Extinction des fréquences 2G/3G : piloter les risques plutôt qu'en subir les conséquences

Rapports d'information

Rapport d'information n° 380 (2025-2026), déposé le 11 février 2026

Les informations clés

Nature

Rapport d'information

B. LA 2G/3G : UN RÉSEAU TECHNIQUEMENT DÉPASSÉ ET ÉNERGÉTIQUEMENT COÛTEUX

1. L'extinction du réseau 2G : un impératif de cybersécurité

Les réseaux mobiles d'anciennes générations tels que les réseaux 2G et 3G présentent des fragilités techniques, exposant ses utilisateurs aux pirates digitaux. Ces risques numériques suscitent une attention croissante des pouvoirs publics.

Depuis une dizaine d'années, l'Union européenne renforce la réglementation applicable en matière de cybersécurité au sein de l'espace européen. Dès 2016, le législateur européen a édicté une directive visant à assurer un « niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union »^8(*), dont la portée visait essentiellement à la mise en oeuvre au sein des États membres de « stratégie nationale en matière de sécurité des réseaux et des systèmes d'information », en imposant des obligations de surveillance et de reporting.

Premier jalon de la politique européenne de lutte contre les « cybermenaces »^9(*), le champ de ces obligations a été étendu à des secteurs de l'économie numérique par la directive dite « NIS 2 »^10(*). Cette dernière, plus précise et extensive dans son approche, considère comme « secteur hautement critique » au sens de son annexe I, le secteur des infrastructures numériques et notamment les fournisseurs de réseaux de communications électroniques publics et accessibles au public. Les États membres doivent, en conséquence, veiller, avec une approche « tous risques », à ce que ces entités prennent les « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d'information ».

Plus récemment, le législateur européen a enrichi ce dense socle législatif en adoptant le 23 octobre 2024 le « Cyber resilience act » (CRA) et en laissant aux entreprises le soin de s'y conformer à l'horizon du 11 décembre 2027. Ce règlement renforce les obligations à destination des entreprises chargées de la conception, du développement, de la production et de la mise à disposition sur le marché de produits et logiciels (dits « produits comportant des éléments numériques » (PEN)). Sont entre autres concernés par ces nouvelles obligations :

- les produits domestiques intelligents dotés de fonctionnalités de sécurité, notamment caméras de sécurité, systèmes de surveillance pour bébé, systèmes d'alarme, etc. ;

- les assistants virtuels polyvalents pour maison intelligente ;

- les microprocesseurs et microcontrôleurs dotés de fonctionnalités liées à la sécurité.

Le rapporteur relève et salue cet affermissement de la réglementation applicable aux PEN et aux fournisseurs de réseaux, qui répond à des motifs d'intérêt général alors que la menace dite « cyber » ne cesse de s'intensifier en France et en Europe. Le Panorama de la cybermenace publié chaque année par l'Agence nationale de la sécurité des systèmes d'information (Anssi) indique qu'entre 2023 et 2024, le nombre d'évènements de sécurité recensés a augmenté de 15 %^11(*). Cette donnée est par ailleurs à mettre en regard de l'évolution haussière ces dernières années des incidents, telles que le retracent les précédentes itérations de ce panorama annuel réalisé par l'Agence.

En réaction à ces évolutions du droit applicable, et alors que les entités responsables de l'exploitation des réseaux ouverts au public sont tenues, en France, de garantir les conditions de neutralité et de confidentialité ainsi que la prévention de la violation des données à caractère personnel au regard des messages transmis et des informations liées aux communications, conformément aux dispositions de l'article L. 33-1 du code des postes et des communications électroniques (CPCE), plusieurs d'entre elles ont alerté sur les risques inhérents à l'utilisation de certains réseaux mobiles, notamment le réseau 2G.

Google, entreprise des « Gafam » qui domine le marché de l'internet, a ainsi indiqué dans un billet d'août 2024 que le réseau 2G favorisait et exposait ses utilisateurs à des « cybertattaques » de type « SMS blasters », pratique également connue sous le nom de « smishing » ou « hameçonnage par SMS »^12(*). Dans un billet d'août 2024, l'opérateur SFR corrobore cette analyse en indiquant que « la norme 2G est considérée comme ancienne et ne profite donc pas des paramètres de sécurité »^13(*).

Le rapporteur a relevé plusieurs exemples de SMS frauduleux régulièrement recensés par les utilisateurs de mobiles, qui illustrent bien l'ampleur de la menace.

