Les réseaux de télécommunications sont devenus des réseaux « supercritiques ». Comme les réseaux d'électricité, ils sont indispensables au fonctionnement de l'ensemble des réseaux et des services qui irriguent les activités économiques, mais aussi la vie quotidienne. Leur résilience présente un intérêt vital pour la défense et la sécurité nationale.
Les réseaux mobiles vont connaître, avec l'arrivée des technologies de cinquième génération (5G), une profonde évolution de leurs configurations techniques qui permettra de développer de nouveaux usages mais entraînera de nouvelles vulnérabilités.
La proposition de loi votée par l'Assemblée nationale soumet à autorisation du Premier ministre le déploiement et les conditions d'exploitation de certains équipements - matériels et logiciels - par les opérateurs sur leurs réseaux, afin de préserver les intérêts de la défense et de la sécurité nationale.
La 5G est une technologie de rupture - et non de la 4G améliorée - qui devrait permettre la transformation de nombreux secteurs d'activités et en priorité les acteurs économiques. Elle constitue un véritable changement d'échelle dans les capacités des réseaux de télécommunications avec : un accroissement considérable des débits de données, environ dix fois supérieurs à la 4G ; une réduction des temps de latence à quelques millisecondes ; et un accroissement de la densité des flux, qui permettra la création de tranches de réseaux à la demande avec des capacités personnalisés. En outre, son architecture décentralisée permet d'opérer, dans les stations de base des antennes, une partie du traitement des données sans que celles-ci transitent par le coeur du réseau. Cet accroissement de la vitesse et cette décentralisation posent des problèmes de sécurité.
La diffusion de cette technologie ouvre la voie à des applications et des usages variés et nouveaux. Elle permettra le déploiement massif de l'internet des objets qui jouera un rôle essentiel dans le domaine de la mobilité - par exemple les véhicules autonomes - de la domotique, de la réalité augmentée, de la production industrielle ou encore des réseaux énergétiques et des « villes intelligentes ». Son déploiement sera progressif.
Nous entrons dans un nouveau cycle économique qui, dans un environnement de concurrence mondialisée, bénéficiera aux États et aux entreprises qui maitriseront ces développements. Les économies chinoises et américaines bénéficient d'un marché domestique suffisamment large pour que leurs champions nationaux puissent développer ces activités et prennent dès aujourd'hui une avance considérable. Tout retard pris dans le déploiement de la connectivité des territoires retardera d'autant le développement de l'écosystème 5G par les acteurs européens. Il s'agit d'un enjeu majeur de compétitivité donc de politique publique.
Cela interroge sur la souveraineté des États quant à la maîtrise de la donnée générée sur leur territoire, mais également sur la capacité des opérateurs à assurer la sécurité de leurs réseaux. C'est un enjeu de sécurité nationale à deux titres au moins : la résilience de ces réseaux revêt une importance vitale. Une interruption majeure de service constituerait une catastrophe économique et sociale et une atteinte à la sécurité nationale ; les armées et les forces de sécurité intérieure utiliseront de plus en plus les réseaux civils de télécommunications. En outre, ces réseaux constituent des actifs économiques substantiels dont la dégradation serait préjudiciable. Garantir leur sécurité procède de l'intérêt économique à long terme de la Nation.
Or la vulnérabilité de ces réseaux de nouvelle génération s'accroîtra inexorablement. En effet, ils reposent sur des équipements de plus en plus virtuels et des architectures de réseaux de plus en plus déconcentrées : les efforts de sécurisation qui portaient jusqu'à présent essentiellement sur les coeurs de réseau devront être étendus à ces nouveaux équipements en périphérie ; certains équipements physiques seront remplacés par des solutions logicielles. Ce transfert accroîtra la vélocité et la résilience des réseaux mais il ne sera pas exempt de failles d'un nouveau genre, en raison de la complexité et de la rapidité de leur développement, d'erreurs de configuration, et de risques d'interception. Les modalités de déploiement retenues par chaque opérateur prendront une importance considérable dans l'analyse de sécurité ; la diversité des usages induit également de nouvelles vulnérabilités. Des menaces proviendront de la croissance exponentielle des appareils ou systèmes connectés, qui eux-mêmes ne pourront pas garantir un niveau de sécurité infaillible.
Ces évolutions préfigurent une redistribution des rôles. Les opérateurs traditionnels s'appuieront toujours davantage sur des sous-traitants - leurs fournisseurs ou des intégrateurs - pour maîtriser de bout en bout leurs capacités techniques : certains équipementiers proposent à leurs clients d'acquérir un service de mise à jour en permanence effaçant la notion de version des logiciels. Rien n'empêcherait de réaliser ces mises à jour à distance sans intervention physique des opérateurs. En outre, une technologie nouvelle appelle dans sa phase de déploiement des modifications nombreuses, cela accroît les risques liés à l'utilisation de technologies encore immatures et au temps d'adaptation du niveau de protection. Ce recours à la sous-traitance est naturellement porteur de risques, tant du fait de la possible méconnaissance des obligations de sécurité par les prestataires concernés, qu'au regard de leur soumission potentielle à des formes d'ingérence. La proposition de loi soutient donc aussi l'implication des opérateurs dans la sécurité de leurs réseaux.
