II. L'INTERVENTION DU LÉGISLATEUR EST NÉCESSAIRE
Plusieurs dispositifs législatifs, obéissant à des finalités différentes sont actuellement applicables aux équipements déployés par les opérateurs de réseaux radioélectriques, soit au titre de la protection du secret de la correspondance et de la vie privée, soit au titre de la protection des activités d'importance vitale. Ces dispositifs ne permettent cependant pas de répondre efficacement aux objectifs de protection de bout en bout des systèmes de nouvelles générations déployés par les opérateurs de réseaux radioélectriques mobiles.
Des réflexions sur l'opportunité d'encadrer ces systèmes sont en cours dans la plupart des États qui ont opté pour des solutions plus ou moins robustes et des méthodes différentes en phase avec leur système juridique comme avec l'organisation de leur cyberdéfense. L'Union européenne a entamé une démarche normative mais qui risque de ne pas aboutir très rapidement.
Or le déploiement des réseaux de cinquième génération est prévu à partir de 2020 au moins dans la configuration intermédiaire, ce qui incite à une intervention préalable du législateur.
A. LES LÉGISLATIONS ACTUELLES SONT INSUFFISANTES
1. Le régime actuel de contrôle des équipements de réseau ne permet pas une protection de bout en bout des systèmes de nouvelles générations
La législation actuelle portant sur la protection de la vie privée et du secret des correspondances électroniques (art. 226-3 du code pénal) met en oeuvre un régime d'autorisation encadrant la mise sur le marché des équipements de réseaux radioélectriques en vue de contrôler leur fiabilité technique. Toutefois, ce régime qui ne répond pas aux mêmes finalités est devenu, malgré des adaptations successives, insuffisant pour parer les risques liés aux nouvelles technologies et garantir la résilience des réseaux tels qu'ils seront reconfigurés à l'occasion du déploiement de la 5G.
a) Le cadre légal en vigueur
(1) Un régime d'autorisation des équipements de réseau fondé sur le droit de la protection du secret de la correspondance et de la vie privée
Le 1° de l'article 226-3 du code pénal punit de cinq ans d'emprisonnement et de 300 000 euros d'amende « la fabrication, l'importation, la détention, l'exposition, l'offre, la location ou la vente d'appareils ou de dispositifs techniques », sans autorisation administrative ou sans en respecter les conditions, y compris en cas de négligence. Ces appareils ou dispositifs, qui figurent sur une liste dressée dans des conditions fixées par décret en Conseil d'État, répondent à l'une des conditions alternatives suivantes :
• être « de nature à permettre la réalisation d'opérations pouvant constituer une atteinte au secret de la correspondance privée (infraction prévue par le second alinéa de l'article 226-15) ;
• s'ils sont « conçus pour la détection à distance des conversations », et permettent de porter atteinte à la vie privée (infraction prévue par l'article 226-1) ;
• avoir pour objet « la captation de données informatiques » (prévue aux articles 706-102-1 du code de procédure pénale et L. 853-2 du code de la sécurité intérieure) ;
Les articles R. 226-1 à R. 226-12 du code pénal ont défini la procédure applicable pour la délivrance de ces autorisations administratives.
(2) Le champ d'application de ces dispositions a été progressivement étendu,
Cette base juridique a permis à l'administration de contrôler la sécurité des équipements les plus sensibles des réseaux de télécommunications mobiles. Le régime d'autorisation s'applique ainsi à tous types de matériels permettant l'écoute de personnes à leur insu, l'enregistrement de communications téléphoniques, l'interception des données transmises sur les réseaux de télécommunications de tous types ? internet comme la téléphonie ? et ce, quelle que soit leur nature.
La liste des équipements dont la mise sur le marché est soumise à l'autorisation du Premier ministre est fixée par un arrêté du Premier ministre. On notera que certains de ces équipements ne sont pas exploités par des opérateurs de communications électroniques mais relèvent d'autres types de dispositifs (notamment, de captation à l'usage des services judiciaire d'enquête enquêteurs ou à l'usage des services de renseignement dans le cadre légal du code de la sécurité intérieure) 30 ( * ) .
