion de toute autre exploitation ( alinéa 28 ).

b) Le recueil par l'ANSSI de données techniques auprès des opérateurs

La seconde procédure peut être mise en oeuvre lorsque l'ANSSI, en application de l'article L. 33-14 du code des postes et télécommunications, et grâce aux dispositifs installés par les opérateurs sur leurs réseaux, est informée de l'existence d'un événement affectant la sécurité des systèmes d'information d'une autorité publique ou d'un OIV.

Dans cette hypothèse, le projet de loi, au moyen d'un nouvel alinéa à l'article L. 2321-3 du code de la défense, permet aux agents de l'ANSSI, habilités par le Premier ministre et assermentés ^{88 ( * )} d'obtenir des opérateurs de communications électroniques, les données strictement nécessaires à l'analyse de cet événement. Il est précisé que les données ne peuvent être exploitées qu'aux seules fins de caractériser la menace affectant la sécurité de ces systèmes, à l'exclusion de tout autre exploitation ( alinéas 33 et 34 ).

S'agissant de ces « données strictement nécessaires », il s'agira de données parmi celles recueillies et conservées par les opérateurs au titre des dispositions visées à l'alinéa 4, « utiles à la prévention de la menace ».

2. Des obligations pour les opérateurs et pour les fournisseurs de services de communication en ligne

Le second volet crée des obligations pour :

• les opérateurs de communications électroniques tels que définis par le code des postes et des communications électroniques

• les fournisseurs de services de communication en ligne au titre des systèmes d'information de personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

Ces obligations ne font pas l'objet de sanctions spécifiques mais les manquements pourront être sanctionnés dans le cadre du contrôle général des services de communications électroniques confiés à l'ARCEP ( voir supra ).

3. Durée de conservation des données

Les données recueillies directement par l'ANSSI en application du nouvel article L. 2321-2-1 ou obtenues en application du second alinéa de l'article L. 2321-3 ne pourront être conservées plus de cinq ans ^{90 ( * )} ( alinéa 2 9).

La conservation des données techniques pertinentes est nécessaire afin d'alimenter une banque de marqueurs et de pouvoir, le cas échéant, les comparer avec des données recueillies ultérieurement, notamment dans les systèmes d'information des autorités ou des OIV.

Il est également précisé que les données recueillies autres que celles directement utiles à la prévention de la menace sont immédiatement détruites ( alinéa 30 ).

S'agissant des données obtenues au titre du nouvel alinéa de l'article L 2321-3, on rappellera qu'il ne s'agit, selon les dispositions de l'article L. 33-14 du code des postes et des communications électroniques que des données directement utiles à la prévention des menaces, les autres étant immédiatement détruites, strictement nécessaires à l'analyse de la cyberattaque. Ces données ne peuvent être exploitées qu'aux seules fins de caractériser la menace affectant la sécurité des systèmes visés, à l'exclusion de tout autre exploitation ( alinéa 34 ).

4. Un contrôle exercé par l'ARCEP en vertu de compétences nouvelles

En application d'un nouvel article L. 2321-5 du code de la défense, l'autorité de régulation des communications électroniques et des postes (ARCEP) est chargée de veiller au respect par l'ANSSI des conditions d'applications des deux dispositifs proposés ( alinéas 35 et 36 ).

En conséquence, il est créé des dispositions nouvelles dans le code des postes et des communications électroniques (en miroir, au 12° de l'article L.36-7 ^{91 ( * )} pour compléter la liste des compétences de l'ARCEP et lui permettre de veiller au respect par l'ANSSI des conditions d'application des articles L. 2332-2-1 et L. 2321-3 du code de la défense ( alinéas 9 et 10 ), les modalités étant renvoyées à une ordonnance prévue à l'article 20 du projet de loi.

III. La position de l'Assemblée nationale

L'Assemblée nationale a précisé et complété le texte, notamment en définissant, dans l'article 19, les modalités de contrôle par l'ARCEP du respect par l'ANSSI des conditions d'application des dispositifs insérés dans le code de la défense et qui lui permettent d'installer des dispositifs mettant en oeuvre des marqueurs techniques (article L. 2321-2-1) ou de recueillir des données strictement nécessaires à l'analyse d'un événement affectant la sécurité des systèmes d'information d'une autorité publique ou d'un OIV (article L. 2321-3).

A. LES PRÉCISIONS APPORTÉES AU DISPOSITIF MIS EN oeUVRE PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES

1. L'instauration d'une obligation de déclaration (alinéa 3)

Dans la rédaction initiale de l'article 19, il n'était pas fait obligation aux opérateurs de déclarer l'installation sur les réseaux qu'ils exploitent des dispositifs mettant en oeuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés. O r, cette déclaration est indispensable pour permettre à l'ANSSI de demander aux opérateurs disposant de ces capacités de les exploiter , en recourant, le cas échéant, à des marqueurs techniques qu'elle leur fournit, lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information ( alinéa 4 ) et pour, dans les conditions prévues à l'article L. 2321-3 du code de la défense, recueillir des données strictement nécessaires à l'analyse d'un événement affectant la sécurité des systèmes d'information d'une autorité publique ou d'un OIV ( alinéas 33 et 34 ).

Elle est également indispensable pour permettre à l'ARCEP d'exercer le contrôle du respect de leurs obligations par les opérateurs (voir supra).

2. Trois amendements rédactionnels

L'Assemblée nationale a également adopté en commission trois amendements rédactionnels.

