N° de demande d'avis : 24001462.
Textes concernés : projet de décret pris pour l'application des articles L. 2321-2-1 à L. 2321-4-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques.
Organisme(s) à l'origine de la saisine : secrétariat général de la défense et de la sécurité nationale.
Thématiques : sécurité des systèmes d'information - cybersécurité.
Fondement de la saisine : articles L. 2321-2-1, L. 2321-2-3 et L. 2321-3-1 du code de la défense.
L'essentiel :
1. La CNIL a été saisie d'un projet de décret pris pour l'application de certains articles de la loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (LPM). Ce projet de décret précise les instruments juridiques à la disposition de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) pour préserver la sécurité des systèmes d'information, en particulier pour lutter contre les atteintes à la sécurité des systèmes d'information des autorités publiques, des opérateurs d'importance vitale (OIV) et des opérateurs de services essentiels (OSE).
2. La CNIL considère que les finalités sont légitimes mais que les catégories de données collectées devraient être davantage précisées dans le projet de décret.
3. Elle regrette que les modalités d'exercice des droits des personnes et les mesures de sécurité ne soient pas précisés dans le présent projet de décret mais se félicite de ce que le SGDSN n'ait pas prévu d'exclure le contrôle a posteriori de la CNIL sur les traitements couverts par le projet de décret, quoiqu'ils relèvent du titre IV de la loi « informatique et libertés ».
La Commission nationale de l'informatique et des libertés,
Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD) ;
Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés (« loi informatique et libertés »), notamment son titre IV ;
Après avoir entendu le rapport de Mme Isabelle LATOURNARIE-WILLEMS, commissaire, et les observations de M. Damien MILIC, commissaire du Gouvernement,
Adopte la délibération suivante :
I. - La saisine
A. - Le contexte
La loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (LPM) a complété les instruments juridiques à la disposition de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) pour préserver la sécurité des systèmes d'information résultant de la précédente LPM (loi n° 2018-607 du 13 juillet 2018 pour les années 2019 à 2025).
Ces instruments juridiques visent à lutter contre les atteintes à la sécurité des systèmes d'information :
- des autorités publiques ;
- des opérateurs d'importance vitale (OIV) ; et
- des opérateurs de services essentiels (OSE).
Sous l'empire des dispositions de la précédente LPM de 2018, l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP) avait, lors de son contrôle des dispositifs mis en œuvre par les agents de l'ANSSI, estimé que seules les données techniques (aussi appelées métadonnées, qui permettent l'acheminement des flux d'information) pouvaient être collectées, à l'exclusion du contenu des communications elles-mêmes. Selon l'ANSSI, cette restriction a fortement limité l'utilité des dispositifs prévus dans la précédente LPM.
La nouvelle LPM de 2023 vise à prendre en compte ce retour d'expérience et à accroître les capacités des dispositifs mis en œuvre par l'ANSSI pour permettre aux agents de cette agence de mener leurs missions de manière plus efficace.
Le projet de décret est pris pour l'application de trois articles modifiés ou créés par la LPM : les articles L. 2321-2-1, L. 2321-2-3 et L. 2321-3-1 du code de la défense.
En premier lieu, outre les dispositifs exploitant des marqueurs techniques issus de la précédente LPM de 2018, qui continuent de ne concerner que les données techniques (métadonnées), l'article L. 2321-2-1 du code de la défense étend les possibilités offertes à l'ANSSI au recueil des données, assorti des facultés suivantes :
- la possibilité de collecter des données sur le réseau ou le système d'information de certains opérateurs, permettant d'accéder aux données de contenu des serveurs et du trafic ;
- l'ajout des opérateurs de centres de données à ceux (opérateurs de communications électroniques, hébergeurs et fournisseurs d'accès à Internet) auprès desquels l'ANSSI peut mettre en œuvre les dispositifs exploitant des marqueurs techniques et les dispositifs de recueil de données ;
- l'ajout d'une finalité de caractérisation de la menace à celle qui existait déjà (la détection de la menace) en ce qui concerne les dispositifs exploitant des marqueurs techniques et les dispositifs de recueil de données.
