Monsieur le président, Madame la secrétaire d’État, Monsieur le rapporteur pour avis de la commission de la défense nationale et des forces armées, Mesdames et Messieurs les députés, mes chers collègues, la Commission européenne a officiellement émis des recommandations préalables à l’arrivée de la 5G sur le territoire de l’Union européenne. Elle a souhaité que, dès cette année, chaque État membre renforce ses exigences de sécurité en matière de réseaux radioélectriques. La proposition de loi que j’ai l’honneur de vous présenter aujourd’hui s’inscrit pleinement, et avec un temps d’avance, dans cette perspective.
Le déploiement commercial de La 5G ne fera pas qu’améliorer les services rendus à des utilisateurs toujours plus mobiles : elle accélérera prodigieusement le développement de nouveaux usages. Les exemples ne manquent pas : déploiement à grande échelle des véhicules autonomes, optimisation de la consommation énergétique, ou encore développement de nouveaux services en télé-médecine.
Plus généralement, l’arrivée de la 5G permettra de dépasser les limites de la précédente génération, la 4G, en relevant trois défis principaux : désengorger les réseaux de communications électroniques de plus en plus saturés par la massification des usages mobiles ; fournir un accès aux réseaux et un débit suffisant à une grande quantité d’objets connectés ; enfin, réduire les délais de latence pour des services innovants qui requerront des temps de réaction à l’échelle de la milliseconde. Pour toutes ces raisons, nous devons accueillir avec enthousiasme l’arrivée à maturité technologique de la 5G et réunir les conditions nécessaires au déploiement rapide de ce nouveau réseau sur le territoire français. Cependant, si les réseaux sont devenus une évidence dans nos vies, en particulier pour les plus jeunes générations, ils représentent aussi une menace, et la 5G ne fait pas exception. Son développement n’est pas sans risques et il est de notre responsabilité de les prévenir avec justesse.
Deux enjeux majeurs de cybersécurité peuvent aujourd’hui être identifiés. Le premier est celui des spécificités techniques propres à la 5G. Elles sont susceptibles d’accroître la vulnérabilité des réseaux par rapport aux générations précédentes de standards technologiques. En effet, la 5G n’est pas la 4G + 1 : les réseaux 5G offriront notamment une plus grande surface de vulnérabilité à d’éventuelles attaques en raison de leur grande capillarité, qui va supposer la multiplication des antennes, des capteurs et des nœuds informationnels par rapport aux réseaux existants. Chaque antenne pourra potentiellement devenir une partie sensible du réseau : elle ne sera plus l’extension passive du cœur de réseau, centralisé et bien protégé, comme dans les réseaux 3G et 4G actuels.
Ces spécificités techniques comprennent également le déploiement de « réseaux virtualisés », que la 5G devrait généraliser. Les équipements physiques y seront remplacés par des solutions logicielles déployées dans le cloud. Ces réseaux promettent d’être plus véloces et plus résilients, mais ils ne seront pas dépourvus de failles d’un nouveau genre. D’une manière plus générale, la 5G sera le terrain de nombreuses innovations technologiques et il faudra un grand nombre d’expérimentations et de corrections avant que le réseau ne se stabilise. Ce facteur d’imprévisibilité se traduira nécessairement par un accroissement des risques liés, d’une part, à l’utilisation de technologies non parfaitement matures et, d’autre part, au fait que la protection contre ces risques nécessitera toujours un temps d’adaptation.
Le deuxième enjeu est celui des secteurs critiques, qui exigent une sécurité absolue des réseaux et qui vont être amenés à utiliser très prochainement la technologie 5G. L’exploitation malveillante ou criminelle d’éventuelles faiblesses des équipements 5G dans ces domaines pourrait avoir des conséquences désastreuses, comme la perte de contrôle de plusieurs voitures connectées ou l’interruption subite d’une opération chirurgicale à distance. Je pense aussi à l’ensemble de nos installations et établissements porteurs d’infrastructures critiques, comme les sites classés SEVESO, qui doivent faire l’objet d’une connectivité irréprochable. Tout cela démontre la nécessité d’adapter le cadre juridique visant à garantir la sécurité et la résilience des réseaux de communications électroniques.
