Le décret no 2024-421 du 10 mai 2024 renforce les compétences de l’ANSSI en matière de sécurité des systèmes d’information. Il introduit des mesures telles que le filtrage de noms de domaine en cas de menace nationale, l’obligation pour les éditeurs de logiciels d’informer l’ANSSI en cas d’incident, et le renforcement des capacités de détection des cyberattaques. Ce cadre législatif vise à protéger les autorités publiques et les opérateurs d’importance vitale, tout en soulevant des questions sur la collecte de données personnelles et le respect des droits des individus.. Consulter la source documentaire.

Quelles sont les nouvelles compétences conférées à l’ANSSI par le décret no 2024-421 ?

Le décret no 2024-421 du 10 mai 2024 confère à l’ANSSI plusieurs nouvelles compétences en matière de sécurité des systèmes d’information. Parmi celles-ci, on trouve :

1. Mesures de filtrage de noms de domaine : En cas de menace contre la sécurité nationale, l’ANSSI peut imposer des mesures de filtrage sur les noms de domaine.

2. Communication de données techniques : Les éditeurs de logiciels doivent informer l’ANSSI et leurs clients en cas d’incident informatique ou de vulnérabilité critique.

3. Renforcement des capacités de détection : L’ANSSI est chargée d’améliorer la détection des cyberattaques et d’informer les victimes.

4. Contrôle de l’ARCEP : Ce décret précise les modalités de contrôle de l’ARCEP sur la mise en œuvre de certaines mesures.

Ces compétences visent à renforcer la sécurité nationale face aux menaces informatiques croissantes.

Quel est le contexte législatif du décret no 2024-421 ?

Le décret no 2024-421 est pris pour l’application de plusieurs articles du code de la défense, notamment les articles L. 2321-2-1, L. 2321-2-3, L. 2321-3, L. 2321-3-1 et L. 2321-4-1.

Ces articles ont été modifiés par la loi n° 2023-703 du 1er août 2023, qui concerne la programmation militaire pour les années 2024 à 2030. Cette loi vise à adapter les instruments juridiques à la réalité des menaces actuelles en matière de cybersécurité.

Elle s’inscrit dans un cadre plus large de protection des systèmes d’information, en particulier pour les autorités publiques, les opérateurs d’importance vitale (OIV) et les opérateurs de services essentiels (OSE).

Comment la collecte des données personnelles est-elle encadrée par le décret ?

La collecte des données personnelles dans le cadre du décret no 2024-421 est régie par des dispositions spécifiques. La loi n° 2023-703 a élargi les capacités de l’ANSSI pour collecter des données, y compris des données de contenu, sur les réseaux et systèmes d’information de certains opérateurs.

L’article L. 2321-2-1 permet à l’ANSSI de recueillir des données techniques et de contenu, tandis que l’article L. 2321-2-3 autorise le blocage et la redirection de noms de domaine.

Cependant, la CNIL a exprimé des préoccupations concernant la protection des données personnelles, soulignant que les dispositifs doivent respecter les droits des individus et que des garanties doivent être mises en place pour éviter des atteintes disproportionnées à la vie privée.

Quelle est la position de la CNIL concernant le décret ?

La CNIL a exprimé des réserves sur le décret no 2024-421, notamment en ce qui concerne la protection des données personnelles. Elle a souligné que le décret ne précise pas les modalités d’exercice des droits des personnes concernées ni les mesures de sécurité des traitements de données.

La CNIL a également noté que, bien que certaines données soient anonymisées, la collecte de données pourrait entraîner un volume important de données personnelles, y compris des données sensibles.

Elle a recommandé que le Parlement mette en place des garanties supplémentaires pour protéger les droits des individus, notamment en ce qui concerne la finalité de la collecte et la durée de conservation des données.

Comment l’ARCEP perçoit-elle les mesures du décret ?

L’ARCEP soutient les mesures du décret no 2024-421, reconnaissant l’importance de renforcer les capacités nationales de détection et de prévention des cyberattaques. Elle souligne que la lutte contre la cybercriminalité est déterminante pour la sécurité nationale et l’économie.

L’ARCEP apprécie également l’inclusion d’autres acteurs du numérique, tels que les hébergeurs et les opérateurs de centres de données, dans les efforts de l’ANSSI.

Cependant, elle reste vigilante quant au respect des règlements sur l’internet ouvert, en veillant à ce que les mesures de filtrage des noms de domaine ne dépassent pas ce qui est nécessaire pour répondre aux menaces identifiées.