- Texte visé : Texte n°1234, adopté par la commission, sur le projet de loi relatif à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (n°1033)
- Stade de lecture : 1ère lecture (1ère assemblée saisie)
- Examiné par : Assemblée nationale (séance publique)
I. – Supprimer les alinéas 5 à 8.
II. – En conséquence, supprimer la seconde phrase de l’alinéa 9.
Cet amendement a pour objet de supprimer la possibilité pour l’ANSSI de mettre en oeuvre le dispositif de recueil des données prévu aux alinéas 5 à 8 de l'article 35. Cette nouvelle prérogative permettrait en effet à l'ANSSI de capturer l’intégralité d’un trafic réseau - et non plus seulement les données techniques - ou de copier la totalité d’un serveur pour y rechercher des informations caractérisant une menace.
Deux raisons nous y invitent :
D'une part, il n'y a pas de nécessité de légiférer pusique l'ANSSi dispose déjà de très larges pouvoirs d'investigation pour remonter aux causes des actions malveillantes, sous le contrôle de l'autorité judiciaire. C'est en tout cas ce que révèle le Gouvernement qui, pour illustrer l'utilité de l'accès de l'ANSSI au contenu des machines infectées, précise, dans son étude d'impact, que le Parquet a ouvert en 2017 une enquête de flagrance permettant à l'ANSSI de procéder à l'analyse d'un serveur ce qui a rendu possible l'identification de toutes les victimes attaquées mais également de toutes les cibles potentielles de l'attaquant qui étaient répertoriées sur le serveur analysé. Il n'est pas ici question de nier l'utilité de ces prérogatives. Il est uniquement question de nier l'extension des prériogatives de l'ANSSI en dehors de tout contrôle judiciaire.
Ce qui nous amène à la seconde raison : le dispostif projeté présente un risque majeur pour les libertés publiques. Certes, des gardes-fous sont prévus : l’ANSSI, autorité administrative placée sous l’autorité hiérarchique du Premier ministre, ne peut prendre ses décisions qu’après avoir recueilli l’avis conforme de l’ARCEP, autorité publique indépendante. Mais, de son aveu même, les moyens humains et techniques dont dispose l’ARCEP ne sont pas suffisants pour assurer ce contrôle a priori de manière satisfaisante ((cf. Avis n°2023-0542 de l’ARCEP en date du 9 mars 2023 sur des dispositions relatives à la sécurité des systèmes d’information dans le cadre du projet de loi relatif à la programmation militaire pour les années 2024-2030).
Si les contre-pouvoirs ne sont pas en situation de fonctionner, il n’y a plus de garde-fou. Le dispositif présente donc, en l’état actuel des moyens confiés à l’ARCEP, un risque d'atteinte grave à la liberté d'expression et de communication.