Data Legal Drive rachetée par EQS Group : Téléchargez le Communiqué de Presse !

dld-logo_black
dld-logo_black
  • Solutions
    • Solutions
    • DLD RGPD
      • Gérer
        Registre des traitements intelligents AIPD / PIA – Analyse d’impact Demandes des personnes concernées Incidents et violations de données Référentiels logiciels et matériels Référentiels tiers Documentation et accountability
      • Piloter
        Diagnostic de la conformité RGPD Cartographie des traitements Statistiques et Analytics Plan d’action RGPD
      • Automatiser
        Analyse des projets et Privacy by Design Questionnaires, évaluations et audits Workflow de pilotage RGPD
      • Accompagner
        Elearning et suivi de la formation RGPD Ressources juridiques, modèles & veille Tutoriels et guides interactifs
    • DLD Sapin II
    • DLD par secteur
      • Banque & Assurance
      • Droit
      • Santé
      • Enseignement
      • Immobilier
      • Collectivités & Secteur public
      • Industrie
      • RH & Recrutement
      • Automobile
      • Transport
      • ESN
      • Communication et Médias
      • Tourisme / Loisirs
    • DLD par taille d'entreprise
      • RGPD ETI / Grands Comptes
      • PME / TPE
    • Gérer
      Registre des traitements intelligents AIPD / PIA – Analyse d’impact Demandes des personnes concernées Incidents et violations de données Référentiels logiciels et matériels Référentiels tiers Documentation et accountability
    • Piloter
      Diagnostic de la conformité RGPD Cartographie des traitements Statistiques et Analytics Plan d’action RGPD
    • Automatiser
      Analyse des projets et Privacy by Design Questionnaires, évaluations et audits Workflow de pilotage RGPD
    • Accompagner
      Elearning et suivi de la formation RGPD Ressources juridiques, modèles & veille Tutoriels et guides interactifs
    • Banque & Assurance
    • Droit
    • Santé
    • Enseignement
    • Immobilier
    • Collectivités & Secteur public
    • Industrie
    • RH & Recrutement
    • Automobile
    • Transport
    • ESN
    • Communication et Médias
    • Tourisme / Loisirs
    • RGPD ETI / Grands Comptes
    • PME / TPE
  • Clients
  • Partenaires
    • Partenaires
    • Trouver un partenaire
    • Devenir partenaire
  • Ressources
    • Ressources
    • AgendaNouveau
    • Infographies
    • Livres blancs
    • Espace presse
    • Dossiers
      • RGPD : Tout savoir
      • AI Act : Tout savoir
    • Outils
      • Carte des sanctions RGPD
      • Baromètre RGPD 6ème éditionNouveau
      • Diagnostic RGPDGratuit
      • FAQ
      • FAQ IANouveau
    • RGPD : Tout savoir
    • AI Act : Tout savoir
    • Carte des sanctions RGPD
    • Baromètre RGPD 6ème éditionNouveau
    • Diagnostic RGPDGratuit
    • FAQ
    • FAQ IANouveau
  • Blog
  • L'entreprise
    • L'entreprise
    • A propos
    • Notre équipe
    • Rejoignez-nous !
    • Nos engagements
      • Charte RSE
      • Charte Numérique Responsable
      • Charte Éthique
      • Index égalité femmes/hommes
      • Pro Bono
    • Charte RSE
    • Charte Numérique Responsable
    • Charte Éthique
    • Index égalité femmes/hommes
    • Pro Bono
  • Fr
Essayer le logiciel
    • Connectez-vous à votre espace
    • Avant de vous connecter, partagez votre avis en cliquant ici ! ⭐
  • Fr
Essayer le logiciel

LOI DE PROGRAMMATION MILITAIRE 2019/2025 : une protection accrue contre les attaques informatiques

6 mars 2019

Accueil //Blog //RGPD //LOI DE PROGRAMMATION MILITAIRE 2019/2025 : une protection accrue contre les attaques informatiques

Une défense efficace de la sécurité, qu’elle soit privée, ou étatique et souveraine, passe aujourd’hui irrémédiablement et prioritairement par une protection accrue des systèmes informatiques. C’est la raison pour laquelle la loi n°2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019-2025 et portant diverses dispositions intéressant la défense (« LPM ») procède à un renforcement significatif des capacités de détection, de caractérisation et de prévention des attaques opérées sur les systèmes informatiques.

 

Modifiant à la fois le Code des postes et des communications électroniques et le Code de la défense, l’article 34 de la LPM ajoute une nouvelle pierre à l’édifice de la lutte contre les attaques informatiques en France. Publié le 14 décembre dernier et entré en vigueur le 1er janvier 2019, le décret n°2018-1136 apporte des précisions sur les modalités d’application des nouvelles compétences accordées aux différents acteurs du secteur et que nous allons expliciter ci-dessous.

1. Une prévention accrue de la sécurité des systèmes d’information par la consécration de nouveaux pouvoir

Le nouveau dispositif juridique implique désormais l’ensemble des opérateurs de communications électroniques (OCE) – et non plus seulement les opérateurs d’importance vitale (OIV) – ainsi que les fournisseurs de services de communication au public en ligne.

