![LPM n°2023-703 du 1er aout 2023 ASPECTS CYBER [JO 2 aout 2023]](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2024/08/489-LPM-2023-703-du-1er-aout-2023-aspects-cyber-2-aout-2023-©-Ledieu-Avocats-2023.jpeg)
La Loi de Programmation Militaire #LPM 2023 (pour 2024 à 2030) a été publiée au JO ce mercredi 2 aout 2023.
Vous vous intéressez aux aspects #cyber de cette LPM ?
Vous avez le choix : soit aller lire les articles 64 à 68 de cette loi fleuve, soit… lire les articles du présent post ou le doc en format .pdf que vous trouverez à partir de ce lien :
https://www.linkedin.com/feed/update/urn:li:activity:7092510621409128448/.
ATTENTION : le doc en .pdf reprend l’ensemble des dispositions cyber de cette #LPM, (ré) écrites de manière à être (presque) compréhensibles. Les articles du Code de la défense ou du Code des Postes et des Communications Electroniques (CPCE) y figurent en mode « mark up », sans commentaires autres qu’un rappel de certaines définitions légales.
Il n’est hélas pas possible avec l’éditeur de texte de WordPress de faire figurer du mark up…
Pour celles et ceux qui veulent aller plus loin dans la genèse de ce texte, voici les ressources que vous pouvez consulter :
le projet de loi : https://www.assemblee-nationale.fr/dyn/16/textes/l16b1033_projet-loi
l’étude d’impact : https://www.assemblee-nationale.fr/dyn/16/textes/l16b1033_etude-impact.pdf
l’avis de l’ARCEP du 9 mars 2023 : https://www.arcep.fr/uploads/tx_gsavis/23-0542.pdf
la présentation de la LPM par le MinArm : https://www.defense.gouv.fr/loi-programmation-militaire-2024-2030-grandes-orientations
La décision du Conseil Constitutionnel du 28 juillet 2023 : https://www.conseil-constitutionnel.fr/decision/2023/2023854DC.htm
ARTICLE 64 LPM 2023 [NOM DE DOMAINE] : article [nouveau] L. 2321-2-3 code de la défense
![nom de domaine LPM 2023-703 du 1er aout 2023 aspects cyber [2 aout 2023] par article © Ledieu-Avocats 2023](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2024/08/489-LPM-2023-703-du-1er-aout-2023-aspects-cyber-2-aout-2023-par-article-©-Ledieu-Avocats-05-08-2023.001.jpeg)
I – Lorsqu’il est constaté qu’une menace susceptible de porter atteinte à la défense et à la sécurité nationale résulte de l’exploitation d’un nom de domaine à l’insu de son titulaire qui l’a enregistré de bonne foi, l’ANSSI peut demander à ce titulaire de prendre les mesures adaptées pour neutraliser cette menace dans un délai qu’elle lui impartit et qui tient compte de la nature de ce titulaire ainsi que de ses contraintes opérationnelles.
En l’absence de neutralisation de cette menace dans le délai imparti, l’ANSSI peut demander :
1° à un fournisseur de système de résolution de noms de domaine, au sens de l’article L. 2321-3-1, de bloquer le nom de domaine ;
2° à l’office d’enregistrement, mentionné à l’article L.45 CPCE, ou à un bureau d’enregistrement établi sur le territoire français, mentionné à l’article L.45-4 CPCE, de suspendre le nom de domaine.
Lorsque le titulaire du nom de domaine apporte des éléments établissant que la menace est neutralisée, l’ANSSI demande qu’il soit mis fin sans délai aux mesures prises en application des 1° ou 2°.
II – Lorsqu’il est constaté qu’une menace susceptible de porter atteinte à la défense et à la sécurité nationale résulte de l’exploitation d’un nom de domaine enregistré à cette fin, l’ANSSI peut demander :
1° A une personne mentionnée au 1° du I de procéder au blocage ou à la redirection du nom de domaine vers un serveur sécurisé de l’ANSSI ou vers un serveur neutre ;
2° A l’office d’enregistrement ou à un bureau d’enregistrement, mentionnés au 2° du même I, d’enregistrer, de renouveler, de suspendre ou de transférer le nom de domaine. A la demande de l’ANSSI, les données d’enregistrement ne sont pas rendues publiques.