Exemples de SMS frauduleux
adressés à des utilisateurs de réseaux mobiles

Source : Blogdumodérateur (BDM)

Force est de constater que les personnes âgées ou isolées sont susceptibles d'être les premières victimes de ce « hameçonnage ». En effet, cette catégorie de la population est celle qui a aujourd'hui encore le plus recours à des appareils téléphoniques d'anciennes générations, dont certains ne sont compatibles qu'avec le réseau 2G. Or les personnes âgées sont aussi celles qui souffrent le plus d'illectronisme en France, ainsi que l'avait souligné le rapport sénatorial consacré à « l'illectronisme et l'inclusion numérique »^14(*). Elles sont moins bien formées et donc plus sujettes aux malveillances des « cybercriminels ». Le rapporteur considère donc qu'il est d'intérêt public de protéger ces populations vulnérables.

La faiblesse et la perméabilité du réseau 2G aux « cyberattaques » n'est pas un sujet nouveau. Lors de la table ronde Extinction 2G/3G : une transition qui divise les acteurs ? de la commission du 21 mai 2025, la Fédération française des télécoms (FFT) relevait que « les réseaux 2G, en particulier, ont été conçus à une époque où les problématiques de cybersécurité étaient moins présentes. Aujourd'hui, un réseau 2G est très facilement piratable. [...] Ainsi, nous considérons aujourd'hui que la 2G n'est plus adaptée, à plus forte raison pour des usages industriels qui concernent la sécurité des biens et des personnes. Il y a une vraie urgence à effectuer cette bascule technologique, car la 2G ne peut pas répondre à ces usages industriels particuliers qui concernent des besoins tout à fait critiques ». Pour les acteurs du secteur et notamment les opérateurs téléphoniques, il y a urgence à mettre fin à l'utilisation du réseau 2G.

Les conclusions d'un récent rapport de l'Agence nationale de la sécurité des systèmes d'information (Anssi) sur « l'état des menaces » qui pèsent sur la téléphonie mobile et à la faiblesse du réseau mobile 2G^15(*) font écho à ce constat. Pour l'Agence, « les réseaux mobiles, le Wi-Fi, le Bluetooth ou le NFC, présentent de nombreuses faiblesses permettant d'intercepter les informations échangées, voire d'en altérer les données afin de déployer des logiciels espions sur les terminaux ». Elle insiste tout spécifiquement sur le réseau 2G en indiquant que « la confidentialité des communications vocales en 2G est assurée par un algorithme de chiffrement faible et cassé publiquement en 2010. Ce protocole, contrairement aux protocoles 3G ou 4G, ne dispose d'aucun mécanisme d'authentification des antennes-relais auprès des terminaux ».

En conséquence, la faiblesse sécuritaire du réseau 2G est propice au développement des « milieux criminels à travers des marchés de contrebande et des plateformes commerciales étrangères. Certains attaquants s'en servent ainsi pour collecter des numéros de téléphone et envoyer des SMS d'hameçonnage de manière massive dans des secteurs géographiques précis. [...] Les codes malveillants destinés aux environnements mobiles ciblent principalement l'exfiltration de données bancaires permettant le détournement des fonds de la victime ou la revente des données à d'autres cybercriminels. »

Au regard des enjeux en termes de sécurisation des communications et du principe de protection des données à caractère personnel, l'extinction des réseaux 2G, particulièrement poreux aux attaques, se justifie donc pleinement.

2. Extinction de la 2G/3G : vers une réallocation performative des fréquences

L'extinction de la 2G en 2026 et de la technologie 3G à horizon 2029 permettra aux opérateurs de réseau de réallouer une partie des fréquences réseaux au bénéfice de technologies plus performantes.

La réorientation des fréquences 2G/3G vers des fréquences plus performantes s'impose alors que les usages de l'internet ne cessent de s'étendre. Dans son rapport sur l'état de l'internet en France de juillet 2025, l'Arcep estime que « le trafic entrant sur les réseaux des principaux fournisseurs d'accès à internet » a connu une hausse de 9,2 % sur la seule année 2024^16(*). Au-delà de l'augmentation en volume des données d'internet, les utilisateurs des réseaux mobile et internet souhaitent bénéficier de services plus rapides et performants qui répondent davantage à leurs usages.

Or, ainsi que le soulignait la Commission supérieure du numérique et des postes (CSNP) dans son avis d'avril 2025 : « avec l'essor des technologies 4G et 5G, les réseaux 2G et 3G sont en effet devenus obsolètes. La 4G permet des vitesses de connexion bien supérieures et une capacité réseau plus grande, tandis que la 5G permet une latence quasi inexistante et une prise en charge massive des objets connectés (IoT) »^17(*). Les technologies de remplacement de la 2G/3G permettent d'aligner les besoins et les usages des consommateurs avec les technologies déployées par les opérateurs.