Le premier place l'alinéa relatif à la conservation et à la destruction immédiate des données inutiles à la prévention des menaces après l'alinéa 4 relatif à l'exploitation de dispositifs mettant en oeuvre des marqueurs techniques et non plus après l'alinéa relatif à l'information de l'ANSSI en cas de détection d'un événement, ce qui est logique puisque les dispositions de cet alinéa s'appliquent dès l'exploitation. Il doit également être entendu que ces dispositions s'appliquent à ces dispositifs quel que soit le marqueur utilisé et le mode d'exploitation retenu par l'opérateur ( alinéa 5 ).

Les deux autres ont pour objet de corriger une erreur de syntaxe ( alinéa 3 ) et une erreur typographique ( alinéa 7 ).

B. UN RENFORCEMENT DES CAPACITÉS D'INSTALLATION DE DISPOSITIFS TECHNIQUES PAR L'ANSSI

1. Un recentrage sur la détection des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques et des OIV

En commission, l'Assemblée nationale a adopté un amendement, avec l'accord du Gouvernement, pour substituer la mention « des dispositifs mettant en oeuvre »  des marqueurs techniques utilisée dans l'article L. 33-14 ( nouveau ) du code des postes et télécommunications électroniques à la mention de « système de détection recourant à » figurant dans le texte du Gouvernement ( alinéa 27 ).

Outre un amendement purement rédactionnel, elle a également adopté, avec l'accord du Gouvernement, un amendement de précision pour dire que les dispositifs mettant en oeuvre des marqueurs techniques n'ont pour finalité que la détection des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques et des OIV, répondant ainsi précisément et exclusivement aux termes de la menace énoncée au début de cet alinéa ( alinéa 27 ).

2. La qualification des agents de l'ANSSI autorisés à procéder au recueil et à l'analyse des données (alinéa 28)

Outre un amendement rédactionnel, l'Assemblée nationale a, en commission avec l'accord du Gouvernement, adopté un amendement prévoyant d'encadrer le dispositif en précisant que les agents de l'A NSSI qui pourront recueillir et exploiter les données techniques fournies par les dispositifs de détection devront être individuellement désignés et spécialement habilités à cet effet. Ceci permettra d'assurer une meilleure traçabilité des opérations réalisées par l'ANSSI (alinéa 28) .

La solution consistant à aligner cette qualification sur celle prévue à l'article L. 2123-3 permettant, pour les besoins de la sécurité des systèmes d'information de l'État et des OIV à des agents de l'ANSSI, habilités par le Premier ministre et assermentés dans les conditions fixées par un décret en Conseil d'État pour obtenir des opérateurs de communications électroniques, en application du III de l'article L. 34-1 du code des postes et télécommunications électroniques l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou la compromission de leur système, n'a pas été retenue parce qu'il ne s'agit pas, dans le cas de l'article 19, du recueil de données personnelles mais de données techniques malveillantes, et parce que l'assermentation implique une organisation lourde peu compatible avec le nombre d'agents concernés au sein du centre d'opérations de l'ANSSI, lequel, au surplus, est confronté à une forte rotation, ce qui risquerait d'en altérer les capacités et représenterait une véritable contrainte.

3. L'allongement de la durée de conservation des données recueillies

L'Assemblée nationale a, en commission et avec l'accord du Gouvernement, porté de 5 à 10 ans la durée de conservation des données afin de renforcer l'efficacité du dispositif. En effet, la « mémoire » et l'historique des événements de sécurité passés sont essentiels à la prévention des cyberattaques ( alinéa 29 ).

Souvent les attaques ne sont pas lancées immédiatement après la pénétration d'un système : l'attaquant commence par analyser ce système, le cartographier, préparer les outils de destruction qu'il mettra en oeuvre au moment qu'il jugera opportun. Telle donnée saisie à un instant donné peut ne pas être identifiée comme malveillante à cet instant, mais sera caractérisée ultérieurement lors du déclenchement effectif de l'attaque. Plus la banque de données techniques sera enrichie et accessible dans le temps, plus grande sera l'efficacité de nos dispositifs de détection et la résilience de nos systèmes d'information.

La durée de dix ans est considérée comme la durée de validité des systèmes d'exploitation dans le secteur public, entre deux renouvellements.

4. L'extension de la finalité du recueil à la caractérisation des menaces

L'Assemblée nationale a adopté en commission un amendement de cohérence avec les dispositions dans le premier alinéa de l'article L. 2321-2-1 (nouveau) pour préciser que les données conservées sont celles directement utiles à la prévention et « à la caractérisation » des menaces ; les autres données étant immédiatement détruites ( alinéa 30 ).

5. L'introduction de sanctions pénales en cas d'obstacle mis par un opérateur à l'installation par l'ANSSI des dispositifs techniques de détection

Selon les termes d'un amendement adopté par l'Assemblée nationale en commission avec l'accord du Gouvernement, le fait pour un opérateur, un fournisseur de service ou leurs agents de faire obstacle à l'installation et à la mise en oeuvre par l'ANSSI des dispositifs recevant les marqueurs techniques afin de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques et des OIV (article L. 2321-2-1 du code de la défense) pourra être sanctionné pénalement en application de l'article L. 2321-2-2 ( nouveau ) du code de la défense, d'une peine pouvant aller jusqu'à un an d'emprisonnement et de 75 000 euros d'amende ( alinéa 31 ) et les personnes physiques coupables de cette infraction encourent également un interdiction d'exercer l'activité professionnelle à l'occasion de l'exercice de laquelle l'infraction a été commise pour une durée pouvant aller jusqu'à 5 ans ( alinéa 32 ).