Plusieurs dispositifs législatifs, obéissant à des finalités différentes, sont actuellement applicables aux équipements déployés par les opérateurs de réseaux radioélectriques au titre la protection du secret de la correspondance et de la vie privée - par les dispositifs dits de l'article 226-3 du code pénal - ou au titre de la protection des activités d'importance vitale. Cependant, ces dispositifs ne répondent pas efficacement aux objectifs de protection de bout en bout des systèmes de nouvelle génération déployés par les opérateurs de réseaux radioélectriques mobiles ; l'intervention du législateur est donc nécessaire.
Le déploiement des réseaux de cinquième génération est prévu à partir de 2020, au moins dans une configuration intermédiaire, et nécessitera des investissements très importants. Les opérateurs ont besoin d'un cadre juridique et technique clair pour garantir la fiabilité et les conditions d'exploitation de leurs équipements.
La plupart des États ont pris conscience des enjeux, dont certains stratégiques : le saut technologique et les potentialités économiques offertes par la 5G sont susceptibles d'avoir un effet disruptif sur l'équilibre des puissances. Ces enjeux stratégiques interfèrent dès lors avec la simple question de la sécurité des réseaux et sont devenus une partie importante de la guerre commerciale que se livrent la Chine et les États-Unis - ces dernières semaines, la presse regorgeait d'articles sur ce sujet. La question de savoir si l'on peut avoir une égale ou suffisante confiance en tous les équipementiers, qui doit être envisagée selon des critères multiples, s'est focalisée sur les craintes que les équipements chinois puissent constituer des « chevaux de Troie » dans les systèmes d'information supercritiques des réseaux de 5G. En effet, la législation chinoise oblige les entreprises ayant leur siège en Chine de collaborer avec les services de renseignement de ce pays Et pour l' une d'entre elles, Huawei, sur le manque de transparence dans son actionnariat et ses liens financiers avec l'État.
La position de la France, de nombreux autres États européens, et de l'Union européenne, n'est pas la même que celle des États-Unis dans la valorisation de ce critère, lequel n'est cependant pas exclu de l'analyse du risque. Le Parlement n'est pas invité à voter une proposition « anti-Huawei », mais à mettre en place un régime d'autorisation applicable à tous les opérateurs pour préserver les intérêts de la défense et de la sécurité nationale. Ce n'est pas qu'une nuance.
La proposition de loi institue un nouveau régime d'autorisation administrative, permettant à l'État de maîtriser le déploiement des réseaux de 5G et de s'assurer de leur résilience sans pour autant entraver leur développement.
L'article 1er introduit trois nouveaux articles dans le code des postes et des communications électroniques. Le nouvel article L. 34-11 soumet à une autorisation du Premier ministre l'exploitation, sur le territoire national, « d'appareils, à savoir tous dispositifs matériels ou logiciels » qui permettent la connexion au réseau radioélectrique mobile dès lors que leurs fonctions présentent un risque pour l'intégrité, la sécurité et la continuité de l'exploitation dudit réseau. Le régime d'autorisation est appliqué aux seuls opérateurs d'importance vitale exploitants de réseaux de communication téléphonique ouverts au public. La liste de ces opérateurs est confidentielle, mais on peut avancer sans trop de risque qu'elle comprend les quatre principaux opérateurs nationaux.
Ce régime d'autorisation ne s'applique pas aux opérateurs dits verticaux. L'Assemblée nationale avait adopté, dans un premier temps, un amendement tendant à étendre ces règles à l'ensemble des opérateurs d'importance vitale (OIV), avant d'y renoncer. Cette extension visait les OIV qui, pour les besoins de leurs activités, utilisent des réseaux de radiocommunication privée. Selon le Gouvernement, le risque est suffisamment couvert par les dispositions applicables aux OIV, et les possibilités de privatisation de parties des réseaux des opérateurs de télécommunications ouverts au public inciteront les OIV à développer des certains services via ces réseaux.
Enfin, les applications nouvelles ou innovantes soit relèveront des dispositions proposées, soit elles utiliseront des réseaux privatifs - dans cette hypothèse, il faudra analyser les risques au regard de la sécurité nationale et au besoin, les intégrer dans la liste des OIV.
