Temps Réels Nous contacter Qui sommes-nous ? Observatoire des usages politiques et militants de l'internet
Nous rejoindre Lettre de Temps Réels
Dossiers et débats Liens
Positions et propositions Plan du site
   
# Vous êtes ici : Accueil > Dossiers et débats > Libertés, vie privée, surveillance > Liberté et surveillance sur les réseaux > Conservation des données ded connexion. Débat temps réels
 
 
# DANS LA MEME RUBRIQUE :
# Directive sur la protection des données et surveillance des communications
# Conservation des données de connexions : le point de vue de la CNIL...
# Conservation des données de connexion : les recommandations du Forum des droits de l’Internet
Conservation des données ded connexion. Débat temps réels
samedi 8 juin 2002

Imprimer cet article | Cet article au format PDF

Le mode de fonctionnement de l’Internet n’est pas quelque chose que l’on change si facilement.

S’il est structuré pour contrôler, il le fera longtemps jusqu’à ce que l’on en change les protocoles et l’architecture. S’il est architecturé pour protéger la vie privée, il continuera à la protéger longtemps, même si le régime politique change, tout simplement parce que l’inertie technologique est importante. Un bon choix d’architecture, protégeant nos valeurs fondamentales, est essentiel pour garder nos libertés, et pour les retrouver si nous venions à les perdre. L’architecture est inportante en politique, car elle participe à la determination des limites du pouvoir. Faut-il rappeller que les superbes boulevard qui font la fierté de Paris ont été tracé par le baron Haussman pour pouvoir tirer au canon sur le peuple ? Voilà un excellent exemple du rôle de l’architecture (au sens large) en politique.

Si l’architecture influence la politique, l’inverse est également vrai. En choisissant de sacrifier des libertés fondamentales parce que nous serions en démocratie, nous risquons d’architecturer la société, et l’Internet, de telle façon que ces liberté seront de plus en plus difficile à recouvrer. Et si la démocratie disparait, il sera trop tard.

Em matière de libertés, Il faut toujours raisonner comme si nous n’étions pas en démocratie.

En politique, je pense qu’il y a deux choses : le conjoncturel et le structurel.

Le conjoncturel sert à gérer l’immédiat (et accessoirement à gagner les élections). Mais c’est le structurel qui est essentiel pour les choix de société (et c’est pour cette raison que je me bat sur les questions concernant l’Internet et la propriété intellectuelle : elles sont structurantes). Pour autant que l’on ait le choix, il ne faut pas faire passer le conjoncturel avant le structurel. La liberté, ce n’est pas conjoncturel. BL

Faire en sorte que seul le juge puisse avoir accès aux données de connexion.

-  Chose évidente, mais qui mérite d’être rappelée : Il ne faut pas confondre les données de connexion et le contenu même des messages. Concrètement, la conservation des " logs " n’autorise en aucun cas une surveillance du contenu des messages échangés. Je rappelle que l’interception d’e-mails est un délit pénal, et que cette nouvelle version de la proposition de directive ne modifie en rien ce principe.

-  Conserver les données de connexion permet d’identifier les auteurs de comportements illicites sur le réseau. En ce sens, cette mesure a un effet très positif : elle rend inutile - et surtout disproportionné - tout système de censure a priori (par des prestataires techniques), et toute obligation d’identification préalable des éditeurs de contenus. Elle constitue donc un point d’appui très efficace pour combattre les systèmes de censure privée.

-  La véritable question qui se pose n’est donc pas tant l’étendue ou le délai de conservation des données, mais : • qui pourra y avoir accès ; • comment s’opérera l’extraction. En d’autres termes, la question essentielle est celle du rôle de l’Etat par rapport aux systèmes privés de surveillance.

-  Il faut ici rappeler autre chose : la démarche des amendements Bloche n’était absolument pas d’offrir une exonération de responsabilité à certains acteurs du Net, mais d’éviter qu’ils puissent se substituer au juge. Revenons à des choses simples : le juge est le garant des libertés individuelles, aux termes mêmes de la Constitution.

.- Une approche de gauche - totalement cohérente avec ce qui a déjà été fait - serait donc la suivante : faire en sorte que seul le juge puisse avoir accès aux données de connexion.

Ce qui a des conséquences pratiques : • Empêcher les prestataires techniques d’utiliser les données de connexion qu’ils collectent en dehors d’une demande judiciaire ; • Certifier, auditer, contrôler les systèmes d’archivage des données de manière à garantir la sécurité des traitements.

