La LCEN a déjà fait couler beaucoup d’encre en 2004, des débats passionnés recensés par exemple par le site pc-boost.com
La France vient-elle, en quasi-catimini, de décréter la fin de l'anonymat sur Internet ? Un décret publié le 25 février au journal officiel oblige les hébergeurs et éditeurs de services internet à stocker pendant un an toutes les données et chaque trace laissées par les internautes français : mots de passe, pseudonymes, montants des achats sur internet... Ces données devront être transmises sur demande aux services de police et de gendarmerie chargés de la lutte antiterroriste. Le texte, très contesté par les acteurs institutionnels du net, ne semble pourtant pas mobiliser outre-mesure les internautes.
Vous achetez un billet de train sur le site de la SNCF ou une chanson sur iTunes ? Vous laissez des commentaires sur arretsurimages.net et vous publiez des vidéos privées sur Youtube ? Plus simplement, vous entrez votre pseudo et votre mot de passe pour envoyer un e-mail à un ami ? Désormais, antiterrorisme oblige, chacun de vos pas, comme ceux de tous les internautes français, devra être enregistré, et conservé pendant un an.
Le décret "relatif à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne", publié le 25 février, met à jour la loi pour la confiance dans l'économie numérique (LCEN), adoptée par le parlement il y a... 7 ans.
Et les règles désormais applicables ne sont pas anodines. Depuis mercredi 1er mars, les sites de e-commerce, les plateformes de vidéo et musique en ligne et les gestionnaires de boites e-mails, mais aussi tous les hébergeurs de contenu, ont l'obligation de conserver pendant un an une liste conséquente de données sur chaque utilisateur : nom et prénom, adresse postale associée, adresse de courrier électronique ou compte associé, numéro de téléphone, mais aussi le pseudonyme utilisé et les mots de passe, ainsi que les données permettant de le vérifier et de le modifier !
La LCEN a déjà fait couler beaucoup d'encre en 2004, des débats passionnés recensés par exemple par le site pc-boost.com
L'adresse IP de l'ordinateur, les dates et heures de début et fin de connexion devront aussi être stockés, ainsi que, pour tout acte d'achat en ligne, le type de paiement utilisé, la référence, et le montant dépensé par l'internaute. Qu'il s'agisse d'écrire un courriel, de mettre en ligne un commentaire, de publier un article sur un blog, de télécharger une photo ou une vidéo, de taper une recherche par mots-clés ou d'effectuer un achat en ligne, à chaque fois, "la nature de l'opération" et le moment où elle a été réalisée, devront être consignés.
ERREUR DE L'AFP ?Jusqu'à présent, la LCEN contraignait uniquement les FAI et les hébergeurs à détenir et conserver "les données de nature à permettre l'identification de quiconque a contribué à la création du contenu ou de l'un des contenus", sans plus de précisions. La
jurisprudence indiquait qu'il s'agissait avant tout des noms et prénoms, et de l'adresse de l'internaute. Le Code des postes et communications électroniques précisait aussi que devaient être conservées les informations permettant d'identifier la date, l'horaire, la durée, l'origine et la localisation de chaque communication. Mais rien, par exemple, sur les mots de passe.
Ces données pourront être réclamées par les policiers et les gendarmes chargés de la lutte antiterroriste. Seulement eux ?
L'AFP affirme que les douanes, le fisc et l'Urssaf pourront aussi avoir accès à ces données, mais après lecture attentive du décret et des textes de loi auquel il renvoie, cela ne semble pas être le cas. Les sites spécialisés (
Numérama,
PCInpact, ou
01Net) n'évoquent pas d'autres autorités que la police et la gendarmerie.
Les organisations de défense de la vie privée et les acteurs de l'économie numérique sont néanmoins vent debout contre les risques liés à ces nouvelles obligations. Jérome Thorel d'ONG privacy France, y va très fort, puisqu'il juge
d'après l'AFP que "cela va à l'encontre des principes fondamentaux d'une démocratie" : "C'est disproportionné, sans commune mesure avec le Big Brother qu'avait pu imaginer Georges Orwell, ou la façon dont opérait la Stasi en Allemagne de l'Est !"
Mais il n'y a pas que les associations habituées a s'opposer au contrôle du net qui attaquent le décret. L'Asic (Association française des services internet communautaires), dont font notamment partie Google, Dailymotion, PriceMinister et Facebook, pourrait déposer un recours en annulation devant le Conseil d'Etat. Son secrétaire général Benoit Tabaka,
dénonce sur Numérama le manque de clarté dans le texte, mais aussi des contradictions avec des lois existantes et (classiquement) l'absence d'indemnisation prévue pour mener à bien ces nouvelles missions. Il précise que "certaines données pourraient être consignées ad vitam eternam car, à chaque modification d'une donnée, cela rapporte d'un an la durée de conservation".
LA CNIL ET L'ARCEP OPPOSÉES AU DÉCRET, DÈS 2007 ET 2008Signe de son mécontentement, la Commission nationale Informatique et liberté (CNIL)
a publié le 3 mars sur son site l'avis qu'elle avait rendu au gouvernement en 2007 sur le projet de décret. Jusque-là, la Cnil avait souhaité que son commentaire reste confidentiel. Pourtant, les critiques de la Cnil portaient plutôt sur des aspects techniques, comme des imprécisions dans les termes choisis ("identifiant attribué par le FAI à l'internaute"). Seul point sur lequel la Cnil était clairement réticente : "la conservation du montant des transactions", cette donnée ne permettant "pas de procéder à l'identification d'une personne ayant contribué à la création de contenus".
Ces recommandations n'ont pas été suivies, pas plus que celles de l'Arcep (Autorité de régulation des communications électroniques et des postes), dont l'avis rendu en 2008,
a été publié au journal officiel le 1er mars. L'Arcep soulignait d'une part que les coûts de collecte et de conservation de ces données pour les hébergeurs allait être colossaux, alors que "le concours apporté à la sauvegarde de l'ordre public ne leur incombe pas". D'autre part, l'Autorité signale que "certaines données n'ont que peu de rapport ou même aucun avec l'identification de la personne ayant créé un contenu". Au premier rang de ces données : les mots de passe des internautes et les données permettant de les modifier.
(avec Roxane Dejaby)
Commentaires des Lecteurs
Lettre d'Information