Déploiement des réseaux 5G au sein de l'UE: des retards et des questions de sécurité encore sans réponse

Synthèse

I Les systèmes de télécommunication de «cinquième génération», plus connus sous le nom de 5G, établissent une nouvelle norme mondiale de communication mobile qui offre une capacité et des vitesses de transmission des données bien plus élevées. Les services 5G sont essentiels au fonctionnement d'un large éventail d'applications innovantes susceptibles de bouleverser de nombreux secteurs de nos économies et d'améliorer la vie quotidienne des citoyens. La 5G revêt donc une importance stratégique pour l'ensemble du marché unique.

II Dans son plan d'action pour la 5G, adopté en 2016, la Commission a fixé pour objectif de garantir une couverture 5G ininterrompue dans toutes les zones urbaines et sur les principaux axes de transport à l'horizon 2025. En mars 2021, elle a étendu cet objectif à toutes les zones habitées à l'horizon 2030.

III Bien que la 5G soit susceptible d'apporter de nombreuses possibilités de croissance, elle s'accompagne également de certains risques. Dans sa recommandation de 2019 sur la cybersécurité des réseaux 5G, la Commission a mis en garde contre la dépendance de nombreux services critiques à l'égard des réseaux 5G, qui rendrait particulièrement graves les conséquences de perturbations généralisées. En outre, étant donné le caractère transfrontalier des menaces, toute vulnérabilité importante ou tout incident de cybersécurité majeur dans un État membre auraient des répercussions sur l'Union dans son ensemble. L'un des résultats de la recommandation de la Commission a été l'adoption en janvier 2020 de la boîte à outils de l'UE pour la sécurité des réseaux 5G (ci-après la «boîte à outils»).

IV Le coût total du déploiement de la 5G dans toute l'UE pourrait atteindre 400 milliards d'euros. Au cours de la période 2014‑2020, l'Union a octroyé plus de 4 milliards d'euros de financement à des projets liés à la 5G.

V Nous avons examiné si la Commission avait efficacement aidé les États membres à atteindre les objectifs de l'UE en matière de déploiement de leurs réseaux 5G et à répondre de manière concertée aux préoccupations sur la sécurité de ces réseaux. Nous avons analysé différents aspects liés tant au déploiement des réseaux 5G, pour lequel 2020 a été une année décisive, qu'à leur sécurité. Le présent rapport vise à fournir des informations et des recommandations en vue du déploiement rapide de réseaux 5G sûrs dans tous les pays de l'UE. Notre audit a été centré sur la Commission, mais il a également porté sur le rôle des administrations nationales et d'autres acteurs.

VI Il ressort de notre audit que le déploiement des réseaux 5G par les États membres accuse des retards. Fin 2020, 23 États membres avaient lancé des services commerciaux basés sur la 5G et avaient atteint l'objectif intermédiaire d'offrir un accès 5G dans au moins une grande ville. Toutefois, les États membres ne font pas tous référence aux objectifs de l'UE pour 2025 et 2030 dans leur stratégie nationale relative à la 5G ou dans leur programme national dans le domaine du haut débit. En outre, dans plusieurs pays, le code des communications électroniques européen n'a pas encore été transposé en droit national et l'attribution des fréquences 5G a pris du retard. Plusieurs facteurs expliquent ce retard: une faible demande de la part des opérateurs de réseaux mobiles (ORM), des problèmes de coordination transfrontalière avec les pays tiers aux frontières orientales, l'impact de la crise sanitaire sur le calendrier de la mise aux enchères et l'incertitude quant à la manière de traiter les questions de sécurité. L'ampleur du retard pris par les États membres dans le déploiement de la 5G compromet la réalisation des objectifs de l'UE. La Commission a soutenu les États membres dans la mise en œuvre du plan d'action pour la 5G adopté en 2016 par des initiatives contraignantes et d'autres non contraignantes, des orientations et des financements consacrés à la recherche dans le domaine de la 5G. Cependant, elle n'a pas défini clairement le niveau de qualité de service attendu des réseaux 5G.

VII La boîte à outils de l'UE pour la sécurité des réseaux 5G énonce un certain nombre de mesures stratégiques, techniques et de soutien visant à contrer les menaces pour la sécurité de ces réseaux et désigne les acteurs concernés par chacune de ces mesures. Plusieurs d'entre elles concernent les équipementiers 5G à haut risque. Cette boîte à outils a été approuvée par la Commission et le Conseil européen. Les critères y figurant composent un cadre opérationnel utile pour évaluer le profil de risque des fournisseurs de manière coordonnée dans tous les États membres. Pour autant, la réalisation de cette évaluation reste du ressort des États. La boîte à outils a été adoptée à un stade précoce du déploiement de la 5G, mais plusieurs ORM avaient déjà sélectionné leurs fournisseurs. Depuis lors, le renforcement de la sécurité des réseaux 5G a progressé, puisqu'une majorité d'États membres ont appliqué des restrictions à l'égard des équipementiers à haut risque ou sont en passe de le faire. Dans les années à venir, la législation sur la sécurité des réseaux 5G adoptée par les États membres sur la base de la boîte à outils pourrait faire converger les approches à l'égard des équipementiers 5G à haut risque. Toutefois, aucune des mesures proposées n'étant juridiquement contraignante, la Commission n'a pas le pouvoir de les faire appliquer. Par conséquent, il subsiste un risque que la boîte à outils ne permette pas, en soi, de garantir que les États membres abordent les aspects liés à la sécurité des réseaux de manière concertée.

VIII La Commission a commencé à s'attaquer au problème des subventions étrangères accordées aux équipementiers 5G et de leurs éventuelles implications sur le plan de la sécurité. Elle ne dispose pas d'informations suffisantes en ce qui concerne le traitement réservé par les États membres aux coûts de remplacement susceptibles de survenir si les ORM devaient être contraints de retirer des réseaux de l'UE les équipements de fournisseurs à haut risque sans période de transition.

IX Nous recommandons à la Commission:

• de promouvoir le déploiement homogène et rapide des réseaux 5G au sein de l'UE;
• de favoriser une approche concertée en matière de sécurité des réseaux 5G entre les États membres;
• d'effectuer un suivi des approches adoptées par les États membres à l'égard de la sécurité des réseaux 5G et d'évaluer l'incidence des divergences sur le fonctionnement efficace du marché unique.

Introduction

Qu'est-ce que la 5G et quelle est son importance?

01 Les systèmes de télécommunication de «cinquième génération», plus connus sous le nom de 5G, établissent une nouvelle norme mondiale de communication mobile. Par rapport aux réseaux 3G et 4G, la 5G offre une capacité et des vitesses de transmission des données bien plus élevées. Elle intègre des éléments de réseaux fondés sur des technologies de communication sans fil et mobile de générations antérieures, mais elle ne constitue pas pour autant une simple évolution de ces réseaux. Elle assure une connectivité universelle à très haut débit et à faible latence aux utilisateurs ainsi qu'aux appareils connectés.

02 La 5G permettra de connecter plus de dispositifs que jamais dans ce qu'on appelle l'«internet des objets». Selon les estimations, on comptait 22 milliards d'appareils connectés utilisés dans le monde à la fin de 2018. Ce chiffre devrait augmenter pour atteindre environ 50 milliards d'ici à 2030¹, ce qui créera un immense réseau d'appareils interconnectés de toutes sortes, allant des smartphones aux appareils de cuisine. La consommation mensuelle mondiale de données mobiles, qui était de 12 exaoctets en 2017², devrait atteindre plus de 5 000 exaoctets en 2030³.

03 Les services 5G sont essentiels au fonctionnement d'un large éventail d'applications innovantes susceptibles de bouleverser de nombreux secteurs de l'économie de l'UE et d'améliorer la vie quotidienne des citoyens (voir figure 1). Selon une étude réalisée en 2017 pour la Commission, l'introduction de la 5G dans quatre grands secteurs industriels stratégiques (automobile, santé, transports et énergie) permettra de générer des bénéfices pouvant aller jusqu'à 113 milliards d'euros par an⁴. L'étude prévoit également que le déploiement de la 5G devrait créer 2,3 millions d'emplois dans les États membres. Selon une étude menée en 2021, la 5G entraînera une hausse de 1 000 milliards d'euros du produit intérieur brut (PIB) européen sur la période 2021‑2025, et elle pourrait donner lieu à la création ou à la transformation de 20 millions d'emplois dans tous les secteurs de l'économie⁵.

Préoccupations en matière de sécurité

04 Bien que la 5G soit susceptible d'apporter de nombreuses possibilités de croissance, elle s'accompagne également de certains risques (voir, à l'annexe I, la liste des principales possibilités et des principaux risques associés à la 5G). L'un de ces risques est lié aux menaces pesant sur la sécurité. Les systèmes de télécommunication ont toujours été exposés au risque de cyberattaques (voir annexe I)⁶. Les questions de sécurité sont particulièrement préoccupantes dans le cas de la 5G, dans la mesure où elle offre une surface d'attaque plus importante que les systèmes de communication 3G ou 4G en raison de la nature de sa technologie et notamment de sa dépendance à l'égard des logiciels⁷.

05 Comme les réseaux 5G sont amenés à constituer l'épine dorsale d'un large éventail de services et d'applications, la disponibilité de ces réseaux deviendra un enjeu de sécurité majeur aux niveaux national et de l'UE. Si des pirates venaient à pénétrer un réseau 5G, ils pourraient compromettre ses fonctions essentielles en vue de perturber des services ou de prendre le contrôle d'infrastructures critiques (par exemple les réseaux électriques), qui revêtent souvent une dimension transfrontalière au sein de l'UE. Selon certaines études, l'impact économique de la cybercriminalité dans le monde pourrait atteindre 5 000 milliards d'euros par an, soit plus de 6 % du PIB mondial en 2020⁸.

06 Un autre enjeu en matière de sécurité des réseaux 5G réside dans le rôle critique joué par un petit nombre d'équipementiers dans la construction et l'exploitation de ces réseaux. Cette situation accroît l'exposition aux risques de rupture d'approvisionnement en cas de dépendance à l'égard d'un seul équipementier, en particulier si ce dernier est jugé à haut risque, et notamment s'il peut être soumis à l'ingérence d'un pays tiers. En 2019, le groupe de coopération sur les réseaux et les systèmes d'information (SRI), composé de représentants des États membres et d'organes de l'UE, a mis en évidence le risque que des «acteurs étatiques hostiles» puissent obtenir un point d'entrée aisé vers un réseau 5G, soit parce qu'ils disposent d'un accès privilégié, soit en exerçant une pression sur un équipementier, soit en invoquant des dispositions légales nationales⁹ (voir encadré 1). C'est dans ce contexte que l'UE a commencé à élaborer des initiatives dans le domaine de la sécurité des réseaux 5G.

07 La confidentialité et la vie privée pourraient également être menacées, étant donné que les opérateurs de télécommunications confient souvent leurs données à des centres de données. Le risque existe que ces données soient stockées sur des équipements provenant d'équipementiers 5G et situés dans des pays tiers qui n'offrent pas les mêmes niveaux de protection juridique et de protection des données qu'au sein de l'UE.

Initiatives concernant la 5G prises au niveau de l'UE

08 Le cadre stratégique relatif aux réseaux 5G et à leur sécurité se compose à la fois d'une «législation contraignante», ayant force de loi et force exécutoire (par exemple des règlements), et d'une «législation non contraignante» (par exemple des communications de la Commission). L'annexe III présente le cadre juridique et stratégique. La figure 2 recense les principaux documents stratégiques y afférents ainsi que les grands objectifs.

Rôles et responsabilités

09 Bien que la responsabilité de déployer des réseaux 5G sûrs en utilisant les équipements vendus par les fournisseurs de technologies incombe aux opérateurs de réseaux mobiles (ORM) et que celle de la sécurité nationale relève des États membres, la sécurité des réseaux 5G n'en reste pas moins une question d'importance stratégique pour l'ensemble du marché unique et pour la souveraineté technologique de l'UE¹². C'est pourquoi la Commission et les agences de l'UE soutiennent et coordonnent les actions des États membres pour ce qui est des aspects techniques et de sécurité des réseaux 5G.

