Un FAI agacé du silence de la CNIL sur les abus de droit de communication

Agacé, cet opérateur ! Alors que la CNIL a montré ses muscles face à l’ampleur du scandale PRISM, l’un des principaux fournisseurs d’accès français a écrit à la Commission Informatique et Liberté pour lui réclamer un avis sur le droit de communication dont dispose l’administration, droit qui le place, selon lui, dans une situation intenable.

Le 24 octobre dernier, la CNIL publiait un communiqué pour décrire ses différentes actions face à l’affaire PRISM. « Si la lutte contre le terrorisme ou certaines menaces à l'ordre public peuvent justifier des atteintes ponctuelles et ciblées à la vie privée des personnes, la CNIL rappelle que, dans un État de droit, aucune considération ne saurait justifier une surveillance généralisée et indifférenciée de la population, pas plus que la " mécanisation " de cette surveillance par une aspiration automatique des données » exposait sans rondeur la Commission informatique et libertés, qui évoquait alors une violation de la vie privée « d'une ampleur inédite ».

Elle rappelait alors les discussions en cours dans le cadre du projet de règlement européen sur la protection des données personnelles, soulignant qu’elle milite pour que « tout transfert de données relatives à des citoyens européens à la demande d'États tiers soit subordonné à l'autorisation des autorités des pays des citoyens concernés ». Elle demandait par ailleurs la nécessité d'un accord intergouvernemental pour encadrer ces échanges de données.

Surtout la CNIL faisait état d’un courrier adressé à l’exécutif, spécialement aux ministres de l'Intérieur et de la Défense, « sur l'éventuelle existence d'un programme français similaire au programme Prism, qui serait ainsi réalisé en dehors du cadre juridique prévu par le législateur ». Elle regrettait par la même occasion qu’à ce jour, « la loi du 6 janvier 1978 ne permet pas à la CNIL de contrôler, de manière générale, les fichiers de renseignement. La CNIL a donc proposé au Gouvernement de renforcer son pouvoir de contrôle en la matière, selon des modalités adaptées à la nécessité de protéger les secrets attachés à ces activités. »

Mais alors que la CNIL s’inquiète l’existence d’un potentiel Prism français, un des principaux fournisseurs d’accès français s’inquiète lui du profond silence de cette même commission.

Et pour cause, cet opérateur a alerté la Commission en novembre 2012 sur la conception extensive du droit de communication dont font preuve certaines administrations. Une mesure qui rappelle qu’en France comme ailleurs, ces types d’indiscrétions viennent avant tout de l’État, non des intermédiaires techniques.

Le droit de communication de l'administration sur les opérateurs

En France, l’administration a le pouvoir de réclamer, sans passage préalable devant un juge, le transfert de plusieurs données loguées par les opérateurs, lesquelles doivent être anonymisées au bout d'un an. Il s’agit des données techniques de connexion (où, à quelle heure, sous quel numéro ou IP, l’abonné s’est-il connecté, etc.) et de facturation (référence du contrat, l’adresse de l’abonné, ses coordonnées bancaires...). Ces informations peuvent être sollicitées par des OPJ mais aussi par des administrations (l’Autorité des marchés financiers, les douanes, le fisc, l’Hadopi, les organismes sociaux) ou le Groupement interministériel de contrôle qui, sur contrôle du premier ministre, centralise et valide les demandes de l'administration pour des volets sensibles (contre-espionnage, fisc, douanes, blanchiment).

Si la CNIL pose la question d’un potentiel Prism français, le FAI marque du coup son étonnement sur la grande liberté dont bénéficient les administrations avec ce droit de communication « à notre connaissance, aucun contrôle n’existe sur les modalités d’exploitation par l’administration des données ainsi obtenues qui au titre notamment des dispositifs de coopération internationale, peuvent être susceptibles d’être partagés avec d’autres États ». De même, l’opérateur dénonce la dégénérescence de ce droit de communication chez les administrations et autorités qui ont tendance à avoir « une interprétation extensive [de ce droit] en vue d’obtenir des détails de trafic tels que la liste des appels entrants et sortants, ainsi que les SMS et/ou courriers électroniques. »

Avant l'affaire Prism

Dans un nouveau courrier adressé le 25 octobre, ce FAI s’adresse ainsi à la présidente de la CNIL, Isabelle Falque-Perrotin : « vos préoccupations exprimées quant à l’éventualité d’un « Prism français », pour reprendre vos propres termes, rejoignent celles que nous exprimions bien avant que l’opinion publique découvre l’étendue des pratiques alléguées ».