Aucun mécanisme de sanction pénale n'était prévu dans le dispositif initial proposé par le Gouvernement. Les seuls mécanismes de sanction applicables relevaient du contrôle général de l'ARCEP selon les dispositions des articles L. 36-7 et L. 36-11 du code des postes et des communications électroniques (voir supra).

Le niveau des sanctions a été calé sur celui figurant aux articles L. 39 et L. 39-3 du code des postes et des communications électroniques.

L'introduction de ces dispositions a suscité quelques interrogations chez les opérateurs. En permettant, si besoin, d'entamer une action directement sans passer par la procédure de constatation, recommandation et mise en demeure, classique mais nécessairement longue, de l'ARCEP, ce mécanisme répond également à de potentiels besoins d'intervention urgente qui pourraient s'avérer nécessaires pour répondre à certaines menaces. Le mécanisme aura un effet essentiellement dissuasif.

C. LES MODALITÉS DE CONTRÔLE PAR L'ARCEP DU RESPECT PAR L'ANSSI DES CONDITIONS D'APPLICATION DES DISPOSITIFS INSÉRÉS DANS LE CODE DE LA DÉFENSE

Par un nouvel article L. 36-14, adopté en commission, l'Assemblée nationale a détaillé les modalités d'organisation et de mise en oeuvre de ce contrôle ( alinéas 11 à 18 ).

Cet article nouveau prévoit que la mission sera confiée à la formation de règlement des différends, de poursuite et d'instruction, prévue à l'article L. 130 du code des postes et des communications électroniques ^{92 ( * )} ( alinéa 32 ) qui sera également modifié à cet effet par coordination ( alinéas 20 et 21 ). Il est également prévu d'adapter les dispositions du code des postes et des communications électroniques relatives à la formation de règlement des différends, de poursuite et d'instruction de l'ARCEP afin d'habiliter ses membres (article L.131) et ses personnels (article L.132) au secret de la défense nationale lorsque l'accomplissement de leur mission l'exige (alinéas 22 à 24 ).

Cette formation sera informée sans délai par l'ANSSI des mesures mises en oeuvre sur le site des opérateurs en application de l'article L. 2321-2-1 du code de la défense et des demandes de communication des données techniques strictement nécessaires à l'analyse des évènements affectant la sécurité des systèmes d'information d'une autorité publique ou d'un OIV en application de l'article L. 2321-3 du même code ( alinéa 13 ).

Elle disposera d'un accès complet aux données recueillies ou obtenues et pourra solliciter de l'ANSSI tous les éléments nécessaires à l'accomplissement de sa mission ( alinéa 14 ).

Elle pourra adresser à l'ANSSI toute recommandation qu'elle juge nécessaire aux fins d'assurer la régularité des mesures mises en oeuvre et sera informée des suites données à ses recommandations ( alinéa 15 ). Si l'ANSSI ne donne pas suite à ces recommandations ou que la formation de règlement des différends, de poursuite et d'instruction estime insuffisantes les suites données, elle pourra enjoindre à l'ANSSI d'interrompre des opérations ou la destruction des données ( alinéa 16 ).

L'ARCEP remettra chaque année au Gouvernement et au Parlement, dans le respect du secret de la défense nationale, un rapport d'activité sur les conditions d'exercice et les résultats du contrôle exercé à ce titre ( alinéa 17 ).

IV - La position de votre commission

Si le dispositif dans sa rédaction issue de l'Assemblée nationale est opportun pour répondre aux menaces, sa mise au point par étapes successives et dans une certaine urgence, pour profiter de l'opportunité offerte par l'examen de la loi de programmation militaire, laisse des possibilités d'amélioration.

A. PRÉCISER LE RÉGIME DU RECUEIL DES DONNÉES PAR LES OPÉRATEURS DE COMMUNICATIONS ÉLECTRONIQUES

Il convient de préciser certaines modalités relatives au recueil des données par les opérateurs de communications électroniques aux moyens des dispositifs mettant en oeuvre des marqueurs techniques.

1. Clarifier l'obligation d'exploitation des dispositifs mettant en oeuvre des marqueurs techniques à la demande de l'ANSSI

L' alinéa 4 prévoit que l'ANSSI puisse demander aux opérateurs d'exploiter leurs dispositifs mettant en oeuvre des marqueurs techniques, en recourant, le cas échéant, à des marqueurs qu'elle leur fournit, lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information. Par ces termes, il est entendu que l'ANSSI dispose de la faculté de demander l'exploitation des dispositifs aux opérateurs, il doit être clair qu'à partir du moment où elle formule cette demande, l'opérateur est tenu d'y apporter une réponse positive en exploitant effectivement les dispositifs qu'il aura installés et déclarés préalablement ( alinéa 3 ).

Votre commission propose un amendement pour affirmer ce caractère obligatoire.

2. Fixer une durée pour la conservation, par les opérateurs, des données techniques strictement nécessaires à la caractérisation d'un évènement détecté

Il est prévu à l'alinéa 5 que les données recueillies dans le cadre de l'exploitation de ces dispositifs, autres que celles directement utiles à la prévention des menaces, sont immédiatement détruites. Cette rédaction est imprécise et n'encadre pas suffisamment cette action des opérateurs.