Afin de mettre à jour la base juridique applicable, l'article 23 de la loi n° 2013-1168 du 18 décembre 2013 relative à la programmation militaire 2014-2019 a fait évoluer le champ des appareils ou dispositifs soumis à autorisation préalable, des produits « conçus pour réaliser » des interceptions ou des captations de données aux produits « de nature à permettre la réalisation » de telles opérations.
En conséquence, un nouvel arrêté en date du 11 août 2016 dont les dispositions n'entreront en vigueur que le 1 er octobre 2021 31 ( * ) a ajouté à la liste soumise à l'autorisation préalable « les appareils qui permettent aux opérateurs de communications électroniques de connecter les équipements de leurs clients au coeur de leur réseau radioélectrique mobile ouvert au public, dès lors que ces appareils disposent de fonctionnalités, pouvant être configurées et activées à distance, permettant de dupliquer les correspondances des clients, à l'exclusion des appareils installés chez ceux-ci » .
Cette extension est justifiée par le fait que les stations de base des réseaux mobiles de cinquième génération pourraient à terme être amenées à porter certaines des fonctions d'interception légale qui constituent le principal objet de ces régimes d'autorisation. Ces fonctions d'interception légale sont actuellement exclusivement concentrées dans les équipements dits de coeur de réseau. Ce positionnement ne sera pas remis en cause dans les premiers déploiements 5G en France, à compter de 2019 ou 2020. En effet, ces déploiements porteront sur la technologie dite « Non Standalone », qui conservera les coeurs de réseaux 4G existants. L'évolution des fonctions d'interception légale n'interviendra qu'avec le déploiement de réseaux 5G « Standalone », anticipée au plus tôt en France à compter de 2021 voire 2022.
(3) Les modalités de délivrance de l'autorisation
L'autorisation est délivrée par le Premier ministre après avis d'une commission consultative, présidée par le directeur général de l'ANSSI et composée de représentants des administrations de l'État concernées, d'un représentant de la Commission nationale de contrôle des techniques de renseignement (CNCTR) 32 ( * ) et de deux personnalités qualifiées désignées par le Premier ministre. L'ANSSI instruit les dossiers et assure le secrétariat de la commission. Elle est ainsi devenue l'interlocuteur de référence des opérateurs pour la sécurisation de leurs réseaux radioélectriques.
Ce régime d'autorisation est applicable aux équipementiers comme aux opérateurs qui utilisent leurs produits. L'autorisation est délivrée aux équipementiers au titre de l'article R. 226-3 du code pénal pour une durée maximale de 6 ans, celle délivrée aux opérateurs au titre de l'article R. 226-7 pour une durée maximale de 3 ans.
b) Les limites du dispositif actuel face aux spécificités de la 5G
Si le droit en vigueur, a permis à l'État, par touches successives, de s'assurer de l'intégrité des réseaux jusqu'à la 4G, au regard des finalités recherchées, le dispositif de contrôle de la sécurité des nouveaux réseaux perd en efficacité au rythme actuel de l'évolution technologique :
• sa base légale conçue à une époque où ces réseaux servaient essentiellement à des correspondances privées est devenue trop étroite pour prendre en compte les applications industrielles qui constitueront les principaux usages de la 5G. Le régime ne porte que sur les équipements de nature à permettre une atteinte à l'intimité de la vie privée ou au secret des correspondances, et ne s'applique donc, par construction, qu'à des communications émises par et/ou à destination d'individus, et non aux communications de machine à machine ;
• le régime actuel se limite au contrôle de l'intégrité technique des équipements, tels qu'ils sont fournis par les équipementiers, sans prise en compte de l'architecture des réseaux en elle-même qui devient un élément-clef pour assurer leur sécurité et leur résilience. Il ne suffit pas à couvrir l'ensemble des enjeux de sécurité induits par la place plus importante des logiciels. Une analyse complémentaire des modalités d'exploitation adoptées par chaque opérateur devient indispensable ;
• en outre, l'entrée en vigueur tardive de l'extension de la liste aux équipements d'interface en bordure de réseau, notamment aux antennes-relais ( voir supra p.13 ) pourrait conduire, par un effet d'aubaine, certains acteurs à presser leurs investissements afin de les réaliser avant la mise en oeuvre des contrôles élargis prévue à partir du 1 er octobre 2021 au préjudice de la sécurité et de la résilience des futurs réseaux 5G. Ce risque est probable car le déploiement de la 5G devrait être largement commencé à cette date, et pourrait accélérer la tendance à la mise en place d'une architecture distribuée permettant aux flux d'information de ne plus transiter systématiquement par les coeurs de réseau. Ce faisant la seule modification de la date prévue pour la mise en oeuvre des contrôles, qui pourrait être réalisée par voie réglementaire, resterait insuffisante au regard des finalités exposées.
