Au Journal officiel du 7 décembre, a été publié le décret d’application de loi « anti-Huawei » sur la 5G. Avec ce dispositif censé lutter contre l’espionnage électronique étranger, le Secrétaire général de la défense et de la sécurité nationale pourra prescrire « l'activation ou la désactivation de certaines fonctionnalités optionnelles ».

Cette loi vise à « préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l’exploitation des réseaux radioélectriques mobiles ».  En clair, elle vient soumettre à autorisation certains équipements sensibles en cœur de réseau ou sur ses artères principales. L’enjeu ? Éviter qu’ils ne servent de cheval de Troie pour des puissances étrangères, ainsi installées aux premières loges.

Le décret, qui fut déjà dévoilé par NextINpact, impose pour chaque demande d’autorisation la fourniture de plusieurs renseignements. Parmi eux, « l'utilisation prévue de l'appareil au sein du réseau radioélectrique du demandeur » outre « les modalités de déploiement » : activation ou non-activation des fonctionnalités optionnelles, mesures de protection, etc.

Remarquons qu’au moment de cette autorisation, le Premier ministre pourra refuser les équipements présentant un « risque sérieux d'atteinte aux intérêts de la défense et de la sécurité nationale ». La loi initiale explique que ce risque devra être jaugé au regard « du manque de garantie du respect des règles mentionnées aux a, b, e, f et f bis du I de l'article L. 33 - 1 » du Code des postes et des télécommunications électroniques.

Si cette disposition est d’apparence obscure, la lecture de l’article mis en référence permet de lever le voile.

Au L.33 - 1 du Code des postes et télécommunications, le point a) exige que soient assurées la permanence, l’intégrité, la sécurité, la disponibilité du réseau ou la confidentialité des messages transmis. Le point b) contraint au respect des « conditions de confidentialité et de neutralité au regard des messages transmis et des informations liées aux communications ». Les points f) et f) bis se préoccupent de l'acheminement gratuit des appels d'urgence et celui des informations publiques en cas de dangers imminents.

Lutter contre le cheval de Troie chinois, autoriser la surveillance française

Le point e) est le plus sensible. Le fabricant qui réclame une autorisation d’installation devra s’assurer que son équipement rende possible « la mise en oeuvre des interceptions  » tout en respectant les « prescriptions exigées par l'ordre public, la défense nationale et la sécurité publique  ».

En clair, le Secrétaire général de la défense et de la sécurité nationale devra s’assurer que l’équipement soit aussi compatible avec les mesures d’écoutes programmées en France, aussi bien en judiciaire qu’en administratif (voir cette disposition issue de la loi Renseignement de 2015 ).

Dans le décret d’application, il est d’ailleurs prévu que le SGDSN pourra prescrire « l'activation ou la désactivation de certaines fonctionnalités optionnelles de l'appareil sur lequel porte l'autorisation, ainsi que la mise en œuvre de mesures complémentaires visant à sécuriser le contrôle d'accès, les communications avec d'autres éléments du réseau et la supervision ».

Sans surprise, « le silence gardé par l'administration pendant deux mois sur une demande d'autorisation ou de renouvellement d'autorisation » vaudra « décision de rejet ». Si l'autorisation n'est pas délivrée, les demandeurs disposeront d'un délai d'un mois pour procéder à la destruction de ces appareils, pour les vendre ou les céder à une personne titulaire d’une autorisation.

Dans un arrêté publié le même jour, on connait désormais la liste des appareils toujours soumis à un tel contrôle. Parmi eux, les « appareils assurant l'authentification et l'autorisation d'accès au réseau des équipements terminaux » ou encore ceux « assurant l'acheminement des communications des équipements terminaux vers des réseaux tiers ».