La proposition de loi sur la sécurité des réseaux se précise à l’Assemblée nationale, avec le choix d'un rapporteur. Le texte concentre toutefois plusieurs critiques.

La proposition de loi sur la sécurité des réseaux de télécommunications mobiles, qui apparaît comme une manière de contrôler plus étroitement les activités de Huawei en France, vient de franchir une étape dans son parcours législatif. le mardi 5 mars, le groupe La République en marche a en effet choisi le député Éric Bothorel pour être le rapporteur du texte.

Éric Bothorel
Éric Bothorel // Source : Jean-Luc Hauser

Le parlementaire, qui est impliqué dans tous les groupes de travail relatifs au numérique, et préside notamment celui de l’économie numérique de la donnée, de la connaissance et de l’IA, aura donc pour tâche de produire un rapport sur la préservation des intérêts de la défense et de la sécurité nationale de la France, dans le cadre de l’exploitation des réseaux radioélectriques mobiles.

Le texte propose l’instauration d’un « régime d’autorisation préalable, fondé sur des motifs de défense et sécurité nationale, des équipements des réseaux radioélectriques ». L’autorisation préalable sera délivrée par Matignon, qui pourra s’appuyer sur l’expertise du Secrétariat général de la défense et de la sécurité nationale et de l’Agence nationale de la sécurité des systèmes d’information.

Le Premier ministre devra alors déterminer, sur la base des observations faites par ses services spécialisés, « s’il existe un risque sérieux d’atteinte aux intérêts de la défense et de la sécurité nationale », en tenant compte des dispositions législatives et des « garanties que présente l’équipement pour l’intégrité, la sécurité et la continuité de l’exploitation des réseaux et services de communications électroniques ».

En l’état, le texte vise tous les appareils installés depuis le 1er février 2019 en France.

« L’intervention rapide d’un cadre législatif clair est particulièrement nécessaire pour donner aux opérateurs la prévisibilité dont ils ont besoin dans leurs plans d’affaires », commente Eric Bothorel, alors que sa nomination en tant que rapporteur doit être définitivement approuvée par la Commission des affaires économiques de l’Assemblée nationale.

Pour l’élu des Côtes-d’Armor, les promesses de la 5G ne doivent pas occulter le fait que certaines applications liées au très haut débit mobile peuvent parfois engager la sécurité humaine. Cela « justifie une actualisation de notre doctrine législative à des fins de protection du réseau et de notre souveraineté nationale, sans pour autant compromettre le calendrier de déploiement de cette technologie », ajoute-t-il.

Flickr/Open Gris Scheduler

Un texte critiqué

Si de prime abord la proposition de loi est motivée par des arguments légitimes, des voix s’élèvent dans l’industrie des télécoms pour pointer ses effets contre-productifs. C’est le cas de Börje Ekholm, le directeur général de l’entreprise suédoise Ericsson, un poids lourd chez les équipementiers et l’un des principaux concurrents de Huawei. Aux Échos, il a jugé que la France faisait fausse route :

« Les équipements reçoivent des mises à jour en permanence. […] Comment faire pour tester toutes les mises à jour ? Imaginez que nous détections une cyber-menace imminente. Nous allons aussitôt développer un patch pour y remédier. Il faudrait que ce bout de logiciel soit testé pendant quelques semaines ? Les tests ne diminuent pas les risques de sécurité, ils les augmentent ! »

« Les tests ne diminuent pas les risques de sécurité, ils les augmentent ! »

L’avocat Alexandre Archambault, qui connait très bien la législation dans les réseaux pour avoir été l’ancien responsable des affaires réglementaires chez Free, fait aussi observer qu’il existe déjà dans la loi des dispositions — comme les articles L.1332-1 et L.1332-2 du Code de la défense — prévoyant des bonnes pratiques pour limiter certains arbitrages qui pourraient poser problème.

Ces bonnes pratiques, détaille-t-il, incluent un droit de regard sur les logiciels embarqués dans les équipements, des exercices permettant d’éprouver la sécurité des systèmes d’information dans des conditions les plus réalistes possibles, le refus de l’externalisation de certaines tâches et des mesures qui aideraient au déploiement immédiat de correctifs de sécurité dans des matériels sensibles.

Dernière critique concernant le texte de loi : la stratégie législative. Il a en effet été décidé de passer par la case de la proposition de loi pour faire voter ce texte, plutôt que par celle du projet de loi. Or, cette voie n’oblige pas de se soumettre à une étude d’impact ou à l’avis du Conseil d’État. Deux étapes contraignantes, mais qui auraient pourtant le mérite de bien cadrer un texte au contenu hautement sensible.

Partager sur les réseaux sociaux