10 Le tableau 1 présente les principaux rôles et responsabilités en ce qui concerne les réseaux 5G.

Coût du déploiement de la 5G et soutien financier de l'UE y afférent

Le coût total du déploiement de la 5G dans tous les États membres pourrait atteindre 400 milliards d'euros

11 Selon des estimations établies en 2021, le coût total du déploiement de la 5G dans tous les États membres de l'UE d'ici à 2025 devrait être compris entre 281 milliards d'euros et 391 milliards d'euros, répartis à parts égales entre la construction de nouvelles infrastructures 5G et la modernisation des infrastructures existantes pour parvenir à un débit de l'ordre du gigabit¹³. La majorité de ces investissements doit être financée par les ORM.

Lors de la période 2014‑2020, l'UE a dépensé plus de 4 milliards d'euros pour soutenir le développement de la 5G

12 Au cours de la période 2014‑2020, l'UE a dépensé plus de 4 milliards d'euros pour soutenir le développement de la 5G, financés, à la fois, directement sur son budget et par la Banque européenne d'investissement (BEI). Le budget de l'UE a servi à financer des projets exclusivement liés à la recherche, alors que la BEI a soutenu à la fois la recherche et le déploiement.

13 La plus grande partie des financements européens en faveur de projets liés à la 5G provient de la BEI. En août 2021, celle-ci avait accordé des prêts d'un montant total de 2,5 milliards d'euros à neuf projets liés à la 5G dans cinq États membres¹⁴. Environ 1,9 milliard d'euros supplémentaires provenant du budget de l'UE étaient en outre disponibles au cours de la période 2014‑2020. Le tableau 2 présente de façon synthétique les principales sources de soutien financier de l'UE à la 5G.

14 L'EFSI (géré par la BEI) a soutenu deux projets visant à densifier le déploiement du cellulaire et à contribuer à la normalisation. Le coût d'investissement de ces projets s'est élevé au total à 3,9 milliards d'euros, dont 1 milliard d'euros provenant de l'EFSI (voir annexe IV).

15 Depuis 2014, la Commission a également cofinancé directement plus de 100 projets liés à la 5G au titre d'Horizon 2020 et, dans une moindre mesure, du FEDER. L'annexe V présente des exemples de tels projets.

Des financements supplémentaires en faveur du déploiement de la 5G seront accordés par l'UE au titre de la facilité pour la reprise et la résilience dans les années à venir

16 La facilité pour la reprise et la résilience (FRR) constituera une source supplémentaire de financement en faveur du déploiement de la 5G dans les années à venir. En septembre 2021, 16 États membres prévoyaient de financer le déploiement de la 5G par l'intermédiaire de la FRR, tandis que 10 autres avaient décidé de ne pas le faire. Aucune information n'était encore disponible en ce qui concerne le dernier État membre.

Étendue et approche de l'audit

17 Dans le cadre de notre audit, nous avons examiné si la Commission aidait efficacement les États membres à:

• atteindre les objectifs fixés par l'UE pour 2025 et 2030 en ce qui concerne le déploiement et la mise en place de leurs réseaux 5G;
• répondre de manière concertée aux préoccupations sur la sécurité de ces réseaux.

Pour chacun de ces deux aspects, nous avons également analysé les mesures et les activités des États membres.

18 Par «sécurité des réseaux 5G» nous entendons la cybersécurité ainsi que la sécurité matérielle et logicielle. Nous avons examiné tant la sécurité que le déploiement des réseaux 5G, pour lequel 2020 a été une année décisive (voir figure 2). Notre rapport vise à fournir des informations et des recommandations en vue du déploiement rapide de réseaux 5G sûrs au sein de l'UE.

19 Notre audit porte sur la période allant de 2016 à mai 2021. Dans la mesure du possible, nous avons tenu compte d'autres informations plus récentes. Dans le cadre de nos travaux d'audit:

• nous avons examiné la législation de l'UE, les initiatives de la Commission et d'autres documents pertinents;
• nous nous sommes entretenus avec des représentants de la Commission, de la BEI, de l'Organe des régulateurs européens des communications électroniques (ORECE), de l'Agence de l'Union européenne pour la cybersécurité (ENISA), d'associations professionnelles du secteur des télécommunications, d'ORM, d'équipementiers 5G et d'organisations internationales, ainsi qu'avec des experts dans ce domaine, pour améliorer nos connaissances, et avec des autorités finlandaises, allemandes, polonaises et espagnoles. La sélection des États membres a été effectuée sur la base de critères tels que le montant des fonds de l'UE consacrés à des projets liés à la 5G et l'état d'avancement du déploiement, ainsi qu'en tenant compte de l'équilibre géographique;
• nous avons réalisé une enquête auprès de l'ensemble des 27 autorités nationales de régulation des télécommunications de l'UE afin de dégager une perspective élargie des enjeux de la 5G dans les États membres;
• nous avons examiné dix projets cofinancés par l'UE (au titre de l'EFSI, du FEDER et d'Horizon 2020) dans le domaine de la 5G, qui ont été sélectionnés à des fins d'illustration.

20 Nous nous sommes également appuyés sur notre récente analyse de la réponse de l'UE à la stratégie d'investissement étatique de la Chine¹⁵, ainsi que sur d'autres rapports tels que ceux consacrés au haut débit¹⁶, à l'initiative «Passage au numérique des entreprises européennes»¹⁷ et à la politique de l'UE dans le domaine de la cybersécurité¹⁸.

Observations

Les retards pris dans le déploiement des réseaux 5G compromettent la réalisation des objectifs fixés par l'UE pour 2025 et 2030

21 En ce qui concerne le déploiement rapide des réseaux 5G, nous avons examiné si:

• le déploiement des réseaux 5G par les États membres est en bonne voie;
• la Commission a fourni aux États membres un soutien adéquat;
• les États membres ont levé les principaux obstacles au déploiement rapide des réseaux 5G.

Les États membres ont pris du retard dans la mise en place de la 5G

La Commission a fixé des délais pour le déploiement des réseaux 5G dans son plan d'action adopté en 2016

22 Dans le plan d'action pour la 5G qu'elle a adopté en 2016, la Commission a proposé des délais en matière de déploiement des réseaux 5G au sein de l'UE. Les États membres devaient avoir lancé les premiers réseaux pour la fin 2018 ainsi que des services 5G totalement commerciaux dans au moins une grande ville pour la fin 2020. Ils doivent en outre garantir une couverture 5G ininterrompue dans toutes les zones urbaines et sur les principaux axes de transport pour 2025.

23 En mars 2021, la Commission a ajouté un nouveau délai concernant la couverture 5G de toutes les zones habitées à l'horizon 2030¹⁹.

23 États membres avaient lancé des services 5G commerciaux avant la fin de 2020

24 Fin 2020, 23 États membres avaient atteint l'objectif d'offrir un accès aux services 5G dans au moins une grande ville. Seuls Chypre, la Lituanie, Malte et le Portugal n'ont pas réussi à atteindre cet objectif. Fin octobre 2021, la Lituanie et le Portugal étaient les seuls États membres où aucune ville n'avait accès à des services 5G.

La plupart des États membres risquent de ne pas respecter les échéances de 2025 et 2030

25 Selon une étude récente de la Commission, seuls 11 États membres devraient parvenir à une couverture 5G ininterrompue dans toutes leurs zones urbaines et sur les principaux axes de transport terrestre à l'horizon 2025²⁰. Pour les 16 autres États membres, la Commission considère que la probabilité d'atteindre cet objectif est soit moyenne (Autriche, Tchéquie, Estonie, Allemagne, Irlande, Pologne, Lituanie et Slovénie), soit faible (Belgique, Bulgarie, Croatie, Chypre et Grèce).

26 En 2021, l'organisation professionnelle Global System for Mobile Communications Association (GSMA) a constaté que le déploiement de la 5G dans l'UE ne progressait pas au même rythme que dans d'autres régions du monde. Elle a par exemple estimé que 51 % de l'ensemble des connexions mobiles en Amérique du Nord reposeront sur la 5G à l'horizon 2025, mais qu'en Europe (y compris les pays non membres de l'UE), ce chiffre ne devrait être que de 35 % (voir figure 3).

27 Au rythme de déploiement actuel, une majorité des États membres risquent fort de ne pas respecter l'échéance de 2025, et donc celle de 2030 concernant la couverture 5G de toutes les zones habitées. Dans ce contexte, nous avons examiné si la Commission avait efficacement aidé les États membres à atteindre les objectifs fixés par l'UE pour 2025 et 2030 en ce qui concerne le déploiement et la mise en place de leurs réseaux 5G.

Le soutien de la Commission aux États membres présentait quelques lacunes

La Commission n'a pas précisé le niveau de qualité de service attendu pour les réseaux 5G

28 À ce jour, la Commission n'a pas défini le niveau de qualité de service attendu des réseaux 5G, notamment en matière de débit minimal et de latence maximale. En outre, le plan d'action de 2016 invitait les États membres à lancer des services 5G «totalement commerciaux» en Europe avant la fin de 2020, sans toutefois définir ces critères de qualité.

29 Ce manque de clarté quant au niveau de qualité de service attendu engendre un risque que ces termes soient interprétés de différentes manières par les États membres. Nous avons relevé quelques exemples d'approches divergentes du déploiement de la 5G entre les États membres (voir encadré 2).

30 Si cette situation perdure, elle pourrait engendrer des inégalités au sein de l'UE sur le plan tant de l'accès aux services 5G que de leur qualité (à savoir une «fracture numérique»). Ainsi, les utilisateurs auraient un meilleur accès à la 5G et bénéficieraient d'un service de meilleure qualité dans certaines parties de l'UE que dans d'autres. Cette fracture numérique pourrait également avoir des répercussions sur le potentiel de développement économique, étant donné que la 5G ne peut révolutionner des secteurs tels que les soins de santé, l'éducation et la main-d'œuvre que si sa performance est suffisante.

31 Il convient également de préciser la performance attendue des réseaux 5G compte tenu de l'initiative de la Commission visant à imposer une transparence accrue en ce qui concerne la qualité du service fourni par les ORM en matière d'itinérance, qui fait l'objet d'une proposition législative présentée récemment par la Commission²².

Les rapports trimestriels de la Commission sur le déploiement de la 5G ne sont pas toujours fiables

32 La Commission s'appuie sur l'observatoire européen de la 5G pour suivre le déploiement de la 5G dans les États membres. Cet observatoire fournit, tous les trimestres, des informations sur le déploiement de la 5G et sur les stratégies des États membres relatives à cette technologie. Nous avons toutefois constaté que pour deux des quatre pays examinés, les informations figurant dans ces rapports n'étaient pas toujours fiables. À titre d'exemple, le rapport trimestriel n° 10, qui informe sur la situation à la fin décembre 2020, fait état, pour la Finlande, d'un nombre de municipalités disposant de la 5G plus faible qu'il ne l'était en réalité (40 au lieu de 70). Il ne fournit en outre aucune information sur le fait que les enchères pour l'attribution des fréquences 5G avaient été repoussées en Pologne (voir point 42).

La Commission ne se sert que depuis peu du processus du Semestre européen pour suivre les progrès accomplis par les États membres dans le déploiement des réseaux 5G

33 Nous avons observé que ces deux dernières années, la Commission avait fait un plus grand usage du processus du Semestre européen pour encourager les États membres à progresser dans le déploiement des réseaux 5G. Le nombre d'États membres qui se sont vu adresser des recommandations par pays concernant directement la 5G a augmenté, passant de deux en 2019 à sept en 2020 (voir figure 4).

Les États membres doivent encore lever les principaux obstacles au déploiement rapide des réseaux 5G

34 Afin d'atteindre les objectifs fixés par l'UE en matière de déploiement de la 5G pour 2025 et 2030, les États membres doivent mettre en place trois grands éléments fondamentaux. Sur le plan stratégique, ils doivent veiller à ce que leurs stratégies relatives à la 5G et leurs programmes nationaux dans le domaine du haut débit soient conformes à ces objectifs²³. Sur celui de la législation, ils doivent transposer le code des communications électroniques européen (CCEE)²⁴ adopté en 2018. Et sur le plan commercial, ils doivent attribuer les fréquences²⁵. Le tableau 3 donne une vue d'ensemble des progrès accomplis par les États membres dans la mise en place de ces trois éléments.