En effet, cette opération pourrait constituer une dérogation aux dispositions inscrites aux I et au II de l'article L. 34-1 relatif au traitement des données à caractère personnel dans le cadre de la fourniture au public de services de communications électroniques et qui prévoient notamment que les opérateurs de communications électroniques, effacent ou rendent anonyme toute donnée relative au trafic sous réserve de dérogations. Des dérogations sont prévues par exemple au III du même article, notamment pour la recherche, la constatation et la poursuite des infractions pénales ou encore pour les besoins de la prévention des atteintes aux systèmes de traitement automatisé de données de permettre la mise à disposition à l'autorité judiciaire ou à l'ANSSI, qui permettent de différer d'une année les opérations d'effacement ou d'anonymisation. Il est souhaitable de fixer un terme à la conservation des données.

Cette durée permettra, en outre, à l'ANSSI de disposer de quelque délai pour effectuer les demandes de communication des données techniques strictement nécessaires à l'analyse d'un événement affectant la sécurité des systèmes d'information d'une autorité publique ou d'un OIV, prévu à l'article L. 2321-3 (alinéa 34), lesquelles, une fois obtenues, pourront être conservées pour une durée maximale de 10 ans.

Il est également utile, par cohérence avec la rédaction de cet article, que les données permettant de caractériser la menace affectant la sécurité de ces systèmes soient conservées et non les seules directement utiles à sa prévention.

Votre commission propose d'inscrire dans l'alinéa 5 cette durée maximale de conservation et de préciser que les données recueillies et conservées peuvent également être utiles à la caractérisation de la menace .

3. Améliorer la rédaction de l'alinéa 7

Votre commission propose à l'alinéa 7 un amendement rédactionnel.

4. Préciser le contenu des modalités qui seront incluses dans un décret en Conseil d'Etat

D'une façon générale, votre Rapporteur a eu quelques difficultés à se faire communiquer de façon précise et exhaustive les catégories de données recueillies par les dispositifs mettant en oeuvre des marqueurs techniques pouvant être conservés par les opérateurs. Il importe que le décret en Conseil d'Etat prévu à l'alinéa 8 détermine de façon exhaustive les catégories de données pouvant être conservées et par conséquent, celles devant être systématiquement et immédiatement détruites.

Tel est l'objet de l'amendement présenté par votre commission .

B. L'AMÉNAGEMENT DES CAPACITÉS D'INSTALLATION DE DISPOSITIFS TECHNIQUES PAR L'ANSSI

1. Étendre le périmètre de surveillance aux opérateurs de services essentiels

L'article 19 permet à l'ANSSI, lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques ou des OIV, de mettre en oeuvre des dispositifs de détection sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'un fournisseur de communication au public en ligne afin de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information desdits autorités publiques et ou OIV (alinéas 27 et 28) et d'obtenir des opérateurs, lorsqu'elle est informée, en application de l'article L. 33-14 du code des postes et des communications électroniques, de l'existence d'un événement affectant la sécurité de ceux-ci, les données strictement nécessaires à l'analyse de cet événement ( alinéa 34 ).

Depuis l'adoption par le Parlement de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, et notamment de ses articles 5 à 9, les opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services sont soumis à des règles de sécurité fixées par le Premier ministre. Ces règles ont pour objet de garantir un niveau de sécurité adapté au risque existant, compte tenu de l'état des connaissances, de définir les mesures appropriées pour prévenir les incidents qui compromettent la sécurité des réseaux et systèmes d'information utilisés pour la fourniture des services essentiels ou en limiter l'impact afin d'assurer la continuité de ces services. Elles peuvent aller jusqu'à la possibilité de prescrire que les opérateurs recourent à des dispositifs matériels ou logiciels ou à des services informatiques dont la sécurité a été certifiée. Les opérateurs sont également tenus, sous peine de sanctions pénales, d'effectuer auprès de l'ANSSI la déclaration des incidents affectant les réseaux et systèmes d'information nécessaires à la fourniture de services essentiels, lorsque ces incidents ont ou sont susceptibles d'avoir un impact significatif sur la continuité de ces services. Le Premier ministre peut, en outre, soumettre les opérateurs à des contrôles destinés à vérifier le respect de ces obligations et, en cas de manquement, l'ANSSI peut mettre en demeure les dirigeants de l'opérateur concerné de se conformer aux obligations qui incombent à l'opérateur.

Ces règles sont voisines de celles imposées pour les mêmes fins aux opérateurs d'importance vitale visés par les articles L. 1332-1 et L. 1332-2 du code de la défense.

Pour consolider le système mis en place par l'article 19, il est souhaitable d'étendre aux menaces susceptibles de porter atteinte à la sécurité des systèmes d'information des opérateurs de services essentiels, le le périmètre des conditions permettant à l'ANSSI de détecter (alinéas 27 et 28) ou de caractériser une cyberattaque (alinéa 34). Ces opérateurs dont le nombre est estimé à quelques centaines bénéficieront du dispositif de détection sans que cela représente pour eux une charge supplémentaire.

