Après en avoir délibéré le 9 juillet 2024,
1. Contexte de la saisine
L'article L. 36-5 du code des postes et des communications électroniques prévoit que l'ARCEP est consultée sur les projets de loi, de décret ou de règlement relatifs au secteur des communications électroniques, et participe à leur mise en œuvre.
Par courrier en date du 17 juin 2024, le secrétaire général de la défense et de la sécurité nationale a sollicité l'avis de l'ARCEP sur trois projets d'arrêtés fixant les tarifs des prestations réalisées à la demande de l'ANSSI pour l'application des dispositifs prévus par le volet cybersécurité de la loi de programmation militaire pour les années 2024 à 2030.
2. Cadre juridique
Les trois projets d'arrêtés soumis à l'avis de l'ARCEP font partie des textes d'application de la loi n° 2023-703 du 1er août 2023 relative à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense, et en particulier, de ses articles 64 et 67 qui ont créé les articles L. 2321-2-3 du code de la défense et modifié les articles L. 2321-2-1 et L. 2321-3 de ce même code. Cette loi a notamment introduit ou modifié les possibilités pour l'ANSSI de :
- mettre en œuvre des sondes de circonstance sur le système d'information d'un opérateur de communications électroniques (OCE), d'un hébergeur ou d'un opérateur de centre de données, réaliser une copie physique de l'équipement et capturer l'ensemble des communications électroniques émises et reçues par cet équipement (1) ;
- prescrire des mesures graduelles de filtrage des noms de domaine aux fournisseurs de résolution DNS, et aux offices et bureaux d'enregistrement de noms de domaine afin de neutraliser l'utilisation dévoyée d'un nom de domaine et prévenir les potentielles victimes de la vulnérabilité ou de l'atteinte de leurs systèmes d'information. L'ANSSI peut ainsi demander à ces acteurs de bloquer, enregistrer, renouveler, suspendre, transférer et rediriger un nom de domaine concerné par une menace susceptible de porter atteinte à la sécurité nationale (2) ;
- imposer aux OCE et hébergeurs de lui transmettre les coordonnées de leurs abonnés potentiellement victimes d'une attaque (3).
Les trois projets d'arrêtés objets de cette saisine sont pris en application des articles R. 2321-1-6, R. 2321-1-11 et R. 2321-1-14 du code de la défense modifiés par le décret n° 2024-421 du 10 mai 2024 (4). Ces articles prévoient que les prestations des opérateurs de communications électroniques, des hébergeurs, des opérateurs de centres de données, des fournisseurs de systèmes de résolution de noms de domaine ainsi que de l'office d'enregistrement et des bureaux d'enregistrement de noms de domaine puissent être compensées sur présentation d'une facture du montant de la prestation fixé par arrêté. Dans le cas d'une prestation non décrite dans ces arrêtés, les articles R. 2321-1-6 et R. 2321-1-11 du code de la défense prévoient que la compensation est déterminée sur présentation d'une facture et d'un document assorti des justificatifs nécessaires permettant d'établir le nombre et la nature des interventions nécessaires non couvertes par les arrêtés tarifaires.
Le projet d'arrêté relatif à la mise en œuvre des sondes de circonstance, telle que prévue à l'article L. 2321-2-1 du code de la défense, reprend les trois catégories de prestations qui figuraient dans l'arrêté tarifaire du 18 février 2020 (5) et en introduit une nouvelle. Les catégories de prestations relatives à l'installation du matériel nécessaire à la mise en œuvre de dispositifs de détection, au fonctionnement d'un dispositif de détection et à l'enlèvement du matériel sont ainsi reprises, tandis qu'une catégorie de prestations relative au recueil de données sur un équipement affecté par la menace est introduite.
Le projet d'arrêté relatif au blocage, à l'enregistrement, au renouvellement, à la suspension ou au transfert d'un nom de domaine, tels que prévus à l'article L. 2321-2-3 du code de la défense, instaure trois catégories de prestations. La première concerne le blocage et la redirection de noms de domaine par les fournisseurs de systèmes de résolution de noms de domaine. La deuxième est liée à la suspension et au transfert de noms de domaine par l'office d'enregistrement et les bureaux d'enregistrement. La troisième se rapporte à l'enregistrement d'un nom de domaine auprès des bureaux d'enregistrement.
Le projet d'arrêté relatif à la transmission des coordonnées des abonnés potentiellement victimes d'une attaque, telle que définie à l'article L. 2321-3 du code de la défense, reprend l'unique catégorie de prestations déjà introduite par l'arrêté du 28 septembre 2015 fixant la tarification applicable à la transmission par les opérateurs de communications électroniques des informations mentionnées à l'article L. 2321-3 du code de la défense.
3. Observations de l'ARCEP
L'ARCEP prend acte de la fixation, par ces trois projets d'arrêtés, des catégories de prestations et de leurs compensations, qui apportera la transparence et la lisibilité nécessaires aux opérateurs de communications électroniques, aux hébergeurs, aux opérateurs de centres de données, aux fournisseurs de systèmes de résolution de noms de domaine ainsi qu'à l'office d'enregistrement et aux bureaux d'enregistrement de noms de domaine.
La compensation devant permettre la couverture des surcoûts liés à la mise en œuvre de ces obligations, l'ARCEP invite le Gouvernement à s'appuyer sur les retours d'expériences des acteurs concernés qu'il juge pertinents, pour adapter, le cas échéant, les niveaux de ces compensations.
Le présent avis sera transmis au secrétaire général de la défense et de la sécurité nationale et sera publié au Journal officiel de la République française.