Liberté numérique

Le Monde, éditorial du 22 avril 2007

C’est un texte qui porte mal son nom : loi sur la confiance dans l’économie numérique. En fait de confiance, c’est de menaces pour les libertés qu’il s’agit. Un décret d’application est en préparation qui donnera à cette loi du 21 juin 2004 sa vraie portée. Et ce projet de décret est inquiétant, comme l’ont expliqué dans Le Monde du 21 avril les membres du Groupement des éditeurs de sites en ligne (Geste).

En l’état, il oblige tous les opérateurs du secteur à conserver pendant un an les données transitant par eux, qu’ils soient éditeurs de sites Internet, opérateurs de téléphonie, fournisseurs d’accès, etc. Seraient obligatoirement archivés : les mots de passe dont se dotent les internautes ; leurs codes d’accès confidentiels ; leurs pseudonymes ; les numéros de leurs cartes bancaires ; leurs contributions à des forums ou à des blogs... En un mot, tout ce qui relève de l’intime, de la vie professionnelle ou du débat citoyen sur la Toile.

Les renseignements généraux, les services d’espionnage et de contre-espionnage auraient accès à ces données sur simple demande. Comme y auraient accès la police judiciaire et les magistrats instructeurs. Une fois recueillies, certaines données personnelles pourraient être « conservées pendant une durée maximale de trois ans » par les ministères de l’intérieur et de la défense.

Beau sujet de réflexion pour la Commission nationale de l’informatique et des libertés (CNIL), qui n’a pas encore été saisie de ce projet de décret. Elle n’a pas le pouvoir de s’y opposer, mais le devoir d’énoncer les limites à ne pas franchir.

Or les limites sont franchies lorsque, dans le domaine des libertés publiques, les autorités administratives (l’Etat) se substituent aux autorités judiciaires (les juges). Les premières sont subordonnées au gouvernement. Les secondes sont indépendantes. Elles opèrent dans les limites fixées par le code de procédure pénale, lequel garantit aux citoyens qu’ils ne seront pas soupçonnés ou poursuivis abusivement. Autoriser les ministères de l’intérieur et de la défense à accéder aux données personnelles d’un internaute sans le feu vert d’un juge est donc dangereux.

La lutte contre le terrorisme et le crime en général - un impératif bien sûr - ne justifie pas de faire de la société française une société de surveillance. Les libertés publiques sont un bloc. La liberté numérique, pour nouvelle et déroutante qu’elle soit, obéit aux mêmes règles. Elle interdit de transformer les éditeurs de sites en "indics" et ceux qui les fréquentent en sujets orwelliens.

Il est encore temps, il faut l’espérer, de remettre ce projet de texte sur le métier, la fièvre électorale n’étant pas bonne conseillère. Le débat en tout cas est ouvert. Aux candidats de dire ce qu’ils en pensent, eux qui ont si peu parlé jusqu’ici d’Internet.

Conservation des données d’identification et de connexion : toujours plus et plus longtemps

Communiqué de presse d’IRIS [1] - 20 avril 2007

Le ballet des projets de décrets se poursuit en cette saison électorale propice. Après le projet créant une « Commission nationale de déontologie des services de communication au public en ligne » [2] et celui relatif au droit de réponse sur Internet [3], un troisième projet de décret d’application de la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) [4] est en préparation. IRIS rend public le texte de la version de travail de janvier 2007 de ce projet, que l’association a pu se procurer [5].

Ce projet de décret comporte des dispositions relatives à la conservation des données par les fournisseurs d’accès et les fournisseurs d’hébergement tels que définis par l’article 6 de la LCEN. Le chapitre 1er du projet de décret détermine, en application du II de l’article 6, la nature des données à conserver par ces intermédiaires techniques, ainsi que la durée de cette conservation. Son chapitre 2 porte sur les conditions de fourniture de ces données aux services de police et de gendarmerie, en application du IIbis de ce même article, introduit dans la LCEN par la loi de lutte contre le terrorisme du 23 janvier 2006 [6].

