Une défense efficace de la sécurité, qu’elle soit privée, ou étatique et souveraine, passe aujourd’hui irrémédiablement et prioritairement par une protection accrue des systèmes informatiques. C’est la raison pour laquelle la loi n°2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019-2025 et portant diverses dispositions intéressant la défense (« LPM ») procède à un renforcement significatif des capacités de détection, de caractérisation et de prévention des attaques opérées sur les systèmes informatiques.
Modifiant à la fois le Code des postes et des communications électroniques et le Code de la défense, l’article 34 de la LPM ajoute une nouvelle pierre à l’édifice de la lutte contre les attaques informatiques en France. Publié le 14 décembre dernier et entré en vigueur le 1er janvier 2019, le décret n°2018-1136 apporte des précisions sur les modalités d’application des nouvelles compétences accordées aux différents acteurs du secteur et que nous allons expliciter ci-dessous.
1. Une prévention accrue de la sécurité des systèmes d’information par la consécration de nouveaux pouvoir
Le nouveau dispositif juridique implique désormais l’ensemble des opérateurs de communications électroniques (OCE) – et non plus seulement les opérateurs d’importance vitale (OIV) – ainsi que les fournisseurs de services de communication au public en ligne.
Instaurant une étroite collaboration entre les opérateurs de communications électroniques et l’autorité nationale de sécurité des systèmes d’information (« ANSSI »), le nouvel article L 33-14 du Code des postes et des communications électroniques dessine en effet les nouveaux contours d’une défense renforcée des systèmes d’information.
Est ainsi autorisée la mise en place par les opérateurs de communications électroniques de « dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés ». Le recours à ces dispositifs pourra être exercé soit à l’initiative des opérateurs de communications électroniques eux-mêmes – ils devront alors en informer l’ANSSI – ou encore à la requête de l’ANSSI elle-même.
Outre demander aux opérateurs de communications électroniques de mettre en place ces dispositifs de détection d’attaques informatiques, l’article L 2321-2-1 du Code de la défense permet désormais à l’ANSSI elle-même de mettre en œuvre directement sur le réseau d’un opérateur ces mêmes dispositifs. Cette possibilité lui est plus précisément ouverte lorsqu’elle a connaissance d’une menace grave et imminente sur les systèmes d’une autorité publique, d’un opérateur d’importance vitale (« OIV ») ou encore d’un opérateur de services essentiels (« OSE »).
La LPM fait donc directement et inéluctablement écho à la directive 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union dite « directive NIS ». En effet la directive NIS tend au renforcement des capacités nationales de cybersécurité, par exemple au travers de l’obligation faite aux OSE de notifier les incidents ayant un impact sur la continuité de leurs services essentiels ou encore à l’injonction faite aux Etats membres de définir au niveau national des règles de cybersécurité auxquelles lesdits OSE devront se conformer.
Une protection des libertés fondamentales par la mise en place de garde-fous
Si le législateur a renforcé les compétences de plusieurs acteurs essentielles au maintien de la sécurité des systèmes informatiques, il a aussi corrélativement pris soin d’introduire plusieurs limites à l’exercice de ces facultés.
En effet seules les « données techniques pertinentes » peuvent être recueillies, analysées et conservées, étant entendu qu’elles ne peuvent pas être conservées pendant une durée supérieure à six mois par les opérateurs de communications électroniques (régime de l’article L 33-14 du Code des postes et des communications électroniques), et pendant une durée supérieure à dix ans par l’ANSSI (régime de l’article L 2321-2-1 du Code de la défense). Si ces données dites techniques ne comprennent pas le contenu des correspondances, elles sont toutefois diverses et comprennent par exemple les données permettant d’identifier « l’origine de la communication et l’utilisateur ou le détenteur du système d’information affecté par l’événement détecté », le « routage », le « protocole utilisé », mais aussi « la date, l’horaire, le volume et la durée de chaque communication ».
A cet égard, un parallèle peut certainement être dressé avec l’article L 34-1 du Code des postes et des communications électroniques relevant de la section « Protection de la vie privée des utilisateurs de réseaux et services de communication électroniques ». En effet après avoir posé le principe de l’effacement ou de l’anonymisation des données relatives au trafic par les opérateurs de communication électroniques, le législateur français autorise ces derniers « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » (notamment en matière de contrefaçon de droit d’auteur) à différer « les opérations tendant à effacer ou à rendre anonymes certaines catégories de données ». Cette durée de conservation exceptionnelle est alors limitée à un an par l’article R10-13 du Code des postes et des communications électroniques.