En deuxième lieu, l'article L. 2321-2-3 du code de la défense a été créé par la nouvelle LPM et autorise le blocage, l'enregistrement, la suspension, le transfert et la redirection de nom de domaine. Ce dispositif autorise l'ANSSI à prescrire aux fournisseurs de systèmes de résolution de noms de domaine, aux offices d'enregistrement des noms de domaine gérés sur le territoire national (par exemple le « .fr ») et aux bureaux d'enregistrement de noms de domaine établis sur le territoire français, des mesures graduelles de filtrage ou de redirection de noms de domaine utilisés ou instrumentalisés par des attaquants, afin de neutraliser l'utilisation dévoyée d'un nom de domaine par un attaquant et de mieux comprendre ses modes opératoires pour les contrer.
En troisième lieu, l'article L. 2321-3-1 du code de la défense, créé par la nouvelle LPM, prescrit la communication à l'ANSSI de certaines données techniques de cache de serveurs DNS. Ce dispositif impose aux fournisseurs de système de résolution de noms de domaine de transmettre à l'ANSSI des données techniques non identifiantes, rendues préalablement anonymes, enregistrées temporairement par les serveurs dits « Domain Name System » (DNS), qui établissent la correspondance entre le nom de domaine et l'adresse IP des machines d'un réseau. Ces données doivent permettre à l'ANSSI d'identifier les serveurs mis en place par d'éventuels attaquants et d'établir la chronologie de leurs attaques.
Dans la mesure où ces dispositifs prévus par le code de la défense impliquent la mise en œuvre de traitements de données à caractère personnel (à l'exception du dispositif prévu par l'article L. 2321-3-1, pour lequel les données sont préalablement anonymisées), la CNIL considère que sa consultation pour avis sur des dispositions du projet de loi initial aurait été utile au débat public, quand bien même cette consultation n'était pas obligatoire.
La CNIL constate que le projet de décret qui lui est soumis ne met pas en œuvre l'intégralité des traitements résultant de la récente LPM. En outre, il ne comporte aucune disposition sur les modalités d'exercice des droits des personnes ni sur les mesures de sécurité des traitements dont il explicite la mise en œuvre.
Le secrétariat général de la défense et de la sécurité nationale (SGDSN) a indiqué à cet égard que ce projet de décret serait complété par un projet de décret et deux projets d'arrêtés relatifs à des traitements de données à caractère personnel que l'ANSSI devrait mettre en œuvre pour l'application de la nouvelle LPM. Ces projets de textes seront soumis pour avis à la CNIL.
B. - L'objet de la saisine
Le SGDSN a saisi la CNIL d'un projet de décret en Conseil d'Etat pour déterminer les modalités d'application :
- de l'article L. 2321-2-1 du code de la défense (dispositifs exploitant des marqueurs techniques et permettant le recueil de données) ;
- de l'article L. 2321-2-3 du code de la défense (dispositifs permettant le blocage, l'enregistrement, la suspension, le transfert et la redirection de nom de domaine) ;
- de l'article L. 2321-3-1 du code de la défense (dispositifs permettant la communication à l'ANSSI de certaines données techniques de cache de serveurs DNS).
S'agissant des dispositifs prévus par l'article L. 2321-3-1 du code de la défense, dans la mesure où la loi impose que les données soient préalablement anonymisées, la CNIL considère que ces dispositifs ne constituent pas des traitements de données à caractère personnel soumis à la loi « informatique et libertés », à condition toutefois que, conformément aux dispositions de la loi qui prescrivent que les fournisseurs de système de résolution de noms de domaine les « rendent préalablement anonymes » avant leur transmission à l'ANSSI, les responsables de traitement veillent à effacer les données à caractère personnel que peuvent contenir les champs de certains enregistrements (comme par exemple l'enregistrement de type RP pour « Responsible Person »).