Peu d'États membres ont inclus les objectifs de déploiement fixés pour 2025 et 2030 dans leur stratégie nationale relative à la 5G

35 Les États membres définissent leur politique relative à la 5G en établissant une stratégie en la matière ou en actualisant leurs programmes nationaux dans le domaine du haut débit. Dans son étude de 2021 relative à ces programmes nationaux²⁶, la Commission fait observer que 14 États membres seulement ont inclus l'objectif de disposer d'une «couverture 5G ininterrompue dans toutes les zones urbaines et sur les principaux axes de transport terrestre d'ici à 2025» dans leur stratégie nationale relative à la 5G ou dans la version révisée de leur programme national dans le domaine du haut débit (voir tableau 3). Cette inclusion est essentielle à la réussite de la mise en œuvre de la politique.

La plupart des États membres n'avaient pas transposé la directive CCEE à la fin de 2020

36 La directive CCEE – qui définit les missions des autorités de régulation nationales et des autres autorités compétentes et fixe les délais d'attribution des bandes de fréquences pionnières pour la 5G – aurait dû être transposée par les États membres au plus tard le 21 décembre 2020. À la fin du mois de février 2021, seuls trois États membres (la Grèce, la Hongrie et la Finlande) avaient déclaré avoir adopté toutes les mesures nécessaires à la transposition de cette directive. La Commission a donc engagé des procédures d'infraction à l'encontre des 24 autres États membres²⁷.

37 À la fin du mois de novembre 2021, 23 procédures d'infraction étaient toujours en cours. La Commission espère clore prochainement les procédures d'infraction ouvertes contre six États membres (la Bulgarie, la Tchéquie, l'Allemagne, la France, Malte et l'Autriche), mais elle pourrait devoir saisir la Cour de justice de l'Union européenne pour les 17 autres États membres²⁸ (voir tableau 3).

L'attribution des bandes de fréquences pionnières pour la 5G a pris du retard

38 En 2016, la Commission et les États membres ont défini trois bandes de fréquences pionnières à utiliser pour les services 5G:

• la bande de basses fréquences (700 MHz), qui permet aux signaux radioélectriques de pénétrer plus facilement dans les bâtiments et aux opérateurs d'offrir une couverture plus large (sur des centaines de kilomètres carrés). Elle n'offre toutefois qu'un gain limité en matière de débit et de latence par rapport à la 4G (250 mégabits par seconde contre 150 pour cette dernière);
• la bande de fréquences médianes (3,6 GHz), qui permet la transmission de grands volumes de données (jusqu'à 900 mégabits par seconde) sur des distances très grandes (dans un rayon de plusieurs kilomètres);
• la bande de hautes fréquences (26 GHz), qui offre des vitesses de transmission rapides, allant de 1 à 3 gigabits par seconde, sur des distances courtes (inférieures à 2 km), mais qui est plus sensible aux interférences.

39 Les États membres devaient rendre possible l'utilisation de la bande de basses fréquences pour le 30 juin 2020²⁹, puis des bandes de fréquences médianes et hautes pour le 31 décembre 2020³⁰. Or, à la fin de 2020, ils avaient attribué moins de 40 % de l'ensemble des bandes de fréquences pionnières disponibles (voir tableau 4):

• la bande des 700 MHz était attribuée dans 13 États membres;
• la bande des 3,6 GHz était attribuée dans 17 États membres (dont deux où elle l'était à titre provisoire);
• la bande des 26 GHz était attribuée dans quatre États membres.

Fin octobre 2021, le taux d'attribution était passé à 53 %³¹.

Plusieurs raisons expliquent les retards dans l'attribution des bandes pionnières

40 Nous avons observé que les retards pris dans l'attribution de la bande des 26 GHz étaient principalement dus à une faible demande de la part des ORM. À titre d'exemple, en Espagne, un total de 1,5 GHz est disponible pour la 5G sur la bande des 26 GHz. Cependant, ces fréquences n'ont pas encore été attribuées aux opérateurs parce que, selon une consultation publique finalisée en juillet 2019, elles ne font l'objet d'aucune demande. Une nouvelle consultation publique était prévue pour la fin 2021, en vue d'une mise aux enchères de la bande au deuxième trimestre 2022. Il en va de même en Finlande, où les ORM ont fait observer que la pertinence économique de la bande des 26 GHz et l'intérêt qu'elle suscite sont encore limités.

41 Les problèmes de coordination transfrontalière avec les pays tiers limitrophes à l'Est (la Biélorussie, la Russie et l'Ukraine) ont également contribué aux retards dans l'attribution des fréquences 5G. Conformément aux accords internationaux en vigueur, ces pays tiers utilisent la bande des 700 MHz pour la diffusion télévisuelle et celle des 3,6 GHz pour les services de télécommunications militaires par satellite. Cette question concerne principalement les Pays baltes (l'Estonie, la Lettonie et la Lituanie) et la Pologne. Selon la Commission, quelques progrès ont été accomplis avec l'Ukraine et la Biélorussie, qui devraient libérer la bande des 700 MHz d'ici la fin de 2022. Les discussions bilatérales avec la Russie n'ont pas encore progressé. Face à cette situation, l'Estonie et la Pologne ont demandé une dérogation aux délais fixés pour l'attribution de la bande des 700 MHz jusqu'à la mi-2022.

42 En outre, en Espagne et en Pologne, la mise aux enchères des fréquences 5G a été suspendue au cours de la pandémie de COVID-19 (voir encadré 3).

43 L'une des autres causes de retard dans l'attribution des bandes de fréquences pionnières de la 5G est la diversité des approches appliquées par les États membres en ce qui concerne la sécurité des réseaux 5G et l'adoption de leur législation en la matière, qui génère une certaine incertitude pour les entreprises (voir points 74 et 75).

• En Espagne, les règles encadrant la mise aux enchères des bandes de fréquences pionnières comportaient une clause générale stipulant que les titulaires de concessions publiques seraient tenus de se conformer à toutes les obligations en matière de sécurité des réseaux 5G imposées à tout moment dans le futur par la réglementation européenne ou espagnole. L'ORM espagnol avec lequel nous nous sommes entretenus a considéré que cette clause l'obligeait à prendre des décisions stratégiques et d'achat dans un climat d'incertitude. Il a également souligné que les autorités nationales refusaient d'éclaircir certaines conditions essentielles, concernant par exemple une éventuelle compensation au cas où la législation à venir, devant être adoptée d'ici la fin 2022, leur imposerait de remplacer leurs équipements.
• En Pologne, l'une des raisons avancées pour justifier le report de l'attribution des fréquences 5G était la nécessité d'attendre l'adoption d'une loi précisant les exigences de sécurité pour les réseaux 5G.

Des efforts supplémentaires doivent être consentis pour répondre aux questions de sécurité liées au déploiement de la 5G

44 En ce qui concerne les aspects liés à la sécurité des réseaux 5G, nous avons examiné:

• si la Commission avait pris les mesures nécessaires pour promouvoir la bonne conception du cadre de sécurité et fourni un soutien adéquat aux États membres;
• si les États membres mettaient en place des réseaux 5G sûrs de manière concertée, en adoptant les mesures d'atténuation figurant dans la boîte à outils de l'UE pour la sécurité des réseaux 5G et en actualisant leur législation.

La Commission a réagi rapidement lorsque la sécurité des réseaux 5G est devenue une préoccupation majeure au niveau de l'UE

45 Le plan d'action pour la 5G adopté en 2016 n'aborde aucun aspect lié à la sécurité. La sécurité des réseaux 5G et la dépendance excessive à l'égard d'équipementiers issus de pays tiers, en particulier de Chine, sont considérées comme un problème majeur depuis mars 2019. Dans sa résolution du 12 mars 2019³², le Parlement européen a exprimé des préoccupations concernant les équipementiers 5G de pays tiers qui pourraient présenter un risque pour la sécurité de l'Union en raison de la législation de leurs pays d'origine. Le même jour, dans sa vision stratégique des relations UE-Chine, la Commission a souligné la nécessité d'une approche commune de l'UE dans le domaine de la sécurité des réseaux 5G pour prévenir les éventuelles graves implications pour la sécurité des infrastructures numériques critiques³³. Dans ses conclusions des 21 et 22 mars 2019, le Conseil européen a demandé à la Commission de formuler une recommandation relative à une approche concertée en matière de sécurité des réseaux 5G³⁴.

46 Quelques jours plus tard, la Commission a émis la recommandation demandée, invitant à prendre un ensemble de mesures, tant au niveau national qu'à celui de l'UE (par exemple réaliser une évaluation nationale, puis une évaluation coordonnée à l'échelle européenne, des risques liés aux réseaux 5G), l'objectif étant de garantir un niveau élevé de cybersécurité des réseaux 5G partout dans l'Union³⁵.

47 Les États membres avaient presque tous terminé leur évaluation nationale des risques à l'expiration du délai fixé à juillet 2019³⁶. Le groupe de coopération SRI a publié un rapport sur l'évaluation coordonnée au niveau de l'UE des risques liés à la cybersécurité des réseaux 5G en octobre 2019, puis la «boîte à outils de l'UE pour la sécurité des réseaux 5G»³⁷ en janvier 2020 (voir annexe VII). Cette dernière a rapidement été approuvée par la Commission et le Conseil européen³⁸.

La boîte à outils publiée en 2020 a établi pour la première fois des mesures visant à contrer les menaces de sécurité au niveau de l'UE, mais sans imposer de contraintes

Le fait que la sécurité des réseaux 5G soit considérée comme relevant de la sécurité nationale limite le pouvoir d'action de la Commission

48 Les traités de l'UE³⁹ déterminent la portée des actions pouvant être entreprises au niveau de l'Union pour affronter les défis tels que ceux liés au déploiement de réseaux 5G sûrs sur son territoire. Cette portée est large et laisse une certaine marge d'interprétation à la Commission et aux États membres (voir encadré 4).

49 La sécurité des réseaux 5G est à la croisée des compétences des États et de l'UE et touche à la sécurité nationale. La Commission a abordé la sécurité des réseaux 5G sous l'angle des menaces pesant sur la sécurité nationale, ce qui l'a amenée à opter pour des mesures non contraignantes. Or, dans cette situation, l'UE ne peut ni adopter de mesures juridiquement contraignantes qui obligeraient les États membres à entreprendre des actions uniformes d'atténuation des risques ni mettre en place des exigences ayant force exécutoire. Tout ce que la Commission peut faire, c'est émettre des recommandations et des communications non contraignantes, aider à diffuser les bonnes pratiques et coordonner les actions menées au niveau national par les États membres. Pourtant, une autre approche est possible. Nous en voulons pour exemple la directive SRI⁴⁰, une réglementation européenne qui encadre la sécurité des réseaux et des systèmes d'information dans l'ensemble de l'Union. Cette réglementation a été proposée par la Commission et adoptée au titre de la base juridique «marché unique», bien que la cybersécurité relève, dans une large mesure, de prérogatives nationales⁴¹.

La boîte à outils a été adoptée à un stade précoce du déploiement de la 5G, mais plusieurs ORM avaient déjà sélectionné leurs équipementiers

50 En janvier 2020, le groupe de coopération SRI a adopté une boîte à outils de l'UE pour la sécurité des réseaux 5G, qui définit un certain nombre de mesures stratégiques, techniques et de soutien visant à contrer les menaces pour la sécurité de ces réseaux, et qui désigne les acteurs concernés par chacune de ces mesures. Cette boîte à outils, approuvée par la Commission et le Conseil européen, a été adoptée neuf mois seulement après que le Parlement européen et le Conseil ont, pour la première fois, fait part de leurs préoccupations quant à la sécurité des réseaux 5G. Plus récemment, la boîte à outils a été mentionnée dans la nouvelle stratégie européenne visant à encourager la création de liens intelligents, propres et sûrs entre les systèmes numériques à travers le monde, et y est présentée comme un instrument amené à guider les investissements dans les infrastructures numériques⁴². L'approche non contraignante adoptée par la Commission a contribué à ce que des mesures soient rapidement activées pour faire face aux menaces pour la sécurité également au niveau de l'UE et pour faciliter la coopération entre États membres sur cette question qui ne s'arrête pas aux frontières. À titre de comparaison, trois ans se sont écoulés entre la présentation d'une proposition par la Commission⁴³ et son adoption⁴⁴ dans le cas de la directive SRI, et plus de deux dans celui de la directive CCEE⁴⁵. Il a fallu encore plus de temps pour que ces directives soient transposées dans le droit interne des États membres (voir également points 36 et 37).

51 La boîte à outils a été adoptée quatre ans après que le plan d'action pour la 5G a défini la politique relative à cette technologie, et l'année même où les étapes intermédiaires de déploiement fixées dans ce plan étaient censées avoir été franchies. À cet égard, les représentants des ministères des États membres, des autorités de régulation nationales et des ORM avec lesquels nous nous sommes entretenus dans le cadre de notre audit estimaient que les mesures touchant aux aspects liés à la sécurité des réseaux 5G avaient démarré trop tard.

