Conservation des données et libertés de l’internaute : « L’Etat veut-il tuer Internet en France ? »

Bis Repetita. Quatre ans après la première polémique déclenchée par le projet de décret sur la conservation des données, voici que finalement la publication au J.O. du 1er mars de ce même décret remis au goût du jour reprovoque une levée de boucliers de la part des FAI et des hébergeurs.

Début 2007, souvenez-vous, Nicolas Sarkozy était alors ministre d’Etat-ministre de l’Intérieur, sous l’autorité du Premier ministre de l’époque, Dominique de Villepin…
Cette année-là fut présentée une toute première mouture du décret imposant aux opérateurs télécoms, fixes ou mobiles, fournisseurs d’accès à Internet (FAI) et aux hébergeurs des contenus du Web de conserver – durant un an – toutes les données
et les traces des internautes. A l’époque déjà, cette obligation prévue par la loi du
21 juin 2004 sur la confiance dans l’économie numérique (LCEN), avait déclenché
l’ire des acteurs du Net.

Tous les contenus sous surveillance
Le président du Groupement des éditeurs de services en ligne (Geste), Philippe Jannet, s’était même fendu d’un point de vue dans Le Monde daté du 21 avril 2007 pour interpeller le gouvernement : « L’Etat veut-il tuer Internet en France ? ». Après ce tollé, plus rien. Un an après, en février 2008 cette fois, le premier gouvernement de François Fillon – Nicolas Sarkozy est alors chef de l’Etat depuis huit mois – revient à la charge avec un autre projet de décret à peine différent du premier. A nouveau la polémique. Puis, plus rien ! Il faudra alors attendre trois ans avant de voir le décret sur « la conservation et à la communication des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne » signé le 25 février 2011.
La question est maintenant pour lui de savoir si le Geste (1) va le contester devant le Conseil d’Etat. « Il est clair que nous allons en discuter », a indiqué Philippe Jannet à Edition Multimédi@. Même son de cloche du côté l’Association des services Internet communautaires (Asic), dont le secrétaire général, Benoît Tabaka, parle aussi d’un recours possible une fois ses membres (2) consultés. De son côté, le président de French Data Network (FDN), Benjamin Bayart, nous confirme qu’il étudie également un recours pour attaquer ce décret devant la Haute juridiction administrative – comme il l’avait fait pour contre deux décrets de la loi Hadopi (3) : en mai dernier contre celui du 5 mars sur le traitement automatisé des données à caractère personnel et en août contre celui du 26 juillet 2010 sur la procédure des ayants droits devant la commission de protection des droits. Dans les deux cas, il est reproché le fait que l’Arcep n’a pas été saisie pour avis. Pourtant, il est prévu dans le premier décret que les FAI sont tenus de « communiquer dans un délai de huit jours suivant la transmission par la commission de protection des droits (CPD) de [l’Hadopi] des données techniques nécessaires à l’identification de l’abonné ». Et Iliad, la maison mère de Free, sera-t-elle tentée de prêter main forte aux contestataires ? L’opérateur de la Freebox par ailleurs attaqué le 10 décembre un autre décret de l’Hadopi forçant les FAI – Free en tête (4) – à envoyer à leurs abonnés les e-mails d’avertissement en cas de piratage en ligne. Quant au DG de la Fédération française des télécoms (FFT), Yves Le Mouël, il nous répond que « la fédération n’a pas encore travaillé sur le sujet ». Le Conseil d’Etat a déjà de quoi faire sur la question des données personnelles des internautes. Le décret paru le 1er mars au J.O. prévoit de conserver un inventaire à la Prévert : identifiant de la connexion (comme l’adresse IP), identifiant attribué à l’abonné, identifiant du terminal utilisé, dates et heure de début et de fin de connexion, caractéristiques de la ligne de l’abonné, identifiant de la connexion à l’origine de la communication, identifiant attribué
au contenu, objet de l’opération, types de protocoles utilisés pour la connexion au service et pour le transfert des contenus (notamment peer-to-peer), nature de l’opération, date et heure de l’opération, identifiant utilisé par l’auteur de l’opération, identifiant de cette connexion, nom et prénom ou raison sociale, adresses postales associées, pseudonymes utilisés, adresses de courrier électronique ou de compte associées, numéros de téléphone ou encore mot de passe, données permettant de le vérifier ou de le modifier. Sans oublier en cas de transaction, le type de paiement utilisé,
la référence du paiement, le montant, la date et l’heure de la transaction.

1 an de prison et 75.000 euros d’amende
Bref, toute la panoplie d’identification de l’internaute que tout hacker aimerait bien se procurer ! Si un FAI n’obtempère pas, il est passible d’un an de prison et de 75.000 euros. En 2007, la Cnil – qui a considéré l’adresse comme une donnée à caractère personnelle – avait émis des réserves mais n’avait dit mot sur le mot de passe (5). En 2008, l’Arcep avait été critique aussi (6). Reste à savoir maintenant si le Conseil d’Etat sauvera Internet en France et, par la même, les libertés fondamentales de la démocratie. Rien de moins. @

Charles de Laubier