14 juillet 2018
JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE
Texte 1 sur 160
« Lorsque sont détectés des événements susceptibles d’affecter la sécurité des systèmes d’information, les
opérateurs de communications électroniques en informent sans délai l’autorité nationale de sécurité des systèmes
d’information.
« A la demande de l’autorité nationale de sécurité des systèmes d’information, les opérateurs de communications
électroniques informent leurs abonnés de la vulnérabilité de leurs systèmes d’information ou des atteintes qu’ils ont
subies.
« Les modalités d’application du présent article sont précisées par décret en Conseil d’Etat. Celui-ci détermine
notamment les catégories de données pouvant être conservées par les opérateurs de communications
électroniques. » ;
2o L’article L. 36-7 est complété par un 12o ainsi rédigé :
« 12o Est chargée, en application de l’article L. 2321-5 du code de la défense, de veiller au respect par l’autorité
nationale de sécurité des systèmes d’information des conditions d’application de l’article L. 2321-2-1 et du
deuxième alinéa de l’article L. 2321-3 du même code. » ;
3o La section 1 du chapitre IV du même titre Ier est complétée par un article L. 36-14 ainsi rétabli :
« Art. L. 36-14. – La formation de règlement des différends, de poursuite et d’instruction mentionnée à
l’article L. 130 est compétente pour exercer la mission mentionnée au 12o de l’article L. 36-7. Pour
l’accomplissement de cette mission, la formation de règlement des différends, de poursuite et d’instruction :
« 1o Est informée sans délai, par l’autorité nationale de sécurité des systèmes d’information, des mesures mises
en œuvre en application de l’article L. 2321-2-1 du code de la défense ainsi que des demandes formulées en
application du deuxième alinéa de l’article L. 2321-3 du même code ;
« 2o Dispose d’un accès complet et permanent aux données recueillies ou obtenues en application des mêmes
articles L. 2321-2-1 et L. 2321-3 ainsi qu’aux dispositifs de traçabilité des données collectées et peut solliciter de
l’autorité nationale de sécurité des systèmes d’information tous les éléments nécessaires à l’accomplissement de sa
mission ;
« 3o Peut, à la demande de son président, se faire assister par des experts individuellement désignés et habilités
au secret de la défense nationale ;
« 4o Peut adresser, à tout moment, à l’autorité nationale de sécurité des systèmes d’information toute
recommandation qu’elle juge nécessaire aux fins d’assurer la régularité des mesures mises en œuvre en application
des dispositions mentionnées au 1o du présent article. Elle est informée, sans délai, des suites données à ces
recommandations.
« Lorsque l’autorité nationale de sécurité des systèmes d’information ne donne pas suite à ces recommandations
ou que la formation de règlement des différends, de poursuite et d’instruction estime insuffisantes les suites
données à ces recommandations, la formation peut enjoindre à l’autorité nationale de sécurité des systèmes
d’information d’interrompre les opérations ou de détruire les données mentionnés aux articles L. 2321-2-1 et
L. 2321-3 du code de la défense.
« Le Conseil d’Etat peut être saisi par le président de l’Autorité de régulation des communications électroniques
et des postes d’un recours lorsque l’autorité nationale de sécurité des systèmes d’information ne se conforme pas à
une injonction qui lui est adressée en vertu du présent article.
« L’Autorité de régulation des communications électroniques et des postes remet chaque année au
Gouvernement et au Parlement, dans le respect du secret de la défense nationale, un rapport d’activité sur les
conditions d’exercice et les résultats du contrôle exercé au titre du présent article.
« Elle peut adresser au Premier ministre, au président de l’Assemblée nationale et au président du Sénat, à tout
moment, les observations qu’elle juge utiles.
« Les modalités d’application du présent article sont précisées par décret en Conseil d’Etat. » ;
4o Le titre II du livre III est ainsi modifié :
a) Après le septième alinéa de l’article L. 130, il est inséré un alinéa ainsi rédigé :
« La formation de règlement des différends, de poursuite et d’instruction est compétente pour exercer la mission
mentionnée au 12o de l’article L. 36-7, dans les conditions prévues à l’article L. 36-14. » ;
b) Le premier alinéa de l’article L. 131 est complété par une phrase ainsi rédigée : « Lorsque l’accomplissement
de leur mission l’exige, ces membres sont habilités au secret de la défense nationale. » ;
c) L’article L. 132 est complété par un alinéa ainsi rédigé :
« Lorsque l’accomplissement de leur mission l’exige, ces personnels sont habilités au secret de la défense
nationale. »
II. – Le chapitre Ier du titre II du livre III de la deuxième partie du code de la défense est ainsi modifié :
1o Après l’article L. 2321-2, sont insérés des articles L. 2321-2-1 et L. 2321-2-2 ainsi rédigés :
« Art. L. 2321-2-1. – Lorsqu’elle a connaissance d’une menace susceptible de porter atteinte à la sécurité des
systèmes d’information des autorités publiques, des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 ou
des opérateurs mentionnés à l’article 5 de la loi no 2018-133 du 26 février 2018 portant diverses dispositions
d’adaptation au droit de l’Union européenne dans le domaine de la sécurité, l’autorité nationale de sécurité des
systèmes d’information peut mettre en œuvre, sur le réseau d’un opérateur de communications électroniques ou sur