Intervention de Sabine Thillaye

Je rappelle que l'objectif de cet article n'est absolument pas la captation de données à caractère personnel, mais qu'il vise uniquement à mieux détecter une possible attaque, en récupérant les configurations et le détail des codes malveillants utilisés par l'attaquant, les données qu'il a dérobées, ses journaux de connexion, ainsi que les éléments permettant de déchiffrer le trafic malveillant – toutes choses impossibles à détecter avec de simples marqueurs techniques.

Toutefois, j'entends vos inquiétudes et je veux vous dire que des garanties sont déjà prévues. Il y aura, d'abord, un ciblage préalable de la machine compromise faisant l'objet de la copie. Concrètement, l'Anssi devra motiver sa demande, en fournissant un dossier circonstancié analysant au préalable la menace qui justifie le recours à la technique de recueil. Je pense aussi au contrôle de l'application de ces nouvelles mesures par l'Arcep, qui sera saisie en amont de tout enclenchement du dispositif et pourra, si elle considère que c'est justifié, refuser à l'Anssi l'engagement de la procédure. Par ailleurs, la durée de conservation des données utiles a été réduite à deux ans, au lieu de dix.

J'ai sollicité l'Anssi, afin de connaître les volumes estimés de recours à l'article. S'agissant de dispositions enclenchées uniquement pour les menaces graves sur les administrations publiques et opérateurs stratégiques, l'Anssi estime que, sur une année, elle pourrait procéder à une cinquantaine de copies de serveurs et à une vingtaine de captations de flux réseaux, ce qui paraît proportionné à l'objectif de lutte contre les menaces à la sécurité nationale.

Dans la continuité du dispositif existant, plusieurs garanties sont maintenues. Les demandes ne portent que sur le périmètre d'opérateurs présentant une sensibilité particulière – autorités publiques, opérateurs d'importance vitale (OIV) et opérateurs de services essentiels (OSE) – et pour une durée limitée, et elles ont toujours pour finalité la prévention et la caractérisation des menaces. Les données ne seront obtenues et exploitées que par des agents individuellement désignés et spécialement habilités – nous reviendrons sur cette question. Enfin, la destruction immédiate des données par l'Anssi est prévue par notre droit, dès lors que celles-ci sont jugées inutiles pour la prévention et la caractérisation de la menace.

Je suis convaincue de l'utilité de cet article et ne suis donc pas favorable à sa suppression. Toutefois, pour répondre à vos inquiétudes, j'ai souhaité apporter quelques modifications et garanties complémentaires : d'abord, en exigeant des précisions sur le type de données faisant l'objet d'un recueil ; ensuite, en prévoyant la consultation de la Cnil avant la prise du décret ; enfin, en circonscrivant l'utilisation de l'article aux situations les plus graves menaçant la sécurité nationale.