52 Cela étant, lorsque la boîte à outils a été publiée, le déploiement de la 5G et les plans la concernant étaient encore à un stade précoce dans la plupart des États membres. La majeure partie des contrats d'équipement 5G conclus entre les opérateurs et leurs fournisseurs l'ont été en 2020 et en 2021. Néanmoins, selon l'Association européenne des exploitants de réseaux de télécommunications (ETNO), un certain nombre d'ORM avaient déjà sélectionné leurs équipementiers lorsque la boîte à outils a été publiée.

La boîte à outils a fourni un cadre pour l'évaluation du profil de risque des fournisseurs, mais des lacunes persistent

Plusieurs États membres et autorités nationales estiment qu'une partie des critères utilisés pour classer les équipementiers comme à haut risque ne sont pas suffisamment clairs

53 Un élément clé de la boîte à outils est la nécessité pour les États membres d'évaluer les équipementiers et d'appliquer à ceux jugés à haut risque des restrictions pour ce qui est des actifs essentiels définis comme critiques. Les États membres doivent fonder cette évaluation sur une liste non exhaustive de critères tirés de l'évaluation coordonnée des risques au niveau de l'UE. Parmi ces critères, on retrouve notamment:

• la probabilité qu'un équipementier soit soumis à l'ingérence d'un pays tiers, par exemple en raison de l'existence d'un lien étroit entre lui et le gouvernement du pays tiers ou du fait de la législation de ce pays, en particulier lorsqu'aucun système de contre-pouvoirs législatifs et/ou démocratiques n'est en place ou qu'aucun accord sur la sécurité ou sur la protection des données n'a été conclu avec l'UE;
• la capacité de l'équipementier à garantir l'approvisionnement;
• la qualité globale des produits de l'équipementier et de ses pratiques en matière de cybersécurité.

54 La boîte à outils a été conçue pour éviter la fragmentation et favoriser la cohérence au sein du marché intérieur. Les critères y figurant composent un cadre opérationnel utile pour évaluer le profil de risque des fournisseurs de manière coordonnée dans tous les États membres. Ils ont également permis à la Commission de réagir rapidement aux préoccupations émergentes en matière de sécurité des réseaux 5G, de concert avec les États membres. Pour autant, l'application de ces critères lors de l'évaluation des risques inhérents aux différents fournisseurs reste du ressort des autorités nationales. En octobre 2021, dans ce contexte, 13 États membres avaient adopté ou amendé leur législation sur la sécurité des réseaux 5G (voir point 75 et figure 6).

55 Cependant, les représentants de deux des quatre ministères nationaux avec lesquels nous nous sommes entretenus dans le cadre de notre audit estimaient que certains de ces critères de classification des équipementiers 5G étaient sujets à interprétation et devaient faire l'objet de clarifications. Ils ont également appelé de leurs vœux un soutien et des orientations supplémentaires de la Commission qui les aident à classer les équipementiers selon le risque qu'ils représentent. Les représentants des États membres avec lesquels nous nous sommes entretenus ont aussi indiqué que, du fait de cette situation, les États risquaient d'adopter des approches différentes de la question des équipementiers à haut risque (voir également points 74 et 75 ainsi que l'encadré 5). Onze des autorités de régulation nationales consultées, impliquées à des degrés divers dans la sécurité des réseaux 5G, ont fait part d'inquiétudes similaires.

Le pays d'origine des équipementiers 5G influe sur l'évaluation des risques en matière de sécurité

56 Les entreprises qui fournissent des équipements 5G ne présentent pas toutes les mêmes caractéristiques et sont issues de pays qui entretiennent des relations diverses avec l'UE. La figure 5 présente quelques points communs et différences entre les principaux équipementiers 5G et entre leurs pays d'origine, en particulier dans des domaines qui, selon la boîte à outils, sont susceptibles d'avoir une incidence sur l'évaluation du profil de risque des équipementiers (voir point 53).

57 La mesure dans laquelle le pays d'origine d'un équipementier respecte les valeurs fondamentales de l'UE dans les domaines politique et économique constitue un facteur de risque. Des facteurs propres au pays, tels que la situation en matière d'état de droit, d'indépendance de la justice et d'ouverture aux investissements étrangers ou l'existence d'accords sur la protection des données, peuvent servir de repères pour mesurer la protection juridique dont jouit une entreprise contre l'ingérence d'acteurs étatiques, ainsi que celle qu'elle est en mesure d'offrir à ses clients.

58 Si les équipementiers établis dans des États membres de l'UE sont tenus de respecter les normes et exigences légales de l'Union, ce n'est pas le cas de six des principaux équipementiers, établis dans des pays tiers, dont les opérations sont encadrées par les législations de ces pays (voir figure 5). Celles-ci sont parfois très éloignées des normes de l'UE, par exemple en ce qui concerne la protection des données accordée aux citoyens, l'efficacité de cette protection ou, plus généralement, la mesure dans laquelle l'indépendance de la justice est garantie par des contre-pouvoirs législatifs et/ou démocratiques. Pour ce qui est de l'indépendance de la justice, les États-Unis et le Japon obtiennent de meilleurs résultats que les autres pays d'origine des équipementiers 5G, tandis que pour l'état de droit, c'est la Corée du Sud qui s'impose face aux autres pays tiers.

59 Les réseaux 5G sont principalement gérés par des logiciels. Le fait que les opérations de certains équipementiers soient encadrées par la législation de pays tiers peut être extrêmement préoccupant si les centres de contrôle des logiciels en question sont installés eux aussi dans des pays hors UE, dont la législation pourrait alors s'appliquer aux utilisateurs européens.

60 La Commission a donné un début de réponse à ces préoccupations en établissant que toute entreprise qui fournit des services aux citoyens européens doit respecter les règles et les valeurs de l'UE⁴⁶. Elle a engagé le dialogue avec plusieurs pays en vue de garantir un niveau élevé de protection de la confidentialité des données à caractère personnel⁴⁷. La figure 5 montre également que la Commission a déjà reconnu le caractère adéquat du régime de protection des données du Japon (et, par le passé, de celui des États-Unis). Il convient toutefois de noter que ces décisions peuvent être contestées et font l'objet d'un contrôle juridictionnel strict. Par exemple, en 2015, la Cour de justice de l'Union européenne a invalidé l'instrument juridique applicable à l'époque pour l'échange de données avec les États-Unis (à savoir l'accord relatif à la sphère de sécurité⁴⁸), avant de juger, en 2020, que le bouclier de protection des données – qui avait remplacé l'accord relatif à la sphère de sécurité – n'offrait pas une protection adéquate aux citoyens de l'UE⁴⁹. Il n'existe donc plus à l'heure actuelle de décision relative à l'adéquation du niveau de protection des données pour les États-Unis. De manière plus générale, et au-delà de l'existence d'un régime de protection des données, il importe de tenir compte du cadre juridique et institutionnel plus large, y compris, par exemple, du respect de l'état de droit et de la mesure dans laquelle l'indépendance de la justice est assurée.

61 La figure 5 montre aussi que les équipementiers 5G sont loin d'être égaux en ce qui concerne la part des brevets 5G qu'ils détiennent, leurs recettes et leurs effectifs. Ils ne disposent donc pas tous des mêmes ressources et n'ont, de ce fait, pas la même résilience ni la même capacité à assurer la continuité de l'approvisionnement. Par exemple, Samsung et Huawei, qui se taillent la part du lion dans la course aux brevets 5G, sont aussi les deux groupes qui engrangent le plus de recettes et qui comptent le plus grand nombre total de salariés.

62 Selon la boîte à outils, la probabilité qu'un équipementier soit soumis à l'ingérence d'acteurs étatiques extérieurs à l'UE constitue un autre facteur important pour déterminer son profil de risque. À cet égard, la question de la propriété joue un rôle de poids, étant donné que les grands actionnaires peuvent être en position d'exercer des pressions ou d'influencer les décisions de la direction. En outre, les sociétés à actionnariat fermé et celles détenues par l'État sont considérées comme moins soumises au contrôle public, c'est-à-dire à l'audit et à l'obligation de rendre compte, que les sociétés cotées, qui sont tenues par des obligations strictes de communication d'informations à différents moments de l'année à l'intention des régulateurs et des investisseurs au sens large. La plupart des équipementiers 5G sont cotés en bourse, soit dans leur pays d'origine, soit à l'étranger. En revanche, les équipementiers chinois sont plus difficiles à classer et sont généralement perçus comme étroitement liés au gouvernement de leur pays⁵⁰.

Les États membres ont jugé le soutien apporté par la Commission et l'ENISA utile à la mise en œuvre de la boîte à outils de l'UE pour la sécurité des réseaux 5G

63 La Commission a apporté son soutien aux États membres en organisant l'échange de bonnes pratiques autour de certaines mesures clés de la boîte à outils, notamment en ce qui concerne les équipementiers à haut risque. Ce soutien, souvent fourni dans le cadre du groupe de coopération SRI, a été complété par des activités spécifiques menées par l'ENISA, comme l'organisation de webinaires ou la diffusion d'orientations sur:

• la mise en œuvre de la boîte à outils et, plus particulièrement, de ses mesures techniques;
• les bonnes pratiques en matière de sécurité des réseaux, notamment en ce qui concerne:

• les panoramas des menaces liées aux réseaux 5G⁵¹;
• l'élaboration des évaluations nationales des risques liés aux réseaux 5G;
• les mesures de sécurité relevant du CCEE⁵², dont des lignes directrices consacrées spécifiquement à la sécurité des réseaux 5G⁵³.

64 La Commission a également chargé l'ENISA d'élaborer le schéma européen de certification de cybersécurité pour les réseaux 5G, qui devrait contribuer à parer aux risques liés aux vulnérabilités techniques des réseaux et à renforcer la cybersécurité⁵⁴. Cette certification pourrait apporter plus de sécurité, mais elle ne pourra pas empêcher que des menaces soient implantées dans les systèmes lors de mises à jour logicielles.

65 Tous les représentants des autorités des États membres avec lesquels nous nous sommes entretenus dans le cadre de notre audit ont souligné l'utilité du soutien de la Commission et de l'ENISA à la mise en œuvre de la boîte à outils. En outre, la plupart des autorités nationales de régulation des télécommunications (15 sur 21) ont déclaré que la Commission et/ou l'ENISA avaient aidé les autorités nationales à échanger leurs bonnes pratiques concernant la mise en œuvre des principales mesures stratégiques.

La boîte à outils a été adoptée trop tard pour être prise en compte dans les projets cofinancés par l'UE au cours de la période 2014‑2020

66 L'un des objectifs de la boîte à outils est de garantir que les projets 5G cofinancés par l'UE tiennent compte des risques liés à la cybersécurité. Or cette boîte à outils n'a été adoptée qu'en janvier 2020. À ce moment-là, tous les projets examinés dans le cadre de notre audit avaient déjà été sélectionnés. Il n'y avait donc pas lieu de s'attendre à ce qu'ils aient suivi l'approche recommandée en matière de cybersécurité, y compris à l'égard des équipementiers à haut risque. Par exemple, dans notre échantillon, nous avons recensé trois projets en Espagne – l'un relevant d'Horizon 2020 et les deux autres du FEDER – qui utilisaient des équipements 5G chinois ayant plus tard été interdits en Suède (voir point 15).

67 Pour la période 2021‑2027, la Commission entend promouvoir une approche cohérente en matière de sécurité des réseaux 5G pour les projets cofinancés par l'Union en subordonnant le financement de l'UE au respect de la boîte à outils. Les modalités varieront toutefois en fonction du mode de mise en œuvre:

• les programmes gérés directement par la Commission (par exemple le programme Horizon Europe, couvrant la période 2021‑2027) permettront d'exclure les équipementiers exposés à l'ingérence d'un État non membre de l'UE. Cette disposition devrait permettre de garantir que les projets financés par l'Union tiennent compte des risques en matière de cybersécurité et d'éviter qu'un équipementier considéré comme à haut risque et exclu dans un État membre bénéficie d'un cofinancement de l'UE dans un autre État membre;
• pour les programmes mis en œuvre en gestion partagée, la législation ne pose aucune exigence concernant les risques en matière de cybersécurité. Par conséquent, la Commission envisage d'encourager l'inclusion d'une référence à la boîte à outils dans les accords de partenariat conclus avec les États membres, afin de faire en sorte que ces risques soient pris en compte lors de l'octroi d'un financement du FEDER à des projets dans le domaine de la 5G;
• en ce qui concerne InvestEU (le programme qui remplace l'EFSI)⁵⁵ et la FRR, la Commission prévoit d'inviter les organismes responsables à faire référence à la boîte à outils dans les accords de financement.

