Conservation des données Internet : un décret en préparation provoque un tollé
AFA, Geste, Iris?Plusieurs organisations Internet réagissent à l’élaboration
d’un décret qui « exprime le fantasme de Big Brother ». Enquête.
Voilà un projet de décret qui fait beaucoup couler d’encre alors qu’il n’est censé que compléter des dispositions liées à la conservation des données Internet. Un volet reflété dans l’article 6 de la loi pour la Confiance dans l’économie numérique du 21 juin 2004. Si le texte est validé comme tel et publié au Journal Officiel, il entraînera des conséquences non négligeables pour les activités des acteurs du Net en France.
Le projet de décret, qualifié de « liberticide pour Internet », n’aurait pas dû sortir d’une réunion en date de janvier 2007 d’un groupe de travail réunissant des représentants de l’Etat et des fournisseurs d’accès Internet. Pourtant, son contenu, soumis pour validations aux différents ministères (Justice, Intérieur, Industrie?), a de quoi faire bondir plus d’un exploitant de services Internet.
Petit retour en arrière pour comprendre le contexte actuel : le 24 mars 2006, un premier décret a précisé la durée de conservation des données Internet. Les fournisseurs d’accès Internet, portails et hébergeurs sont obligés de se plier à cet exercice sur une durée d’un an à compter du jour de la création de contenus. Une position médiane choisie par la France au regard des dispositions inscrites dans la directive européenne relative à la conservation des données Internet publiée juste auparavant (le 15 mars 2006). Une fourchette de six mois à deux ans avait été établie, au gré des Etats membres en charge de la transposition dans le droit national.
Mais, il manquait un élément fondamental dans ce décret : quelles données faut-il conserver ? C’est ici qu’intervient la publication de ce nouveau projet de décret, marqué par une volonté de rassembler un maximum de données nominatives et d’élément de connexions Internet. De quoi donner le vertige.
Un listing impressionnant de données à stocker
Le texte établit un listing précis de données Internet que les FAI et hébergeurs doivent conserver. Pour la première catégorie d’acteurs de type ISP (Internet Service Provider), ils doivent garder cinq types de données permettant l’identification de création de contenus (identifiant de la connexion, date et heure de début et fin de connexion, caractéristique de la ligne?). Côté hébergeur, il s’agit de sept éléments à stocker pendant un an (identifiant de la connexion, nature de l’opération, dates et heures de l’opération, pseudonymes utilisés?).
Mais ce n’est pas tout car FAI et hébergeurs ont également des obligations communes de conservation des données. Dans le cadre de la souscription d’un contrat, il faut rassembler six principaux éléments nominatifs (nom, prénom, adresses postales, pseudonymes utilisés, adresse de courrier électronique, numéro de téléphone?). Dans le cadre d’un service payant, il faut rajouter quatre données comme le type de paiement utilisé ou l’heure et la date de transaction. En bas de l’article, le lecteur pourra consulter la liste précise des données qui seront conservées par type de prestataires. Comme si cela ne suffisait pas, le projet de décret demande à ce que les opérations de créations initiales, de modifications et de suppressions des contenus soit également conservées.
Un deuxième volet prête à polémique : le projet de décret aborde également le volet des « demandes de communication des données d’identification » que des « agents désignés par les chefs de services de police et de gendarmerie nationales » dans le cadre de missions de prévention des actes de terrorisme. En clair, les services de police peuvent directement s’adresser aux FAI et hébergeurs pour récupérer tout ou partie des données indiquées ci-dessus, sans passer par une voie de justice.
Même si toutes les demandes sont transmises à la Commission nationale de contrôle des interceptions de sécurité censée jouer un rôle de garde-fou, ce n’est pas très rassurant sur le front de la protection des données personnelles. Contactée dans la journée de mercredi par Vnunet.fr, la Commission nationale de l’informatique et des libertés (Cnil) indique ne « pas avoir été consulté sur ce projet de décret en l’état actuel ».
(lire la suite page suivante)