Sept ans de réflexion… pour créer Big Brother

Le décret du 1er mars 2011 encadrant la conservation de données personnelles par les hébergeurs présente le risque pour l'internaute de voir sa vie privée livrée en pâture ou encore que son identité ne soit usurpée.

Il aura fallu attendre sept années pour savoir quelles sont les informations devant être conservées par les acteurs de l'internet au titre de la loi pour la confiance dans l'économie numérique (LCEN) du 21 juin 2004. Déjà très médiatisé, un décret publié le 1er mars 2011 revient dans l'actualité à l'occasion d'un récent recours de l'Association des services internet communautaires (ASIC), qui fédère les poids lourds de l'Internet (Google, Facebook, eBay, etc.),  devant le Conseil d'Etat contre ce texte. Celui-ci encadre la conservation des données personnelles par les hébergeurs.

Parmi "les données de nature à permettre l'identification de quiconque a contribué à la création du contenu" devant être conservées et fournies à des services de police ou de gendarmerie dans le cadre de la lutte anti-terroriste (Article 6 II Bis 1 de la LCEN - donc sans autorisation judiciaire), le décret vise des informations bien plus larges que celles prévues par la loi : adresses mail, pseudonymes, mots de passe ou moyens de recouvrir les mots de passes perdus.  Or, la grande majorité des internautes utilisent un nombre restreint d'identifiants, de mots de passe et de questions associées (nom de jeune fille de sa mère, plat préféré ou nom du chien) pour accéder à tous les services en ligne qu'ils utilisent. En disposant de telles informations (adresses mail, pseudonymes, mots de passes ou moyens de les contourner) les services concernés pourront sans difficulté pénétrer dans tous les recoins de la vie privée de ces personnes. Ils pourraient même se faire passer pour elles afin d'infiltrer les réseaux criminels auxquels elles appartiennent.

Certes, ces informations pourront permettre l'identification des auteurs de contenus illicites. Elles offriront cependant tout aussi bien la possibilité de dresser un profil "Internet" complet de l'individu concerné.  Tous les moyens sont donc réunis pour explorer largement la vie privée de citoyens soupçonnés de terrorisme. Seulement eux ?


Des répercussions insoupçonnées

Le décret du 11 mars pourrait avoir des répercussions largement insoupçonnées. Certaines jurisprudences estiment qu'un employeur est soumis aux mêmes obligations lorsqu'il fournit un accès internet à ses salariés. L'application de ce décret suscite certaines interrogations : l'employeur peut-il légitimement conserver les informations personnelles des ses salariés (adresses email privées, mots de passe) et les organiser comme le lui demande le décret de manière à les rendre facilement accessibles aux autorités (article 4 du décret) ? Comment résistera-t-il un jour à l'envie d'accéder à cette mine d'information lorsque les circonstances le rendront nécessaire (licenciement, espionnage, etc.) ?

L'ASIC, dont certains membres sont parfois accusés d'avoir des comportements susceptibles de violer la vie privée des internautes, a déposé un recours devant le Conseil d'Etat pour obtenir l'annulation du décret. Le secrétaire général de l'association a déclaré la 6 avril 2011 dans le quotidien "20 minutes" au nom de ses membres : "Nous refusons de donner les mots de passe des internautes". Le secrétaire général s'exprimait ainsi sur la durée de stockage : "Le problème est que le décret impose une conservation des données pendant un an à partir de la dernière activité enregistrée. Elles peuvent donc être stockées plusieurs années !". Il semble même légitime de se demander si les membres de l'ASIC n'anticipent pas le risque de voir peser sur eux une obligation de vérifier l'exactitude des données qu'ils recueillent. Sous couvert de protection de la vie privée des Internautes (on se souvient des démêlés de Google avec la CNIL ou de la réputation sulfureuse de Facebook en ce domaine), l'ASIC semble surtout se soucier des coûts liés aux nécessités de stockage et de traitement de ces des données personnelles de ces internautes. Peu importe toutefois le mobile de l'action de l'ASIC puisque chaque internaute pourrait tirer profit de cette action pour la protection de sa vie privée.


Atteinte à la vie privée numérique

Pris malgré l'avis contraire de la Commission nationale de l'informatique et des libertés (CNIL), timide car si elle a critiqué certaines dispositions, elle a accepté la conservation des mots de passe, ou celui plus tranché de l'Autorité de régulation des communications électronique et des postes (ARCEP), ce décret constitue une atteinte majeure à l'édifice patiemment construit pour protéger la vie privée dans un environnement numérique. A travers ce texte, L'Etat demande à des sociétés privées de recueillir et de tenir à sa disposition tous les moyens d'explorer la vie privée d'individus mais surtout les outils permettant d'usurper l'identité numérique de quelqu'un.

Une fois ces traitement réalisés, ces outils stockés à Palo Alto, à Mountain View, à San José ou encore mieux à travers les nuages (cloud computing), qui garantira que celui qui les utilise appartient aux services anti-terroriste français et à eux seuls ? L'actualité devrait pourtant nous alerter sur les risques pour les données personnelles des internautes. A titre d'illustration, RSA Security, entreprise de sécurité informatique qui produit la fameuse SecurID utilisée pour authentifier les connexions à distance des salariés des grands groupes mondiaux, a elle-même fait l'objet d'un piratage de ses bases de données d'identification de ses clients pourtant beaucoup plus protégées que les serveurs des éditeurs de service.