II. - L'avis de la CNIL
A. - Observations générales sur le dispositif exploitant des marqueurs techniques et permettant le recueil des données
La CNIL observe que le dispositif global, et notamment ce qui relève de l'article L. 2321-2-1 du code de la défense, couvre désormais non plus seulement des réseaux mais aussi des serveurs de systèmes d'information, dès lors qu'ils sont affectés par une menace susceptible de porter atteinte à la sécurité des systèmes d'information d'autorités publiques d'OIV et d'OSE ; ce dispositif s'étend à une large gamme d'acteurs (opérateurs de communications électroniques, fournisseurs d'accès à Internet, hébergeurs et opérateurs de centre de données) ; il permet de cibler tous les types de données (non plus seulement les métadonnées mais aussi le contenu), y compris lorsque celles-ci sont chiffrées (dès lors que les recueils de données aménagés ont permis d'obtenir les conventions de chiffrement), et ceci pour des organisations dont les traitements s'effectuent potentiellement sur les données d'une large partie de la population recouvrant plusieurs secteurs sensibles (autorités publiques, OIV et OSE). La portée de ce dispositif est donc sans commune mesure avec ce qu'elle était dans le cadre de la LPM précédente.
La CNIL souligne que les opérations de collecte de données pourront potentiellement comporter un volume conséquent de données à caractère personnel collectées de manière incidente, y compris des données sensibles (notamment des données de santé lors d'attaques qui toucheraient des ressources informatiques appartenant à des établissements de santé ou prendraient appui sur elles).
La CNIL considère dès lors que :
- l'utilisation des techniques et des modalités de mise en œuvre prévues par les projets d'articles R. 2321-1-1 à R. 2321-1-6 du code de la défense, pris pour l'application de l'article L. 2321-2-1 de ce code, est susceptible de porter une atteinte particulièrement importante à la vie privée des individus et au droit à la protection des données à caractère personnel, puisque ces techniques, même limitées à des opérateurs particuliers, conduisent à recueillir, avant qu'elles ne soient filtrées en raison de leur utilité, un grand nombre de données dont la nature n'est pas définie à l'avance et qui sont donc, le cas échéant, susceptibles de relever de la catégorie des données sensibles ;
- la mise en œuvre d'une surveillance poussée de l'intégralité de ces données pourrait, à elle seule, entraîner des effets dissuasifs sur l'exercice de leur liberté d'information et d'expression par les utilisateurs d'Internet et des réseaux de communication électronique.
La CNIL relève que, pour éviter une atteinte disproportionnée à ces droits et libertés, le Parlement a assorti le dispositif d'un ensemble de garanties (utilisation du dispositif conditionnée à l'identification d'une menace, rôle de l'ARCEP, durée limitée de conservation etc.). Elle regrette cependant que l'idée d'une expérimentation, proposée par l'ARCEP dans son avis sur le projet de LPM pour les années 2024 à 2030 (avis n° 2023-0542), n'ait pas été retenue. Un tel cadre expérimental aurait notamment présenté l'intérêt de pouvoir affiner, au niveau de la loi, les garanties devant entourer le dispositif.
La CNIL comprend des dispositions du projet de décret que seuls les agents de l'ANSSI seront habilités à recevoir la communication des données collectées par les dispositifs projetés.
B. - Sur les finalités et le régime juridique applicable aux dispositifs
Les finalités des opérations de collecte des données sont prévues par les articles L. 2321-2-1 et L. 2321-2-3 du code de la défense et visent :
- la détection des évènements susceptibles d'affecter la sécurité des systèmes d'information (article L. 2321-2-1 du code de la défense) ;
- la caractérisation de la menace, qui vise à connaître les modes opératoires des attaques et justifie la conservation d'éléments qui en permettent la reconnaissance future (articles L. 2321-2-1 et L. 2321-2-3 de ce code) ;
- la prévention des menaces (pour ce qui concerne uniquement l'article L. 2321-2-1 du même code).
