Résilience des infrastructures critiques et renforcement de la cybersécurité

L’article 2 (2) de la directive 2022/2557, qui définit la notion de résilience, contient également le concept de rétablissement suite à incident.

Après le mot : 

« incident », 

insérer les mots : 

« , à s’en rétablir, ».

L’article 22 du présent projet de loi vient transposer l’article 28 de la Directive NIS 2, notamment pour organiser les modalités d’accès aux données d’enregistrement des noms de domaine collectées par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à préciser le champ des « demandeurs d’accès légitimes » conformément à la Directive.
 
En l’état du présent article, l’accès aux informations est limité aux agents habilités « par l’autorité judiciaire pour les besoins des procédures pénales » ainsi qu’à l’ANSSI. Il s’agit d’une restriction de la portée de l’article 28 de la Directive et singulièrement de son Considérant 110 qui définit les demandeurs d’accès légitimes comme « toute personne physique et morale qui formule une demande en vertu du droit de l’Union ou du droit national » sur demande motivée.
 
Le présent amendement précise que, dans le cadre d’infractions au droit de la propriété intellectuelle, certains agents spécialement habilités sont légitimes à solliciter un accès aux données d’enregistrement des noms de domaines. Il s’agit en particulier (outre les agents déjà désignés par le présent article) : 
- des agents assermentés mentionnés à l’article L.331.2 du code de la propriété intellectuelle, c’est-à-dire des agents d’organismes autorisés par la loi à dresser des procès-verbaux constatant des faits susceptibles d’une qualification pénale au titre de leur mission de lutte contre la contrefaçon ;
- des commissaires de justice de l’article 1 de l’ordonnance 2016-728 du 2 juin 2016 modifiée par la loi n° 2023-1059 du 20 novembre 2023, c’est-à-dire des auxiliaires de justice qualifiés par la loi à dresser ces mêmes procès-verbaux, dans le cas présent, en matière d’atteinte aux droits de la propriété intellectuelle.
 
Cette précision du champ ne saurait se traduire par une charge disproportionnée dès lors qu’il s’agit pour les offices et bureaux d’enregistrement de communiquer des informations qui figurent dans leur base et au bénéfice de personnes qui sont habilitées par la loi à agir.
 
La finalité de cet amendement est bien de combattre les utilisations abusives du système d’enregistrement de noms de domaine pour mener des activités illégales et préjudiciables [1] : il vise donc à permettre une effectivité du droit d’accès aux données des noms de domaine afin de garantir l’application du droit national comme du droit de l'Union.

---
[1] Voir, par exemple, l'étude de la Commission européenne de janvier 2022 sur les abus des systèmes de noms de domaine, pp. 158-159, qui quantifie une réduction de 85 % des sites web malveillants vendant des produits de contrefaçon dans le TLD grâce à l'amélioration des pratiques de vérification des données du registre.

I. – Après l’alinéa 1, insérer l’alinéa suivant :

« Afin de permettre la détection de faits et de circonstances caractérisant une violation de droits consacrés par le code de la propriété intellectuelle susceptible d’une qualification pénale, les agents mentionnés à l’article L. 331‑2 dudit code et les auxiliaires de justice qualifiés par la loi à dresser des procès-verbaux constatant ces faits et circonstances peuvent obtenir des offices et bureaux d’enregistrement, sur production des constats effectués, les données mentionnées à l’article 20. »

II. – En conséquence, à la fin de la première phrase de l’alinéa 2, substituer aux mots :

« au premier alinéa »,

les mots :

« aux premier et deuxième alinéas ».

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à préciser la liste des données devant être collectées, en reprenant a minima la liste des informations mentionnées à l’article 28.2 de la Directive NIS 2 et en y ajoutant les « adresses postales » des titulaires et points de contact du nom de domaine.

Les États membres peuvent compléter le texte de la directive à l’occasion de sa transposition en droit national à la condition expresse que l’ajout soit conforme à l’objectif poursuivi par ladite directive. En tout état de cause, la liste des données collectées mentionnées à l’article 28 n’est pas limitative (Cf. art. 28.2, « Ces informations comprennent notamment les éléments suivants »). Et de fait, la mention explicite de la collecte de l’adresse postale du titulaire ou du point de contact est absolument indispensable dès lors qu’elle constitue le seul moyen d’adresser officiellement une assignation pour agir en justice.

Si cet amendement ne devait pas être adopté, il serait crucial que le décret d’application fasse état de la collecte de l’adresse postale des titulaires et points de contact pour donner une effectivité à la loi.

I. – Après l’alinéa 2, insérer les cinq alinéas suivants :

« La base des données d’enregistrement des noms de domaine comprend les informations suivantes :

« a) le nom de domaine ;

« b) la date d’enregistrement ;

« c) le nom du titulaire, l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de le contacter ;

« d) l’adresse postale, l’adresse de courrier électronique et le numéro de téléphone permettant de contacter les points de contact associés au nom de domaine, si ces coordonnées sont différentes de celles du titulaire. ».

II. – En conséquence, à l’alinéa 3, substituer aux mots :

« la liste des données »,

les mots :

« , le cas échéant, la liste des données complémentaires ».

Suivant en cela la recommandation contenue dans l’avis du Conseil d’État, le Sénat a défini la résilience dans le Titre I du projet de loi. Toutefois, la rédaction retenue pour cette définition ne porte que sur l’acception de ce mot dans le chapitre du code de la défense relatif à la résilience des activités d’importance vitale.

