LPM kezako ?
Une loi de programmation militaire (LPM) est une loi de finances publiques concernant le budget de la défense, qui engage l’État français pour plusieurs années. Celle actuellement en vigueur, la LPM 2019-2025 a été promulguée en 2018 et aucun nouveau projet de LPM n'aurait dû être mis à l'agenda avant l'année prochaine. Cependant, du fait de l'inflation des prix de l'énergie, des crises sanitaires et climatiques, des dépenses liées à la guerre en Ukraine, des nouvelles formes de menace ou encore, d'après certains membres de l'opposition, pour faire oublier la séquence des retraites dont le Gouvernement peine à se défaire, un nouveau projet de loi qui devrait abroger le précédent est actuellement débattu lors des séances publiques de l'Assemblée nationale, en vue de faire promulguer une loi de programmation militaire au titre des années 2024 à 2030, probablement autour du 14 juillet, comme l'avait été le précédent.
Le Gouvernement, en vertu de l'article 45 de la Constitution, a adopté la procédure accélérée qui ne permet qu'une seule lecture par l'Assemblée et par le Sénat, pour limiter la navette parlementaire et la durée d'examen. Les discussions en séances publiques ayant débuté le lundi 22 mai devraient s'y poursuivre jusqu'au vendredi 2 juin, avant de se conclure par un vote solennel le mercredi 7 juin. Les débats et examens des différents amendements déposés contre le projet proposé par le Gouvernement et examiné par la commission de la défense nationale et des forces armées se déroulent dans l'ordre, c'est-à-dire qu'ils suivent l'ordre des articles du projet de loi et, en ce qui nous concerne, les articles consacrés au numérique se trouvent à la fin. Il n'est pas dit que l'Assemblée puisse trouver le temps de les examiner et nous ne pouvons qu'espérer que les législateurs y prêteront pourtant une attention particulière, tant les champs qu'ils couvrent apparaissent larges.
Outre le numérique, le projet de loi traite de nombreux éléments qui intéressent les armées françaises. D'abord une augmentation historique du budget global, qui tient pourtant compte d'une réduction des acquisitions et dépenses traditionnelles relatives aux blindés et aux flottes marines et aériennes. Ensuite, une augmentation des effectifs de militaires d'active et de réserve ainsi que de leur rémunération et leur indemnisation, une augmentation également de leurs capacités de recueil d'informations sur les personnes mises en causes par la justice lors de leur recrutement, la protection de l'anonymat des agents et anciens agents de renseignement et des forces spéciales, puis une simplification de certaines réquisitions en cas de besoin, ou encore la possibilité d'obliger les fournisseurs de matériels de guerre et munitions à constituer des stocks stratégiques ou de prioriser, sur demande de l'administration, la commande publique sur tout autre contrat qu'elles pourraient avoir par ailleurs.
En ce qui nous concerne, détaillons par le menu les articles qui traitent de numérique, tels la lutte contre les drones, la législation sur les câbles sous-marins, la lutte contre les menaces cyber et l'augmentation des pouvoirs d'accès aux données et de blocage de l'agence nationale de la sécurité des systèmes d'information (ANSSI).
Que dit le projet de loi ?
- Article 27 : Moyens de lutte contre les drones
Les services de l’État peuvent utiliser des dispositifs [...] destinés à rendre inopérant ou à neutraliser un aéronef circulant sans personne à bord, en cas de menace imminente, pour les besoins de l’ordre public, de la défense et la sécurité nationales ou du service public de la justice ou afin de prévenir le survol par un tel aéronef d’une zone [interdite, définie par l'autorité administrative]...
Dans l'exposé des motifs (rappelez-vous ce que nous vous indiquions dans le dossier sur le règlement MiCA : il s'agit de la partie du texte qui traite du raisonnement juridique), le projet de loi fait état d'une nette augmentation des incidents liés aux drones, notamment en ce qui concerne le survol de centrales nucléaires ou d'établissements pénitentiaires, ainsi que de la menace qu'ils représenteraient concernant le terrorisme. Cet exposé donne un inventaire des nouveaux moyens destinés à les rendre inopérants ou à les neutraliser et il comprend le brouillage électronique, les armes à effets électromagnétiques dirigés, les drones intercepteurs de drones ainsi que les dispositifs de filets anti-drones. Si vous avez, comme votre serviteur, suivi les débats à l'Assemblée sur la loi "JO 2024" (si c'est le cas, je compatis), vous noterez sans-doute, non sans malice, l'absence de la mention de goélands comme moyen de lutte contre les drones.