Enfin, par cohérence également, il est utile de modifier la rédaction du premier alinéa de l'article L. 2321-3 qui permet à l'ANSSI d'obtenir des opérateurs de communications électroniques pour les besoins de la sécurité des systèmes d'information de l'Etat et des OIV, des données concernant les utilisateurs ou détenteurs de systèmes vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou « la compromission » de leur système, aux « autorités publiques » et non au seul « État » ainsi qu'il est proposé dans la rédaction pour l'article L. 2321-2-1 ( alinéas 27 et 28 ) et pour le deuxième alinéa de l'article L. 2321-3 ( alinéa 34 ) et aux opérateurs de services essentiels, mais aussi, par cohérence avec la rédaction proposée à l'alinéa 7 , selon laquelle les opérateurs à la demande de l'ANSSI informent leurs abonnés de la vulnérabilité ou « de l'atteinte » à leurs systèmes d'information, il convient de remplacer le terme « compromission » qui figure au premier alinéa de l'article L. 2321-3 par « atteinte » qui est un terme plus juste dans la mesure où une cyberattaque peut dans un premier temps atteindre un système d'information sans entraîner de compromission, de corruption ou de destruction de données, pour préparer une action plus violente à l'encontre de ce système ou d'un système avec lequel il est en relation ou simplement aux fins d'espionnage.

Ces nouvelles dispositions renforceront le dispositif de prévention au profit de ces opérateurs sans créer, pour ceux-ci, de nouvelles obligations et la résilience globale de la Nation aux cyberattaques.

À cette fin, votre commission propose d'amender, en ce sens, les alinéas 27, 28, 33 et 34.

2. Préciser le contenu des modalités qui seront incluses dans un décret en Conseil d'État

De la même façon qu'un décret en Conseil d'État devra déterminer les catégories de données pouvant être conservées par les opérateurs de communications électroniques, il y a lieu de prévoir qu'un décret en Conseil d'Etat détermine celles susceptibles d'être collectées par l'ANSSI au moyen des dispositifs qu'elle sera autorisée à installer sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'un fournisseur de communication en ligne afin de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques et des OIV pour l'application de l'article L. 2321-2-1 ( alinéa 29 ).

Tel est l'objet de l'amendement présenté par votre commission .

3. Préciser la définition des infractions susceptibles d'être commises par les opérateurs pénalement sanctionnés et aménager le régime des sanctions

L'Assemblée nationale a introduit des dispositions pour sanctionner pénalement le fait pour un opérateur de communications électroniques, un fournisseur de services de communication au public en ligne ou leurs agents, de faire obstacle à la mise en oeuvre par l'ANSSI des dispositifs de détection prévus à l'article L. 2321-2-1 du code de la défense.

Elle n'a pas prévu de dispositions analogues pour sanctionner les opérateurs de communications électroniques ou leurs agents qui refuseraient de communiquer les données techniques strictement nécessaires à l'analyse des cyberattaques visées au deuxième alinéa de l'article L. 2321-3.

Cette abstention est justifiée par la volonté de ne pas dissuader les opérateurs d'installer des dispositifs de détection ce qui ne constitue pas en soi une obligation, mais est essentiel pour la mise en oeuvre du système de détection de l'article L. 33-14 du code des postes et communications électroniques.

Les sanctions prévues sont une peine d'emprisonnement d'un an, une amende de 75 000 euros et une interdiction d'exercice de l'activité professionnelle à l'occasion de l'exercice de laquelle l'infraction a été commise. Même si l'objectif est essentiellement dissuasif, il aurait sans doute plus d'efficacité en augmentant le montant des amendes et en supprimant la peine d'emprisonnement qui n'aura guère de chance d'être effectivement appliquée. En cohérence avec les dispositions de l'article L. 1321-7 du code de la défense qui permettra de sanctionner les dirigeants des OIV en cas de manquement aux règles posées par les articles L. 1332-6-1 et suivants dudit code et avec celles inscrites à l'article 9 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, s'agissant des opérateurs de services essentiels, il serait plus cohérent de prévoir un montant de 150 000 euros compte tenu de la gravité des dommages que ces manquements risquent d'avoir pour conséquence.

Votre commission présente un amendement afin de modifier les sanctions applicables.

4. Prévoir l'application du principe de la juste rémunération des opérateurs

Par une décision n° 2001-441 DC du 20 décembre 2000 ^{93 ( * )} , le Conseil constitutionnel a considéré que, « s'il est loisible au législateur, dans le respect des libertés constitutionnellement garanties, d'imposer aux opérateurs de réseaux de télécommunications de mettre en place et de faire fonctionner les dispositifs techniques permettant les interceptions justifiées par les nécessités de la sécurité publique, le concours ainsi apporté à la sauvegarde de l'ordre public, dans l'intérêt général de la population, est étranger à l'exploitation des réseaux de télécommunications ; que les dépenses en résultant ne sauraient dès lors, en raison de leur nature, incomber directement aux opérateurs ». Il a ainsi établi le principe de rémunération de ces concours.

Si ce principe est inclus dans le code des postes et télécommunications et permet, le cas échéant, de compenser les nouvelles charges résultant des obligations posées par le nouvel article L. 33-14. En revanche, il n'est pas prévu, dans le code de la défense, de dispositifs de compensation des charges induites par les obligations prévues aux articles L. 2331-2-1 et L. 2321-3 du code de la défense.

