L’essentiel : Le décret no 2024-421 du 10 mai 2024 renforce les compétences de l’ANSSI en matière de sécurité des systèmes d’information. Il introduit des mesures telles que le filtrage de noms de domaine en cas de menace pour la sécurité nationale et l’obligation pour les éditeurs de logiciels de signaler les incidents informatiques. Ce cadre législatif vise à améliorer la détection des cyberattaques et à protéger les données personnelles, tout en respectant les droits des individus. La CNIL souligne l’importance d’une consultation pour garantir la protection des données dans ce contexte de sécurité accrue.

Décret no 2024-421 du 10 mai 2024

Le nouveau Décret no 2024-421 du 10 mai 2024 prévoit les conditions d’application des nouvelles compétences conférées à l’ANSSI en matière de sécurité des systèmes d’information.

Les nouvelles compétences

Parmi ces compétences figurent :

Les mesures de filtrage de noms de domaine en cas de menace contre la sécurité nationale ;

Communication de certaines données techniques de cache de serveurs de systèmes de noms de domaine ;

Obligation pour les éditeurs de logiciel victimes d’un incident informatique sur leurs systèmes d’information ou ayant une vulnérabilité critique sur un produit ou un service d’en informer l’ANSSI et leurs clients français ;

Renforcement des capacités de détection des cyberattaques et d’information des victimes ;

Modalités du contrôle de l’ARCEP sur la mise en œuvre de certaines de ces mesures. 

Contexte législatif

Le décret est pris pour l’application des articles L. 2321-2-1, L. 2321-2-3, L. 2321-3, L. 2321-3-1 et L. 2321-4-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques, dans leur rédaction issue des articles 64 à 67 de la loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense.

La collecte des données personnelles

Laloi n° 2023-703 du 1er août 2023relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (LPM) a complété les instruments juridiques à la disposition de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour préserver la sécurité des systèmes d’information résultant de la précédente LPM (loi n° 2018-607 du 13 juillet 2018pour les années 2019 à 2025).
Ces instruments juridiques visent à lutter contre les atteintes à la sécurité des systèmes d’information :

– des autorités publiques ;
– des opérateurs d’importance vitale (OIV) ; et
– des opérateurs de services essentiels (OSE).

Sous l’empire des dispositions de la précédente LPM de 2018, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) avait, lors de son contrôle des dispositifs mis en œuvre par les agents de l’ANSSI, estimé que seules les données techniques (aussi appelées métadonnées, qui permettent l’acheminement des flux d’information) pouvaient être collectées, à l’exclusion du contenu des communications elles-mêmes. Selon l’ANSSI, cette restriction a fortement limité l’utilité des dispositifs prévus dans la précédente LPM.

La nouvelle LPM de 2023 vise à prendre en compte ce retour d’expérience et à accroître les capacités des dispositifs mis en œuvre par l’ANSSI pour permettre aux agents de cette agence de mener leurs missions de manière plus efficace.

En premier lieu, outre les dispositifs exploitant des marqueurs techniques issus de la précédente LPM de 2018, qui continuent de ne concerner que les données techniques (métadonnées), l’article L. 2321-2-1 du code de la défense étend les possibilités offertes à l’ANSSI au recueil des données, assorti des facultés suivantes :

– la possibilité de collecter des données sur le réseau ou le système d’information de certains opérateurs, permettant d’accéder aux données de contenu des serveurs et du trafic ;
– l’ajout des opérateurs de centres de données à ceux (opérateurs de communications électroniques, hébergeurs et fournisseurs d’accès à Internet) auprès desquels l’ANSSI peut mettre en œuvre les dispositifs exploitant des marqueurs techniques et les dispositifs de recueil de données ;
– l’ajout d’une finalité de caractérisation de la menace à celle qui existait déjà (la détection de la menace) en ce qui concerne les dispositifs exploitant des marqueurs techniques et les dispositifs de recueil de données.

