L’IREF juge urgent de donner l’alerte sur les risques que représentent le projet de loi pour la sécurité numérique et le projet de loi de programmation militaire (ce dernier discuté à l’Assemblée nationale en mai 2023, promulgation définitive prévue avant le 14 juillet). Il s’agit de renforcer la sécurité des systèmes d’information et de lutter contre diverses menaces en ligne, mais en confiant d’importants pouvoirs de blocage à différentes entités sans contrôle judiciaire. Les objectifs sont louables, mais la multiplication des freins administratifs soulève des questions sur la protection des libertés individuelles et risque d’affaiblir l’attractivité de la France pour les investissements en infrastructures internet.
Le projet de loi de programmation militaire : des pouvoirs étendus pour l’Agence nationale de la sécurité des systèmes d’information (Anssi))
Le chapitre V du projet de loi relatif à la programmation militaire 2024-2030 consacre quatre articles (32 à 35) à la sécurité des systèmes d’information. Il expose que la menace cyber, protéiforme et évolutive, exige que l’on adapte en permanence les capacités de détection de l’ANSSI afin de mieux préparer les victimes potentielles – sans toutefois se substituer aux autres solutions existant déjà sur le marché et sans non plus, évidemment, faire supporter aux entreprises une charge disproportionnée. Si l’on entre un peu dans les détails techniques, l’article 32 autorise l’agence à prescrire des mesures de filtrage DNS (qui bloque les logiciels malveillants et protège contre d’autres cyber attaques) auprès des fournisseurs d’accès en cas de « menaces susceptibles de porter atteinte à la sécurité nationale ». Il lui donne aussi le droit de supprimer ou rediriger des noms de domaine. Parallèlement à l’élargissement des pouvoirs de l’ANSSI, il serait souhaitable que l’autorité administrative chargée de réguler les communications électroniques et postales, ainsi que la distribution de la presse (nommée Arcep) soit elle aussi remise à niveau.
L’article 33 prévoit, en cas de cyber-incident, que soient communiquées à l’Anssi des « données techniques, non identifiantes, enregistrées temporairement par les serveurs DNS qui établissent la correspondance entre le nom de domaine et l’adresse IP des machines d’un réseau ». Cela permettra notamment à l’agence d’identifier les serveurs utilisés par une attaque, et d’établir sa chronologie.
L’article 34 obligera les éditeurs de logiciels à signaler à l’Anssi et à leurs clients français tout incident informatique ou vulnérabilité critique identifiés. L’agence serait par ailleurs autorisée à révéler publiquement le nom des éditeurs n’ayant pas répondu à ses injonctions de signalement.
Enfin, l’article 35 comprend un échantillon de mesures pour renforcer les capacités de détection des cyber attaques et d’information des victimes repérées par l’Anssi. La loi étend notamment le champ des marqueurs techniques auxquels l’agence peut exiger d’avoir accès.
L’Arcep, le régulateur des télécommunications en France, avait fait une lecture très restrictive de la précédente loi de programmation militaire. L’Anssi ne pouvait ainsi accéder qu’aux effets des activités malveillantes et aux flux réseaux, pas à leurs causes. La nouvelle loi précise que l’agence est autorisée à consulter aussi le code, les logs ou le contenu stocké. Son champ d’investigation sera par ailleurs étendu aux centres de données.
Le projet de loi pour la sécurité numérique : une multiplication des blocages administratifs sans contrôle judiciaire
Le projet de loi pour la sécurité numérique confie à différentes entités dont l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique) et aux autorités de police et des administrations désignées par décret, des pouvoirs de blocage en divers domaines, notamment l’accès des mineurs aux sites pornographiques, les contenus pédopornographiques, la protection des citoyens contre la propagande étrangère en ligne, les arnaques en ligne. Il est normal de contrer ces dérives, mais peut-être pas par des mesures aussi extrêmes que des blocages administratifs sans contrôle judiciaire, qui soulèvent des questions graves quant à la protection des libertés individuelles et la confiance que l’on peut garder dans les infrastructures numériques françaises.
Un encadrement adéquat des nouvelles dispositions s’impose
Il semble absolument indispensable qu’un contrôle judiciaire préalable à toute mesure de blocage administratif soit effectué afin de garantir le respect des droits fondamentaux des citoyens. Sinon, c’est la porte ouverte à tous les abus.
Il serait nécessaire encore que les possibilités de contrôle de l’’Arcep soient renforcées pour surveiller en toute transparence les différentes entités disposant de pouvoirs de blocage, et s’assurer que ces blocages sont bien proportionnés à la situation.
D’autres points méritent aussi la plus minutieuse attention. Il est vital de mener une concertation étroite avec les acteurs du secteur numérique, de prendre en compte leurs préoccupations et leurs besoins. D’une telle concertation dépendent les performances de l’innovation ainsi que l’attractivité de la France pour les investissements en infrastructure internet
La protection des systèmes d’information et la lutte contre les menaces en ligne passent également par la sensibilisation et la formation des utilisateurs. Il est important de développer, pour les citoyens comme pour les entreprises et les administrations, des programmes adaptés, qui les rendront plus sensibles aux risques liés à l’usage des technologies de l’information.
Les projets de loi que nous venons d’évoquer présentent indiscutablement un danger de mise sous tutelle du numérique en France, avec des conséquences immenses pour les libertés individuelles et la crédibilité des acteurs de ce secteurs. C’est un grand chantier, un peu technique mais d’une importance capitale pour notre avenir. Il est essentiel de le suivre de très près.