- Dans le cadre de la stratégie de sécurité nationale et de la politique de défense, le Premier ministre définit la politique et coordonne l'action gouvernementale en matière de sécurité et de défense des systèmes d'information. Il dispose à cette fin de l'autorité nationale de sécurité des systèmes d'information qui assure la fonction d'autorité nationale de défense des systèmes d'information.VersionsLiens relatifs
- Pour répondre à une attaque informatique qui vise les systèmes d'information affectant le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la Nation, les services de l'Etat peuvent, dans les conditions fixées par le Premier ministre, procéder aux opérations techniques nécessaires à la caractérisation de l'attaque et à la neutralisation de ses effets en accédant aux systèmes d'information qui sont à l'origine de l'attaque.
Pour être en mesure de répondre aux attaques mentionnées au premier alinéa, les services de l'Etat déterminés par le Premier ministre peuvent détenir des équipements, des instruments, des programmes informatiques et toutes données susceptibles de permettre la réalisation d'une ou plusieurs des infractions prévues aux articles 323-1 à 323-3 du code pénal, en vue d'analyser leur conception et d'observer leur fonctionnement.VersionsLiens relatifs Lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 ou des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, l'autorité nationale de sécurité des systèmes d'information peut mettre en œuvre, sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'une personne mentionnée aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques et opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée. Ces dispositifs sont mis en œuvre pour la durée et dans la mesure strictement nécessaires à la caractérisation de la menace.
Les agents de l'autorité nationale de sécurité des systèmes d'information individuellement désignés et spécialement habilités sont autorisés, aux seules fins de prévenir et de caractériser la menace affectant les systèmes d'information des autorités publiques ou des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée, à procéder au recueil et à l'analyse des seules données techniques pertinentes, à l'exclusion de toute autre exploitation.
Les données techniques recueillies directement par l'autorité nationale de sécurité des systèmes d'information en application du premier alinéa du présent article ou obtenues en application du deuxième alinéa de l'article L. 2321-3 ne peuvent être conservées plus de dix ans.
Les données recueillies autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites.
Un décret en Conseil d'Etat définit les modalités d'application du présent article.
VersionsLiens relatifsEst puni de 150 000 € d'amende le fait, pour un opérateur de communications électroniques ou ses agents ou pour une personne mentionnée au premier alinéa de l'article L. 2321-2-1, de faire obstacle à la mise en œuvre, par l'autorité nationale de sécurité des systèmes d'information, des dispositifs mentionnés au même premier alinéa.
Les personnes physiques coupables de cette infraction encourent également l'interdiction, pour une durée de cinq ans au plus, d'exercer l'activité professionnelle à l'occasion de l'exercice de laquelle l'infraction a été commise.VersionsLiens relatifsPour les besoins de la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, les agents de l'autorité nationale de sécurité des systèmes d'information, habilités par le Premier ministre et assermentés dans des conditions fixées par décret en Conseil d'Etat, peuvent obtenir des opérateurs de communications électroniques, en application du III de l'article L. 34-1 du code des postes et des communications électroniques, l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou l'atteinte de leur système.
Lorsque l'autorité nationale de sécurité des systèmes d'information est informée, en application de l'article L. 33-14 du même code, de l'existence d'un événement affectant la sécurité des systèmes d'information d'une autorité publique ou d'un opérateur mentionné aux articles L. 1332-1 et L. 1332-2 du présent code ou d'un opérateur mentionné à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, les agents mentionnés au premier alinéa du présent article peuvent obtenir des opérateurs de communications électroniques les données techniques strictement nécessaires à l'analyse de cet événement. Ces données ne peuvent être exploitées qu'aux seules fins de caractériser la menace affectant la sécurité de ces systèmes, à l'exclusion de toute autre exploitation.
Les surcoûts identifiables et spécifiques des prestations assurées par les opérateurs de communications électroniques à la demande de l'autorité nationale de sécurité des systèmes d'information en application du premier alinéa du présent article sont compensés selon les modalités prévues au III de l'article L. 34-1 du code des postes et des communications électroniques.VersionsLiens relatifsPour les besoins de la sécurité des systèmes d'information, l'obligation prévue à l'article 40 du code de procédure pénale n'est pas applicable à l'égard d'une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d'information une information sur l'existence d'une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données.