La proposition de loi que nous allons examiner a pour but de répondre à cet impératif. Elle prévoit un régime d’autorisation préalable, fondé sur des motifs de défense et de sécurité nationale, des équipements des réseaux de communications électroniques mobiles qui seront déployés pour diffuser la 5G.
Permettez-moi de vous décrire très brièvement le dispositif.
L’article 1er de cette proposition de loi s’inspire directement d’un dispositif du code pénal introduit pour protéger le secret de la correspondance privée. Élargissant cette base juridique relativement étroite au regard des nouveaux impératifs de sécurité, il soumet à une autorisation du Premier ministre l’exploitation, sur le territoire national, « d’appareils, à savoir tous dispositifs matériels ou logiciels » qui permettent la connexion au réseau radioélectrique mobile, c’est-à-dire au réseau sur lequel transitent les communications électroniques des téléphones portables. Les opérateurs visés par cette autorisation sont les opérateurs d’importance vitale (OIV) dans le secteur des télécoms. Leur liste est confidentielle, mais on peut avancer sans trop de risque qu’elle comprend les quatre principaux opérateurs nationaux.
Cette autorisation, destinée à préserver les intérêts de la défense et de la sécurité nationale, sera octroyée pour un ou plusieurs modèles et une ou plusieurs versions des appareils concernés. Cela permettra d’éviter de possibles lourdeurs administratives et de garantir, en conséquence, la liberté et la rapidité de déploiement des réseaux de communications électroniques.
Le Premier ministre pourra aussi refuser l’autorisation s’il estime qu’il existe un risque sérieux d’atteinte aux intérêts de la défense et de la sécurité nationale, c’est-à-dire que le respect des règles de confidentialité, d’intégrité, de sécurité et de continuité de l’exploitation des réseaux et de la fourniture de services n’est pas garanti. Il disposera enfin d’un pouvoir d’injonction en cas d’exploitation sans autorisation d’un appareil pourtant soumis au régime d’autorisation préalable.
L’article 2 détermine un régime de sanction pénale en cas d’infraction aux dispositions du nouveau régime de contrôle. Il crée deux infractions : l’exploitation sans autorisation préalable d’appareils permettant la connexion au réseau mobile et la non‑exécution, totale ou partielle, des injonctions du Premier ministre. Il prévoit une peine d’un an d’emprisonnement et de 150 000 euros d’amende pour toute personne physique déclarée responsable d’une de ces infractions. Le juge pourra également prononcer la confiscation des matériels ou leur destruction, ainsi qu’une interdiction de trois ans maximum d’établissement de réseaux électroniques.
Les personnes morales déclarées responsables pénalement encourent, quant à elles, une amende dont le taux maximal est égal au quintuple de celui prévu pour les personnes physiques. Comme pour les personnes physiques, des sanctions complémentaires seront applicables aux personnes morales. Le juge pourra prononcer l’interdiction définitive, ou pour une durée de cinq ans, d’exercer une activité d’exploitation de réseaux radioélectriques mobiles et la diffusion de la décision prononcée.
Enfin, le troisième et dernier article de cette proposition de loi prévoit que ce régime d’autorisation préalable sera applicable à l’exploitation des appareils installés depuis le 1er février 2019. L’application rétroactive de ce dispositif implique que les opérateurs concernés préparent des dossiers de demande d’autorisation dès l’entrée en vigueur de la loi, pour des équipements déjà mis en place. Ils disposeront d’un délai de deux mois à compter de cette entrée en vigueur pour déposer leur demande.
Il va de soi que ce dispositif a été élaboré en concertation étroite avec les acteurs privés directement concernés et avec les autorités de régulation. Il vise à garantir un développement soutenable et sûr de la 5G et de ses usages en France. Il s’agit moins de faire la révolution que de faire évoluer une doctrine à laquelle les acteurs sont accoutumés. Je veillerai personnellement à ce que ce dispositif demeure suffisamment souple pour ne pas brider les capacités d’innovation des opérateurs, des équipementiers et des industriels, ni retarder l’arrivée de la 5G sur l’ensemble de notre territoire.
Mes chers collègues, la réussite du déploiement de la 5G est, vous l’aurez compris, un enjeu stratégique pour la France. En garantissant sa sécurité, nous préparons notre pays aux innovations et aux investissements de demain.