Comme vous le savez, mes chers collègues, les dispositions actuellement en vigueur permettent certes une sécurisation des systèmes d'information, à la charge des opérateurs, mais ne prévoient rien en matière de capacités de détection et de caractérisation des attaques informatiques. Celles-ci sont transportées par les opérateurs, sans que ni ces derniers ni l'État ne soient effectivement en mesure de les détecter.
Comme vient de l'expliquer notre collègue, l'article 19 prévoit une meilleure articulation des opérateurs de communication électronique dans la cyber-défense et ce, bien sûr, en liaison avec l'ANSSI. Aux seules fins de détecter des événements susceptibles d'affecter la sécurité des systèmes d'information, l'ANSSI pourra ainsi mettre en oeuvre des marqueurs techniques pour la durée de la menace, et dans la mesure strictement nécessaire à la caractérisation de celle-ci.
L'article 19 précise que ces données recueillies, autres que celles directement liées à la prévention et à la caractérisation des menaces, doivent être et seront immédiatement détruites. C'est bien sûr l'Autorité de régulation des communications électroniques et des postes, l'ARCEP, qui sera chargée de veiller au respect de ces conditions.
J'ajoute enfin que, dans son avis, le Conseil d'État considère, « qu'eu égard à l'intérêt général qui s'attache à prévenir les menaces », les mesures proposées par l'article 19 « ne portent à des droits garantis par la Constitution ou aux engagements internationaux de la France qu'une atteinte justifiée et proportionnée ».