Conservation des logs : un décret inquiétant pour le respect des libertés individuelles

Le droit de conserver les logs a fait l’objet de plusieurs textes en France et en Europe. L’objectif, sécuritaire, est de permettre la conservation des traces des activités en ligne des internautes. Certes, l’enjeu est sérieux, mais son équilibre est incertain pour les libertés individuelles.

Nos traces sur internet seront désormais conservées

En effet, sous prétexte de surveiller au plus près les internautes, le décret d'application de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, et notamment ses articles 6, 57 et 58 , envisage d'exiger que les éditeurs de sites, les hébergeurs, les opérateurs de téléphonie fixe et mobile et les fournisseurs d'accès à Internet, conservent toutes les traces des internautes et des abonnés au mobile, pour les délivrer à la police judiciaire ou à l'Etat, sur simple demande.

Ces données seraient conservées pendant un an, et tenues à disposition de la police administrative (RG, DST) ou judiciaire. Pire encore, dans certains cas, les données demandées peuvent être conservées pendant 3 ans par les services du Ministère de l'Intérieur ou de la Défense, et ce, en dehors de toute intervention d'un magistrat indépendant.

Les réquisitions administratives pour la "prévention du terrorisme" seraient également conservées un an dans des fichiers tenus par les Ministères de l'Intérieur et de la Défense. Les réponses à ces mêmes réquisitions - nos traces, donc - seraient, pour leur part, conservées pendant trois ans supplémentaires et communicables à la police judiciaire.

« Surfe, et je te dirai qui tu es »
Ainsi, des données collectées sur la base de requêtes administratives initialement motivées par la prévention du terrorisme pourraient se retrouver dans le dossier d'un juge d'instruction en charge d'une affaire de droit à l'image, de diffamation ou de contrefaçon, par exemple, sans que les personnes mises en cause par des traces informatiques vieilles de 4 ans, puissent connaître - ni contester - l'origine ou la pertinence de ces données, ni le contexte dans lequel elles avaient été recueillies, en dehors de toute procédure judiciaire, sans magistrat ni contradictoire, quatre ans auparavant.


Les obligations pour les FAI et les hébergeurs
Selon le projet de décret, les opérateurs téléphoniques, les fournisseurs d'accès à Internet, les hébergeurs et les responsables de services en ligne (sites Web, blogs, etc.), devraient conserver pendant un an à leurs frais toutes les coordonnées et traces invisibles que laissent les utilisateurs lors d'un abonnement téléphonique ou à Internet, lors de leurs déplacements avec un téléphone allumé, lors de chaque appel ou de chaque connexion à Internet, de chaque diffusion ou consultation sur le Web d'un article, d'une photo, d'une vidéo, ou lors de chaque contribution à un blog.

En substance, devraient être conservés les mots de passe, "pseudos", codes d'accès confidentiels et autres identifiants, numéros de carte bancaire, détails de paiement, numéros de téléphone, adresses e-mail, adresses postales, le numéro de l'ordinateur ou du téléphone utilisé, le moyen d'accès à un réseau, les date et heure d'appel, de connexion et de chacune de leurs consultations ou contributions sur un site Internet.

Vers une mémorisation systématique du tout en ligne
En clair, ce texte particulièrement exhaustif imposerait d'identifier quiconque, en France, aura mis en ligne, modifié ou supprimé une virgule dans son blog, un "chat", ou sur le Web. Techniquement, on peut, certes, tenter de savoir qui s'est connecté à un site et constater sur Internet ce qu'il diffuse à un instant donné.

Cependant en voulant conserver la trace de la publication d'un contenu qui peut, ensuite être supprimé ou retiré, le texte impose de facto de mémoriser systématiquement tout ce qui est mis en ligne, modifié et supprimé sur "l'Internet français".

L'obligation de conservation ne s'arrête pas là car dans tous les cas, s'ils en font habituellement la demande, hébergeurs et opérateurs devront se garder scrupuleusement des nom et prénom ou raison sociale, adresses postales associées, pseudonymes utilisés, adresses de courrier électronique associées, numéros de téléphone, mot de passe et informations associées (ex : une phrase clé pour se souvenir de ce mot de passe).

Signalons que ces données ne sont censées servir qu'à « permettre l'identification de quiconque a contribué à la création du contenu » d'un service. Pourtant le projet de décret prévoit la conservation de données qui vont bien au-delà de cet objectif, tel que le mot de passe délivré lors de la souscription d'un contrat d'abonnement ou pour la création d'un compte auprès du prestataire Internet.

S'il y a service payant, s'ajouteront encore les données liées au type de paiement utilisé, le montant versé, le numéro de référence du moyen de paiement (ex : numéro de compte, etc.) et la date et heure de la transaction.

Enfin, en matière de création de contenu, par exemple du contenu communautaire ou collaboratif en ligne de type Wiki, les données conservées concerneront l'auteur initial mais aussi ceux qui auront modifié ou supprimé ce contenu par la suite.

Supports et formats de conservation
De même, ces données doivent être conservées sur des supports et dans des formats d'enregistrement conformes aux normes techniques en vigueur. La conservation doit s'effectuer dans des conditions garantissant la confidentialité et l'intégrité des données, et permettre une extraction dans un bref délai pour répondre à une demande des autorités judiciaires.

Notons que jusqu'alors, seuls les fournisseurs français d'accès à l'Internet et hébergeurs étaient soumis à cette exigence. Et l'Etat, qui avait promis des compensations financières aux coûts induits par une surveillance des moindres faits et gestes de leurs clients, met tant de temps à s'acquitter des indemnités dues que certains renoncent à en réclamer le règlement et déclarent vouloir délocaliser leurs activités...

Big Brother
La sanction est lourde, en cas de résistance ou encore de passivité des fournisseurs d'accès à Internet ou les sites Internet français qui ne conserveraient pas les données puisqu'ils seraient alors passibles de 375 000 euros d'amende, et leurs dirigeants, d'un an d'emprisonnement et 75 000 euros d'amende, sans compter la fermeture de l'entreprise, l'interdiction d'exercer une activité commerciale, etc.

Pourtant, la plupart des sites Web, les Web radios, les blogs, la vidéo à la demande ou mobile, sont encore en quête d'un modèle économique pérenne. Déjà insécurisée par la complexité des enjeux de propriété intellectuelle, l'économie numérique de demain - celle du contenu et pas seulement de l'accès - serait encore fragilisée par cette surenchère réglementaire

En définitive, ce projet de décret constitue donc une véritable dissuasion au développement du numérique en France.

Certes, l'équilibre entre sécurité, croissance, libertés et efficacité est complexe. Mais, en l'occurrence, aucune de ces valeurs ne s'illustre ici dans ce projet de décret. Pourtant, tous les acteurs sont concernés de près ou de loin par celui-ci, de la presse aux blogueurs, de la grande distribution aux opérateurs de téléphonie, des fournisseurs de logiciels aux fabricants d'ordinateurs, etc. Sous prétexte de lutter contre la menace réelle du terrorisme, on prend le risque de réduire nos libertés individuelles. La sécurité n'a malgré cela pas pour objectif de tout savoir sur tout et tous, même l'impossible.

Autour du même sujet