L’ASIC dépose un recours en annulation contre un décret menaçant les données personnelles
Organisation :
L’Association française des services Internet communautaires (Asic), regroupant plus de vingt acteurs du Web, dont Facebook, Dailymotion, Price Minister et Google, a déposé, le 6 avril 2011, un recours en annulation devant le conseil d’Etat contre un décret pris notamment en application de l'article 6 de la loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN).
Le LCEN érigeait déjà les hébergeurs en véritables censeurs du Net, demandant à des entreprises privées de se substituer aux juges dans l’appréciation de la légalité des contenus en ligne (voir le communiqué)
Ce nouveau texte, entré en vigueur le 1er mars 2011, impose désormais aux hébergeurs et aux fournisseurs d’accès à Internet (FAI) de conserver les données personnelles des utilisateurs pendant un an, afin de “permettre l’identification de toute personne physique ou morale ayant contribué à la création d’un contenu mis en ligne”. A chaque modification d’une donnée concernée par le texte, le délai d’un an sera renouvelé. Sachant qu’il est fortement recommandé de modifier régulièrement son mot de passe pour des raisons de sécurité, une telle disposition implique la conservation ad vitam æternam de certaines données et ce, de manière non cryptée. L’autorité judiciaire, mais également certains agents des services de police et de gendarmerie, de l’Urssaf, de la douane, de la répression des fraudes ou du fisc, pourront y accéder.
Les FAI devront conserver les identifiants de la connexion et de l’abonné, l’adresse IP, les dates et heures de connexion et les caractéristiques de la ligne de l’utilisateur. Les hébergeurs, quant à eux, devront collecter les types de protocoles utilisés pour la connexion, l’identifiant attribué par le système d’information au contenu, celui de la connexion à l’origine de la communication, ainsi que les informations relatives à la “nature de l’opération” (photo, vidéos, textes...). Hébergeurs et FAI devront conserver les informations fournies lors de la souscription d’un contrat ou de la création d’un compte, dont le nom, le prénom, l’adresse postale, les pseudonymes, les emails, numéros de téléphones et mots de passe de l’utilisateur.
“Les FAI et les hébergeurs ne doivent ni avoir une obligation générale de surveillance, ni jouer les gendarmes du Net. Leur première responsabilité est de servir les internautes. Les données personnelles sont protégées et leur conservation doit rester une exception. Or, l'augmentation de la responsabilité des intermédiaires techniques a pour conséquence directe une érosion de la protection des données personnelles.” a affirmé Reporters sans frontières, “L’ampleur des données conservées est considérable. Le terrorisme et la sécurité nationale, évoqués pour justifier ce texte, ne doivent pas servir de prétexte à une politique française de plus en plus liberticide envers les nouveaux médias. La privatisation de la régulation du Web est une menace internationale à la liberté d’expression. Les démocraties doivent donner l’exemple”, a ajouté l’organisation.
Le décret ne précise pas le régime auquel devront se plier les hébergeurs étrangers, et reste muet sur la sécurisation des données conservées. Ce texte pourrait représenter une véritable aubaine pour les hackers spécialistes du vol de données sur Internet. En 2008, les données de 17 millions de clients de Deutsche Telekom avaient été volées. En France, c’est l’opérateur SFR qui a mis involontairement en lumière les risques de la conservation des données non cryptées. Le 5 avril 2011, en effet, l’opérateur a mis en ligne une carte de ses hotspots, les points d’accès WiFi par la Neufbox. En plus de la localisation des box, la carte interactive fournissait l’étage du propriétaire, et même le code d’entrée de son immeuble.
La Cnil (Commission nationale de l’informatique et des libertés) avait émis un avis mitigé sur le projet de décret, le 20 décembre 2007. Il a été rendu publique le 3 mars 2011, après l’adoption du texte. Plusieurs points contestés par la Cnil n’ont pas été pris en considération dans le document final. Celle-ci avait notamment insisté pour qu’une disposition, précisant que les données conservées ne pouvaient concerner les informations relatives aux contenus eux-mêmes, soit reprise en l’état. Reporters sans frontières s’interroge donc sur l’obligation pour les hébergeurs de conserver des données relatives à la “nature de l’opération”, qui ne permet en aucune façon d’identifier son auteur. Une préoccupation partagée par l’Arcep dans un avis rendu le 13 mars 2008. Les deux autorités soulignent également la logique discutable qui oblige les FAI comme les hébergeurs à conserver le type et le montant du paiement utilisé.
La France, qui fait partie des “pays sous surveillance” répertoriés par Reporters sans frontières semble déterminée à imposer un contrôle accru sur le Web.
En 2010, un autre décret menaçant les données personnelle a déjà été adopté. Le 7 mars 2010, un des derniers décrets d’application de la loi dite Hadopi - concernant les données personnelles que la Haute autorité peut conserver pour l'envoi des emails d'avertissement et des lettres recommandées - établissait que les informations recueillies dans ce cadre (allant de l’adresse de l’abonné aux pseudonymes utilisés) seraient gardées deux mois si la première recommandation n’était pas envoyée à l’abonné. Elles sont conservées quatorze mois si un premier email d’avertissement est envoyé, et stockées vingt mois en cas d’envoi de la lettre recommandée, dernière étape de la riposte graduée contre le téléchargement illégal.
Publié le
Updated on
20.01.2016