S'agissant des dispositifs prévus par l'article L. 2321-2-1 du code de la défense, la CNIL considère que le projet de décret (projet d'article R. 2321-1-5 du code de la défense) devrait davantage préciser la finalité de prévention afin de déterminer si elle concerne seulement des opérations visant à protéger un système d'information en amont d'une attaque, ou si elle peut par exemple relever d'opérations visant à la remédiation ou à la récupération d'un système d'information suite à une attaque.
Le IV de l'article L. 2321-2-3 du code de la défense autorise le recueil et la conservation des « données directement utiles à la caractérisation des menaces ». Or, le projet d'article R. 2321-1-10 du même code pris pour son application prévoit de conserver les « données utiles à la prévention et à la caractérisation de la menace ». La loi ne prévoit la conservation des données qu'à des fins de caractérisation de la menace, et non à des fins de prévention. La CNIL prend acte de l'engagement du SGDSN de modifier le projet de décret pour limiter la conservation des données aux données directement utiles à la caractérisation de la menace.
S'agissant du régime juridique applicable aux traitements mis en œuvre en application des articles L. 2321-2-1 et L. 2321-2-3 du code de la défense, le SGDSN a indiqué qu'ils relèvent du titre IV de la loi « informatique et libertés » (traitements intéressant la sûreté de l'Etat et la défense). Dans la mesure où ces dispositifs sont mis en œuvre à des fins de garantir la défense et la sécurité nationale, la CNIL partage cette analyse.
La CNIL se félicite que le SGDSN ne prévoie pas d'exclure qu'elle exerce son contrôle a posteriori sur les traitements couverts par le projet de décret, quoiqu'ils relèvent du titre IV de la loi « informatique et libertés ».
C. - Sur les durées de conservation
Les projets d'articles R. 2321-1-5 et R. 2321-1-10 du code de la défense prévoient que l'ANSSI dispose au maximum de trois mois pour analyser les données recueillies et que seules les « données utiles » à la prévention ou à la caractérisation des menaces peuvent être conservées au-delà de ce délai. La CNIL prend acte de l'engagement du SGDSN de modifier le projet de décret afin de faire référence aux « données directement utiles », comme les définit la loi. En effet, les données à supprimer étant définies dans le projet de décret comme celles qui ne sont pas utiles, la formulation de la loi est plus protectrice : elle empêche que des données qui seraient jugées utiles mais seulement « indirectement » puissent être conservées une fois l'analyse effectuée dans le délai de trois mois.
S'agissant des données qui ne sont pas directement utiles, les projets d'articles R. 2321-1-5 et R. 2321-1-10 du code de la défense prévoient qu'elles sont détruites dans un délai d'un jour ouvré, ce qui respecte l'exigence prévue par la loi (articles L. 2321-2-1 et L. 2321-2-3 du code de la défense) d'un « délai bref » de suppression.
D. - Sur les droits des personnes
S'agissant des dispositifs exploitant des marqueurs techniques ou permettant le recueil des données (dispositifs prévus par l'article L. 2321-2-1 du code de la défense) et des dispositifs de blocage et de redirection de nom de domaine (prévus par l'article L. 2321-2-3 du code de la défense), le SGDSN envisage que les droits des personnes dont les données à caractère personnel seront traitées soient régis comme suit :
- les droits d'information et d'opposition prévus respectivement aux articles 116 et 117 de la loi du 6 janvier 1978 ne seraient pas applicables ;
- les droits d'accès, de rectification et d'effacement s'exerceraient de manière indirecte, auprès de la CNIL, dans les conditions prévues à l'article 118 de la même loi.Liens relatifs
La présidente,
M.-L. Denis