L'internet français sous haute surveillance

par Alexandre Hervaud
publié le 2 mars 2011 à 18h51
(mis à jour le 3 mars 2011 à 17h27)

Tout beau tout chaud, un décret paru au Journal Officiel cette semaine met à jour la Loi de 2004 pour pour la confiance dans l'économie numérique (LCEN). Ce décret n° 2011-219 du 25 février 2011 est «relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne» . Les hébergeurs et fournisseurs de services sur le Net se voient ainsi imposés de conserver pendant un an un grand nombre de données personnelles des internautes, aussi bien en matière d'identité que d'activités.

Inutile de verser dans la paraphrase, la rédaction du décret étant évidemment déjà synthétique par nature, voici donc in extenso son premier article fort chargé :

Les données mentionnées au II de l'article 6 de la loi du 21 juin 2004 susvisée, que les personnes sont tenues de conserver en vertu de cette disposition, sont les suivantes :

Pour les personnes mentionnées au 1 du I du même article et pour chaque connexion de leurs abonnés :

_ a) L'identifiant de la connexion ;

_ b) L'identifiant attribué par ces personnes à l'abonné ;

_ c) L'identifiant du terminal utilisé pour la connexion lorsqu'elles y ont accès ;

_ d) Les dates et heure de début et de fin de la connexion ;

_ e) Les caractéristiques de la ligne de l'abonné ;

Pour les personnes mentionnées au 2 du I du même article et pour chaque opération de création :

_ a) L'identifiant de la connexion à l'origine de la communication ;

_ b) L'identifiant attribué par le système d'information au contenu, objet de l'opération ;

_ c) Les types de protocoles utilisés pour la connexion au service et pour le transfert des contenus ;

_ d) La nature de l'opération ;

_ e) Les date et heure de l'opération ;

_ f) L'identifiant utilisé par l'auteur de l'opération lorsque celui-ci l'a fourni ;

Pour les personnes mentionnées aux 1 et 2 du I du même article, les informations fournies lors de la souscription d'un contrat par un utilisateur ou lors de la création d'un compte :

_ a) Au moment de la création du compte, l'identifiant de cette connexion ;

_ b) Les nom et prénom ou la raison sociale ;

_ c) Les adresses postales associées ;

_ d) Les pseudonymes utilisés ;

_ e) Les adresses de courrier électronique ou de compte associées ;

_ f) Les numéros de téléphone ;

_ g) Le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;

Pour les personnes mentionnées aux 1 et 2 du I du même article, lorsque la souscription du contrat ou du compte est payante, les informations suivantes relatives au paiement, pour chaque opération de paiement :

_ a) Le type de paiement utilisé ;

_ b) La référence du paiement ;

_ c) Le montant ;

_ d) La date et l'heure de la transaction.

Les données mentionnées aux 3° et 4° ne doivent être conservées que dans la mesure où les personnes les collectent habituellement.

Qui pourra réclamer aux hébergeurs de telles données à conserver pendant un an ? Un panel d'autorités allant de la gendarmerie à l'Ursaff en passant par la douane, la police, la répression des fraudes. La menace (d'aucuns diront l'excuse) terroriste est une nouvelle fois citée pour justifier la mesure qui intervient quelques semaines après l'adoption par les députés de la loi LOPPSI 2. La création, la modification et la suppression de contenu sont également dans le collimateur du décret, qui a évidemment fait bondir plus d'une structure dès son annonce (sauf la CNIL, qui a rendu un avis sur le sujet dès 2007, mais qui n'est pas public, CQFD [il l'est désormais, cf mise à jour] ). Farouchement remonté, Jérôme Thorel, de l'ONG Privacy France organisateur des Big Brother Awards , juge d'après l'AFP cette évolution «disproportionnée, sans commune mesure avec le Big Brother qu'avait pu imaginer George Orwell ou la façon dont opérait la Stasi en Allemagne de l'Est !» .

Du côté des professionnels, la nouvelle n'enchante pas non plus. L'Association française des Services Internet communautaires (Asic) (dont sont membres des sociétés comme Google, Dailymotion, Facebook, PriceMinister, etc.) pourrait même déposer un recours en annulation devant le Conseil d'Etat. Du moins si ses membres se mettent d'accord sur ce mode d'action, a déclaré son secrétaire général Benoît Tabaka . Ce dernier souligne des défauts de clarifications dans le texte (notamment le fait qu'un mot de passe ne permet pas nécessairement d'identifier une personne), mais aussi les contradictions avec des lois existantes et le manque d'indemnisations prévues pour mener à bien ces nouvelles missions.

Une mauvaise nouvelle n'arrivant jamais seule, surtout pour l'Internet français, la publication de ce décret au Journal Officiel intervient alors qu'une proposition de loi du PS sur la neutralité du Net a été rejetée hier à l'Assemblée Nationale par 311 voix contre 218. Elle entendait proscrire toute discrimination dans l'accès à Internet, et avait obtenu le soutien de nombreux défenseurs du web, à commencer par la Quadrature du Net . Eric Besson, ministre de l'Economie numérique, a estimé qu'il était prématuré de légiférer dès aujourd'hui sur cette question...

[MAJ 03/03/2011]

L'avis rendu par la CNIL sur le sujet en 2007 est désormais disponible sur son site . On peut y lire diverses remarques (notamment que «la notion "d'identifiant" utilisée est imprécise» , que certains termes techniques sont flous, etc.), ignorées dans le décret final, mais pas un mot sur la conservation des mots de passes comme le note Numérama .

L'avis de l'Autorité de régulation des communications électroniques et des postes (ARCEP), daté du 13 mars 2008, avait quant à lui bien été publié au Journal Officiel le 1er mars dernier. On peut y lire : «l'Autorité relève que les notions de "création du contenu" ou de "l'un des contenus des services dont elles sont prestataires" ne sont aucunement définies, ce qui laisse aux personnes chargées de la conservation des données la responsabilité de définir elles-mêmes l'étendue des données qu'elles doivent conserver» . Et de craindre qu'il incombera aux hébergeurs et fournisseurs de services concernés de conserver «une quantité exponentiellement croissante de données, ce qui risque de rendre les dispositions de ce projet de décret difficilement applicables tant pour des raisons techniques que financières» , tout en notant que «certaines données [à conserver] n'ont que peu de rapport ou même aucun avec l'identification de la personne ayant créé un contenu» .

Lire les réactions à cet article.

Pour aller plus loin :

Dans la même rubrique

Les plus lus