L'article 33 imposera aux fournisseurs de système de résolution de noms de domaine de transmettre régulièrement à l'Anssi des données techniques non identifiantes enregistrées temporairement sur les serveurs DNS, afin d'identifier les serveurs mis en place par les attaquants et établir la chronologie de leurs attaques. L'objectif est de mieux comprendre l'infrastructure utilisée par les cyberdélinquants et de mieux détecter et anticiper leurs attaques.
L'Anssi ne recueillera que les données techniques non identifiantes des serveurs, c'est-à-dire celles des machines, sans aucune personne physique derrière elles. En particulier, elle ne collectera pas les adresses IP sources, qui sont des données à caractère personnel. Par ailleurs, l'Arcep bénéficiera d'un accès permanent aux données collectées au titre de l'article, dans le cadre de ses prérogatives de contrôle. Elle sera d'ailleurs consultée en amont de la prise du décret d'application.
Je souhaite en revanche encadrer le dispositif de l'article en précisant dans la loi que les adresses IP sources ne seront pas collectées, en prévoyant que le décret d'application soit pris après avis de la Cnil, qui se prononcera ainsi sur le dispositif et s'assurera que les données collectées et traitées respectent les principes fondamentaux qui se rattachent à la protection des données à caractère personnel, et en portant à cinq ans la durée maximale de conservation des données collectées. Ces garanties permettent d'aboutir à un équilibre convenable. L'avis est défavorable sur ces deux amendements de suppression.