Votre Rapporteur aurait souhaité introduire un dispositif de cette nature dans le code de la défense afin de clarifier cette situation. En effet, s'il semble que l'article L. 33-14 permet de couvrir le cas de la fourniture des données techniques visées à l'article L. 2321-3 du code de la défense, en revanche, il est insuffisant, selon notre analyse, pour préciser les modalités de mise en oeuvre du principe de la compensation des surcoûts identifiables et spécifiques des prestations réalisées pour permettre à l'ANSSI de mettre en oeuvre ses dispositifs de détection sur les réseaux des opérateurs ou les systèmes d'information des fournisseurs dans les conditions prévues à l'article L. 2321-2-1 du code de la défense. Cependant, créant ainsi une dépense nouvelle pour l'Etat, et bien que celle-ci soit de droit selon la décision du Conseil constitutionnel, et que son coût pour le budget de l'Etat estimé par l'étude d'impact ^{94 ( * )} à un millier d'euros par opérateur et par an soit marginal, un amendement pour introduire ce mécanisme serait contraire à l'article 40 de la Constitution. Il reviendra donc au Gouvernement d'en définir en concertation avec les opérateurs et fournisseurs concernés les modalités.

3. LES CONSOLIDATIONS DES MODALITÉS DE CONTRÔLE PAR L'ARCEP DU RESPECT PAR L'ANSSI DES CONDITIONS D'APPLICATION DES DISPOSITIFS INSÉRÉS DANS LE CODE DE LA DÉFENSE

L'Assemblée nationale a précisé les modalités de contrôle par l'ARCEP du respect par l'ANSSI des conditions d'application des dispositifs insérés dans le code de la défense.

L'effectivité du contrôle reposera largement sur les moyens dont disposera l'ARCEP pour le mettre en oeuvre.

1. Faciliter l'accès de la formation de règlement des différends, de poursuite et d'instruction de l'ARCEP aux données collectées

Il convient d'abord de faciliter son contrôle en précisant qu'elle pourra avoir un accès permanent aux données et aux dispositifs de traçabilité des données collectées par l'ANSSI au titre des articles L. 2321-2-1 et L. 2321-3 ce qui lui permettra d'accéder plus aisément aux données ( alinéa 14 ). L'ANSSI mettra en place un registre pour assurer cette traçabilité. La notion de permanence doit s'entendre comme la capacité de l'ARCEP de demander à tout moment les informations nécessaires pour exercer son contrôle a posteriori. Cela ne suppose pas une mise en oeuvre d'un contrôle en temps réel.

Tel est l'objet de l'amendement présenté par votre commission .

2. Donner à la formation spécialisée de l'ARCEP la capacité de se faire assister par des experts

Les compétences nouvelles attribuées à l'ANSSI ne devraient pas être excessivement lourdes. Le Gouvernement a indiqué à l'autorité qu'elle pourrait, à compter du 1 ^er janvier 2019, disposer de deux emplois supplémentaires au titre de leur exercice.

Cette évaluation est approximative et purement quantitative. Il faudra que l'ARCEP se dote des compétences techniques nécessaires et selon son volume d'activité, il n'est pas certain que l'emploi d'un fonctionnaire ou d'un contractuel à temps complet soit nécessaire. En revanche, sa capacité à se faire assister d'experts dans ses opérations de contrôle serait bienvenue.

Tel est l'objet de l'amendement présenté par votre commission qui prévoit que ces experts seront individuellement désignés et habilités au secret de la défense nationale .

3. Donner au président de l'ARCEP la possibilité de déposer un recours devant le Conseil d'État lorsque l'ANSSI ne se conformait pas à ses injonctions

L'article 19 ( alinéa 16 ) indique que lorsque l'ANSSI ne donne pas suite aux recommandations que lui adresse l'ARCEP ou lorsque la formation spécialisée estime insuffisantes les suites données par l'ANSSI à ces recommandations, elle peut enjoindre celle-ci d'interrompre les opérations et de détruire les données recueillies.

Ce dispositif graduel est cohérent, mais il demeure incomplet ou insuffisant en ce qu'il ne prévoit pas ce qu'il adviendrait si après avoir méconnu les recommandations de l'ARCEP, l'ANSSI n'obtempérait pas à ses injonctions.

Sans doute, l'ARCEP pourrait-elle saisir le juge administratif pour faire respecter sa décision, encore que cette question demeure incertaine s'agissant d'une autorité administrative indépendante si ce recours n'est pas fondé sur une disposition législative. Au surplus, la procédure administrative risque d'être longue pour trancher ce différend sauf à recourir au référé ce qui, dès lors, pourrait s'avérer très pénalisant pour l'ANSSI si les revendications de l'ARCEP étaient considérées comme exagérément contraignantes alors qu'une décision urgente est attendue. La solution serait de permettre une solution rapide de ce contentieux par la plus haute juridiction administrative et dans un délai compatible avec les circonstances potentiellement d'urgence, d'une intervention, en mettant rapidement un terme à une situation d'insécurité juridique.

Le projet de loi a, en outre, prévu que les membres et les personnels de la formation de règlement des différends, de poursuite et d'instruction de l'ARCEP seraient habilités au secret de la défense nationale, car susceptibles de prendre connaissance d'informations classifiées dans l'exercice de leur mission. Dès lors, la juridiction en charge du contentieux éventuel entre l'ARCEP et l'ANSSI ne pourrait être que la formation spécialisée du Conseil d'État prévue au titre VII du livre VII du code de la justice administrative dont les membres sont habilités ès qualité. Pour ce faire, il convient d'insérer des dispositions tant dans le code des postes et des communications électroniques que dans le code de la justice administrative.

Votre commission propose d'insérer dans l'article 19 deux nouveaux alinéas : le premier pour prévoir, dans le code des postes et communications électroniques, la possibilité pour le président de l'ARCEP de saisir le Conseil d'État, le second pour prévoir, dans le code de la justice administrative, les modalités d'examen de ces recours compte tenu de la classification de certaines informations.

