Ordonnance Souveraine n° 7.680 du 16 septembre 2019 portant application de l'article 25 de la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique.
ALBERT II
PAR LA GRÂCE DE DIEU
PRINCE SOUVERAIN DE MONACO
Vu la Constitution ;
Vu la loi n° 1.435 du 8 novembre 2016 relative à la lutte contre la criminalité technologique ;
Vu Notre Ordonnance n° 5.664 du 23 décembre 2015 créant l'Agence Monégasque de Sécurité Numérique, modifiée ;
Vu la délibération du Conseil de Gouvernement en date du 4 septembre 2019 qui Nous a été communiquée par Notre Ministre d'État ;
Avons Ordonné et Ordonnons :
Article Premier.
Lorsque l'Agence Monégasque de Sécurité Numérique a connaissance de l'existence d'une attaque visant les systèmes d'information de la Principauté et de nature à nuire substantiellement à ses intérêts fondamentaux, qu'ils soient de nature publique ou privée, les fonctionnaires et agents mentionnés au second alinéa de l'article 24 de la loi n° 1.435 du 8 novembre 2016, susvisée, peuvent, en application de l'article 25 de la loi précitée, obtenir des opérateurs de communications électroniques, exploitant des réseaux ou fournisseurs de services de télécommunications ou d'accès à Internet, ainsi que des propriétaires des systèmes d'information à l'origine de l'attaque, les données techniques strictement nécessaires à la caractérisation de ladite attaque.
Au sens de la présente ordonnance, les données techniques s'entendent de :
a) la cartographie ;
b) la matrice des flux de données ;
c) les journaux d’événements ;
d) les journaux de connexion ;
e) l'horodatage des communications électroniques ;
f) les données relatives aux équipements terminaux ;
g) les données permettant d'identifier le ou les destinataires des communications électroniques ;
h) les données permettant d'identifier l'origine et la localisation des communications électroniques ;
i) les adresses postales associées ;
j) les pseudonymes utilisés ;
k) les adresses de courrier électronique ou de compte associé ;
l) le numéro de téléphone et informations permettant d'identifier le ou les utilisateurs.
Art. 2.
Seuls les fonctionnaires et les agents de l'Agence Monégasque de Sécurité Numérique, individuellement désignés par le Directeur de l'Agence Monégasque de Sécurité Numérique peuvent obtenir les données mentionnées à l'article premier.
Le Directeur de l'Agence Monégasque de Sécurité Numérique tient un registre des demandes desdites données permettant leur traçabilité ainsi que leur horodatage.
Les demandes doivent comporter :
- un numéro d'enregistrement de la demande ;
- la date de la demande ;
- la liste des informations, données ou documents demandés ;
- la période sur laquelle les informations, données ou documents sont demandés ;
- un délai de réponse ;
- le nom et la signature du demandeur.
Les données demandées sont transmises, dans les délais requis, au Directeur de l'Agence Monégasque de Sécurité Numérique, par tout moyen permettant d'en assurer la confidentialité, l'intégrité, la traçabilité et l'horodatage.
Art. 3.
Dans le cadre d'une attaque telle que visée à l'article premier, l'Agence Monégasque de Sécurité Numérique peut mettre en œuvre, sur le réseau des opérateurs de communications électroniques, exploitant des réseaux ou des fournisseurs de services de télécommunications ou d'accès à Internet, ainsi que sur le réseau des propriétaires des systèmes d'information à l'origine de l'attaque, des dispositifs techniques de collecte de données, aux seules fins de caractériser l'attaque.
Ces dispositifs sont mis en œuvre pour la durée strictement nécessaire à la caractérisation de l'attaque.
Art. 4.
Les données visées à l'article premier et à l'article 3 ne peuvent être exploitées qu'aux seules fins de caractériser l'attaque affectant la sécurité desdits systèmes d'information.
Seules les données utiles à la caractérisation des attaques, recueillies directement par l'Agence Monégasque de Sécurité Numérique, peuvent être conservées pour une durée maximum de dix ans.
Art. 5.
Lorsqu'une attaque est caractérisée conformément à l'article premier et à l'article 3, l'Agence Monégasque de Sécurité Numérique peut demander aux opérateurs de communications électroniques, exploitant des réseaux ou aux fournisseurs de services de télécommunications ou d'accès à Internet, ainsi qu'aux propriétaires des systèmes d'information à l'origine de l'attaque de prendre les mesures techniques sur le territoire de la Principauté nécessaires à la neutralisation de ses effets.
Si lesdites personnes ne sont pas en capacité de prendre les mesures techniques nécessaires à la neutralisation des effets de l'attaque, elles peuvent demander, à une personne qualifiée de leur choix ou à l'Agence Monégasque de Sécurité Numérique, de procéder à ladite neutralisation. Dans le cadre de cette demande, la responsabilité de la neutralisation reste du ressort des opérateurs de communications électroniques, exploitant des réseaux ou aux fournisseurs de services de télécommunications ou d'accès à Internet, ainsi que des propriétaires des systèmes d'information visés au premier alinéa.
Les demandes de neutralisation adressées à l'Agence Monégasque de Sécurité Numérique sont effectuées au moyen d'un formulaire disponible et téléchargeable sur https://amsn.gouv.mc/oiv/.
Art. 6.
Notre Secrétaire d'État, Notre Directeur des Services Judiciaires et Notre Ministre d'État sont chargés, chacun en ce qui le concerne, de l'exécution de la présente ordonnance.
Donné en Notre Palais à Monaco, le seize septembre deux mille dix-neuf.
ALBERT.
Par le Prince,
Le Secrétaire d'État :
J. BOISSON.