C’était l’une des mesures phares de la loi de programmation militaire (LPM) 2019 et si l’Anssi se réjouissait de cette possibilité, elle n’était pas du goût des défenseurs de la liberté sur Internet. La Quadrature du Net, la fédération FDN et Franciliens.net avaient déposé en 2019 un recours contre les décrets d’application relatifs à l’article 34 de la LPM 2019. Cet article prévoit que les opérateurs puisse mettre en œuvre des sondes de détections sur leurs réseaux de télécommunication et le cas échéant, autorise l’Anssi à demander aux opérateurs de rechercher certains marqueurs techniques en cas de menace visant les systèmes d’informations.
Pour la Quadrature du net, cette disposition constituait une extension des « pouvoirs de surveillance du net » pour l’agence. Dans un post de blog daté de 2019, la Quadrature exprimait ses griefs à l’égard de cet article : l’association dénonçait un texte confus sur ses objectifs, qui n’offrait pas de définition exacte des « marqueurs techniques » ou des « menaces » visées par ces dispositifs. De plus, la Quadrature soulignait l’absence de contrôle effectif de ces mesures : la loi prévoit que ce rôle soit dévolu à l’Arcep, mais la Quadrature estime que la loi ne prévoit aucune mesure permettant à l’Arcep d’exercer effectivement ce contrôle. Enfin, la Quadrature estime également que les personnes affectées par cette surveillance n’ont aucun moyen de contester ces mesures, quand bien même elles se révéleraient infondées. Des arguments qui ont poussé les trois associations à saisir le conseil d’État et à lui demander d’annuler les décrets d’applications encadrant la mise en place de ces sondes.
Pour le Conseil d’État, ça ne suffit pas
Mais cela n’a pas suffi à convaincre le Conseil d’État : dans une décision publiée au journal officiel le 30 décembre, celui ci a estimé que les objections soulevées par les trois associations n’étaient pas fondées. Sur la question des menaces et des marqueurs techniques, le Conseil d’État renvoie ainsi aux définitions prévues par le code des postes et des communications électroniques : les marqueurs sont ainsi les « éléments techniques caractéristiques d’un mode opératoire d’attaque informatique, permettant de détecter une activité malveillante ou d’identifier une menace » tandis que les menaces sont définies comme « toute occurrence identifiée de l’état d’un réseau indiquant une violation possible de la politique de sécurité de l’information ou un échec des mesures de sécurité ou encore une situation inconnue jusqu’alors et pouvant relever de la sécurité de l’information. »
Le Conseil d’État estime également que l’Arcep dispose effectivement des pouvoirs suffisant pour contrôler l’application de ces dispositions : là aussi, le code des postes et des communications électroniques précise selon le Conseil d’État les informations qui doivent être transmises à l’Arcep pour lui permettre d’exercer son contrôle, et l’autorité dispose d’un pouvoir de recommandation ou d’injonction pour agir en cas d’excès de l’Anssi. Le Conseil d’État rappelle également que la CNIL dispose d’un pouvoir de contrôle sur les dispositifs de détection mis en œuvre en vertu de ce texte.
Enfin, le Conseil d’État estime que « les dispositions contestées ne font nullement obstacle à l’exercice par les personnes concernées ou les opérateurs des voies de recours de droit commun. ».
L’Anssi et les opérateurs pourront donc continuer de déployer des sondes de détection sans s’inquiéter d’une éventuelle décision de justice qui viendrait les en empêcher. En 2020, le directeur de l’agence avait ainsi fait savoir que ces dispositifs avaient été déployés en phase expérimentale dans le courant de l’année 2019, et assurait que la collaboration avec les opérateurs de télécommunication se passait très bien sur ce sujet. Mais depuis, pas plus d’information sur cette collaboration ni sur ses résultats.
