Un projet de décret circule, la CNIL n’a pas son mot à dire ...

Les traces de vos faits et gestes sur Internet, conservées un an par les RG et la DST et jusqu’à quatre ans par la Police et la Gendarmerie

Le risque pour les libertés existe mais le Geste exagère pas mal

Jeudi 26 avril 2007, par Emmanuel Barthe // Portails juridiques officiels - Diffusion des données juridiques publiques

La Dépêche du GFII n° 855 du 23 avril 2007 titrée "Polémique sur un projet de décret organisant la rétention des données informatiques par les opérateurs Internet et de téléphonie mobile" [1] relaye la tribune de Philippe Jannet, président du Groupement des éditeurs de sites en ligne (Geste) publiée dans le Monde du 21 avril, et intitulée "L’Etat veut-il tuer l’Internet en France ?"

« Encore un pseudo-scandale de plus ... », allez vous me dire. Oui et non. Lisez ce qui suit, vous verrez qu’au final, ce projet de décret paraît tout de même un peu excessif, même si le Geste exagère et fait du lobbying pour des raisons autant de risque pénal et de coût financier que de menace pour les libertés.

Les faits

Les faits d’abord. Voici, d’après diverses sources (citées infra) et le texte du projet, ce que projette le Gouvernement [2] :

- Ce projet de décret est un texte d’application de la loi sur la confiance dans l’économie numérique du 21 juin 2004 (LCEN). Pour l’environnement juridique, voir les notes en bas du communiqué de presse de l’association IRIS (Imaginons un réseau Internet solidaire)

- Objectif : « permettre l’identification de quiconque a contribué à la création du contenu » d’un service.
Concrètement, le projet de décret exige que les hébergeurs, les opérateurs de téléphonie fixe et mobile et les fournisseurs d’accès à Internet (FAI) (mais pas les simples éditeurs de sites, contrairement à ce qu’affime Philippe Jannet, donc pas les blogueurs, car l’obligation repose sur les prestataires relevant de l’article 6.I.2 de la LCEN et donc a priori cela exclut les simples éditeurs de site [3]), conservent toutes les traces des internautes et des abonnés au mobile (les fameux "logs" des connexions), pour les délivrer à la police judiciaire ou à l’Etat, sur simple demande :

  • mots de passe, "pseudos", codes d’accès confidentiels et autres identifiants
  • numéros de carte bancaire, détails de paiement
  • numéros de téléphone, adresses e-mail, adresses postales, le numéro de l’ordinateur ou du téléphone utilisé
  • le moyen d’accès à un réseau, les date et heure d’appel, de connexion et de chacune de leurs consultations ou contributions sur un site Internet.

- Sanctions pénales prévues (articles 6.VI.2 de la LCEN et 131-38 du Code pénal) : jusqu’à 375 000 euros d’amende pour les personnes morales et pour leurs dirigeants, un an d’emprisonnement et 75 000 euros d’amende, sans compter la fermeture de l’entreprise, l’interdiction d’exercer une activité commerciale, etc.

- Toutes les données conservées seraient accessibles à la police administrative (Renseignements généraux (RG), Direction de la surveillance du territoire (DST), etc.) comme à la police judiciaire, pendant un an. Les réquisitions administratives pour la "prévention du terrorisme" seraient également conservées un an dans des fichiers tenus par les ministères de l’intérieur et de la défense. Les réponses à ces mêmes réquisitions — nos traces, donc — seraient, pour leur part, conservées pendant trois ans supplémentaires et communicables à la police judiciaire.

- Alors même que les forces de l’ordre pourraient conserver les données demandées pendant trois ans, leur demande elle-même ne serait conservée qu’au maximum un an.

- La CNIL sera certes in fine consultée, mais l’avis de la CNIL, même défavorable, est purement consultatif depuis la refonte de 2004 de la loi Informatique et libertés. [4].

Traduction et interprétations

Quelles seraient les conséquences de ce texte ? :

- Tout éditeur de site web ou intermédiaire technique (FAI, hébergeur, ...) (mais pas moi petit blogueur, ni vous, éditeur de site web familial, ni la société qui n’héberge pas elle-même son site web) devrait conserver les données de connexion de ses visiteurs pendant un an.

