I. - Contexte de la saisine
L'article L. 33-10 du CPCE, créé par l'ordonnance n° 2011-1012 susvisée, prévoit que le ministre chargé des communications électroniques peut imposer aux opérateurs de communications électroniques de soumettre leurs installations, réseaux et services à des contrôles de sécurité et d'intégrité, dont les frais sont supportés par les opérateurs.
Le projet de décret en Conseil d'Etat soumis pour avis à l'Autorité et pris en application de l'article L. 33-10 du CPCE constitue le dernier acte de la transposition du dernier « paquet télécom » des directives communautaires fixant le cadre réglementaire applicable au secteur des communications électroniques.
Plusieurs catégories d'organismes sont prévues pour la réalisation de ces contrôles, sur demande et sur choix du ministre chargé des communications électroniques :
― l'Agence nationale de la sécurité des systèmes d'information ;
― ou un autre service de l'Etat compétent ;
― ou un organisme qualifié indépendant désigné par le ministre ; à ce titre, le ministre chargé des communications électroniques prévoit de référencer une liste d'entreprises ayant candidaté auprès de celui-ci et remplissant une série de critères, listés dans le projet de décret.
L'objectif est de vérifier chez l'opérateur qui fait l'objet du contrôle les dispositions du a du I de l'article L. 33-1 du CPCE et « notamment celles prises pour assurer la sécurité de son réseau et de ses services à un niveau adapté au risque existant, pour assurer l'intégrité de son réseau et garantir la continuité des services fournis. »
Le ministre décide des contrôles à mener, au maximum une fois par année civile et par opérateur, hors exceptions ; notamment dans le cas où un incident significatif a été relevé sur le réseau de l'opérateur. Lorsqu'un contrôle est décidé, l'opérateur concerné est informé de ses objectifs, du délai d'exécution d'un maximum de six mois ainsi que de la catégorie d'organisme en charge de l'audit. Si le contrôle doit être réalisé par un organisme qualifié indépendant, l'opérateur peut choisir cet organisme dans la liste tenue par le ministre.
A l'issue du contrôle, l'organisme remet un rapport, accompagné de recommandations visant à améliorer la sécurité et l'intégrité du réseau et des services de l'opérateur.
Le projet de décret prévoit, enfin, une information de l'Autorité, en amont et en aval des contrôles, sur leur calendrier et leurs principales conclusions.
II. - Observations de l'Autorité
En matière de sécurité des réseaux, l'Autorité veille notamment au respect par les opérateurs, des dispositions prévues au a de l'article L. 33-1 du code des postes et des communications électroniques, portant sur les « conditions de permanence, de qualité, de disponibilité, de sécurité et d'intégrité du réseau et du service [...] », ainsi que des dispositions de l'article D. 98-5. L'Autorité a par ailleurs le pouvoir de collecter « toute information nécessaire pour évaluer la sécurité et l'intégrité des réseaux et des services », comme prévu par l'article D. 98-11.
Le projet de décret prévoit que le ministère chargé des communications électroniques a la responsabilité, d'une part, du suivi du déroulement des audits et, d'autre part, du suivi du respect, par les opérateurs, des éventuelles recommandations que pourrait formuler un organisme d'audit : « le ministre chargé des communications électroniques peut imposer à un opérateur d'autres contrôles [...] lorsque des défauts ou des vulnérabilités dans les mesures prises pour assurer la sécurité et l'intégrité des installations, réseaux ou services de l'opérateur ont été constatés à l'occasion d'un précédent contrôle ».
L'Autorité observe que les dispositions de l'article L. 33-10 du CPCE n'ont pas conféré au ministre de pouvoir visant à sanctionner un quelconque non-respect de leurs obligations en matière de sécurité des réseaux par les opérateurs.
Ainsi, en cas de refus d'un opérateur de se soumettre à un contrôle dans les conditions prévues par le projet de décret ou de non prise en charge des défauts ou des vulnérabilités révélés par un précédent audit, le ministre ne pourrait sanctionner lui-même l'opérateur. En revanche, l'Autorité rappelle que l'article L. 36-11 du CPCE précise que l'ARCEP peut « soit d'office, soit à la demande du ministre chargé des communications électroniques [...] sanctionner les manquements qu'elle constate, de la part des exploitants de réseaux ou des fournisseurs de services de communications électroniques, aux dispositions législatives et réglementaires afférentes à leur activité ou aux décisions prises pour en assurer la mise en œuvre ». Il appartiendrait ainsi au ministre de saisir l'ARCEP d'éventuels manquements des opérateurs aux obligations leur incombant au titre du code des postes et des communications électroniques et des textes pris pour son application.
III. - Conclusion
Au bénéfice des observations qui précèdent, l'Autorité émet un avis favorable sur le projet de décret qui lui a été soumis.
Fait à Paris, le 28 juin 2012.