III. – Les mesures prévues aux I et II sont prises par les personnes mentionnées aux 1° et 2° des mêmes I et II dans un délai, fixé par l’ANSSI, qui ne peut être inférieur à deux (2) jours ouvrés.
Elles sont mises en œuvre pour une durée et dans une mesure strictement nécessaires et proportionnées dans leurs effets à la préservation de l’intégrité du réseau, à la caractérisation et à la neutralisation de la menace et à l’information des utilisateurs ou des détenteurs des systèmes affectés, menacés ou attaqués.
Les mesures de redirection d’un nom de domaine vers un serveur sécurisé de l’ANSSI prises aux fins de caractérisation de la menace ne peuvent excéder une durée de deux (2) mois. Elles peuvent être renouvelées une (1) fois en cas de persistance de la menace, sur avis conforme de l’ARCEP. Elles prennent fin, sans délai, lorsque la menace est neutralisée.
Les mesures prévues aux I et II, exception faite de celles prévues au troisième alinéa du présent III, sont soumises au contrôle de l’ARCEP dans les conditions prévues au I de l’article L.36-14 CPCE.
IV – Les données directement utiles à la caractérisation des menaces, recueillies par l’ANSSI en application du II du présent article, ne peuvent être conservées plus de cinq (5) ans. Les autres données recueillies sont détruites dans un délai bref, précisé par voie réglementaire, quand elles ne sont pas utiles à la caractérisation de la menace, à l’exception des données permettant d’identifier les utilisateurs ou les détenteurs des systèmes d’information menacés, lesquels peuvent être informés par l’ANSSI, le cas échéant après mise en œuvre du premier alinéa de l’article L.2321-3 Code de la défense.
V. – Un décret en Conseil d’État, pris après avis de l’ARCEP et de la CNIL, précise les modalités d’application du présent article ainsi que les modalités de compensation des surcoûts identifiables et spécifiques des prestations assurées à ce titre, à la demande de l’État, par les [fournisseur de système de résolution de noms de domaine] et [l’office d’enregistrement, ou un bureau d’enregistrement].
article 65 LPM 2023 [FOURNISSEUR DE SERVICE DE RESOLUTION DE NOM DE DOMAINE] : article [nouveau] L.2321-3-1 code de la défense
![fournisseur de service de résolution de nom de domaine LPM 2023-703 du 1er aout 2023 aspects cyber [2 aout 2023] par article © Ledieu-Avocats 2023](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2024/08/489-LPM-2023-703-du-1er-aout-2023-aspects-cyber-2-aout-2023-par-article-©-Ledieu-Avocats-05-08-2023.002.jpeg)
Aux seules fins de détecter et de caractériser des menaces et des attaques informatiques susceptibles de porter atteinte à la défense, à la sécurité nationale et à la sécurité des systèmes d’information, les fournisseurs de système de résolution de noms de domaine transmettent aux agents de l’ANSSI individuellement désignés et spécialement habilités les données techniques ni directement ni indirectement identifiantes enregistrées de manière temporaire par leurs serveurs gérant le système d’adressage par domaines.
A cette fin, les fournisseurs de système de résolution de noms de domaine transmettent à l’ANSSI les données mentionnées à [alinéa 1er], qu’ils rendent préalablement anonymes. Ils ne transmettent aucune donnée technique permettant d’identifier la source de la connexion ou relative aux équipements terminaux utilisés. Les données transmises ne peuvent être exploitées qu’aux seules fins mentionnées au même premier alinéa et ne peuvent être conservées plus de cinq (5) ans.
Pour l’application [de l’alinéa 1er], on entend par fournisseur de système de résolution de noms de domaine la personne mettant à disposition un service permettant la traduction d’un nom de domaine en un numéro unique identifiant un appareil connecté à internet.
