I.-Le code des postes et des communications électroniques est ainsi modifié :
1° La section 1 du chapitre II du titre Ier du livre II est complétée par un article L. 33-14 ainsi rédigé :
« Art. L. 33-14.-Pour les besoins de la sécurité et de la défense des systèmes d'information, les opérateurs de communications électroniques peuvent recourir, sur les réseaux de communications électroniques qu'ils exploitent, après en avoir informé l'autorité nationale de sécurité des systèmes d'information, à des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés.
« A la demande de l'autorité nationale de sécurité des systèmes d'information, lorsque celle-ci a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information, les opérateurs de communications électroniques ayant mis en œuvre les dispositifs prévus au premier alinéa procèdent, aux fins de prévenir la menace, à leur exploitation, en recourant, le cas échéant, à des marqueurs techniques que cette autorité leur fournit.
« Par dérogation au II de l'article L. 34-1, les opérateurs de communications électroniques sont autorisés à conserver, pour une durée maximale de six mois, les données techniques strictement nécessaires à la caractérisation d'un évènement détecté par les dispositifs mentionnés au premier alinéa du présent article. Les données recueillies dans le cadre de l'exploitation de ces dispositifs autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites.
« Lorsque sont détectés des événements susceptibles d'affecter la sécurité des systèmes d'information, les opérateurs de communications électroniques en informent sans délai l'autorité nationale de sécurité des systèmes d'information.
« A la demande de l'autorité nationale de sécurité des systèmes d'information, les opérateurs de communications électroniques informent leurs abonnés de la vulnérabilité de leurs systèmes d'information ou des atteintes qu'ils ont subies.
« Les modalités d'application du présent article sont précisées par décret en Conseil d'Etat. Celui-ci détermine notamment les catégories de données pouvant être conservées par les opérateurs de communications électroniques. » ;
2° L'article L. 36-7 est complété par un 12° ainsi rédigé :
« 12° Est chargée, en application de l'article L. 2321-5 du code de la défense, de veiller au respect par l'autorité nationale de sécurité des systèmes d'information des conditions d'application de l'article L. 2321-2-1 et du deuxième alinéa de l'article L. 2321-3 du même code. » ;
3° La section 1 du chapitre IV du même titre Ier est complétée par un article L. 36-14 ainsi rétabli :
« Art. L. 36-14.-La formation de règlement des différends, de poursuite et d'instruction mentionnée à l'article L. 130 est compétente pour exercer la mission mentionnée au 12° de l'article L. 36-7. Pour l'accomplissement de cette mission, la formation de règlement des différends, de poursuite et d'instruction :
« 1° Est informée sans délai, par l'autorité nationale de sécurité des systèmes d'information, des mesures mises en œuvre en application de l'article L. 2321-2-1 du code de la défense ainsi que des demandes formulées en application du deuxième alinéa de l'article L. 2321-3 du même code ;
« 2° Dispose d'un accès complet et permanent aux données recueillies ou obtenues en application des mêmes articles L. 2321-2-1 et L. 2321-3 ainsi qu'aux dispositifs de traçabilité des données collectées et peut solliciter de l'autorité nationale de sécurité des systèmes d'information tous les éléments nécessaires à l'accomplissement de sa mission ;
« 3° Peut, à la demande de son président, se faire assister par des experts individuellement désignés et habilités au secret de la défense nationale ;
« 4° Peut adresser, à tout moment, à l'autorité nationale de sécurité des systèmes d'information toute recommandation qu'elle juge nécessaire aux fins d'assurer la régularité des mesures mises en œuvre en application des dispositions mentionnées au 1° du présent article. Elle est informée, sans délai, des suites données à ces recommandations.
« Lorsque l'autorité nationale de sécurité des systèmes d'information ne donne pas suite à ces recommandations ou que la formation de règlement des différends, de poursuite et d'instruction estime insuffisantes les suites données à ces recommandations, la formation peut enjoindre à l'autorité nationale de sécurité des systèmes d'information d'interrompre les opérations ou de détruire les données mentionnés aux articles L. 2321-2-1 et L. 2321-3 du code de la défense.
« Le Conseil d'Etat peut être saisi par le président de l'Autorité de régulation des communications électroniques et des postes d'un recours lorsque l'autorité nationale de sécurité des systèmes d'information ne se conforme pas à une injonction qui lui est adressée en vertu du présent article.
« L'Autorité de régulation des communications électroniques et des postes remet chaque année au Gouvernement et au Parlement, dans le respect du secret de la défense nationale, un rapport d'activité sur les conditions d'exercice et les résultats du contrôle exercé au titre du présent article.
