Les FAI doivent conserver les données, oui mais lesquelles ?

Cloud

Désormais adoptée, la loi sur la sécurité quotidienne va imposer aux FAI la conservation des données de communication sur une période d’un an. Mais quelles données ? Et sur quels services ? Uniquement le Web ou également les e-mails, le FTP, le chat, les newsgroups ? Autant de questions auxquelles les députés n’ont pas pris le temps de répondre et que doivent définir les services de l’Etat avant application de la loi.

En adoptant mercredi 31 octobre, sans modification et sans débat public, le texte de loi sur la sécurité quotidienne (la LSQ) en lecture définitive (voir édition du 2 novembre 2001), les députés ont probablement mis dans l’embarras tant les fournisseurs d’accès Internet (FAI) que l’Etat et la Justice. Notamment à cause de l’amendement sur la conservation des données. Extirpé de la future loi sur l’information (LSI) pour être introduit à la va-vite dans la LSQ, l’amendement qui porte sur la conservation des données risque de poser plus de problèmes qu’il n’en résout.

D’abord par son contenu pour le moins flou. Comme le résume le rapporteur Bruno Le Roux, député de Seine-Saint-Denis, « les fournisseurs d’accès à Internet peuvent être soumis à l’obligation de conserver les données personnelles dont ils disposent et de les mettre à disposition de l’autorité judiciaire », cela pendant une période d’une année. Si M. Le Roux prend la peine de nommer les acteurs visés par l’amendement, le texte de loi parle lui « d’opérateurs de télécommunications ». Et les informations à conserver concernent « certaines catégories de données techniques ». Tout l’enjeu de la loi, pour les FAI, va donc dépendre de l’interprétation des textes qui feront l’objet de décrets. Lesquels devraient être établis pour la fin 2001, janvier 2002 au plus tard après passage devant la CNIL et le Conseil d’Etat.

Les rencontres entre Etat et FAI débutent à peine

Pour préciser ces textes, les FAI ont commencé à rencontrer les pouvoirs publics et plus particulièrement Christian Pierret, secrétaire d’Etat à l’Industrie, la veille du vote de la loi. Selon Jean-Christophe Le Toquin, secrétaire permanent de l’association des fournisseurs d’accès en France (AFA), l’exploitation des données (adresses IP et sessions de navigation) se limiterait au cadre pénal exclusivement. « Cela risque de réduire les capacités des FAI à se défendre contre les intrus », explique le représentant de l’AFA. Plus grave, selon l’interprétation de Jean-Christophe le Toquin, les FAI ne pourraient plus communiquer leurs données aux juges dans les procédures civiles auxquelles ont généralement recours les plaignants, notamment dans le cadre d’affaires en diffamation. « Cela signifie que la diffamation disparaît et que les pirates font ce qu’ils veulent », ironise-t-il à peine. Mais ce point reste, comme les autres, à éclaircir.

L’autre souci concerne la signification des « données de communication ». Qu’est-ce qu’une communication ? Une session entière, début et fin de connexion ? Une requête, sachant que l’appel d’une page peut en générer des dizaines ? Et sur quels services ? Web, e-mail, FTP, peer-to-peer, chat, newsgroups, forums… Sans compter ceux qui pourraient voir le jour après l’application de la loi. Seront-ils soumis au même régime ? Seront-ils autorisés ou seulement applicables dans le respect des textes ? « Si l’on doit conserver tous les logs, ce sera extrêmement lourd à stocker et très intrusif », précise le secrétaire de l’AFA. Sans être forcément instructif puisque le contenu en lui-même des pages consultées ou des e-mails échangés ne devrait pas être conservé. Rien qu’en France, on estime à entre 4 et 5 milliards le nombre de logs quotidiens sur le Web. Une étude a avancé un échange de 500 milliards d’e-mails en l’an 2000 rien qu’aux Etats-Unis.

Un coût considérable… supporté par l’Etat

Bref, la perspective d’on ne sait combien de téraoctets à stocker semble se profiler à l’horizon. « Il y a un arbitrage à faire entre une vision minimaliste de la conservation et une vision maximaliste où l’on conserve tout, ce qui serait du délire. », explique Jean-Christophe Le Toquin. D’autant que, théoriquement, l’Etat devra supporter les investissements matériels nécessaires ainsi que les frais liés aux traitements des données que le volume rendrait d’ailleurs inexploitables en l’état actuel. Au moins, l’abonné final ne devrait pas avoir à supporter ces investissements obligatoires à travers le coût de son abonnement. L’Etat aura donc tout intérêt à réfléchir à deux fois avant d’appliquer les textes votés par les députés. Ce sera l’objet des rencontres entre Christian Pierret et les FAI. Il reviendra à la CNIL, au Conseil d’Etat et surtout aux services du Premier ministre de trouver un juste équilibre.