Un décret en Conseil d’État, pris après avis de l’ARCEP et de la CNIL, détermine les modalités d’application du présent article. Il détermine notamment les données techniques collectées par les agents de l’ANSSI ainsi que la fréquence et les conditions de leur transmission par les fournisseurs de système de résolution de noms de domaine.
article 66 LPM 2023 [EDITEUR DE LOGICIEL : VULNERABILITE "SIGNIFICATIVE" ET "INCIDENT INFORMATIQUE] : article [nouveau] L.2321-4-1 code de la défense
![EDITEUR DE LOGICIEL : VULNERABILITE "SIGNIFICATIVE" ET "INCIDENT INFORMATIQUE" LPM 2023-703 du 1er aout 2023 aspects cyber [2 aout 2023] par article © Ledieu-Avocats 2023.](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2024/08/489-LPM-2023-703-du-1er-aout-2023-aspects-cyber-2-aout-2023-par-article-©-Ledieu-Avocats-05-08-2023.003.jpeg)
En cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information et susceptible d’affecter significativement un de leurs produits, les éditeurs de logiciels notifient à l’ANSSI cette vulnérabilité ou cet incident ainsi que l’analyse de ses causes et de ses conséquences. Cette obligation s’applique aux éditeurs qui fournissent ce produit :
1° sur le territoire français ;
2° à des sociétés ayant leur siège social sur le territoire français ;
3° ou à des sociétés contrôlées, au sens de l’article L. 233-3 du code de commerce, par des sociétés ayant leur siège social sur le territoire français.
Les éditeurs de logiciels informent les utilisateurs de ce produit, dans un délai fixé par l’ANSSI et déterminé en fonction de l’urgence, des risques pour la défense et la sécurité nationale et du temps nécessaire aux éditeurs pour prendre les mesures correctives. A défaut, l’ANSSI peut enjoindre aux éditeurs de logiciels de procéder à cette information. Elle peut également informer les utilisateurs ou rendre publics cette vulnérabilité ou cet incident ainsi que son injonction aux éditeurs si celle-ci n’a pas été mise en œuvre.
Pour l’application du présent article, on entend par éditeur de logiciel toute personne physique ou morale qui conçoit ou développe un produit logiciel ou fait concevoir ou développer un produit logiciel et qui le met à la disposition d’utilisateurs, à titre onéreux ou gratuit.
Pour l’application du premier alinéa, on entend par incident informatique tout événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement ou des services que les réseaux et les systèmes d’information offrent ou rendent accessibles.
Un décret en Conseil d’État, pris après avis de l’ARCEP, définit les modalités d’application du présent article. Il précise notamment les critères d’appréciation du caractère significatif de la vulnérabilité ou de l’incident mentionnés au premier alinéa. Le caractère significatif de la vulnérabilité est défini en fonction des pratiques et des standards internationaux communément admis.
article 67 LPM 2023 [dispositifs mettant en œuvre des marqueurs techniques et dispositifs permettant le recueil de données] : Code de la défense et CPCE
![DISPOSITIFS METTANT EN ŒUVRE DES MARQUEURS TECHNIQUES ET DISPOSITIFS PERMETTANT LE RECUEIL DE DONNEES - LPM 2023-703 du 1er aout 2023 aspects cyber [2 aout 2023] par article © Ledieu-Avocats 2023](https://technique-et-droit-du-numerique.fr/wp-content/uploads/2024/08/489-LPM-2023-703-du-1er-aout-2023-aspects-cyber-2-aout-2023-par-article-©-Ledieu-Avocats-05-08-2023.004.jpeg)
article L.2321-2-1 code de la défense [consolidé LPM 2023]
Aux seules fins de garantir la défense et la sécurité nationale, lorsqu’elle a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques ou [des OIV ou des OSE], l’ANSSI peut mettre en œuvre, sur le réseau d’un opérateur ([1]) de communications électroniques [OCE] ou sur le système d’information [d’un FAI ([2]) ou HÉBERGEUR ([3])] ou d’un opérateur de centre de données ([4]) :
1° Des dispositifs mettant en œuvre des marqueurs techniques ([5]) ;
2° Ou, sur avis conforme de l’ARCEP, des dispositifs permettant le recueil de données sur le réseau d’un [OCE] ou sur le système d’information d’un [FAI ou HÉBERGEUR] ou d’un opérateur de centre de données affecté par la menace.
