Lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 ou des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, l'autorité nationale de sécurité des systèmes d'information peut mettre en œuvre, sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'une personne mentionnée aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques et opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée. Ces dispositifs sont mis en œuvre pour la durée et dans la mesure strictement nécessaires à la caractérisation de la menace.

Les agents de l'autorité nationale de sécurité des systèmes d'information individuellement désignés et spécialement habilités sont autorisés, aux seules fins de prévenir et de caractériser la menace affectant les systèmes d'information des autorités publiques ou des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée, à procéder au recueil et à l'analyse des seules données techniques pertinentes, à l'exclusion de toute autre exploitation.

Les données techniques recueillies directement par l'autorité nationale de sécurité des systèmes d'information en application du premier alinéa du présent article ou obtenues en application du deuxième alinéa de l'article L. 2321-3 ne peuvent être conservées plus de dix ans.

Les données recueillies autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites.

Un décret en Conseil d'Etat définit les modalités d'application du présent article.

Est puni de 150 000 € d'amende le fait, pour un opérateur de communications électroniques ou ses agents ou pour une personne mentionnée au premier alinéa de l'article L. 2321-2-1, de faire obstacle à la mise en œuvre, par l'autorité nationale de sécurité des systèmes d'information, des dispositifs mentionnés au même premier alinéa.

Les personnes physiques coupables de cette infraction encourent également l'interdiction, pour une durée de cinq ans au plus, d'exercer l'activité professionnelle à l'occasion de l'exercice de laquelle l'infraction a été commise.

Pour les besoins de la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 et des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, les agents de l'autorité nationale de sécurité des systèmes d'information, habilités par le Premier ministre et assermentés dans des conditions fixées par décret en Conseil d'Etat, peuvent obtenir des opérateurs de communications électroniques, en application du II bis de l'article L. 34-1 du code des postes et des communications électroniques, l'identité, l'adresse postale et l'adresse électronique d'utilisateurs ou de détenteurs de systèmes d'information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou l'atteinte de leur système.

Lorsque l'autorité nationale de sécurité des systèmes d'information est informée, en application de l'article L. 33-14 du même code, de l'existence d'un événement affectant la sécurité des systèmes d'information d'une autorité publique ou d'un opérateur mentionné aux articles L. 1332-1 et L. 1332-2 du présent code ou d'un opérateur mentionné à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, les agents mentionnés au premier alinéa du présent article peuvent obtenir des opérateurs de communications électroniques les données techniques strictement nécessaires à l'analyse de cet événement. Ces données ne peuvent être exploitées qu'aux seules fins de caractériser la menace affectant la sécurité de ces systèmes, à l'exclusion de toute autre exploitation.

Les surcoûts identifiables et spécifiques des prestations assurées par les opérateurs de communications électroniques à la demande de l'autorité nationale de sécurité des systèmes d'information en application du premier alinéa du présent article sont compensés selon les modalités prévues au VI de l'article L. 34-1 du code des postes et des communications électroniques.

Pour les besoins de la sécurité des systèmes d'information, l'obligation prévue à l'article 40 du code de procédure pénale n'est pas applicable à l'égard d'une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d'information une information sur l'existence d'une vulnérabilité concernant la sécurité d'un système de traitement automatisé de données.

L'autorité préserve la confidentialité de l'identité de la personne à l'origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.

L'autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d'avertir l'hébergeur, l'opérateur ou le responsable du système d'information.

L'Autorité de régulation des communications électroniques et des postes est chargée de veiller au respect par l'autorité nationale de sécurité des systèmes d'information des conditions d'application de l'article L. 2321-2-1 et du deuxième alinéa de l'article L. 2321-3.