Instaurant une étroite collaboration entre les opérateurs de communications électroniques et l’autorité nationale de sécurité des systèmes d’information (« ANSSI »), le nouvel article L 33-14 du Code des postes et des communications électroniques dessine en effet les nouveaux contours d’une défense renforcée des systèmes d’information.

Est ainsi autorisée la mise en place par les opérateurs de communications électroniques de « dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés ». Le recours à ces dispositifs pourra être exercé soit à l’initiative des opérateurs de communications électroniques eux-mêmes – ils devront alors en informer l’ANSSI – ou encore à la requête de l’ANSSI elle-même.

Outre demander aux opérateurs de communications électroniques de mettre en place ces dispositifs de détection d’attaques informatiques, l’article L 2321-2-1 du Code de la défense permet désormais à l’ANSSI elle-même de mettre en œuvre directement sur le réseau d’un opérateur ces mêmes dispositifs. Cette possibilité lui est plus précisément ouverte lorsqu’elle a connaissance d’une menace grave et imminente sur les systèmes d’une autorité publique, d’un opérateur d’importance vitale (« OIV ») ou encore d’un opérateur de services essentiels (« OSE »).

La LPM fait donc directement et inéluctablement écho à la directive 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union dite « directive NIS ». En effet la directive NIS tend au renforcement des capacités nationales de cybersécurité, par exemple au travers de l’obligation faite aux OSE de notifier les incidents ayant un impact sur la continuité de leurs services essentiels ou encore à l’injonction faite aux Etats membres de définir au niveau national des règles de cybersécurité auxquelles lesdits OSE devront se conformer.

Une protection des libertés fondamentales par la mise en place de garde-fous

Si le législateur a renforcé les compétences de plusieurs acteurs essentielles au maintien de la sécurité des systèmes informatiques, il a aussi corrélativement pris soin d’introduire plusieurs limites à l’exercice de ces facultés.

En effet seules les « données techniques pertinentes » peuvent être recueillies, analysées et conservées, étant entendu qu’elles ne peuvent pas être conservées pendant une durée supérieure à six mois par les opérateurs de communications électroniques (régime de l’article L 33-14 du Code des postes et des communications électroniques), et pendant une durée supérieure à dix ans par l’ANSSI (régime de l’article L 2321-2-1 du Code de la défense). Si ces données dites techniques ne comprennent pas le contenu des correspondances, elles sont toutefois diverses et comprennent par exemple les données permettant d’identifier « l’origine de la communication et l’utilisateur ou le détenteur du système d’information affecté par l’événement détecté », le « routage », le « protocole utilisé », mais aussi « la date, l’horaire, le volume et la durée de chaque communication ».

A cet égard, un parallèle peut certainement être dressé avec l’article L 34-1 du Code des postes et des communications électroniques relevant de la section « Protection de la vie privée des utilisateurs de réseaux et services de communication électroniques ». En effet après avoir posé le principe de l’effacement ou de l’anonymisation des données relatives au trafic par les opérateurs de communication électroniques, le législateur français autorise ces derniers « pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales » (notamment en matière de contrefaçon de droit d’auteur) à différer « les opérations tendant à effacer ou à rendre anonymes certaines catégories de données ». Cette durée de conservation exceptionnelle est alors limitée à un an par l’article R10-13 du Code des postes et des communications électroniques.

Il est important de noter que cette durée d’un an risque d’être invalidée par la Cour de Justice de l’Union européenne. En effet, cette dernière, après avoir invalidé dans son arrêt « Digital Rights Ireland » de 2014 la Directive 2006/24/CE (du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications), a dans ses arrêts « Tele2 Sverige AB » et « Watson » de 2016 invalidé respectivement les législations suédoise et britannique prises sur le fondement de cette directive, notamment au motif que la durée de conservation de ces données était disproportionnée par rapport au but poursuivi. Or en l’espèce, la durée de conservation choisie par le législateur suédois était de six mois. Par conséquent se pose légitimement la question de savoir si les dispositions adoptées par la LPM risquent ou non d’être invalidées, et celle de leur combinaison voire enchevêtrement dans la pratique, du moins en ce qui concerne la conservation des données.

Pour en revenir aux limitations apportées, le dispositif de détection d’attaques informatiques mis en place doit en outre l’être pour une durée et un périmètre nécessairement limités. A titre d’illustration, le dispositif de détection relevant de l’article L 2321-2-1 du Code de la défense doit être mis en œuvre pour une période maximale de trois mois, prorogeable en cas de persistance de la menace pour trois mois supplémentaires (article R 2321-1-2 du Code de la défense).