- Article 31 : Câbles sous-marins de communication
Les activités d’études préalables à la pose ou à l’enlèvement d’un câble ou de pipeline sous‑marin en mer territoriale sont subordonnées à la délivrance d’une autorisation dans des conditions fixées par décret en Conseil d’État.
Cette autorisation prend en compte les incidences que peuvent avoir ces activités sur la sécurité de la navigation, la protection de l’environnement ou des biens culturels maritimes, ou la sauvegarde des intérêts de la défense nationale.
C'est un flou juridique qu'entend combler cet article, en plus d'uniformiser des pratiques jusqu'ici diverses. Il s'agit de soumettre à un régime d'autorisation préalable la conduite d'études (carottage, détection de mines, relevés bathymétriques) en vue de poser ou enlever un câble ou un pipe-line sous-marin en mer territoriale. Lorsque l'on sait l'importance de ces vecteurs sur le transfert intercontinental des données numériques, outre les incidences environnementales de telles études, l'on comprend assez facilement que la puissance publique se saisisse de ces questions pour des raisons de souveraineté.
- Article 32 : Blocage de noms de domaine
Lorsqu’il est constaté qu’une menace susceptible de porter atteinte à la sécurité nationale résulte de l’exploitation d’un nom de domaine [...] l’autorité nationale de sécurité des systèmes d’information peut demander à ce titulaire de prendre les mesures adaptées pour neutraliser cette menace dans un délai qu’elle lui impartit.
En l’absence de neutralisation de cette menace dans le délai imparti, l’autorité nationale peut demander [aux FAI et aux hébergeurs résolvant des DNS ainsi qu'aux registrars] de bloquer le nom de domaine...
Ce dispositif étend de manière très vaste les pouvoirs de l'ANSSI qui pourra, au nom de la sécurité nationale, faire procéder sans délai au blocage, à la révocation ou au transfert d'un nom de domaine, sans contrôle d'un juge. Les motifs invoqués (préserver l'intégrité du réseau, neutraliser des cyberattaquants, etc.) sont toujours nobles, à l'instar de toutes les missions de l'ANSSI (service placé sous l'autorité du Premier ministre) et de tous les motifs invoqués par le passé pour justifier ce type d’immixtions sur les platebandes du pouvoir judiciaire mais il est à prévoir que les parlementaires, associations, et autres organisations ayant à cœur de défendre la neutralité du net ou de lutter contre les censures potentiellement arbitraires risquent d'y trouver à redire. Cet article prescrit également à 10 ans la limite de durée de conservation des données utiles à la caractérisation des menaces.
- Article 33 : Communication des données DNS à l'ANSSI
Pour les besoins de la sécurité des systèmes d’information et aux seules fins de détecter et de caractériser des attaques informatiques, les opérateurs de communications électroniques ou les fournisseurs de système de résolution de noms de domaine transmettent aux agents de l’autorité nationale de sécurité des systèmes d’information individuellement désignés et spécialement habilités les données techniques non identifiantes enregistrées de manière temporaire par leurs serveurs gérant le système d’adressage par domaines....
Cette fois-ci, ce sont les données "techniques et non-identifiantes" enregistrées temporairement par les résolveurs DNS qui sont visées afin de "permettre de détecter les serveurs mis en place par les attaquants et d'établir la chronologie de leurs attaques". On demeure, avec cet article, dans l'extension des pouvoirs de l'ANSSI sans contrôle judiciaire préalable.