Les États membres ne traitent pas encore les aspects liés à la sécurité de manière concertée dans le cadre du déploiement des réseaux 5G

Les informations sur la manière dont les États membres abordent les questions relatives à la sécurité sont insuffisantes

68 La Commission assure un suivi et rend compte de l'état d'avancement de la mise en œuvre de la boîte à outils dans le cadre du groupe de coopération SRI, lors de discussions bilatérales avec les États membres et, indirectement, par l'entremise des médias. Les premiers résultats de ce suivi ont été publiés en juillet 2020⁵⁶. En décembre de la même année, la Commission a aussi publié un rapport concernant les effets de sa recommandation sur la cybersécurité des réseaux 5G⁵⁷. En septembre 2021, aucun rapport ultérieur n'était prévu.

69 Toutefois, ces rapports ne comportent pas d'ensemble commun d'indicateurs de performance clés. Ils ne présentent pas non plus une série d'informations détaillées précisant comment les préoccupations relatives à la sécurité des réseaux 5G sont abordées et permettant des comparaisons entre États membres.

70 Par ailleurs, peu d'informations sont rendues publiques sur l'approche adoptée par les États membres à l'égard des équipementiers à haut risque, notamment sur la question de savoir qui ils sont et s'il leur est interdit de vendre leurs équipements 5G, et les rares informations disponibles sont contradictoires et incomplètes. À titre d'exemple:

• dans son rapport de juillet 2020 sur l'état d'avancement de la mise en œuvre de la boîte à outils par les États membres (voir point 68), la Commission indiquait que la moitié environ de ces derniers (14 sur 27) avaient évalué le profil de risque des équipementiers et appliqué des restrictions à ceux jugés à haut risque;
• dans un rapport de décembre 2020⁵⁸, l'ORECE précisait que seuls neuf États membres avaient déjà mis en place de telles restrictions et que sept des 18 États membres restants n'entendaient pas le faire à l'avenir.

71 Même les États membres qui ont adopté une législation en matière de sécurité des réseaux 5G (voir également point 75) n'y exposent pas clairement leur approche à l'égard des équipementiers à haut risque. Toute décision concrète ne sera sans doute prise que par voie d'actes d'exécution ou consistera en une décision administrative ou commerciale à caractère non public.

72 Selon les parties prenantes et les décideurs avec lesquels nous nous sommes entretenus (par exemple le Parlement européen), les informations non publiques (fournies par la Commission ou encore dans des rapports du groupe SRI) concernant l'approche des États membres à l'égard des équipementiers à haut risque sont elles aussi rares, et les intéressés en sont réduits à s'informer dans les médias et auprès de sources non officielles.

73 Bien que, par nature, les préoccupations relatives à la sécurité des réseaux 5G ne s'arrêtent pas aux frontières, peu d'informations circulent globalement dans la sphère publique sur la manière dont les États membres les abordent, et en particulier sur la question des équipementiers à haut risque. Ce manque d'informations nuit au partage des connaissances entre États membres et limite les possibilités d'appliquer des mesures concertées. La latitude dont jouit la Commission pour faire des propositions en vue d'améliorer la sécurité des réseaux 5G s'en trouve elle aussi limitée.

Des éléments indiquent que plusieurs États membres suivent des approches divergentes à l'égard des équipementiers 5G

74 Les autorités nationales jouissent d'une grande marge d'appréciation pour mettre en œuvre les mesures clés en matière de sécurité des réseaux 5G (voir points 48 et 49). La boîte à outils tient compte des compétences nationales et des facteurs pertinents propres aux différents pays (évaluation de la menace par les services de sécurité nationale, calendrier de déploiement de la 5G, présence de fournisseurs ou encore capacités en matière de cybersécurité). À ce jour, les États membres adoptent des approches divergentes en ce qui concerne tant l'utilisation d'équipements provenant de certains fournisseurs que l'ampleur des restrictions visant les équipementiers à haut risque (l'encadré 5 présente des exemples tirés de quatre États membres).

75 Depuis l'adoption de la boîte à outils, le renforcement de la sécurité des réseaux 5G a progressé, puisqu'une majorité d'États membres ont appliqué des restrictions à l'égard des équipementiers à haut risque ou sont en passe de le faire. Fin 2021, 13 États membres avaient adopté ou amendé leur législation sur la sécurité des réseaux 5G. Ces mesures réglementaires tiennent compte des critères énoncés dans la boîte à outils, mais suivent des approches différentes (voir figure 6). D'autres États membres vont prochainement soumettre ce type de texte au débat parlementaire. Dans les années à venir, cette évolution pourrait faire converger les approches adoptées à l'égard des équipementiers 5G à haut risque, au moins parmi les États membres qui ont adopté une législation à cet égard.

76 À ce jour, la Commission n'a pas évalué l'incidence que pourraient avoir ces différences d'approche dans l'hypothèse où un État membre bâtirait son réseau 5G avec un équipement acquis auprès d'un fournisseur considéré à haut risque dans un autre État membre. Cette situation pourrait avoir une incidence sur le plan de la sécurité transfrontalière ou sur la concurrence entre ORM au sein du marché unique de l'UE.

La Commission a récemment commencé à s'attaquer au problème des subventions étrangères qui faussent le marché intérieur

77 En décembre 2020, sur l'ensemble des équipements 4G et 5G que comptait l'UE, plus de la moitié provenaient de fournisseurs de pays tiers (voir figure 7).

78 Concrètement, à la fin de 2019, 286 millions de clients dans l'EU‑27 (soit 64 % de la population totale) utilisaient des réseaux de télécommunications basés sur des équipements 4G provenant de fournisseurs chinois⁵⁹. En octobre 2020, un groupe de députés européens a interpellé les ministres des télécommunications et du commerce des États membres ainsi que la Commission au sujet de l'avantage économique déloyal dont profitent les équipementiers chinois et qui explique en partie leur imposante part de marché, dans la mesure où ils bénéficient de subventions publiques alors que leurs concurrents issus de l'UE ne peuvent en recevoir en vertu des règles de l'Union sur les aides d'État⁶⁰. Dans un récent document d'analyse, nous avons mis en évidence des risques similaires à cet égard⁶¹. De telles subventions peuvent fausser le marché intérieur, en créant des conditions de concurrence inégales entre les équipementiers 5G, et peuvent avoir des implications sur le plan de la sécurité. Pour s'attaquer à ce problème, la Commission a proposé, en mai 2021, un nouveau règlement⁶² qui établit des procédures pour enquêter sur ces subventions et remédier aux distorsions de marché qui en découlent.

La Commission ne dispose pas d'informations suffisantes en ce qui concerne les éventuels coûts de remplacement des équipements de fournisseurs chinois

79 Selon un rapport de juin 2020⁶³, imposer des restrictions concernant un fournisseur clé d'infrastructures 5G dans l'UE augmenterait les coûts d'investissement totaux de près de 2,4 milliards d'euros par an sur la prochaine décennie (soit de 24 milliards d'euros). Selon une autre étude⁶⁴, les opérateurs européens sont déjà confrontés à la modernisation des réseaux 4G bâtis entre 2012 et 2016, puisqu'il est d'usage de réviser et de moderniser les équipements de réseau trois à quatre ans après leur mise en service. D'après cette étude, le coût total du retrait et du remplacement des équipements acquis auprès de fournisseurs chinois depuis 2016 qui pourraient simplement être modernisés est estimé à environ 3 milliards d'euros.

80 La forte proportion d'équipements provenant de fournisseurs chinois et l'éventualité que ceux-ci soient classés parmi les équipementiers à haut risque dans certains États membres pourraient donner lieu à des coûts de remplacement de l'ordre de plusieurs milliards d'euros si les ORM devaient être contraints de retirer les équipements chinois des réseaux européens pour leur en substituer d'autres sans période de transition (voir points 77 à 79). En principe, des aides d'État ne peuvent être octroyées pour indemniser des opérateurs qui doivent se mettre en conformité avec des obligations légales, à moins que les États membres ne soient en mesure de démontrer à la Commission que les conditions requises sont remplies (par exemple qu'il existe un effet incitatif). Lors de notre analyse, nous avons relevé un cas où la législation d'un État membre pourrait permettre que des fonds publics nationaux couvrent les coûts de remplacement (voir la loi finlandaise sur les services de communications électroniques⁶⁵). Les États membres sont tenus de signaler à la Commission tous les cas où des aides d'État seraient utilisées pour indemniser des ORM qui auraient supporté ces coûts. D'après la Commission, aucun État membre ou partie prenante ne l'a encore contactée au sujet de l'utilisation d'aides d'État pour couvrir des coûts de remplacement des équipements. D'après les professionnels du secteur avec lesquels nous nous sommes entretenus lors de notre audit, le flou entourant le traitement de ces coûts par les États membres et les éventuelles différences d'un pays à l'autre compromettent la sécurité des opérateurs économiques et risquent d'avoir une incidence sur le rythme de déploiement de la 5G.

Conclusions et recommandations

81 Dans l'ensemble, il ressort de notre audit que, malgré le soutien apporté par la Commission, le déploiement des réseaux 5G par les États membres accuse des retards importants et qu'il faudra consentir des efforts supplémentaires pour répondre aux questions de sécurité liées au déploiement de la 5G.

82 Dans son plan d'action pour la 5G adopté en 2016, la Commission fixait comme objectif la couverture 5G de toutes les zones urbaines et des principaux axes de transport à l'horizon 2025, avant d'afficher, en mars 2021, une nouvelle ambition: celle d'une couverture complète à l'horizon 2030. Fin 2020, 23 États membres avaient lancé des services commerciaux basés sur la 5G et avaient atteint l'objectif intermédiaire d'offrir un accès à ces services dans au moins une grande ville. Toutefois, nous avons constaté que les États membres ne faisaient pas tous référence aux objectifs de la Commission dans leurs stratégies nationales relatives à la 5G ou dans leurs programmes nationaux dans le domaine du haut débit. En outre, dans plusieurs pays, le code des communications électroniques européen n'a pas encore été transposé en droit national et l'attribution des fréquences 5G a pris du retard. Plusieurs facteurs expliquent ce retard: une faible demande de la part des ORM, des problèmes de coordination transfrontalière avec les pays tiers aux frontières orientales, l'impact de la crise sanitaire sur le calendrier de la mise aux enchères et l'incertitude quant à la manière de traiter les questions de sécurité. Selon la Commission, seuls 11 États membres sont susceptibles d'atteindre l'objectif fixé pour 2025 (voir points 22 à 43).

83 La Commission a soutenu les États membres dans la mise en œuvre du plan d'action pour la 5G adopté en 2016 par des initiatives, des orientations et des financements consacrés à la recherche dans le domaine de la 5G. Toutefois, elle n'a pas défini le niveau de qualité de service attendu des réseaux 5G, et notamment la performance en matière de débit minimal et de latence maximale. Cela a conduit les États membres à interpréter de manières diverses l'expression «qualité de la 5G». Nous avons constaté que les États membres avaient adopté des approches divergentes pour le déploiement des services 5G; ils ne sont par exemple que deux à avoir défini un débit minimal et une latence maximale. In fine, ces approches divergentes risquent d'engendrer des inégalités au sein de l'UE sur le plan tant de l'accès aux services 5G que de leur qualité, ce qui aurait pour effet d'élargir plutôt que de réduire la «fracture numérique» entre États membres et entre régions (voir points 22 à 31).

Recommandation n° 1 – Promouvoir le déploiement homogène et rapide des réseaux 5G au sein de l'UE

La Commission devrait:

1. en coopération avec les États membres, élaborer une définition commune du niveau de qualité de service attendu des réseaux 5G, et notamment de la performance en matière de débit minimal et de latence maximale;
2. encourager les États membres à inclure les objectifs de déploiement de la 5G pour 2025 et 2030, ainsi que les mesures nécessaires à leur réalisation, dans leurs stratégies numériques et/ou relatives à la 5G et dans leurs programmes dans le domaine du haut débit la prochaine fois qu'ils les mettront à jour;
3. sur la question des fréquences, aider les États membres à résoudre les problèmes de coordination avec les pays voisins non membres de l'UE, par exemple en préconisant que le sujet soit inscrit à l'ordre du jour de chaque réunion qui s'y prête.

