Le décret n° 2018-1136 du 13 décembre 2018 est pris en application de l’article L. 2321-2-1 du Code de la défense et des articles L. 33-14 et L. 36-14 du Code des postes et des communications électroniques issus de l’article 34 de la loi n° 2018-607 du 13 juillet 2018 relative à la programmation militaire pour les années 2019 à 2025.
Les dispositions de cette loi du 13 juillet 2018, concernant la défense, confèrent à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et aux opérateurs de communications électroniques de nouvelles compétences pour prévenir et caractériser les menaces qui pourraient affecter la sécurité des systèmes d’information.
Le décret du 13 décembre 2018 définit les conditions de mise en œuvre, par les opérateurs de communications électroniques, de dispositifs de détection des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés, les catégories de données pouvant être conservées, ainsi que les modalités d’échange entre ces opérateurs et l’ANSSI.
Ainsi, la décision de mettre en œuvre les dispositifs mentionnés au décret sur les réseaux et les systèmes d’information est notifiée par l’ANSSI. « Cette notification est accompagnée d’un cahier des charges élaboré, le cas échéant, après concertation avec les personnes destinataires. Ce document précise les conditions techniques d’organisation et de fonctionnement nécessaires à la mise en œuvre de ces dispositifs ainsi que le délai dans lequel ils sont mis en œuvre et la durée de leur mise en œuvre. »
En outre, les opérateurs qui recourent, aux fins de détecter les événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés, aux dispositifs mentionnés doivent communiquer à l’ANSSI une documentation qui décrit, pour chaque dispositif :
« 1° La nature du dispositif, les mesures de sécurité appliquées et le type de marqueurs techniques susceptibles d’être exploités par ce dispositif ;
« 2° Les capacités d’analyse du dispositif, les infrastructures de communications électroniques concernées et, le cas échéant, les méthodes d’échantillonnage des flux de données analysés ainsi que la fréquence d’analyse ;
« 3° Les critères techniques définis pour détecter les événements susceptibles de porter atteinte à la sécurité des systèmes d’information ;
« 4° Les catégories de données susceptibles d’être collectées et la durée de conservation appliquée dans la limite de six mois mentionnée au troisième alinéa de l’article L. 33-14 »
Il précise, enfin, les modalités de contrôle, par l’Autorité de régulation des communications électroniques et des postes (ARCEP), de la mise en œuvre de ces dispositions (« la formation de règlement des différends, de poursuite et d’instruction »).
Le décret est entré en vigueur le 1er janvier 2019.