Dans cet ordre d’idée, pourquoi ne pas instituer des agents assermentés par la CNIL, seuls habilités à accéder aux données sous le contrôle du juge ? CR

Une approche de gauche ne devrait pas permettre à un juge d’instruction d’obtenir des données de connexion sur une période trop longue

Je ne suis pas tout à fait d’accord avec cette analyse.

-  Il est vrai que l’interception de mails est un délit. Mais, tout comme l’utilisation des logs de connexion pour identifier une personne, l’interception de courriers électroniques se fait dans un cadre prévu par le code de procédure pénale. Et les demandes d’interception par les autorités ne sont pas exceptionnelles.

-  L’étendue et la durée de conservation des données de connexion sont des points très importants d’un point de vue de protection des libertés individuelles.

D’abord parce que, du fait de cette obligation légale, les intermédiaires techniques conservent les données relatives à tous les internautes pour permettre éventuellement aux autorités d’y trouver des suspects.

Ensuite, parce qu’une durée de conservation trop longue va à l’encontre du droit à l’oubli qui est un des principes que la CNIL met souvent en avant. C’est pour raison qu’elle avait demandé une durée de conservation des données de connexion d’un maximum de 3 mois.

Par ailleurs, la conservation des données de connexion a un coût élevé pour les intermédiaires techniques et obliger ces derniers à conserver les données pour une durée excessive créera une charge très importante sur les petits prestataires, ce qui ne risquerait d’aboutir à leur disparition.

-  Il est nécessaire de contrôler l’usage que les acteurs privés font des données de connexion mais je suis plus inquiet de l’usage que peut en faire l’Etat. Il ne faut pas oublier que les libertés individuelles visent avant tout à protéger les individus contre la puissance publique.

-  Je crois me souvenir que l’origine des amendements Bloche était de répondre à l’arrêt de la Cour d’appel de Paris dans l’affaire Estelle Hallyday qui avait sanctionné Valentin Lacambre et l’avait obligé à arrêter altern.org.

-  Une approche de gauche ne devrait pas permettre à un juge d’instruction d’obtenir des données de connexion sur une période trop longue. Que le juge soit garant des libertés individuelles, c’est une évidence ; que ses pouvoirs exorbitants soient encadrés par la loi pour protéger les citoyens, c’est indispensable. EM

Je rebondis avec plaisir - pour une fois que je ne suis pas du côté d’une approche parfois qualifiée de " libertaire " ...

...D’autant plus qu’ici l’affrontement entre les tenants du contrôle et ceux de la défense des libertés n’a pas grand sens en soi. Ce qui compte, ce sont les conditions du contrôle (qui ? quand ? comment ?).

Alors voilà :

1.- Nous sommes d’accord sur le fait que la conservation des logs sert à identifier les responsables d’activités illicites ; 2.- L’enjeu est de faire peser la sanction sur les auteurs principaux, et non sur les intermédiaires, ou pire encore de brider l’expression légitime des idées et des convictions de chacun ; 3.- Même si on peut le regretter, la durée de conservation sera donc nécessairement débattue sur la base des délais légaux de prescription. C’est très bien de militer pour une durée de trois mois, mais pourquoi trois, et pas quatre, cinq ou six ? En revanche, de l’autre côté, il est facile de répondre la chose suivante : la prescription de trois mois est la plus courte qui existe dans la loi française, et elle ne concerne que les délits de presse (diffamation, injure, négationnisme,...). Les tenants du contrôle auront alors beau jeu de dire : alignons la durée de conservation sur le délai de prescription des délits de droit commun, ce qui donne une durée de... trois ans !

En opportunité, il me semble plus efficace de faire porter le débat sur un autre plan en priorité.

A ce sujet, tu évoques une chose peu discutée, mais tout à fait essentielle : la conservation des logs est très consommatrice de mémoire machine. Donc cette conservation a un coût important. Par conséquent, l’allongement de la durée d’archivage des logs n’est pas souhaitée par les providers. Ce sont donc les alliés naturels d’une solution - d’une architecture technique - prise en charge, au moins partiellement, par l’Etat.

Mais au sujet de cette notion d’Etat, il faut s’entendre. L’Etat ne se résume pas au ministère de l’Intérieur. C’est l’exécutif, certes, mais c’est aussi le Parlement, l’autorité judiciaire,... et les autorités administratives indépendantes, dont la CNIL. Que s’est-il passé lorsque la France s’est faite condamnée en 1990 par la Cour européenne des droits de l’homme pour une affaire d’écoutes téléphoniques (car nous n’avions pas à l’époque de législation suffisamment précise en la matière) ?