• enfin, les nouveaux usages soulèvent des problématiques différentes de la protection de la vie privée et du secret des correspondances, puisqu'ils nécessiteront avant tout d'assurer la disponibilité et l'intégrité des réseaux, face à des menaces potentielles de niveau stratégique.
Le dispositif prévu par la présente proposition de loi et le régime d'autorisation prévu notamment aux articles R. 226-3 et R. 226-7 du code pénal n'ont donc ni la même portée ni le même objectif :
• le dispositif R.226 traite de l'atteinte à la vie privée et s'applique donc indépendamment de l'opérateur de communications électroniques pour lequel les appareils et dispositifs prévus à l'article R. 226-1 seront utilisés ;
• la présente proposition de loi vise exclusivement les opérateurs d'importance vitale exploitants de réseaux de communications électroniques ouverts au public, dans un objectif de protection de la souveraineté et de sécurité des réseaux ;
• les équipements visés par les deux dispositifs sont différents même si certains équipements pourront in fine être concernés par les deux dispositifs.
2. La législation relative aux opérateurs d'importance vitale du secteur des télécommunications n'est pas adaptée
Comme il a été indiqué, la législation relative à la protection des opérateurs d'importance vitale, et notamment à certains de leurs systèmes d'information, est applicable aux opérateurs de réseaux radioélectriques mobiles (voir supra p.20). L'arrêté du 28 novembre 2016 fixant les règles de sécurité et les modalités de déclaration des systèmes d'information d'importance vitale et des incidents de sécurité relatives au sous-secteur d'activités d'importance vitale « Communications électroniques et Internet 33 ( * ) » définit les règles de sécurité que les opérateurs d'importance vitale sont tenus de respecter pour protéger leurs systèmes d'information (annexe I), les délais dans lesquels les opérateurs sont tenus d'appliquer les règles de sécurité (annexe II), les modalités selon lesquelles les opérateurs déclarent à l'Agence nationale de la sécurité des systèmes d'information la liste de leurs systèmes d'information d'importance vitale identifiés par types de système (annexe III), ainsi que les modalités selon lesquelles les opérateurs déclarent à l'agence certains types d'incidents affectant la sécurité ou le fonctionnement de leurs systèmes d'information (annexe IV).
La Stratégie nationale de cyberdéfense justifie le renforcement du cybersécurité des opérateurs « supercritiques » par leur rôle de fournisseur de services auprès d'autres OIV 34 ( * ) : « les secteurs des communications électroniques et de l'approvisionnement en énergie électrique peuvent être qualifiés de « supercritiques ». Une attaque informatique à l'encontre d'un de ces acteurs est susceptible d'avoir des répercussions sur l'ensemble des activités d'importance vitale, et donc des effets potentiellement catastrophiques sur la résilience de l'ensemble de la Nation. »
a) Des réseaux critiques pour la diffusion des attaques informatiques
Prenant en compte la place spécifique des réseaux de télécommunications dans la propagation d'une attaque informatique à fin de prévention et de détection, le code de la défense avait dès 2013 doté l'ANSSI de moyens accrus de prévention à l'égard des opérateurs en complétant pour partie les dispositions du code des postes et communications électroniques et pour partie celles du code de la défense. En particulier, l'article L. 2321-3 du code de la défense dispose que la sécurité des systèmes d'information des OIV justifie que « les agents de l'Autorité nationale de sécurité des systèmes d'information (...) peuvent obtenir des opérateurs de communications électroniques (...) l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou la compromission de leur système ».