4. Préciser les modalités d'information du Parlement

L'article 19 envisage une information du Gouvernement et du Parlement par un rapport annuel d'activité de l'ARCEP sur les conditions d'exercice et les résultats du contrôle exercé du respect par l'ANSSI des conditions d'applications des dispositifs insérés dans le code de la défense.

Il est indiqué que ce rapport d'activité est remis « sous réserve du respect du secret de la défense nationale ». On imagine mal qu'une autorité administrative indépendante, dont les membres et les personnels en charge de ce contrôle sont habilités au secret de la défense nationale, puisse enfreindre les règles du secret de la défense à l'occasion de la publication d'un rapport d'activité dont le principal objet sera de retracer la façon dont l'ARCEP et sa formation spécialisée auront organisé le contrôle et de produire un certain nombre de statistiques : le nombre de contrôles réalisés, le nombre d'informations transmises par l'ANSSI, le nombre de recommandations émises et le nombre d'injonctions adressées à l'intention de l'ANSSI ainsi que les résultats de ces recommandations et injonctions...

En revanche, il peut être utile que le président de l'ARCEP puisse formuler auprès de hautes autorités de l'Etat, comme le Premier ministre et les présidents des assemblées parlementaires, les observations qu'elle juge utiles en ce domaine.

Tel est l'objet de l'amendement présenté par votre commission .

D. LE RENFORCEMENT DE LA CYBERDÉFENSE A UN COÛT

Si la préoccupation à laquelle répond l'article 19 n'est pas étrangère à la défense nationale, les organismes qui seront chargés de sa mise en oeuvre, à savoir l'ANSSI, d'une part, et l'ARCEP, d'autre part, n'entrent pas dans le périmètre de la loi de programmation militaire 2019-2025.

Si l'étude d'impact essaie de décrire les impacts économiques des dispositions de l'article 19, elle est très incomplète dans la mesure où elle ne présente aucune estimation globale des crédits nécessaires pour la rémunération des opérateurs lorsqu'ils demanderont, en application du I de l'article L. 33-1 du code des postes et des communications électroniques, la compensation des coûts de mise en oeuvre, mais une simple estimation du coût pour les opérateurs de la mise en place des dispositifs de détection de l'ANSSI (un millier d'euros par dispositif et du nombre (20) susceptible d'être installé par l'ANSSI).

Elle n'inclut pas le coût d'investissement pour la mise au point des dispositifs par l'ANSSI, ni le coût des personnels qui seront chargés de les mettre en place, de les exploiter et d'analyser les données techniques recueillies par ces dispositifs et celles transmises par les opérateurs de communications électroniques.

Enfin, s'il est prévu de créer 2 ETP au profit de l'ARCEP à raison de ces nouvelles missions, il est probable qu'il sera opéré un transfert à partir du plafond d'emplois de l'ANSSI.

Ces coûts s'ajouteront pour l'ANSSI à ceux nécessaires à la mise en oeuvre de la stratégie nationale de cyberdéfense du 12 février 2018 , les dispositions de l'article 19 ne constituant qu'un élément d'une stratégie de protection et de résilience dont le principal défaut est de ne pas être chiffrée et alors même que votre Commission avait observé à l'occasion de l'examen du projet de loi de finances pour 2018 la tension sur les effectifs et les moyens de l'agence.

Cette distorsion entre les missions et les moyens de l'agence est inquiétante et votre commission sera très vigilante à l'occasion de l'examen du projet de loi de finances pour 2019 sur les solutions qui seront apportées à ces insuffisances. A l'heure des arbitrages budgétaires sur les crédits du programme 129 de la mission « Direction de l'action du gouvernement », elle attire l'attention du Premier ministre sur cette question.

Outre deux amendements communs avec la commission des lois saisie pour avis, pour améliorer le cadre de mise en oeuvre des dispositifs de détection par les opérateurs de communications électroniques et le contrôle de l'ARCEP sur l'ANSSI, d'une part, et pour préciser les dispositions relatives à l'installation de dispositifs de détection par l'ANSSI d'autre part, la commission a adopté un amendement de votre rapporteur pour étendre le périmètre de la protection aux opérateurs de services essentiels, et un amendement de la commission des lois relatif à la compensation des surcoûts pour les opérateurs.

Votre commission a adopté l'article 19 ainsi modifié.

Article 20 - (Supprimé) - Habilitation à légiférer par ordonnances pour la mise en oeuvre du contrôle confié à l'ARCEP par l'article 19

L'article 20 du projet de loi déposé par le Gouvernement avait pour objet d'habiliter le Gouvernement à définir, par ordonnance, le régime de contrôle du respect par l'ANSSI des conditions de mise en oeuvre des dispositions de l'article L. 2321-2-1 et du second alinéa de l'article L. 2321-3 du code de la défense, créées par l'article 19, ainsi que les modalités d'organisation de l'ARCEP pour la réalisation de cette mission le cas échéant, en créant, en son sein, une formation spécialisée.

L'Assemblée nationale, en commission, a estimé que le recours aux ordonnances n'est pas justifié et qu'il importait que ces modalités fussent déterminées par le Parlement dans le cadre de la présente loi de programmation et qu'au surplus la détermination du régime de contrôle par le texte permettrait une mise en oeuvre rapide des nouvelles dispositions.

