I.-Le chapitre Ier du titre II du livre III de la deuxième partie du code de la défense est ainsi modifié :
1° L'article L. 2321-2-1 est ainsi rédigé :
« Art. L. 2321-2-1.-Aux seules fins de garantir la défense et la sécurité nationale, lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques ou des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, l'autorité nationale de sécurité des systèmes d'information peut mettre en œuvre, sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'une personne mentionnée aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ou d'un opérateur de centre de données :
« 1° Des dispositifs mettant en œuvre des marqueurs techniques ;
« 2° Ou, sur avis conforme de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, des dispositifs permettant le recueil de données sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'une personne mentionnée aux mêmes 1 ou 2 ou d'un opérateur de centre de données affecté par la menace.
« Ces dispositifs sont mis en œuvre pour une durée et dans une mesure strictement nécessaires à la caractérisation de la menace et aux seules fins de détecter et de caractériser des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée et des opérateurs publics ou privés participant aux systèmes d'information de ces entités.
« Les agents de l'autorité nationale de sécurité des systèmes d'information individuellement désignés et spécialement habilités sont autorisés, aux seules fins de prévenir et de caractériser la menace affectant les systèmes d'information des entités mentionnées au premier alinéa du présent article, à procéder au recueil des données et à l'analyse des seules données techniques pertinentes, à l'exclusion de toute autre exploitation.
« Les données directement utiles à la prévention et à la caractérisation des menaces ne peuvent être conservées plus de deux ans. Les autres données recueillies par les dispositifs mentionnés aux 1° et 2° sont détruites dans un délai bref, précisé par voie réglementaire.
« Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, définit les modalités d'application du présent article. Il détermine notamment les informations et les catégories de données conservées en application du 2°. » ;
2° L'article L. 2321-3 est ainsi modifié :
a) Au premier alinéa, les mots : « et assermentés » sont supprimés, après le mot : « Etat », sont insérés les mots : « et dont la liste est transmise à l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse » et, après la seconde occurrence du mot : « électroniques, », sont insérés les mots : « et des personnes mentionnées au 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, en application du II du même article 6, » ;
b) Les deux derniers alinéas sont remplacés par quatre alinéas ainsi rédigés :
« Lorsque l'autorité nationale de sécurité des systèmes d'information est informée, en application de l'article L. 33-14 du code des postes et des communications électroniques, de l'existence d'un événement affectant la sécurité des systèmes d'information d'une autorité publique, d'un opérateur mentionné aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée ou d'un opérateur public ou privé participant aux systèmes d'information d'une des entités mentionnées au présent alinéa, les agents mentionnés au premier alinéa du présent article peuvent obtenir des opérateurs de communications électroniques les données techniques strictement nécessaires à l'analyse de cet événement. Ces données ne peuvent être exploitées qu'aux seules fins de caractériser la menace affectant la sécurité de ces systèmes. Elles ne peuvent être conservées plus de cinq ans.
« Les surcoûts identifiables et spécifiques des prestations suivantes effectuées à la demande de l'autorité nationale de sécurité des systèmes d'information sont compensés selon des modalités prévues par décret en Conseil d'Etat :
« 1° Les prestations assurées par les opérateurs de communications électroniques en application du premier alinéa du présent article, dans les conditions prévues au VI de l'article L. 34-1 du code des postes et des communications électroniques, et du deuxième alinéa du présent article ;
« 2° Les prestations assurées par les personnes mentionnées au 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 précitée. » ;
3° A la fin de l'article L. 2321-5, les mots : « de l'article L. 2321-2-1 et du deuxième alinéa de l'article L. 2321-3 » sont remplacés par les mots : « des articles L. 2321-2-1 et L. 2321-2-3, du deuxième alinéa de l'article L. 2321-3 et de l'article L. 2321-3-1 ».
II.-Le titre Ier du livre II du code des postes et des communications électroniques est ainsi modifié :
1° L'article L. 33-14 est ainsi modifié :
a) Les deux premiers alinéas sont ainsi rédigés :
« Pour les besoins de la sécurité et de la défense des systèmes d'information, les opérateurs, mentionnés à l'article L. 1332-1 du code de la défense, ainsi désignés en vertu de leur activité d'exploitant d'un réseau de communications électroniques ouvert au public, recourent, sur les réseaux de communications électroniques qu'ils exploitent, à des dispositifs mettant en œuvre des marqueurs techniques fournis par l'autorité nationale de sécurité des systèmes d'information aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés. Ces dispositifs sont mis en œuvre pour répondre aux demandes de l'autorité nationale de sécurité des systèmes d'information.
« Lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information, l'autorité nationale de sécurité des systèmes d'information demande aux opérateurs de communications électroniques d'exploiter les marqueurs techniques qu'elle fournit. » ;
b) A la première phrase du troisième alinéa, les mots : « de communications électroniques » sont remplacés par les mots : « mentionnés au premier alinéa du présent article » et, à la fin, les mots : « premier alinéa du présent article » sont remplacés par les mots : « même premier alinéa » ;
c) Au quatrième alinéa, les mots : « de communications électroniques » sont remplacés par les mots : « mentionnés audit premier alinéa » ;
d) A l'avant-dernier alinéa, les mots : « de communications électroniques » sont remplacés par les mots : « mentionnés au même premier alinéa » ;
e) La seconde phrase du dernier alinéa est ainsi modifiée :
-à la fin, les mots : « de communications électroniques » sont remplacés par les mots : « mentionnés au premier alinéa » ;
-sont ajoutés les mots : «, les modalités de compensation des surcoûts identifiables et spécifiques des prestations assurées à ce titre par les opérateurs, à la demande de l'autorité nationale de sécurité des systèmes d'information, ainsi que les garanties d'une juste rémunération pour la mise en place des dispositifs mentionnés au même premier alinéa » ;
2° Au 12° de l'article L. 36-7, les mots : « de l'article L. 2321-2-1 et du deuxième alinéa de l'article L. 2321-3 » sont remplacés par les mots : « des articles L. 2321-2-1 et L. 2321-2-3, du deuxième alinéa de l'article L. 2321-3 et de l'article L. 2321-3-1 » ;
3° L'article L. 36-14 est ainsi modifié :
a) Au début du premier alinéa, est ajoutée la mention : « I.-» ;
b) Au 1°, les mots : « de l'article L. 2321-2-1 » sont remplacés par les mots : « des articles L. 2321-2-1 et L. 2321-2-3 » ;
c) Au 2°, les mots : « mêmes articles L. 2321-2-1 et L. 2321-3 » sont remplacés par les mots : « articles L. 2321-2-1 et L. 2321-2-3, du deuxième alinéa de l'article L. 2321-3 et de l'article L. 2321-3-1 dudit code, » ;
d) Au sixième alinéa, le mot : « mentionnés » est remplacé par le mot : « mentionnées » ;
e) Après le septième alinéa, il est inséré un II ainsi rédigé :
« II.-Sont subordonnés à l'avis conforme de la formation mentionnée au I du présent article :
« 1° Le renouvellement des mesures de redirection d'un nom de domaine mentionnées au troisième alinéa du III de l'article L. 2321-2-3 du code de la défense ;
« 2° La mise en œuvre des dispositifs mentionnés au 2° de l'article L. 2321-2-1 du même code. » ;
f) Au début du huitième alinéa, est ajoutée la mention : « III.-».