Décret n° 2012-1266 du 15 novembre 2012 relatif au contrôle de la sécurité et de l'intégrité des installations, réseaux et services des opérateurs de communications électroniques

Décret n° 2012-1266 du 15 novembre 2012 relatif au contrôle de la sécurité et de l'intégrité des installations, réseaux et services des opérateurs de communications électroniques

Lecture: 8 min

L4664IUB

Publics concernés : professionnels (opérateurs du secteur des communications électroniques, organismes qualifiés indépendants).

Objet : communications électroniques, contrôle de la sécurité et de l'intégrité des installations, réseaux et services des opérateurs.

Entrée en vigueur : le texte entre en vigueur le lendemain de sa publication.

Notice : le décret définit les conditions dans lesquelles le ministre chargé des communications électroniques peut imposer aux opérateurs de communications électroniques de soumettre leurs installations, réseaux et services à des contrôles de sécurité et d'intégrité en application de l'article L. 33-10 du code des postes et des communications électroniques.

Il précise également les modalités d'habilitation des organismes qualifiés indépendants qui peuvent être chargés d'effectuer ce contrôle lorsque aucun service de l'Etat ne peut l'effectuer ou lorsque aucun impératif relatif à la défense nationale ou à la sécurité publique ne s'y oppose.

Il définit en outre les modalités de calcul des coûts du contrôle lorsqu'il est effectué par un service de l'Etat.

Références : les textes modifiés par le présent décret peuvent être consultés, dans leur version issue de cette modification, sur le site Légifrance (http://www.legifrance.gouv.fr).

Le Premier ministre,

Sur le rapport du ministre du redressement productif,

Vu la directive 2002/21/CE relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques, modifiée par la directive 2009/140/CE du Parlement européen et du Conseil du 25 novembre 2009 ;

Vu le code de commerce, notamment son article L. 233-3 ;

Vu le code de la défense, notamment ses articles L. 1332-1, L. 1332-2 et R. 2311-7-1 ;

Vu le code des postes et des communications électroniques, notamment ses articles L. 33-1, L. 33-10, L. 47 et R. 20-50 ;

Vu le code de la sécurité intérieure, notamment ses articles L. 114-1 et L. 234-1 ;

Vu le décret n° 2005-1124 du 6 septembre 2005 pris pour l'application de l'article 17-1 de la loi n° 95-73 du 21 janvier 1995 et fixant la liste des enquêtes administratives donnant lieu à la consultation des traitements automatisés de données personnelles mentionnés à l'article 230-6 du code de procédure pénale ;

Vu le décret n° 2008-1401 du 19 décembre 2008 relatif à l'accréditation et à l'évaluation de conformité ;

Vu le décret n° 2009-834 du 7 juillet 2009 modifié portant création d'un service à compétence nationale dénommé « Agence nationale de la sécurité des systèmes d'information » ;

Vu l'avis de la commission consultative des communications électroniques en date du 22 juin 2012 ;

Vu l'avis de l'Autorité de régulation des communications électroniques et des postes en date du 28 juillet 2012 ;

Le Conseil d'Etat (section des travaux publics) entendu,

Décrète :

Article 1

A la section 1 du chapitre II du titre Ier du livre II de la deuxième partie (Décrets en Conseil d'Etat) du code des postes et des communications électroniques, il est inséré un paragraphe III intitulé : « Dispositions relatives au contrôle de la sécurité et de l'intégrité des installations, réseaux ou services » et comprenant les articles R. 9-7 à R. 9-12 rédigés comme suit :

« Art. R. 9-7. - I. ― Le contrôle prévu par l'article L. 33-10 est effectué par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ou par un autre service de l'Etat compétent. Toutefois, dans le cas où aucun service de l'Etat ne peut l'effectuer et où aucun impératif relatif à la défense nationale ou à la sécurité nationale ne s'y oppose, le contrôle peut être effectué par un organisme qualifié indépendant habilité par le ministre chargé des communications électroniques.

