Aux seules fins de garantir la défense et la sécurité nationale, lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information des autorités publiques ou des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d'adaptation au droit de l'Union européenne dans le domaine de la sécurité, l'autorité nationale de sécurité des systèmes d'information peut mettre en œuvre, sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'une personne mentionnée aux 1 ou 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique ou d'un opérateur de centre de données :
1° Des dispositifs mettant en œuvre des marqueurs techniques ;
2° Ou, sur avis conforme de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, des dispositifs permettant le recueil de données sur le réseau d'un opérateur de communications électroniques ou sur le système d'information d'une personne mentionnée aux mêmes 1 ou 2 ou d'un opérateur de centre de données affecté par la menace.
Ces dispositifs sont mis en œuvre pour une durée et dans une mesure strictement nécessaires à la caractérisation de la menace et aux seules fins de détecter et de caractériser des événements susceptibles d'affecter la sécurité des systèmes d'information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent code ou à l'article 5 de la loi n° 2018-133 du 26 février 2018 précitée et des opérateurs publics ou privés participant aux systèmes d'information de ces entités.
Les agents de l'autorité nationale de sécurité des systèmes d'information individuellement désignés et spécialement habilités sont autorisés, aux seules fins de prévenir et de caractériser la menace affectant les systèmes d'information des entités mentionnées au premier alinéa du présent article, à procéder au recueil des données et à l'analyse des seules données techniques pertinentes, à l'exclusion de toute autre exploitation.
Les données directement utiles à la prévention et à la caractérisation des menaces ne peuvent être conservées plus de deux ans. Les autres données recueillies par les dispositifs mentionnés aux 1° et 2° sont détruites dans un délai bref, précisé par voie réglementaire.
Un décret en Conseil d'Etat, pris après avis de la Commission nationale de l'informatique et des libertés et de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, définit les modalités d'application du présent article. Il détermine notamment les informations et les catégories de données conservées en application du 2°.