Décret no 2024-421 du 10 mai 2024

Le nouveau Décret no 2024-421 du 10 mai 2024 prévoit les conditions d’application des nouvelles compétences conférées à l’ANSSI en matière de sécurité des systèmes d’information.

Les nouvelles compétences

Parmi ces compétences figurent :

Les mesures de filtrage de noms de domaine en cas de menace contre la sécurité nationale ;

Communication de certaines données techniques de cache de serveurs de systèmes de noms de domaine ;

Obligation pour les éditeurs de logiciel victimes d’un incident informatique sur leurs systèmes d’information ou ayant une vulnérabilité critique sur un produit ou un service d’en informer l’ANSSI et leurs clients français ;

Renforcement des capacités de détection des cyberattaques et d’information des victimes ;

Modalités du contrôle de l’ARCEP sur la mise en œuvre de certaines de ces mesures. 

Contexte législatif

Le décret est pris pour l’application des articles L. 2321-2-1, L. 2321-2-3, L. 2321-3, L. 2321-3-1 et L. 2321-4-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques, dans leur rédaction issue des articles 64 à 67 de la loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense.

La collecte des données personnelles

La loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (LPM) a complété les instruments juridiques à la disposition de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) pour préserver la sécurité des systèmes d’information résultant de la précédente LPM (loi n° 2018-607 du 13 juillet 2018 pour les années 2019 à 2025).
Ces instruments juridiques visent à lutter contre les atteintes à la sécurité des systèmes d’information :

– des autorités publiques ;
– des opérateurs d’importance vitale (OIV) ; et
– des opérateurs de services essentiels (OSE).

Sous l’empire des dispositions de la précédente LPM de 2018, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) avait, lors de son contrôle des dispositifs mis en œuvre par les agents de l’ANSSI, estimé que seules les données techniques (aussi appelées métadonnées, qui permettent l’acheminement des flux d’information) pouvaient être collectées, à l’exclusion du contenu des communications elles-mêmes. Selon l’ANSSI, cette restriction a fortement limité l’utilité des dispositifs prévus dans la précédente LPM.

La nouvelle LPM de 2023 vise à prendre en compte ce retour d’expérience et à accroître les capacités des dispositifs mis en œuvre par l’ANSSI pour permettre aux agents de cette agence de mener leurs missions de manière plus efficace.

En premier lieu, outre les dispositifs exploitant des marqueurs techniques issus de la précédente LPM de 2018, qui continuent de ne concerner que les données techniques (métadonnées), l’article L. 2321-2-1 du code de la défense étend les possibilités offertes à l’ANSSI au recueil des données, assorti des facultés suivantes :

– la possibilité de collecter des données sur le réseau ou le système d’information de certains opérateurs, permettant d’accéder aux données de contenu des serveurs et du trafic ;
– l’ajout des opérateurs de centres de données à ceux (opérateurs de communications électroniques, hébergeurs et fournisseurs d’accès à Internet) auprès desquels l’ANSSI peut mettre en œuvre les dispositifs exploitant des marqueurs techniques et les dispositifs de recueil de données ;
– l’ajout d’une finalité de caractérisation de la menace à celle qui existait déjà (la détection de la menace) en ce qui concerne les dispositifs exploitant des marqueurs techniques et les dispositifs de recueil de données.

En deuxième lieu, l’article L. 2321-2-3 du code de la défense a été créé par la nouvelle LPM et autorise le blocage, l’enregistrement, la suspension, le transfert et la redirection de nom de domaine. Ce dispositif autorise l’ANSSI à prescrire aux fournisseurs de systèmes de résolution de noms de domaine, aux offices d’enregistrement des noms de domaine gérés sur le territoire national (par exemple le « .fr ») et aux bureaux d’enregistrement de noms de domaine établis sur le territoire français, des mesures graduelles de filtrage ou de redirection de noms de domaine utilisés ou instrumentalisés par des attaquants, afin de neutraliser l’utilisation dévoyée d’un nom de domaine par un attaquant et de mieux comprendre ses modes opératoires pour les contrer.

En troisième lieu, l’article L. 2321-3-1 du code de la défense, créé par la nouvelle LPM, prescrit la communication à l’ANSSI de certaines données techniques de cache de serveurs DNS. Ce dispositif impose aux fournisseurs de système de résolution de noms de domaine de transmettre à l’ANSSI des données techniques non identifiantes, rendues préalablement anonymes, enregistrées temporairement par les serveurs dits « Domain Name System » (DNS), qui établissent la correspondance entre le nom de domaine et l’adresse IP des machines d’un réseau. Ces données doivent permettre à l’ANSSI d’identifier les serveurs mis en place par d’éventuels attaquants et d’établir la chronologie de leurs attaques.