- D’où problèmes pratiques et financiers :

  • on les met où, ces données ? Parce que ça en fait des giga-octets ... Et on fait comment pour retrouver la donnée précise qu’on vous demandera, quel logiciel de base de données va t’on utiliser ?
  • qui va payer ? Les sites et les intermédiaires techniques assumeront initialement la charge technique et le coût. D’après Les Echos, le coût de la mesure serait estimé à environ 224 euros par abonné pour un fournisseur d’accès à Internet qui compterait un million de clients [5]. Théoriquement, l’Etat les indemnisera sur une base forfaitaire. Mais vu la mauvaise volonté avérée de l’Etat d’indemniser pour les obligations de rétention existantes, les acteurs de l’Internet se posent des questions.

- Ce texte obligera les hébergeurs et opérateurs mobiles à jouer le rôle d’informateur de la police. Indirectement, les publications renseigneront sur les faits et gestes en ligne de leurs lecteurs. Ce qui, en tant que bibliothécaire-documentaliste, me rappelle l’obligation faite par le Patriot Act du 26 octobre 2001 [6] aux bibliothèques de lecture publique américaines de laisser les agents du FBI dotés d’un mandat consulter secrètement leur fichier des emprunts [7].

- Ce projet de décret se situe dans la droite ligne du projet gouvernemental de commission de déontologie de l’information en ligne [8]. A noter que ce projet de commission de déontologie de l’Internet n’est qu’une des suites de l’échec de la tentative du Gouvernement de supplanter le Forum des droits sur l’Internet (FDI) en le remplaçant par un Comité consultatif de l’internet, officiellement créé en 2003 et qui depuis n’a toujours pas donné de signe d’activité, le FDI ayant été nommé son secrétaire. On retrouve aussi là un courant de pensée "Internet est un media intrinsèquement dangereux" défendu par certaines associations familiales et dédiées à la protection de l’enfance [9], particulièrement influentes au sein du Gouvernement sous la dernière présidence, notamment par le ministre chargé de la Famille M. Philippe Bas. Le présent projet de décret organisant la rétention des données informatiques par les opérateurs Internet et de téléphonie mobile a donc une longue histoire ...

- Alors que ces données ne sont censées servir qu’à « permettre l’identification de quiconque a contribué à la création du contenu » d’un service, le projet de décret va bien au-delà de cet objectif, en listant parmi les données à conserver, par exemple, le mot de passe fourni lors de la souscription d’un contrat d’abonnement ou lors de la création d’un compte auprès du prestataire Internet [10]

- Ce projet de décret semble aussi constituer un moyen d’étendre la durée de rétention des données au-delà de ce que permettent les législations française et européenne, déjà bien étendues en la matière (respectivement un an et de 6 à 24 mois) [11]

- Vu la lourdeur des sanctions, notamment financières, il sera en pratique impossible de se dérober à l’application de ce texte. Et aucune décision, aucune vérification, aucune autorisation préalable par une commission ou un juge n’est prévue.

Pour mesurer le caractère excessif des mesures proposées au regard des libertés publiques, Philippe Jannet propose une comparaison : même les Etats-Unis ne sont pas allés aussi loin, même au nom de leur lutte contre le terrorisme. C’est exact, même si les tentations de légiférer dans le même sens y existent toujours : la loi fédérale exige des FAI de conserver toute donnée en leur possession pendant 90 jours s’il leur en est fait la demande par un organisme gouvernemental. En revanche, le Geste exagère lourdement quand il affirme que l’obligation s’applique aux éditeurs de sites, comme expliqué supra.

D’habitude plus mesurée, la Dépèche du GFII en fait elle aussi "des tonnes" :

« En l’état — et sans tomber dans la paranoïa [12] — le projet de décret semble réaliser le fantasme d’un Big Brother capable à tout instant et sur des périodes longues de répondre à la question "Dis-moi ce que tu fais sur le Net, et je te dirai qui tu es".
Or les développements proposés, s’ils passent le tir de barrage associatif actuel, s’inscrivent dans un contexte où la multiplication et les errements des fichiers "policiers" [13] (fichier des infractions constatées, fichier d’empreintes génétiques) ont tendance à se multiplier [14] sans débats, sans réel encadrement et sans réel contrôle.
Déplorant les faibles moyens de la Commission, c’est le président de la CNIL lui-même (pourtant issu de l’actuelle majorité politique) qui dans une autre tribune récente au journal le Monde tirait la sonnette d’alarme sur cette tendance très inquiétante au regard des libertés publiques [15]. Les services de la CNIL n’ont d’ailleurs pas été saisis du projet de décret. »

On notera la remarque de la Dépèche du GFII sur « le tir de barrage associatif ». Or le GFII est lui aussi une association (le syndicat des industries de l’information, en l’occurence). En fait, la tribune de P. Jannet et les autres réactions visent justement à "blinder" la position des acteurs des industries de l’Internet et de l’information qui, pour bien se faire comprendre du Gouvernement menacent, pour certains, de s’exiler.