La maturité actuelle de la 5G ne permet pas, à ce stade, d'envisager ou d'imaginer tous les développements d'activité et de services possibles, ni leurs modalités. Il serait prématuré d'intervenir pour instaurer un cadre juridique qui risque de s'avérer inadapté. Les services de l'État devront être extrêmement attentifs aux évolutions en cours et vigilants dans l'appréciation des activités d'importance vitale. Une évaluation régulière du dispositif prévu est nécessaire, au regard du développement des nouveaux services et activités mis en oeuvre ou projetés.
Le régime proposé, dans un objectif de stricte suffisance, est limité aux appareils qui « présentent un risque pour l'intégrité, la sécurité et la continuité de l'exploitation du réseau » et exclut les appareils installés chez les utilisateurs finaux. Ces appareils figureront sur une liste établie par arrêté du Premier ministre après avis de l'Autorité de régulation des communications électroniques et des Postes (Arcep).
L'alinéa 6 précise que l'autorisation est délivrée « pour un périmètre géographique » défini par l'opérateur dans sa demande. Ainsi, l'État pourra exiger des conditions de sécurité plus élevées pour les zones où sont situées des installations ou des services plus sensibles, en cohérence avec les préoccupations de défense nationale. Cela évitera un monopole d'équipement dans certaines zones et poussera les opérateurs et les équipementiers à rechercher une plus grande interopérabilité de leurs réseaux, de façon à garantir leur résilience en cas de défaillance d'un équipement.
Les opérateurs ont su globalement préserver une certaine diversité des équipements. Aucune zone du territoire métropolitain, tous opérateurs confondus, ne semble desservie par des équipements provenant du même fournisseur. Mais cette situation ne garantit pas qu'en cas de défaillance d'un équipement à l'échelle d'une plaque géographique, les flux puissent être facilement transmis par les opérateurs utilisant un autre type d'équipement. La présence de fournisseurs plus nombreux est donc souhaitable pour ouvrir la concurrence. Trois équipementiers sont actuellement présents : Nokia, Ericsson et Huawei. L'arrivée d'un quatrième opérateur, Samsung, serait la bienvenue pour une meilleure concurrence.
L'alinéa 7 confirme que l'autorisation est octroyée après examen d'un dossier de demande remis par l'opérateur. Celui-ci est donc bien l'interlocuteur unique, responsable de la cohérence de l'architecture de son réseau et de la fiabilité de son exploitation, des équipements mis en oeuvre, et des modes d'organisation retenus, notamment par le recours à la sous-traitance. Cela aura des conséquences industrielles.
Le premier alinéa du texte proposé pour le II. de l'article L. 34-11 précise que l'autorisation est donnée pour « un ou plusieurs modèles » et « une ou plusieurs versions » des appareils susmentionnés. Il s'agit d'éviter que toute mise à jour logicielle ou modification technique d'un équipement déjà contrôlé soit systématiquement soumise à une nouvelle procédure. Je comprends ce souci. La rédaction proposée est suffisamment large pour garantir une liberté d'appréciation à l'Agence nationale de la sécurité des systèmes d'information (Anssi). Mais les risques d'introduction de failles logicielles, voire de « portes dérobées » sont aussi grands à l'occasion d'une simple mise à jour qu'à l'occasion d'un changement de version, et que dans l'avenir les mises à jour se feront de manière continue.
L'alinéa 8 fixe à huit ans la durée maximale pour laquelle sera donnée l'autorisation. Les modalités de l'autorisation et la composition des dossiers seront fixées par décret, après avis de l'Arcep et de la Commission supérieure du numérique et des postes (CSNP). Les moyens susceptibles d'être mis en oeuvre par le Premier ministre pour refuser l'octroi d'une autorisation sont définis à l'article 34-12 : « le Premier ministre refuse par décision motivée l'octroi de l'autorisation s'il estime qu'il existe un risque sérieux d'atteinte aux intérêts de la défense et de la sécurité nationale. »
Pour la définition de ce risque, la rédaction renvoie aux conditions mentionnées au a), b) et e) du I de l'article L.33-1 du code des postes et des communications électroniques, requises pour l'établissement et l'exploitation des réseaux ouverts au public : des conditions de permanence, de qualité, de disponibilité, de sécurité et d'intégrité du réseau et du service ; des conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications ; et les prescriptions exigées par l'ordre public, la défense nationale et la sécurité publique.
Les règles mentionnées au f) et f bis) du même article concernant l'acheminement gratuit des appels d'urgence, et l'acheminement des communications des pouvoirs publics destinées au public pour l'avertir de dangers imminents ou atténuer les effets de catastrophes majeures ne sont pas incluses. Elles relèvent de préoccupations de sécurité nationale, et je propose de les ajouter par mon premier amendement.
