Le Secrétaire général de la défense et de la sécurité nationale a saisi pour avis l’Autorité de régulation des communications électroniques et des postes (ARCEP) le 18 janvier 2018, sur quatre dispositions relatives à la sécurité et à la défense des systèmes d’information dans le cadre d’une saisine rectificative au projet de loi relatif à la programmation militaire pour les années 2019-2025.
Il s’agit de l’implémentation de systèmes de détection sur les réseaux des opérateurs d’importance vitale (OIV) et des fournisseurs de services de communication au public en ligne (FSCPL), et de l’information des autorités et des abonnés en cas de vulnérabilité ou d’atteinte de leurs systèmes d’information.
L’ARCEP note que les mesures envisagées impliquent la mise en œuvre de dispositifs d’analyse sur les réseaux des opérateurs de communications électroniques, qui soulèvent des questions concernant le respect du principe de neutralité de l’internet et sur leur impact technique et économique pour ces derniers. Une concertation avec les opérateurs sur le dispositif envisagé lui apparaît indispensable.
Sur le projet d’article 19 bis concernant l’installation d’un système de détection sur les réseaux d’un opérateur, l’ARCEP s’interroge sur le périmètre des informations affectées pour assurer la proportionnalité de la mesure au regard de l’atteinte au respect de la vie privée et à la protection des données, et sur le libre choix des marqueurs techniques laissés aux opérateurs.
Toute mesure de gestion du trafic malveillant visant à préserver l’intégrité et la sécurité ne saurait être activée que lorsque des menaces concrètes pour la sécurité sont activées, afin de respecter le règlement européen sur l’Internet ouvert.
Sur le projet d’article 19 ter, qui accorde à l’Autorité nationale de sécurité des systèmes d’information (ANSSI) un droit d’accès aux données techniques des opérateurs dès lors qu’elles sont strictement nécessaires à l’analyse des événements affectant la sécurité des systèmes d’information d’une autorité publique ou d’un OIV, l’ARCEP rappelle les obligations imposées aux opérateurs sur le type d’informations traitables (en simplifiant, autorisation pour les métadonnées et interdiction pour le contenu des correspondances), et leur durée de conservation autorisée.
Si la conservation d’autres données devait être demandée aux opérateurs, il conviendrait que leur type et leurs modalités de leur conservation soient précisés par décret en Conseil d’État, et de prévoir des compensations pour les surcoûts imposés aux opérateurs.
Sur le projet d’article 19 quater, qui permet à l’ANSSI de mettre en œuvre son propre système de détection sur le réseau d’un opérateur de communications électroniques ou sur le système d’information d’un FSCPL dès lors qu’elle a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques ou des opérateurs, l’ARCEP estime qu’il faut préciser les modalités d’intervention de l’ANSSI, en particulier sur les aspects procéduraux et de responsabilité, car ils risquent d’avoir un impact important sur la configuration des systèmes de l’opérateur.
Sur le projet d’article 19 quinquies concernant le rôle attribué à l’ARCEP, cette dernière doit pouvoir s’assurer de la compatibilité avec le règlement sur l’internet ouvert des éventuelles mesures de gestion du trafic que les opérateurs pourraient être amenés à prendre sur leurs réseaux – y compris suite à la mise en œuvre par l’ANSSI -, et devrait être informée sans délai par l’ANSSI de la mise en œuvre de telles mesures.
Elle rappelle qu’elle n’a pas vocation à contrôler les actions de l’ANSSI, et que si une telle mission devait lui être confiée par le législateur, il conviendrait d’une part de préciser les modalités de mise en œuvre de ce contrôle, tant en précisant le champ de ce contrôle qu’en définissant une gouvernance adaptée ; et d’autre part de prévoir les ressources et l’expertise adéquates pour accomplir cette mission.