« Elle peut adresser au Premier ministre, au président de l'Assemblée nationale et au président du Sénat, à tout moment, les observations qu'elle juge utiles.
« Les modalités d'application du présent article sont précisées par décret en Conseil d'Etat. » ;
4° Le titre II du livre III est ainsi modifié :
a) Après le septième alinéa de l'article L. 130, il est inséré un alinéa ainsi rédigé :
« La formation de règlement des différends, de poursuite et d'instruction est compétente pour exercer la mission mentionnée au 12° de l'article L. 36-7, dans les conditions prévues à l'article L. 36-14. » ;
b) Le premier alinéa de l'article L. 131 est complété par une phrase ainsi rédigée : « Lorsque l'accomplissement de leur mission l'exige, ces membres sont habilités au secret de la défense nationale. » ;
c) L'article L. 132 est complété par un alinéa ainsi rédigé :
« Lorsque l'accomplissement de leur mission l'exige, ces personnels sont habilités au secret de la défense nationale. »
II.-Le chapitre Ier du titre II du livre III de la deuxième partie du code de la défense est ainsi modifié :
1° Après l'article L. 2321-2, sont insérés des articles L. 2321-2-1 et L. 2321-2-2 ainsi rédigés :
« Art. L. 2321-2-1.-Lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 ou des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, l'autorité nationale de sécurité des systèmes d'information peut mettre en œuvre, sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'une personne mentionnée aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, des dispositifs mettant en œuvre des marqueurs techniques aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques et opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée. Ces dispositifs sont mis en œuvre pour la durée et dans la mesure strictement nécessaires à la caractérisation de la menace.
« Les agents de l'autorité nationale de sécurité des systèmes d'information individuellement désignés et spécialement habilités sont autorisés, aux seules fins de prévenir et de caractériser la menace affectant les systèmes d'information des autorités publiques ou des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée, à procéder au recueil et à l'analyse des seules données techniques pertinentes, à l'exclusion de toute autre exploitation.
« Les données techniques recueillies directement par l'autorité nationale de sécurité des systèmes d'information en application du premier alinéa du présent article ou obtenues en application du deuxième alinéa de l'article L. 2321-3 ne peuvent être conservées plus de dix ans.
« Les données recueillies autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites.
« Un décret en Conseil d'Etat définit les modalités d'application du présent article.
« Art. L. 2321-2-2.-Est puni de 150 000 € d'amende le fait, pour un opérateur de communications électroniques ou ses agents ou pour une personne mentionnée au premier alinéa de l'article L. 2321-2-1, de faire obstacle à la mise en œuvre, par l'autorité nationale de sécurité des systèmes d'information, des dispositifs mentionnés au même premier alinéa.
« Les personnes physiques coupables de cette infraction encourent également l'interdiction, pour une durée de cinq ans au plus, d'exercer l'activité professionnelle à l'occasion de l'exercice de laquelle l'infraction a été commise. » ;
2° L'article L. 2321-3 est ainsi modifié :
a) Les mots : « de l'Etat et » sont remplacés par les mots : « des autorités publiques, » ;
b) Après la référence : « L. 1332-2 », sont insérés les mots : « et des opérateurs mentionnés à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité » ;
c) Les mots : « la compromission » sont remplacés par les mots : « l'atteinte » ;
d) Sont ajoutés deux alinéas ainsi rédigés :
« Lorsque l'autorité nationale de sécurité des systèmes d'information est informée, en application de l'article L. 33-14 du même code, de l'existence d'un événement affectant la sécurité des systèmes d'information d'une autorité publique ou d'un opérateur mentionné aux articles L. 1332-1 et L. 1332-2 du présent code ou d'un opérateur mentionné à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, les agents mentionnés au premier alinéa du présent article peuvent obtenir des opérateurs de communications électroniques les données techniques strictement nécessaires à l'analyse de cet événement. Ces données ne peuvent être exploitées qu'aux seules fins de caractériser la menace affectant la sécurité de ces systèmes, à l'exclusion de toute autre exploitation.
« Les surcoûts identifiables et spécifiques des prestations assurées par les opérateurs de communications électroniques à la demande de l'autorité nationale de sécurité des systèmes d'information en application du premier alinéa du présent article sont compensés selon les modalités prévues au III de l'article L. 34-1 du code des postes et des communications électroniques. » ;
3° Il est ajouté un article L. 2321-5 ainsi rédigé :
« Art. L. 2321-5.-L'Autorité de régulation des communications électroniques et des postes est chargée de veiller au respect par l'autorité nationale de sécurité des systèmes d'information des conditions d'application de l'article L. 2321-2-1 et du deuxième alinéa de l'article L. 2321-3. »