L'autorité préserve la confidentialité de l'identité de la personne à l'origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.
L'autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d'avertir l'hébergeur, l'opérateur ou le responsable du système d'information.
VersionsLiens relatifsL'Autorité de régulation des communications électroniques et des postes est chargée de veiller au respect par l'autorité nationale de sécurité des systèmes d'information des conditions d'application de l'article L. 2321-2-1 et du deuxième alinéa de l'article L. 2321-3.
VersionsLiens relatifs
Les règles relatives à la définition, aux moyens, aux conventions et à l'utilisation de la cryptologie sont définies par le titre III de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.
VersionsLiens relatifs
L'accès au service public réglementé offert par le système mondial de radionavigation par satellite issu du programme européen Galileo, le développement ou la fabrication de récepteurs ou de modules de sécurité conçus pour ce service et l'exportation d'équipements, de technologie ou de logiciels conçus pour ce service ne peuvent s'exercer qu'après autorisation délivrée par l'autorité administrative et sous son contrôle.
Les autorisations délivrées en application du présent article peuvent être assorties de conditions ou de restrictions. Elles peuvent être abrogées, retirées, modifiées ou suspendues en cas de manquement du titulaire aux conditions spécifiées dans l'autorisation ou lorsque le respect des engagements internationaux de la France, la protection du service public réglementé ou celle des intérêts essentiels d'ordre public ou de sécurité publique le justifient.VersionsLiens relatifsTout transfert d'équipements, de technologie ou de logiciels conçus pour le service public réglementé offert par le système mondial de radionavigation par satellite issu du programme européen Galileo effectué depuis la France vers les autres Etats membres de l'Union européenne fait l'objet d'une déclaration à l'autorité administrative.
VersionsLiens relatifsLes dispositions de la présente section s'appliquent sans préjudice de celles du chapitre V du titre III du présent livre et du règlement (CE) n° 428/2009 du Conseil du 5 mai 2009 instituant un régime communautaire de contrôle des exportations, des transferts, du courtage et du transit de biens à double usage.
Les modalités d'application de la présente section sont fixées par décret en Conseil d'Etat.VersionsLiens relatifs
Est puni d'une amende de 200 000 € le fait de se livrer à une activité définie à l'article L. 2323-1 :
1° Sans autorisation ;
2° Sans respecter les conditions ou restrictions dont est assortie l'autorisation mentionnée au même article L. 2323-1.
La tentative des délits prévus aux trois premiers alinéas du présent article est punie des mêmes peines.VersionsLiens relatifsEst punie d'une amende de 50 000 € la méconnaissance de l'obligation prévue à l'article L. 2323-2.
VersionsLiens relatifsI.-Les personnes physiques coupables de l'une des infractions prévues aux articles L. 2323-4 et L. 2323-5 encourent également les peines complémentaires suivantes :
1° La confiscation, suivant les modalités prévues à l'article 131-21 du code pénal, de la chose qui a servi ou était destinée à commettre l'infraction ou de la chose qui en est le produit, à l'exception des objets susceptibles de restitution ;
2° L'interdiction, suivant les modalités prévues à l'article 131-27 du même code et pour une durée de cinq ans au plus, d'exercer une fonction publique ou d'exercer l'activité professionnelle ou sociale dans l'exercice ou à l'occasion de l'exercice de laquelle l'infraction a été commise ;
3° La fermeture, dans les conditions prévues à l'article 131-33 dudit code et pour une durée de cinq ans au plus, des établissements ou de l'un ou de plusieurs des établissements de l'entreprise ayant servi à commettre les faits incriminés ;
4° L'exclusion, dans les conditions prévues à l'article 131-34 du même code et pour une durée de cinq ans au plus, des marchés publics.
II.-Les personnes morales déclarées responsables pénalement, dans les conditions prévues à l'article 121-2 du code pénal, des infractions définies à la présente section encourent, outre l'amende suivant les modalités prévues à l'article 131-38 du même code, les peines prévues aux 1°, 2°, 4°, 5°, 8°, 9° et 12° de l'article 131-39 dudit code.VersionsLiens relatifs
TITRE II : SÉCURITÉ DES SYSTÈMES D'INFORMATION (Articles L2321-1 à L2323-6)