En cohérence avec le décret du 24 mars 2006
 [7] relatif à la rétention des données de communications, introduite par la loi sur la sécurité quotidienne de novembre 2001 (LSQ) [8], le chapitre 1er du projet de décret fixe la durée de conservation des données à un an. IRIS avait alors déjà dénoncé le choix de cette durée excessivement longue [9], d’autant que le délai de conservation des données par les hébergeurs prend comme point de départ la moindre modification par l’abonné d’un quelconque contenu hébergé, y compris sa suppression.

Mais le gouvernement va encore plus loin avec ce projet de décret, avec une définition de la teneur des données à conserver qui dépasse l’entendement. Alors que ces données ne sont censées servir qu’à « permettre l’identification de quiconque a contribué à la création du contenu » d’un service, le projet de décret prévoit la conservation de données qui vont bien au-delà de cet objectif, comme par exemple le mot de passe fourni lors de la souscription d’un contrat d’abonnement ou lors de la création d’un compte auprès du prestataire Internet.

À quoi une telle donnée va-t-elle être employée, soit par l’autorité judiciaire en vertu du II de l’article 6, soit par les services de police et de gendarmerie en vertu du IIbis de cet article, c’est-à-dire dans le cadre d’une enquête administrative ? Aucun garde-fou n’est prévu, alors que la loi sur la prévention de la délinquance du 5 mars 2007 [10] a encore étendu les prérogatives des services de police judiciaire [11]. L’article 35 de cette loi prévoit en effet que les enquêteurs peuvent participer à des échanges électroniques sous pseudonyme, et peuvent détenir et fournir des contenus illégaux, dans le cadre d’enquêtes sur certaines infractions. Comment être certain qu’un mot de passe ne sera pas utilisé à mauvais escient, mettant en danger des personnes innocentes ? La conservation de telles informations est manifestement excessive et non pertinente. De plus, elle n’est en rien justifiée par la loi que ce décret est supposé préciser.

Le chapitre 2 du projet de décret est stupéfiant. Fixant les conditions dans lesquelles les services de police et de gendarmerie peuvent demander et traiter les données conservées par les fournisseurs d’accès et d’hébergement, ce chapitre mentionne que ces données, une fois obtenues, pourront être conservées pendant trois ans « dans des traitements automatisés mis en oeuvre par le ministère de l’intérieur et de l’aménagement du territoire et le ministère de la défense ». On ne voit pas en vertu de quelle justification légale ce délai est fixé, alors même que toute trace de la demande elle-même aura disparu au bout d’un an. Rappelons qu’il s’agit ici d’enquêtes administratives et non pas judiciaires. Une telle durée est excessive et non justifiée. Ce projet de décret constitue en réalité un moyen scélérat d’étendre la durée de rétention de données au-delà de ce que permettent les législations française et européenne, déjà bien trop étendues en la matière (respectivement un an et de 6 à 24 mois).

Les mesures contenues dans ce projet de décret ne constituent qu’une infime partie des conséquences, en matière d’atteintes aux droits fondamentaux, des lois plus liberticides que sécuritaires adoptées non seulement depuis 2002, mais bien depuis 2001 avec la loi sur la sécurité quotidienne. En réponse à une question de la Ligue des droits de l’homme sur l’abrogation de certaines de ces lois [12], François Bayrou et Ségolène Royal déclarent respectivement qu’« il faut sortir de ces logiques d’affrontement et de revanche » et que « l’abrogation automatique de certaines mesures, au moment de l’alternance, n’est pas une méthode à laquelle [elle] adhère ». Quant à Nicolas Sarkozy, on connaît trop la réponse qu’il ne prend même pas la peine de donner. Quel que soit le résultat des élections, les lendemains ne chanteront pas, et la vigilance continuera de s’imposer.

______________________________________

L’Etat veut-il tuer Internet en France ?

