Entrée en vigueur le 3 août 2023
Est créé par : LOI n°2023-703 du 1er août 2023 - art. 65
Aux seules fins de détecter et de caractériser des menaces et des attaques informatiques susceptibles de porter atteinte à la défense, à la sécurité nationale et à la sécurité des systèmes d'information, les fournisseurs de système de résolution de noms de domaine transmettent aux agents de l'autorité nationale de sécurité des systèmes d'information individuellement désignés et spécialement habilités les données techniques ni directement ni indirectement identifiantes enregistrées de manière temporaire par leurs serveurs gérant le système d'adressage par domaines.
A cette fin, les fournisseurs de système de résolution de noms de domaine transmettent à l'autorité nationale de sécurité des systèmes d'information les données mentionnées au premier alinéa, qu'ils rendent préalablement anonymes. Ils ne transmettent aucune donnée technique permettant d'identifier la source de la connexion ou relative aux équipements terminaux utilisés. Les données transmises ne peuvent être exploitées qu'aux seules fins mentionnées au même premier alinéa et ne peuvent être conservées plus de cinq ans.
Pour l'application dudit premier alinéa, on entend par fournisseur de système de résolution de noms de domaine la personne mettant à disposition un service permettant la traduction d'un nom de domaine en un numéro unique identifiant un appareil connecté à internet.
Un décret en Conseil d'Etat, pris après avis de l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse et de la Commission nationale de l'informatique et des libertés, détermine les modalités d'application du présent article. Il détermine notamment les données techniques collectées par les agents de l'autorité nationale de sécurité des systèmes d'information ainsi que la fréquence et les conditions de leur transmission par les fournisseurs de système de résolution de noms de domaine.
[…] L'article L. 36-5 du code des postes et des communications électroniques prévoit que l'Arcep est consultée sur les projets de loi, de décret ou de règlement relatifs au secteur des communications électroniques, et participe à leur mise en œuvre. […] Le projet d'article 33 crée un article L. 2321-3-1 au code de la défense et prévoit d'imposer, pour les besoins de la sécurité des systèmes d'information et afin de détecter et de caractériser des attaques informatiques, une obligation pour les opérateurs ou les fournisseurs de système de résolution des noms de domaine de transmettre à l'ANSSI « les données techniques non identifiantes enregistrées de manière temporaire par leurs serveurs gérant le système d'adressage par domaines ». […] 4 Articles L. 2321-2-1 et L. 2321-3 du code de la défense. […] 3/6
Délibération n° 2024-025 du 7 mars 2024 portant avis sur un projet de décret pris pour l'application des articles L. 2321-2-1 à L. 2321-4-1 du code de la défense et des articles L. 33-14 et L. 36-14 du code des postes et des communications électroniques […] Fondement de la saisine : articles L. 2321-2-1, L. 2321-2-3 et L. 2321-3-1 du code de la défense. […] S'agissant des données qui ne sont pas directement utiles, les projets d'articles R. 2321-1-5 et R. 2321-1-10 du code de la défense prévoient qu'elles sont détruites dans un délai d'un jour ouvré, ce qui respecte l'exigence prévue par la loi (articles L. 2321-2-1 et L. 2321-2-3 du code de la défense) d'un « délai bref » de suppression.
[…] Le projet de décret vise à définir les modalités d'application des articles législatifs relatifs aux modes d'actions de l'ANSSI (L. 2321-2-1 à L. 2321-4-1 du code de la défense) et aux modalités de leur contrôle par l'Arcep (L. 33-14, L. 36-7 et L. 36-14 du CPCE). […] 7 Article R. 2321-1-2 du code de la défense. […] mentionnés au cinquième alinéa de l'article L. 2321-2-1, au IV de l'article L. 2321-2-3, au deuxième alinéa de l'article L. 2321-3 et au premier alinéa de l'article L. 2321-3-1. »