- Article 34 : Communication des incidents et vulnérabilités
En cas de vulnérabilité significative affectant un de leurs produits ou en cas d’incident informatique compromettant la sécurité de leurs systèmes d’information susceptible d’affecter un de leurs produits, les éditeurs de logiciel notifient à l’autorité nationale de sécurité des systèmes d’information cette vulnérabilité ou cet incident ainsi que l’analyse de ses causes et conséquences. Cette obligation s’applique aux éditeurs qui fournissent ce produit.
[...]
Les éditeurs de logiciel informent dans les meilleurs délais les utilisateurs recourant à ce produit. À défaut, l’autorité nationale de sécurité des systèmes d’information peut enjoindre aux éditeurs de logiciel de procéder à cette information. Elle peut également informer les utilisateurs ou rendre publics cette vulnérabilité ou cet incident ainsi que son injonction aux éditeurs si celle‑ci n’a pas été mise en œuvre.
À l'heure actuelle, les éditeurs de logiciels sont déjà tenus par la loi de prévenir leurs clients et utilisateurs lorsque leurs systèmes font l'objet d'un piratage. Cette nouvelle mesure, permettant à l'ANSSI de dégrader grandement leur image en cas de manquement à ces obligations, est avant tout incitative et vise à davantage de transparence.
- Article 35 : Le meilleur pour la fin
Lorsqu’elle a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information des autorités publiques, [ou des opérateurs assurant des missions critiques], l’autorité nationale de sécurité des systèmes d’information peut mettre en œuvre, sur le réseau d’un opérateur de communications électroniques, [d'un FAI, d'un hébergeur] ou d’un opérateur de centre de données :
- 1° Des dispositifs mettant en œuvre des marqueurs techniques ;
- 2° Des dispositifs permettant le recueil de données sur le réseau d’un opérateur [ci-dessus énumérés] affecté par la menace.
[...]
Pour les besoins de la sécurité et de la défense des systèmes d’information, les opérateurs [...] désignés en vertu de leur activité d’exploitant d’un réseau de communications électroniques ouvert au public, recourent, sur les réseaux de communications électroniques qu’ils exploitent, à des dispositifs mettant en œuvre des marqueurs techniques fournis par l’autorité nationale de sécurité des systèmes d’information aux seules fins de détecter des événements susceptibles d’affecter la sécurité des systèmes d’information de leurs abonnés.
Lorsqu’elle a connaissance d’une menace susceptible de porter atteinte à la sécurité des systèmes d’information, l’autorité nationale de sécurité des systèmes d’information demande aux opérateurs de communications électroniques d’exploiter les marqueurs techniques qu’elle fournit...
Avant-dernier article du projet de loi (le dernier concerne l'application de cette loi pour les ultramarins), ce dispositif est.. assez drastique, pour dire les choses de façon mesurée. Il est absolument possible que sa place dans la nomenclature soit le fruit d'une sorte de hasard ou d'un enchaînement tout à fait cohérent, nous ne nous risquerons pas à émettre des supputations. Reste à espérer que le calendrier parlementaire lui accorde le temps d'être débattu sereinement et complètement tant son adoption semblerait lourde de conséquences.
Si le texte partiellement reproduit ci-dessus est déjà plutôt parlant, la lettre même de l'exposé des motifs précise notamment que cet article 35 complète le code de la défense en "étendant les données recueillies au contenu des communications qui transitent par les réseaux (pouvant lui révéler l’identité des victimes, etc.) et, plus largement, en permettant à l’ANSSI d’obtenir la copie du serveur utilisé par l’attaquant" mais il ne s'arrête pas là puisqu'il précise encore "incluant les opérateurs de centres de données dans le périmètre des opérateurs sur lesquels l’ANSSI pourrait apposer des marqueurs techniques ou obtenir la copie de leurs serveurs" et même "incluant les sous‑traitants des autorités publiques, des opérateurs d’importance vitale et des opérateurs de services essentiels au profit desquels l’ANSSI peut détecter et caractériser des événements susceptibles d’affecter la sécurité de leurs systèmes d’information."
