Un nouveau décret précise les données personnelles des internautes que conservent les FAI et les hébergeurs, et qu’ils doivent transmettre à la police si elle en fait la demande
L’Etat français a pris son temps. A l’été 2004, un décret officialise la loi n° 2004-575 pour la confiance dans l’économie numérique, la LCEN. Sept ans plus tard, le 25 février dernier, le décret n° 2011-219 est publié au Journal officiel. Il est relatif à « la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne ».
{"type":"Pave-Haut2-Desktop"}
En résumé, il précise les données que les fournisseurs d’accès à internet (FAI) et les hébergeurs (ce qui englobe sites, blogs, forums, réseaux sociaux…) doivent conserver et fournir aux autorités (gendarmerie, police, services antiterroristes) si elles en font la demande.
Pour les FAI, ces données à stocker pendant un an (la Commission nationale de l’informatique et des libertés aurait préféré six mois) sont notamment l’adresse IP de l’utilisateur, son pseudonyme, son numéro de téléphone, etc. En fait, rien de vraiment nouveau, puisque les FAI gardent déjà ces informations en conformité avec l’article L34-1 du code des Postes et des Communications électroniques.
Problème: les FAI doivent conserver les mots de passe de leurs clients
Pour les hébergeurs, ce décret clarifie la situation en précisant ce qu’ils doivent conserver : l’identifiant de la connexion à l’origine de la communication, les types de protocoles utilisés pour la connexion (web, FTP, SMS)… Rien de nouveau, donc ? Si, et c’est là que ça coince. Ce décret indique aussi que ces entreprises doivent conserver les mots de passe des internautes, « les données permettant de le( s) vérifier ou de le( s) modifier » ainsi que les caractéristiques de la ligne de l’abonné (connexion par ADSL, appel téléphonique, wifi, etc.).
Ces exigences posent différentes questions éthiques et techniques. De nombreux acteurs d’internet estiment ainsi que les mots de passe relèvent de la vie privée. Et les propos parfois absconsde ce décret ne permettent pas une application sereine de ces obligations, comme le font remarquer plusieurs responsables de la sécurité informatique d’entreprise sur des forums.
D’un point de vue technique, la conservation pose le problème de la protection de ces données personnelles dans leur intégrité (tous les éléments doivent être sécurisés) et leur suivi (un traçage doit permettre de repérer qui les a consultées, par exemple). Autant de mesures de protection incompatibles avec leur transmission « dans les meilleurs délais » aux autorités. Délivrer ces informations immédiatement va en effet à l’encontre des règles élémentaires de sécurité (ces données sensibles doivent notamment être stockées sur des serveurs protégés par des mots de passe connus par un nombre restreint de personnes), et signifierait qu’elles sont faciles d’accès.
De quoi réjouir, indirectement, les pirates qui cherchent à récupérer ces fichiers pour les monnayer ensuite sur le web… Autant d’obligations et de limites que tout le monde ne veut pas cautionner. L’Association des services internet communautaires (Asic), qui représente notamment Dailymotion, Google France et Facebook, « envisage de déposer un recours en annulation devant le Conseil d’Etat » a indiqué à l’AFP Benoît Tabaka, son secrétaire général :
« Certaines définitions ne sont pas claires, on nous demande de stocker des mots de passe qui ne permettent en rien d’identifier des personnes, des éléments de contenus alors que la loi l’interdit explicitement », explique-t-il.
La publication de ce décret intervient au moment où les initiatives se multiplient pour contrôler encore plus l’accès au web. En France, l’Agence nationale de la sécurité des systèmes d’information (Anssi) pourrait demander aux FAI de bloquer le trafic en provenance des PC qui relaient des attaques.
Aux Etats-Unis, un sénateur a présenté un projet de loi qui va plus loin. Son projet de « disjoncteur internet » (kill switch) implique en effet que toutes les entreprises, moteurs de recherche, réseaux sociaux et sites d’information doivent se plier aux décisions de l’administration chargée de la sécurité intérieure, le Department of Homeland Security, en cas d’attaques informatiques ou de diffusion d’informations mettant en danger la nation.
Philippe Richard
{"type":"Banniere-Basse"}