Ces dispositifs sont mis en œuvre pour une durée et dans une mesure strictement nécessaires à la caractérisation de la menace et aux seules fins de détecter et de caractériser des événements susceptibles d’affecter la sécurité des systèmes d’information des autorités publiques, des [OIV] ou [des OSE] et des opérateurs publics ou privés participant aux systèmes d’information de ces entités.
Les agents de l’ANSSI … sont autorisés, aux seules fins de prévenir et de caractériser la menace affectant les systèmes d’information des [OCE + FAI + HEBERGEUR + opérateur de centre de données], à procéder au recueil des données et à l’analyse des seules données techniques pertinentes, à l’exclusion de toute autre exploitation.
Les données directement utiles à la prévention et à la caractérisation des menaces ne peuvent être conservées plus de deux (2) ans. Les autres données recueillies par les [dispositifs mettant en œuvre des marqueurs techniques] et les [dispositifs permettant le recueil de données] sont détruites dans un délai bref, précisé par voie réglementaire.
Un décret en Conseil d’État, pris après avis de la CNIL et de l’ARCEP, définit les modalités d’application [de l’art. L.2321-2-1 Code de la défense]. Il détermine notamment les informations et les catégories de données conservées [par les dispositifs permettant le recueil de données].
**********************************************************************************************************************************
[1] article L.32 15° CPCE « opérateur » ou « OCE » : On entend par opérateur toute personne physique ou morale exploitant un réseau de communications électroniques ouvert au public ou fournissant au public un service de communications électroniques
[2] article 6 I 1 loi « LCEN » n°2004-575 du 21 juin 2004 « FAI » : Les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne informent leurs abonnés de l’existence de moyens techniques permettant de restreindre l’accès à certains services ou de les sélectionner et leur proposent au moins un de ces moyens sans surcoût. Un décret, pris après avis de la CNIL, précise les fonctionnalités minimales et les caractéristiques techniques auxquelles ces moyens répondent, compte tenu de la nature de l’activité de ces personnes.
Les personnes visées à l’alinéa précédent les informent également de l’existence de moyens de sécurisation permettant de prévenir les manquements à l’obligation définie à l’article L.336-3 du code de la propriété intellectuelle
([3] article 6 I 2 loi « LCEN » n°2004-575 du 21 juin 2004 « HEBERGEUR » : Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère manifestement illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible.
L’alinéa précédent ne s’applique pas lorsque le destinataire du service agit sous l’autorité ou le contrôle de la personne visée audit alinéa.
[4] article 6.31) Directive NISv2 « service de centre de données » : un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental;
article L.32 11° bis CPCE « centres de données » : On entend par centres de données les installations accueillant des équipements de stockage de données numériques
article L.32 33° CPCE « opérateur de centre de données » : On entend par opérateur de centre de données toute personne assurant la mise à la disposition des tiers d’infrastructures et d’équipements hébergés dans des centres de données
[5] Décret n°2018-1136 du 13 décembre 2018 « marqueurs techniques » : Les marqueurs techniques exploités par les dispositifs mentionnés au premier alinéa de l’article L. 2321-2-1 sont des éléments techniques caractéristiques d’un mode opératoire d’attaque informatique, permettant de détecter une activité malveillante ou d’identifier une menace susceptible d’affecter la sécurité des systèmes d’information. Ils visent à détecter les communications et programmes informatiques malveillants et à recueillir et analyser les seules données techniques nécessaires à la prévention et à la caractérisation de la menace.
