Art. L33-14, Code des postes et des communications électroniques
Lecture: 2 min
L3645MIT
Pour les besoins de la sécurité et de la défense des systèmes d'information, les opérateurs, mentionnés à l'article L. 1332-1 du code de la défense, ainsi désignés en vertu de leur activité d'exploitant d'un réseau de communications électroniques ouvert au public, recourent, sur les réseaux de communications électroniques qu'ils exploitent, à des dispositifs mettant en œuvre des marqueurs techniques fournis par l'autorité nationale de sécurité des systèmes d'information aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information de leurs abonnés. Ces dispositifs sont mis en œuvre pour répondre aux demandes de l'autorité nationale de sécurité des systèmes d'information.
Lorsqu'elle a connaissance d'une menace susceptible de porter atteinte à la sécurité des systèmes d'information, l'autorité nationale de sécurité des systèmes d'information demande aux opérateurs de communications électroniques d'exploiter les marqueurs techniques qu'elle fournit.
Par dérogation au II de l'article L. 34-1, les opérateurs mentionnés au premier alinéa du présent article sont autorisés à conserver, pour une durée maximale de six mois, les données techniques strictement nécessaires à la caractérisation d'un évènement détecté par les dispositifs mentionnés au même premier alinéa. Les données recueillies dans le cadre de l'exploitation de ces dispositifs autres que celles directement utiles à la prévention et à la caractérisation des menaces sont immédiatement détruites.
Lorsque sont détectés des événements susceptibles d'affecter la sécurité des systèmes d'information, les opérateurs mentionnés audit premier alinéa en informent sans délai l'autorité nationale de sécurité des systèmes d'information.
A la demande de l'autorité nationale de sécurité des systèmes d'information, les opérateurs mentionnés au même premier alinéa informent leurs abonnés de la vulnérabilité de leurs systèmes d'information ou des atteintes qu'ils ont subies.
Les modalités d'application du présent article sont précisées par décret en Conseil d'Etat. Celui-ci détermine notamment les catégories de données pouvant être conservées par les opérateurs mentionnés au premier alinéa, les modalités de compensation des surcoûts identifiables et spécifiques des prestations assurées à ce titre par les opérateurs, à la demande de l'autorité nationale de sécurité des systèmes d'information, ainsi que les garanties d'une juste rémunération pour la mise en place des dispositifs mentionnés au même premier alinéa.