Il ne me semble pas inutile de rappeler l'objectif de l'article 35, les garanties prévues dès la version originale du texte et celles qui ont été introduites en commission des lois. L'article 35 vise à compléter le dispositif actuel qui permet déjà à l'Anssi, depuis la dernière loi de programmation militaire, de recourir à des marqueurs techniques pour obtenir, pendant une durée limitée, des informations sur les flux entrants et sortants d'une machine contrôlée par un cyberattaquant lorsque cette attaque constitue une menace pour les intérêts du pays. La collecte de ces informations purement technique est utile mais suppose que l'Anssi connaisse en amont les modes opératoires utilisés par les attaquants. Cet article vise ainsi à rendre possible le renforcement des capacités de détection d'attaques à l'encontre des systèmes d'information des autorités publiques et des opérateurs stratégiques en permettant à l'Anssi, en cas de menace grave, de mettre en œuvre des dispositifs de recueil de données.
Je peux comprendre que ces dispositifs interrogent et que l'on ait besoin de garanties. L'Anssi estime qu'environ cinquante copies de serveurs pourraient être faites par an, ainsi qu'une vingtaine de captations de flux réseau : ces chiffres paraissent proportionnés au regard de l'objectif de lutte contre les menaces sur la sécurité nationale.
J'en viens aux garanties prévues. Il y a d'abord un ciblage préalable de la machine compromise faisant objet de la copie : concrètement, l'Anssi devra motiver sa demande. Est ensuite prévu un contrôle de l'application de ces nouvelles mesures par l'Arcep, qui sera saisie en amont de tout enclenchement du dispositif et pourra, si elle l'estime fondé, refuser à l'Anssi l'engagement de la procédure. Par ailleurs, la durée de conservation des données utiles a été réduite à deux ans au lieu de dix ans dans le dispositif actuel, et les demandes ne portent que sur le périmètre d'opérateurs présentant une sensibilité particulière – autorités publiques, OIV, OSE – pour une durée limitée et avec pour finalité la prévention et la caractérisation des menaces. Les données ne seront obtenues et exploitées que par des agents individuellement désignés et spécialement habilités, et la destruction immédiate des données par l'Anssi est prévue par notre droit.
La commission de lois a introduit des garanties supplémentaires, d'une part en exigeant des précisions sur le type de données faisant l'objet d'un recueil, d'autre part en prévoyant la consultation de la Cnil avant la publication du décret. Elle a également maintenu l'assermentation des agents chargés de l'opération de recueil et circonscrit l'utilisation de l'article aux situations les plus graves, menaçant la défense et la sécurité nationale.
Pour toutes ces raisons, estimant que nous sommes parvenus à un équilibre, j'émets un avis défavorable sur les amendements de suppression de l'article.