- Texte visé : Texte de la commission sur le projet de loi, après engagement de la procédure accélérée, relatif à la programmation militaire pour les années 2024 à 2030 et portant diverses dispositions intéressant la défense (n°1033)., n° 1234-A0 rectifié
- Stade de lecture : 1ère lecture (1ère assemblée saisie)
- Examiné par : Assemblée nationale (séance publique)
Compléter l’alinéa 10 par la phrase suivante :
« En cas d’obstruction ou de non-exécution des mesures prévues auxdits I et II dans le délai fixé, les personnes mentionnées au 1° du I s’exposent à des sanctions fixées par décret en Conseil d’État. »
Lors d’une attaque informatique ou d’une potentielle attaque informatique, il est nécessaire de neutraliser la menace au plus vite. Cet article 32 permet à l’autorité nationale de sécurité des systèmes d’information d’agir pour la neutralisation des noms de domaine représentant une menace pour la sécurité nationale en enjoignant le titulaire de ce même nom de domaine à le neutraliser lui-même et à lui fournir des éléments permettant d’établir que la menace est neutralisée.
Cependant, pour éviter que cette mesure soit seulement incitative, il apparaît nécessaire que la neutralisation du nom de domaine par son titulaire et la transmission des éléments permettant d’établir que la menace est neutralisée à l’autorité nationale de sécurité des systèmes d’information fassent l’objet d’un contrôle juridictionnel et de sanctions en cas d’obstruction ou de non-exécution des demandes faites par l’autorité nationale de sécurité des systèmes d’information.
Les travaux en Commission des Lois ont déjà permis d’ajouter davantage de flexibilité à la procédure en rendant moins contraignant, pour les opérateurs de communication électronique, le délai de transmission des informations à l’autorité nationale de sécurité des systèmes d’information. Ce délai de transmission des informations est fixé après concertation entre l’opérateur concerné et l’autorité nationale de sécurité des systèmes d’information afin de prendre en compte les difficultés opérationnelles rencontrées par l’opérateur. Ne pas respecter ce délai représenterait donc une entrave au travail de l’autorité nationale de sécurité des systèmes d’information.
Le décret du Conseil d’Etat définit donc les conditions d’application, la portée et la mise en œuvre du contrôle juridictionnel et des sanctions.