Le déploiement de la 5G s’annonce comme une révolution technologique, cela dit, il s’accompagne d’interrogations d’ordre juridique.
C’est dans ce contexte que nous abordons les sujets suivants :
 Le Réseau 5G - une nouvelle innovation pour une ère ?
 L’approche communautaire : le réseau 5G constitue-t-il un risque en matière de cybersécurité ?
 L’approche française : Un point sur la loi nº 1722 visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l’exploitation des réseaux radioélectriques mobiles ;
 L’application du RGPD au réseau 5G et les risques et opportunités associés ;
 Comment les entreprises peuvent-elles anticiper et maîtriser les risques du réseau 5G.

I. Introduction - Le Réseau 5G - une nouvelle innovation pour une ère ?

Le déploiement de la 5G s’annonce comme une révolution technologique, cela dit, il s’accompagne d’interrogations d’ordre juridique.

La 5G ne diffère de la 2G, 3G ou 4G qu’en son énorme capacité de partage de données : plusieurs gigabits de données par seconde, c’est dix fois plus que pour la 4G.

Si la multiplication d’antennes de relais 5G a créé des inquiétudes vis-à-vis de la santé publique, débat déjà tranché favorablement par l’OMS, c’est au niveau de la protection des données personnelles que la 5G doit encore faire ses preuves. En effet, en plus d’un nombre inédit de données traitées, la 5G se présente comme le réseau de l’intelligence artificiel et des logiciels autonomes.

Avec une multitude d’agents, qui porte la responsabilité en cas de manquement à la protection des données ? De plus, comment garantir une sécurité homogène ? Enfin, la conciliation des intérêts commerciaux des différents acteurs et la sécurité nationale des États pose un problème auquel l’Union Européenne s’est penchée depuis mars 2019.

II. L’approche communautaire - le 5G constitue-t-il un risque en matière de cybersécurité ?

En effet, en mars 2019, l’Union Européenne constate que la 5G pose un risque en matière de cybersécurité : dans le cas d’une faille, la sécurité nationale des États membres pourrait être grandement affectée du fait du nombre sans précédent de données qui circulent en très peu de temps. Dans une recommandation, la Commission européenne encourage les États membres à identifier au sein de leurs territoires respectifs les risques majeurs que pourraient poser ce nouveau réseau afin de mettre en place une politique pour la cybersécurité homogène, s’en suit le rapport sur l’évaluation coordonnée pour l’UE des risques liés à la cybersécurité des réseaux de cinquième génération (5G).

En avril 2020, les États membres négocient des mesures clés approuvées par la Commission.
La boite à outils en matière de cybersécurité aborde :
 les réglementations sur les télécommunications et la cybersécurité ;
 la coordination en matière de normalisation et de certification à l’échelle de l’UE ;
 le cadre de filtrage des investissements directs étrangers afin de protéger la chaîne d’approvisionnement de la 5G européenne ;
 les instruments de défense commerciale ;
 les règles de concurrence ;
 les procédures de passation des marchés publics, en veillant à ce que les aspects liés à la sécurité soient dûment pris en compte ;
 les programmes de financement de l’UE, en veillant à ce que les bénéficiaires respectent les exigences de sécurité applicables.

Les États membres ont donc convenu de renforcer les exigences de sécurité, d’évaluer les profils de risque des fournisseurs, d’appliquer des restrictions utiles aux fournisseurs considérés comme à haut risque, y compris de procéder aux exclusions nécessaires pour les actifs essentiels considérés comme critiques et sensibles (comme les fonctions de cœur de réseau), et de mettre en place des stratégies pour assurer la diversification des fournisseurs.

III. L’approche en France : vers un encadrement législatif des risques liés au réseau 5G ?

Un point sur la loi nº 1722 visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l’exploitation des réseaux radioélectriques mobiles.

En France, la loi n°1722 visant à préserver les intérêts de la défense et de la sécurité nationale de la France dans le cadre de l’exploitation des réseaux radioélectriques mobiles, aussi appelée la loi sur la sécurité de la 5G, rappelle en son préambule, que les risques en matière de cybersécurité sont d’ordre technique mais aussi liés aux usages particuliers du réseau par des industriels.

Le préambule réaffirme la position ferme de la France quant à cette technologie :

« il est inenvisageable de ne pas avoir de certitude absolue sur la sécurité et la fiabilité des réseaux […] il ne peut y avoir de compromis. »

Aussi, cette proposition de loi impose, en son article premier, une autorisation au préalable des autorités publiques avant l’installation des équipements radio électriques à partir du 1er janvier 2019, associée, dans l’article suivant, d’une sanction pénale en cas de non-respect.

(IV) L’application du RGPD au réseau 5G et les risques et opportunités associés.

Pour ce qui est de la protection des données personnelles au niveau des particuliers et des entreprises, la fédération française des télécoms assure que le Règlement Général sur la Protection des Données (le "RGDP") s’appliquera de la même manière que pour les réseaux 3G ou 4G.

Ainsi, « toute information se rapportant à une personne physique identifiée ou identifiable » (voir article 4-1 du RGPD) devra être traitée comme une donnée à caractère personnel selon application de l’article 5 du RGPD.

La Commission Nationale de l’Informatique et des Libertés (la "CNIL") ne s’est pas encore prononcée sur le sujet, mais l’on peut déjà imaginer certains changements.

Par exemple, d’après l’article 5-1(c) du RGPD, les données à caractère personnel traitées doivent être « pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées », or une intelligence artificielle sur le réseau 5G collectera des données en permanence ce qui va à l’encontre de ce principe de minimisation des données.

La question du consentement de la personne concernée par le traitement de données (article 6-1(a)) pose un autre exemple d’importance. En effet, il y a une différence entre consentir à livrer certaines données personnelles et consentir à être écouté dans certains cas, en permanence par un système qui recueille et réutilise nos données.

Cela remet sur le tapis le débat quant à la nature du consentement requis, mais aussi quant à la nécessité d’imposer des garde-fous de manière à ne pas renoncer totalement à son droit à la vie privée.

(V) L’avenir - les risques est opportunités du réseaux 5G.

Quoiqu’il en soit, le nombre sans précédent de données traitées, le développement des systèmes d’intelligence artificielle et surtout, les applications nécessitant le recueil de données en permanence pourrait très vite rendre le réseau 5G très invasif.

Afin d’éviter ceci, il est recommandé aux entreprises de conduire une évaluation poussée des risques et des menaces de que posent la 5G pour leur utilisation, notamment une analyse d’impact pour chaque nouveau service.

Également, il est important de comprendre et de bien délimiter le cadre légal dans lequel l’entreprise agit. Enfin, la transparence et la garantie d’un système de protection des données et de sécurité homogène prend d’autant plus d’importance.

Bien que le réseau de 5e génération ne soit pas encore effectif partout, et reste pour la majeure partie en phase d’implantation, il demande déjà un renforcement des mesures de sécurité des données ; il convient d’agir avec grande prudence concernant cette innovation.

Charlotte Gerrish Associée Fondatrice du Cabinet GERRISH LEGAL Paris - Londres