VII. LES RECOMMANDATIONS DE LA COMMISSION D'ENQUÊTE
A. ÉLARGIR L'INTERDICTION DE L'APPLICATION DÉJÀ DÉCIDÉE POUR LES FONCTIONNAIRES AUX OPÉRATEURS D'IMPORTANCE VITALE (OVI)
Constat : l'application est désormais interdite pour les fonctionnaires. Cette interdiction est justifiée étant donnés les risques identifiés par le présent rapport. Toutefois, le périmètre de cette interdiction interroge : n'est-on pas resté « au milieu du gué » ? De nombreuses personnes jouant un rôle important pour la continuité de la vie du pays et pour sa sécurité peuvent en effet continuer à l'installer sur leur terminal portable. Se pose donc la question de l'extension de cette interdiction à d'autres personnes.
Les articles L. 1332-1 à L. 1332-7, L. 2151-1 à L. 2151-5 et R. 1332-1 à R. 1332-42 du code de la défense définissent le régime s'appliquant à plusieurs centaines d'opérateurs d'importance vitale (OVI) en France. Ces opérateurs sont soumis à certaines obligations du fait qu'ils concourent à la production et à la distribution de biens ou de services indispensables à l'exercice de l'autorité de l'État, au fonctionnement de l'économie, au maintien du potentiel de défense ou à la sécurité de la Nation (activités d'importance vitale). Pour se protéger contre les actes de malveillance (terrorisme, sabotage) et les risques naturels, technologiques et sanitaires, les OVI doivent établir des plans pour assurer la continuité de leur activité industrielle (production d'électricité, transport ferroviaire, raffinage pétrolier...). Dans le domaine de la sécurité des systèmes d'information, les OIV doivent ainsi identifier leurs systèmes indispensables à la continuité de leur activité industrielle et les « durcir ».
Dans leur fonctionnement habituel, la plupart des terminaux portables des personnels de ces OVI ne participent probablement pas du bon fonctionnement du système d'importance vitale. En revanche, la sécurité des activités d'importance vitale (SAIV) a bien vocation à s'appliquer dans les situations de crise. Si une telle situation advenait, sous la forme, par exemple, d'une crise entre notre pays et la Chine ou entre notre pays et un pays ami de la Chine, il serait inquiétant que les employés ayant un rôle important dans les OIV aient sur leur smartphone une application susceptible, d'une part, de diffuser de la désinformation ou de censurer une grande partie de ses contenus (comme cela s'est produit lors du début de la guerre en Ukraine), mais aussi capable de collecter des données telles que la localisation ou le carnet d'adresse, d'activer le micro ou la camera, etc.
Cette mesure de prudence pourrait également s'appliquer à certains Opérateurs de services essentiels230(*) à l'occasion de l'entrée en vigueur de la directive européenne NIS 2. En 2016, la directive NIS 1 visait à augmenter le niveau de cybersécurité des acteurs majeurs de dix secteurs d'activité (soit quelques centaines d'entités en France). La nouvelle directive, qui entrera en application au deuxième semestre 2024 au plus tard, élargira son périmètre d'application à des milliers d'entités dans plus de dix-huit secteurs. Elle concernera notamment des administrations, des entreprises de toute taille mais aussi certaines collectivités territoriales. Ce périmètre peut ainsi constituer un champ d'application pour étudier un nouvel élargissement de l'interdiction de TikTok en raison des risques posés par l'application.
Recommandation n° 1 : Élargir l'interdiction de l'application TikTok aux personnels identifiés comme devant jouer un rôle important en cas de crise au sein des opérateurs d'importance vitale (OVI). Après l'entrée en vigueur de la directive européenne NIS 2, élargir le champ d'application de l'interdiction de TikTok à certaines entités visées par la nouvelle directive, après une évaluation des risques au cas par cas.
* 230 Les opérateurs de Services Essentiels sont des « opérateurs, publics ou privés, offrant des services essentiels au fonctionnement de la société ou de l'économie et dont la continuité pourrait être gravement affectée par des incidents touchant les réseaux et systèmes d'information nécessaires à la fourniture desdits services ». (Article 5 de la loi du 26 février 2018.)