La commission de la défense et des forces armées de l'Assemblée nationale, avec l'accord du Gouvernement, a précisé les conditions de ce contrôle dans l'article 19, l'article 20 n'ayant dès lors plus d'objet.

Votre commission a maintenu cette suppression.

Article 21 - (Art. L. 4123-12 du code de la défense) - Excuse pénale des cyber-combattants

L'article 21 du présent projet de loi tend à permettre aux cyber-combattants des forces armées de bénéficier du régime dit « d'excuse pénale » dans le cadre de leur participation à des opérations extérieures.

I - Le droit en vigueur

Le régime dit « d'excuse pénale »  des militaires, codifié à l'article L. 4123-12 du code de la défense, a été instauré par la loi n° 2005-270 du 24 mars 2005 portant statut général des militaires. Il a été complété par l'article 31 de la loi n° 2013-1168 du 18 décembre 2013 de programmation militaire (2014-2019).

Il permet de prendre en compte la spécificité de l'action de combat, en autorisant les militaires, en l'état du droit et hors cas de légitime défense, à exercer des mesures de coercition, faire usage de la force armée ou à en donner l'ordre, sans que leur responsabilité pénale puisse être engagée :

• dans le cadre d'une opération mobilisant des capacités militaires « quels que soient l'objet, la durée ou l'ampleur de ladite opération y compris la libération d'otages, l'évacuation de ressortissants ou la police en haute mer ^{95 ( * )} »,

• se déroulant à l'extérieur du territoire national « ou des eaux territoriales françaises ^{96 ( * )} »,

• sous réserve du respect des règles du droit international,

• lorsque cela est nécessaire à l'exercice de la mission conduite.

II - Les modifications proposées par le projet de loi

L'article 21 du projet de loi prévoit d'ajouter à cette liste les actions numériques. Il permettra de faire bénéficier de ce régime protecteur, et par application des mêmes critères et limites, les cyber-combattants engagés, dans l'espace numérique, dans des actions de combats produisant leurs effets à l'étranger, dès lors que leurs actions seraient assimilées à un recours à la force afin de les prémunir contre toute interprétation restrictive des dispositions actuelles par les juridictions répressives.

La clarification apportée par le présent article est légitime, utile et nécessaire, dès lors que les capacités des armées dans ce domaine vont être considérablement renforcées et que la cyberdéfense est désormais présente dans l'ensemble des contrats opérationnels des armées.

Les personnels militaires concernés par les nouvelles dispositions relèvent fonctionnellement du Commandement de la cyberdéfense , créé par arrêté du 4 mai 2017, lequel est notamment responsable de la planification et de la conduite des opérations militaires de cyberdéfense, y compris en OPEX. Ils pourront bénéficier de ce régime dès lors que les actions qu'ils conduiront seront rattachables à une opération mobilisant des capacités militaires se déroulant à l'extérieur du territoire national, même s'ils agissent depuis le territoire national compte tenu de la spécificité du cyberespace.

III - La position de l'Assemblée nationale

L'assemblée nationale adopté cet article sans modification.

IV - La position de votre commission

Votre commission a adopté cet article sans modification.

---

* ⁸³ Visés aux articles L.1332-1 et L. 1332-2 du code de la défense, il s'agit des opérateurs publics ou privés exploitant des établissements ou utilisant des installations ou ouvrages, dont l'indisponibilité risquerait de diminuer d'une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation, désignés par l'autorité administrative ainsi que potentiellement, par extension, des établissements mentionnés à l'article L. 511-1 du code de l'environnement ou comprenant une installation nucléaire de base visée à l'article L. 593-1 du code de l'environnement quand la destruction ou l'avarie de certaines installations de ces établissements peut présenter un danger grave pour la population.

* ⁸⁴ Ces systèmes de détection sont exploités sur le territoire national par des prestataires de service qualifiés en matière de sécurité de systèmes d'information, par l'autorité nationale de sécurité des systèmes d'information ou par d'autres services de l'Etat désignés par le Premier ministre. Les qualifications des systèmes de détection et des prestataires de service exploitant ces systèmes sont délivrées par le Premier ministre.

* ⁸⁵

* ⁸⁶ Article L. 32-4

* ⁸⁷ Article L. 36-11 du code des postes et des communications électroniques

* ⁸⁸ Article L. 2321-3 du code de la défense .

* ⁸⁹ https://www.arcep.fr/uploads/tx_gspublication/etude-Hogan-Analysys-juin2011.pdf

* ⁹⁰ Portée à 10 ans par l'Assemblée nationale (voir infra)

* ⁹¹ Article L. 36-7 du code des postes et des communications électroniques

* ⁹² Formation restreinte visée à l'article L. 130 du code des postes et des communications électroniques.

* ⁹³ Décision n° 2001-441 DC du 20 décembre 2000 http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/acces-par-date/decisions-depuis-1959/2000/2000-441-dc/decision-n-2000-441-dc-du-28-decembre-2000.460.html

* ⁹⁴ Etude d'impact p. 133 « Le coût marginal pour l'opérateur est très faible : la mise en place du système revient à moins d'un millier d'euros par an, dont essentiellement de la consommation électrique et de l'espace occupé par la sonde non disponible pour ses clients. Le nombre d'opérations envisageables à ce titre peut être estimé à 20 par an ».

* ⁹⁵ Apport de la loi n°2013-1168 du 18 décembre 2013 de programmation militaire (2014-2019).

* ⁹⁶ idem