En deuxième lieu, l’article L. 2321-2-3 du code de la défense a été créé par la nouvelle LPM et autorise le blocage, l’enregistrement, la suspension, le transfert et la redirection de nom de domaine. Ce dispositif autorise l’ANSSI à prescrire aux fournisseurs de systèmes de résolution de noms de domaine, aux offices d’enregistrement des noms de domaine gérés sur le territoire national (par exemple le « .fr ») et aux bureaux d’enregistrement de noms de domaine établis sur le territoire français, des mesures graduelles de filtrage ou de redirection de noms de domaine utilisés ou instrumentalisés par des attaquants, afin de neutraliser l’utilisation dévoyée d’un nom de domaine par un attaquant et de mieux comprendre ses modes opératoires pour les contrer.

En troisième lieu, l’article L. 2321-3-1 du code de la défense, créé par la nouvelle LPM, prescrit la communication à l’ANSSI de certaines données techniques de cache de serveurs DNS. Ce dispositif impose aux fournisseurs de système de résolution de noms de domaine de transmettre à l’ANSSI des données techniques non identifiantes, rendues préalablement anonymes, enregistrées temporairement par les serveurs dits « Domain Name System » (DNS), qui établissent la correspondance entre le nom de domaine et l’adresse IP des machines d’un réseau. Ces données doivent permettre à l’ANSSI d’identifier les serveurs mis en place par d’éventuels attaquants et d’établir la chronologie de leurs attaques.

La position de la CNIL

Dans la mesure où ces dispositifs prévus par le code de la défense impliquent la mise en œuvre de traitements de données à caractère personnel (à l’exception du dispositif prévu par l’article L. 2321-3-1, pour lequel les données sont préalablement anonymisées), la CNIL considère que sa consultation pour avis sur des dispositions du projet de loi initial aurait été utile au débat public, quand bien même cette consultation n’était pas obligatoire.

En amont, la CNIL a constaté que le décret ne comporte aucune disposition sur les modalités d’exercice des droits des personnes ni sur les mesures de sécurité des traitements dont il explicite la mise en œuvre.
Le secrétariat général de la défense et de la sécurité nationale (SGDSN) a indiqué à cet égard que ce décret serait complété par un projet de décret et deux projets d’arrêtés relatifs à des traitements de données à caractère personnel que l’ANSSI devrait mettre en œuvre pour l’application de la nouvelle LPM. Ces projets de textes seront soumis pour avis à la CNIL.

Le SGDSN a toutefois saisi la CNIL pour déterminer les modalités d’application :

– de l’article L. 2321-2-1 du code de la défense(dispositifs exploitant des marqueurs techniques et permettant le recueil de données) ;
– de l’article L. 2321-2-3 du code de la défense(dispositifs permettant le blocage, l’enregistrement, la suspension, le transfert et la redirection de nom de domaine) ;
– de l’article L. 2321-3-1 du code de la défense(dispositifs permettant la communication à l’ANSSI de certaines données techniques de cache de serveurs DNS).

S’agissant des dispositifs prévus par l’article L. 2321-3-1 du code de la défense, dans la mesure où la loi impose que les données soient préalablement anonymisées, la CNIL considère que ces dispositifs ne constituent pas des traitements de données à caractère personnel soumis à la loi « informatique et libertés », à condition toutefois que, conformément aux dispositions de la loi qui prescrivent que les fournisseurs de système de résolution de noms de domaine les « rendent préalablement anonymes » avant leur transmission à l’ANSSI, les responsables de traitement veillent à effacer les données à caractère personnel que peuvent contenir les champs de certains enregistrements (comme par exemple l’enregistrement de type RP pour « Responsible Person »).