3. Extinction des réseaux 2G et 3G : une aubaine environnementale ?

a) Efficacité énergétique : un effet mesurable

L'empreinte carbone générée pour un an de consommation de biens et services numériques en France en 2022 représente l'équivalent de 4,4 % de l'empreinte carbone nationale, presque autant que les émissions totales du secteur poids lourds, soit environ 29,5 Mt CO₂éq, d'après un rapport conjoint de l'Agence de l'environnement et de la maîtrise de l'énergie (Ademe) et de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) paru en juillet 2025^18(*). Ces chiffres méritent néanmoins d'être nuancés et mis en perspective.

D'une part, en ce qu'ils intègrent la totalité des émissions des appareils numériques en France ainsi que les consommations sur des terminaux hébergés hors de France - dont les centres de données (datacenters) particulièrement énergivores - mais également les équipements électro-domestiques (téléviseurs, casques de réalité virtuelle, ordinateurs portables ou fixes professionnel ou personnel) et enfin les réseaux. Cette dernière catégorie, qui intéresse tout spécialement le rapporteur, étant appréhendée comme les « infrastructures réseaux de télécommunication pour les échanges de données entre les terminaux des utilisateurs finaux et les data centers. Le réseau est composé de réseau fixe, d'un réseau mobile, d'un réseau dorsal ainsi que des box internet ». La catégorie « réseau » se veut ainsi plus extensive que la définition usuelle du réseau telle qu'appréhendée par le présent rapport.

D'autre part, il est difficile d'isoler l'impact des seuls réseaux mobiles, et, a fortiori, l'incidence environnementale des réseaux 2G/3G. Compte tenu de ces limites méthodologiques, le rapporteur a souhaité retenir de l'étude conjointe de l'Arcep et de l'Ademe les éléments les plus aisément exploitables et vérifiables :

- 1,8 % des émissions de CO₂ liées aux réseaux sont dues à la « fabrication, la distribution et la fin de vie d'un objet » et représentent une consommation d'énergie d'environ 1,5 % de la consommation énergétique primaire totale ;

- 2 % des émissions de CO₂ sont dues à l'utilisation même de ces réseaux et représentent une consommation d'énergie d'environ 8 % de la consommation énergétique primaire totale.

Une étude de septembre 2023 relative à « l'évaluation de l'impact carbone de l'arrêt des réseaux 2G/3G et la migration de leurs services vers la 4G/5G » conduite par le comité d'experts technique sur les réseaux mobiles apporte des éléments complémentaires.

Les auteurs ciblent prioritairement la consommation énergétique des réseaux 2G/3G. Ils relèvent que ces réseaux « portent une part non négligeable de la consommation électrique des réseaux. Le poids énergétique des réseaux 2G et 3G se situe aujourd'hui entre 21 % et 33 % de l'ensemble des stations de base des réseaux, et pourrait constituer environ 17 % à horizon 2025 selon les hypothèses considérées ». Cette consommation énergétique apparaît non négligeable eu égard à la baisse notable et constante de l'utilisation de ces réseaux.

Le rapporteur souligne toutefois l'incomplétude de cet état des lieux : le périmètre retenu des objets « IoT »^19(*) exclut les ascenseurs, les dispositifs de téléassistance pour personnes dépendantes, les lampadaires connectés ou encore les stations météos, l'impact énergétique de ces dispositifs étant jugé « marginal » selon les commentaires de l'étude qui s'appuient sur une méthodologie définie par les autorités internationales de référence en la matière^20(*).

Quoique difficilement quantifiable, l'impact environnemental de la 2G/3G est indéniable. Le législateur avait, par le passé déjà, souligné la nécessité de promouvoir une démarche plus vertueuse pour les acteurs du numérique. En adoptant la loi n° 2021-1485 du 15 novembre 2021 visant à réduire l'empreinte environnementale du numérique en France (REEN), il avait assigné à chaque opérateur une mission de quantification de leurs émissions carbones.

En éteignant les réseaux 2G et 3G, les opérateurs contribuent en tout état de cause à une réduction relative de leurs émissions. Cette décision apparaît d'autant plus pertinente que la légitimité sociale de ces émissions -- ainsi que du coût énergétique associé à l'exploitation de réseaux vieillissants -- est de plus en plus contestée, alors même que la couverture nationale par des réseaux plus performants et moins émetteurs est désormais quasi-totale.

b) Cycle de vie des terminaux : un impact carbone conséquent

Comme le rappelle l'Arcep dans son étude annuelle intitulée « pour un numérique soutenable »^21(*), « les équipements numériques (téléviseurs, smartphones, ordinateurs...) sont les premiers responsables des impacts environnementaux du numérique même en tenant compte des centres de données situés à l'étranger qui hébergent des usages français. La très grande majorité (plus de 80 %) de leurs impacts sont générés au cours de leur fabrication [...]. En outre, la taille de l'écran a une influence significative sur les impacts environnementaux des équipements numériques sur l'ensemble de leur cycle de vie (phase de fabrication et d'utilisation). »