En effet cette limitation s’illustre enfin à travers le contrôle exercé par l’autorité de régulation des communications électroniques et des postes (« ARCEP ») sur l’ANSSI. Ainsi, cette dernière doit notifier à l’ARCEP toute décision de mettre en œuvre des dispositifs de détection d’attaques informatiques, en lui communiquant notamment un cahier des charges précisant les conditions techniques d’organisation et de fonctionnement, ainsi que le délai de mise en œuvre (article R 2321-1-1 du Code de la défense). Par ailleurs, la décision de proroger le dispositif de détection au-delà de trois mois doit également être notifiée à l’ARCEP (article R 2321-1-2 du Code de la défense). L’ARCEP se pose ainsi véritablement comme autorité de contrôle de l’ANSSI dans la mise en œuvre de ses nouveaux pouvoirs.

Il restera enfin à déterminer les interactions entre cette nouvelle législation, la directive n°2016/680 du 27 avril 2016, dite directive « Police-Justice » (relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données) d’une part, et le futur règlement e-Privacy (concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques) d’autre part. Assurément, ces différentes réglementations tentent de mettre en balance les impératifs de sécurisation des réseaux de communication et de défense de la sécurité nationale d’un côté, avec les impératifs de protection de la vie privée et du secret des correspondances de l’autre.

A ce titre, tant la directive « Police-Justice » que le futur règlement e-Privacy contiennent des dispositions ayant trait à la possibilité de traiter des données à caractère personnel et corrélativement à l’obligation faite aux Etats membres de l’Union européenne de mettre en place les dispositifs et réglementations nécessaires afin que la durée de conservation de ces données ne soit pas excessive au regard de la finalité poursuivie (voir notamment les considérants 26, 41 et l’article 5 de la directive 2016/680 ; et l’article 6.1.b, 6.1.c et 6.2.a du dernier projet de règlement e-Privacy en date du 22 février 2019).

 

Ces nouveautés devront être suivies de près tant la sécurité informatique constitue l’un des thèmes d’actualité les plus brûlants. Ainsi, comme le souligne l’ARCEP, ce nouveau dispositif législatif risque d’impacter non seulement le bon fonctionnement des réseaux et des services de communications électroniques, mais aussi le respect de la neutralité du net ou encore le respect du secret des correspondances.

Dans l’expectative, c’est vers le recours en excès de pouvoir introduit devant le Conseil d’Etat par La Quadrature du Net, Franciliens.net et Fédérations des fournisseurs d’accès à Internet associatifs qu’il faut se tourner. Ces derniers mettent en cause en particulier l’absence d’information à l’égard des personnes concernées quant au traitement qui est fait de leurs données ainsi que la finalité poursuivie, leur déniant ainsi tout droit d’opposition et toute possibilité de recours juridictionnel, mais aussi l’imprécision et le manque de clarté caractérisant certains termes cruciaux tels que « marqueurs techniques » et « menace », ou encore les pouvoirs insuffisants de l’ARCEP qui ne dispose d’aucun pouvoir de sanction à proprement parler.

À lire aussi

rgpd-algorithme

RGPD algorithme : Les enjeux de la transparence

28 mai 2025
En savoir plus
dark-pattern-rgpd

Dark Pattern RGPD : quand la conception de l’UX défie le RGPD

13 mai 2025
En savoir plus
rgpd-donnees-papier

Le RGPD données papier : le grand oublié de la conformité ?

6 mai 2025
En savoir plus
rgpd-algorithme

RGPD algorithme : Les enjeux de la…

28 mai 2025
En savoir plus
dark-pattern-rgpd

Dark Pattern RGPD : quand la conception…

13 mai 2025
En savoir plus
rgpd-donnees-papier

Le RGPD données papier : le grand…

6 mai 2025
En savoir plus

Des partenaires exceptionnels

partenaire-institutionnel-dld-afje
partenaire-institutionnel-dld-irc
partenaire-institutionnel-dld-afje
partenaire-institutionnel-dld-numeum
partenaire-institutionnel-dld-ldpm

Nos trophées & distinctions

meilleure-legaltech-logo-slide
sommet-du-droit-2021-logo-slide
trophee-eurocloud
ey-logo-slide
macaron-trophée-conformité-rgpd-2022
palmarès-du-droit-2022-logo-slide
trophée-du-droi-2022-logo-slide
tech500-logo-slide
sommet-du-droit-2022-mention-spéciale-logo-slide
wavestone-logo-slide
sommet-du-droit-2023-meilleure-legaltech-editeur-logiciels-logo-slide
france-digitale-logo-slide
  • Notre expérience
  • Plus de 10 000 clients
  • 50 pays utilisateurs
  • À propos
  • Qui sommes-nous ?
  • Espace Presse
  • Pro Bono
  • On recrute !
  • Charte RSE
  • Charte éthique
  • Notre offre
  • Logiciel RGPD
  • Logiciel Sapin II
  • Elearning
  • Partenaires
  • Formation RGPD
  • Nos ressources
  • Le RGPD
  • Le DPO
  • Données personnelles
  • Blog
  • Carte des sanctions RGPD
  • FAQ
Un outil adapté à votre structure
Demander une démo
Des experts en RGPD
Essai gratuit

Abonnez-vous à notre newsletter

  • Politique de cookies
  • Politique de confidentialité
  • Mentions légales
  • Demande d'exercice de droit