Eh bien, un texte a été voté pour sanctionner pénalement l’interception des " correspondances émises par la voie des télécommunications " (aujourd’hui notamment les e-mails)... et organiser un système à deux niveaux : • Interceptions judiciaires, sous le contrôle du juge d’instruction, si la peine encourue est égale ou supérieure à deux ans d’emprisonnement (décision écrite, motivation obligatoire, durée limitée de la mesure, procès verbaux d’accès, destruction ultérieure des enregistrements, mise sous scellés fermés) ; • Interceptions administratives, pour les besoins de la sécurité nationale, sur ordre de l’exécutif, avec mise en place - justement - d’une autorité administrative indépendante de contrôle.

Ce double système de " contrôle du contrôle " pourrait très bien être repris ici, tout en étant adapté.

A ce sujet, plusieurs pistes sont envisageables, et notamment le fait d’imposer le cryptage des logs de connexion avec une clé gérée par une autorité indépendante de type CNIL. L’accès aux logs imposerait donc forcément au juge (ou au gouvernement) de faire une demande à cette autorité qui pourrait alors s’assurer que seules les données nécessaires à une enquête précise sont communiquées, et non la totalité des logs d’un prestataire. Par ailleurs, l’absence de chiffrement de ces fichiers par le prestataire - chiffrement qui doit rendre pour lui les logs inexploitables - pourrait faire l’objet de sanctions, sur la base d’enquêtes menées par l’autorité indépendante en question, notamment à la demande de groupes de défense des libertés individuelles. Reste bien entendu à voir si une solution de cette nature est techniquement, et économiquement, envisageable. Mais je suis convaincu que nous pouvons faire de nombreuses propositions concrètes, et c’est vraiment l’essentiel. CR

Droit à l’anonymat

Je pense que les questions abordées ici sont fondamentales, et je crois que la position de CR est la seule tenable.

Il faut garantir la protection de la vie et des actes privés contre les intrusions illégitimes, que ce soit de l’état ou de tout autre. Mais cela ne doit pas se traduire pas plus d’irresponsabilité et d’impunité, c’est-à-dire au prix d’un encouragement à des délits dont les victimes sont d’autres particulier, ou la société.

Je crois que les textes doivent évoluer en tenant compte des spécificités du cybermonde, comme il tiennent parfois compte des spécificités du monde physique (mais c’est pour nous invisible, car évident).

Il y a 6 ans, je me battais dans la commission Beaussant pour que le droit à l’anonymat soit reconnu pour les utilisateurs de l’Internet. Non pas l’anonymat absolu, mais le pseudonymat, qui par des moyens techniques permet d’encrypter son identité dans des conditions telles qu’elle ne puisse être dévoilée que sur requête de l’autorité judiciaire. Je pense en outre que c’est même nécessaire pour assurer la sécurité des entreprises comme la sécurité nationale. On peut avoir besoin d’être anonyme dans l’exercice de fonctions légitimes.

Plus récemment, à propos de l’amendement BLoche, j’ai essayé d’encourager la même démarche à propos de l’identification obligatoire de personnes hébergées auprès des hébergeurs. J’ai suggéré que l’on puisse s’identifier par un pseudonyme certifié (l’identité réelle ne pouvant être déterminée que par l’autorité judiciaire).

Il est d’ailleurs intéressant de noter que cela est permis par les textes sur la signature électronique. Une signature n’identifie pas nécessairement le signataire, mais doit permettre de l’identifier.

Je crois que la proposition de CR va dans le même sens . L’information est préservée, et incite donc au respect de la loi. Mais son cryptage en empèche tout usage abusif, en dehors des cas spécifiquement prévus par les textes.

La réflexion sur l’évolution de la propriété intellectuelle, et sur la brevetabilité du logiciel et des méthodes intellectuelles, participe aussi de cette problématique. L’un des auteurs les plus influents dans ce domaine est Lawrence Lessig, qui est professeur de droit constitutionnel.

Sciences Po a déjà des cours sur ces questions technologique. Je crois que c’est une très bonne chose. Google donne 45500 réponses quand on l’interroge sur " économie politique ", mais pas une seule sur " technologie politique ". C’est regrettable. BL


Imprimer cet article | Cet article au format PDF

 

* *

[Retour à la page d'accueil]