La position de la CNIL

Dans la mesure où ces dispositifs prévus par le code de la défense impliquent la mise en œuvre de traitements de données à caractère personnel (à l’exception du dispositif prévu par l’article L. 2321-3-1, pour lequel les données sont préalablement anonymisées), la CNIL considère que sa consultation pour avis sur des dispositions du projet de loi initial aurait été utile au débat public, quand bien même cette consultation n’était pas obligatoire.

En amont, la CNIL a constaté que le décret ne comporte aucune disposition sur les modalités d’exercice des droits des personnes ni sur les mesures de sécurité des traitements dont il explicite la mise en œuvre.
Le secrétariat général de la défense et de la sécurité nationale (SGDSN) a indiqué à cet égard que ce décret serait complété par un projet de décret et deux projets d’arrêtés relatifs à des traitements de données à caractère personnel que l’ANSSI devrait mettre en œuvre pour l’application de la nouvelle LPM. Ces projets de textes seront soumis pour avis à la CNIL.

Le SGDSN a toutefois saisi la CNIL pour déterminer les modalités d’application :

– de l’article L. 2321-2-1 du code de la défense (dispositifs exploitant des marqueurs techniques et permettant le recueil de données) ;
– de l’article L. 2321-2-3 du code de la défense (dispositifs permettant le blocage, l’enregistrement, la suspension, le transfert et la redirection de nom de domaine) ;
– de l’article L. 2321-3-1 du code de la défense (dispositifs permettant la communication à l’ANSSI de certaines données techniques de cache de serveurs DNS).

S’agissant des dispositifs prévus par l’article L. 2321-3-1 du code de la défense, dans la mesure où la loi impose que les données soient préalablement anonymisées, la CNIL considère que ces dispositifs ne constituent pas des traitements de données à caractère personnel soumis à la loi « informatique et libertés », à condition toutefois que, conformément aux dispositions de la loi qui prescrivent que les fournisseurs de système de résolution de noms de domaine les « rendent préalablement anonymes » avant leur transmission à l’ANSSI, les responsables de traitement veillent à effacer les données à caractère personnel que peuvent contenir les champs de certains enregistrements (comme par exemple l’enregistrement de type RP pour « Responsible Person »).

La CNIL observe que le dispositif global, et notamment ce qui relève de l’article L. 2321-2-1 du code de la défense, couvre désormais non plus seulement des réseaux mais aussi des serveurs de systèmes d’information, dès lors qu’ils sont affectés par une menace susceptible de porter atteinte à la sécurité des systèmes d’information d’autorités publiques d’OIV et d’OSE ; ce dispositif s’étend à une large gamme d’acteurs (opérateurs de communications électroniques, fournisseurs d’accès à Internet, hébergeurs et opérateurs de centre de données) ; il permet de cibler tous les types de données (non plus seulement les métadonnées mais aussi le contenu), y compris lorsque celles-ci sont chiffrées (dès lors que les recueils de données aménagés ont permis d’obtenir les conventions de chiffrement), et ceci pour des organisations dont les traitements s’effectuent potentiellement sur les données d’une large partie de la population recouvrant plusieurs secteurs sensibles (autorités publiques, OIV et OSE). La portée de ce dispositif est donc sans commune mesure avec ce qu’elle était dans le cadre de la LPM précédente.

La CNIL souligne que les opérations de collecte de données pourront potentiellement comporter un volume conséquent de données à caractère personnel collectées de manière incidente, y compris des données sensibles (notamment des données de santé lors d’attaques qui toucheraient des ressources informatiques appartenant à des établissements de santé ou prendraient appui sur elles).

La CNIL considère dès lors que :

– l’utilisation des techniques et des modalités de mise en œuvre prévues par les projets d’articles R. 2321-1-1 à R. 2321-1-6 du code de la défense, pris pour l’application de l’article L. 2321-2-1 de ce code, est susceptible de porter une atteinte particulièrement importante à la vie privée des individus et au droit à la protection des données à caractère personnel, puisque ces techniques, même limitées à des opérateurs particuliers, conduisent à recueillir, avant qu’elles ne soient filtrées en raison de leur utilité, un grand nombre de données dont la nature n’est pas définie à l’avance et qui sont donc, le cas échéant, susceptibles de relever de la catégorie des données sensibles ;

– la mise en œuvre d’une surveillance poussée de l’intégralité de ces données pourrait, à elle seule, entraîner des effets dissuasifs sur l’exercice de leur liberté d’information et d’expression par les utilisateurs d’Internet et des réseaux de communication électronique.

La CNIL relève que, pour éviter une atteinte disproportionnée à ces droits et libertés, le Parlement a assorti le dispositif d’un ensemble de garanties (utilisation du dispositif conditionnée à l’identification d’une menace, rôle de l’ARCEP, durée limitée de conservation etc.). Elle regrette cependant que l’idée d’une expérimentation, proposée par l’ARCEP dans son avis sur le projet de LPM pour les années 2024 à 2030 (avis n° 2023-0542), n’ait pas été retenue. Un tel cadre expérimental aurait notamment présenté l’intérêt de pouvoir affiner, au niveau de la loi, les garanties devant entourer le dispositif (seuls les agents de l’ANSSI seront habilités à recevoir la communication des données collectées par les dispositifs projetés).