« Afin d'être habilité pour effectuer ces contrôles, un organisme doit satisfaire aux conditions suivantes :

« 1° Justifier d'une accréditation pour la réalisation de contrôles de la sécurité et de l'intégrité des installations, réseaux et services des opérateurs de communications électroniques délivrée par le Comité français d'accréditation ou par un organisme signataire de l'accord européen multilatéral pris dans le cadre de la coordination européenne des organismes d'accréditation ;

« 2° Disposer de personnels titulaires de l'habilitation mentionnée à l'article R. 2311-7-1 du code de la défense permettant l'accès à des informations classifiées au niveau "Confidentiel Défense” notamment pour pouvoir réaliser les contrôles des opérateurs mentionnés aux articles L. 1332-1 et L. 1332-2 du même code ;

« 3° Disposer de personnels autorisés à exercer le contrôle prévu au premier alinéa du présent article au terme d'une enquête administrative réalisée conformément à l'article L. 114-1 du code de la sécurité intérieure ;

« 4° Justifier de son indépendance vis-à-vis des opérateurs de communications électroniques en démontrant qu'il n'agit pas sous le contrôle de l'un d'eux au sens de l'article L. 233-3 du code de commerce ou qu'il ne fournit pas de services ou d'équipements utilisés dans les installations, réseaux ou services de ceux-ci.

« II. ― Les demandes d'habilitation sont adressées au haut fonctionnaire de défense et de sécurité du ministère chargé des communications électroniques qui les instruit.

« Au terme de l'instruction le ministre chargé des communications électroniques inscrit l'organisme remplissant les conditions mentionnées au I sur une liste des organismes habilités pour effectuer les contrôles mentionnés à l'article L. 33-10 du code des postes et des communications électroniques. L'organisme habilité doit porter sans délai à la connaissance du ministre toute modification des éléments au vu desquels il a été inscrit sur cette liste.

« Le ministre chargé des communications électroniques tient à jour cette liste et peut à cet effet s'assurer à tout moment que l'organisme satisfait aux conditions mentionnées au I. Si tel n'est pas le cas ou en cas de manquement de l'organisme à ses obligations, le ministre peut retirer ce dernier de la liste à titre définitif ou temporaire après l'avoir mis à même de présenter ses observations dans un délai de quinze jours.

« Art. R. 9-8. - Le contrôle prévu à l'article L. 33-10 a pour objet d'évaluer les mesures prises par l'opérateur en application des dispositions du a du I de l'article L. 33-1 et notamment celles prises pour assurer la sécurité de son réseau et de ses services à un niveau adapté au risque existant, pour assurer l'intégrité de son réseau et garantir la continuité des services fournis.

« Un seul contrôle peut être engagé par année civile pour un même réseau ou un même service. Toutefois, le ministre chargé des communications électroniques peut engager d'autres contrôles lorsque les réseaux ou les services de cet opérateur font l'objet, au cours de cette même année, d'une atteinte à leur sécurité ou d'une perte d'intégrité ayant un impact significatif sur leur fonctionnement ou lorsque des défauts ou des vulnérabilités dans les mesures prises pour assurer la sécurité et l'intégrité des installations, réseaux ou services de l'opérateur ont été constatés à l'occasion d'un précédent contrôle intervenu au cours de la même année civile.

« Art. R. 9-9. - I. ― Lorsque le ministre chargé des communications électroniques impose à un opérateur un contrôle de la sécurité et de l'intégrité de ses installations, réseaux ou services, il lui notifie les objectifs du contrôle et le délai dans lequel le contrôle doit être achevé, qui ne peut pas être supérieur à six mois. Il lui précise également si le contrôle doit être effectué par l'Agence nationale de la sécurité des systèmes d'information ou par un autre service de l'Etat ou par un organisme qualifié indépendant. Dans ce dernier cas, l'opérateur choisit l'organisme sur la liste mentionnée à l'article R. 9-7 et le coût du contrôle est fixé par contrat entre l'opérateur et l'organisme.

« II. ― L'opérateur prend les dispositions nécessaires à la réalisation du contrôle par le service de l'Etat désigné par le ministre ou par l'organisme qu'il a choisi et communique ces dernières dans un délai de deux mois suivant la notification mentionnée au I du présent article au ministre chargé des communications électroniques, qui s'assure que ces dispositions répondent aux objectifs du contrôle.

