Il y a deux semaines, la Commission européenne a officiellement émis des recommandations préalables à l'arrivée de la 5G sur le territoire de l'Union. Elle a souhaité que, dès cette année, chaque État membre renforce ses exigences de sécurité en matière de réseaux radioélectriques. La proposition de loi que j'ai l'honneur de vous présenter aujourd'hui s'inscrit pleinement, et avec un temps d'avance, dans cette perspective.
J'y reviendrai, mais je le dis d'emblée : ce texte est d'une importance fondamentale pour le quotidien des Françaises et des Français. Le déploiement commercial de la 5G, soit la cinquième génération standardisée de connectivité des terminaux mobiles, est prévu en France pour le début de l'année 2020.
Nous allons donc, dans moins d'un an, participer au démarrage d'une véritable rupture technologique. Outre un supplément de services attendu pour ses utilisateurs, dont les usages numériques requièrent toujours plus de mobilité, la 5G devrait en effet permettre d'accélérer prodigieusement le développement de nouveaux usages, dont les exemples ne manquent pas : déploiement à grande échelle des véhicules autonomes, optimisation de la consommation énergétique ou encore développement de nouveaux services en télémédecine. L'arrivée de la 5G permettra de répondre aux limites de la précédente génération, la 4G, en relevant trois défis principaux : désengorger les réseaux de communications électroniques, de plus en plus saturés par la massification des usages mobiles ; fournir un accès aux réseaux et un débit suffisant à une grande quantité d'objets connectés ; réduire les délais de latence pour des services innovants qui requerront des temps de réaction à l'échelle de la milliseconde. Pour toutes ces raisons, nous devons accueillir avec enthousiasme l'arrivée à maturité technologique de la 5G, et réunir les conditions nécessaires au déploiement rapide de ce nouveau réseau sur le territoire français. Cependant, si les réseaux sont devenus une évidence dans nos vies, en particulier pour les plus jeunes générations, ils font aussi l'objet de menaces. La 5G ne fait pas exception. Son développement ne se fera pas sans risques, et il est de notre responsabilité de les prévenir avec justesse.
Deux enjeux majeurs de cybersécurité sont aujourd'hui identifiés.
Le premier est celui des spécificités techniques propres à la 5G car elles sont susceptibles d'accroître les vulnérabilités des réseaux par rapport aux générations précédentes de standards technologiques. En effet, la 5G n'est pas la 4G plus 1 : les réseaux 5G offriront notamment une plus grande surface de vulnérabilité à d'éventuelles attaques en raison de leur grande capillarité qui va supposer la multiplication des antennes, des capteurs et des noeuds informationnels, chaque antenne étant potentiellement une partie sensible du réseau et non pas seulement l'extension passive du coeur de réseau, centralisé et bien protégé, comme c'est le cas des réseaux 3G et 4G actuels. Ces nouvelles spécificités techniques comprennent également le déploiement de réseaux virtualisés, que la 5G devrait généraliser. Les équipements physiques y seront remplacés par des solutions logicielles déployées dans le cloud. Ces réseaux promettent d'être plus véloces et plus résilients, mais ne seront pas dépourvus de failles d'un nouveau genre. La 5G sera ainsi le terrain de nombreuses innovations technologiques, il y aura beaucoup d'expérimentations et de corrections avant que le réseau ne se stabilise, et ce facteur d'imprévisibilité se traduira nécessairement par un accroissement des risques liés, d'une part, à l'utilisation de technologies non parfaitement matures, d'autre part, au fait que la protection contre ces risques s'ajustera toujours après un temps d'adaptation.
Le second enjeu est celui des secteurs critiques parce que ceux-ci exigent une sécurité absolue des réseaux utilisés et qu'ils vont être amenés à faire appel très prochainement à la technologie 5G – je pense aussi à l'ensemble de nos installations et établissements porteurs d'infrastructures critiques, comme les sites classés SEVESO, qui doivent faire l'objet d'une connectivité irréprochable. L'exploitation malveillante ou criminelle d'éventuelles faiblesses des équipements 5G utilisés dans ces domaines pourrait avoir des conséquences désastreuses, comme la perte de contrôle de plusieurs voitures connectées ou comme l'interruption subite d'une opération chirurgicale à distance.
Ces différents arguments, qui font écho à l'existence de risques accrus dans les secteurs jugés critiques, montrent donc la nécessité d'une adaptation du cadre juridique visant à garantir la sécurité et la résilience des réseaux de communications électroniques. La proposition de loi que nous allons examiner en séance publique a pour but de répondre à cet impératif : elle prévoit un régime d'autorisation préalable, fondé sur des motifs de défense et sur des motifs de sécurité nationale, pour les équipements des réseaux de communications électroniques mobiles qui seront déployés pour diffuser la 5G.