Les finalités des opérations de collecte des données sont prévues par les articles L. 2321-2-1 et L. 2321-2-3 du code de la défense et visent :

– la détection des évènements susceptibles d’affecter la sécurité des systèmes d’information (article L. 2321-2-1 du code de la défense) ;
– la caractérisation de la menace, qui vise à connaître les modes opératoires des attaques et justifie la conservation d’éléments qui en permettent la reconnaissance future (articles L. 2321-2-1 et L. 2321-2-3 de ce code) ;
– la prévention des menaces (pour ce qui concerne uniquement l’article L. 2321-2-1 du même code).

S’agissant des dispositifs prévus par l’article L. 2321-2-1 du code de la défense, la CNIL considère que le dispositif devrait davantage préciser la finalité de prévention afin de déterminer si elle concerne seulement des opérations visant à protéger un système d’information en amont d’une attaque, ou si elle peut par exemple relever d’opérations visant à la remédiation ou à la récupération d’un système d’information suite à une attaque.
Le IV de l’article L. 2321-2-3 du code de la défense autorise le recueil et la conservation des « données directement utiles à la caractérisation des menaces ». Or, l’article R. 2321-1-10 du même code pris pour son application prévoyait de conserver les « données utiles à la prévention et à la caractérisation de la menace ». La loi ne prévoit la conservation des données qu’à des fins de caractérisation de la menace, et non à des fins de prévention.

S’agissant du régime juridique applicable aux traitements mis en œuvre en application des articles L. 2321-2-1 et L. 2321-2-3 du code de la défense, le SGDSN a indiqué qu’ils relèvent du titre IV de la loi « informatique et libertés » (traitements intéressant la sûreté de l’Etat et la défense). Dans la mesure où ces dispositifs sont mis en œuvre à des fins de garantir la défense et la sécurité nationale, la CNIL partage cette analyse
La CNIL se félicite que le SGDSN ne prévoie pas d’exclure qu’elle exerce son contrôle a posteriori sur les traitements couverts par le projet de décret, quoiqu’ils relèvent du titre IV de la loi « informatique et libertés ».

Les projets d’articles R. 2321-1-5 et R. 2321-1-10 du code de la défense prévoient que l’ANSSI dispose au maximum de trois mois pour analyser les données recueillies et que seules les « données directement utiles » à la prévention ou à la caractérisation des menaces peuvent être conservées au-delà de ce délai.

S’agissant des données qui ne sont pas directement utiles, les projets d’articles R. 2321-1-5 et R. 2321-1-10 du code de la défense prévoient qu’elles sont détruites dans un délai d’un jour ouvré, ce qui respecte l’exigence prévue par la loi (articles L. 2321-2-1 et L. 2321-2-3 du code de la défense) d’un « délai bref » de suppression.

S’agissant des dispositifs exploitant des marqueurs techniques ou permettant le recueil des données (dispositifs prévus par l’article L. 2321-2-1 du code de la défense) et des dispositifs de blocage et de redirection de nom de domaine (prévus par l’article L. 2321-2-3 du code de la défense), les droits des personnes dont les données à caractère personnel seront traitées soient régis comme suit :

– les droits d’information et d’opposition prévus respectivement aux articles 116 et 117 de la loi du 6 janvier 1978 ne seraient pas applicables ;
– les droits d’accès, de rectification et d’effacement s’exerceraient de manière indirecte, auprès de la CNIL, dans les conditions prévues à l’article 118 de la même loi.

La position de l’ARCEP

L’Autorité partage le souci affiché par le Gouvernement de renforcer les capacités nationales de détection, de caractérisation et de prévention des attaques informatiques que ce projet de décret vise à améliorer. La lutte contre la cybercriminalité et les cybermenaces est en effet un enjeu majeur pour la sécurité nationale et l’économie française dans son ensemble.

A cet égard, l’Autorité accueille favorablement la possibilité pour l’ANSSI, prévue par la LPM, d’impliquer au-delà des opérateurs de communications électroniques, d’autres acteurs du numérique notamment les hébergeurs de données, les opérateurs de centres de données, les fournisseurs de systèmes de résolution de noms de domaine ou les offices et bureaux d’enregistrement de noms de domaine, de renforcer ses capacités de détection, de caractérisation et de prévention des attaques informatiques.

Par ailleurs, l’ARCEP reste vigilante quant au respect par les opérateurs du règlement internet ouvert (27) et notamment des dérogations prévues pour les cas limitativement définis par ce règlement. En particulier, en cas de filtrage d’un ou plusieurs noms de domaine réalisé au titre des dispositions de la LPM, il conviendra de veiller à ce que les mesures de gestion du trafic mise en œuvre sur les réseaux pour bloquer des flux malveillants, n’excèdent pas les demandes de l’ANSSI.