« L'opérateur rend compte sans délai de toute difficulté au ministre chargé des communications électroniques.

« III. ― Lorsque le contrôle intervient à la suite d'une atteinte à la sécurité ou une perte d'intégrité ayant un impact significatif sur le fonctionnement des réseaux ou des services de l'opérateur ou lorsque des défauts ou des vulnérabilités dans les mesures prises pour assurer la sécurité et l'intégrité de ses installations, réseaux ou services ont été constatés à l'occasion d'un précédent contrôle intervenu au cours de la même année civile, le ministre chargé des communications électroniques peut imposer que le délai mentionné au II soit inférieur à deux mois compte tenu du risque de sécurité identifié.

« Art. R. 9-10. - Le ministre chargé des communications électroniques informe l'Autorité de régulation des communications électroniques et des postes des contrôles qu'il décide.

« Art. R. 9-11. - Le service ou l'organisme ayant réalisé le contrôle dans les conditions prévues par les articles R. 9-7 à R. 9-9 établit un rapport comportant ses constatations ainsi qu'une appréciation de l'efficacité des mesures prises par l'opérateur pour assurer la sécurité et l'intégrité des installations, réseaux et services contrôlés. Lorsque des défauts ou des vulnérabilités dans les mesures prises pour assurer la sécurité et l'intégrité des installations, réseaux ou services de l'opérateur ont été constatés à l'occasion du contrôle, il formule des recommandations afin qu'il y soit remédié.

« Le rapport, comportant, le cas échéant, les observations de l'opérateur, est remis par ce dernier au ministre chargé des communications électroniques au plus tard au terme du délai fixé pour la réalisation du contrôle.

« Le ministre chargé des communications électroniques peut auditionner le service ou l'organisme ayant réalisé le contrôle, en présence de l'opérateur qui est également entendu, dans le mois qui suit la remise du rapport.

« Le ministre chargé des communications électroniques informe l'Autorité de régulation des communications électroniques et des postes des principales conclusions du contrôle.

« Art. R. 9-12. - Le coût des contrôles effectués par un service de l'Etat en application de l'article L. 33-10 est calculé en fonction du temps nécessaire à la réalisation du contrôle et du nombre d'agents qui y sont affectés.

« Un arrêté du Premier ministre fixe le coût unitaire global d'un contrôle mobilisant un agent pendant une journée. »

Article 2

Au 1° du I de l'article 1er du décret du 6 septembre 2005 susvisé, il est ajouté l'alinéa suivant :

« k) Des personnes physiques employées par les organismes qualifiés indépendants habilités par le ministre chargé des communications électroniques pour effectuer les contrôles prévus par l'article L. 33-10 du code des postes et des communications électroniques ; ».

Article 3

A l'article R. 20-50 du code des postes et des communications électroniques, les mots : « troisième alinéa de l'article L. 47 » sont remplacés par les mots : « cinquième alinéa de l'article L. 47 ».

Article 4

Le ministre du redressement productif et la ministre déléguée auprès du ministre du redressement productif, chargée des petites et moyennes entreprises, de l'innovation et de l'économie numérique, sont chargés, chacun en ce qui le concerne, de l'exécution du présent décret, qui sera publié au Journal officiel de la République française.

Fait le 15 novembre 2012.

Jean-Marc Ayrault

Par le Premier ministre :

La ministre déléguée

auprès du ministre du redressement productif,

chargée des petites et moyennes entreprises,

de l'innovation et de l'économie numérique,

Fleur Pellerin

Le ministre du redressement productif,

Arnaud Montebourg

Les versions de ce document

Comparer les textes

Revues liées à ce document

Ouvrages liés à ce document

Textes juridiques liés au document



Cookies juridiques

Considérant en premier lieu que le site requiert le consentement de l'utilisateur pour l'usage des cookies; Considérant en second lieu qu'une navigation sans cookies, c'est comme naviguer sans boussole; Considérant enfin que lesdits cookies n'ont d'autre utilité que l'optimisation de votre expérience en ligne; Par ces motifs, la Cour vous invite à les autoriser pour votre propre confort en ligne.

En savoir plus