La proposition de loi dite « anti-Huawei » vient d’être adoptée au Parlement. La France s’est empressée de notifier à la Commission européenne ce texte taillé pour préserver les intérêts de la défense et de la sécurité nationale sur les réseaux 5G.
Le 18 juillet dernier, l’Assemblée nationale a adopté le texte de compromis édité par la commission mixte paritaire. Le 24 juillet, le Sénat embrayait. La proposition de loi défendue par Gilles le Gendre (LREM) a donc terminé son parcours parlementaire. Cependant, la loi n’est pas encore applicable.
Et pour cause, le droit européen oblige les États membres à alerter préalablement la Commission des textes venant régenter d’un peu trop près « la société de l’information ». L’idée ? Jauger leurs effets sur la sacro-sainte liberté de circulation des biens et services, comme le veut une directive de 1998.
S’agissant de la proposition de loi anti-Huawei, cette « notification », nom de ce signalement, a été réalisée le 26 juillet 2019. S’ouvre maintenant une période durant laquelle l’autorité européenne, mais également les autres États membres vont pouvoir ausculter les effets de cette future loi, voire émettre des critiques. Du côté de l’État membre, la loi en gestation entre dans une période de glaciation. C’est le « statu quo ».
Cette phase dure en principe trois mois, mais la France a déclaré « l’urgence ». Avec un tel label, l’exécutif européen devra se prononcer dans « les plus brefs délais ».
Des équipements soumis à un régime d'autorisation
Cette proposition de loi, qui fut un temps embarquée dans un amendement gouvernemental, entend protéger les architectures sensibles des réseaux de communication de nouvelles générations. L’enjeu ? Prévenir les indiscrétions des puissances étrangères. D’où son surnom de « loi anti-Huawei », même si le texte peut viser n’importe quels fabricants, notamment américains.
Dans ses grandes lignes, le code des postes et des communications électronique va intégrer un régime d’autorisation préalable à l’exploitation des équipements. C’est le Premier ministre qui donnera ce feu vert en tenant compte de la préservation des « intérêts de la défense et de la sécurité nationale ».
Précisément, sont visés les réseaux de cinquième génération et ultérieures, aussi bien sur la partie logicielle que matérielle, et qui « par leurs fonctions, présentent un risque pour la permanence, l’intégrité, la sécurité, la disponibilité du réseau, ou pour la confidentialité des messages transmis et des informations liées aux communications ».
On pense ici aux installations en cœur de réseau, voilà d’ailleurs pourquoi les appareils installés chez les utilisateurs finaux ou ceux dédiés à un réseau indépendant sont exclus du périmètre. Même sort pour les « appareils électroniques passifs ou non configurables » et les « dispositifs matériels informatiques non spécialisés incorporés aux appareils ».
Les équipements concernés
Un arrêté définit la liste des appareils soumis à autorisation, pris après avis de l’Autorité de régulation des communications électroniques et des postes (Arcep). Le texte en préparation a d’ailleurs lui aussi été notifié à Bruxelles.
Dans la longue liste, on trouve des stations de base, les « appareils assurant l'authentification et l'autorisation d’accès au réseau des équipements terminaux », ceux « assurant l'acheminement des communications des équipements terminaux vers des réseaux tiers » mais encore les dispositifs chargés de « la gestion des sessions et des connexions des équipements terminaux » ou les « appareils assurant la mise en oeuvre et le contrôle des politiques d'accès au réseau ».
Sont de même intégrés dans ce champ ceux chargés du « stockage des données cryptographiques et identifiants relatifs aux abonnés ».
Dans l’argumentaire transmis à Bruxelles, le gouvernement tire la sonnette d'alarme : « le déploiement de la 5G accroît les risques en matière de cybersécurité liés aux équipements de réseau du fait des spécificités techniques de la 5G (gestion dynamique du réseau d’accès, introduction d’unités de traitement d’information aux bornes du réseau – edge computing) et des cas d’usage de la 5G pour des domaines industriels, pour certains critiques (e.g. véhicule connecté / autonome, industrie du futur, réseaux d’énergie, etc.) ».
La crainte est donc que ces outils puissent servir de porte dérobée pour les autorités étrangères avides de renseignements, d'autant que ces équipements embarquent une intelligence pouvant être exploitée à distance. En pratique, c’est notamment l’ANSSI, Agence nationale pour la sécurité de systèmes d’information, qui plongera son nez dans ces matériels et leurs couches logicielles. L’éventuelle autorisation sera octroyée pour huit ans, renouvelable.
Un décret définira les modalités de ces procédures. Un projet de texte a, comme l’arrêté et la future loi, été notifié à la Commission européenne.
On y découvre que la demande devra être accompagnée d’une série d’informations comme la documentation technique, le degré d'utilisation prévue au sein du réseau radioélectrique, l'activation éventuelle ou la non-activation des fonctionnalités optionnelles, etc. Le demandeur devra tout autant s’engager à accepter les « contrôles nécessaires ».
L’exploitation d’un appareil sans autorisation ou ne respectant pas les conditions fixées par le Premier ministre sera punie de cinq ans d’emprisonnement et 300 000 euros d’amende.
Interdire l'espionnage étranger, autoriser les interceptions françaises
Le Premier ministre mettra son veto s’il « existe un risque sérieux d’atteinte aux intérêts de la défense et de la sécurité nationale résultant du manque de garantie du respect » de certaines règles.
Quelles règles ? Elles sont répertoriées très précisément dans la loi, qui fait référence aux points a), b), e), f) et f) bis du I de l’article L. 33-1 du Code des postes et des télécommunications électroniques.
Derrière ces références, retenons qu'elles veulent garantir la permanence, l’intégrité, la sécurité, la disponibilité du réseau, ou la confidentialité des messages transmis. Le point b) veut s’assurer en particulier du respect des « conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications ».
Les points f) et f) bis obligent cette fois les équipementiers à rendre respectivement possibles l'acheminement gratuit des appels d'urgence et celui des informations publiques en cas de dangers imminents.
Le point e) mérite une attention plus poussée comme déjà expliqué dans nos colonnes :
Si l'on déroule, le fabricant devra faire en sorte que son équipement rende possible « la mise en oeuvre des interceptions » et au-delà, respecte les « prescriptions exigées par l'ordre public, la défense nationale et la sécurité publique ».
En somme, ce bouclier contre les grandes oreilles étrangères profite du moment pour exiger des équipementiers la présence de « back doors » légales permettant les écoutes (ou interception de correspondances électroniques) par les autorités françaises ou, pourquoi pas, le déploiement de l'armada née de la loi Renseignement.
L’article 226-3 du Code pénal soumet déjà à autorisation la commercialisation et la détention d’équipements réseau pouvant permettre de porter atteinte au secret des correspondances électroniques, dont les stations de base. Une autorisation « opérateur » qui s’ajoute donc à celle bientôt exigée des fabricants dans la loi « anti-Huawei ». La loi Renseignement offre d'ailleurs aux services la possibilité de recueillir directement au moyen des équipements concernés les données de connexion (identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur, données de géolocalisation) ou d'effectuer des interceptions administratives.
Un rapport est programmé à compter du 1er juillet 2020. Le Gouvernement détaillera chaque année l’application de la présente loi, en détaillant ses impacts notamment sur le rythme et le coût des déploiements des équipements de dernières générations.
