Déposé le 15 mai 2018 par : M. Bonnecarrère, au nom de la commission des lois.
A. - Alinéa 4
Rédiger ainsi cet alinéa :
« A la demande de l’autorité nationale de sécurité des systèmes d’information, lorsque celle-ci a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information, les opérateurs de communications électroniques ayant mis en œuvre les dispositifs prévus au premier alinéa procèdent, aux fins de prévenir la menace, à leur exploitation, en recourant, le cas échéant, à des marqueurs techniques que cette autorité leur fournit.
B. - Alinéa 5
1° Au début, insérer une phrase ainsi rédigée :
« Par dérogation au II de l’article L. 34-1, les opérateurs de communications électroniques sont autorisés à conserver, pour une durée maximale d’un an, les données techniques strictement nécessaires à la caractérisation d’un évènement détecté par les dispositifs mentionnés au premier alinéa du présent article.
2° Après les mots :
à la prévention
insérer les mots :
et à la caractérisation
C. - Alinéa 7
Après les mots :
de la vulnérabilité
rédiger ainsi la fin de cet alinéa :
de leurs systèmes d’information ou des atteintes qu’ils ont subies.
D. - Alinéa 8
Compléter cet alinéa par une phrase ainsi rédigée :
Celui-ci détermine notamment les catégories de données pouvant être conservées par les opérateurs de communications électroniques.
E. - Alinéa 14
Après le mot :
complet
insérer les mots :
et permanent
et après les références :
L. 2321-2-1 et L. 2321-3
insérer les mots :
ainsi qu’aux dispositifs de traçabilité des renseignements collectés,
F. - Après l’alinéa 14
Insérer un alinéa ainsi rédigé :
« 2° bis- Peut, à la demande de son président, se faire assister par des experts individuellement désignés et habilités à cet effet au secret de la défense nationale.
G. - Alinéa 15
1° Rédiger ainsi le début de cet alinéa :
« 3° Peut adresser, à tout moment, à l’autorité nationale de sécurité des systèmes d’information... (le reste sans changement)
2° Deuxième phrase
Après le mot :
informée
insérer les mots :
, sans délai,
H. - Après l’alinéa 16
Insérer un alinéa ainsi rédigé :
« Le Conseil d’État peut être saisi par le président de l’Autorité de régulation des communications électroniques et des postes d’un recours lorsque l’autorité nationale de sécurité des systèmes d’information ne se conforme pas à une injonction qui lui est adressée en vertu du présent article. Le Conseil d’État statue alors dans les conditions prévues au chapitre III quaterdu titre VII du livre VII du code de justice administrative.
I. - Après l’alinéa 17
Insérer un alinéa ainsi rédigé :
« Elle peut adresser au Premier ministre, au président de l’Assemblée nationale et au président du Sénat, à tout moment, les observations qu’elle juge utiles.
J. -Après l’alinéa 24
Insérer un paragraphe ainsi rédigé :
I bis. – Le code de justice administrative est ainsi modifié :
1° Après les mots : « code de la sécurité intérieure », la fin du premier alinéa de l’article L. 311-4-1 est ainsi rédigée : «, la mise en œuvre de l’article 41 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, pour certains traitements ou certaines parties de traitements intéressant la sûreté de l’État, et la mise en œuvre des mesures prévues par l’article L. 2321-2-1 du code de la défense ainsi que des demandes formulées en application du second alinéa de l'article L. 2321-3 du même code. » ;
2° Après le chapitre III terdu titre VII du livre VII, il est inséré un chapitre III quaterainsi rédigé :
« Chapitre III quater
« Le contentieux de la mise en œuvre des dispositifs de prévention des atteintes aux systèmes d’information
« Art. L. 773-10. – Le Conseil d’État examine les requêtes présentées sur le fondement de l’article L. 36-14 du code des postes et des communications électroniques conformément aux règles générales du présent code, sous réserve des dispositions particulières du présent chapitre.