La loi n°2018-607 du 13 juillet 2018 de programmation militaire a renforcé les dispositifs de prévention et de protection :
• elle autorise les opérateurs à installer et exploiter sur leurs réseaux des dispositifs de détection des cyberattaques, dispositifs dont la mise en oeuvre entraîne une obligation de déclaration, une obligation d'exploitation à la demande de l'ANSSI aux fins de prévenir une menace susceptible de porter atteinte à la sécurité des systèmes d'information et au besoin en recourant à des marqueurs techniques qu'elle leur fournira, une obligation d'information des évènements détectés et d'informer les abonnés à la demande de l'ANSSI (article L. 33-14 du code des postes et des communications électroniques). En outre, l'ANSSI pourra obtenir des opérateurs de communications électroniques, les données strictement nécessaires à l'analyse de cet évènement (article L. 2321-3 du code de la défense) ;
• elle autorise l'ANSSI à mettre en oeuvre et à exploiter, dans des conditions définies par la loi, des systèmes de détection sur le réseau d'un opérateur ou sur le système d'information d'un fournisseur de service de communication au public en ligne dans les cas où l'ANSSI a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques ou des opérateurs d'importance vitale ou des opérateurs de services essentiels (article L. 2321-2-1 du code de la défense).
b) Avec l'arrivée des nouvelles technologies, l'enjeu est d'intervenir sur l'architecture des réseaux et les équipements mis en oeuvre
Les dispositions existantes (articles L. 1332-6-1 et suivants du code de la défense) visant à garantir la cybersécurité des opérateurs d'importance vitale (OIV) n'offrent pas la souplesse requise pour répondre à ces enjeux. Elles reposent en effet sur la désignation de systèmes d'information d'importance vitale (SIIV), qui est du seul ressort des OIV, et sur l'application indifférenciée à l'ensemble de ces SIIV d'un ensemble de mesure de sécurité générique. Ce dispositif ne permet par conséquent pas la mise en oeuvre de mesures techniques précises et propres à une technologie comme la 5G, ni l'appréciation au cas par cas des facteurs de risques qui semble justifiée au regard de la nouveauté et de la forte évolutivité des technologies.
Si ces mesures permettent d'améliorer la prévention et la détection des attaques, le renforcement, en raison de leur criticité spécifique, de la résilience des réseaux radioélectriques mobiles, exige une intervention législative afin de pouvoir disposer des leviers juridiques nécessaires pour imposer aux opérateurs des mesures contraignantes dans le choix de leurs équipements.
Ce régime ne s'appliquant qu'aux seuls réseaux radioélectriques mobiles, donc à un champ spécifique, les auteurs de la proposition ont naturellement opté pour une intervention du législateur dans le code des postes et télécommunications électroniques, plutôt qu'une intervention dans le code de la défense. Créer une législation spécifique à ces réseaux au sein des dispositions législatives relatives aux OIV qui présentent l'avantage d'une unicité de règle, la spécificité n'étant introduite qu'au niveau réglementaire par des arrêtés du Premier ministre, se serait avéré complexe.
* 30 les dispositifs de captation informatique prévus aux articles 706-102-1 du code de procédure pénale et L.853-2 du code de la sécurité intérieure.
* 31 A la demande de l'ARCEP, l'entrée en vigueur de cette modification de la liste a été renvoyée au 1 er octobre 2021 afin de laisser aux sujets de cette obligation le temps de se préparer aux démarches administratives nécessaires. En effet, l'évolution technologique des équipements de télécommunication, qui permettent aux équipements d'interface en bordure de réseau d'accéder au contenu des flux d'information qu'ils transportent, ne serait-ce que pour hiérarchiser les flux en fonction de leur caractère prioritaire, multiplie de façon significative le volume des équipements concernés.
* 32 Autorité administrative indépendante, créée par la loi du 24 juillet 2015 en charge du contrôle de l'utilisation des techniques de renseignement par les services spécialisés de renseignement.
* 33 Dont seuls le texte et l'annexe I ont fait l'objet d'une publication https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033521327&categorieLien=id
* 34 http://www.sgdsn.gouv.fr/evenement/revue-strategique-de-cyberdefense/ p.61