Le Titre II, qui porte sur le renforcement de la cybercriminalité et qui crée pour les entités des obligations en matière de résilience, ne propose pas de définition de ce mot, ce qui pourrait créer une certaine incertitude dans l’application de la loi.

Après l’alinéa 7, insérer l’alinéa suivant :

« 5˚ bis Résilience : la capacité à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir rapidement ; ».

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à élargir le champ du décret auquel l’article renvoie, et ce afin de préciser les attendus des procédures de vérification des données collectées :

– le fait que ces procédures soient bien « ex ante » au moment de l’enregistrement et « ex post » après l’enregistrement, notamment pour garantir le maintien des bases de données exactes et complètes, conformément à la directive et au présent article 19 ;

– le fait que ces procédures tiennent compte des normes élaborées par les structures de gouvernance multiparties au niveau international et qu’elles visent les meilleures pratiques en matière d’identification électronique (conformément au Considérant 111) ;

– le fait que ces procédures comprennent la vérification d’au moins un moyen de contact du titulaire ou du service tiers (conformément au même Considérant).

Conformément à ces attendus, les bureaux et offices d’enregistrement ne devraient pas pouvoir procéder à l’enregistrement en masse des noms de domaine au moyen d’algorithmes, de logiciels, de protocoles automatisés ou de toute autre méthode similaire.

Compléter l’alinéa 3 par les mots :

« et précise les procédures de vérification des données d’enregistrement des noms de domaine. »

Amendement de précision.

L’opérateur d’importance vitale relevant de la catégorie d’entité critique doit garantir l’activité régulière de chaque point d’importance vitale et fournir des services essentiels au sens de la directive REC. 

La rédaction actuelle de cet article ne distingue pas, dans le plan particulier de résilience, ce qui relève des équipements de ce qui dépend des dispositions et procédures mises en œuvre par l’opérateur.

Or le plan particulier de résilience se doit de mentionner, au-delà des seules procédures propres à assurer la protection et la résilience de ces points d’importance vitale, les équipements et les dispositifs qui peuvent s’avérer indispensables pour assurer leur efficacité, notamment afin d’éclairer la décision de l’autorité administrative chargée de l’approuver.

À la première phrase de l’alinéa 35, après le mot :

« des », 

insérer les mots :

« dispositifs et des ».

L’article 19 vient transposer l’article 28 de la Directive « NIS 2 » et ses Considérants pour encadrer la collecte des données nécessaires à l’enregistrement des noms de domaine par les offices et bureaux d’enregistrement. Dans ce cadre, le présent amendement vise à garantir le fait que l’ensemble des informations relatives au titulaire du nom de domaine, y compris lorsque ce dernier fait appel à un service tiers, sont bien récupérées par les bureaux et offices d’enregistrement au stade de la collecte.

En effet, certains titulaires ont recours à des services (services dits « proxy » ou services dits de « confidentialité ») pour anonymiser leurs données, leur permettant de rester hors d’atteinte de toute action judiciaire.

Précisément pour pallier l’opacité des registres actuels, l’article 28 de la Directive NIS 2 prévoit bien la collecte des informations « du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire » (art. 28.1(d)).

Le fait que la loi nationale vise bien les cas de recours à des services tiers est ainsi vital pour l’ensemble des personnes en situation de défendre leurs droits dans l’espace numérique, notamment les titulaires de droits de propriété intellectuelle (droit d’auteur, droits voisins, droit des marques, des dessins et modèles…), les associations de protection de l’enfance ou associations de consommateurs.

Force est de tirer des conséquences concrètes du fait que certains bureaux d’enregistrement de noms de domaine font obstacle à une coopération avec les victimes d’infractions pénales ou d’attaques contre des systèmes informatiques en se fondant sur la confidentialité, privant de recours efficace les personnes en cas de conflit.

Compléter l’alinéa 1 par les mots :

« y compris les données du point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire, notamment en cas de recours à des services permettant l’anonymisation des données d’enregistrement ».

Amendement de cohérence avec le 4˚ de cet article (alinéa 6).

Le projet de loi prévoyait dans sa version initiale que les entités devaient mettre en place un pilotage de la sécurité des réseaux et systèmes d’information adaptée, comprenant notamment la formation à la cybersécurité des membres desorganes de direction et des personnes exposées aux risques.

Le Sénat, considérant que ce texte « sous-transposait » l’art. 20 de NIS2, a voulu à juste titre renforcer ces dispositions afin que les mesures prévues garantissent, pour leurs réseaux et leurs systèmes d’information, un niveau de sécurité adapté et proportionné aux risques existants.

Cependant la rédaction adoptée par le Sénat, non homogène avec le reste de l’article, et notamment avec le 4˚ (alinéa 6), risque de créer une ambiguïté, d’obliger à des formations ne prenant pas en compte le degré d’exposition aux risques des personnes concernées et d’entraîner ainsi des coûts inutiles de formation du personnel, alors que l’objectif tel que décrit dans le rapport du Sénat est de former les dirigeants comme les personnels exposés aux risques cyber aux grands enjeux en matière de cybersécurité.

Compléter l’alinéa 2 par les mots :

« , en fonction de leur degré d’exposition ; ».