L’ARCEP a fait publier son avis sur le projet d’arrêté pris dans le sillage de la loi de programmation militaire. Des textes qui soumettent notamment à autorisation les équipements réseaux mobiles permettant de réaliser des atteintes au secret des correspondances.
L'Autorité de régulation des communications électroniques et des postes a fait publier ce matin son analyse d’un arrêté diffusé voilà peu au Journal officiel, venu modifier un autre arrêté du 4 juillet 2012. On pourra relire cette actualité ou celle-ci, mais retenons que la loi de programmation militaire de 2013 a mis à jour une disposition importante du Code pénal dans lequel s’inscrivent ces textes réglementaires.
L’article 226-3 prohibe en effet la fabrication, la commercialisation, la détention, etc. de tous les appareils et dispositions qui permettent d’ouvrir, supprimer, retarder, détourner, prendre connaissance, intercepter, utiliser, divulguer une correspondance privée. Plus exactement, le commerce de ces produits sensibles est soumis à autorisation ministérielle, sous la responsabilité de l’ANSSI, l’agence nationale pour la sécurité des systèmes d’information.
Et pour cause, les services du renseignement comme ceux œuvrant pour la justice peuvent puiser dans ce stock pour répondre aux besoins de leurs missions souvent très intrusives. Le rôle de l’ANSSI est donc de s’assurer que tel logiciel d’espionnage ne vient finalement pas se retourner contre son utilisateur, du fait de la présence d’une maudite porte dérobée.
Ces récentes normes ont du coup fait évoluer le spectre des produits soumis à ce contrôle préventif. Autrefois, il s’agissait seulement des appareils « conçus » pour permettre une violation du secret des correspondances. Aujourd’hui, cela vise tous ceux « de nature » à la réaliser. Avec cette nuance importante, on voit que la régulation gagne nettement en amplitude, sans se concentrer sur les seuls produits spécialement dédiés à l’intrusif.
Manque de prévisibilité
Dans son avis publié au Journal officiel, l’ARCEP se focalise sur son domaine de compétence, à savoir la nécessité pour les opérateurs de bénéficier « de visibilité et de sécurité juridique concernant l'évolution du cadre législatif et réglementaire affectant leurs investissements ». Pourquoi ? L’autorité regrette spécialement que les dispositions réglementaires, et spécialement l’arrêté du 4 juillet 2012, soient rédigées de manière ouverte.
Le texte en question « liste de manière non exhaustive les appareils qui entrent dans g catégorie » des produits soumis à autorisation. Or, « une telle liste non exhaustive est source d'incertitude car elle ne permet pas aux équipementiers et aux opérateurs de savoir précisément si d'autres appareils que ceux qui apparaissent dans la liste doivent être soumis à autorisation ». L’ARCEP aurait donc préféré « que l'ensemble des appareils soumis à autorisation soit fixé dans l'arrêté sous la forme d'une liste exhaustive » mais son avis n’a pas été entendu.
La mise sous contrôle des stations de base
Autre nouveauté de l’arrêté du 11 août, la mise sous autorisation des «appareils qui permettent aux opérateurs de communications électroniques de connecter les équipements de leurs clients au cœur de leur réseau radioélectrique mobile ouvert au public, dès lors que ces appareils disposent de fonctionnalités, pouvant être configurées et activées à distance, permettant de dupliquer les correspondances des clients, à l'exclusion des appareils installés chez ceux-ci ».
Cette fois, l’ARCEP voit d’un très bon œil le report d‘une telle disposition au 1er octobre 2021. « Ce délai de cinq ans n'apparait pas déraisonnable afin de permettre aux différents acteurs d'anticiper au mieux leurs stratégies de déploiement d'équipements de réseau et d'organiser le remplacement, d'ici l'échéance du 1er juillet 2021, des équipements actuellement exploités par les opérateurs qui sont susceptibles de faire l'objet d'un refus d'autorisation ». En effet, une telle migration n’est pas neutre : « compte tenu du type d'équipement visé par cette disposition, un tel remplacement pourrait concerner jusqu'à plusieurs milliers d'équipements ».
Pour assurer une migration sans trop d’embûches, elle sollicite en tout cas la rédaction au plus vite par l’ANSSI d’« une feuille de route avec les équipementiers et les opérateurs ». « Cette feuille de route devrait permettre d'identifier les matériels et logiciels, déjà déployés ou prévus dans les plans de déploiement des équipementiers et opérateurs, qui ne seront plus autorisés » à la date butoir.
L’hypothèse d’un retrait d’autorisation
Reste un dernier souci, qui n’a pas été pris en compte dans l’arrêté ministériel : l’impact d'un retrait ou d'un non-renouvellement d'autorisation ministérielle sur des appareils déjà installés. Un tel évènement « impliquerait, pour un opérateur, le remplacement du matériel en cause dans son réseau ou, pour l'équipementier, la conception d'un correctif logiciel ». Or les textes actuels ne laissent à l’entreprise en cause qu’un petit délai d’un mois pour se mettre en conformité. « Un tel délai ne parait pas toujours adapté aux problématiques de déploiement d'un réseau mobile ».
Ainsi, « pour les opérateurs, la sélection d'un équipement de substitution peut nécessiter 12 à 18 mois, délai à l'issue duquel peuvent débuter les opérations de remplacement dont la durée peut s'étaler sur plusieurs années en fonction du nombre d'équipements à remplacer ». Et s’agissant des équipementiers, « la conception d'un correctif logiciel pour mettre l'équipement en conformité nécessitera plusieurs mois de travail et de discussion avec l'Agence nationale de sécurité des systèmes d'information et les opérateurs, qui ne pourront continuer à faire évoluer leurs réseaux comme prévu par leurs feuilles de route ».
L’autorité administrative indépendante invite du coup « le gouvernement à prendre en compte ces paramètres économiques et techniques et à définir un mécanisme approprié pour le remplacement des équipements exploités concernés par la nouvelle règlementation ». Elle suggère par exemple la possibilité pour le Premier ministre d’allonger le délai de mise en conformité afin de permettre cette mise à jour. « Ce délai pourrait, le cas échéant, faire l'objet d'une modulation géographique pour tenir compte des enjeux de sécurité nationale ».