Enfin, il comporte également une "obligation de communication de l’identité et de l’adresse d’utilisateurs ou de détenteurs de SI vulnérables et élargit le périmètre de cette communication aux données techniques des sous‑traitants des opérateurs d'importance vitale, opérateurs de services essentiels et autorités publiques...", ceci afin de s'adapter au cloud en particulier. D'après l'économiste Bruno Alomar, cette disposition est susceptible de miner le développement de la doctrine du cloud de confiance qu'essaie de lancer la France, ainsi que l'harmonisation européenne au sujet de la protection des données personnelles.
Pour pallier l'absence de recours à un juge, le garde-fou proposé dans le dernier alinéa de cet article est le suivant : lorsqu'il devient nécessaire de procéder au renouvellement des mesures énumérées ci-dessus, donc a posteriori, c'est l'Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (autorité indépendante dont les membres sont nommés par le Président de la République, celui de l'Assemblée et celui du Sénat) qui aura à émettre un avis de conformité.
Cet article, assurément, ne manquera pas de faire couler de l'encre.
Et ensuite ?
Les articles n° 7, 8 et 9 prévoient des modalités d'information et de consultation du Parlement à différentes étapes pendant la durée de cette LPM. En premier lieu, l'article 7 impose que cette loi soit actualisée à mi-parcours, soit avant la fin de l'année 2027, en fonction du contexte sécuritaire et technologique, ainsi que pour contrôler l'allocation budgétaire. Les deux articles suivants enjoignent au Gouvernement de transmettre au Parlement bilans et rapports, respectivement avant les mois de mai et juillet de chaque année. Il s'agit d'une mesure nouvelle et il conviendra de juger sur pièces ce que contiennent ces bilans et rapports, le secret défense allant nécessairement occulter des informations potentiellement pertinentes.
Ce projet de loi devrait très probablement être adopté, la plupart des parlementaires (à l'exception notable d'une partie de l'intergroupe NUPES) s'accordant à dire que les circonstances nécessitent une mise à jour de la LPM actuelle. Pour autant, rien n'est encore acté, et ce pour différentes raisons :
- Premièrement, s'il est adopté, il ne le sera certainement pas en l'état. De nombreux amendements ont été déposés, par tous les bancs de l'Assemblée, et le ministre de la Défense a déjà annoncé qu'il entendait donner un avis favorable à certains ;
- Ensuite il convient de rappeler que le groupe majoritaire ne dispose pas de majorité absolue et que l'exécutif joue depuis plusieurs mois un pas-de-deux avec le groupe du parti Les Républicains dont il dépend pour s'assurer des votes majoritaires à l'Assemblée. Or tout cela est politique et, si le Gouvernement a déjà effectué plusieurs concessions à leur endroit dans ce projet de loi si, par un savant calcul politique, les députés LR décidaient de s'abstenir de voter, ne serait-ce que la moitié d'entre eux, l'exécutif se trouverait en difficulté ;
- De manière générale, la droite (majoritaire au Sénat) et l'extrême-droite de l'échiquier politique ont tendance à accueillir favorablement les dispositifs sécuritaires. Cependant, ces deux groupes demeurent des groupes d'opposition et ils ne manqueront pas de faire entendre une voix, dissonante sinon dissidente, susceptible d'estimer que le projet ne va, par exemple, pas assez loin sur certains points ;
- Enfin, la Première ministre a annoncé, après l'avoir utilisé pour la 11ème fois en 6 mois, renoncer à l'emploi des dispositions du 3ème alinéa de l'article 49 de la Constitution hors textes budgétaires et, si cette annonce n'est pas légalement contraignante, il serait assez inattendu que le Gouvernement utilise, pour cette LPM, ce mécanisme permettant d'imposer un vote bloqué.
S'il est donc validé par les députés, ce projet sera par la suite examiné par les sénateurs. Si ces derniers ne le valident pas sans modifications, il finira son parcours par un passage en commission mixte paritaire pour que les deux chambres du Parlement trouvent un accord, le Palais Bourbon ayant le dernier mot s'ils n'y parviennent pas. Enfin, une fois purgée une éventuelle saisine du Conseil Constitutionnel, Emmanuel Macron sera en mesure de promulguer la loi à sa convenance.
Pour consulter le texte intégral actuellement discuté à l'Assemblée, rendez-vous sur ce lien