Les conséquences environnementales de la transition constituent un point de vigilance majeur pour la commission. Pour atténuer l'impact carbone d'un renouvellement d'équipement, un levier à développer massivement est celui de la collecte pour conditionnement ou recyclage des terminaux, voire du réemploi. Aujourd'hui, selon l'Arcep, la collecte ne concerne même pas un téléphone mobile sur cinq^22(*). De tels chiffres témoignent de l'« urgence d'une stratégie » en la matière, comme le relevait déjà en 2016 la mission sénatoriale d'information sur les téléphones mobiles usagés^23(*), conduite sous la présidence de Jean-François Longeot et dont la rapporteure était Marie-Christine Blandin.

Recommandation n° 1 : Accélérer la structuration des filières de collecte, de recyclage et de réemploi des terminaux obsolètes.

* ⁸ Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.

* ⁹ Une « cybermenace » peut être définie, conformément à l'article 2 du Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'Enisa et à la certification des technologies de l'information et des communications comme « toute circonstance, tout événement ou toute action potentiels susceptibles de nuire ou de porter autrement atteinte aux réseaux et systèmes d'information, aux utilisateurs de tels systèmes et à d'autres personnes, ou encore de provoquer des interruptions de ces réseaux et systèmes ».

* ¹⁰ Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2).

* ¹¹ Anssi, 11 mars 2025, Panorama de la cybermenace 2024, p. 5.

* ¹² L'hameçonnage par SMS consiste à émettre un message court qui, en général, va inciter les victimes à communiquer des informations personnelles et/ou de carte bancaire, voire des identifiants de connexion.

* ¹³ https://actus.sfr.fr/tech/news/securite-pourquoi-google-conseille-de-desactiver-la-2g-sur-son-smartphone_AN-202 408 190 002.html.

* ¹⁴ Rapport d'information n° 711 (2019 2020), 17 septembre 2020, fait au nom de la mission d'information sur la lutte contre l'illectronisme et pour l'inclusion numérique, présidée par M. Jean-Marie Mizzon, par M. Raymond Vall, rapporteur.

* ¹⁵ Anssi, 26 novembre 2025, Téléphones mobiles, état de la menace depuis 2015.

* ¹⁶ Arcep, rapport annuel sur l'état de l'internet en France, 4 juillet 2025.

* ¹⁷ Avis n° 2025 02 du 10 avril 2025, CSNP, sur les conséquences liées à la fermeture des technologies 2G et 3G.

* ¹⁸ Brilland Thomas, Fangeat Erwann, Meyer Julia, Wellhoff Mathieu, Ademe, 2025. Évaluation de l'impact environnemental du numérique en France.

* ¹⁹ Les objets qui deviennent compatibles avec Internet (appareils IoT) interagissent généralement via des systèmes intégrés, une forme de communication réseau, ainsi qu'une combinaison d'informatique de pointe et de cloud computing. Les données des appareils connectés à l'IoT sont souvent (mais pas exclusivement) utilisées pour créer de nouvelles applications pour les utilisateurs finaux.

* ²⁰ Ces règles méthodologiques ont été rappelées par le ministre chargé du numérique dans une réponse à une question écrite (n° 04 258) du sénateur Hervé Maurey, en date du 17 avril 2025 : « l'étude s'appuie sur les recommandations méthodologiques qui font autorité pour la mesure de l'empreinte environnementale et énergétique dans les technologies de l'information et des communications (TIC), notamment celles de l'Union internationale des Télécommunications (UIT) et l'Institut européen des normes de télécommunications (ETSI). Cette orientation s'inscrit dans la recommandation du rapport du comité d'experts sur la mesure de l'impact environnemental du numérique (comité lancé en 2020 par l'Arcep et l'Ademe) ; au delà du périmètre des réseaux, l'étude a visé autant que possible une complétude dans la mesure de l'impact à travers une analyse par cycle de vie (ACV) de l'empreinte carbone considérant le cas de l'obsolescence possible d'éléments matériels du réseau et d'éventuellement une partie des terminaux connectés utilisant les réseaux 2G et 3G et faisant partie du secteur des TIC. »

* ²¹ L'édition 2025 de l'enquête a été publiée le 17 avril 2025.

* ²² Arcep, « Pour un numérique soutenable » édition 2025, p. 53.

* ²³ Rapport d'information n° 850 (2015-2016), 100 millions de téléphones portables usagés : l'urgence d'une stratégie, fait au nom de la mission d'information sur l'inventaire et le devenir des matériaux et composants des téléphones mobiles par Mme Marie-Christine Blandin, rapporteure, déposé le 27 septembre 2016.

Les thèmes associés à ce dossier

Société

Partager cette page