La CNIL observe que le dispositif global, et notamment ce qui relève de l’article L. 2321-2-1 du code de la défense, couvre désormais non plus seulement des réseaux mais aussi des serveurs de systèmes d’information, dès lors qu’ils sont affectés par une menace susceptible de porter atteinte à la sécurité des systèmes d’information d’autorités publiques d’OIV et d’OSE ; ce dispositif s’étend à une large gamme d’acteurs (opérateurs de communications électroniques, fournisseurs d’accès à Internet, hébergeurs et opérateurs de centre de données) ; il permet de cibler tous les types de données (non plus seulement les métadonnées mais aussi le contenu), y compris lorsque celles-ci sont chiffrées (dès lors que les recueils de données aménagés ont permis d’obtenir les conventions de chiffrement), et ceci pour des organisations dont les traitements s’effectuent potentiellement sur les données d’une large partie de la population recouvrant plusieurs secteurs sensibles (autorités publiques, OIV et OSE). La portée de ce dispositif est donc sans commune mesure avec ce qu’elle était dans le cadre de la LPM précédente.

La CNIL souligne que les opérations de collecte de données pourront potentiellement comporter un volume conséquent de données à caractère personnel collectées de manière incidente, y compris des données sensibles (notamment des données de santé lors d’attaques qui toucheraient des ressources informatiques appartenant à des établissements de santé ou prendraient appui sur elles).

La CNIL considère dès lors que :

– l’utilisation des techniques et des modalités de mise en œuvre prévues par les projets d’articles R. 2321-1-1 à R. 2321-1-6 du code de la défense, pris pour l’application de l’article L. 2321-2-1 de ce code, est susceptible de porter une atteinte particulièrement importante à la vie privée des individus et au droit à la protection des données à caractère personnel, puisque ces techniques, même limitées à des opérateurs particuliers, conduisent à recueillir, avant qu’elles ne soient filtrées en raison de leur utilité, un grand nombre de données dont la nature n’est pas définie à l’avance et qui sont donc, le cas échéant, susceptibles de relever de la catégorie des données sensibles ;

– la mise en œuvre d’une surveillance poussée de l’intégralité de ces données pourrait, à elle seule, entraîner des effets dissuasifs sur l’exercice de leur liberté d’information et d’expression par les utilisateurs d’Internet et des réseaux de communication électronique.

La CNIL relève que, pour éviter une atteinte disproportionnée à ces droits et libertés, le Parlement a assorti le dispositif d’un ensemble de garanties (utilisation du dispositif conditionnée à l’identification d’une menace, rôle de l’ARCEP, durée limitée de conservation etc.). Elle regrette cependant que l’idée d’une expérimentation, proposée par l’ARCEP dans son avis sur le projet de LPM pour les années 2024 à 2030 (avis n° 2023-0542), n’ait pas été retenue. Un tel cadre expérimental aurait notamment présenté l’intérêt de pouvoir affiner, au niveau de la loi, les garanties devant entourer le dispositif (seuls les agents de l’ANSSI seront habilités à recevoir la communication des données collectées par les dispositifs projetés).

Les finalités des opérations de collecte des données sont prévues par les articles L. 2321-2-1 et L. 2321-2-3 du code de la défense et visent :

– la détection des évènements susceptibles d’affecter la sécurité des systèmes d’information (articleL. 2321-2-1 du code de la défense) ;
– la caractérisation de la menace, qui vise à connaître les modes opératoires des attaques et justifie la conservation d’éléments qui en permettent la reconnaissance future (articlesL. 2321-2-1etL. 2321-2-3 de ce code) ;
– la prévention des menaces (pour ce qui concerne uniquement l’article L. 2321-2-1 du même code).

S’agissant des dispositifs prévus par l’article L. 2321-2-1 du code de la défense, la CNIL considère que le dispositif devrait davantage préciser la finalité de prévention afin de déterminer si elle concerne seulement des opérations visant à protéger un système d’information en amont d’une attaque, ou si elle peut par exemple relever d’opérations visant à la remédiation ou à la récupération d’un système d’information suite à une attaque.
Le IV de l’article L. 2321-2-3 du code de la défense autorise le recueil et la conservation des « données directement utiles à la caractérisation des menaces ». Or, l’article R. 2321-1-10 du même code pris pour son application prévoyait de conserver les « données utiles à la prévention et à la caractérisation de la menace ». La loi ne prévoit la conservation des données qu’à des fins de caractérisation de la menace, et non à des fins de prévention.