Il est important de noter que cette durée d’un an risque d’être invalidée par la Cour de Justice de l’Union européenne. En effet, cette dernière, après avoir invalidé dans son arrêt « Digital Rights Ireland » de 2014 la Directive 2006/24/CE (du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications), a dans ses arrêts « Tele2 Sverige AB » et « Watson » de 2016 invalidé respectivement les législations suédoise et britannique prises sur le fondement de cette directive, notamment au motif que la durée de conservation de ces données était disproportionnée par rapport au but poursuivi. Or en l’espèce, la durée de conservation choisie par le législateur suédois était de six mois. Par conséquent se pose légitimement la question de savoir si les dispositions adoptées par la LPM risquent ou non d’être invalidées, et celle de leur combinaison voire enchevêtrement dans la pratique, du moins en ce qui concerne la conservation des données.
Pour en revenir aux limitations apportées, le dispositif de détection d’attaques informatiques mis en place doit en outre l’être pour une durée et un périmètre nécessairement limités. A titre d’illustration, le dispositif de détection relevant de l’article L 2321-2-1 du Code de la défense doit être mis en œuvre pour une période maximale de trois mois, prorogeable en cas de persistance de la menace pour trois mois supplémentaires (article R 2321-1-2 du Code de la défense).
En effet cette limitation s’illustre enfin à travers le contrôle exercé par l’autorité de régulation des communications électroniques et des postes (« ARCEP ») sur l’ANSSI. Ainsi, cette dernière doit notifier à l’ARCEP toute décision de mettre en œuvre des dispositifs de détection d’attaques informatiques, en lui communiquant notamment un cahier des charges précisant les conditions techniques d’organisation et de fonctionnement, ainsi que le délai de mise en œuvre (article R 2321-1-1 du Code de la défense). Par ailleurs, la décision de proroger le dispositif de détection au-delà de trois mois doit également être notifiée à l’ARCEP (article R 2321-1-2 du Code de la défense). L’ARCEP se pose ainsi véritablement comme autorité de contrôle de l’ANSSI dans la mise en œuvre de ses nouveaux pouvoirs.
Il restera enfin à déterminer les interactions entre cette nouvelle législation, la directive n°2016/680 du 27 avril 2016, dite directive « Police-Justice » (relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données) d’une part, et le futur règlement e-Privacy (concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques) d’autre part. Assurément, ces différentes réglementations tentent de mettre en balance les impératifs de sécurisation des réseaux de communication et de défense de la sécurité nationale d’un côté, avec les impératifs de protection de la vie privée et du secret des correspondances de l’autre.
A ce titre, tant la directive « Police-Justice » que le futur règlement e-Privacy contiennent des dispositions ayant trait à la possibilité de traiter des données à caractère personnel et corrélativement à l’obligation faite aux Etats membres de l’Union européenne de mettre en place les dispositifs et réglementations nécessaires afin que la durée de conservation de ces données ne soit pas excessive au regard de la finalité poursuivie (voir notamment les considérants 26, 41 et l’article 5 de la directive 2016/680 ; et l’article 6.1.b, 6.1.c et 6.2.a du dernier projet de règlement e-Privacy en date du 22 février 2019).
Ces nouveautés devront être suivies de près tant la sécurité informatique constitue l’un des thèmes d’actualité les plus brûlants. Ainsi, comme le souligne l’ARCEP, ce nouveau dispositif législatif risque d’impacter non seulement le bon fonctionnement des réseaux et des services de communications électroniques, mais aussi le respect de la neutralité du net ou encore le respect du secret des correspondances.
Dans l’expectative, c’est vers le recours en excès de pouvoir introduit devant le Conseil d’Etat par La Quadrature du Net, Franciliens.net et Fédérations des fournisseurs d’accès à Internet associatifs qu’il faut se tourner. Ces derniers mettent en cause en particulier l’absence d’information à l’égard des personnes concernées quant au traitement qui est fait de leurs données ainsi que la finalité poursuivie, leur déniant ainsi tout droit d’opposition et toute possibilité de recours juridictionnel, mais aussi l’imprécision et le manque de clarté caractérisant certains termes cruciaux tels que « marqueurs techniques » et « menace », ou encore les pouvoirs insuffisants de l’ARCEP qui ne dispose d’aucun pouvoir de sanction à proprement parler.