article L.2321-3 code de la défense [consolidé LPM 2023]
Pour les besoins de la sécurité des systèmes d’information des autorités publiques, des [OIV ou des OSE], les agents de l’ANSSI, habilités par le Premier ministre et assermentés dans des conditions fixées par décret en Conseil d’État et dont la liste est transmise à l’ARCEP, peuvent obtenir des [OCE] et des [HEBERGEURS], en application [de l’article L.34-1 II bis CPCE], l’identité, l’adresse postale et l’adresse électronique d’utilisateurs ou de détenteurs de systèmes d’information vulnérables, menacés ou attaqués, afin de les alerter sur la vulnérabilité ou l’atteinte de leur système.
Lorsque l’ANSSI est informée, en application de l’article L.33-14 CPCE, de l’existence d’un événement affectant la sécurité des systèmes d’information d’une autorité publique ou [d’un OIV ou d’un OSE] ou d’un opérateur public ou privé participant aux systèmes d’information d’une des entités mentionnées au présent alinéa, les agents [habilités de l’ANSSI] peuvent obtenir des [OCE]les données techniques strictement nécessaires à l’analyse de cet événement. Ces données ne peuvent être exploitées qu’aux seules fins de caractériser la menace affectant la sécurité de ces systèmes, à l’exclusion de toute autre exploitation. Elles ne peuvent être conservées plus de cinq [5] ans.
Les surcoûts identifiables et spécifiques des prestations assurées par les opérateurs de communications électroniques à la demande de l’ANSSI en application du premier alinéa du présent article sont compensés selon les modalités prévues au VI de l’article L. 34-1 CPCE suivantes effectuées à la demande de l’ANSSI sont compensés selon des modalités prévues par décret en Conseil d’État :
1° Les prestations assurées par les [OCE] en application du 1er alinéa, dans les conditions prévues [à l’article L. 34-1 VI CPCE], et du 2ème alinéa du présent article ;
2° Les prestations assurées par les [HEBERGEURS]
article L.2321-5 code de la défense [consolidé LPM 2023]
L’ARCEP est chargée de veiller au respect par l’ANSSI des conditions d’application des articles L.2321-2-1 et L. 2321-2-3, de l’article [L. 2321-3 al.2] et de l’article L. 2321-3-1 [code de la défense].
article L33-14 CPCE [consolidé LPM 2023]
Pour les besoins de la sécurité et de la défense des systèmes d’information, les opérateurs de communications électroniques peuvent recourir [OIV] désignés en vertu de leur activité d’exploitant d’un réseau de communications électroniques ouvert au public, recourent, sur les réseaux de communications électroniques qu’ils exploitent, après en avoir informé l’ANSSI, à des dispositifs mettant en œuvre des marqueurs techniques fournis par l’ANSSI aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés. Ces dispositifs sont mis en œuvre pour répondre aux demandes de l’ANSSI.
A la demande de l’ANSSI, Lorsque elle a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information, l’ANSSI demande aux [OCE] ayant mis en œuvre les dispositifs prévus au premier alinéa procèdent, aux fins de prévenir la menace, à leur exploitation, en recourant, le cas échéant, d’exploiter les marqueurs techniques qu’elle fournit.
Par dérogation à l’article L.34-1 II CPCE, les opérateurs de communications électroniques [OIV exploitant un réseau de communications électroniques ouvert au public] sont autorisés à conserver, pour une durée maximale de six (6) mois, les données techniques strictement nécessaires à la caractérisation d’un évènement détecté par les [dispositifs mettant en œuvre des marqueurs techniques fournis par l’ANSSI]. Les données recueillies dans le cadre de l’exploitation de ces dispositifs autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites.
Lorsque sont détectés des événements susceptibles d’affecter la sécurité des systèmes d’information, les opérateurs de communications électroniques [OIV exploitant un réseau de communications électroniques ouvert au public] en informent sans délai l’ANSSI.
