Voilà , c’est fait ! 7 ans après la Loi pour la Confiance dans l’Économie Numérique (LCEN) [1], le décret d’application vient de paraître [2].
Selon l’article 6.II de la loi de 2004, Les fournisseurs d’accès Internet et les hébergeurs doivent conserver « les données de nature à permettre l’identification de quiconque a contribué à la création du contenu ou de l’un des contenus des services dont elles sont prestataires. » La notion d’identification est vague mais elle avait été précisé par la jurisprudence [3]. Par identification, on désignait à minima :
- pour une personne physique à ses nom, prénom et adresse ;
- pour une personne morale à ses raison sociale, siège social et à la personne de son représentant légal.
Le décret du publié le 1er mars 2011 va beaucoup plus loin. La liste des données à conserver est plus longue.
Pour les fournisseurs d’accès à Internet spécifiquement :
- l’identifiant de la connexion ;
- l’identifiant attribué par ces personnes à l’abonné ;
- l’identifiant du terminal utilisé pour la connexion lorsqu’elles y ont accès (e.g. le numéro de box, l’adresse IMAC) ;
- les dates et heure de début et de fin de la connexion et les caractéristiques de la ligne de l’abonné (e.g. débit).
Pour les hébergeurs de service spécifiquement :
- l’identifiant de la connexion à l’origine de la communication (IP) ;
- l’identifiant attribué par le système d’information au contenu (URL) ;
- l’objet de l’opération (ajout/édition/suppression) ;
- les types de protocoles utilisés pour la connexion au service (e.g. http/ftp/https) ;
- pour le transfert des contenus la nature de l’opération (??) ;
- les date et heure de l’opération ;
- l’identifiant utilisé par l’auteur de l’opération lorsque celui-ci l’a fourni (login au service).
Pour les FAI et les hébergeurs, les informations qui sont fournis habituellement
lors de la création d’un compte cà d :
- l’identifiant ;
- les nom et prénom ou la raison sociale ;
- les adresses postales associées ;
- les pseudonymes utilisés ;
- les adresses de courrier électronique ou de compte associées ;
- les numéros de téléphone ;
- le mot de passe ainsi que les données permettant de le vérifier ou de le modifier, dans leur dernière version mise à jour ;
- si l’inscription est payante, les informations suivantes relatives au paiement (le type de paiement, la référence du paiement, le montant, la date et l’heure de la transaction).
Désormais, les données doivent être conservées un an à compter du jour de la dernière création de contenu, cà d potentiellement ad vitam eternam.
C’est un décret disproportionné qui a été publié, fait rarissime, contre les avis pourtant timides de la CNIL [4] et de l’ARCEP [5]. l’ARCEP note que « certaines données n’ont que peu de rapport ou même aucun avec l’identification de la personne ayant créé un contenu » (e.g. la nature de l’opération, les données relatives au paiement). De même, la CNIL signale que ce décret déroge au principe de finalité, les catégories de données collectées et leur durée de conservation doivent être justifiées par l’objectif poursuivi. On devine facilement l’intérêt d’accéder à un mot de passe. Il permet d’accéder à d’autres services (la plupart des utilisateurs n’ont qu’un mot de passe), notamment sur des services hébergés à l’étranger qui ne répondent pas de la LCEN et d’espionner discrètement.
Les données pourront être réclamés par la police et la gendarmerie en charge de la lutte contre le terrorisme. Le contrôle de légitimité de la demande n’est alors plus effectué par la Justice, mais par une « personnalité qualifiée » placée auprès du ministre de l’intérieur. Inutile de passer par la case Ministère de la Justice. Pour passer par la case prison, l’antiterrorisme sert de prétexte à des motifs dérisoires : détention de fumigènes, introduction de glu dans des distributeurs de billets, tentative ratée d’incendie de voiture, collage d’affiches ou coup de pied [6]. Là encore, l’antiterrorisme sert un nouvelle fois de prétexte.
L’allégorie de la grenouille permet sans doute d’expliquer le silence des politiques et des journalistes lors de la publication de tels décrets.
Compléments d'info à l'article