Discrètement, en marge de la campagne, le gouvernement prépare un décret qui, s’il était appliqué, tuerait l’Internet "made in France". En effet, sous prétexte de surveiller au plus près les internautes, un décret d’application de la loi sur la confiance dans l’économie numérique du 21 juin 2004, exige que les éditeurs de sites, les hébergeurs, les opérateurs de téléphonie fixe et mobile et les fournisseurs d’accès à Internet, conservent toutes les traces des internautes et des abonnés au mobile, pour les délivrer à la police judiciaire ou à l’Etat, sur simple demande.

Au-delà du coût incroyable que cette conservation représenterait, cette mesure ne pourrait que déclencher une défiance immédiate des Français à l’égard de leur téléphone mobile ou fixe, comme à l’égard des acteurs français d’Internet, assassinant instantanément l’économie numérique française, pourtant décrite comme stratégique par nos chers candidats.

Le décret en préparation exprime le fantasme "Big Brother" : tout savoir sur tout et tous, même l’impossible. Selon ce texte, les opérateurs téléphoniques, les fournisseurs d’accès à Internet, les hébergeurs et les responsables de services en ligne (sites Web, blogs, etc.), devraient conserver pendant un an à leurs frais toutes les coordonnées et traces invisibles que laissent les utilisateurs lors d’un abonnement téléphonique ou à Internet, lors de leurs déplacements avec un téléphone allumé, lors de chaque appel ou de chaque connexion à Internet, de chaque diffusion ou consultation sur le Web d’un article, d’une photo, d’une vidéo, ou lors de chaque contribution à un blog.

En substance, devraient être conservés les mots de passe, "pseudos", codes d’accès confidentiels et autres identifiants, numéros de carte bancaire, détails de paiement, numéros de téléphone, adresses e-mail, adresses postales, le numéro de l’ordinateur ou du téléphone utilisé, le moyen d’accès à un réseau, les date et heure d’appel, de connexion et de chacune de leurs consultations ou contributions sur un site Internet.

A tant vouloir être exhaustif, le texte imposerait d’identifier quiconque, en France, aura mis en ligne, modifié ou supprimé une virgule dans son blog, un "chat", ou sur le Web. Techniquement, on peut, certes, tenter de savoir qui s’est connecté à un site et constater sur Internet ce qu’il diffuse à un instant donné.

Mais en cherchant à conserver la trace de la publication d’un contenu qui aura, par la suite, été retiré, le texte impose de facto de mémoriser systématiquement tout ce qui est mis en ligne, modifié et supprimé sur "l’Internet français". De l’avis unanime des spécialistes, c’est économiquement et techniquement impossible. Même les Etats-Unis de George W. Bush et leur "Patriot Act" post-11-Septembre n’ont jamais envisagé pareille conservation ou réglementation, qui soulèverait sans doute l’opinion publique américaine d’aujourd’hui, mais s’opère sans bruit en France.

Le coût, aussi bien pénal qu’économique, d’un tel dispositif serait colossal pour la France. En cas de résistance, ou juste de passivité, la sanction encourue est lourde : les fournisseurs d’accès à Internet ou les sites Internet français qui ne conserveraient pas toutes ces données seront passibles de 375 000 euros d’amende et leurs dirigeants, d’un an d’emprisonnement et 75 000 euros d’amende, sans compter la fermeture de l’entreprise, l’interdiction d’exercer une activité commerciale, etc.

Lors d’une réunion organisée en catimini le 8 mars 2007 par les ministères de l’intérieur et des finances - le ministère de la justice jouait, une nouvelle fois, les absents -, certains professionnels ont fait valoir, notamment, que cette conservation leur coûterait très cher en stockage informatique et en moyens humains. De plusieurs dizaines de milliers à plusieurs millions d’euros par an de perte nette.

Pourtant, la plupart des sites Web, les Web radios, les blogs, la vidéo à la demande ou mobile, sont encore en quête d’un modèle économique pérenne. Déjà insécurisée par la complexité des enjeux de propriété intellectuelle, l’économie numérique de demain - celle du contenu et pas seulement de l’accès - serait encore fragilisée par une telle surenchère réglementaire franco-française.

