Le décret no 2024-421 du 10 mai 2024 renforce les compétences de l’ANSSI en matière de sécurité des systèmes d’information. Il introduit des mesures telles que le filtrage de noms de domaine en cas de menace pour la sécurité nationale et l’obligation pour les éditeurs de logiciels de signaler les incidents informatiques. Ce cadre législatif vise à améliorer la détection des cyberattaques et à protéger les données personnelles, tout en respectant les droits des individus. La CNIL souligne l’importance d’une consultation pour garantir la protection des données dans ce contexte de sécurité accrue.. Consulter la source documentaire.

Quelles sont les nouvelles compétences conférées à l’ANSSI par le décret no 2024-421 ?

Les nouvelles compétences conférées à l’ANSSI par le décret no 2024-421 incluent plusieurs mesures cruciales pour renforcer la sécurité des systèmes d’information en France. Parmi ces compétences, on trouve :

– **Mesures de filtrage de noms de domaine** : En cas de menace contre la sécurité nationale, l’ANSSI peut imposer des mesures de filtrage pour bloquer l’accès à certains noms de domaine.

– **Communication de données techniques** : Les éditeurs de logiciels doivent informer l’ANSSI et leurs clients en cas d’incident informatique ou de vulnérabilité critique.

– **Renforcement des capacités de détection** : L’ANSSI est dotée de moyens accrus pour détecter les cyberattaques et informer les victimes.

– **Contrôle de l’ARCEP** : Ce décret précise les modalités de contrôle de l’Autorité de régulation des communications électroniques et des postes (ARCEP) sur l’application de ces mesures.

Ces compétences visent à améliorer la réactivité et l’efficacité de l’ANSSI face aux menaces cybernétiques.

Quel est le contexte législatif du décret no 2024-421 ?

Le décret no 2024-421 s’inscrit dans un cadre législatif plus large, notamment en lien avec la loi n° 2023-703 du 1er août 2023, qui concerne la programmation militaire pour les années 2024 à 2030. Ce décret est pris pour l’application de plusieurs articles du code de la défense, notamment les articles L. 2321-2-1, L. 2321-2-3, L. 2321-3, L. 2321-3-1 et L. 2321-4-1.

Ces articles visent à renforcer la sécurité des systèmes d’information, en particulier pour les autorités publiques, les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). Le décret répond à des besoins identifiés lors de la précédente loi de programmation militaire de 2018, qui avait limité la collecte de données à des métadonnées, restreignant ainsi l’efficacité des dispositifs de sécurité.

Comment la collecte des données personnelles est-elle encadrée par le décret ?

La collecte des données personnelles dans le cadre du décret no 2024-421 est encadrée par des dispositions spécifiques visant à garantir la sécurité tout en respectant la vie privée. La loi n° 2023-703 a élargi les instruments juridiques à la disposition de l’ANSSI, permettant une collecte plus étendue de données, y compris des données de contenu, dans certaines conditions.

L’article L. 2321-2-1 du code de la défense permet à l’ANSSI de collecter des données sur les réseaux et systèmes d’information de certains opérateurs, tandis que l’article L. 2321-2-3 autorise le blocage et la redirection de noms de domaine. Cependant, la CNIL a exprimé des préoccupations concernant la protection des données personnelles, soulignant que les dispositifs doivent être mis en œuvre avec des garanties adéquates pour éviter des atteintes disproportionnées à la vie privée.

Quelle est la position de la CNIL concernant le décret ?

La Commission nationale de l’informatique et des libertés (CNIL) a exprimé des réserves sur le décret no 2024-421, notamment en ce qui concerne la protection des données personnelles. Bien que la CNIL reconnaisse l’importance des mesures de sécurité, elle a souligné que le décret ne précise pas suffisamment les modalités d’exercice des droits des personnes concernées par le traitement de leurs données.

La CNIL a également noté que certains dispositifs, bien qu’anonymisés, pourraient entraîner la collecte de données personnelles sensibles, notamment dans le cadre d’attaques informatiques visant des établissements de santé. Elle a recommandé que des projets de décret et d’arrêtés relatifs aux traitements de données soient soumis pour avis afin d’assurer une meilleure protection des droits des individus.

Quel est le rôle de l’ARCEP dans le cadre de ce décret ?

L’Autorité de régulation des communications électroniques et des postes (ARCEP) joue un rôle crucial dans le cadre du décret no 2024-421. Elle est chargée de veiller au respect des règles de régulation, notamment en ce qui concerne le filtrage des noms de domaine et la gestion du trafic sur les réseaux.

L’ARCEP soutient les objectifs du gouvernement visant à renforcer les capacités de détection et de prévention des cyberattaques. Elle insiste sur la nécessité de garantir que les mesures de filtrage mises en œuvre par l’ANSSI ne dépassent pas ce qui est strictement nécessaire pour contrer les menaces, afin de respecter le règlement sur l’internet ouvert.

L’ARCEP reste vigilante pour s’assurer que les droits des utilisateurs et la transparence des mesures de sécurité sont préservés dans le cadre de l’application de ce décret.