Quand? D'ici décembre 2022.

84 Ce n'est que récemment que les aspects liés à la sécurité des réseaux 5G sont devenus une préoccupation majeure au niveau de l'UE. La nécessité qui en découle d'agir au niveau de l'UE a été soulignée par le Conseil européen en 2019, lorsqu'il a appelé de ses vœux une approche concertée et la coopération des États membres sur cette question qui ne s'arrête pas aux frontières. La Commission, de concert avec les États membres, a réagi rapidement aux préoccupations émergentes au sujet de la sécurité des réseaux 5G. En 2020, le groupe de coopération SRI a adopté une boîte à outils de l'UE pour la sécurité des réseaux 5G, qui définit un certain nombre de mesures stratégiques, techniques et de soutien visant à contrer les menaces pour la sécurité de ces réseaux, et qui désigne les acteurs concernés par chacune de ces mesures. Plusieurs d'entre elles concernent les équipementiers 5G à haut risque. Cette boîte à outils a ensuite été approuvée par la Commission et le Conseil européen (voir points 45 à 47). Mais il s'agit d'un instrument juridique non contraignant, et les États membres ne sont donc pas tenus d'appliquer ces mesures. Plus récemment, la boîte à outils a été mentionnée dans la nouvelle stratégie européenne visant à encourager la création de liens intelligents, propres et sûrs entre les systèmes numériques à travers le monde, et y est présentée comme un instrument amené à guider les investissements dans les infrastructures numériques (voir point 50).

85 Les critères figurant dans la boîte à outils composent un cadre opérationnel utile pour évaluer le profil de risque des fournisseurs de manière coordonnée dans tous les États membres. Pour autant, la réalisation de cette évaluation reste du ressort des États (voir point 54).

86 Depuis l'adoption de la boîte à outils, le renforcement de la sécurité des réseaux 5G a progressé, puisqu'une majorité d'États membres ont appliqué des restrictions à l'égard des équipementiers à haut risque ou sont en passe de le faire. En octobre 2021, dans ce contexte, 13 États membres avaient adopté ou amendé leur législation sur la sécurité des réseaux 5G. D'autres États membres vont prochainement soumettre au débat parlementaire un texte législatif qui tiendra compte des critères de la boîte à outils (voir points 54 et 75).

87 La boîte à outils a été adoptée à un stade précoce du déploiement de la 5G, mais plusieurs ORM avaient déjà sélectionné leurs équipementiers 5G (voir point 52). Le fait de ne pas avoir traité les questions de sécurité dès la conception de la politique risque d'avoir des effets préjudiciables sur sa mise en œuvre, tels que l'érosion des avantages escomptés (par exemple la croissance du PIB) par le coût de la lutte contre les menaces, notamment celui lié à la cybercriminalité (voir points 02 et 04).

88 La boîte à outils tient compte des compétences nationales et des facteurs pertinents propres aux différents pays. Notre audit a montré qu'à ce jour, les États membres ont adopté des approches divergentes en ce qui concerne l'utilisation d'équipements provenant de fournisseurs à haut risque ou l'ampleur des restrictions, qui tantôt se limitent aux composants critiques ou constitutifs du cœur de réseau 5G, et tantôt s'étendent à tout ou partie du réseau d'accès radio (voir points 74 et 75).

89 Dans les années à venir, la législation sur la sécurité des réseaux 5G adoptée par les États membres sur la base de la boîte à outils pourrait faire converger les approches à l'égard des équipementiers 5G à haut risque. Toutefois, aucune des mesures énoncées dans cette boîte à outils n'étant juridiquement contraignante, la Commission n'a pas le pouvoir de les faire appliquer. Par conséquent, il subsiste un risque que la boîte à outils ne permette pas, en soi, de garantir que les États membres abordent les aspects liés à la sécurité des réseaux de manière concertée (voir points 49 à 75).

90 De nombreux équipementiers 5G sont implantés en dehors de l'UE, ce qui suppose que leurs opérations sont encadrées par les législations de pays tiers. Celles-ci sont parfois très éloignées des normes de l'UE, par exemple en ce qui concerne l'efficacité de la protection des données accordée aux citoyens ou, plus généralement, la mesure dans laquelle l'indépendance de la justice est garantie par des contre-pouvoirs législatifs et/ou démocratiques. Le fait que les réseaux 5G soient principalement gérés par des logiciels peut aussi être particulièrement préoccupant sur le plan de la sécurité si les centres de contrôle des logiciels en question sont installés dans des pays tiers, dont la législation pourrait alors s'appliquer aux citoyens européens. La Commission a donné un début de réponse à ces préoccupations en établissant que toute entreprise qui fournit des services aux citoyens européens doit respecter les règles et les valeurs de l'UE. Elle a aussi engagé le dialogue avec plusieurs pays en vue de garantir un niveau élevé de protection de la confidentialité des données à caractère personnel (voir points 56 à 62).

91 Bien que, par nature, les préoccupations relatives à la sécurité des réseaux 5G ne s'arrêtent pas aux frontières, peu d'informations circulent dans la sphère publique sur la manière dont les États membres les abordent et sur leur recours à des équipementiers à haut risque. La Commission assure un suivi et rend compte de l'état d'avancement de la mise en œuvre de la boîte à outils. Toutefois, les rapports ne présentent pas d'informations détaillées et comparables sur la manière dont les États membres abordent les questions relatives à la sécurité des réseaux 5G. En outre, en septembre 2021, aucun rapport ultérieur n'était prévu. Ce manque d'informations nuit au partage des connaissances entre États membres et limite les possibilités d'appliquer des mesures concertées. La latitude dont jouit la Commission pour faire des propositions en vue d'améliorer la sécurité des réseaux 5G s'en trouve elle aussi limitée (voir points 68 à 73).

Recommandation n° 2 – Favoriser une approche concertée en matière de sécurité des réseaux 5G entre les États membres

La Commission devrait prendre les mesures ci-après.

1. Fournir de nouvelles orientations ou proposer des actions de soutien concernant les éléments clés de la boîte à outils de l'UE, tels que les critères utilisés pour évaluer les équipementiers 5G et les classer ou non parmi les équipementiers à haut risque, et les considérations relatives à la protection des données.
   Quand? D'ici décembre 2022.
2. Encourager la transparence en ce qui concerne les approches des États membres en matière de sécurité des réseaux 5G, notamment en assurant le suivi et en rendant compte de la mise en œuvre des mesures de sécurité de la boîte à outils. Pour ce faire, il conviendrait d'utiliser un ensemble commun d'indicateurs de performance clés
   Quand? D'ici décembre 2022.
3. De concert avec les États membres, déterminer quels aspects de la sécurité des réseaux 5G requièrent de poser des exigences ayant force exécutoire et, le cas échéant, légiférer en ce sens.
   Quand? D'ici décembre 2022.

92 La Commission a donné un début de réponse aux allégations connexes concernant l'avantage économique déloyal procuré par les subventions étrangères. Ces subventions peuvent fausser le marché intérieur, en créant des conditions de concurrence inégales entre les équipementiers 5G, et avoir des implications sur le plan de la sécurité (voir point 78).

93 La Commission ne dispose pas d'informations suffisantes en ce qui concerne le traitement réservé par les États membres aux coûts de remplacement susceptibles de survenir si les ORM devaient être contraints de retirer des réseaux de l'UE les équipements de fournisseurs à haut risque sans période de transition. Des différences de traitement pourraient compromettre la sécurité des opérateurs économiques et risqueraient d'avoir une incidence sur le rythme de déploiement de la 5G (voir points 79 et 80). En outre, les approches divergentes des États membres à l'égard de la sécurité des réseaux 5G, et en particulier l'absence d'approche concertée au niveau de l'UE, peuvent nuire au fonctionnement efficace du marché unique. Jusqu'à présent, la Commission n'a pas réalisé d'évaluation à ce sujet (voir points 74 à 76).

Recommandation n° 3 – Effectuer un suivi des approches adoptées par les États membres à l'égard de la sécurité des réseaux 5G et évaluer l'incidence des divergences sur le fonctionnement efficace du marché unique

La Commission devrait prendre les mesures ci-après.

1. Encourager l'émergence d'une approche transparente et cohérente concernant le traitement réservé par les États membres aux coûts supportés par les ORM pour remplacer les équipements 5G acquis auprès de fournisseurs à haut risque, en réalisant un suivi et des rapports réguliers sur cette question dans le cadre de la mise en œuvre de la boîte à outils.
2. Évaluer l'incidence que pourrait avoir sur le fonctionnement du marché unique la construction, par un État membre, d'un réseau 5G avec un équipement acquis auprès d'un fournisseur considéré à haut risque dans un autre État membre.

Quand? D'ici décembre 2022.

Le présent rapport a été adopté par la Chambre II, présidée par M^me Iliana Ivanova, Membre de la Cour des comptes, à Luxembourg en sa réunion du 15 décembre 2021.

Annexes

Annexe I – Principales possibilités et principaux risques associés à la 5G

Source: Cour des comptes européenne, sur la base des données du service de recherche du Parlement européen – Centre européen des médias scientifiques.

Annexe II – Exemples de conséquences occasionnées par la perturbation des réseaux de télécommunications et par les incidents de cybersécurité

Panne des numéros d'appel d'urgence en France ^{66, 67}

01 Le 3 juin 2021, une panne de réseau chez Orange, le plus grand opérateur français de télécommunications, a perturbé l'acheminement des appels d'urgence pendant plusieurs heures. Si l'hypothèse d'une cyberattaque a été écartée, cet incident montre l'effet que peut avoir la perturbation d'une infrastructure de réseau critique.

Attaques au rançongiciel contre le service public de santé irlandais^{68, 69, 70}

02 En mai 2021, le service public de santé irlandais (Health Service Executive, HSE) a dû arrêter l'ensemble de ses systèmes informatiques en raison d'une attaque par rançongiciel. Celle-ci a touché tous les aspects de la prise en charge des patients, car elle a compliqué l'accès à leurs dossiers, accroissant le risque de retards et d'erreurs. Les fonctionnaires irlandais n'ont connaissance d'aucune fuite des données relatives aux patients, mais la diffusion de dossiers médicaux aurait pu servir à commettre tous types d'infractions connexes telles que fraude et chantage. Selon le directeur général du HSE, les coûts de rétablissement sont estimés en tout à 500 millions d'euros (600 millions de dollars).

Solarwinds^{71, 72, 73}

03 Solarwinds est une société américaine qui développe des logiciels de gestion des réseaux, systèmes et infrastructures informatiques destinés aux entreprises et aux administrations étatiques et fédérales. Début 2020, Solarwinds a été visée par une attaque logicielle. Les pirates ont réussi à atteindre les clients de Solarwinds en passant par des mises à niveau logicielles qui contenaient des codes malveillants. Ces derniers ouvraient des portes dérobées vers les plateformes des clients, facilitant les attaques et l'installation d'autres logiciels malveillants et espions.

Annexe III – Cadre juridique et stratégique

Annexe IV – Exemples de projets cofinancés par l'EFSI

Projets liés à la 5G cofinancés par l'EFSI

Les deux projets soutenus par l'EFSI que nous avons examinés concernaient des investissements dans la recherche, le développement et l'innovation en vue d'étoffer la gamme de produits pour les réseaux 5G. Ils portaient sur le développement de matériel et de logiciels pour le réseau d'accès radio et le cœur de réseau. Ces deux projets ont contribué à densifier le déploiement du cellulaire, ont concouru à la normalisation et ont facilité les expériences sur les technologies clés.

Ils ont tous deux démarré en 2018 et pris fin en décembre 2020. Cumulés, leurs coûts d'investissement s'élevaient à un montant total de 3,9 milliards d'euros, dont 1 milliard d'euros provenant de l'EFSI.

Annexe V – Exemples de projets relevant d'Horizon 2020 et du FEDER

Projet lié à la 5G relevant d'Horizon 2020

Ce projet utilise des équipements des trois principaux fournisseurs 5G (Ericsson, Huawei et Nokia) pour tester les technologies 5G dans le corridor transfrontalier reliant les villes de Metz (France), Merzig (Allemagne) et Luxembourg. Le projet a démarré en novembre 2018 et devait durer 31 mois. L'UE l'a financé à hauteur de 12,9 millions d'euros sur un budget total prévu de 17,1 millions d'euros.