Il reformule ainsi la problématique : est-ce que oui ou non, en dehors des cas prévus par le Code de la sécurité intérieur, un opérateur est tenu « de communiquer à une autorité administrative se prévalant de dispositions législatives lui octroyant un droit de communication des données de trafic telles la liste des appels téléphoniques entrants d’un abonné, la liste des SMS émis et reçus, la liste des courriers électroniques envoyés et reçus. »

Dénonçant l’ambiguïté de ces pratiques, et en creux le silence de la CNIL, ce même FAI rappelle la situation intenable : si les intermédiaires communiquent ces infos touchant aux données de trafic, ils sont susceptibles de tomber sous le coup de l’article L226-22 du Code pénal (5 ans de prison et 300 000 euros d’amende pour avoir porté à la connaissance de tiers des données personnelles dont la divulgation porte atteinte à la vie privée). S’ils refusent de communiquer, ils sont susceptibles d’être poursuivis pour entrave aux missions d’enquête de l’administration (2 ans de prison et 300 000 euros d’amende en matière financière par exemple). Ajoutons à cela l'article 34-bis de la loi CNIL qui oblige les opérateurs télécoms à alerter sans délai la CNIL d'une violation de données à caractère personnel ou touchant à la vie privée...

La loi  de programmation militaire

Ces problématiques ne sont pas étrangères à l’actualité parlementaire et spécialement à l’examen des députés du projet de loi de programmation militaire.

Le texte muscle et étend en effet le régime d’exception mis en œuvre avec la loi antiterrorisme de 2006 en matière d’accès aux données des utilisateurs. Comme l’a pointé l’ASIC, l’association des acteurs du web communautaire, au rang desquels on trouve Google et Microsoft entre autres, le texte étend le régime du droit de communication sans intervention du juge à de nombreuses administrations, dont celles relevant de Bercy, même dans le cadre la prévention de la criminalité.

Mieux, comme décrit dans nos colonnes, le texte permettra à ces acteurs d’avoir un accès en « temps réel » via une « sollicitation du réseau » à de nombreuses données détenues par les opérateurs. « Alors que jusqu’à présent, toute réquisition judiciaire devait être adressée à l’intermédiaire technique, la loi souhaite offrir à ces autorités la possibilité d’accéder “sur sollicitation du réseau et transmises en temps réel” aux données de l’ensemble des utilisateurs Internet. Est-ce que cette “sollicitation du réseau” signifie que les autorités souhaitent donner un cadre juridique à une “interconnexion directe” sur les réseaux ? »

L’Asic regrette surtout qu’« il n’existe pas à ce jour de réelle photographie transparente de la manière dont l’ensemble des dispositifs juridiques a été mis en oeuvre sur le territoire français. Il n’existe pas non plus de transparence sur les volumes de réquisitions réalisées chaque année par les autorités françaises auprès des intermédiaires de l’internet. Alors que la société civile et de nombreux acteurs s’alarment des révélations quotidiennes en la matière, il est inconcevable que le Gouvernement français se lance dans cette course effrénée à généraliser des régimes d’exception offrant à de nombreuses administrations un accès en temps réels aux données d’internautes. »

L’association en vient du coup à réclamer un moratoire avant l’adoption de nouveaux pouvoirs d’accès aux données d’internautes. « Face à l’inaction de la CNIL, il est urgent que le Ministère de la Justice, lui-même, lance immédiatement un audit complet du cadre juridique existant, de la manière dont ce cadre juridique est mis en oeuvre par les autorités et sur l’étendue du respect des droits et libertés individuelles. »