S’agissant du régime juridique applicable aux traitements mis en œuvre en application des articles L. 2321-2-1 et L. 2321-2-3 du code de la défense, le SGDSN a indiqué qu’ils relèvent du titre IV de la loi « informatique et libertés » (traitements intéressant la sûreté de l’Etat et la défense). Dans la mesure où ces dispositifs sont mis en œuvre à des fins de garantir la défense et la sécurité nationale, la CNIL partage cette analyse
La CNIL se félicite que le SGDSN ne prévoie pas d’exclure qu’elle exerce son contrôle a posteriori sur les traitements couverts par le projet de décret, quoiqu’ils relèvent du titre IV de la loi « informatique et libertés ».

Les projets d’articles R. 2321-1-5 et R. 2321-1-10 du code de la défense prévoient que l’ANSSI dispose au maximum de trois mois pour analyser les données recueillies et que seules les « données directement utiles » à la prévention ou à la caractérisation des menaces peuvent être conservées au-delà de ce délai.

S’agissant des données qui ne sont pas directement utiles, les projets d’articles R. 2321-1-5 et R. 2321-1-10 du code de la défense prévoient qu’elles sont détruites dans un délai d’un jour ouvré, ce qui respecte l’exigence prévue par la loi (articles L. 2321-2-1 et L. 2321-2-3 du code de la défense) d’un « délai bref » de suppression.

S’agissant des dispositifs exploitant des marqueurs techniques ou permettant le recueil des données (dispositifs prévus par l’article L. 2321-2-1 du code de la défense) et des dispositifs de blocage et de redirection de nom de domaine (prévus par l’article L. 2321-2-3 du code de la défense), les droits des personnes dont les données à caractère personnel seront traitées soient régis comme suit :

– les droits d’information et d’opposition prévus respectivement aux articles 116 et 117 de la loi du 6 janvier 1978 ne seraient pas applicables ;
– les droits d’accès, de rectification et d’effacement s’exerceraient de manière indirecte, auprès de la CNIL, dans les conditions prévues à l’article 118 de la même loi.

La position de l’ARCEP

L’Autorité partage le souci affiché par le Gouvernement de renforcer les capacités nationales de détection, de caractérisation et de prévention des attaques informatiques que ce projet de décret vise à améliorer. La lutte contre la cybercriminalité et les cybermenaces est en effet un enjeu majeur pour la sécurité nationale et l’économie française dans son ensemble.

A cet égard, l’Autorité accueille favorablement la possibilité pour l’ANSSI, prévue par la LPM, d’impliquer au-delà des opérateurs de communications électroniques, d’autres acteurs du numérique notamment les hébergeurs de données, les opérateurs de centres de données, les fournisseurs de systèmes de résolution de noms de domaine ou les offices et bureaux d’enregistrement de noms de domaine, de renforcer ses capacités de détection, de caractérisation et de prévention des attaques informatiques.

Par ailleurs, l’ARCEP reste vigilante quant au respect par les opérateurs du règlement internet ouvert (27) et notamment des dérogations prévues pour les cas limitativement définis par ce règlement. En particulier, en cas de filtrage d’un ou plusieurs noms de domaine réalisé au titre des dispositions de la LPM, il conviendra de veiller à ce que les mesures de gestion du trafic mise en œuvre sur les réseaux pour bloquer des flux malveillants, n’excèdent pas les demandes de l’ANSSI.

Q/R juridiques soulevées :

Quelles sont les nouvelles compétences conférées à l’ANSSI par le décret no 2024-421 ?