Le texte proposé pour l'article L.34-12 précise que « le refus du Premier ministre doit être motivé. » Ce principe, figurant déjà dans le code des relations entre le public et l'administration, est donc d'application générale. Mais il est assorti d'exceptions lorsque la communication des motifs pourrait être de nature à porter atteinte à l'un des secrets protégés par la loi. En réaffirmant le principe sans mentionner explicitement les exceptions, il pourrait être considéré, par un raisonnement a contrario, que le législateur a renoncé, dans le cas spécifique de l'article L. 34-12 du code des postes et des communications électroniques, à l'application des exceptions à l'obligation générale de motivation. Or ces exceptions devront impérativement être préservées pour éviter un risque d'atteinte aux intérêts de la défense et de la sécurité nationale. C'est pourquoi mon deuxième amendement ajoute à l'alinéa 10 les phrase suivantes : « Sa décision est motivée sauf lorsque la communication des motifs pourrait être de nature à porter atteinte à l'un des secrets ou intérêts protégés par les dispositions du a) au f) du 2° de l'article L. 311-5 du code des relations entre le public et l'administration ». par coordination, on supprimerait « par décision motivée » dans la première phrase.
Enfin, selon la rédaction proposé pour le deuxième alinéa de l'article L 34-12, le Premier ministre « peut prendre » en considération, pour l'appréciation de ces critères, les modalités de déploiement et d'exploitation mises en places par l'opérateur et le fait que l'opérateur ou ses prestataires, y compris par sous-traitance, est sous le contrôle ou soumis à des actes d'ingérence d'un État non membre de l'Union européenne.
Les intérêts fondamentaux de la Nation exigent que l'examen des éléments d'appréciation soit réalisé et que, s'il existe des doutes sérieux, le Premier ministre puisse refuser d'octroyer une autorisation en s'appuyant sur ces critères. Sans entrer dans le débat ouvert sur la fiabilité de tel ou tel équipementier, une telle clause de sécurité nationale est parfaitement légitime dès lors qu'elle n'introduit pas de distorsion entre les opérateurs et les fournisseurs qui sont tous soumis à la même règle. Je propose d'affirmer cette règle en introduisant l'indicatif et en conséquence de remplacer, dans l'alinéa 11, les mots « peut prendre » par le mot « prend », par mon dernier amendement.
La proposition de loi autorise le Premier ministre - par ses alinéas 12 et 13 - à adresser aux opérateurs des injonctions après mise en demeure si l'exploitation d'un appareil est réalisée sans autorisation préalable.
Le texte ne prévoit pas de dispositif de contrôle spécifique. L'Anssi dispose d'ores et déjà de la capacité à réaliser des audits de sécurité. L'État aura les moyens de vérifier l'application de la proposition de loi et de constater, le cas échéant, les contraventions afférentes, lesquelles sont passibles de sanctions définies à l'article 2 dont le montant paraît proportionné.
L'article 3 prévoit enfin que le régime sera applicable à compter du 1er février 2019. Cette application rétroactive est justifiée par le besoin de régulariser la situation des appareils déployés au titre d'expérimentations et d'éviter que des opérateurs cherchent à contourner les contraintes du dispositif d'autorisation.
Concrètement, le dispositif reposera sur les capacités de l'Anssi à traiter les demandes d'autorisation et de renouvellement en temps utile afin de ne pas freiner le déploiement de la 5G. À défaut de réalisation d'une étude d'impact, les éléments d'appréciation que nous avons recueillis montrent que le volume des demandes d'autorisation augmentera progressivement et qu'il est globalement compatible avec la montée en puissance de l'Anssi et de ses effectifs - 50 personnes supplémentaires chaque année - prévue dans le cadre du triennal budgétaire.
Ces différents moyens devraient permettre au Premier ministre et au service instructeur d'arbitrer et de moduler avec une certaine subtilité les critères d'équilibre du marché, de déploiement des réseaux en temps voulu pour que l'économie française puisse profiter pleinement de cet atout dans la compétition mondiale, de fiabilité des réseaux et de réduction des risques pour la sécurité nationale, d'autant que rien n'interdit au Premier ministre d'assortir l'autorisation de conditions.
Globalement, le texte ainsi amendé me paraît suffisant pour assurer la protection des intérêts de la défense et de la sécurité nationale. Équilibré, il pourra faire l'objet d'une application souple en conciliant divers critères d'appréciation du risque, en assortissant l'autorisation de conditions d'exploitation et en modulant sa durée. Il devra néanmoins faire l'objet d'une évaluation, notamment au regard de l'évolution des usages - inconnus aujourd'hui - et du développement des technologies afin de garantir la pérennité de cette protection.
Sous réserve de ces observations et de l'adoption de mes trois amendements techniques, je vous propose de donner un avis favorable à l'adoption de la proposition de loi.