L'article D. 98-5 du même code est modifié ainsi qu'il suit :
I. ― Le premier alinéa est complété par les mots : « et sur la sécurité et l'intégrité des réseaux et services ».
II. ― Le II est ainsi modifié :
1° Les deux premiers alinéas sont remplacés par les dispositions suivantes :
« Sans préjudice des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés, l'opérateur met en œuvre une politique de sécurité relative au traitement des données à caractère personnel et prend les mesures nécessaires garantissant que seules des personnes autorisées puissent avoir accès aux données à caractère personnel dans les cas prévus par des dispositions législatives et réglementaires et que les données à caractère personnel stockées ou transmises soient protégées contre la destruction accidentelle ou illicite, la perte ou l'altération accidentelles et le stockage, le traitement, l'accès et la divulgation non autorisés ou illicites. » ;
2° Au deuxième alinéa du 3, après les mots : « cabines téléphoniques publiques », sont insérés les mots : « ou d'autres points d'accès au service téléphonique au public ».
III. ― Le III est remplacé par les dispositions suivantes :
« III. ― Sécurité et intégrité des réseaux et des services.
L'opérateur prend toutes les mesures appropriées pour assurer l'intégrité de ses réseaux et garantir la continuité des services fournis.
L'opérateur prend toutes les dispositions techniques et organisationnelles nécessaires pour assurer la sécurité de son réseau et de ses services à un niveau adapté au risque existant. En particulier, des mesures sont prises pour prévenir ou limiter les conséquences des atteintes à la sécurité pour les utilisateurs et les réseaux interconnectés.
L'opérateur prend les mesures utiles pour assurer la sécurité et l'intégrité des dispositifs intégrés aux équipements terminaux nécessaires à l'identification et à l'authentification des utilisateurs pour la fourniture de services de communications électroniques.
Il se conforme aux prescriptions techniques en matière de sécurité éventuellement édictées par arrêté du ministre chargé des communications électroniques. Ce dernier peut se faire communiquer à titre confidentiel les dispositions prises pour la sécurisation du réseau.
L'opérateur informe ses clients des services existants permettant, le cas échéant, de renforcer la sécurité des communications.
Lorsqu'il existe un risque particulier de violation de la sécurité du réseau, l'opérateur informe les abonnés de ce risque ainsi que de tout moyen éventuel d'y remédier et du coût que cela implique.
Dès qu'il en a connaissance, l'opérateur informe le ministre de l'intérieur de toute atteinte à la sécurité ou perte d'intégrité ayant un impact significatif sur le fonctionnement de ses réseaux ou de ses services. Ce dernier en informe le ministre chargé des communications électroniques ainsi que les services de secours et de sécurité susceptibles d'être concernés. Lorsque l'atteinte à la sécurité ou la perte d'intégrité résulte ou est susceptible de résulter d'une agression informatique, l'opérateur en informe également l'autorité nationale de défense des systèmes d'information.
Dès que l'opérateur a mené une analyse des causes et des conséquences des atteintes à la sécurité ou pertes d'intégrité, il en rend compte au ministre chargé des communications électroniques et à l'autorité nationale de défense des systèmes d'information dans le cas où cette dernière avait été informée ainsi que des mesures prises pour éviter leur renouvellement. Le ministre chargé des communications électroniques en informe les ministres intéressés.
Les administrations veillent à la confidentialité des informations qui leur sont communiquées. Toutefois, lorsqu'il est d'utilité publique de divulguer les faits, le ministre de l'intérieur peut en informer le public ou demander à l'opérateur en cause de le faire.
Lorsque l'atteinte à la sécurité ou la perte d'intégrité est susceptible d'avoir un impact significatif dans un ou des autres Etats membres de l'Union européenne, le ministre chargé des communications électroniques, en liaison avec l'autorité nationale de défense des systèmes d'information, informe les autorités compétentes des Etats membres et l'Agence européenne chargée de la sécurité des réseaux et de l'information des atteintes survenues.
Ces atteintes à la sécurité ou pertes d'intégrité font l'objet d'un rapport annuel remis par le ministre chargé des communications électroniques à la Commission européenne et à l'Agence européenne chargée de la sécurité des réseaux et de l'information. »