Projet lié à la 5G relevant du FEDER

Ce projet mené en Espagne vise à fournir des informations sur les déploiements de réseaux 5G. Il consiste, entre autres, à expérimenter des techniques de gestion de réseaux rendues possibles par la technologie 5G, telles que la virtualisation des réseaux, l'informatique en périphérie et l'allocation dynamique des ressources réseau, que permet le découpage du réseau en tranches (network slicing), ainsi qu'à développer des usages de la 5G. Le projet a démarré en 2019 et devait durer 30 mois. L'UE a contribué à hauteur de 2,2 millions d'euros sur un coût total attendu de 7,1 millions d'euros.

Annexe VI – Couverture 5G dans une sélection de villes

Les chiffres présentés ci-après reposent sur des données concernant la connectivité mobile à haut débit recueillies lors de tests effectués par les utilisateurs de l'application nPerf. Les zones dans lesquelles la 5G a été détectée ne sont pas nécessairement ouvertes à la commercialisation. Étant donné que les performances des réseaux varient d'un ORM à l'autre, les cartes suivantes, extraites le 4 octobre 2021, présentent uniquement la couverture, et non la qualité du service, caractérisée par le débit et la latence.

Annexe VII – Boîte à outils de l'UE pour la sécurité des réseaux 5G

La boîte à outils de l'UE pour la sécurité des réseaux 5G, adoptée par le groupe de coopération SRI et approuvée par la Commission, contient trois types de mesures non contraignantes (mesures stratégiques, mesures techniques et actions de soutien) qui doivent être mises en œuvre par différents acteurs, comme le montre le récapitulatif ci-dessous.

Mesures	Acteurs concernés
	Autorités des États membres	ORM	Commission européenne	ENISA	Parties prenantes (dont fournisseurs)
Mesures stratégiques
MS01 – Renforcer le rôle des autorités nationales	✓	✓
MS02 – Réaliser des audits des opérateurs et demander des informations	✓	✓
MS03 – Analyser le profil de risque des fournisseurs et appliquer des restrictions à ceux considérés comme présentant un risque élevé pour les actifs clés, et notamment les exclusions nécessaires à une atténuation efficace des risques	✓	✓
MS04 – Contrôler le recours à des fournisseurs de services gérés et à l'assistance de troisième ligne des équipementiers	✓	✓
MS05 – Assurer la diversité des fournisseurs pour les différents ORM en mettant en place des stratégies multifournisseurs appropriées	✓	✓
MS06 – Renforcer la résilience au niveau national	✓	✓
MS07 – Recenser les actifs clés et favoriser l'émergence d'un écosystème 5G diversifié et durable au sein de l'UE	✓		✓
MS08 – Maintenir et renforcer la diversité et les capacités de l'UE en ce qui concerne les futures technologies de réseau	✓		✓		✓
Mesures techniques
MT01 – Garantir l'application d'exigences de base en matière de sécurité (conception et architecture sécurisées des réseaux)	✓	✓
MT02 – Garantir et évaluer l'intégration des mesures de sécurité dans les normes 5G existantes	✓	✓			✓
MT03 – Garantir des contrôles d'accès stricts	✓	✓
MT04 – Renforcer la sécurité des fonctions réseau virtualisées	✓	✓
MT05 – Garantir une gestion, une exploitation et un suivi sécurisés des réseaux 5G	✓	✓
MT06 – Renforcer la sécurité physique	✓	✓
MT07 – Renforcer l'intégrité et la mise à jour des logiciels ainsi que la gestion de leurs correctifs	✓	✓
MT08 – Renforcer les normes de sécurité applicables aux processus des fournisseurs en instaurant des conditions de passation de marchés rigoureuses	✓	✓			✓
MT09 – Appliquer la certification de l'UE aux composants de réseau 5G, aux équipements clients et/ou aux processus des fournisseurs	✓	✓	✓	✓	✓
MT10 – Appliquer la certification de l'UE à d'autres produits et services TIC non spécifiques à la 5G (dispositifs connectés, services en nuage)	✓		✓	✓	✓
MT11 – Renforcer la résilience et les plans de continuité	✓	✓			✓
Actions de soutien
AS01 – Réexaminer ou élaborer les lignes directrices et les bonnes pratiques en matière de sécurité des réseaux	✓	✓		✓
AS02 – Renforcer les capacités d'essai et d'audit aux niveaux national et de l'UE	✓		✓	✓
AS03 – Soutenir et définir la normalisation de la 5G	✓	✓	✓	✓	✓
AS04 – Élaborer des orientations sur l'intégration des mesures de sécurité dans les normes 5G existantes	✓			✓
AS05 – Garantir l'application de mesures de sécurité techniques et organisationnelles normalisées au moyen d'un schéma européen de certification spécifique	✓			✓	✓
AS06 – Échanger les bonnes pratiques concernant la mise en œuvre des mesures stratégiques, en particulier les cadres nationaux d'analyse du profil de risque des fournisseurs	✓
AS07 – Améliorer la coordination de la riposte aux incidents et de la gestion de crises	✓			✓
AS08 – Effectuer des audits des interdépendances entre les réseaux 5G et d'autres services critiques	✓
AS09 – Renforcer les mécanismes de coopération, de coordination et d'échange d'informations	✓			✓
AS10 – Veiller à ce que les risques liés à la cybersécurité soient pris en compte dans les projets 5G financés par des fonds publics	✓		✓

Source: Boîte à outils de l'UE pour la sécurité des réseaux 5G.

Sigles et acronymes

BEI: Banque européenne d'investissement

CCEE: code des communications électroniques européen

EFSI: Fonds européen pour les investissements stratégiques

ENISA: Agence de l'Union européenne pour la cybersécurité

FEDER: Fonds européen de développement régional

FRR: facilité pour la reprise et la résilience

ORECE: Organe des régulateurs européens des communications électroniques

ORM: opérateur de réseau mobile

PIB: produit intérieur brut

SRI: sécurité des réseaux et de l'information

Glossaire

Agence de l'Union européenne pour la cybersécurité: agence de l'UE créée pour instaurer et préserver un niveau élevé de sécurité des réseaux et de l'information dans tous les secteurs de la vie privée et publique.

Exaoctet: unité de mesure de la capacité de stockage d'information numérique équivalant à 1 milliard de gigaoctets.

Fonds européen pour les investissements stratégiques: mécanisme de soutien à l'investissement lancé par la Banque européenne d'investissement (BEI) et la Commission, dans le cadre du plan d'investissement pour l'Europe, afin d'encourager les investissements privés dans des projets ayant une importance stratégique pour l'UE.

Groupe de coopération pour la sécurité des réseaux et des systèmes d'information: organe institué par la directive SRI afin d'assurer la coopération et l'échange d'informations entre les États membres. Il est composé de représentants des États membres de l'UE, de la Commission européenne et de l'Agence de l'UE pour la cybersécurité.

Groupe pour la politique en matière de spectre radioélectrique: groupe consultatif de haut niveau, composé de représentants des États membres, qui assiste et conseille les institutions de l'UE sur le développement du marché unique des produits et services sans fil.

GSMA (Global System for Mobile Communications Association): organisation industrielle qui représente les intérêts d'opérateurs de téléphonie mobile du monde entier, mais aussi de constructeurs et d'entreprises de services de ce secteur, ainsi que d'organisations liées à la sphère des infrastructures mobiles.

Haut débit: transfert rapide et simultané d'informations sous différents formats (données, voix et vidéo, par exemple).

Internet des objets: objets physiques auxquels sont intégrés des capteurs, logiciels et autres technologies qui les dotent d'une connectivité sans fil et leur permettent d'échanger des données avec d'autres dispositifs et systèmes.

Latence: dans le domaine des réseaux informatiques, le temps nécessaire pour qu'un paquet de données soit transmis d'un point A à un point B.

Opérateur de réseau mobile: entreprise de télécommunications qui fournit des services de téléphonie mobile et de communication de données sans fil à ses abonnés.

Organe des régulateurs européens des communications électroniques: organe composé de représentants des autorités de régulation nationales des États membres, qui assiste ces autorités et la Commission dans la mise en œuvre du cadre réglementaire de l'UE en vue de créer un marché unique des communications électroniques.

Programmes nationaux dans le domaine du haut débit: documents des États membres énonçant des objectifs stratégiques dans la perspective de la réalisation des objectifs de l'UE en matière de haut débit.

Rançongiciel: logiciel malveillant qui bloque l'accès des victimes à un système informatique ou chiffre leurs fichiers, afin de les contraindre à payer une rançon en échange du rétablissement de leur accès.

Réseau d'accès radio: élément important des technologies modernes de télécommunications, qui relie les appareils individuels à d'autres parties d'un réseau grâce à des connexions radio.

Spectre radioélectrique: partie du spectre électromagnétique correspondant aux fréquences radio.

Réponses de la Commission

https://www.eca.europa.eu/fr/Pages/DocItem.aspx?did=60 614

Calendrier

https://www.eca.europa.eu/fr/Pages/DocItem.aspx?did=60 614

Équipe d'audit

Les rapports spéciaux de la Cour présentent les résultats de ses audits relatifs aux politiques et programmes de l'UE ou à des questions de gestion concernant des domaines budgétaires spécifiques. La Cour sélectionne et conçoit ces activités d'audit de manière à maximiser leur impact en tenant compte des risques pour la performance ou la conformité, du niveau des recettes ou des dépenses concernées, des évolutions escomptées ainsi que de l'importance politique et de l'intérêt du public.

L'audit de la performance objet du présent rapport a été réalisé par la Chambre II (Investissements en faveur de la cohésion, de la croissance et de l'inclusion), présidée par M^me Iliana Ivanova, Membre de la Cour. L'audit a été effectué sous la responsabilité de M^me Annemie Turtelboom, Membre de la Cour, assistée de: M^me Florence Fornaroli, cheffe de cabinet, et M. Celil Ishik, attaché de cabinet; M. Niels-Erik Brokopp, manager principal; M. Paolo Pesce, chef de mission; M^me Zuzana Gullová ainsi que MM. Jussi Bright, Rafal Gorajski, Alexandre Tan, Aleksandar Latinov et Nils Westphal, auditeurs.

 

Notes

¹ Statista,Number of internet of things (IoT) connected devices worldwide in 2018, 2025 and 2030.

² Cisco Visual Networking Index: Global Mobile Data Traffic Forecast Update, 2017‑2022, février 2019.

³ ITU-R,IMT traffic estimates for the years 2020 to 2030.

⁴ «Bénéfices, impacts et exigences techniques pour faciliter la planification stratégique pour l'introduction de la 5G en Europe», février 2017.

⁵ Accenture Strategy, The Impact of 5G on the European Economy, février 2021.

⁶ Document d'analyse n° 02/2019 – «Défis à relever pour une politique de l'UE efficace dans le domaine de la cybersécurité (Document d'information)», Compendium d'audit du comité de contact des institutions supérieures de contrôle (ISC) de l'Union européenne – «La cybersécurité dans l'UE et ses États membres», 2020, et Service de recherche du Parlement européen, Centre européen des médias scientifiques.

⁷ Groupe de coopération SRI, EU coordinated risk assessment of the cybersecurity of 5G networks, 9 octobre 2019, point 3.4.

⁸ Forum économique mondial, Wild Wide Web – Consequences of Digital Fragmentation, 2021.

⁹ Groupe de coopération SRI, EU coordinated risk assessment of the cybersecurity of 5G networks, 9 octobre 2019,

¹⁰ https://ec.europa.eu/commission/presscorner/detail/fr/IP_15_5715

¹¹ Résolution du Parlement européen du 12 mars 2019 et Loi sur le renseignement national de la république populaire de Chine, article 14. Voir également sa traduction en anglais à l'adresse suivante: https://www.chinalawtranslate.com/en/national-intelligence-law-of-the-p-r-c-2017/

¹² https://ec.europa.eu/commission/presscorner/detail/fr/IP_20_12

¹³ Estimations établies par la Commission sur la base de données provenant de la BEI, d'Analysys, d'annonces de la GSMA et d'entreprises du secteur, et de l'Association européenne des exploitants de réseaux de télécommunications (ETNO), Connectivity & Beyond: How Telcos Can Accelerate a Digital Future for All, mars 2021.