L'article 1er de cette proposition de loi s'inspire directement d'un dispositif du code pénal, destiné à protéger le secret de la correspondance privée. Mais, élargissant cette base juridique relativement étroite au regard des nouveaux impératifs de sécurité, il soumet à une autorisation du Premier ministre « l'exploitation sur le territoire national d'appareils, à savoir tous dispositifs matériels ou logiciels, permettant de connecter les terminaux des utilisateurs finaux au réseau radioélectrique mobile », c'est-à-dire au réseau sur lequel transitent les communications électroniques des téléphones portables. Les opérateurs visés par cette autorisation sont les opérateurs d'importance vitale, dits « OIV », dans le secteur des télécoms. Leur liste est confidentielle, mais on peut avancer sans trop de risque qu'elle comprend les quatre opérateurs nationaux. Cette autorisation, destinée à préserver « les intérêts de la défense et de la sécurité nationale », sera octroyée pour un ou plusieurs modèles, et pour une ou plusieurs versions des appareils concernés. Cela permettra d'éviter de possibles lourdeurs administratives et de garantir en conséquence la liberté et la rapidité de déploiement des réseaux de communications électroniques. Le Premier ministre pourra aussi refuser l'autorisation s'il estime qu'il existe un risque sérieux d'atteinte aux « intérêts de la défense et de la sécurité nationale », c'est-à-dire que le respect des règles de confidentialité, d'intégrité, de sécurité et de continuité de l'exploitation des réseaux et de la fourniture des services n'est pas garanti. Enfin, il disposera d'un pouvoir d'injonction en cas d'exploitation sans autorisation d'un appareil pourtant soumis audit régime d'autorisation préalable.
L'article 2 détermine un régime de sanction pénale en cas d'infraction aux dispositions du nouveau régime de contrôle. À ce titre, il crée deux infractions : l'exploitation, sans autorisation préalable, d'appareils permettant la connexion au réseau mobile ; la non-exécution, totale ou partielle, des injonctions du Premier ministre. II prévoit une peine d'un an d'emprisonnement et de 150 000 euros d'amende pour toute personne physique déclarée responsable d'une de ces infractions. Le juge pourra également prononcer la confiscation des matériels ou leur destruction, ainsi qu'une interdiction, pour trois ans maximum, d'établissement de réseaux électroniques. Les personnes morales déclarées responsables pénalement encourent, quant à elle, une amende dont le taux maximal est égal au quintuple de celui prévu pour les personnes physiques. Comme pour les personnes physiques, des sanctions complémentaires seront de plus applicables aux personnes morales. Le juge pourra ainsi prononcer l'interdiction définitive ou pour une durée de cinq ans d'exercer une activité d'exploitation de réseaux radioélectriques mobiles, ainsi que la diffusion de la décision prononcée.
Enfin, l'article 3 prévoit que le régime d'autorisation préalable sera applicable à l'exploitation des appareils installés depuis le 1er février 2019. L'application rétroactive de ce dispositif implique que les opérateurs concernés préparent des dossiers de demande d'autorisation à déposer dans les deux mois suivant l'entrée en vigueur de la loi pour des équipements déjà mis en place.
Il va de soi que ce dispositif a été élaboré en concertation étroite avec les acteurs privés directement concernés et avec les autorités de régulation. Il vise à garantir un développement soutenable et sûr de la 5G et de ses usages en France. Moins qu'une révolution, il s'agit de faire évoluer une doctrine dont les acteurs sont déjà bien coutumiers. Lors de l'examen de cette proposition de loi en commission, j'ai veillé à ce que le dispositif demeure suffisamment souple pour ne pas brider les capacités d'innovation des opérateurs, des équipementiers et des industriels, ni retarder l'arrivée de la 5G en France. Outre l'adoption d'amendements rédactionnels et de précision juridique, la commission des affaires économiques, saisie au fond, a ainsi eu deux préoccupations principales : assurer un contrôle efficace de l'action des services du Premier ministre dans le cadre du régime d'autorisation préalable ; resserrer les délais administratifs prévus par ce nouveau régime afin d'assurer visibilité et sécurité juridique aux opérateurs dans le cadre de leurs investissements pour le déploiement de la 5G. En conséquence, la commission a soumis au double avis de l'ARCEP – l'Autorité de régulation des communications électroniques et des postes – et de la Commission supérieure du numérique et des postes le décret fixant les modalités de l'autorisation ainsi que la composition du dossier de demande d'autorisation et du dossier de demande de renouvellement, les deux instances ayant à se prononcer dans un délai d'un mois maximum. Elle a également soumis à l'avis de l'ARCEP la liste des dispositifs soumis au régime de l'autorisation préalable, liste qui devra être publiée dans un délai de deux mois après la promulgation de la loi.
Mes chers collègues, je souhaite que les équilibres trouvés en commission soient maintenus en séance. Il en va de la réussite du déploiement de la 5G qui est, vous l'aurez compris, un enjeu stratégique pour la France. Surtout, et je ne saurai suffisamment le rappeler, il s'agit d'un enjeu qui intéresse très directement le quotidien de nos concitoyens. Il serait faux de voir cette loi comme un texte réservé aux seuls techniciens et autres initiés car les réseaux sont le support fondamental de tous les usages innovants permis par le numérique. Il n'y a pas d'intelligence artificielle, pas de e-commerce, pas d'échanges sur les réseaux sociaux ou de démocratie numérique sans infrastructures résilientes et auxquelles les Français peuvent faire confiance. Le cloud n'est pas quelque chose d'immatériel ou d'insaisissable : il est bien tangible dans les datacenters, dans les câbles – que ceux-ci soient sous la mer ou sur la terre – et dans les antennes qui font transiter les données. De même qu'aucun d'entre nous ne passe un appel téléphonique avec l'angoisse permanente d'être écouté…