En imposant aux entreprises françaises d’être des auxiliaires de justice ou des "indics", l’Etat fragilise tout un pan de l’économie de demain et de la démocratie d’aujourd’hui, en favorisant qui plus est, la domination déjà outrancière des grands acteurs internationaux de l’Internet, qui ne seront pas impactés à l’étranger. Jusqu’alors, seuls les fournisseurs français d’accès à l’Internet et hébergeurs étaient soumis à cette exigence et l’Etat, qui avait promis des compensations financières aux coûts induits par une surveillance des moindres faits et gestes de leurs clients, met tant de mauvaise grâce à s’acquitter des indemnités dues que certains d’entre eux ont renoncé à en réclamer le règlement, préférant envisager la délocalisation pure et simple de leurs activités...

Ces menaces proférées par quelques poids lourds de l’Internet en France font sourire Bercy, qui semble n’avoir pas encore compris qu’Internet est un réseau mondial dont de nombreux prestataires peuvent s’établir et payer leurs impôts presque où bon leur semble.

Il reste que la confusion des genres est totale. Toutes les données conservées seraient accessibles à la police administrative (RG, DST, etc.) comme à la police judiciaire, pendant un an. Les réquisitions administratives pour la "prévention du terrorisme" seraient également conservées un an dans des fichiers tenus par les ministères de l’intérieur et de la défense. Les réponses à ces mêmes réquisitions - nos traces, donc - seraient, pour leur part, conservées pendant trois ans supplémentaires et communicables à la police judiciaire.

Ainsi, des données récoltées sur la base de requêtes administratives initialement motivées par la prévention du terrorisme pourraient se retrouver dans le dossier d’un juge d’instruction en charge d’une affaire de droit à l’image, de diffamation ou de contrefaçon, par exemple, sans que les personnes mises en cause par des traces informatiques vieilles de 4 ans, puissent connaître - ni contester - l’origine ou la pertinence de ces données, ni le contexte dans lequel elles avaient été recueillies, en dehors de toute procédure judiciaire, sans magistrat ni contradictoire, quatre ans auparavant.

Ce projet de décret constitue donc une véritable menace de mort. Il est inquiétant pour trois raisons essentielles. D’abord, le coût. A vouloir faire conserver et restituer par les entreprises, sous peine d’investissements à perte, de prison et d’amendes, des traces qu’elles n’ont pas de raisons ou de possibilité d’avoir, la France créerait une distorsion de concurrence au détriment de sa propre économie numérique, pourtant motrice de notre croissance. Un internaute choisira plus aisément un site non surveillé qu’un site français pour s’informer, même s’il n’a rien à craindre de sa recherche.

Ensuite, la confusion entre le renseignement d’Etat et la justice, qui relègue la séparation des pouvoirs au rang de fiction juridique. Enfin, le risque qu’un tel dispositif ferait peser sur la régularité des procédures judiciaires au regard de notre procédure pénale. C’est-à-dire le risque de priver une politique de sécurité de toute efficacité.

Certes, le gouvernement consultera la CNIL, brandie en épouvantail par les ministères. Mais l’avis de celle-ci, même défavorable, sera dépourvu du moindre effet juridique depuis la refonte de la loi informatique et libertés intervenue en 2004. Certes, l’équilibre entre sécurité, croissance, libertés et efficacité est complexe. Au demeurant, aucune de ces valeurs ne s’illustre dans ce projet de décret, dont la rédaction est aujourd’hui laissée à un consensus entre technocrates et techniciens qui, quels que soient les résultats des échéances électorales, seront encore là demain.

Ce qui pourrait n’être qu’un décret illisible de plus est aujourd’hui une menace de mort pour le développement du numérique en France et pour tous les acteurs concernés de près ou de loin par celui-ci, de la presse aux blogueurs, en passant par la grande distribution, les opérateurs de téléphonie, les fournisseurs de logiciels, les fabricants d’ordinateurs, etc.

Sous prétexte de lutter contre la menace réelle du terrorisme, l’Etat français prend - comme aucun autre - le risque de tuer une part non négligeable de l’avenir du pays, sans aucun état d’âme et dans le silence assourdissant d’une campagne présidentielle omniprésente sur Internet, mais muette sur le développement de l’Internet.