¹⁴ Liste des projets financés par la BEI.

¹⁵ Document d'analyse n° 03/2020 – «La réponse de l'UE à la stratégie d'investissement étatique de la Chine».

¹⁶ Rapport spécial n° 12/2018 – «Le haut débit dans les États membres de l'UE: malgré certaines avancées, les objectifs de la stratégie Europe 2020 ne seront pas tous atteints».

¹⁷ Rapport spécial n° 19/2020 – «Passage au numérique des entreprises européennes: une initiative ambitieuse dont la réussite dépend de l'engagement continu de l'UE, des gouvernements et de l'industrie».

¹⁸ Document d'analyse n° 02/2019 – «Défis à relever pour une politique de l'UE efficace dans le domaine de la cybersécurité (Document d'information)».

¹⁹ Commission européenne, Une boussole numérique pour 2030: l'Europe balise la décennie numérique, COM(2021) 118 final.

²⁰ Commission européenne, Study on National Broadband Plans in the EU‑27.

²¹ Rapport trimestriel n° 12 de l'observatoire européen de la 5G, présentant la situation en juin 2021.

²² Commission européenne, Proposition de règlement concernant l'itinérance sur les réseaux publics de communications mobiles à l'intérieur de l'Union (refonte), COM(2021) 85 final du 24 février 2021.

²³ Commission européenne, Study on National Broadband Plans in the EU‑27.

²⁴ Directive (UE) 2018/1972 établissant le code des communications électroniques européen.

²⁵ Commission européenne, communication intitulée Sécurité du déploiement de la 5G dans l'UE – Mise en œuvre de la boîte à outils de l'UE, COM(2020) 50 final.

²⁶ Commission européenne, Study on National Broadband Plans in the EU‑27.

²⁷ Communiqué de presse IP/21/206 de la Commission du 4 février 2021.

²⁸ Communiqué de presse IP/21/4612 de la Commission du 23 septembre 2021.

²⁹ Décision (UE) 2017/899 sur l'utilisation de la bande de fréquences 470-790 MHz.

³⁰ Directive (UE) 2018/1972 établissant le code des communications électroniques européen.

³¹ Observatoire européen de la 5G et groupe pour la politique en matière de spectre radioélectrique.

³² Résolution du Parlement européen du 12 mars 2019 (2019/2575(RSP)).

³³ Document JOIN(2019) 5 final du 12 mars 2019 sur les relations UE-Chine – Une vision stratégique.

³⁴ Conclusions du Conseil européen des 21 et 22 mars 2019.

³⁵ Commission européenne, Recommandation (UE) 2019/534 du 26 mars 2019 – Cybersécurité des réseaux 5G.

³⁶ Communiqué de presse du 19 juillet 2019.

³⁷ Groupe de coopération SRI, Cybersecurity of 5G networks – EU Toolbox of risk mitigating measures, janvier 2020.

³⁸ Commission européenne, communication intitulée Sécurité du déploiement de la 5G dans l'UE – Mise en œuvre de la boîte à outils de l'UE, COM(2020) 50 final, et Conclusions du Conseil européen des 1^er et 2 octobre 2020 (EUCO 13/20).

³⁹ Traité sur le fonctionnement de l'Union européenne.

⁴⁰ Directive (UE) 2016/1148 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union.

⁴¹ Document d'analyse n° 02/2019 – «Défis à relever pour une politique de l'UE efficace dans le domaine de la cybersécurité (Document d'information)», point 36.

⁴² Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen, au Comité des régions et à la Banque européenne d'investissement – La stratégie «Global Gateway», JOIN(2021) 30 final du 1^er décembre 2021.

⁴³ COM(2013) 48 final du 7 février 2013.

⁴⁴ Directive (UE) 2016/1148.

⁴⁵ COM(2016) 590 final du 12 octobre 2016 et directive (UE) 2018/1972 établissant le code des communications électroniques européen.

⁴⁶ Communication de la Commission européenne intitulée «Façonner l'avenir numérique de l'Europe», COM(2020) 67 final.

⁴⁷ Relations UE-Chine – Une vision stratégique.

⁴⁸ Arrêt dans l'affaire C-362/14 et https://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150 117fr.pdf

⁴⁹ Arrêt dans l'affaire C-311/18 et https://curia.europa.eu/jcms/upload/docs/application/pdf/2020-07/cp200 091fr.pdf

⁵⁰ https://www.europarl.europa.eu/doceo/document/E-9-2020-004305_EN.html et https://www.europarl.europa.eu/RegData/etudes/ATAG/2019/637912/EPRS_ATA(2019)637912_EN.pdf

⁵¹ ENISA,Threat Landscape for 5G Networks, 14 décembre 2020.

⁵² ENISA,Guideline on Security Measures under the EECC, 10 décembre 2020.

⁵³ ENISA,5G supplement to the Guidelines on Security Measures under the EECC, 7 juillet 2021.

⁵⁴ Communiqué de presse du 3 février 2021.

⁵⁵ Règlement (UE) 2021/523 établissant le programme InvestEU.

⁵⁶ Rapport sur l'état d'avancement de la mise en œuvre par les États membres de la boîte à outils de l'UE pour la cybersécurité de la 5G, juillet 2020.

⁵⁷ Rapport relatif aux effets de la recommandation de la Commission du 26 mars 2019 sur la cybersécurité des réseaux 5G, SWD(2020) 357 final du 16 décembre 2020.

⁵⁸ ORECE,Internal Report concerning the EU 5G Cybersecurity Toolbox Strategic Measures 5 and 6 (Diversification of suppliers and strengthening national resilience), BoR 20 (227) du 10 décembre 2020.

⁵⁹ StrandConsult,Understanding the Market for 4G RAN in Europe: Share of Chinese and Non-Chinese Vendors in 102 Mobile Networks.

⁶⁰ Lettre adressée par des députés européens aux ministres des télécommunications et du commerce de l'UE et aux commissaires européens Thierry Breton, Margrethe Vestager et Valdis Dombrovskis, 14 octobre 2020.

⁶¹ Document d'analyse n° 03/2020 de la Cour des comptes européenne – «La réponse de l'UE à la stratégie d'investissement étatique de la Chine».

⁶² Proposition de règlement relatif aux subventions étrangères faussant le marché intérieur, COM(2021) 223 final du 5 mai 2021.

⁶³ Oxford Economics, Restricting competition in 5G network equipment throughout Europe, juin 2020 (étude commandée par Huawei).

⁶⁴ StrandConsult,The real cost to ‘rip and replace' Chinese equipment from telecom networks.

⁶⁵ Loi sur les services de communications électroniques 1207/2020 du 30 décembre 2020, article 301.

⁶⁶ https://www.euronews.com/2021/06/03/french-telecom-operator-orange-apologises-after-emergency-numbers-crash-nationwide

⁶⁷ https://www.reuters.com/business/media-telecom/orange-blames-network-outage-software-failure-audit-2021-06-11/

⁶⁸ https://www.wsj.com/articles/irish-healthcare-service-shuts-down-it-systems-after-ransomware-attack-11 620 998 875

⁶⁹ https://www.reuters.com/technology/irish-health-service-hit-by-ransomware-attack-vaccine-rollout-unaffected-2021-05-14/

⁷⁰ https://www.cert.europa.eu/cert/moreclusteredition/en/blog_DataBreachTodayinRSS Syndication-in-299 786a86ffeab5aec16d55 392d94 819.20 210 624.en.html

⁷¹ https://www.solarwinds.com/

⁷² https://www.reuters.com/article/us-cyber-solarwinds-microsoft-idUSKBN2AF03R

⁷³ https://www.businessinsider.com/solarwinds-hack-explained-government-agencies-cyber-security-2020-12?international=true&r=US&IR=T

Contact

COUR DES COMPTES EUROPÉENNE
12, rue Alcide De Gasperi
1615 Luxembourg
LUXEMBOURG

Tél. +352 4398-1
Contact: eca.europa.eu/fr/Pages/ContactForm.aspx
Site internet: eca.europa.eu
Twitter: @EUAuditors

De nombreuses autres informations sur l’Union européenne sont disponibles sur l’internet via le serveur Europa (https://europa.eu).

Luxembourg: Office des publications de l’Union européenne, 2022

PDF	ISBN 978-92-847-7412-8	ISSN 1977-5695	doi:10.2865/337980	QJ-AB-21-029-FR-N
HTML	ISBN 978-92-847-7384-8	ISSN 1977-5695	doi:10.2865/744862	QJ-AB-21-029-FR-Q

DROITS D'AUTEUR

© Union européenne, 2022.

La politique de réutilisation de la Cour des comptes européenne est régie par la décision n° 6-2019 de la Cour des comptes européenne sur la politique d'ouverture des données et la réutilisation des documents.

Sauf indication contraire (par exemple dans une déclaration distincte concernant les droits d'auteur), le contenu des documents de la Cour, qui appartient à l'UE, fait l'objet d'une licence Creative Commons Attribution 4.0 International (CC BY 4.0). Cela signifie que vous pouvez en réutiliser le contenu à condition de mentionner la source et d'indiquer les modifications que vous avez apportées. Le réutilisateur a l'obligation de ne pas altérer le sens ou le message initial des documents. La Cour des comptes européenne ne répond pas des conséquences de la réutilisation.

Vous êtes tenu(e) d'acquérir des droits supplémentaires si un contenu spécifique représente des personnes physiques identifiables, comme par exemple sur des photos des agents de la Cour, ou contient des travaux de tiers. Lorsque l'autorisation a été obtenue, elle annule et remplace l'autorisation générale susmentionnée et doit clairement indiquer toute restriction d'utilisation.

Pour utiliser ou reproduire des contenus qui n'appartiennent pas à l'UE, vous pouvez être amené(e) à demander l'autorisation directement aux titulaires des droits d'auteur.

• Images à l'annexe VI: © nPerf. Société nPerf SAS.

Les logiciels ou documents couverts par les droits de propriété industrielle tels que les brevets, les marques, les modèles déposés, les logos et les noms sont exclus de la politique de réutilisation de la Cour des comptes européenne, et aucune licence ne vous est accordée à leur égard.

La famille de sites internet institutionnels de l'Union européenne relevant du domaine europa.eu fournit des liens vers des sites tiers. Étant donné que la Cour n'a aucun contrôle sur leur contenu, vous êtes invité(e) à prendre connaissance de leurs politiques respectives en matière de droits d'auteur et de protection des données.

Utilisation du logo de la Cour des comptes européenne

Le logo de la Cour des comptes européenne ne peut être utilisé sans l'accord préalable de celle-ci.

COMMENT PRENDRE CONTACT AVEC L’UNION EUROPÉENNE?

En personne
Dans toute l’Union européenne, des centaines de centres d’information Europe Direct sont à votre disposition. Pour connaître l’adresse du centre le plus proche, visitez la page suivante: https://europa.eu/european-union/contact_fr

Par téléphone ou courrier électronique
Europe Direct est un service qui répond à vos questions sur l’Union européenne. Vous pouvez prendre contact avec ce service:

• par téléphone:
• via un numéro gratuit: 00 800 6 7 8 9 10 11 (certains opérateurs facturent cependant ces appels),
• au numéro de standard suivant: +32 22999696;
• par courrier électronique via la page https://europa.eu/european-union/contact_fr

COMMENT TROUVER DES INFORMATIONS SUR L’UNION EUROPÉENNE?

En ligne
Des informations sur l’Union européenne sont disponibles, dans toutes les langues officielles de l’UE, sur le site internet Europa à l’adresse https://europa.eu/european-union/index_fr

Publications de l’Union européenne
Vous pouvez télécharger ou commander des publications gratuites et payantes à l’adresse https://op.europa.eu/fr/publications. Vous pouvez obtenir plusieurs exemplaires de publications gratuites en contactant Europe Direct ou votre centre d’information local (https://europa.eu/european-union/contact_fr).

Droit de l’Union européenne et documents connexes
Pour accéder aux informations juridiques de l’Union, y compris à l’ensemble du droit de l’UE depuis 1951 dans toutes les versions linguistiques officielles, consultez EUR-Lex à l’adresse suivante: https://eur-lex.europa.eu

Données ouvertes de l’Union européenne
Le portail des données ouvertes de l’Union européenne (https://data.europa.eu/fr) donne accès à des ensembles de données provenant de l’UE. Les données peuvent être téléchargées et réutilisées gratuitement, à des fins commerciales ou non commerciales.