Amendement N° CL14 (Rejeté)

En l’état de la rédaction l’article 35 prévoit trois volets :

En premier lieu, il est prévu de conférer à l’autorité nationale de sécurité des systèmes d’information (ANSSI), en cas de menace grave sur les systèmes d’information des autorités publiques et des opérateurs stratégiques la faculté de mettre en œuvre des dispositifs de recueil de données. En d’autres termes, il est ainsi prévu d’étendre les données recueillies au contenu des communications transitant par les réseaux.

Or l’état de la rédaction ce dispositif est en contradiction avec l’article 34-1 du code des postes et des communications, lequel proscrit aux opérateurs la possibilité de conserver ou de traiter des données dont le contenu porte sur des correspondances échangées ou des informations consultées sous quelque forme que ce soit.

De plus l’extension des dispositifs de l’ANSSI pour couvrir sans nuance les opérateurs de centres de données ne reflète pas la diversité des réalités opérationnelles dans ce secteur. En effet, en pratique, dans un modèle de colocation classique l'opérateur de centre de données n'est pas toujours propriétaire des bâtiments dans lesquels seront installées les centres de données. Si bien qu'il sera en incapacité d'accéder aux serveurs - propriété de ses clients - et réseaux qui transiteraient dans l’infrastructure bâtimentaire. Dans ces conditions ces acteurs ne seront pas en capacité opérationnelle et contractuelle de répondre aux demandes provenant de l'ANSSI.

En second lieu, le présent dispositif rend obligatoire la mise en place de capacités de détection aux opérateurs de communications électronique (OCE). Or il y a là une disproportion quant à la mesure, si bien que de nombreux opérateurs économiques constatent que le périmètre et les motifs de détection sont extrêmement larges. La conséquent première étant qu'en l'état les OCE sont en incapacité d'assurer cette prérogative. De plus, pour l'heure aucun bilan tiré de la mise en place de l'article 34 de la Loi de programmation militaire pour 2019-2025 n'a été effectué et fausse par incidence l’opérationnalité de la mesure.

En troisième et dernier lieu, à l'instar de l'avis de l'ARCEP (n°2023-0542), la suppression de l'assermentation des agents de l'ANSSI paraît plus que regrettable en ce qu'elle est "de nature à diminuer la confiance des citoyens vis-à-vis de ce type de mesure de lutte contre les cyberattaques".

Pour toutes ces raisons et par soucis de cohérence et pragmatisme le présent amendement entend supprimer l'article 35.