Les nouvelles compétences conférées à l’ANSSI par le décret no 2024-421 incluent plusieurs mesures cruciales pour renforcer la sécurité des systèmes d’information en France. Parmi ces compétences, on trouve : – **Mesures de filtrage de noms de domaine** : En cas de menace contre la sécurité nationale, l’ANSSI peut imposer des mesures de filtrage pour bloquer l’accès à certains noms de domaine. – **Communication de données techniques** : Les éditeurs de logiciels doivent informer l’ANSSI et leurs clients en cas d’incident informatique ou de vulnérabilité critique. – **Renforcement des capacités de détection** : L’ANSSI est dotée de moyens accrus pour détecter les cyberattaques et informer les victimes. – **Contrôle de l’ARCEP** : Ce décret précise les modalités de contrôle de l’Autorité de régulation des communications électroniques et des postes (ARCEP) sur l’application de ces mesures. Ces compétences visent à améliorer la réactivité et l’efficacité de l’ANSSI face aux menaces cybernétiques.

Quel est le contexte législatif du décret no 2024-421 ?

Le décret no 2024-421 s’inscrit dans un cadre législatif plus large, notamment en lien avec la loi n° 2023-703 du 1er août 2023, qui concerne la programmation militaire pour les années 2024 à 2030. Ce décret est pris pour l’application de plusieurs articles du code de la défense, notamment les articles L. 2321-2-1, L. 2321-2-3, L. 2321-3, L. 2321-3-1 et L. 2321-4-1. Ces articles visent à renforcer la sécurité des systèmes d’information, en particulier pour les autorités publiques, les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE). Le décret répond à des besoins identifiés lors de la précédente loi de programmation militaire de 2018, qui avait limité la collecte de données à des métadonnées, restreignant ainsi l’efficacité des dispositifs de sécurité.

Comment la collecte des données personnelles est-elle encadrée par le décret ?

La collecte des données personnelles dans le cadre du décret no 2024-421 est encadrée par des dispositions spécifiques visant à garantir la sécurité tout en respectant la vie privée. La loi n° 2023-703 a élargi les instruments juridiques à la disposition de l’ANSSI, permettant une collecte plus étendue de données, y compris des données de contenu, dans certaines conditions. L’article L. 2321-2-1 du code de la défense permet à l’ANSSI de collecter des données sur les réseaux et systèmes d’information de certains opérateurs, tandis que l’article L. 2321-2-3 autorise le blocage et la redirection de noms de domaine. Cependant, la CNIL a exprimé des préoccupations concernant la protection des données personnelles, soulignant que les dispositifs doivent être mis en œuvre avec des garanties adéquates pour éviter des atteintes disproportionnées à la vie privée.

Quelle est la position de la CNIL concernant le décret ?

La Commission nationale de l’informatique et des libertés (CNIL) a exprimé des réserves sur le décret no 2024-421, notamment en ce qui concerne la protection des données personnelles. Bien que la CNIL reconnaisse l’importance des mesures de sécurité, elle a souligné que le décret ne précise pas suffisamment les modalités d’exercice des droits des personnes concernées par le traitement de leurs données. La CNIL a également noté que certains dispositifs, bien qu’anonymisés, pourraient entraîner la collecte de données personnelles sensibles, notamment dans le cadre d’attaques informatiques visant des établissements de santé. Elle a recommandé que des projets de décret et d’arrêtés relatifs aux traitements de données soient soumis pour avis afin d’assurer une meilleure protection des droits des individus.

Quel est le rôle de l’ARCEP dans le cadre de ce décret ?

L’Autorité de régulation des communications électroniques et des postes (ARCEP) joue un rôle crucial dans le cadre du décret no 2024-421. Elle est chargée de veiller au respect des règles de régulation, notamment en ce qui concerne le filtrage des noms de domaine et la gestion du trafic sur les réseaux. L’ARCEP soutient les objectifs du gouvernement visant à renforcer les capacités de détection et de prévention des cyberattaques. Elle insiste sur la nécessité de garantir que les mesures de filtrage mises en œuvre par l’ANSSI ne dépassent pas ce qui est strictement nécessaire pour contrer les menaces, afin de respecter le règlement sur l’internet ouvert. L’ARCEP reste vigilante pour s’assurer que les droits des utilisateurs et la transparence des mesures de sécurité sont préservés dans le cadre de l’application de ce décret.