Surveillance d’Internet : la CNIL déplore d’avoir été mise sur la touche

La CNIL a officiellement « déploré » ne pas avoir été saisie des dispositions relatives à l’accès aux données de connexion prévue par la loi de programmation militaire. Un texte actuellement examiné par les députés, après le vote des sénateurs, qui va permettre à plusieurs administrations d'aspirer en temps réel de nombreuses données concernant les internautes.

Le projet de loi de programmation militaire va muscler et étendre le régime d’exception créé par la loi antiterrorisme de 2006 en matière d’accès aux données des utilisateurs. Un véritable arsenal informatique. Avec l’article 13 de ce texte en gestation, les ministres chargés de la sécurité intérieure, de la défense, de l’économie et du budget pourront avoir un accès en temps réel et sur « sollicitation » aux métadonnées et documents détenues par les intermédiaires techniques (FAI et hébergeurs).

Dès lors que l’un des cinq motifs prévus par le code de la sécurité intérieure sera vérifié (renseignements intéressant la sécurité nationale, sauvegarde des éléments essentiels du potentiel scientifique et économique de la France, prévention du terrorisme, de la criminalité et de la délinquance organisées et de la reconstitution ou du maintien de groupements dissous), ces administrations pourront butiner dans les serveurs des intermédiaires sans le moindre contrôle préalable du juge :

• Des informations ou documents traités ou conservés par leurs réseaux ou services de communication électronique
• Dont les données techniques relatives à l’identification des numéros d’abonnement ou de connexion à des services de communication électronique,
• Le recensement de l’ensemble des numéros d’abonnement ou de connexion d’une personne désignée,
• Les données relatives à la localisation des équipements terminaux utilisés
• Les données techniques relatives aux communications d’un abonné portant sur la liste des numéros appelés et appelant, la durée et la date des communications

Les critiques de l'Asic

L’Asic, association des acteurs du web 2.0 dont on retrouve Google sur ses bancs, s’était inquiétée « de cette course à l’échalote dans le domaine de la surveillance de l’internet ». Face à ces enquêtes administratives testostéronées, elle regrettait par la même occasion le silence gardé par la Commission nationale à l’informatique et aux libertés (CNIL), constatant qu’il « n’existe pas à ce jour de réelle photographie transparente de la manière dont l’ensemble des dispositifs juridiques ont été mis en œuvre sur le territoire français. Il n’existe pas non plus de transparence sur les volumes de réquisitions réalisées chaque année par les autorités françaises auprès des intermédiaires de l’internet » (voir également cette actualité sur l'agacement d'un FAI).

La CNIL non consultée sur l'accès aux données des FAI et des hébergeurs

La CNIL vient justement de déplorer ne pas avoir été saisie préalablement sur cette disposition sensible. « La CNIL n'a pas été saisie de l'article 13 du projet, qui permet aux services de renseignement des ministères de la défense, de l'intérieur, de l'économie et du ministère en charge du budget d'accéder aux données conservées par les opérateurs de communications électroniques, les fournisseurs d'accès à Internet et les hébergeurs. »

Pourtant les mesures étaient nombreuses pour justifier son intervention : des finalités et des destinataires en plus visant des informations qui retracent toute la vie numérique d’une personne, avec un accès en temps réel aux données de connexion transmises sur « sollicitation du réseau. »

La Commission note cependant qu’elle avait été consultée par le gouvernement sur d’autres points du projet de loi, cependant sa délibération touchant un texte encore en préparation ne peut être révélée à ce jour. De même, « la CNIL, si elle n'a pas été consultée sur ce point, a été auditionnée par les Commissions des lois et de la Défense du Sénat. Elle a notamment eu l'occasion de demander, au minimum, le renforcement des garanties accordées aux personnes. Le Sénat a, à cet égard, modifié le régime juridique de la géolocalisation en lui appliquant le régime des interceptions de sécurité. Cette modification a été adoptée en Commission par l'Assemblée nationale à l'occasion de l'examen du texte en première lecture. »

La Commission rappelle enfin qu’elle dispose d’une compétence de contrôle a priori et a posteriori de ces traitements. Dans tous les cas elle « devra donc se prononcer sur les actes réglementaires créant les traitements projetés et pourra réaliser des contrôles sur place inopinés afin de s'assurer du respect des libertés individuelles. »