La réaction de l’hébergeur français "historique" Gandi montre bien que ces mêmes acteurs ne croient pas trop que le Gouvernement ira jusqu’au bout et appliquera les menaces contenues dans son projet de décret. Ils estiment d’ailleurs qu’une surveillance aussi détaillée et étendue est techniquement infaisable. Pour citer le Bar (blog) de Gandi : « Il est techniquement impossible de savoir réellement ce qui a été changé sur tous les sites hébergés de manière fiable. [...] Les technocrates qui nous gouvernent ne sont pas si peu technophiles, donc point besoin de s’alarmer. [...] Je ne pense pas que nous en arriverons là, et resterons vigilants. ».

Ce qui est intéressant et plus pertinent, dans les réactions/commentaires du Geste et du GFII, que la dénonciation un peu emphatique d’un projet de décret, c’est le rappel sur les fichiers de police et la faiblesse de la CNIL.

Pour creuser le sujet, vous pouvez lire le communiqué d’IRIS : Conservation des données d’identification et de connexion : toujours plus et plus longtemps, (20 avril 2007).

Pour synthétiser :

Emmanuel Barthe
documentaliste juridique

Notes de bas de page

[1Le lien est de nous. Il pointe vers une version HTML enrichie en précisions, liens et gras du texte intégral PDF du "Projet de décret portant application de l’article 6 de la loi n° 2004-575 du 21 juin 2004
pour la confiance dans l’économie numérique
" publié sur le site web de l’association IRIS.

[2Rappelons que ce texte est disponible en ligne. Voir aussi notre version HTML, enrichie, du projet de décret.

[3Il s’agit, selon l’article 6.I.2 de la LCEN des « personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ». Les simples éditeurs de sites web ne sont donc clairement pas concernés.

[4Comme l’explique Julien Le Clainche de Droit-NTIC : « Sous l’empire de la loi ancienne, les fichiers intéressant la sûreté et la sécurité publique devaient faire l’objet d’un avis favorable de la CNIL. L’avis défavorable pouvait alors être surmonté par un avis conforme du Conseil d’Etat. Au terme de la loi nouvelle, l’autorité administrative n’a plus qu’à rendre un avis motivé et publié. Peu importe son caractère favorable ou défavorable, le traitement pourra être mis en œuvre. [...] D’un régime d’autorisation par la CNIL, [on est passé] à une autorisation par le ministre compétent, par exemple le ministre de l’Intérieur. » Source : La refonte de la loi "Informatique et libertés" partiellement censurée par le Conseil constitutionnel / Julien Le Clainche, Droit-NTIC 2 août 2004.

[7Voir le dossier et les liens réunis par l’American Association of Libraries (AAL) sur le Patriot Act.

[8Le gouvernement veut créer une "commission de déontologie" de l’information en ligne, LeMonde.fr 19 février 2007, mis à jour le 6 avril 2007. Vers une régulation de l’internet ? / Fabrice Dos Santos Pessanha, étudiant du Master Droit des nouvelles technologies et société de l’information, e-Juristes.org 5 mars 2007. Communiqué de la ligue Odebi du 7 février 2007. Texte intégral du projet.

[9L’auteur de ces lignes est internaute depuis 1996, webmestre et formateur Internet depuis 1997 et le père de deux petites filles. Il estime à ce titre être compétent pour se prononcer sur la prétendue dangerosité d’Internet.

[12Note de l’auteur : euh, si, désolé : un peu quand même.

[13Le lien est de nous. Il pointe vers le rapport du Groupe de travail sur les fichiers de police et de gendarmerie, dit rapport Bauer, de novembre 2006 (format PDF, 91 pages).

[15La CNIL dénonce l’"endormissement" sur les libertés, interview d’Alex Türk, président de la CNIL, par Nathalie Guibert, le Monde 17 avril 2007.

Répondre à cet article