A la demande de l’ANSSI, les opérateurs de communications électroniques [OIV exploitant un réseau de communications électroniques ouvert au public] informent leurs abonnés de la vulnérabilité de leurs systèmes d’information ou des atteintes qu’ils ont subies.
Les modalités d’application du présent article sont précisées par décret en Conseil d’État. Celui-ci détermine notamment les catégories de données pouvant être conservées par les opérateurs de communications électroniques [OIV exploitant un réseau de communications électroniques ouvert au public], les modalités de compensation des surcoûts identifiables et spécifiques des prestations assurées à ce titre par les opérateurs, à la demande de l’ANSSI, ainsi que les garanties d’une juste rémunération pour la mise en place des dispositifs [mettant en œuvre des marqueurs techniques fournis par l’ANSSI].
article L.36-7 CPCE [consolidé LPM 2023]
L’ARCEP:
1° Recueille les informations pour les besoins liés à l’exercice de sa mission de régulation, auprès des personnes physiques ou morales exploitant un réseau de communications électroniques ou fournissant un service de communications électroniques ou lorsque cela est nécessaire, auprès d’autres entreprises actives dans le secteur des communications électroniques ou dans des secteurs étroitement liés à celui-ci ;
2° Surveille le niveau et l’évolution des prix de détail des services mentionnés à l’article L. 35-1 par rapport au niveau des prix nationaux et aux revenus nationaux des consommateurs et transmet tous les trois ans un rapport au ministre chargé des communications électroniques ;
3° Contrôle le respect des obligations résultant :
a) Des dispositions législatives et réglementaires et des textes et décisions pris en application de ces dispositions au respect desquelles l’ARCEP a pour mission de veiller ;
b) Du règlement (UE) n° 531/2012 du 13 juin 2012, concernant l’itinérance sur les réseaux publics de communications mobiles à l’intérieur de l’Union ;
c) Du règlement (UE) n° 2015/2120 du 25 novembre 2015 établissant des mesures relatives à l’accès à un internet ouvert et aux prix de détail pour les communications à l’intérieur de l’UE réglementées et modifiant la directive 2002/22/ CE et le règlement (UE) n° 531/2012 ;
3° bis Sanctionne les manquements constatés aux obligations mentionnées au 3° dans les conditions prévues aux articles L. 36-10 et L. 36-11 ;
4° Détermine, selon les principes et les méthodes élaborés dans les conditions prévues à l’article L. 35-5, les montants des contributions au financement des obligations de service universel et assure la surveillance des mécanismes de ce financement ;
5° Le cas échéant, définit des mesures d’encadrement pluriannuel des tarifs et émet un avis public sur la mise en œuvre d’un tarif ou s’y oppose, en application des articles L. 35-2 et L. 38-1 ;
6° Assigne aux opérateurs et aux utilisateurs les fréquences nécessaires à l’exercice de leur activité dans les conditions prévues à l’article L. 42-1 et veille à leur bonne utilisation ;
7° Établit le plan national de numérotation téléphonique, attribue aux opérateurs les ressources en numérotation nécessaires à leur activité dans les conditions prévues à l’article L. 44 et veille à leur bonne utilisation ;
8° Établit la liste des opérateurs réputés exercer une influence significative sur un marché du secteur des communications électroniques et fixe leurs obligations, dans les conditions prévues aux articles L. 37-1 et L. 37-2 ;
9° Fixe, le cas échéant, les obligations de chacun des opérateurs de communications électroniques, titulaires d’une autorisation d’utilisation de fréquences radioélectriques pour l’exploitation d’un réseau mobile ouvert au public de troisième génération, afin d’assurer la couverture en services mobiles de troisième génération des zones identifiées en application de l’article 119 de la loi n° 2008-776 du 4 août 2008 de modernisation de l’économie ;
10° (Abrogé) ;
11° Met à disposition du public, sous forme électronique, dans un standard ouvert aisément réutilisable, sous réserve de mentionner leurs sources, les cartes numériques de couverture du territoire que les fournisseurs de services de communications électroniques sont tenus de publier en application du présent code et des décisions prises pour son application, ainsi que les données servant à les établir dont elle fixe la liste et que les fournisseurs lui transmettent préalablement ;
12° Est chargée, en application de l’article L. 2321-5 du code de la défense, de veiller au respect par l’ANSSI des conditions d’application des articles L.2321-2-1 et L.2321-2-3, de l’article L.2321-3 al.2 et de l’article L.2321-3-1 [Code de la défense];
13° Accepte, le cas échéant, les engagements des opérateurs souscrits auprès d’elle dans les conditions prévues à l’article L. 38-1-1.
