14 juillet 2018
JOURNAL OFFICIEL DE LA RÉPUBLIQUE FRANÇAISE
Texte 1 sur 160
le système d’information d’une personne mentionnée aux 1 ou 2 du I de l’article 6 de la loi no 2004-575 du
21 juin 2004 pour la confiance dans l’économie numérique, des dispositifs mettant en œuvre des marqueurs
techniques aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes
d’information des autorités publiques et opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent
code ou à l’article 5 de la loi no 2018-133 du 26 février 2018 précitée. Ces dispositifs sont mis en œuvre pour la
durée et dans la mesure strictement nécessaires à la caractérisation de la menace.
« Les agents de l’autorité nationale de sécurité des systèmes d’information individuellement désignés et
spécialement habilités sont autorisés, aux seules fins de prévenir et de caractériser la menace affectant les systèmes
d’information des autorités publiques ou des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du présent
code ou des opérateurs mentionnés à l’article 5 de la loi no 2018-133 du 26 février 2018 précitée, à procéder au
recueil et à l’analyse des seules données techniques pertinentes, à l’exclusion de toute autre exploitation.
« Les données techniques recueillies directement par l’autorité nationale de sécurité des systèmes d’information
en application du premier alinéa du présent article ou obtenues en application du deuxième alinéa de
l’article L. 2321-3 ne peuvent être conservées plus de dix ans.
« Les données recueillies autres que celles directement utiles à la prévention et à la caractérisation des menaces
sont immédiatement détruites.
« Un décret en Conseil d’Etat définit les modalités d’application du présent article.
« Art. L. 2321-2-2. – Est puni de 150 000 € d’amende le fait, pour un opérateur de communications
électroniques ou ses agents ou pour une personne mentionnée au premier alinéa de l’article L. 2321-2-1, de faire
obstacle à la mise en œuvre, par l’autorité nationale de sécurité des systèmes d’information, des dispositifs
mentionnés au même premier alinéa.
« Les personnes physiques coupables de cette infraction encourent également l’interdiction, pour une durée de
cinq ans au plus, d’exercer l’activité professionnelle à l’occasion de l’exercice de laquelle l’infraction a été
commise. » ;
2o L’article L. 2321-3 est ainsi modifié :
a) Les mots : « de l’Etat et » sont remplacés par les mots : « des autorités publiques, » ;
b) Après la référence : « L. 1332-2 », sont insérés les mots : « et des opérateurs mentionnés à l’article 5 de la
loi no 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans
le domaine de la sécurité » ;
c) Les mots : « la compromission » sont remplacés par les mots : « l’atteinte » ;
d) Sont ajoutés deux alinéas ainsi rédigés :
« Lorsque l’autorité nationale de sécurité des systèmes d’information est informée, en application de
l’article L. 33-14 du même code, de l’existence d’un événement affectant la sécurité des systèmes d’information
d’une autorité publique ou d’un opérateur mentionné aux articles L. 1332-1 et L. 1332-2 du présent code ou d’un
opérateur mentionné à l’article 5 de la loi no 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation
au droit de l’Union européenne dans le domaine de la sécurité, les agents mentionnés au premier alinéa du présent
article peuvent obtenir des opérateurs de communications électroniques les données techniques strictement
nécessaires à l’analyse de cet événement. Ces données ne peuvent être exploitées qu’aux seules fins de caractériser
la menace affectant la sécurité de ces systèmes, à l’exclusion de toute autre exploitation.
« Les surcoûts identifiables et spécifiques des prestations assurées par les opérateurs de communications
électroniques à la demande de l’autorité nationale de sécurité des systèmes d’information en application du premier
alinéa du présent article sont compensés selon les modalités prévues au III de l’article L. 34-1 du code des postes et
des communications électroniques. » ;
3o Il est ajouté un article L. 2321-5 ainsi rédigé :
« Art. L. 2321-5. – L’Autorité de régulation des communications électroniques et des postes est chargée de
veiller au respect par l’autorité nationale de sécurité des systèmes d’information des conditions d’application de
l’article L. 2321-2-1 et du deuxième alinéa de l’article L. 2321-3. »
Article 35
Au II de l’article L. 4123-12 du code de la défense, après les mots : « y compris », sont insérés les mots : « les
actions numériques, ».
CHAPITRE IV
QUALIFICATION DE CERTAINS APPAREILS ET DISPOSITIFS TECHNIQUES
Article 36
L’article L. 2371-2 du code de la défense est ainsi rédigé :
« Art. L. 2371-2. – Sous réserve d’une déclaration préalable à la Commission nationale de contrôle des
techniques de renseignement, le service du ministère de la défense chargé de la qualification des appareils ou des
dispositifs techniques mentionnés au 1o de l’article 226-3 du code pénal au profit des armées et des services du
ministère de la défense, d’une part, et les militaires des unités des forces armées définies par arrêté du ministre de la
défense, d’autre part, sont autorisés à effectuer des essais des appareils ou dispositifs permettant de mettre en