« Art. L. 773-11. – Lorsqu’est en cause le secret de la défense nationale, les affaires relevant du présent chapitre sont portées devant la formation spécialisée prévue par l’article L. 773-2.
« Art. L. 773-12. – Lorsque la formation de jugement constate qu’un dispositif de prévention des atteintes aux systèmes d’information est ou a été mis en œuvre illégalement ou que des données ont été collectées ou conservées illégalement, elle peut ordonner l’interruption des opérations et la destruction des données irrégulièrement collectées ou conservées. »
Cet amendement procède à deux séries de modifications.
En premier lieu, les A à D modifient le premier volet de l’article 19, qui autorise les opérateurs de communications électroniques à installer des dispositifs de surveillance sur leurs réseaux afin de détecter de potentielles cyberattaques, ainsi que de collecter et de conserver les données utiles à caractériser une menace qui aurait été détectée, afin d’en assurer la constitutionnalité.
A cet effet, l’amendement :
- clarifie la rédaction de l’article 19 afin de préciser que la mise en place de dispositifs de surveillance s’effectuera bien de manière volontaire et que l’ANSSI ne pourra pas en imposer la mise en œuvre à un opérateur. En effet, selon le principe de juste rémunération des opérateurs consacré par le Conseil constitutionnel[1], toute obligation, même implicite, à l’égard des opérateurs doit faire l’objet d’une compensation financière, ce qui, en l’espèce, n’est pas prévu par l’article 19 ;
- précise le périmètre des données susceptibles d’être collectées par les opérateurs de communications électroniques ainsi que la durée et les conditions de leur conservation, de manière à assurer une conciliation équilibrée entre d’une part, la prévention des atteintes à l’ordre public, d’autre part la protection des droits et libertés constitutionnellement garantis, notamment le secret des correspondances et le droit au secret de la vie privée ;
- procède, par cohérence avec le reste de l’article 19 du projet de loi, à plusieurs précisions rédactionnelles.
En second lieu, les E à J de l’amendement tendent à renforcer les prérogatives de contrôle accordées à la formation de règlement des différends, de poursuite et d’instruction de l’Autorité de régulation des communications électroniques et des postes (ARCEP).
Ainsi, l’amendement :
- prévoit que l’ARCEP disposera d’un accès complet et permanent non seulement aux données recueillies ou obtenues par l’ANSSI, mais également aux dispositifs de traçabilité des renseignements collectés ;
- permet à l’ARCEP, qui ne bénéficie pas encore en interne des effectifs et des compétences suffisantes à l’exercice des nouvelles missions qui lui sont confiées, de faire appel à des experts extérieurs, habilités à cet effet au secret de la défense nationale, afin de l’appuyer dans la réalisation des contrôles ;
- prévoit, aux fins de renforcement du contrôle parlementaire, que l’ARCEP puisse adresser au Premier ministre, au président de l’Assemblée nationale et au président du Sénat, à tout moment, les observations qu’elle juge utiles. Le Parlement pourrait ainsi être informé, en temps réel, de toute mesure attentatoire aux principes fixés dans la loi ;
- introduit, de manière à garantir l’effectivité du contrôle exercé par l’ARCEP, une voie de recours spécifique devant le Conseil d’État, qui statuerait en premier et dernier recours, en cas de refus de l’Agence nationale de sécurité des systèmes d’information (ANSSI) de se conformer aux injonctions de l’ARCEP. Contrairement à un recours administratif de droit commun, une telle voie de recours devrait permettre un jugement au fond dans des délais plus restreints, ce qui peut se révéler nécessaire pour l’efficacité du travail de prévention de l’ANSSI, qui ne saurait se trouver dans une situation d’insécurité juridique pendant plusieurs semaines, voire plusieurs mois.
[1]Conseil constitutionnel, décision n° 2000-441 DC du 28 décembre 2000, loi de finances rectificative pour 2000.
Aucun commentaire n'a encore été formulé sur cet amendement.