article L. 36-14 CPCE [consolidé LPM 2023]
I – La formation de règlement des différends, de poursuite et d’instruction mentionnée à l’article L.130 CPCE est compétente pour exercer la mission mentionnée à l’article L. 36-7 12° CPCE. Pour l’accomplissement de cette mission, la formation de règlement des différends, de poursuite et d’instruction :
1° Est informée sans délai, par l’ANSSI, des mesures mises en œuvre en application des articles L.2321-2-1 et L.2321-2-3 Code de la défense ainsi que des demandes formulées en application du deuxième alinéa de l’article L. 2321-3 du même code ;
2° Dispose d’un accès complet et permanent aux données recueillies ou obtenues en application des articles L. 2321-2-1 et L. 2321-2-3, de l’article L. 2321-3 al.2 et de l’article L. 2321-3-1 code de la défense ainsi qu’aux dispositifs de traçabilité des données collectées et peut solliciter de l’ANSSI tous les éléments nécessaires à l’accomplissement de sa mission ;
3° Peut, à la demande de son président, se faire assister par des experts individuellement désignés et habilités au secret de la défense nationale ;
4° Peut adresser, à tout moment, à l’ANSSI toute recommandation qu’elle juge nécessaire aux fins d’assurer la régularité des mesures mises en œuvre en application des dispositions mentionnées au 1° du présent article. Elle est informée, sans délai, des suites données à ces recommandations.
Lorsque l’ANSSI ne donne pas suite à ces recommandations ou que la formation de règlement des différends, de poursuite et d’instruction estime insuffisantes les suites données à ces recommandations, la formation peut enjoindre à l’ANSSI d’interrompre les opérations ou de détruire les données mentionnées aux articles L. 2321-2-1 et L. 2321-3 du code de la défense.
Le Conseil d’Etat peut être saisi par le président de l’ARCEP d’un recours lorsque l’ANSSI ne se conforme pas à une injonction qui lui est adressée en vertu du présent article.
II – Sont subordonnés à l’avis conforme de la formation mentionnée au I du présent article :
1° Le renouvellement des mesures de redirection d’un nom de domaine mentionnées à l’article L.2321-2-3 III alinéa 3 du code de la défense ;
2° La mise en œuvre des dispositifs mentionnés à l’article L. 2321-2-1 2° code de la défense.
III – L’ARCEP remet chaque année au Gouvernement et au Parlement, dans le respect du secret de la défense nationale, un rapport d’activité sur les conditions d’exercice et les résultats du contrôle exercé au titre du présent article.
Elle peut adresser au Premier ministre, au président de l’Assemblée nationale et au président du Sénat, à tout moment, les observations qu’elle juge utiles.
Les modalités d’application du présent article sont précisées par décret en Conseil d’Etat.
Merci à Sébastien Le Foll et aux éditions Delcourt Soleil pour les illustrations en BD ayant servi pour cette présentation !
Vous voulez en savoir plus sur les bandes dessinées utilisées pour illustrer cette présentation ? Cliquez sur le lien !!!
« Souvenirs de la Grande Armée » série complète en 4 tomes + 1 intégrale par Michel Dufranne et Vladimir « Alexander » © éditions Delcourt 2007-2018 : en selle avec les Cavaliers du 2ème Régiment de Chasseurs à cheval et vive l’Empereur !
